Esityksessä ehdotetaan säädettäväksi turvallisuusselvityslaki, jolla kumottaisiin turvallisuusselvityksistä vuonna 2002 säädetty laki. Uuden lain tarkoituksena on säännellä paitsi henkilöiden, myös yritysten luotettavuuden arviointia näiden taustoja viranomaistoimin selvittämällä.

Uudistuksen yleisenä tavoitteena on tehostaa kokonaisturvallisuutta vahvistamalla yleistä turvallisuutta, edistämällä yritysturvallisuutta ja kehittämällä tietoturvallisuutta valtionhallinnossa. Tavoitteena on myös lähentää Suomen lainsäädäntöä vastaamaan kansainvälisesti noudatettavaa käytäntöä, tehostaa ja yhtenäistää selvitysmenettelyä eri viranomaisissa sekä tehdä se avoimemmaksi ja vuorovaikutteisemmaksi.

Henkilöturvallisuusselvitys olisi mahdollista laatia, kuten nykyisinkin, vain selvityksen kohteen suostumuksella. Uudistuksella parannettaisiin selvityksen kohteen tiedonsaantimahdollisuuksia sekä laajennettaisiin mahdollisuuksia haastatella turvallisuusselvityksen kohdetta. Selvitys voitaisiin edelleenkin tehdä suppeana, perusmuotoisena tai laajana.

Henkilöturvallisuusselvityksissä käytettäisiin muun muassa poliisin ja oikeushallinnon tietojärjestelmiin sisältyviä tietoja. Henkilöturvallisuusselvityksissä ei kuitenkaan olisi kysymys vain rikostaustan selvittämisestä. Laajassa henkilöturvallisuusselvityksessä selvitettäisiin myös henkilön taloudellista asemaa ja läheisiä nykyisen lain tapaan.

Suojelupoliisi pitäisi yhdessä muiden selvityksiä laativien viranomaisten kanssa turvallisuusselvityksistä rekisteriä. Henkilön luotettavuutta ja nuhteettomuutta voitaisiin seurata myös henkilörekistereitä yhdistämällä. Nämä uudistukset yhdessä turvallisuusselvityksen ja sen perusteella annettavan todistuksen voimassaoloajasta ehdotettujen säännösten kanssa tehostaisivat menettelyä. Siten selvitysmenettelyyn tulevien selvityksen kohteiden määrää voidaan lisätä ilman uusia henkilöstöresursseja.

Uusi laki sisältäisi säännökset yritysturvallisuusselvityksistä, joiden avulla selvitetään yrityksen vastuuhenkilöiden taustoja, tietoturvallisuuden tasoa yrityksessä ja yrityksen sitoumusten hoitokykyä. Yritysturvallisuusselvitys voitaisiin laatia yrityksestä, joka viranomaisen sopimuskumppanina saa luokiteltuja salassa pidettäviä tietoja.

Esityksellä pyritään yhdenmukaistamaan turvallisuusselvitysmenettelyä. Tämän toteuttamiseksi ehdotetaan erityisen oikeusministeriön yhteydessä toimivan arviointikriteerilautakunnan perustamista. Lautakunnan tehtävänä olisi turvallisuusselvityksiä laativien viranomaisten tueksi esittää yleisiä tulkintasuosituksia lain soveltamisessa huomioon otettavista seikoista.

Esitykseen sisältyvät ehdotukset 22 lain muuttamisesta. Ehdotetuilla säännöksillä saatettaisiin lainsäädäntö vastaamaan uuden lain sisältöä ja uudistuksen tavoitteita.

Ehdotetut lait on tarkoitettu tulemaan voimaan vuoden 2014 alkupuoliskolla. Siirtymäsäännökset huomioon otettuina uudistus olisi täysimääräisesti voimassa kahden vuoden kuluttua lain voimaantulosta.

---

Tietoisuus tietoturvallisuudesta ja yleisemminkin turvallisuuteen liittyvistä asioista on kasvanut merkittävästi viimeisen vuosikymmenen aikana. Tämä ilmenee muun ohella kansainvälisten salassa pidettävien tietojen vaihtoa ja niiden käsittelyä koskevien sopimusten määrän lisääntymisenä. Euroopan unionissa on annettu useita direktiivejä ja asetuksia turvallisuuden lisäämiseksi. Tällaisista esimerkkinä voidaan mainita satamien ja lentoliikenteen turvallisuutta koskevat säädökset sekä kriittisen infrastruktuurin suojaamiseen tähtäävä direktiivi (2008/114/EY).

Turvallisuusasioissa käytetään yhteiskunnan kokonaisturvallisuuden käsitettä, joka sisältää turvallisuuden kaikki osa-alueet, joilla tähdätään muun ohella valtion turvallisuuden, yhteiskunnan perustoimintojen jatkuvuuden, väestön sekä tietojen saatavuuden ja virheettömyyden turvaamiseen. Turvallisuuden toteuttamiskeinoja jaetaan myös sen mukaan, mihin toimenpiteet kohdistuvat. Tämän mukaisesti puhutaan tietoturvallisuudesta, fyysisestä turvallisuudesta, henkilöstöturvallisuudesta ja yritysturvallisuudesta.

Kansainvälisissä sopimuksissa ja säädöksissä on usein velvoitteita huolehtia sekä henkilöstöturvallisuudesta että yritysturvallisuudesta, toisin sanoen henkilöiden ja yritysten luotettavuudesta. Nykyisen lainsäädännön puutteiden vuoksi on säädetty laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004). Lain avulla ei kuitenkaan voida yleisesti kehittää kansallisia toimia eikä se siten ole riittävä toteuttamaan turvallisuustoimille asetettavia vaatimuksia.

Suomessa henkilöstöturvallisuutta sääntelevä keskeisin säädös on laki turvallisuusselvityksistä (177/2002). Henkilöistä aiheutuvia riskejä torjutaan valtionhallinnossa myös tietoaineistojen tietoturvallisuustoimin suunnittelemalla ja toteuttamalla työprosessit ja tietoaineistojen käsittelyprosessit tietovirtoineen niin, että henkilöstön tahallisia ja tahattomia virheitä voidaan ennalta estää. Julkishallinnossa kysymys on viranomaisten toiminnan julkisuudesta annetun lain (621/1999, jäljempänä julkisuuslaki) 18 §:ssä säädetyn hyvän tiedonhallintatavan noudattamisesta. Vuonna 2010 annettiin valtioneuvoston asetus tietoturvallisuudesta valtionhallinnossa (681/2010).

Turvallisuusselvityksistä annettuun lakiin on tähän mennessä tehty vain verrattain pieniä muutoksia muiden lainsäädäntöhankkeiden yhteydessä. Lain sisältämien valtuuksien nojalla on annettu puolustusministeriön asetus turvallisuusselvitysten hakemisesta puolustusministeriön hallinnonalalla (711/2002), sisäasiainministeriön asetus turvallisuusselvitysten hakemismenettelystä (710/2002) sekä valtioneuvoston päätös turvallisuusluokituksen käyttöönotosta (930/2003).

Turvallisuusselvitysmenettelyn tarkoituksena on suojata keskeisiä yhteiskunnan etuja varmistamalla henkilöstön luotettavuus selvittämällä virkamiesten, työntekijöiden tai työnhakijoiden taustatietoja. Turvallisuusselvitysten hankinta on siten merkittävä keino henkilöstöturvallisuuden toteuttamisessa osana viranomaisten ja yhteisöjen tietoturvallisuustyötä ja muutakin toimintaa turvallisuuden toteuttamiseksi.

Turvallisuusselvityksistä annetun lain voimaantulon jälkeen turvallisuustoimien merkitys on kasvanut kansainvälisen yhteistyön lisääntymisen vuoksi. Toimintojen ulkoistaminen ja verkostomainen työskentely tuovat esiin uusia henkilöstöturvallisuuteen liittyviä tarpeita.

Ehdotetulla uudella turvallisuusselvityslailla on tarkoitus kehittää ja täsmentää rekisteröityjen luonnollisten henkilöiden sekä yritysten ja yhteisöjen oikeussuojaa ja samalla edistää viranomaisten ja yritysten mahdollisuuksia huolehtia turvallisuudesta.

Uudistuksen on määrä edistää yritysturvallisuutta sekä tietoturvallisuutta viranomaisissa eri tavoin. Kaikki ehdotetut toimet tähtäävät siihen, että Suomi ja suomalaiset yritykset voivat kansainvälisessä yhteistyössä osoittaa olevansa luotettavia sopimuskumppaneita, jotka huolehtivat kulloinkin tarvittavista turvallisuustoimista.

Lainsäädäntö

Turvallisuusselvityksistä annetun lain tavoitteena oli sitä koskeneen hallituksen esityksen (HE 43/2001) mukaan tarjota yhteiskunnallisesti ja kansantaloudellisesti keskeisille organisaatioille paremmat mahdollisuudet suojautua luvatonta tiedustelua, väärinkäytöksiä, tietovuotoja sekä muuta rikollista toimintaa vastaan toteuttamalla samaan aikaan yksityisyyden suoja ja menettelyn avoimuus.

Turvallisuusselvityksistä annetun lain 2 §:n mukaan lain tarkoituksena on turvallisuusselvityksiä käyttämällä parantaa mahdollisuuksia ennalta estää rikokset, jotka vakavasti vahingoittaisivat säännöksessä määriteltyjä etuja. Laissa ei määritellä niiden rikosten tekotapoja, joiden ennalta estämiseksi turvallisuusselvitysmenettelyjä käytetään.

Turvallisuusselvityksen kohteen yksityisyyden suojaa ja asemaa muutoinkin turvataan laissa useiden eri keinojen avulla. Turvallisuusselvitys voidaan tehdä vain selvityksen kohteena olevan henkilön etukäteen antaman kirjallisen suostumuksen perusteella. Turvallisuusselvitystä hakevan on huolehdittava siitä, että selvityksen kohde on saanut tiedon turvallisuusselvityksen tarkoituksesta ja sen käyttämisestä sekä oikeudestaan saada tieto selvityksen sisällöstä.

Laissa määritellään varsin yksityiskohtaisesti ne tietolähteet, joita turvallisuusselvitysmenettelyssä saadaan käyttää. Toimivaltainen viranomainen saa käyttää laissa lueteltuja rekistereitä vain siinä laajuudessa kuin se on välttämättä tarpeen lain tavoitteen saavuttamiseksi (3 §).

Jokaisella on oikeus saada tieto siitä, onko hänestä tehty turvallisuusselvitys tiettyä tehtävää varten. Selvityksen kohteella on myös oikeus pyynnöstä saada toimivaltaiselta viranomaiselta turvallisuusselvityksen tiedot. Tiedonsaantioikeus ei kuitenkaan koske sellaisesta rekisteristä peräisin olevaa tietoa, johon rekisteröidyllä ei ole tarkastusoikeutta, kuten suojelupoliisin toiminnalliseen tietojärjestelmään.

Mitä selvityksen kohteena olevan henkilön tiedonsaantioikeudesta ja huomautusoikeudesta säädetään, sovelletaan myös selvityksen kohteena olevan henkilön läheiseen, kun tästä on tehty laissa tarkoitettu selvitys osana laajaa turvallisuusselvitystä.

Turvallisuusselvitysmenettelyn edellytyksiä määrittelevät eri säännökset. Lain nojalla turvallisuusselvitys voidaan tehdä virkaan tai tehtävään hakeutuvasta, tehtävään tai koulutukseen otettavasta taikka virkaa tai tehtävää hoitavasta henkilöstä, joka on antanut siihen suostumuksensa.

Turvallisuusselvityksistä annetussa laissa ei määritellä tehtäviä, joita hoitavista turvallisuusselvitys voidaan tehdä. Tehtäviä yleisesti määrittelevänä säännöksenä on turvallisuusselvityksistä annetun lain 2 §:ssä oleva lain tarkoitusta määrittelevä säännös. Se määrittelee samalla, minkälaisten etujen suojaamiseksi turvallisuusselvitys voidaan tehdä. Näitä ovat Suomen sisäinen tai ulkoinen turvallisuus, maanpuolustus tai poikkeusoloihin varautuminen; Suomen suhteet toiseen valtioon tai kansainväliseen järjestöön; julkinen talous; yksityisen huomattavan arvokas liike- tai ammattisalaisuus tai muu tähän rinnastettava erittäin merkittävä yksityinen taloudellinen etu; taikka mainittujen etujen suojaamisen kannalta erittäin merkittävä tietoturvallisuus.

Turvallisuusselvityksiä on kolmea eri tasoa edustavaa tyyppiä: perusmuotoisia, laajoja ja suppeita. Perusmuotoisen ja laajan turvallisuusselvityksen tekee suojelupoliisi, jossa asian käsittely kuuluu lausuntotoimistolle. Pääesikunta tekee kaikki puolustushallinnon alaan kuuluvat turvallisuusselvitykset. Pääesikunnassa tehtäviä hoitaa tutkintaosasto.

Suppea turvallisuusselvitys voi kohdistua vain henkilöihin, joilla on työtehtävissään pääsy tiettyyn suojeltavaan paikkaan. Suppean turvallisuusselvityksen tekee asiaan liittyvän tilan tai paikan sijaintipaikkakunnan kihlakunnan poliisilaitos.

Perusmuotoisen turvallisuusselvityksen tekemistä voivat hakea valtion ja eduskunnan viranomaisten ja laitosten, valtion liikelaitosten sekä kuntien ja kuntayhtymien lisäksi myös suomalainen yksityinen yhteisö ja säätiö sekä Suomessa sivuliikkeen rekisteröinyt ulkomainen yhteisö ja säätiö. Perusmuotoisen turvallisuusselvityksen tekemiselle ei ole säädetty erityisiä edellytyksiä.

Laaja turvallisuusselvitys voidaan tehdä ensimmäiseen turvallisuusluokkaan kuuluvaan tehtävään hakevasta tai määrättävästä taikka tällaista tehtävää hoitavasta. Ensimmäiseen turvallisuusluokkaan kuuluvat tehtävät, joissa henkilöllä on muutoin kuin satunnaisesti pääsy vähäistä suurempaan määrään sellaisia salassa pidettäviä tietoja, joiden paljastuminen vahingoittaisi vakavasti lain suojaamia yleisiä etuja. Laaja turvallisuusselvitys voidaan tehdä myös silloin, kun Suomea sitovan valtiosopimuksen tai muun kansainvälisen velvoitteen täyttäminen sitä edellyttää.

Turvallisuusselvitys voidaan tehdä muissakin kuin turvallisuusselvityksistä annetussa laissa säädetyissä tapauksissa silloin, kun Suomea sitova valtiosopimus tai muu kansainvälinen velvoite edellyttää turvallisuusselvityksen laatimista tai esittämistä.

Turvallisuusselvityksen hakeminen on pääsäännön mukaan työnantajan asiana. Hakemuksessa tulee ilmoittaa selvityksen kohteena oleva henkilö ja yksilöidä se virka tai tehtävä, johon hänet aiotaan nimittää tai ottaa taikka jota hän hoitaa sekä muut turvallisuusselvityksen tekemistä varten tarpeelliset tiedot.

Turvallisuusselvitysten hakemismenettelystä annetuissa asetuksissa (710/2002 ja 711/2002) on tarkemmat säännökset hakemuksessa annettavista tiedoista ja selvityksistä. Niissä edellytetään muun ohella, että hakemukseen sisällytetään selvitys salassa pidettävistä tiedoista, joita selvityksen kohteena oleva henkilö käsittelee tai hänen on määrä käsitellä. Hakijan on todistettava suojelupoliisille, että hakijan hallussa on sellaista salassa pidettävää tietoa, jota väärinkäyttämällä voidaan vakavasti vahingoittaa turvallisuusselvityksistä annetussa laissa tarkoitettua etua. Lisäksi hakijan on näytettävä, että suojattavaa etua on jo suojattu riittävällä tavalla sekä esitettävä, missä tehtävissä suojattavalle edulle voidaan todella aiheuttaa vakavaa vahinkoa.

Jos yksityinen yhteisö tai säätiö hakee selvitystä, se voidaan tehdä vain, jos hakija hyväksyy toimivaltaisen viranomaisen asettamat, rekisteröidyn henkilötietojen suojan ja selvityksen tarkoituksen kannalta tarpeelliset ehdot. Näistä ehdoista on säädetty tarkemmin edellä tarkoitetuissa asetuksissa. Hakijan tulee muun ohella sitoutua antamaan vuosittain turvallisuusselvityksen laatijalle selvitys turvallisuusselvitysten käsittelystä, käytöstä ja hävittämisestä sekä arvio seuraavana vuonna pyydettävien selvitysten määrästä.

Turvallisuusselvitys voidaan tehdä vain selvityksen kohteena olevan henkilön etukäteen antaman kirjallisen suostumuksen perusteella. Hakijan on liitettävä hakemukseensa selvityksen kohteen antama suostumus samoin kuin tämän antama vakuutus siitä, että hän on saanut tiedon turvallisuusselvityksen tarkoituksesta ja sen käyttämisestä sekä oikeudestaan saada tieto selvityksen sisällöstä.

Turvallisuusselvitys voidaan tehdä selvityksen kohteen pyynnöstä, jos Suomea sitova valtiosopimus tai muu kansainvälinen velvoite tätä edellyttää.

Luotettavuuden selvittäminen turvallisuusselvityksistä annetun lain mukaan perustuu erityisesti eri viranomaisten rekistereistä saataviin tietoihin. Lain mukaan menettely ei tuota arviota työnhakijan luotettavuudesta, vaan tämän arviointi jää työnantajalle. Poikkeuksena ovat turvallisuusselvitykset, jotka annetaan kansainvälisten tietoturvallisuusvelvoitteiden johdosta.

Muotosidonnaisuutta osoittaa se, että turvallisuusselvitysmenettelyssä käytettävät rekisterit on laissa lueteltu tyhjentävästi. Perusmuotoisen turvallisuusselvityksen pohjana saa käyttää ainoastaan laissa määritellyistä rekistereistä saatavia tietoja. Tällaisia rekistereitä ovat henkilötietojen käsittelystä poliisitoimessa annetussa laissa (761/2003) tarkoitettu poliisiasiain tietojärjestelmä, hallintoasiain tietojärjestelmä tai suojelupoliisin toiminnallinen tietojärjestelmä; rikosrekisteri tai liiketoimintakieltorekisteri; oikeushallinnon tietojärjestelmä (tiedot syyteharkinnassa olevista tai olleista rikosasioista), tuomiolauselmajärjestelmä; pääesikunnan pitämä rikostietorekisteri sekä turvallisuustietorekisteri; rajavartiolaitoksen toiminnallisen tietojärjestelmän tutkinta- ja virka-apurekisteri sekä lupa- ja valvonta-asioiden rekisteri; tullihallituksen pitämä tutkinta- ja virka-apujärjestelmä; väestötietojärjestelmä sekä ulkomaalaisrekisteriin kuuluva viisumiasioiden osarekisteri ja maahantuloedellytysten osarekisteri.

Laajaa turvallisuusselvitystä tehtäessä voidaan sen lisäksi, mitä perusmuotoisesta turvallisuusselvityksestä säädetään, selvittää tiedot selvityksen kohteena olevan henkilön elinkeinotoiminnasta sekä hänen varallisuudestaan ja veloista (mukaan lukien ulosottoviranomaisen tiedot) sekä muista taloudellisista sidonnaisuuksista.

Laajaan turvallisuusselvitykseen sisältyy henkilötietoilmoitus. Siinä selvityksen kohteena oleva henkilö antaa tärkeimmät tiedot itsestään, perhe- ja sukulaisuussuhteistaan, koulutuksestaan, asuinpaikoistaan, virka- tai työsuhteistaan enintään kymmenen viimeisen vuoden ajalta sekä tarvittaessa tietoja taloudellisista sidonnaisuuksista.

Laaja turvallisuusselvitys voidaan ulottaa myös läheisiin, jos turvallisuusselvityksen tarkoituksen saavuttaminen sitä välttämättä edellyttää. Jos hakija katsoo, että laaja turvallisuusselvitys on välttämätöntä ulottaa koskemaan selvityksen kohteena olevan henkilön läheistä, hänen tulee esittää hakemuksessaan tähän perusteltu syy.

Läheisiä ovat selvityksen kohteena olevan henkilön vanhemmat, lapset, aviopuolisot taikka henkilö, jonka kanssa hän elää yhteisessä taloudessa avioliitonomaisessa suhteessa. Perusmuotoinen turvallisuusselvitys voidaan tehdä läheisestä, jos tämä on antanut siihen kirjallisen suostumuksensa.

Turvallisuusselvitys annetaan työnantajalle. Siihen merkitään vain tarpeelliset tiedot. Se ei lain 10 §:n 2 momentin mukaan saa sisältää selvityksen laatineen viranomaisen arviota selvityksen kohteena olevan henkilön luotettavuudesta tai sopivuudesta virkaan tai tehtävään. Tässä turvallisuusselvityksistä annettu laki poikkeaa usean muun maan lain säännöksistä. Varsin tavallista on, että turvallisuusselvitysmenettelyn lopputuloksena menettelystä vastaava viranomainen antaa selvityksen kohteesta erityisen todistuksen (PSC= Personal Security Clearance). Tällaisen todistuksen voi Suomessa saada vain kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetyissä tilanteissa.

Turvallisuusselvitysmenettely on tehtävä- ja tapauskohtainen: menettelyä sovelletaan käytännössä käyttötarkoitussidonnaisesti. Turvallisuusselvitys annetaan siten kutakin tehtävää varten erikseen.

Turvallisuusselvityksistä annettuun lakiin sisältyy muutoksenhakukielto: toimivaltaisen viranomaisen antamaan kielteiseen päätökseen turvallisuusselvityksen tekemistä koskevassa asiassa ei saa hakea valittamalla muutosta (24 § 1 mom.). Muutosta saa sen sijaan hakea päätökseen, jolla toimivaltainen viranomainen on kieltäytynyt antamasta tietoja rekisteröidylle ja selvityksen kohteelle taikka tekemästä huomautusoikeuden perusteella merkintää.

Menettelyä valvovat sisäasiainministeriön poliisiosasto, tietosuojavaltuutettu sekä laillisuusvalvontaviranomaiset. Tietosuojavaltuutetulla on oikeus tutustua turvallisuusselvitykseen sen lainmukaisuuden tarkastamiseksi.

Turvallisuusselvitysten hakemisesta on erityissäännöksiä muun muassa Pelastusopistosta annetussa laissa (607/2006) ja ilmailulaissa (1194/2009). Tietojen luovutus turvallisuusselvitysten tekemistä varten perustuu myös turvallisuusselvityksistä annetun lain ulkopuolisiin säädöksiin. Näistä esimerkkeinä voidaan mainita ulkomaalaisrekisterilaki (1270/1997) sekä laki liiketoimintakiellosta (1059/1985).

Henkilöstöstä aiheutuvia riskejä voidaan vähentää tekemällä virkamiestä tai työntekijää valittaessa erilaisia työhön valittavaa koskevia turvallisuusselvityksiä. Valtionhallinnossa uutta virkaa täytettäessä perustietoina käytettävissä ovat nimikirjasta ilmenevät tiedot. Nimikirjalain (1010/1989) 4 §:n 2 momentin 2 kohdan mukaan nimikirjaan on talletettava tieto kurinpitorangaistuksesta, tuomioistuimen virkarikoksesta tai sotilasvirkarikoksesta rikoslain 40 luvun mukaan tuomitsema rangaistus sekä tuomioistuimen muusta rikoksesta tuomitsema vankeusrangaistus, jos rangaistus on tuomittu virkamiehelle tai jos rikos on tehty tuomitun ollessa virkasuhteessa valtioon. Tuomioistuimen velvollisuudesta ilmoittaa eräistä ratkaisuistaan annetun lain (373/2010) mukaan tuomioistuimen, joka on tuominnut valtion virkamiehen tai kunnallisen viranhaltijan rikoksesta, on ilmoitettava ratkaisustaan lähettämällä siitä jäljennös sille viranomaiselle, jonka alainen virkamies tai viranhaltija on.

Rikosrekisterilain (770/1993) 1 §:n 2 momentin mukaan rikosrekisterin tietoja voidaan luovuttaa käytettäväksi myös henkilön luotettavuuden tai henkilökohtaisen soveltuvuuden selvittämisessä ja arvioinnissa. Rikosrekisterin tiedot ovat salassa pidettäviä. Niitä voidaan salassapitovelvollisuuden estämättä kuitenkin luovuttaa paitsi turvallisuusselvityksen tekemistä varten, myös sellaisen viranomaisen lupaa tai hyväksyntää varten, jonka edellytyksenä on henkilön luotettavuus. Samoin tietoja voidaan luovuttaa, kun kysymys on henkilön valinnasta koulutukseen tai tehtävään, joka liittyy valtion turvallisuuteen, yleiseen järjestykseen ja turvallisuuteen, ulkoasiainhallintoon, Suomen kansainvälisiin suhteisiin, oikeushallintoon, keskuspankkitoimintaan tai rahanvalmistukseen ja jossa edellytetään henkilön erityistä luotettavuutta. Oikeusministeriö voi painavista syistä antaa luvan tietojen luovuttamiseen rikosrekisteristä viranomaiselle henkilön luotettavuuden selvittämistä ja arviointia varten muussakin kuin edellä kuvatuissa tilanteissa (4 a §).

Rikosrekisteriä käytetään myös lasten kanssa työskentelevien taustan selvittämiseksi. Tässä menettelyssä taustan selvittäminen ei liity tietoturvallisuuteen, vaan lasten suojaamiseen. Henkilö itse voi rikosrekisterilain 6 §:n mukaan saada rikosrekisteristä otteen voidakseen ryhtyä sellaiseen tehtävään, johon pysyväisluontoisesti ja olennaisesti kuuluu työskentelyä alaikäisten parissa ja jossa ote on lasten kanssa työskentelevien rikostaustan selvittämisestä annetun lain (504/2002) mukaan toimitettava työnantajalle tai viranomaiselle.

Henkilötietojen käsittelystä poliisitoimessa annetun lain 16 §:n mukaan poliisilla on oikeus käyttää poliisin henkilörekisterin tietoja muuhun kuin niiden keräämis- ja tallettamistarkoitusta vastaavaan tarkoitukseen, jos tiedot ovat tarpeen päätettäessä tai annettaessa lausuntoa luvan myöntämisestä tai voimassaolosta, jos luvan myöntämisen tai voimassaolon edellytykseksi on säädetty luvanhakijan tai luvanhaltijan luotettavuus, sopivuus tai muu sellainen ominaisuus, jonka arvioiminen edellyttää luvanhakijan tai luvanhaltijan terveydentilaan, päihteiden käyttöön, rikokseen syyllistymiseen tai väkivaltaiseen käyttäytymiseen liittyviä tietoja. Tässä yhteydessä ei kuitenkaan saa käyttää epäiltyjen tietojärjestelmän tietoja. Säännösten soveltaminen edellyttää, että poliisille on muussa laissa säädetty tehtäväksi kyseiset tehtävät ja että tässä yhteydessä on edellytetty luvan saajan luotettavuutta. Tällaisista muussa laissa olevista säännöksistä voidaan esimerkkinä mainita yksityisistä turvallisuuspalveluista annettu laki (282/2002), jonka mukaan vartioimisliikeluvan myöntämisen edellytyksenä on, että luvan hakija tunnetaan rehelliseksi ja henkilökohtaisilta ominaisuuksiltaan tehtävään sopivaksi. Ampuma-aselain (1/1998) 26 §:n mukaan asealalla harjoitettavasta elinkeinotoiminnasta vastaavan henkilön hyväksynnän edellytyksenä on muun ohella, että henkilö on luotettava ja asealan elinkeinon harjoittamiseen sopivana pidettävä henkilö.

Turvallisuusselvityksiä voidaan tehdä myös yksityisyyden suojasta työelämässä annetun lain (759/2004) osoittamissa tapauksissa ja tavalla. Laissa on säännökset henkilöarvioinneista sekä huumetestejä koskevan todistuksen esittämisestä sekä niistä tilanteista, joissa työnantaja voi hankkia työnhakijaa koskevat luottotiedot.

Yksityissektorin vastuuhenkilöitä koskevista vaatimuksista on joitakin erityissäännöksiä. Näistä esimerkkinä voidaan mainita luottotietolain (527/2007) 9 §:ssä säädetyt luottotietotoiminnan harjoittajan johtoa ja henkilöstöä koskevat vaatimukset. Luottotietotoimintaa harjoittavan yrityksen hallituksen jäsenten ja varajäsenten sekä toimitusjohtajan ja toimitusjohtajan sijaisen on oltava luotettavia henkilöitä, jotka eivät ole konkurssissa, joiden toimintakelpoisuutta ei ole rajoitettu ja joita koskevia liiketoimintakieltoja ei ole merkitty viranomaisen rekisteriin tai luottotietorekisteriin. Luotettavuusvaatimus ei täyty, jos mainittu henkilö on lainvoiman saaneella tuomiolla viiden viimeisen vuoden aikana tuomittu vankeusrangaistukseen tai kolmen viimeisen vuoden aikana sakkorangaistukseen rikoksesta, jonka voidaan katsoa osoittavan hänen olevan ilmeisen sopimaton luottotietotoimintaa harjoittavan yrityksen hallituksen jäseneksi tai varajäseneksi taikka toimitusjohtajaksi tai toimitusjohtajan sijaiseksi. Vastaavankaltaisia säännöksiä ovat esim. luottolaitostoiminnasta annetun lain 40 § (929/2007), rahoitus- ja vakuutusyhtiöiden valvonnasta annetun lain (699/2004) 14 §, sijoituspalveluyrityksistä annetun lain (922/2007) 43 § sekä kiinteistönvälitysliikkeistä ja vuokrahuoneiston välitysliikkeistä annetun lain (1075/2000) 5 §.

Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukaan henkilöturvallisuusselvitykset tehdään turvallisuusselvityksistä annetun lain mukaisesti. Turvallisuusselvitys voidaan kuitenkin tehdä suppeana myös silloin, kun se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi (11 § 1 mom.). Turvallisuusselvityksen tekee pääesikunta silloin, kun kyse on puolustushallinnon tai puolustushankintoja koskevan kansainvälisen velvoitteen toteuttamisesta. Muissa tapauksissa suojelupoliisi huolehtisi henkilöturvallisuusselvityksistä (11 § 2 mom.).

Henkilön luotettavuuden arvioinnin tekee turvallisuusselvityksen perusteella kansallinen turvallisuusviranomainen tai, jos niin on sovittu, tehtävään määrätty turvallisuusviranomainen (11 § 3 mom.). Arvioinnin perusteella annetaan henkilöturvallisuutta koskeva todistus (Personal Security Clearance; PSC).

Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 12 § sisältää säännökset yhteisöturvallisuusselvityksistä. Toimivalta suojelupoliisin ja pääesikunnan välillä jakaantuu samalla tavalla kuin henkilöturvallisuusselvityksissä. Selvitystä ja arviota laadittaessa on otettava huomioon, miten suojataan turvallisuusluokitellut tiedot oikeudettomalta ilmitulolta, muuttamiselta tai hävittämiseltä, miten estetään asiaton pääsy tiloihin, joissa turvallisuusluokiteltuja tietoja käsitellään tai joissa harjoitetaan turvallisuusluokitellussa sopimuksessa tarkoitettua toimintaa, ja miten henkilöstön ohjauksesta ja koulutuksesta huolehditaan.

Suojelupoliisi ja pääesikunta voivat toimialaansa kuuluvassa asiassa laatia yhteisöturvallisuusselvityksen ja arvion, jos elinkeinonharjoittaja on pyytänyt sitä voidakseen osallistua toisen valtion viranomaisen tai siinä kotipaikkaansa pitävän yrityksen järjestämään tarjouskilpailuun.

Viestintävirasto laatii tarvittaessa osana yhteisöturvallisuusselvitystä selvityksen ja arvion siitä, täyttävätkö elinkeinonharjoittajan tietojärjestelmät ja tietoliikenteen järjestelyt kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset.

Yhteisöturvallisuusselvitys voidaan tehdä myös osittaisena, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi. Jos selvitys ja arviointi koskevat yksinomaan tietojärjestelmien tai tietoliikennejärjestelyjen turvallisuutta, selvityksen ja arvioinnin laatii sekä sen pohjalta annettavan todistuksen antaa Viestintävirasto.

Määrätyt turvallisuusviranomaiset voivat toimialaansa kuuluvaa yhteisöturvallisuusselvitystä ja sen perusteella annettavaa arviota laatiessaan edellyttää, että elinkeinonharjoittaja sitoutuu huolehtimaan kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisista toimenpiteistä.

Sitoumuksessa voidaan yksityiskohtaisemmin määritellä ne toimenpiteet, jotka elinkeinonharjoittaja toteuttaa täyttääkseen kansainvälisistä tietoturvallisuusvelvoitteista johtuvat vaatimukset.

Yhteisöturvallisuusselvityksen ja mahdollisen sitoumuksen antamisen jälkeen toimivaltainen viranomainen voi tehdä arvion elinkeinonharjoittajan luotettavuudesta ja antaa tätä koskevan turvallisuustodistuksen (Facility Security Clearance; FSC).

Julkisista puolustus- ja turvallisuushankinnoista annettua lakia (1531/2011) säädettäessä muutettiin lakia kansainvälisistä tietoturvallisuusvelvoitteista siten, että yhteisöturvallisuusselvitys voidaan laatia myös suomalaisen viranomaisen puolustus- ja turvallisuushankinnoissa.

Käytäntö

Lain ensimmäisenä kokonaisena voimassaolovuotena tehtiin suojelupoliisissa 4 678 ja pääesikunnassa 11 309 turvallisuusselvitystä, vuonna 2008 laadittuja selvityksiä oli suojelupoliisissa 9 958 ja pääesikunnassa 14 341. Vuonna 2011 suojelupoliisi teki jo 16 283 ja pääesikunta 18 641 turvallisuusselvitystä. Paikallispoliisi teki vuonna 2003 10 580 suppeaa turvallisuusselvitystä ja vuonna 2008 34 070 suppeaa turvallisuusselvitystä.

Turvallisuusselvitysten vähäinen määrä 2000-luvun alkuvuosina johtuu osittain siitä, että yritysten ja viranomaisten hakeutuminen eri poliisilaitosten turvallisuusselvitysmenettelyn piiriin kesti aikansa. Kasvuun on vaikuttanut myös yhteiskunnan vahva ja pitkä taloudellinen nousukausi sekä yleisen turvallisuustietoisuuden parantuminen.

Laajoja turvallisuusselvityksiä on tehnyt vain suojelupoliisi. Vuonna 2008 tehtiin 37 laajaa turvallisuusselvitystä ja vuonna 2011 83. Laaja turvallisuusselvitys voidaan tehdä vain ensimmäiseen turvallisuusluokkaan kuuluvasta tehtävästä, jossa henkilöllä on muuten kuin satunnaisesti pääsy vähäistä suurempaan määrään laissa tarkemmin määriteltyihin salassa pidettäviin tietoihin. Ensimmäisen ja toisen turvallisuusluokan tehtävät on lisäksi määriteltävä tarkemmin hallinnonalan ministeriön päätöksessä.

Laajan turvallisuusselvityksen käyttö ensimmäisen turvallisuusluokan tehtävien täyttämisessä on perusteltua, koska tässä yhteydessä pystytään tarkastelemaan myös henkilön taloudellisia olosuhteita sekä tekemään tarpeen mukaan perusmuotoinen turvallisuusselvitys henkilön läheisestä. Laajoja turvallisuusselvityksiä tehdään kuitenkin suhteellisen vähän sen mahdollinen käyttöala huomioon ottaen. Syynä tähän saattaa olla, että menettelyyn hakeutumista on pidetty raskaana.

Kaikista suojelupoliisin vuonna 2008 tekemistä turvallisuusselvityksistä 1,6 %:a on sisältänyt suojelupoliisin mielestä sellaista merkityksellistä tietoa, joka on ollut välttämättä tarpeen ilmoittaa turvallisuusselvityksen hakijalle eli useimmiten rekrytoijalle. Vastaavat osuus pääesikunnan laatimista selvityksistä oli 2,9 %:a. Merkityksellistä tietoa on suojelupoliisissa katsottu vuonna 2010 olleen noin 2,2 %:ssa tapauksia ja pääesikunnassa 3,86 %:ssa tapauksia.

Viranomaisen harkinnan perusteena ovat yksittäisessä turvallisuusselvityksessä kulloinkin suojattavan edun merkitys ja haavoittuvuus sekä toisaalta esille tulleeseen tekoon liittyvät yksilölliset olosuhteet, sen juridiset seuraamukset sekä tapahtumasta kulunut aika.

Työhönoton kannalta merkittäväksi arvioitu tieto annetaan hakijalle aina kirjallisesti. Turvallisuusselvitys, jossa ei ole tullut esille merkittävää tietoa, annetaan hakijalle tiedoksi puhelimitse.

Merkittävän tiedon antaminen kirjallisessa muodossa on tärkeää muun ohella siksi, että selvityksen kohteen tiedonsaantioikeus on tällöin helpointa toteuttaa. Tiedonsaantioikeuden käyttö edellyttää tapaamista henkilöllisyyden varmistamiseksi. Tapaamisessa selvityksen kohteelle selostetaan turvallisuusselvitysmenettelyä, suojelupoliisin ratkaisun perusteita sekä luovutetaan tieto hänestä tehdystä turvallisuusselvityksestä. Tiedonsaantioikeuden käyttäjiä on vuosittain ollut suojelupoliisissa 10—30. Mahdollisuus tiedonsaantiin, laissa määritellyt poikkeukset huomioon otettuinakin, on erittäin tärkeää arvioitaessa turvallisuusselvitysmenettelyn yleistä hyväksyttävyyttä. Menettelyn hyväksyttävyydelle on tärkeää myös tietosuojavaltuutetun ja muiden laillisuusvalvojien suorittama valvonta, joka on ollut aktiivista.

Tutkimustietoa siitä, minkälainen vaikuttavuus turvallisuusselvityksistä saadulla tiedolla on ollut rekrytointiprosessissa, ei ole. Oletettavaa kuitenkin on, että tiedolla on useimmiten merkitystä, koska turvallisuusselvityksistä annettu laki velvoittaa turvallisuusselvityksistä vastaavan viranomaisen harkitsemaan turvallisuusselvityksen tekemisen yhteydessä esille tulleen tiedon merkitystä.

Suojelupoliisi on hyväksynyt turvallisuusselvitysmenettelyn piiriin noin 100 viranomaista ja noin 100 yhteisöä. Viranomaisille tehdään hieman enemmän turvallisuusselvityksiä kuin yhteisöille. Hakeutumisesta säädetään sisäasiainministeriön asetuksessa turvallisuusselvitysten hakemismenettelystä. Hakeminen tapahtuu perusmuotoisten turvallisuusselvitysten ollessa kysymyksessä hakijan suojelupoliisille antamalla kirjallisella selvityksellä. Selvityksessä on keskeistä kertoa, mitä lain tarkoittamaa suojattavaa etua hakija hallinnoi, miten tätä etua on muuten suojattu sekä missä tehtävissä suojattavaa etua voi käytännössä vaarantaa.

Turvallisuusselvityksen tekemisestä päättää voimassaolevan lain mukaan pääesikunta silloin kun selvityksen hakija kuuluu puolustushallinnon alaan. Pääesikunnassa tehtäviä hoitaa tutkintaosasto. Puolustushallinnon alaan kuuluvia turvallisuusselvityksen hakijoita ovat käytännössä lähinnä puolustusministeriö, puolustusvoimat sekä puolustushallinnon rakennuslaitos.

Pääesikunnan käytännössä on noudatettu tiukkaa käyttötarkoitussidonnaisuutta. Tämä on johtanut siihen, että samasta henkilöstä on voitu saman vuoden aikana laatia kahdeksankin eri turvallisuusselvitystä.

EU:n lainsäädäntö ja kansainväliset sopimukset

Kansainväliset tietoturvallisuutta koskevat velvoitteet on määritelty kussakin kansainvälisessä järjestössä erikseen. Yleisimmistä tietoturvallisuuden kehittämisperiaatteiden määrittelyä koskevista kansainvälisistä asiakirjoista voidaan mainita Taloudellisen yhteistyön ja kehityksen järjestön (OECD) tietoturvallisuusperiaatteet vuodelta 1992.

Euroopan unionin neuvoston turvallisuussäännöt (2011/292/EU: Neuvoston päätös, tehty 31 päivänä maaliskuuta 2011, turvallisuussäännöistä EU:n turvallisuusluokiteltujen tietojen suojaamiseksi) luovat perustan EU:n turvallisuusluokitellun tiedon suojaamiseksi.

Päätös sisältää säännökset muun muassa asiakirjojen turvallisuusluokittelusta, turvallisuusluokiteltujen tietojen suojaamisesta ja turvallisuusriskien hallinnasta ja henkilöstöturvallisuudesta. Liitteessä on henkilöstöturvallisuutta koskevat yksityiskohtaisemmat määräykset.

Jäsenmaiden henkilöstön tulee olla asianmukaisesti turvallisuustarkastettu kansallisen lainsäädännön mukaisesti, ennen kuin heille voidaan myöntää oikeus unionin turvallisuusluokiteltuun tietoon luokkaan CONFIDENTIEL UE (EU LUOTTAMUKSELLINEN) ja sitä korkeampiin luokkiin. Säännöissä määritellään yritysturvallisuutta koskevat menettelyt annettaessa turvallisuusluokiteltua tietoa yrityksille, olivatpa nämä pääsopijapuolia tai alihankkijoita. Kansalliset turvallisuusviranomaiset varmistavat, että maidensa yritykset toimivat vähimmäisvaatimusten mukaisesti. Mikäli hankkeen turvallisuusluokka on vähintään LUOTTAMUKSELLINEN, yrityksestä pyydetään turvallisuustodistus (FSC, Facility Security Clearance).

Komissiolla, Euroopan ulkosuhdehallinnolla ja joillakin EU:n erillisvirastoilla on omat neuvoston turvallisuussääntöjä vastaavat turvallisuussääntönsä.

Neuvostossa kokoontuneiden EU:n jäsenvaltioiden välisen EU:n edun vuoksi vaihdettujen turvallisuusluokiteltujen tietojen suojaamisesta koskevan sopimuksen (hallitustenvälinen sopimus) tarkoituksena on sitouttaa jäsenvaltiot neuvoston turvallisuussääntöjen noudattamiseen. Sopimuksella pyritään luomaan yhdenmukaiset ja kattavat puitteet turvallisuusluokiteltujen tietojen suojaamiseksi.

Sopimuksessa edellytetään, että jäsenvaltiot toteuttavat kaikki kansallisten lakiensa ja asetustensa mukaiset toimenpiteet varmistaakseen, että sopimuksen soveltamisalaan kuuluvan turvallisuusluokitellun tiedon taso on vastaavanlainen kuin se, jota neuvoston uudet turvallisuussäännöt edellyttävät. Sopimuksen tavoitteena on näin lisätä EU:n turvallisuusluokitellun tiedon sekä EU:n kolmansilta mailta vastaanottaman tiedon suojaa jäsenvaltioissa. Tavoitteena on luoda järjestelmä EU:n edun vuoksi vaihdettavan kansallisen turvallisuusluokitellun tiedon suojaamiseksi silloin, kun jäsenvaltiot eivät ole tehneet kahdenvälistä tietoturvallisuussopimusta.

Sopimuksella ei ole tarkoitus puuttua jäsenvaltioiden kansallisiin lakeihin ja asetuksiin, jotka koskevat jäsenvaltioiden kansallisen turvallisuusluokitellun tiedon suojaamista. Sopimus ei millään tavoin estä soveltamasta osapuolten kansallisia lakeja ja asetuksia, jotka koskevat asiakirjojen julkista saatavuutta, henkilötietojen suojaa tai turvallisuusluokiteltujen tietojen suojaamista (3 artikla 2 kohta). Sopimuksen hyväksymiseksi tarvittavat lainsäädäntötoimet on toteutettu Suomessa (Laki Euroopan unionin edun vuoksi vaihdettujen turvallisuusluokiteltujen tietojen suojaamisesta neuvostossa kokoontuneiden Euroopan unionin jäsenvaltioiden välillä tehdyn sopimuksen lainsäädännön alaan kuuluvien määräysten voimaansaattamisesta; 224/2012).

Sotilaallinen yhteistyö on perinteisesti ollut se yhteistyön muoto, jonka puitteissa käsitellään salaista aineistoa. Pohjois-Atlantin liitolla (NATO) onkin varsin tarkat ja yksityiskohtaiset tietoturvallisuusmääräykset. Puolustushallinto on tehnyt kahdenkeskisiä, lähinnä kansainvälisiksi hallintosopimuksiksi luonnehdittavissa olevia sopimuksia eräiden maiden puolustushallintojen kanssa tietojenvaihdosta ja siinä toteutettavista turvallisuustoimenpiteistä.

Kansainvälisillä tietoturvallisuusvelvoitteilla on puolustusalan ja poliisihallinnon lisäksi kasvava merkitys myös taloudellisen, teollisen ja teknologisen yhteistyön kannalta. Tietoturvallisuustarpeiden painottumista enenevässä määrin myös taloudelliseen toimintaan ilmentää Suomen ja Euroopan Avaruusjärjestön (ESA) välinen yhteistyösopimus, jäljempänä ESA:n tietoturvallisuussopimus, vuodelta 2004 (SopS 94 ja 95/2004).

Pyrkimyksistä huolimatta ei kuitenkaan ole osoittautunut mahdolliseksi toteuttaa tietoturvallisuusalan monenkeskistä yleissopimusta. Pääasiallinen syy tähän ovat kansallisten säännösten ja hallintokäytäntöjen erot, mutta myös sopivan yhteistyöelimen puuttuminen. Yleissopimuksen puuttuminen on siten pakottanut valtiot etsimään kahdenvälisiä sopimusratkaisuja. Suomi on tehnyt ensimmäisen kahdenvälisen tietoturvallisuussopimuksensa Saksan liittotasavallan kanssa vuonna 2004. Sopimus tuli voimaan 16 päivänä heinäkuuta 2004 (SopS 96 ja 97/2004). Vuotta myöhemmin allekirjoitettiin Suomen ja Ranskan välinen sopimus, joka puolestaan tuli voimaan 1 päivänä elokuuta 2005 (SopS 66 ja 67/2005). Vastaavia sopimuksia on tehty muun muassa Slovakian (SopS 116 ja 117/2007), Viron (SopS 12 ja 13/2008), Italian (SopS 23 ja 24/ 2008), Latvian (SopS 33 ja 34/2008), Puolan (SopS 46 ja 47/2008), Bulgarian (Sops 116 ja 117/2008), Slovenian (SopS 22 ja 23/2009), Taekin (SopS 53 ja 54/2009) ja Espanjan (SopS 38/2010) kanssa. Pohjoismaiden välillä tehty sopimus (Sops 128 ja 129/2010) on esimerkki tietoturvallisuusalan monenkeskisestä sopimuksesta.

Lainsäädäntö eräissä maissa

Ruotsissa henkilöstöturvallisuudesta on voimassa erityislaki säkerhetsskyddslag (SFS 1996:627) sekä asetus säkerhetskyddsförordning (1996:633). Lakia sovelletaan valtioon, aluehallintoon ja kuntiin sekä osittain seurakuntiin ja valtiopäiviin sekä sellaisiin yksityisoikeudellisiin yhteisöihin, joissa julkisella vallalla on tosiasiallinen määräysvalta.

Lain tarkoituksena on suojata valtion turvallisuutta erityisesti terrorismilta. Turvallisuuteen kuuluu suoja vakoilulta ja tuhotöiltä sekä valtion turvallisuuden kannalta tärkeiden tietojen suoja. Siihen kuuluu myös suoja terrorismilta silloinkin, kun terrorismiksi määritellyt poliittisesti motivoidut teot eivät uhkaisikaan suoranaisesti valtion turvallisuutta.

Lain soveltamisalalla tavoiteltava turvallisuustaso arvioidaan tarpeen perusteella. Tarvearviointi suoritetaan suhteessa toiminnan laatuun, laajuuteen ja muihin seikkoihin. Erityisesti laissa on korostettu, että toimintojen turvallisuutta järjestettäessä tulee ottaa huomioon oikeus saada tieto yleisistä asiakirjoista.

Turvallisuustoimet on jaoteltu kolmeen ryhmään. Tietoturvallisuudella tarkoitetaan suojattujen tietojen suojaa tietojenkäsittelyssä. Kulkurajoituksilla estetään asiattomien pääsy sellaisiin tiloihin, joissa he voisivat päästä käsiksi suojattuihin tietoihin. Kolmantena on turvallisuusselvitys, jolla on tarkoitus estää sopimattomien henkilöiden osallistuminen valtion turvallisuuden kannalta tärkeisiin toimiin. Suurin osa laista sääteleekin turvallisuusselvityksiä.

Selvitysten laatimisesta vastaa turvallisuuspoliisi. Selvityksen edellytyksenä on selvitettävän suostumus ja sen tietopohjana käytetään viranomaisen rekistereitä, kuten rikosrekisteriä ja poliisin rekistereitä siltä osin kuin asiat on otettu tutkintaan. Selvityksen laajuus riippuu turvallisuusluokituksen tasosta, korkeimmalla tasolla selvitään myös perheenjäsenten tiedot. Turvallisuusselvitys tehdään lähes aina, kun edellytetään tiettyä turvallisuusluokitusta, joita on käytössä kolme. Ensimmäisessä ja toisessa turvallisuusluokassa uusi selvitys tehdään viiden vuoden välein tai kun se, josta selvitys on tehty, solmii avioliiton tai alkaa elää avoliitossa.

Terrorismilta suojautumisen vuoksi selvitys voidaan tehdä myös siviililentokentillä työskenteleville. Tästä on säädetty asetuksella. Yksityisistä henkilöistä tehdään selvitys myös silloin, kun yksityinen yritys saa valtion kanssa tehdyn sopimuksen perusteella haltuunsa salassa pidettäviä tietoja. Tällöin selvityksistä ja niiden laajuudesta sovitaan yrityksen kanssa. Erityinen rekisterilautakunta päättää, onko selvityksessä saatuja tietoja ja missä laajuudessa syytä luovuttaa työnantajalle.

Pyynnön selvityksen tekemiseen voi tehdä myös toinen valtio tai kansainvälinen järjestö, jolloin hallitus harkitsee selvityksen tekemisen tapauskohtaisesti.

Norjassa henkilöstön turvallisuutta sääntelevä laki on Lov om forebyggende sikkerhetstjeneste (1998—03—20 nro 10). Lain tarkoituksena on suojata valtiota kansallisia turvallisuusetuja vaarantavilta uhkilta. Laki koskee valtion viranomaisia ja kunnan toimielimiä sekä niitä yksityisiä, jotka ovat sopimussuhteessa valtion tai kunnan kanssa. Laki ei koske suurkäräjiä. Kuninkaan päätöksellä lakia voidaan soveltaa myös sellaiseen yksityisoikeudelliseen tahoon, joka huolehtii turvallisuusedulla tarkoitetusta toiminnosta. Selvityksen tekee turvallisuuspoliisi, jollei toisin säädetä.

Turvallisuusselvitys tehdään henkilöstä, jolla on pääsy suojattuun tietoon. Suojeltavalla tiedolla tarkoitetaan laissa määriteltyä tietoa, joka luokitellaan neliportaisen luokittelun avulla. Turvallisuusselvitys tarkoittaa henkilöntutkintaa, joka tehdään henkilöstä, joka on oikeutettu kolmen ylimmän turvallisuusluokan tietoon. Kahdessa ylimmässä luokassa selvitys tehdään myös henkilön lähipiiristä. Tietopohjana käytetään valtionhallinnon rekistereitä. Hallituksen asetuksella säädetään relevanteista rekistereistä. Myös selvityksen hakijalla on velvollisuus toimittaa selvityksen kannalta olennainen aineisto. Aineistona voidaan käyttää myös lausuntoja. Erikseen on kielletty ottamasta selvityksessä huomioon henkilön poliittista kantaa. Turvallisuusselvityksen perusteella annettavan ratkaisun tulee perustua kokonaisarviointiin.

Tanskassa turvallisuusselvityksistä ei ole säädetty erikseen lailla, vaan sääntely perustuu pääministerin kanslian antamaan kiertokirjeeseen. Suojelun kohteina ovat tällä hetkellä turvallisuusintressien ja erityisesti NATO-jäsenyyden kannalta tärkeät tiedot. Turvallisuusselvityksen tekee kansallinen turvallisuusviranomainen. Sääntelyn kohteina ovat viranomaisten lisäksi myös valtion kanssa sopimussuhteessa olevat yritykset, jos nämä saavat käyttöönsä turvallisuusluokiteltua tietoa.

Turvallisuusluokituksia on neljä ja lisäksi sovelletaan NATO:n turvallisuusluokituksista annettuja ohjeita. Selvityksen tekeminen edellyttää selvitettävän suostumusta ja ylimmissä turvallisuusluokissa voidaan selvittää myös lähiomaisten tiedot. Tällöin edellytetään myös kyseisten lähiomaisten suostumusta. Tietopohjana käytetään viranomaisen rekistereitä ja korkeammissa luokituksissa esimerkiksi aikaisempia työnantajia. Ylimmällä tasolla selvityksen kohde myös haastatellaan. Harkinnan mukaan turvallisuusselvityksen kohteelle voidaan antaa tietoja selvityksessä esiin tulleista asioista.

Saksassa turvallisuusselvityksen tekemisestä on säädetty lailla (Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes). Saksassa on myös eritelty yritysturvallisuus erikseen ja siitä on annettu erillinen käsikirja (GHB). Yritysturvallisuuden tarkastuksen tekevät yrityksen toimihenkilöt, jotka ovat vastuuviranomaisen kouluttamia. Turvallisuusselvitysten tekemistä valvoo Bundesministerium für Wirtschaft und Technologie. Turvallisuusluokituksissa ja -selvityksissä noudatetaan „tarpeellista tietää“ -periaatetta. Turvallisuusselvityksen tekeminen edellyttää suostumusta. Alimmalla tasolla selvitys on voimassa kymmenen vuotta, ylimmillä viisi ja yrityksen turvallisuusvastaavan on raportoitava ministeriölle, jos joku henkilö ei enää tarvitse luokitusta.

Turvallisuusselvitykset ovat laajuudeltaan kolmea eri tasoa ja taso määräytyy suojattavan tiedon turvallisuusluokasta. Alimmalla tasolla selvitys on voimassa kymmenen vuotta ja ylimmillä viisi. Kahdessa laajimmassa turvallisuusselvitystyypissä selvitetään myös lähiomaisten tiedot. Kaikissa on pohjana henkilön itsensä antama selvitys turvallisuuden kannalta merkittävistä asioista. Muuten kaikissa selvityksissä käytetään liittovaltion keskusrekisterin, liittovaltion rikosviraston, liittovaltion rajaviranomaisten ja liittovaltion tiedusteluviranomaisten tietoja. Kahdessa laajemmassa selvityksessä käytetään myös paikallisviranomaisten tietoja ja kaikkein laajimmassa selvityksessä pyydetään lausuntoja selvityksen kohteen nimeämiltä henkilöiltä.

Alankomaissa on erityislaki turvallisuuspalvelu AIVD:n tekemästä turvallisuusselvityksestä. Turvallisuusselvitys on tehtävä sellaisista henkilöistä, jotka pääsevät käsiksi valtion turvallisuuden kannalta merkittäviin tietoihin. Kukin ministeriö päättää omalla alallaan niistä viroista, jotka edellyttävät turvallisuusselvitystä. Sisäasianministeriö koordinoi, ettei selvitysten teettämisessä tehdä suuria poikkeamia. Selvityksen ehtona on kohteen suostumus ja kohteelle on selvitettävä, mitä tietoja hänestä tullaan keräämään ja mihin tarkoitukseen. Pääsääntöisesti selvitys tehdään työnhaun yhteydessä ja se voidaan tehdä myös toisen valtion tai kansainvälisen järjestön pyynnöstä.

Turvallisuusluokituksia on käytössä neljä ja turvallisuusselvitys on uusittava keskimäärin viiden vuoden välein. Tietopohjana käytetään oikeudellisia rekistereitä, etenkin rikosrekisteriä. Arvioinnista laissa säädetään, että huomioon otetaan osallistuminen valtion turvallisuutta vaarantavaan toimintaan tai tällaisen toiminnan tukeminen, jäsenyys turvallisuutta uhkaavassa järjestössä tai sellainen henkilökohtainen taipumus tai ominaisuus, joka todennäköisesti estää selviytymästä turvallisuusluokitellusta tehtävästä.

Isossa-Britanniassa vastuu sääntelystä on pääministerin kanslialla ja ohjeistuksena toimii turvallisuuskäsikirja (MPS). Luokittelussa henkilöt on eroteltu britteihin, liittolaisiin (USA ja Kanada) ja brittiläisen kansanyhteisön jäsenmaiden asukkaisiin sekä muihin. Luokiteltuna ovat erikseen suojeltavat tiedot, suojeltavat paikat ja sellaiset tehtävät, jotka edellyttävät turvallisuusselvityksen tekemistä. Turvallisuusluokkia on neljä ja erikseen on erityiset koodisanat, joilla sallittuun turvallisuusluokkaan kuuluva voidaan sulkea tiedon, paikan tai tehtävän ulkopuolelle.

Alimmalla tasolla selvityksen tietopohjana käytetään selvityksen kohteen antamaa lausuntoa. Seuraavilla tasoilla selvitetään rikosrekisteri- ja luottotiedot. Kahdella ylimmällä tasolla selvityksen kohde haastatellaan ja suoritetaan psykologinen arviointi sekä pyydetään lausunnot suosittelijoilta. Alimmilla tasoilla turvallisuusselvitys on voimassa viidestä kymmeneen vuotta ja ylimmällä tasolla kahdeksantoista kuukautta.

Tshekeissä turvallisuusselvityksistä on annettu laki vuonna 2005. Laki on hyvin yksityiskohtainen ja pyrkii kattamaan kaikki mahdolliset turvallisuusselvityksiin liittyvät kysymykset joko sisällyttämällä ne lakiin tai sulkemalla siitä pois tiettyjä asioita. Turvallisuusselvitysten tekemisestä vastaa Tshekissä tiedustelu- ja turvallisuuspalvelu.

Erilaisia turvallisuusluokituksia on käytössä neljä ja luokittelu on liitetty tiedon vahingonedellytyslausekkeeseen. Mitä suuremman vaaran tieto aiheuttaa kansalliselle turvallisuudelle, sitä korkeampaa luokitusta käytetään. Kansallisen turvallisuuden lisäksi laissa säädetään yritysturvallisuudesta, fyysisestä turvallisuudesta ja henkilöstöturvallisuudesta. Laissa säädetään myös tietoliikennevälineistä, salauksista ja kryptografian käytöstä salaisen tiedon käsittelyssä.

Turvallisuusselvitysten tietopohjana käytetään julkisia rekistereitä. Alimman tason luokituksessa tarkastetaan vain rikosrekisteri. Kahdella ylimmällä tasolla käytetään hakijan toimittamia, laissa määriteltyjä asiakirjoja ja julkisia rekistereitä sekä selvitetään hakijan elämäntavat ja toiminta siitä lähtien kun hakija on täyttänyt viisitoista vuotta. Erityisesti henkilöturvallisuuden osalta sääntely on erittäin yksityiskohtaista. Turvallisuusselvityksen perusteella annettu turvallisuusluokitus on voimassa viidestä kahteentoista vuoteen.

Virossa turvallisuusselvityksistä säädetään laissa valtiosalaisuuksista ja vieraiden valtioiden luokitellusta tiedosta. Käytössä on neljä eri turvallisuusluokkaa ja laissa säädetään turvallisuusselvityksen lisäksi myös tiedon luokittelemisesta ja luokiteltujen tietojen käytöstä. Turvallisuusselvitysten tekemisestä vastaa turvallisuuspalvelu. Alimmilla luokitustasoilla turvallisuusselvitys on voimassa viisi ja ylemmillä seitsemän vuotta. Voimassaoloon myönnetään hakemuksesta lisäaikaa.

Lähtökohtana laissa on säännellä tilanteita, joissa viranomainen ei saa myöntää haetulle turvallisuusluokitustasolle turvallisuusselvitystä tai jatkaa jo myönnetyn turvallisuusselvityksen voimassaoloaikaa. Perusteita olla myöntämättä tai jatkamatta turvallisuusselvitystä ovat automaattisesti se, ettei henkilön ole tarpeen tietää kyseisen luokituksen tasoisia tietoja, henkilö on vajaavaltainen, henkilö työskentelee toisen maan tiedustelupalvelulle, henkilö on työskennellyt Viroa miehittäneen valtion sotilas- tai turvallisuuspalvelussa, henkilö on kärsimässä vankeusrangaistusta, henkilö on tuomittu valtiorikoksista tai rikoksista ihmisyyttä vastaan tai henkilö on aiemmin toiminut vastoin tämän lain säännöksiä.

Viranomaisen harkintavallassa olevia perusteita olla myöntämättä tai jatkamatta turvallisuusselvitystä ovat, että henkilö toimii Viron perustuslaillista järjestystä väkivaltaisesti muuttamaan pyrkivässä järjestössä, henkilö on toiminut vastoin Viron valtiota tai kansallista turvallisuutta, henkilö on ollut rikosprosessissa syytettynä tai epäiltynä, henkilö on saanut huomautuksia tahallisista tietoturvarikkomuksista, henkilöä on epäilty tehtävien laiminlyönnistä tai korruptiosta, henkilö on riippuvainen päihteistä tai uhkapeleistä, henkilö on antanut selvityksessä väärää tietoa tahallisesti, henkilöä on epäilty verorikkomuksista, henkilö on ollut vieraassa valtiossa pitkiä aikoja epäselvissä olosuhteissa, henkilö kärsii mielenterveyden ongelmista, henkilö on taloudellisesti riippuvainen muista ihmisistä ja henkilö on sanoin tai teoin osoittautunut epäluotettavaksi valtionsalaisuuksien käsittelyssä.

Turvallisuusselvityksestä vastaa kolmihenkinen lautakunta ja sen perustana ovat henkilön toimittamat tiedot sekä haastattelu. Jos hakijan mielenterveyden tilaa on syytä epäillä, tulee toimittaa psykiatrinen selvitys, johon hakijan tulee suostua turvallisuusselvitysmenettelyn jatkamisen edellytyksenä.

Turvallisuusselvityksistä annetun lain valmisteluaineistossa on varsin vähän arvioita erilaisista turvallisuustarpeista ja niistä eduista, joiden suojaamisessa turvallisuusselvityksillä on merkitystä.

Turvallisuusselvityksistä annetun lain suojattavat edut ovatkin nykyisiin turvallisuuskäsityksiin verrattuna verrattain suppeasti määriteltyjä. Näiden etujen suoja on lisäksi sidottu rikosoikeudelliseen viitekehykseen: tarkoituksena on parantaa mahdollisuuksia estää ennalta rikokset, jotka vakavasti vahingoittaisivat säännöksessä määriteltyjä etuja. Sääntelytapa on muutoinkin varsin abstraktinen: sääntelyssä ei osoiteta niitä tehtäviä, joissa taustan selvittäminen on mahdollista.

Yleisten tulkintasääntöjen mukaan lain 2 §:ää ei voida soveltaa laajentavasti. Mainituista tekijöistä seuraa, että nykyisen sääntelytavan puitteissa turvallisuusselvitysmenettelyä ei voida laajentaa ainakaan merkittävästi. Tämän vuoksi uudistusta valmisteltaessa onkin katsottu tarpeelliseksi arvioida, minkälaisiin toimintoihin liittyy perusteltu ja perusoikeuspunninnassa hyväksyttävä peruste turvallisuusselvitysten laadintaan.

Lain soveltamisalaan ja siten koko sääntelyjärjestelmään liittyvä keskeinen kysymys on, liittyykö lain tarkoitus ensisijaisesti tietoturvallisuuteen vai turvallisuuteen laajemmin. Voimassa olevassa laissa tietoturvallisuuden painottumista kuvaa se, että laaja turvallisuusselvitys voidaan tehdä kansallisin perustein vain ensimmäiseen turvallisuusluokkaan kuuluvaan tehtävään hakevasta tai määrättävästä, ja että ensimmäisen turvallisuusluokan määrittelevänä ainoana kriteerinä on pääsy sellaisiin salassa pidettäviin tietoihin, joiden paljastuminen vakavasti vahingoittaisi 2 §:n 1—3 kohdassa tarkoitettuja yleisiä etuja (sisäinen tai ulkoinen turvallisuus, maanpuolustus tai poikkeusoloihin varautuminen, kansainväliset suhteet ja julkinen talous).

Yhteiskunnan kriittisen infrastruktuurin toimivuuden varmistamisessa nousee esille tehtäviä, joissa ei välttämättä ole kysymys pääsystä tietoon, vaan mahdollisuuksista tosiasialliseen toimintaan. Näitä tehtäviä ei hoideta yksinomaan julkishallinnossa, vaan laajasti myös yksityissektorin toimin: yhteiskunnan kriittiset toiminnot ovat usein yksityisessä omistuksessa. Yksityisillä yrityksillä on siten merkittävä vastuu niiden ylläpitäessä yhteiskunnan elintärkeitä toimintoja.

Nykyinen laki ei näytä mahdollistavan henkilöiden taustan selvittämistä yksityisen sektorin tehtävissä silloinkaan, kun tehtävien hoitoon liittyy yleisempikin turvallisuusintressi. Esimerkkejä siitä, että voimassa oleva turvallisuusselvityksistä annettu laki ei kata käytännössä olevia tarpeita, ovat esittäneet räjähdysaineteollisuus sekä vartiointiala (arvokuljetukset, rahanlaskentakeskukset). Toisaalta elinkeinotoiminnassa on tullut esille uusia tarpeita liike- ja ammattisalaisuuksien ja teknologisen kehittämistoiminnan suojaamisessa toiminnan perustuessa aikaisempaa laajemmin verkostoihin ja toimitusketjuihin.

Suppean turvallisuusselvityksen käyttöala on määritelty voimakkaasti paikkasidonnaiseksi: selvitys tehdään henkilöistä, jotka pääsevät laissa määriteltyihin paikkoihin. Elinkeinoelämän edustajat ovat lisäksi pitäneet ongelmana lain erilaista soveltamiskäytäntöä eri poliisilaitoksissa.

Laajan turvallisuusselvityksen edellytyksiin liittyy tehtävien turvallisuusluokitus. Sen merkitystä ei pidetä nykyisin selvänä eivätkä eri hallinnonalat ole tehneet tehtävistään luokittelua. Nykyisellä sääntelyllä ei ole myöskään liityntää valtionhallinnossa käyttöön otettuun asiakirjojen tietoturvallisuusluokitukseen.

Turvallisuusselvityksistä annettua lakia on käytännössä sovellettu erittäin käyttötarkoitussidonnaisesti. On katsottu, että turvallisuusselvitys on tehtävä joka kerta erikseen, jos henkilö esimerkiksi osallistuu sellaiseen kansainväliseen kokoukseen, jossa edellytetään turvallisuusselvitystä. Päällekkäisiä turvallisuusselvityksiä laaditaan myös henkilöistä, jotka toimivat huolto- ja asennustehtävissä ja liikkuvat eri viranomaisten sellaisissa tiloissa, joihin pääseviltä edellytetään turvallisuusselvitystä.

Henkilöstöturvallisuuteen liittyy erilaisia ja voimassa olevaa lakia laajempia etuja, mitä osoittaa muun ohella ne lainsäädäntöhankkeet, jotka on toteutettu turvallisuusselvityksistä annetun lain säätämisen jälkeen (laki yksityisyyden suojasta työelämässä, laki lasten kanssa työskentelevien rikostaustan selvittämisestä). Esimerkiksi yksityisyyden suojasta työelämässä annetun lain huumetestausta koskevat säännökset suojaavat muun muassa toisen henkeä, terveyttä tai työturvallisuutta sekä liikenneturvallisuutta ja ympäristöetuja. Onkin mahdollista, että paine erilaisiin erityissääntelyihin kasvaa, jollei turvallisuusselvityksiä sääntelevä yleislaki tarjoa riittäviä mahdollisuuksia perusteltujen ja hyväksyttävien etujen suojaamiseksi. Tämä puolestaan voi heikentää lainsäädännön johdonmukaisuutta ja lainsäätäjän mahdollisuuksia kohdella eri etuja yhdenmukaisin kriteerein.

Aikaisemman lainsäädännön mukaan yhteisöturvallisuusselvitys voitiin tehdä vain kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi. Vuonna 2011 toteutetun uudistuksen jälkeen yhteisöturvallisuusselvitys voidaan tehdä myös Suomen viranomaisen sellaisissa hankinnoissa, joihin sovelletaan julkisista puolustus- ja turvallisuushankinnoista annettua lakia. Nykyisten säännösten mukaan ei ole mahdollista laatia yritysturvallisuusselvityksiä sellaisissa Suomen viranomaisten hankinnoissa, jotka ovat kokonaan salassa pidettäviä tai jotka jäävät kynnysarvon alle. Voimassa oleva lainsäädäntö on näiltä osin siten epäjohdonmukainen eikä vastaa viranomaisten tarpeita toteuttaa tehokkaasti siihen kohdistuvia tietoturvallisuusvaatimuksia. Yhteisöturvallisuusselvitysmenettelyä koskevat kansallisiin hankkeisiin sovellettavat säännökset ovat sijoitettuna erityislakina säädettyyn lakiin kansainvälistä tietoturvallisuusvelvoitteista, mikä ei vastaa hyvän lainsäädäntötavan vaatimuksia.

Esityksen yleisenä tavoitteena on vahvistaa kokonaisturvallisuutta sekä sen osana tehostaa yleistä turvallisuutta, edistää yritysturvallisuutta ja kehittää tietoturvallisuutta viranomaisissa.

Esityksen toiminnallisena tavoitteena on tehostaa ja yhdenmukaistaa taustojen selvittämiseen liittyviä menettelyjä, tehdä ne avoimemmiksi ja lisätä vuorovaikutteisuutta niissä. Tavoitteena on järkiperäistää menettelyä tarpeettomien selvitysten välttämiseksi. Uudistusta valmisteltaessa tuli ilmi, että voimassa oleva lainsäädäntö ja erityisesti sen soveltamiskäytäntö näyttävät johtavan siihen, että samasta henkilöstä saatetaan varsin lyhyenkin ajan sisällä laatia uusi turvallisuusselvitys.

Turvallisuusselvityksen hankkimista koskevia säännöksiä on nykyisin sijoitettu myös erityislainsäädäntöön. Kehitys ei lainsäädäntöjärjestelmän kannalta ole suotavaa. Säädöspoliittisena tavoitteena on keskittää turvallisuusselvitystä koskevaa sääntelyä.

Uudistuksen tavoitteena onkin keskittää turvallisuusselvitysten antamista koskevat säännökset mahdollisimman laajasti säädettävään uuteen yleislakiin. Tämä johtaa sekä turvallisuusselvityksiä käyttävien että niiden kohteiden kannalta selkeämpään ja sääntelytavaltaan avoimempaan lainsäädäntöön ja vastaisi ehdotetun lain asemaa yleislakina.

Uudistuksen tarkoituksena on lähentää alan lainsäädäntöä vastaamaan kansainvälisiä käytäntöjä ottaen kuitenkin huomioon suomalaisen yhteiskunnan erityispiirteet, kuten henkilön tunnistettavuus henkilötunnuksen avulla ja erilaisten tietojärjestelmien kattavuus samoin kuin työnhakijan luottotietojen hankintaa ja käsittelyä sekä huumausainetodistuksen esittämisvelvoitetta koskevat erityissäännökset.

Yleisen turvallisuuden vahvistaminen

Yleisen turvallisuuden lisäämiseksi ehdotetaan, että turvallisuusselvitysmenettely voitaisiin toteuttaa muun muassa yhteiskunnan toimivuuden kannalta merkityksellisen infrastruktuurin keskeisiä tehtäviä hoitavien sekä muun muassa räjähdysaineita käsittelevien taustan selvittämiseksi.

Tietoturvallisuuden kehittäminen viranomaisissa

Uusi turvallisuusselvityslaki (lakiehdotus n:o 1) kehittäisi tietoturvallisuutta etenkin valtionhallinnossa mahdollistamalla yritysten taustojen selvittämisen sellaisissa tilanteissa, joissa yrityksille luovutetaan luokiteltuja salassa pidettäviä tietoja.

Uudet säännökset yhdessä muiden valtionhallinnon tietoturvallisuustoimien kanssa tehostavat henkilöstöturvallisuutta muun ohella määrittelemällä aikaisempaa yksityiskohtaisemmin ne tehtävät, joita hoitavista turvallisuusselvitys voidaan laatia. Tämä yhdessä lain täytäntöönpanoon liittyvän koulutuksen kanssa johtaa todennäköisesti henkilöstöturvallisuutta koskevien kysymysten parempaan tunnistamiseen viranomaisissa.

Valtionhallinnon menettelyitä voitaisiin ehdotettujen säännösten mukaan yhdenmukaistaa antamalla valtioneuvoston asetuksella säännökset velvollisuudesta hankkia henkilöturvallisuusselvitys tai yritysturvallisuusselvitys (lakiehdotus n:o 1, 16 §) taikka turvallisuusselvitystodistus virkaan nimitettävästä (lakiehdotus n:o 10, 8 c §).

Yritysturvallisuuden edistäminen

Ehdotetun turvallisuusselvityslain aineellinen soveltamisala laajenisi voimassa olevaan lakiin verrattuna. Turvallisuusselvitys voitaisiin tehdä myös yrityksen ja sen vastuuhenkilöiden luotettavuuden, yrityksen tietoturvallisuuden tason sekä sitoumusten hoitokyvyn arvioimiseksi.

Henkilöstöstä aiheutuvilla turvallisuusriskeillä on aikaisempaa suurempi merkitys myös yritystoiminnassa. Esityksen avulla yritysturvallisuutta edistettäisiin laajentamalla niiden tehtävien määrittelyä, joissa turvallisuusselvitys olisi mahdollista laatia.

Viranomaisten menettelyjen yhdenmukaistaminen ja tehostaminen

Voimassa olevaa lakia on uudistusta valmisteltaessa kritisoitu sen vuoksi, että suppeiden turvallisuusselvitysten käsittely on hajautettu paikallisille poliisilaitoksille, minkä on katsottu johtavan selvitystä hakevien eriarvoiseen kohteluun ja erilaiseen soveltamiskäytäntöön. Ehdotuksen mukaan suppeita turvallisuusselvityksiä laatisi poliisihallituksen tätä tehtävää hoitamaan määräämä poliisihallinnon yksikkö. Tarkoituksena on ollut, että lain voimaantullessa tehtäviä hoitaisi kahdesta viiteen poliisilaitosta, mutta hakemukset otettaisiin vastaan yhdessä yksikössä.

Turvallisuusselvityksiä laativien viranomaisten määrä vähentyisi jossain määrin. Uudistusta valmisteltaessa selvitettiin mahdollisuuksia keskittää perusmuotoisten ja laajojen turvallisuusselvitysten laadinta suojelupoliisiin ja suppeiden turvallisuusselvitysten laadinta yhteen poliisihallinnon yksikköön. Tähän ei pääesikunnan ja poliisihallituksen vastustuksen vuoksi näyttänyt olevan kuitenkaan mahdollisuuksia.

Ehdotuksen mukaan kansainvälisten tietoturvallisuusvelvoitteiden vuoksi annettavien turvallisuusselvitystodistusten antaminen keskitettäisiin nykyistä selkeämmin kansalliselle turvallisuusviranomaiselle, mikä varmistaisi yhdenmukaisen todistuskäytännön silloin, kun todistuksia annetaan muiden maiden viranomaisille tai kansainvälisille järjestöille.

Yhdenmukaisten menettelyjen varmistamiseksi ehdotetaan lisäksi erityisen oikeusministeriön yhteydessä toimivan arviointikriteerilautakunnan perustamista. Lautakunta antaisi turvallisuusselvityksiä laativien viranomaisten toiminnan tueksi tulkintasuosituksia lain soveltamiseen liittyvistä tilanteista. Tämän lisäksi toimivaltaiset viranomaiset velvoitettaisiin yhteistyöhön yhtenäisten menettelyjen varmistamiseksi.

Turvallisuusselvityksiä koskee nykyisin tiukka käyttötarkoitussidonnaisuus, mikä on osaltaan ollut vaikuttamassa siihen, että samasta henkilöstä laaditaan lyhyenkin ajan sisällä useita peräkkäisiä selvityksiä. Havaitun epäkohdan korjaamiseksi ehdotetaan, että 1) suojelupoliisi pitäisi turvallisuusselvityksistä keskistettyä rekisteriä; 2) selvitysten voimassaolosta säädettäisiin nimenomaisesti laissa, jonka aikana ei laadittaisi uutta vastaavaa selvittämiseksi; 3) menettelyjen tehostamiseksi luotaisiin tietojärjestelmien yhdistämiseen perustuva seurantajärjestelmä; 4) otettaisiin käyttöön henkilöturvallisuusselvitystodistus, jonka avulla useissa eri viranomaisissa työskentelevät voisivat osoittaa tarvittavan luotettavuuden; sekä 5) annettaisiin ministeriöille käyttöyhteys turvallisuusselvitysrekisteriin tarpeettomien hakemuksien estämiseksi.

Esityksessä ehdotetaan, että turvallisuusselvityksistä pidettäisiin niitä laativien viranomaisten käyttöön rekisteriä, jonka avulla voitaisiin estää tarpeettomien selvitysten laatiminen. Laissa nykyisin olevaa käyttötarkoitussidonnaisuutta lievennettäisiin, minkä lisäksi otettaisiin käyttöön mahdollisuus antaa turvallisuusselvityksen perusteella todistus. Tämä vähentäisi uusien selvitysten laatimista henkilöstä, joka työskentelee lyhyitä jaksoja erilaisissa suojattavissa kohteissa, kuten asennustehtävissä eri viranomaisissa.

Turvallisuusselvitysrekisterin perustaminen antaa ehdotuksen mukaan mahdollisuuden välittää sen kautta tietoja ministeriöiden niille virkamiehille, jotka hoitavat turvallisuusselvitysten hankkimista. Tiedonvälityksen avulla voidaan kokonaan estää tarpeettomien turvallisuusselvitysten vireille tuleminen.

Ehdotettu laki antaisi mahdollisuudet luotettavuuden seurantaan. Laadituista turvallisuusselvityksistä pidettävän rekisterin tiedot voitaisiin yhdistää oikeushallinnon valtakunnalliseen tietojärjestelmän ja poliisiasiain tietojärjestelmän tietoihin. Laissa säädettäisiin, missä tilanteissa voitaisiin peruuttaa annettu todistus tai ilmoittaa seurannassa ilmenneistä tuomioista ja muista seikoista työnantajalle.

Uudistusta laadittaessa on pyritty erityisesti pitämään silmällä uusien tehtävien sopeuttamista mahdollisimman hyvin kulloinkin käytettäviin voimavaroihin. Tämän vuoksi ehdotetaan annettaviksi viranomaisten käsiteltäviksi tulleiden asioiden käsittelyjärjestystä koskevia säännöksiä (lakiehdotus n:o 1, 10 § 2 mom.), minkä lisäksi uudistusta voitaisiin asteittain tehostaa asetuksella annettavilla säännöksillä (lakiehdotus n:o 1, 16 ja 34 §, lakiehdotus n:o 3, 6 a §). Joustavuutta lisäisi myös se, että poliisihallitus voisi tilanteen mukaan osoittaa, mitkä poliisihallinnon yksiköt kulloinkin hoitavat turvallisuusselvitysten laadintaa.

Henkilöturvallisuusselvityksen tietopohjan laajentaminen

Turvallisuusselvitysmenettelyissä käytettävissä rikostietoja sisältävissä rekistereissä on eräitä poikkeuksia lukuun ottamatta tietoja vain Suomessa tuomituista rikoksista, mikä vaikeuttaa turvallisuusselvitysten laadintaa. Laissa ei anneta mahdollisuuksia muiden maiden viranomaisten tietojen käyttöön selvitystä laadittaessa.

Esityksen mukaan annettaisiin turvallisuusselvitystä laativalle viranomaiselle oikeus käyttää myös ulkomaan viranomaisten tietojärjestelmiin talletettuja tietoja. Näitä tietoja voi olla saatavissa kansainvälisten sopimusten perusteella. Tämän lisäksi selvityksen kohde voisi itse esittää ulkomaan viranomaisen rikostietoja sisältävistä rekistereistä saatavat tiedot. Tämä mahdollisuus koskisi paitsi ulkomaalaista työnhakijaa, myös Suomen kansalaista, joka on oleskellut ulkomailla yhtäjaksoisesti vähintään viisi vuotta ennen selvityksen laadintaa kuluneen kymmenen vuoden aikana.

Perusmuotoisen ja laajan henkilöturvallisuusselvityksen laadinnassa voitaisiin lisäksi käyttää hakijan koulutusta ja aikaisempaa työuraa koskevia tietoja, tietoja ulkomailla asumisesta samoin kuin luottotietorekisteristä ja ulosottorekisteristä saatavia tietoja. Laajassa henkilöturvallisuusselvityksessä voitaisiin käyttää lisäksi asianomaisen luvalla luotto- ja rahoituslaitoksista saatavia tietoja.

Uutena tietolähteenä olisi keskusrikospoliisi, joka voisi ilmoittaa suojelupoliisille turvallisuusselvityksen kohteesta, jolla epäiltyjen rekisterissä tietoja. Kysymys on ennen muuta sen estämisestä, että järjestäytyneeseen rikolliseen toimintaan osallistuvat pääsisivät suojattaviin toimitiloihin tai aineistoihin.

Turvallisuusselvitysmenettelyn avoimuuden ja vuorovaikutteisuuden lisääminen

Ehdotetussa turvallisuusselvityslaissa selvityksistä säädettäisiin nykyistä yksityiskohtaisemmin niistä tehtävistä, joita hoitavista tai joihin valittavista voitaisiin laatia turvallisuusselvitys. Tämä lisäisi menettelyn yleistä avoimuutta. Työnantaja ja muu turvallisuusselvityksen hakija velvoitettaisiin työnhakuilmoituksessa tai muulla vastaavalla tavalla ilmoittamaan siitä, että tehtävään valittavasta on tarkoitus hankkia turvallisuusselvitys (lakiehdotus n:o 1, 4 §).

Ehdotetun lain mukaan turvallisuusselvityksen yhteydessä voitaisiin tarvittaessa suorittaa selvityksen kohteena olevan henkilön haastattelu, mikä olisi omiaan lisäämään menettelyn vuorovaikutteisuutta sekä antamaan toimivaltaiselle viranomaiselle paremmat mahdollisuudet arvioida käytettävissään olevien tietojen merkitystä selvityksen lopputuloksen kannalta (lakiehdotus n:o 1, 23 §).

Selvityksen kohteen tiedonsaantimahdollisuudet tehostuisivat. Selvityksen hakijan olisi ilmoitettava sille suullisesti tai kirjallisesti ilmoitetusta selvityksen lopputuloksesta tai todistuksen antamisesta. Työnantaja voisi myös käsitellä selvityksen lopputuloksena saamiaan tietoja selvityksen kohteen kanssa. Tiedonsaantioikeuksien ja keskustelujen ulkopuolelle jäisivät kuitenkin tiedot, jotka on saatu suojelupoliisin toiminnallisesta rekisteristä (lakiehdotus n:o 1, 6 §).

Turvallisuusselvityksen kohde voisi myös haastattelun yhteydessä taikka henkilötietojen lomakkeen tarkistamismenettelyn yhteydessä esittää huomautuksen, josta olisi pääsäännön mukaan tehtävä merkintä turvallisuusselvitykseen, jollei tietoja heti oikaista (lakiehdotus n:o 1, 37 §).

Kansainvälisiin tehtäviin osallistumisen edistäminen

Se, että suomalaiset ja suomalaiset yritykset toimivat yhä useammin kansainvälisissä järjestöissä tai toimielimissä, on otettu esityksessä huomioon antamalla tällaiseen tehtävään hakeutuvalle mahdollisuus hankkia turvallisuusselvitys, jos sellaista edellytetään asianomaisen järjestön tai toimielimen säännöissä tai toisen valtion laissa (lakiehdotus n:o 1, 15 § 2 mom.).

Esityksessä ehdotettujen lakien täytäntöönpanoon liittyviä tehtäviä hoitavien viranomaisten toimintaan tulisi erilaisia muutoksia. Suppeiden henkilöturvallisuusselvitysten laadintaa keskitettäisiin vain muutamaan poliisihallinnon yksikköön.

Kokonaan uutena tehtävänä olisi yritysturvallisuusselvityksen laatiminen kansallisissa hankkeissa. Yritysturvallisuusselvityksen laatiminen voi vaatia runsaasti työtä ja aikaa, etenkin jos selvityksen kohteena oleva yritys ei aikaisemmin ole itse selvittänyt tietoturvallisuustoimiensa tasoa.

Yritysturvallisuusselvitysmenettelyn nopeuttamista palvelee osaltaan kokonaisuudistukseen kuuluva ja sen tehokkaaksi toteuttamiseksi vuonna 2011 säädetty laki tietoturvallisuuden arviointilaitoksista, jonka perusteella yritykset voisivat itse ennakolta varmistaa tietoturvallisuustoimiensa tason laadituttamalla viranomaisvalvonnassa toimivalla arviointilaitoksella tästä arvioinnin.

Henkilöturvallisuusselvitysten piiriin tulevien henkilöiden lukumäärän oletetaan uudistuksen myötä lisääntyvän, koska selvityksiä voidaan tehdä muun muassa eräissä yleisen turvallisuuden kannalta merkityksellisissä yksityisissä tehtävissä.

Taloudellisten vaikutusten arvioinnissa on otettava huomioon, että ehdotettujen säännösten mukaisista turvallisuusselvityksistä perittäisiin maksu ja toiminnasta aiheutuneet kustannukset katettaisiin tietyn siirtymävaiheen jälkeen maksuilla.

Turvallisuusselvitysrekisterin perustamisesta aiheutuvien kustannusten on arvioitu olevan noin 600 000 euroa, mihin sisältyy kustannukset Hallinnon tietotekniikkakeskuksen asiantuntija- ja projektityöstä sekä kustannukset järjestelmän toteutuksesta mukaan lukien teknisten käyttöyhteyksien luominen keskeisempiin turvallisuusselvitysten laadinnassa käytettäviin rekistereihin. Sisäasianministeriön ilmoituksen mukaan nämä kustannukset katetaan poliisihallituksessa talousarvion puitteissa ja veloitetaan nettobudjetoidun toiminnan periaatteiden mukaisesti käyttö- ja turvallisuusselvitysmaksuilla takautuvasti. Antamalla keskeisille turvallisuusselvityksiä tarvitseville viranomaisille käyttöoikeus rekisteriin aiheutuu eri ministeriöiden toimintamenoihin kustannussäästöjä, minkä lisäksi työmäärä vähenisi. Näiden arvioidaan olevan kymmeniä tuhansia euroja vuosittain.

Lainvalmistelun aikana selvitettiin oikeusministeriön asettamassa erillisessä työryhmässä, kuinka paljon ja millä tavoin ehdotetut muutokset vaikuttavat tai voisivat vaikuttaa täytäntöönpanoviranomaisten henkilöresurssien tarpeeseen. Työryhmässä oli edustajat valtiovarainministeriöstä, sisäasiainministeriöstä, liikenne- ja viestintäministeriöstä ja oikeusministeriöstä. Suojelupoliisin, pääesikunnan, poliisihallituksen ja Viestintäviraston edustajat toimivat työryhmän asiantuntijoina. Selvityksessä otettiin ensinnäkin huomioon henkilöturvallisuusselvitysmenettelyn kehittämisestä (haastattelujen lisääntyminen, turvallisuusselvitysrekisterin pito sekä seuranta ja siitä johtuvat tehtävät, todistusten antaminen) sekä yritysturvallisuusselvityksistä aiheutuvat uudet henkilöresursseja vaativat tehtävät täytäntöönpanoviranomaisissa. Toiseksi selvitettiin henkilöresurssien säästöjä, jotka voitaisiin saavuttaa henkilöturvallisuusmenettelyn tehostumisesta turvallisuusselvitysrekisterin käyttöönoton, usein toistuvien samaa henkilöä koskevien turvallisuusselvitysten poistumisen sekä turvallisuusselvityksen voimassaoloaikaa koskevien muutosten vuoksi.

Toistuvien, samaa henkilöä koskevien turvallisuusselvitysten määrän arvioinnissa käytettiin satunnaisotantaan perustuvaa menetelmää, jonka avulla voitiin suhteellisen nopeasti selvittää, kuinka suuri selvityksen piiriin kuuluvista henkilöistä oli nykyisen lainsäädännön täytäntöönpanossa sellaisia, joista tarkastelujakson aikana oli tehty uusi selvitys.

Selvityksen perusteella työryhmän yksimielisenä johtopäätöksenä on, että samaa henkilöä koskevien toistuvien turvallisuusselvitysten määrä on arviointien mukaan runsaat 23 000 selvitystä/vuosi, mikä työmäärältään vastaa noin 13, 2 henkilötyövuotta. Tästä määrästä pääesikunnan osuus vastaa 5,6 henkilötyövuotta, suojelupoliisin 2,6 henkilötyövuota ja poliisilaitosten 5 henkilötyövuotta. Laskelmissa ei otettu huomioon sitä, paljonko samaa henkilöä koskevia henkilöturvallisuusselvityksiä laaditaan sekä suojelupoliisissa ja poliisilaitoksissa että pääesikunnassa. Edellä mainittu 13,2 henkilötyövuoden säästö kuvaa siten syntyvien säästöjen vähimmäismäärää.

Henkilöturvallisuusselvitysmenettelyn piiriin tulevien tehtävien määrän ei edellä sanottu huomioon otettuna arvioida kasvavan samassa suhteessa kuin selvityksen kohteiden lukumäärä. Selvitysmenettelyn tehostumisesta saatavien laskennallisten säästöjen on arvioitu vastaavan uusista tehtävistä aiheutuvia henkilöresurssitarpeita. Ehdotetussa turvallisuusselvityslaissa olisi lisäksi säännökset uusien tehtävien sopeuttamiseksi käytettävissä oleviin voimavaroihin. Tarkoituksena on myös, että ministeriöiden ja täytäntöönpanoviranomaisten yhteistyönä ja osana täytäntöönpanon yksityiskohtaisempaa suunnittelua laaditaan suunnitelma valtionhallinnon yksiköistä turvallisuusselvitysmenettelyn piiriin tulevien asioiden priorisoinnista.

Esitykseen sisältyvät säännökset yritysturvallisuuden kehittämisestä ovat omiaan helpottamaan yritysten mahdollisuuksia tarjota palvelujaan julkishallinnolle sekä kehittämään niitä vastaamaan myös muiden maiden ja kansainvälisten organisaatioiden hankintoihin liittyviä turvallisuusvaatimuksia. Tämä parantaa suomalaisten yritysten mahdollisuuksia osallistua kansainvälisiin hankkeisiin sekä tehostaa tietoturvallisuutta valtionhallinnossa. Yritysten tietoturvallisuustason varmistaminen on välttämätön edellytys annettaessa yrityksen hoitoon tehtäviä, joissa yritys saa viranomaiselta salassa pidettäviä ja luokiteltuja tietoja. Tästä, samoin kuin kokonaisturvallisuuden lisääntymisestä aiheutuvia hyötyjä on kuitenkin vaikea arvioida.

Esityksen mukaisten uudistusten toteuttamisella ei ole merkittävää vaikutusta suojelupoliisin, pääesikunnan tai Viestintäviraston organisaatioon. Suppeat henkilöturvallisuusselvitykset keskitettäisiin yhdenmukaisten käytäntöjen varmistamiseksi sekä tehokkuuden lisäämiseksi selvitysmenettelyissä ehdotuksen mukaan poliisihallituksen määräämään yksikköön. Tarkoituksena on ollut, että tehtäviä hoidettaisiin lain voimaantullessa 2—5 eri poliisilaitoksessa. Estettä säännösten mukaan ei olisi sille, että tehtäviä hoidettaisiin yhdessä valtakunnallisessa yksikössä.

Perustettavaksi ehdotetun keskitetyn turvallisuusselvityksiä koskevan rekisterin avulla valtioneuvoston turvallisuusasioita hoitavat henkilöt voisivat saada tiedon niistä henkilöistä ja yrityksistä, joille on tehty turvallisuusselvitys, missä ei ole ilmennyt kielteisiä seikkoja. Tämä yksinkertaistaisi ja nopeuttaisi virantäyttöä sekä erilaisista hankinnoista päättämistä.

Ehdotettu turvallisuusselvityslaki laajentaisi niitä tehtäväryhmiä, joita hoitavista selvittäminen voidaan tehdä. Näitä olisivat esimerkiksi räjähdysvaarallisten aineiden valmistukseen ja kuljetukseen liittyvät tehtävät.

Turvallisuusselvityksen käyttötilanteista säädettäisiin nykyistä tarkemmin ja selvitysmenettelyn avoimuutta ja vuorovaikutteisuutta lisättäisiin. Selvityksen kohteella olisi tiedonsaantioikeus sekä oikeus huomautuksen tekemiseen. Tiedonsaantioikeuksien ulkopuolella olisivat suojelupoliisin toiminnallisesta tietojärjestelmästä, epäiltyjen tietojärjestelmästä sekä pääesikunnan turvallisuustietorekisteristä saadut tiedot. Tietosuojavaltuutettu voi rekisteröidyn pyynnöstä tarkastaa 1 momentissa tarkoitettujen, rekisteröityä koskevien tietojen lainmukaisuuden.

Henkilöturvallisuusselvityksen hankkimisesta aiheutuvista kustannuksista vastaisi yleensä työnantaja.

Uudistuksen tarkoituksena on edistää yritysturvallisuutta mahdollistamalla yritysten työntekijöiden taustojen selvittäminen nykyistä laajemmin muun muassa yhteiskunnan kriittisen infrastruktuurin kannalta merkittävässä toiminnassa, räjähdysaineteollisuudessa ja rahanlaskentakeskuksissa sekä teknologisessa kehittämistyössä.

Yritysturvallisuusselvitys voitaisiin laatia erityisesti silloin, kun yritys hoitaa viranomaisen toimeksiannosta tehtävää, joissa se ja sen henkilöstö saa luokiteltuja salassa pidettäviä asiakirjoja. Tämä antaa yrityksille mahdollisuuden osallistua myös sellaisiin viranomaisten hankintoihin, jotka jäävät puolustus- ja turvallisuushankinnoista annetun lain soveltamisalan ulkopuolelle (salassa pidettävät hankinnat, kynnysarvon alapuolelle jäävät hankinnat).

Esityksen lähtökohtana on, että yritysturvallisuuden laadinnasta aiheutuvat kustannukset maksaisi yritys, koska se saa yritysturvallisuusselvityksen perusteella todistuksen, jolla on sille kilpailullista etua. Tietoturvallisuusjärjestelyt ovatkin yhä laajemmin yritysten kilpailukykyyn vaikuttava seikka.

Turvallisuusselvitykset olisivat maksullisia. Turvallisuusselvitysten hakeminen ei olisi suoraan lain nojalla pakollista ja yritysturvallisuusselvitystä ei voitaisi laatia ilman yrityksen suostumusta. Siten laista ei aiheutuisi kustannuksia sellaisille yrityksille, joissa ei niiden oman arvion mukaan ole tarvetta käyttää lain luomia mahdollisuuksia hyväksi.

Hallituksen esityksessä ehdotettavan kokonaisuudistuksen toimivuutta ja vaikutuksia on tarkoitus seurata. Seurannassa selvitetään uudistuksen tavoitteiden toteutumista erilaisin kyselytutkimuksin ja käytäntöä koskevin selvityksin. Tässä yhteydessä arvioidaan erityisesti yritysturvallisuusselvitysmenettelyn vaikutuksia yritysten kannalta. Erikseen selvitetään, miten yritysturvallisuusselvitysmenettelyyn liittyvien tilaturvallisuusarviointitehtävien hoitaminen olisi tarkoituksenmukaisinta järjestää.

Oikeusministeriö asetti 1.10.2008 työryhmän, jonka tehtävänä oli valmistella hallituksen esityksen muotoon laadittu ehdotus turvallisuusselvityksistä annetun lain uudistamisesta. Työryhmässä olivat edustettuina valtioneuvoston kanslia, ulkoasiainministeriö, oikeusministeriö, sisäasiainministeriö, puolustusministeriö, valtiovarainministeriö, sosiaali- ja terveysministeriö, työ- ja elinkeinoministeriö, suojelupoliisi, pääesikunta, tietosuojavaltuutetun toimisto sekä työnantajaosapuolen yhteinen edustaja Elinkeinoelämän keskusliitosta ja palkansaajajärjestöjen yhteinen edustaja Akava ry:stä.

Työryhmään nimitettyinä asiantuntijoina toimivat edustajat liikenne- ja viestintäministeriöstä, Finanssialan keskusliitosta ja Suomen Kuntaliitosta sekä yritysturvallisuuden asiantuntija Elinkeinoelämän keskusliitosta. Työryhmä kuuli työnsä aikana eduskunnan keskuskanslian, Keskuskauppakamarin, Suomen Yrittäjien, Huoltovarmuuskeskuksen, Oikeusrekisterikeskuksen, Inspecta Sertifiointi Oy:n, Suomen Vartiointiliikkeitten Liitto ry:n sekä Suomen Turvaurakoitsijaliiton edustajia. Työryhmän työskentelyyn osallistui myös Viestintäviraston sekä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitetun kansallisen turvallisuusviranomaisen ja puolustusministeriön turvallisuusalan asiantuntijoita.

Työryhmän mietintö turvallisuusselvityslainsäädännön uudistamisesta (Oikeusministeriön mietintöjä ja lausuntoja 8/2011) lähetettiin lausunnolle 32 taholle. Lisäksi ministeriöitä pyydettiin hankkimaan mietinnöstä lausunnot tarpeellisiksi katsomiltaan hallinnonalansa viranomaisilta. Lausuntoja saatiin 28 kappaletta. Palkansaajakeskusjärjestöt AKAVA, SAK ja STTK, kuten myös Suomen Kuntaliitto ja Kunnallinen työmarkkinalaitos antoivat yhteisen lausunnon.

Lähes kaikki lausunnonantajat ilmaisevat myönteisen kantansa uudistukseen. Valtioneuvoston kanslia, ulkoasianministeriö, sisäasiainministeriö, puolustusministeriö, maa- ja metsätalousministeriö, liikenne- ja viestintäministeriö, työ- ja elinkeinoministeriö, sosiaali- ja terveysministeriö, ympäristöministeriö, pääesikunta, Viestintävirasto, Liikennevirasto, Ilmatieteen laitos, Onnettomuustutkintakeskus, Finanssialan Keskusliitto, Suomen Turvaurakoitsijaliitto, Hansel Oy, ja Tieto Oyj kannattavat pääosin mietinnön mukaista uudistusta.

Työntekijäjärjestöt pitävät huolestuttavana selvitysmenettelyn piiriin tulevien tehtävien lisääntymistä ja työntekijöiden yksityisyyden suojan murentamista. Puhtaasti yksityisiä taloudellisia intressejä järjestöt eivät hyväksy selvitysmenettelyyn piiriin. Myös pankkisalaisuuden murtamisen laajentamista työntekijäjärjestöt vastustavat. Työntekijäjärjestöt eivät hyväksy ehdotusta, jonka mukaan Suomen kansalaiset joutuisivat joissakin tilanteissa itse omalla kustannuksellaan hankkimaan turvallisuusselvityksissä käytettäviä rekisteritietoja ulkomaan viranomaisilta, vaan tietojen hankkiminen tulee kaikissa tapauksissa olla toimivaltaisen viranomaisen tehtävä.

Suomen yrittäjät kiinnittivät huomiota uudistuksesta yritystoiminnalle aiheutuviin kustannuksiin. Elinkeinoelämän keskusliitto piti viranomaisten toimivaltaa koskevia säännöksiä epäselvinä sekä kritisoi selvityksen piiriin tulevien tehtävien määrittelyä koskevia säännöksiä elinkeinoelämän intressien kannalta. Samoin epäkohtia nähtiin sääntelyn selkeydessä ja suhteessa muuhun lainsäädäntöön. Lausunnoissa esitettiin kannanottoja erilaisista säädösehdotuksia koskevista yksityiskohdista, joita jatkovalmistelussa on käytetty hyväksi ja otettu huomioon niin laajasti kuin se etujen tasapainoiseksi yhteensovittamiseksi tai uudistuksen laajuuden hallitsemiseksi on ollut mahdollista.

Ehdotettua turvallisuusselvityslakia on jatkovalmistelussa pyritty kehittämään säädösteknisesti tarkoituksena parantaa sen luettavuutta. Jatkovalmistelun aikana on kuultu valmistelutyöryhmässä edustettuina olevien organisaatioiden edustajia ja käyty uudistuksen sisältöä koskevia keskusteluja. Keskusteluissa ei ole tullut esiin esityksen asiasisältöön liittyviä esityksestä eriäviä näkemyksiä julkishallintoa edustavilta tahoilta. Suojelupoliisi on kuitenkin esittänyt huolensa henkilöresursseistaan. Elinkeinoelämän keskusliitto puolestaan on katsonut, että esityksessä ei ole otettu huomioon yksityissektorin etuja samalla tavalla kuin yleisiä etuja ja että lainsäädännön toimivuudesta ei ole varmuutta. Henkilöturvallisuusselvitysten tekemisen edellytykseksi on liiton mielestä tulossa huomattavan raskas auditointimenettely. Liitto katsoo myös, että Suomen turvallisuusviranomaisten ei tulisi valvoa esimerkiksi ydinvoimalatyömaalla toimivia yrityksiä.

Työntekijäjärjestöt pitivät turvallisuusselvitysten laatimista yksinomaan yksityisen taloudellisen edun suojaamistarkoituksessa tarpeettomana ja huolestuttavana ottaen huomioon yksityisyyden suojasta työelämässä annetun lain sekä sähköisen viestinnän tietosuojaa koskevan lainsäädännön tarjoamat mahdollisuudet. Ehdotettu seuranta on tässä suhteessa myös ongelmallinen. Suomalaisten ja muiden maiden kansalaisten yhdenvertainen kohtelu turvallisuusselvitysten laadinnassa tulisi toteuttaa. Ulkomaan viranomaisten rekisteritietojen hankinta tulisi tehdä viranomaisaloitteisesti. Pankkisalaisuuden piiriin kuuluvien tietojen käyttämistä laajoissa turvallisuusselvityksissä ei tulisi sallia.

Hallituksen esitykseen liittyy ehdotus laiksi henkilötietojen käsittelystä poliisitoimessa annetun lain muuttamisesta (lakiehdotus n:o 4). Eduskunnassa on käsiteltävänä hallituksen esitys laeiksi henkilötietojen käsittelystä poliisitoimessa annetun lain ja henkilötietojen käsittelystä rajavartiolaitoksessa annetun lain sekä eräiden niihin liittyvien lakien muuttamisesta (HE 66/2012 vp). Esitykseen sisältyvissä lakiehdotuksissa ehdotetaan muutoksia samoihin säännöksiin, joita koskevia muutosehdotuksia sisältyy nyt annettavaan esitykseen.

Eduskunnan käsiteltävänä on hallituksen esitys eduskunnalle laiksi sotilaskurinpidosta ja rikostorjunnasta puolustusvoimissa sekä eräiksi siihen liittyviksi laeiksi (HE 30/2013 vp), jonka mukaan pääesikunnan tutkintaosaston käytössä ollut rikostietorekisterin tilalle käyttöön tulisi sähköinen sotilasoikeudenhoidon tietojärjestelmä. Ehdotetussa turvallisuusselvityslaissa on otettu huomioon edellä mainitussa hallituksen esityksessä ehdotetut rekistereitä koskevat muutokset.

Lain systematiikka

Ehdotettu laki olisi jaettu kymmeneen eri lukuun. Niistä ensimmäisessä säädettäisiin yleisen lainsäätämistavan mukaisesti yleisistä säännöksistä. Lain 2 luvussa säädettäisiin selvityksen kohteen asemasta ja oikeuksista ja 3 luvussa toimivaltaisista viranomaisista ja niiden harkintavallan ohjauksesta.

Lain 4 luvussa olisi säännökset henkilöturvallisuusselvityksistä ja 5 luvussa yritysturvallisuusselvityksistä. Luvut sisältäisivät säännökset turvallisuusselvityksen hakemisesta, selvityksen laatimisen edellytyksistä sekä selvityksen laadinnassa käytettävistä tietolähteistä.

Lain 6 luvussa olisivat säännökset turvallisuusselvitysmenettelyn päättämisestä ja siitä saatujen tietojen käsittelystä ja 7 luvussa turvallisuusselvitysrekisteristä ja siihen liittyvästä tietojenkäsittelystä. Turvallisuusselvityksen ja turvallisuusselvitystodistuksen voimassaolosta säädettäisiin 8 luvussa. Luvussa 9 olisivat erinäiset säännökset ja 10 luvussa voimaantulo- ja siirtymäsäännökset.

1 luku Yleiset säännökset

1 §. Lain tarkoitus. Ehdotuksen mukaan lain tarkoituksena on parantaa mahdollisuuksia ennakolta ehkäistä toimintaa, joka voi vahingoittaa valtion turvallisuutta, maanpuolustusta, Suomen kansainvälisiä suhteita, yleistä turvallisuutta tai muuta niihin verrattavaa yleistä etua taikka erittäin merkittävää yksityistä taloudellista etua taikka edellä tarkoitettujen etujen suojaamiseksi toteutettavia turvallisuusjärjestelyjä.

Ehdotetussa laissa ei lueteltaisi nykyisen lain tapaan niitä etuja, joihin kohdistuvien rikosten ehkäisemiseksi turvallisuusselvitys voidaan laatia. Ehdotettavat säännökset on katsottu olevan mahdollista kirjoittaa viittaamatta rikoslain sääntelyyn. Ehdotetussa laissa olisi voimassa olevaa lakia yksityiskohtaisemmin säännelty niistä tehtävistä ja tehtävätyypeistä, joissa toimivissa turvallisuusselvitys voidaan laatia. Tämän vuoksi sillä, ettei tarkoitussäännöksessä viitattaisi rikosten estämiseen, ei aiheutuisi ongelmia yksityisyyden suojan rajoitusperusteiden välttämättömyyden ja oikeasuhtaisuuden arvioinnin kannalta.

Lain tarkoituksena olisi merkittävien yleisten tai yksityisten etujen turvaaminen. Lainsäädännössä eri etuja suojataan muun ohella rikos- ja informaatio-oikeudellisin keinoin.

Viranomaisten toiminnan julkisuudesta annetun lain 24 §:stä ilmenevät salassapitosäännöksin suojatut edut. Niistä keskeisimmät turvallisuusedut mainittaisiin nimenomaisesti ehdotetussa säännöksessä. Yksityisistä eduista mainittaisiin erityisen merkittävä yksityinen taloudellinen etu, mikä vastaa voimassa olevaa lainsäädäntöä.

Voimassa olevassa laissa turvallisuusselvityksellä suojeltavien etujen piiriin luetaan myös suojan toteuttamiseksi tarpeellinen tietototurvallisuus. Ehdotuksessa käytettäisiin käsitettä turvallisuusjärjestelyt, mikä on tietoturvallisuutta laajempi käsite.

Rikosoikeudellisessa sääntelyssä lain tarkoituksen kannalta merkityksellisiä ovat terrorismin, maanpetosrikosten ja muiden niihin verrattavien haitallisten tekojen kriminalisointia koskevat säännökset. Lain on määrä osaltaan estää terrorismia, vakoilua ja muita niihin verrattavien rikollisia tekoja tai hankkeita.

Ehdotetussa laissa on nykyistä lakia yksityiskohtaisemmin otettu huomioon tarve suojata viranomaisten toiminnan tai yhteiskunnan perustoimintojen kannalta keskeisten viestintä-, energiahuolto- ja tietojärjestelmien toimivuutta ja turvallisuutta, mikä ilmenee esimerkiksi lakiehdotuksen 19 ja 21 §:stä.

Lain tarkoituksena on muun ohella suojata viranomaisten niin sanottujen perusrekisterien, kuten väestötietojärjestelmän, lisäksi esimerkiksi keskeiset rahoitus- ja vakuutusjärjestelmät samoin kuin viestinnän ja energiahuollon toimivuuden kannalta merkitykselliset tietojärjestelmät. On aiheellista havaita, että kriittisen infrastruktuurin suojaaminen kattaa sellaisia yksityisiäkin toimijoita, joiden toiminta on merkityksellistä yhteiskunnan kriittisten toimintojen kannalta.

2 §. Lain soveltamisala ja sen suhde muuhun lainsäädäntöön. Ehdotetussa 1 momentissa määriteltäisiin ne keskeiset seikat, joista laissa säädettäisiin. Näitä ovat säännökset turvallisuusselvityksen laatimisen edellytyksistä sekä laadinnassa noudatettavasta menettelystä ja laadinnassa käytettävistä tiedoista (1 ja 2 kohta). Selvityksen kohteen suostumusta ja tiedonsaantioikeuksia (kohta 3) koskevat säännökset ovat olennainen osa menettelyn avoimuutta.

Henkilöstä voitaisiin laatia ehdotetun lain osoittamissa tapauksissa henkilöturvallisuusselvitys. Näissä kaikissa on kysymys henkilörekisterien käytöstä ja arkaluonteisten henkilötietojen käsittelystä. Tästä syystä tällaisten menettelyjen edellytyksistä on tarpeen säätää lailla varsin yksityiskohtaisesti. Henkilöturvallisuusselvityksen edellytyksiä koskevat säännökset ovat ehdotetun lain 18—22 §:ssä. Yleisenä edellytyksenä olisi voimassa olevan lainsäädännön tapaan henkilön suostumus turvallisuusselvitykseen (5 §). Vaatimuksena olisi myös, että henkilöturvallisuusselvitystä hakeva on laajemminkin huolehtinut tietoturvallisuusjärjestelyistä (18 §).

Uudistuksen yksi merkittävä tavoite on yritysturvallisuuden parantaminen. Julkishallinnossa käytetään eri syiden vuoksi yhä laajemmin ostopalveluja, mistä seuraa tarve salassa pidettävien tietojen antamiseen yrityksille. Keskeisten yleisten etujen samoin kuin yksityistenkin etujen suojan vuoksi on tärkeää varmistaa, että tiedot on suojattu riippumatta ostopalvelujen käytöstä. Tietojen suoja on tarpeen varmistaa silloin, kun julkishallinnon hankintojen toteuttaminen johtaa siihen, että yksityinen sopimuskumppani saa salassa pidettäviä tietoja.

Yritysturvallisuusselvityksillä ja niiden perusteella annettavilla todistuksilla on kasvava merkitys yritysten kilpailukyvyn kannalta. Yritysturvallisuusselvityksen laatimisen edellytyksistä säädettäisiin lain 36 §:ssä.

Sekä henkilöturvallisuusselvityksen että yritysturvallisuusselvitysten laadinnassa käytettävistä rekistereistä ja muista tietolähteistä säädettäisiin varsin yksityiskohtaisesti (25—32 §, 37 §).

Turvallisuusselvityksen laadinnassa tarvittavien perustietojen saannissa keskeistä ovat säännökset selvityksen hakijan ja selvityksen kohteen tiedonantovelvollisuuksista (4 kohta). Tätä koskevia säännöksiä ovat muun muassa lakiehdotuksen 17 § 4 mom. ja 39 §.

Lain 8 lukuun otettaisiin uutena sääntelynä säännökset turvallisuusselvityksen ja sen perusteella annetun todistuksen voimassaolosta ja todistuksen peruuttamisesta (5 kohta). Säännökset henkilörekisterien yhdistämisestä selvityksen kohteen nuhteettomuuden ja luotettavuuden seuraamiseksi (6 kohta) olisi tärkeä osa uudistusta.

Ehdotetussa 2 momentissa olisi lain suhdetta muuhun lainsäädäntöön määrittelevä säännös. Sen mukaan työnantajan oikeudesta kerätä ja tallettaa tietoja työn- tai viranhakijasta taikka siihen palvelussuhteessa olevasta, rikosrekisteritietojen antamisesta virkaa tai tehtävää hakevasta sekä lasten kanssa työskentelevien rikostaustan selvittämisestä sekä rikostaustan selvittämisestä viranomaisen luvan tai hyväksynnän osana säädetään erikseen.

Laki koskisi vain viranomaisen toteuttamaa henkilön tai yrityksen taustan selvittämistä. Yksityisyyden suojasta työelämässä annetussa laissa määritellään työnantajan oikeus kerätä ja tallettaa työnhakijasta tietoja, kuten oikeus henkilöä koskevien luottotietojen hankintaan sekä oikeus velvoittaa huumausainetodistuksen esittämiseen. Ehdotettu laki ei vaikuttaisi näiden säännösten soveltamiseen eikä muutoinkaan siihen, minkälaisia tavanomaisia rekrytointitilanteen tietoja työnantaja kerää työnhakijasta esimerkiksi työhönottohaastattelussa. Tietojen keräämistä rajoittavat paitsi yksityisyydensuojaa työelämässä koskevan lain, myös henkilötietolain yleiset säännökset, mikä merkitsee sitä, ettei työnantaja voi kerätä ja tallettaa työnhakijan rikostaustasta tietoja muutoin kuin laissa erikseen osoitetuilla tavoilla.

Ehdotetussa säännöksessä viitattaisiin rikosrekisteristä saataviin tietoihin. Rikosrekisterilain 4 a §:n mukaan rikosrekisteristä voidaan luovuttaa tietoja muun ohella sellaista viranomaisen lupaa tai hyväksyntää varten, jonka edellytyksenä on henkilön luotettavuus sekä tietoja henkilön valitsemiseksi koulutukseen tai tehtävään, joka liittyy valtion turvallisuuteen, yleiseen järjestykseen tai turvallisuuteen, ulkoasiainhallintoon, Suomen kansainvälisiin suhteisiin, oikeushallintoon, keskuspankkitoimintaan tai rahanvalmistukseen ja jossa edellytetään henkilön erityistä luotettavuutta. Näiden lisäksi oikeusministeriö voi painavista syistä antaa luvan tietojen luovuttamiseen rikosrekisteristä viranomaiselle henkilön luotettavuuden selvittämistä ja arviointia varten muissakin asioissa.

Ehdotettavan lain lisäksi taustojen selvittämistä koskevia säännöksiä jäisi edelleen lainsäädäntöön. Osa näistä säännöksistä liittyy vaatimukseen hyvämaineisuudesta tietyn tehtävän hoidon edellytyksenä. Ehdotettu laki ei vaikuttaisi mainittujen säännösten soveltamiseen.

3 §. Määritelmät. Pykälään sisältyisivät lain soveltamisen kannalta keskeiset määritelmät. Laissa yleiskäsitteenä henkilön tai yrityksen taustasta laadittavasta selvityksestä käytettäisiin käsitettä turvallisuusselvitys.

Henkilöturvallisuusselvityksellä tarkoitettaisiin ehdotetun 1 kohdan mukaan henkilön nuhteettomuuden tai luotettavuuden varmistamiseksi ehdotetussa laissa säädettävällä tavalla laadittavaa selvitystä henkilön taustasta.

Henkilöturvallisuusselvitys voitaisiin laatia perusmuotoisena, laajana tai suppeana, kuten nykyisinkin (14 §). Nämä eroaisivat toisistaan lähinnä käytettävien tietolähteiden laajuuden perusteella.

Nuhteettomuudella viitataan erityisesti siihen, ettei henkilöllä ole rikollista taustaa. Etenkin perusmuotoisen ja laajan henkilöturvallisuusselvityksen laadinnassa on kuitenkin kysymys laajemmasta näkökulmasta, mitä kuvataan säännösehdotuksessa käsitteellä luotettavuus. Tällä viitataan rikostaustaa laajemmin henkilön olosuhteisiin ja arviointikykyyn, joiden perusteella voidaan olettaa hänen toimivan tehtävissään asianmukaisesti ja pystyvän väistämään epäasialliset ulkopuoliset vaikuttamisyritykset.

Yritysturvallisuusselvityksellä tarkoitettaisiin ehdotetun 2 kohdan mukaan yrityksen ja yrityksen vastuuhenkilön luotettavuuden, yrityksen tietoturvallisuuden tason sekä sitoumustenhoitokyvyn arvioimiseksi ehdotetussa laissa säädettävällä tavalla laadittavaa selvitystä.

Yritysturvallisuusselvityksen ehdotetusta määritelmästä ilmenee, että selvitysmenettely voi kohdistua laajasti yrityksen toimintaan. Yritysturvallisuusselvityksen osana yritysten vastuuhenkilöistä laaditaan henkilöturvallisuusselvitys, minkä lisäksi selvitys kohdistuu toimitilojen, tietojärjestelmien sekä tietoliikennejärjestelyjen ja muuhun tietoturvallisuuden tason selvittämiseen.

Tarve yritysturvallisuusselvityksen laatimiseen liittyy usein tilanteisiin, joissa yrityksen on tarkoitus toimia sopimussuhteessa viranomaiseen. Tämän vuoksi on luonnollista, että selvitysmenettelyssä otetaan huomioon myös yrityksen sopimuksenhoitokykyyn liittyvät seikat, kuten yrityksen taloudellista asemaa koskevat tiedot mukaan lukien verojen ja julkisten maksujen suorittamista koskevat tiedot.

Yritysturvallisuusselvitys voi liittyä sellaisen hankkeen toteuttamiseen, johon osallistuvat tietyt yrityksen työntekijät. Heidän taustojensa selvittäminen tapahtuu erikseen henkilöturvallisuusselvityksenä. Kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisessa yritysturvallisuusselvitykseen voidaan kuitenkin liittää myös työntekijöitä koskevat tiedot.

Turvallisuusselvitys yläkäsitteenä tarkoittaisi sekä henkilöturvallisuusselvitystä että yritysturvallisuusselvitystä (3 kohta). Koska osa säännöksistä koskee kaikkia mainittuja selvitysmuotoja, on niitä kaikkia koskevan käsitteen ottaminen lakiehdotukseen katsottu tarpeelliseksi.

Selvityksen kohteella tarkoitettaisiin ehdotetun 4 kohdan mukaan henkilöä tai yritystä, josta turvallisuusselvitys laaditaan tai on pyydetty laadittavaksi.

Momentin 5 kohtaan otettavaksi ehdotetun määritelmän mukaan viranomaisella tarkoitettaisiin viranomaisen toiminnan julkisuudesta annetun lain 4 §:ssä tarkoitettua organisaatiota, toimielintä tai henkilöä. Määritelmä kattaisi paitsi valtion hallintoviranomaiset ja kunnalliset viranomaiset, myös muun muassa eduskunnan virastot ja laitokset sekä julkisoikeudelliset laitokset. Näiden lisäksi käsitteen piiriin tulisivat sellaiset yksityisoikeudelliset yhteisöt, jotka lain nojalla käyttävät julkista valtaa.

Edellä kuvatuista syistä on katsottu tarpeelliseksi, että laissa määriteltäisiin myös yritys. Tätä koskeva säännös olisi 6 kohdassa. Ehdotuksen mukaan yrityksellä tarkoitettaisiin elinkeinotoimintaa harjoittavaa luonnollista henkilöä tai muuta yksikköä, joka yritys- ja yhteisötietolain (244/2001) 3 §:n 1 momentin 1—5 kohdan mukaan on rekisteröitävä yritys- ja yhteisötietojärjestelmään. Määritelmä vastaisi luottotietolaissa olevaa yrityksen määritelmää.

Kuten ehdotetusta pykälän 2 momentista ilmenee, lakia sovellettaisiin myös sellaiseen säätiöön tai yhdistykseen, joka ei harjoita elinkeinotoimintaa.

Ehdotetussa 7 kohdassa määriteltäisiin yrityksen vastuuhenkilö. Tällä tarkoitettaisiin henkilöä, joka merkitään viranomaisen julkiseen rekisteriin yhtiömiehenä, vastuullisena yhtiömiehenä, toimitusjohtajana, yrityksen hallituksen jäsenenä tai varajäsenenä tai henkilönä, jolla on prokuura- ja nimenkirjoitusoikeus. Tämäkin määritelmä vastaa luottotietolaissa omaksuttua käsitteistöä.

Työnantajan määritelmä sisältyisi ehdotettuun 8 kohtaan. Työnantajalla tarkoitettaisiin viranomaista tai yritystä, joka on valitsemassa henkilöä palvelussuhteeseen tai johon henkilö on palvelussuhteessa. Työnantaja olisi pääsäännön mukaan se, joka hakee henkilöturvallisuusselvityksen laatimista.

Läheisellä tarkoitettaisiin ehdotetun 9 kohdan mukaan henkilöä, joka on henkilöturvallisuusselvityksen kohteen isä tai äiti, lapsi taikka avio- tai avopuoliso. Määritelmä vastaisi voimassa olevaa lakia. Läheistä koskevia tietoja voitaisiin selvittää vain osana laajaa turvallisuusselvitystä laissa säädettävällä tavalla. Läheisellä olisi samanlaiset itsemääräämistä ja tiedonsaantia koskevat oikeudet kuin sillä, josta selvitystä ensisijaisesti laaditaan.

Ehdotetun 10 kohdan mukaan kansainvälisellä tietoturvallisuusvelvoitteella tarkoitettaisiin Suomea sitovaan kansainväliseen sopimukseen tai säädökseen sisältyvää salassa pidettävän asiakirjan käsittelyn tietoturvallisuuden toteuttamisessa noudatettavaa vaatimusta ja turvallisuusjärjestelyä. Näistä säädetään kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa.

Ehdotuksen mukaan luokitellulla asiakirjalla tarkoitettaisiin viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 1 momentissa tarkoitettua asiakirjaa, johon on mainitun lain ja sen nojalla annettujen säännösten tai kansainvälisistä tietoturvallisuusvelvoitteista annetun lain nojalla tehty tai voidaan tehdä suojaustasoa koskeva luokittelumerkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia asiakirjaa käsiteltäessä noudatetaan (11 kohta).

Asiakirjan käsite kattaa julkisuuslain 5 §:n 1 momentin mukaan myös erilaiset teknisin keinoin talletetut tietoaineistot, kuten sähköiset asiakirjat.

Viranomaisten toiminnan julkisuudesta annetun lain nojalla tietoturvallisuudesta valtionhallinnossa annetussa asetuksessa on yksityiskohtaiset säännökset asiakirjojen luokittelemisesta suojaustasoihin sekä säännökset siitä, missä tapauksissa asiakirjaan voidaan suojaustasoa koskevan merkinnän lisäksi tai sijasta tehdä turvallisuusluokitusta koskeva merkintä. Luokituksen avulla osoitetaan, minkälaisia tietoturvallisuutta koskevia vaatimuksia on asiakirjoja käsiteltäessä noudatettava.

Kansainvälisiin tietoturvallisuusvelvoitteisiin liittyvään asiakirjaan on niistä annetun lain mukaan tehtävä turvallisuusluokitusmerkintä.

Ehdotetussa 2 momentissa olisi erityissäännös, joka liittyy 1 momentissa säädettäviksi ehdotettuihin määritelmiin. Yritysturvallisuusselvitys voi erilaisten hallinnossa toteutettavien yhteistyöhankkeiden vuoksi olla tarpeen myös silloin, kun kysymys ei ole elinkeinotoimintaa harjoittavista yksiköistä. Tämän vuoksi momenttiin ehdotetaan otettavaksi säännös, joka merkitsee, että lain yritystä koskevia säännöksiä sovellettaisiin myös sellaiseen säätiöön tai yhdistykseen, joka ei harjoita elinkeinotoimintaa. Yrityksen vastuuhenkilöä koskevia säännöksiä sovellettaisiin vastaavasti tällaisen säätiön ja yhdistyksen hallituksen jäseniin ja niihin, joilla säätiörekisterin tai yhdistysrekisterin mukaan on säätiön tai yhdistyksen nimenkirjoitusoikeus.

Ehdotetun lain useamman säännöksen soveltamisen kannalta merkityksellistä olisi se, onko selvityksen kohteella pääsy luokiteltuun asiakirjaan, mitä koskeva määritelmä sisältyy lakiehdotuksen 3 §:n 11 kohtaan. Käytännössä yritys tai henkilö voi havaintojensa tai muutoin ilman asiakirjan välitystä saada vastaavia tietoja esimerkiksi sotilasmateriaaleista ja laitteista sekä niiden sijainnista. Tämän vuoksi pykälän 3 momentissa ehdotetaan säädettäväksi, että luokiteltua asiakirjaa koskevia säännöksiä sovelletaan myös tietoihin, jotka on saatu suullisesti tai voidaan saada havainnoimalla, jos tällaisia tietoja sisältävät asiakirjat olisi luokiteltavissa mainitussa kohdassa tarkoitettujen säännösten perusteella.

2 luku Selvityksen kohteen asema ja oikeudet

4 §. Ilmoittaminen turvallisuusselvityksestä. Ehdotetun 1 momentin mukaan sen, joka aikoo hakea ehdotetussa laissa tarkoitetun henkilöturvallisuusselvityksen laatimista palvelussuhteeseen tai toimeksiantosuhteeseen valittavasta, on ilmoitettava tästä viran tai tehtävän täytettävänä oloa koskevassa ilmoituksessa tai muulla sopivalla tavalla. Sama koskee koulutuksen järjestäjää, jos koulutukseen valittavasta on tarkoitus pyytää henkilöturvallisuusselvitys.

Avoimuuden toteuttaminen on keskeinen henkilötietojen suojan periaate, mikä ilmenee myös yksityisyyden suojasta työelämässä annetusta laista. Siksi on tärkeää, että henkilöt, jotka aikovat hakea virkaa, tietävät ennakolta, että valittavasta henkilöstä on tarkoitus pyytää turvallisuusselvitys laadittavaksi. Informointivelvoite vaikuttaisi myös ennalta ehkäisevästi esimerkiksi siten, että henkilöt, joilla ei ole tehtävän hoidossa edellytettävää nuhteettomuutta, eivät hae tehtävää. Tämä osaltaan yksinkertaistaisi valintaa ja olisi omiaan vähentämään tarpeettomien selvitysten laadintaa.

Avoimuudella on merkitystä myös yritykselle sen arvioidessa mahdollisuuksia osallistua hankintakilpailuun. Aikeista hakea yritysturvallisuusselvityksen laatimista olisi hankintailmoituksessa tai tarjouspyynnössä ilmoitettava yritysturvallisuusselvitysselvityksen laadinnasta. (2 momentti). Jos kysymys ei ole puolustus- ja turvallisuushankinnoista annetussa laissa tarkoitetusta puolustus- ja turvallisuushankinnasta, tieto voidaan antaa myös muulla tavalla. Ehdotettu sääntely ei siten muuttaisi puolustus- ja turvallisuushankinnoista annetussa laissa säädettyä informointivelvoitetta.

Informointivelvoitetta merkitseviä säännöksiä ei ehdotetun 3 momentin mukaan sovellettaisi, jos selvityksen kohde itse hakee turvallisuusselvityksen laatimista.

5 §. Selvityksen kohteen suostumus. Ehdotetussa 1 momentissa ilmenisi jo nykyisessä laissa omaksuttu lähtökohta, jonka mukaan turvallisuusselvityksen laatiminen edellyttää selvityksen kohteen etukäteen antamaa kirjallista suostumusta. Suostumus turvaa menettelyn avoimuutta ja sillä on merkitystä myös henkilötietojen suojan kannalta, vaikka henkilötietojen käsittelyn perusteena olisikin varsin yksityiskohtaiset tietojenkäsittelyä koskevat säännökset. Suostumusta koskevan vaatimuksen tehtävänä on varmistaa, ettei kenestäkään voi tehdä turvallisuusselvitystä hänen tietämättään.

Suostumuksella on erityinen merkitys arvioitaessa ehdotettujen säännösten merkitystä yksityisyyden suojan ja yksilön itsemääräämisoikeuden sekä tiedonsaannin kannalta. Ehdotuksen mukaan suostumus olisi kuitenkin edellytyksenä myös yritysturvallisuusselvityksen laatimiselle. Tätä on pidettävä luonnollisena seurauksena siitä, että yritysturvallisuusselvityksen tarve useimmiten liittyy sellaisiin tilanteisiin, joissa yritys on tekemässä sopimuksen ja joissa selvityksen laadinta liittyy kiinteänä osana sopimuksen tekemiseen ja sen edellytyksiin. Yrityksillä voidaan katsoa muutoinkin olevan oikeus edellyttää, että niitä ja niiden toimintaa arvioidaan viranomaisissa vain laissa säädetyissä tilanteissa ja siten, että yritykset voivat olla tästä tietoisia.

Suostumus olisi tarpeen myös turvallisuusselvitykseen liittyvää 51 §:ssä tarkoitettua seurantaa varten, vaikka laki sisältäisikin varsin tarkat säännökset seurannan toteuttamisesta. Suostumuksella olisi merkitystä menettelyjen avoimuuden ja selvityksen kohteen tiedonsaannin kannalta. Se, että suostumusta seurantaa varten ei anneta, voi vaikuttaa turvallisuusselvityksen perusteella annettavan todistuksen voimassaoloon.

Suostumusasiakirjasta tulisi 2 momentin mukaan käydä ilmi, että selvityksen kohde on ennen suostumuksen antamista saanut tiedon turvallisuusselvityksen ja luotettavuuden seurannan tarkoituksesta ja niiden käytöstä, turvallisuusselvitykseen ja sen seurantaan liittyvästä tietojenkäsittelystä sekä oikeudestaan saada tieto selvityksen sisällöstä.

Suostumus henkilöä koskevan turvallisuusselvityksen laatimiseen voitaisiin ehdotetun 3 momentin mukaan antaa siten, että se kattaa kaikki ne tilanteet, joissa suostumuksessa määritellyn palvelussuhteen tai tehtävän aikana on tarpeen laatia selvitys tai antaa sen perusteella turvallisuusselvitystodistus.

Käytännössä on tullut esiin tilanteita, joissa virkamiesten kansainväliseen yhteistyöhön osallistumisen vuoksi samasta henkilöstä on katsottu tarpeelliseksi laatia hyvinkin lyhyen ajan sisällä uusi selvitys. Tällaisesta menettelystä on tarpeen kustannussyistä luopua etenkin, kun menettelyjen yksinkertaistamisesta ei voida katsoa seuraavan rekisteröidyn aseman vaarantumista.

Suostumus voitaisiin antaa siten, että se kattaa toimimisen tietyllä hallinnonalalla. Tämä on nähty tarkoituksenmukaiseksi menettelyksi erityisesti ajateltaessa puolustus- ja ulkoasiain hallintoa, jossa tavanomaisia ovat pitkät työurat saman hallinnonalan sisällä, vaikka yksittäiset virkamääräykset muuttuvatkin ajan kuluessa. Muillakin hallinnonaloilla esimerkiksi Euroopan unioniin liittyvien tehtävien vuoksi henkilöt voivat toimia eri viroissa samalla hallinnonalalla.

Jos selvityksen kohde itse hakee turvallisuusselvityksen laadintaa, suostumusasiakirjan sijasta olisi 4 momentin mukaisesti annettava selvityksen kohteen ilmoitus, josta tulee käydä ilmi 2 momentissa tarkoitetut tiedot.

6 §. Oikeus saada tieto turvallisuusselvityksestä. Jokaisella olisi ehdotetun 1 momentin mukaan oikeus saada toimivaltaiselta viranomaiselta tieto siitä, onko hänestä tehty turvallisuusselvitys. Selvityksen kohteella olisi oikeus pyynnöstään saada toimivaltaiselta viranomaiselta myös turvallisuusselvityksen sisältämät tiedot. Tämän oikeuden rajoituksista olisi säännökset 3 momentissa.

Turvallisuusselvityksen hakijan olisi ehdotetun 2 momentin mukaan ilmoitettava selvityksen kohteelle selvityksen lopputuloksesta. Tämä voisi tapahtua suullisesti, jos lopputuloksestakin on ilmoitettu suullisesti. Näin menetellään silloin, kun selvityksessä ei ole tullut esille mitään sellaista, josta olisi ilmoitettava selvityksen hakijalle.

Jos turvallisuusselvityksen perusteella on turvallisuusselvityksestä annettu tieto hakijalle kirjallisena tai sen perusteella todistus, todistus ja selvitys olisi annettava selvityksen kohteelle myös nähtäväksi tai pyydettäessä kopiona. Momentti merkitsisi selvityksen kohteen tiedonsaantioikeuksien tehostumista nykyiseen lakiin verrattuna.

Pykälässä säädettävää tiedonsaantioikeutta ei ehdotetun 3 momentin mukaan olisi, jos tieto on peräisin sellaisesta henkilörekisteristä, johon rekisteröidyllä ei ole tarkastusoikeutta. Vastaava rajoitus sisältyy voimassa olevaan lakiin. Tällainen rekisteri on esimerkiksi suojelupoliisin toiminnallinen tietojärjestelmä sekä epäiltyjen rekisteri.

Jos toimivaltainen viranomainen kieltäytyisi antamasta tietoja, sen tulisi ehdotetun 4 momentin mukaan ilmoittaa syyt tähän tietoja pyytäneelle annettavassa kirjallisessa päätöksessä.

7 §. Selvityksen kohteen huomautusoikeus. Henkilöturvallisuusselvityksen kohteella olisi ehdotetun 1 momentin mukaan oikeus tehdä huomautus haastattelun tai 28 §:ssä tarkoitetun henkilötietolomakkeen tietojen tarkistamismenettelyn yhteydessä esiin tulleista seikoista.

Toimivaltaisen viranomaisen olisi ehdotetun 2 momentin mukaan tehtävä selvityksen kohteen haastattelun tai henkilölomakkeen tietojen tarkistamismenettelyn yhteydessä esittämästä huomautuksesta merkintä kohteesta laadittuun turvallisuusselvitykseen, jollei tietoa huomautuksen johdosta heti oikaista tai jollei huomautusta ole pidettävä ilmeisen perusteettomana.

Jos toimivaltainen viranomainen kieltäytyy tekemästä huomautuksesta merkintää turvallisuusselvitykseen, sen tulisi ehdotetun 3 momentin mukaan ilmoittaa syyt tähän selvityksen kohteelle annettavassa kirjallisessa päätöksessä.

Ehdotetun 4 momentin mukaan rekisteriin sisältyvän tiedon korjaamisesta säädetään erikseen. Tällä viitataan henkilötietolain 29 §:n tiedon korjaamista koskeviin säännöksiin. Rekisteröidyn tarkastusoikeuden ulkopuolelle jäävien rekistereiden tietojen tarkastaminen voi toteutua välillisesti erityissäännösten perusteella. Henkilötietojen käsittelystä poliisitoimessa annetun lain 45 §:n mukaan tietosuojavaltuutettu voi rekisteröidyn pyynnöstä tarkastaa rekisteröityä koskevien tietojen lainmukaisuuden rekisteröidyn tarkastusoikeuden ulkopuolelle jäävän suojelupoliisin toiminnallisen tietojärjestelmässä. Vastaava sääntely koskee pääesikunnan tutkintaosaston ylläpitämää turvallisuustietorekisteriä.

8 §. Säännösten soveltaminen läheisiin. Lakiin ehdotetaan selvyyssyistä otettavaksi säännös, jonka mukaan sellaisen selvityksen kohteena olevan henkilön läheisiin, joita koskevat tiedot ovat olleet osana henkilöturvallisuusselvitystä, sovellettaisiin samoja tiedonsaantioikeuksia ja huomautusoikeutta koskevia säännöksiä kuin henkilöön, jonka virka- tai työtehtävistä selvityksen laatiminen johtuu.

3 luku Toimivaltaiset viranomaiset ja niiden harkinnan ohjaus

9 §. Toimivaltaiset viranomaiset. Ehdotetun 1 momentin mukaan suojelupoliisilla olisi yleinen toimivalta päättää turvallisuusselvityksistä. Suojelupoliisi laatisi perusmuotoisen henkilöturvallisuusselvityksen ja yritysturvallisuusselvityksen sekä suppean henkilöturvallisuusselvityksen, jos selvitys on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi.

Suojelupoliisissa voisi tämän lain mukaisissa tehtävissä toimia pääesikunnan osoittamia yhteyshenkilöitä, mikä on katsottu tarpeelliseksi eri viranomaisten välisen yhteistyön tiivistämiseksi sekä yhtenäisten menettelyjen varmistamiseksi. Yhteyshenkilöt olisivat myös tärkeitä esimerkiksi epäiltyjen rekisterin tietojen välittämiseksi pääesikunnalle sekä yhteisten asiankäsittelyssä käytettävien lomakkeiden ja menettelyjen luomisessa.

Poliisihallituksen määräämä poliisihallinnon yksikkö huolehtisi ehdotetun 2 momentin suppean henkilöturvallisuusselvityksen laatimisesta. Suojelupoliisi laatii kuitenkin suppean henkilöturvallisuusselvityksen 1 momentissa säädettävässä tapauksessa. Pääesikunta voisi laatia suppeita turvallisuusselvityksiä 3 momentissa tarkoitetuissa tapauksissa.

Suppeiden turvallisuusselvitysten keskittämistä lain voimaantullessa muutamaan poliisilaitokseen on pidetty tarpeellisena useista eri syistä. Nykyisen hajautetun järjestelmän on katsottu erityisesti elinkeinoelämässä johtaneen erilaisiin tulkintakäytäntöihin maan eri osissa ja siten turvallisuusselvitysten hakijoiden erilaiseen kohteluun.

Esityksellä pyritään eri tavoin saamaan aikaan tehokkuutta ja yhtenäisyyttä taustojen selvittämistä koskeviin menettelyihin, mikä korostaa kyseisiä tehtäviä hoitavien yhteistyötä ja toiminnan koordinointia sekä yhteisen keskitetyn tietojärjestelmän käyttöä. Yhteneväiset ja johdonmukaiset menettelytavat turvallisuusselvityksiä tarvitsevien sijaintipaikasta riippumatta tehostavat ja varmistavat paitsi yritysten, myös selvitysten kohteiden yhdenvertaista kohtelua. Yhteisten menettelytapojen varmistamisessa olisi käytettävissä arviointikriteerilautakunnan tulkintasuositukset (12 §) sekä toimivaltaisten viranomaisten yhteistyö (13 §).

Henkilöturvallisuusselvityksen tekemisestä päättäisi pääesikunta 3 momentissa säädettävissä tapauksissa. Tarkoituksena on ollut, että pääesikunta laatisi henkilöturvallisuusselvityksen kaikissa niissä tapauksissa, joissa selvityksen kohde toimii tai on tarkoitus toimia puolustusvoimissa taikka hoitaa puolustusvoimien antamaa tehtävää tai joissa selvitys liittyy puolustusvoimien toimintaan tai hankintoihin.

Ehdotus merkitsee muun ohella, että pääesikunta laatisi selvityksen vapaaehtoiseen maanpuolustuskoulutukseen tai siihen liittyviin yhdistystehtäviin valittavista sekä kansainvälisiin kriisinhallinta- ja rauhanturvaamistehtäviin valittavista.

Pääesikunta päättäisi yritysturvallisuusselvityksen tekemisestä yrityksestä, joka hoitaa tai jonka on tarkoitus hoitaa puolustusvoimien antamaa tehtävää taikka joka liittyy puolustusvoimien hankintoihin. Näistä hankinnoista osaa koskee puolustus- ja turvallisuushankinnoista annettu laki. Puolustus- ja turvallisuushankintoja koskevat määritelmät sisältyvät mainitun lain 5 §:ään.

Pääesikunnan tehtävät yritysturvallisuusselvityksistä ovat vähentyneet kansainvälisten tietoturvallisuusvelvoitteiden hoitamisessa. Ehdotettu tehtävienjako kansallisissa hankkeissa on lähtökohtana tarkoituksenmukainen. Joissakin tilanteissa olisi kuitenkin tarkoituksenmukaisuussyistä oltava mahdollista, että viranomaiset sopivat keskenään tehtävien hoidosta. Tällainen tilanne voi olla erityisesti silloin, kun yritysturvallisuusselvitystä hakenut yritys on aikaisemmin ollut sopimussuhteissa puolustusvoimiin, missä yhteydessä sen turvallisuustasoa on selvitetty.

Ehdotetussa 4 momentissa olisi säännökset Viestintäviraston tehtävistä laatia yritysturvallisuusselvityksen tietoturvallisuuden tasoa koskeva selvitys ja arviointi. Tehtävä vastaa Viestintävirastolle nykyisin kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa määriteltyä.

Ehdotetun 5 momentin mukaan toimivaltaiset viranomaiset voivat yksittäistapauksessa sopia, että toinen viranomainen laatii turvallisuusselvityksen tai sen osan toisen viranomaisen sijasta. Säännös vastaa asiasisällöltään nykyisin kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 5 §:ää. Säännös on tarpeen järkevän ja tarkoituksenmukaisen työnjaon toteuttamiseksi kulloinkin esillä olevan tapauksen käsittelemiseksi.

10 §. Viranomaisen harkinta turvallisuusselvitysasian käsittelyyn ottamisesta. Ehdotettuun 1 momenttiin sisältyy kielto laatia turvallisuusselvitystä, jos selvityksen kohteesta on laadittu voimassa oleva vastaava turvallisuusselvitys. Säännös on katsottu tarpeelliseksi menettelyjen tehokkuuden varmistamiseksi. Pääsäännöstä voitaisiin poiketa erityisistä syistä. Tällaisena erityisenä syynä voisi olla se, että lakiehdotuksen 51 §:ssä tarkoitetussa seurannassa olisi tullut ilmi, että selvityksen kohdetta koskeva esitutkinta tai syyteharkinta on vireillä uutta turvallisuusselvitystä koskevan hakemuksen tullessa vireille.

Ehdotettuun 2 momenttiin sisältyisi vireille tulevien asioiden käsittelyjärjestystä koskeva säännös. Ehdotuksen mukaan turvallisuusselvitykset, joiden hakeminen perustuisi laissa säädettyyn velvollisuuteen tai joiden perusteella olisi lain mukaan velvollisuus antaa turvallisuusselvitystodistus, olisivat ehdotetun priorisointisäännöksen soveltamisalan ulkopuolella.

Ehdotuksen mukaan sääntönä olisi, että turvallisuusselvitykset suoritetaan toimivaltaisen viranomaisen käytettävissä olevien voimavarojen mukaisesti. Ehdotetut säännökset antaisivat toimivaltaiselle viranomaiselle mahdollisuuden hoitaa tehtävänä suunnitelmallisesti ja ottaen huomioon haettujen turvallisuusselvityksien merkitys turvallisuuden kannalta. Säännöksissä annettaisiin harkinnan ohjaamiseksi kriteereitä käsittelyyn otettavien asioiden ensisijaisuuden harkitsemiseksi.

Jos laissa ei velvoiteta haetun turvallisuusselvityksen hankkimiseen, toimivaltaisen viranomaisen tulisi pitää huolta, että kaikissa olosuhteissa voidaan huolehtia kansainvälisistä tietoturvallisuusvelvoitteista (1 kohta).

Käsittelyjärjestystä ja käsittelyyn ottamista harkittaessa tulisi ottaa huomioon myös haetun turvallisuusselvityksen merkitys tietoturvallisuuden varmistamisessa julkishallinnossa taikka yhteiskunnan elintärkeiden toimintojen tai erittäin tärkeiden yksityisten etujen suojaamisessa (2 kohta). Tällä korostettaisiin sitä, että valintatilanteissa julkishallinnon yksikön tekemissä hakemuksissa etusija tulisi antaa sellaisille selvityksille, joilla on laajempi merkitys julkishallinnossa. Jos kysymys on yritysturvallisuusselvityksistä, esimerkiksi paljon tietojenkäsittelypalveluja julkishallinnolle antavan yrityksen taustojen selvittäminen saisi etusijan suhteessa muihin. Toisena huomioon otettavana seikkana olisi haetun turvallisuusselvityksen yleinen merkitys yhteiskunnan elintärkeiden toimintojen suojaamisessa. Kolmanneksi olisi otettava huomioon hakemuksen yleinen merkitys erittäin tärkeän yksityisen taloudellisen edun suojaamisessa. Säännös vaikuttaisi määriteltäessä yritysten tekemien hakemusten keskinäistä käsittelyjärjestystä.

Huomiota tulisi kiinnittää myös selvityksen hakijoiden ja kohteiden yhdenvertaiseen kohteluun (3 kohta).

11 §. Eräiden selvityksen kohdetta koskevien seikkojen huomioon ottaminen henkilöturvallisuusselvityksen laadinnassa. Pykälä ohjaisi toimivaltaisen viranomaisen harkintavaltaa sen käsitellessä henkilöturvallisuusselvitystä koskevaa asiaa. Säännökset liittyvät esityksen tavoitteeseen yhdenmukaistaa turvallisuusselvitysmenettelyjä eri viranomaisissa.

Jos henkilöturvallisuusselvitystä laadittaessa ilmenee, että selvityksen kohde on lainvoimaisella ratkaisulla tuomittu rangaistukseen, toimivaltaisen viranomaisen olisi selvityksen lopputulosta harkitessaan otettava erityisesti huomioon ehdotetun 1 momentin mukaan teosta kulunut aika (1 kohta) sekä selvityksen kohteen ikä tekohetkellä (2 kohta). Säännös on tarpeen sen vuoksi, että etenkin poliisin henkilörekistereihin talletetut tiedot saattavat säilyä verrattain pitkään.

Säännökset koskisivat rangaistuksen sisältävien tuomioiden lisäksi tietoja ratkaisusta, jossa henkilö rikoslain (39/1889) 3 luvun 4 §:n 1 tai 2 momentin nojalla on jätetty rangaistukseen tuomitsematta. Mainitut tiedot ilmenevät rikosrekisteristä rikosrekisterilain mukaisesti.

Yleensä henkilöturvallisuusselvitystä vastaavissa menettelyissä eri maissa käytännössä edellytetään taustan selvittämistä kymmenen vuoden ajalta ennen selvitysten antamista. Henkilön nuhteettomuuden ei voida katsoa menevän yhden rikkeen takia pysyvästi. Vertailun vuoksi voidaan todeta, että kansalaisluottamus voitiin aikanaan tuomita yhdestä 15 vuoteen.

Lain 32 §:ään ehdotetaan otettavaksi säännös, jonka mukaan 10 vuotta vanhempia tekoja koskevia tietoja saisi käyttää vain, jos tiedot ovat saatavissa rikosrekisteristä. On selvää, että tätä tuoreimpienkin tietojen käyttöä harkittaessa olisi otettava huomioon suhteellisuusperiaate. Erityisesti olisi pidettävä huolta siitä, että henkilön ikä tekohetkellä otetaan huomioon. Tällä vaatimuksella pyritään ehkäisemään sitä, että vähäiset ja nuoruuden tilapäiseksi jääneen kehitysvaiheen vähäiset rikkomukset eivät saisi pysyväisluonteista tai muutoin suhteetonta vaikutusta henkilön arviointiin hänen siirtyessään työelämään.

Rikollista tekoa koskevien tietojen arvioinnissa olisi otettava huomioon tekojen toistuvuus ja niiden osoittama piittaamattomuus toisten oikeuksista taikka harkintakyvyn puutteesta (3 kohta) sekä seuraamusten ankaruus (4 kohta). Mitä useampia rikoksia on, sitä suurempi merkitys niillä voi olla selvityksen lopputulokseen. Sama vaikutus on tuomioistuimen rangaistuksen suuruutta koskevilla tiedoilla.

Merkittävä turvallisuusselvityksen laadinnassa arvioitavaksi tuleva seikka on teon luonne tai merkittävyys suhteessa selvityksen perustana olevan tehtävän kannalta (kohta 5). Säännöksellä on tarkoitus viitata siihen, että eri tehtävissä vaadittavan luotettavuuden arvioinnissa voivat painottua erilaiset rikolliset teot ja rikkomukset. Esimerkiksi liikennerikkomuksilla ei välttämättä olisi merkitystä, jollei niihin ole syyllistytty toistuvasti etenkään, jos tehtäviin ei kuulu ajoneuvojen kuljettaminen.

Ehdotetun 2 momentin mukaan 1 momentin säännöksiä sovellettaisiin myös arvioitaessa tietoja poliisitoimen tekemistä selvityksen kohdetta koskevista päätöksistä tai toimenpiteistä.

Poliisitoimen päätöksillä tarkoitetaan esimerkiksi tietoja ampuma-aselupaa koskevissa asioissa. Poliisin toimenpiteitä koskevilla tiedoilla tarkoitetaan esimerkiksi tietoja poliisilain nojalla tapahtuneista kiinniotoista juopumuksen vuoksi. Tällaisia tietoja säilytetään henkilötietojen käsittelystä poliisitoimessa annetun lain mukaan viisi vuotta tapauksesta. On lisäksi otettava huomioon, että poliisiasiain tietojärjestelmään kuuluu nykyisin myös poliisiasiain päätearkisto, jossa tiedot säilyvät tätäkin kauemmin.

Rikosilmoitusta sekä esitutkinnassa ja syyteharkinnassa olevia asioita koskevien tietojen käyttörajoituksista säädettäisiin tarkemmin 32 §:ssä, mihin selvyyssyistä ehdotetaan otettavaksi viittaus pykälän 3 momenttiin.

12 §. Arviointikriteerilautakunta. Pykälän 1 momentissa ehdotetaan perustettavaksi oikeusministeriön yhteydessä toimiva arviointikriteerilautakunta, jonka valtioneuvosto asettaisi oikeusministeriön esityksestä. Lautakunnassa olisi julkishallinnon tietoturvallisuuden yleisestä ohjauksesta vastaavan ministeriön, puolustushallinnon, ulkoasiainhallinnon ja muiden yleisten etujen suojaamisen kannalta keskeisten hallinnonalojen sekä ammattijärjestöjen ja elinkeinoelämän edustus samoin kuin asiaan liittyvän oikeudellisen alan asiantuntemus.

Ehdotetusta 2 momentista ilmenisi lautakunnan perustamisen tarkoitus. Arviointikriteerilautakunnan tehtävänä olisi toimivaltaisten viranomaisten päätöksenteon tueksi sekä yhtenäisen ja johdonmukaisen tulkintakäytännön edistämiseksi käsitellä ja esittää yleisiä tulkintasuosituksia. Kysymys ei siten olisi yksittäisen turvallisuusselvityshakemuksen käsittelystä, minkä vuoksi arviointikriteerilautakunnan käsittely ehdotetun momentin mukaisissa asioissa ei vaikuttaisi hakemusten käsittelyaikoihin. Arviointilautakunnan perustaminen ja sen toiminta olisi omiaan lisäämään turvallisuusselvitysmenettelyn avoimuutta yleisellä tasolla sekä lisäämään luottamusta siihen.

Lautakunnan tulkintasuositukset eivät sellaisenaan ja muodollisesti sitoisi toimivaltaisia viranomaisia. Näillä olisi kuitenkin tarpeen olla asialliset ja kulloinkin käsiteltävänä olevaan hakemukseen liittyvät erityiset syyt poiketa yleisistä tulkintasuosituksista.

Ehdotetun lain 18—21 § §:ssä säädettäisiin yleisin säännöksin henkilöturvallisuusselvitysmenettelyn piiriin kuuluvista tehtävistä. Lautakunta voisi antaa tulkintasuosituksia tehtävistä, joista laissa säädetyt edellytykset huomioon otettuina voidaan laatia turvallisuusselvitys (1 kohta). Tehtävä on merkityksellinen sen vuoksi, että lain tasoisiin säännöksiin liittyy säännönmukaisesti erilaisia tulkintavaihtoehtoja.

Toiseksi tulkintasuosituksia voitaisiin antaa siitä, miten erilaisten rikollista tekoa koskevien tietojen merkitystä olisi asianmukaista arvioida erilaisten tehtävien hoidon kannalta ja selvityksen kohteen haastattelun tarpeesta asiaa arvioitaessa (kohta 2).

Arviointilautakunta voisi antaa yleisiä tulkintasuosituksia myös seikoista, jotka voivat vaikuttaa turvallisuusselvitystodistuksen antamiseen (kohta 3). Tämä on tarpeen sen vuoksi, että todistuksia antaa useampi viranomainen ja todistuksien antamiseen vaikuttavilla tiedoilla on tai voi olla erilainen merkitys sen mukaan, minkälaisia tehtäviä varten todistus annetaan.

Ehdotetun 4 kohdan mukaan arviointilautakunta voisi antaa tulkintasuosituksia turvallisuusselvityksen ja sen perusteella annetun turvallisuusselvitystodistuksen peruuttamisesta. Vaikka näitä asioita ei oletettavasti olisikaan paljon, on yleisten tulkintasuositusten antaminen peruuttamisen merkityksen vuoksi. Tärkeätä olisi, että tulkintasuosituksia voitaisiin näissä asioissa kehittää jo ennen kuin mainittuja asioita on tullut vireille toimivaltaisissa viranomaisissa.

Ehdotetun 5 kohdan mukaan arviointilautakunta voisi antaa tulkintasuosituksia muistakin toimenpiteistä yhtenäisten sekä turvallisuusselvityksen hakijoiden ja selvityksen kohteiden yhdenvertaisen kohtelun varmistamiseksi turvallisuusselvitysmenettelyssä.

Ehdotetun 3 momentin mukaan arviointikriteerilautakunnan tehtävänä olisi lisäksi antaa suojelupoliisille lausunto 22 §:ssä tarkoitetussa asiassa. Lausuntoasiassa lautakunta käsittelisi siis yksittäistä turvallisuusselvitysasiaa.

Ehdotetun lain 22 §:ssä annettaisiin suojelupoliisille oikeus päätöksellään hyväksyä yrityksen muitakin kuin lain 18 – 21 §:ssä yksityiskohtaisemmin lueteltuja tehtäviä turvallisuusselvitysmenettelyn piiriin. Lakiehdotuksen 22 §:n perusteluissa mainituista syistä arviointikriteerilautakunta antaisi lausunnon hakemuksesta tehtävien hyväksymisestä selvitysmenettelyn piiriin.

13 §. Toimivaltaisten viranomaisten yhteistyö. Turvallisuusselvitysten laadinta kuulusi useammalle eri viranomaiselle, minkä vuoksi viranomaisten yhteistyöllä on tavanomaista suurempi merkitys uudistuksen tavoitteiden toteuttamisessa. Hallintolain (434/2003) 10 §:ssä on yleinen säännös viranomaisten yhteistyöstä ja velvollisuudesta pyrkiä edistämään viranomaisten välistä yhteistyötä.

Ehdotetun lain keskeisiä menettelyyn liittyviä tavoitteita on edistää yhtenäisten menettelytapojen ja käytäntöjen toteutumista turvallisuusselvitysmenettelyssä. Tämän vuoksi ehdotetaan lakiin otettavaksi nimenomainen säännös viranomaisten velvollisuudesta yhteistyöhön turvallisuusselvityksen ja sen perusteella annettavan todistuksen yhtenäisen esittämistavan sekä arviointikriteerilautakunnan suosituksiin perustuvan yhtenäisen soveltamiskäytännön luomiseksi.

4 luku Henkilöturvallisuusselvitys

Henkilöturvallisuusselvityksen tasot

14 §. Perusmuotoinen, laaja ja suppea henkilöturvallisuusselvitys. Pykälästä ilmenisi henkilöstä laadittavan turvallisuusselvityksen erilaiset tasot. Henkilöturvallisuusselvitys voitaisiin tehdä perusmuotoisena, laajana ja suppeana, kuten nykyisinkin. Eri turvallisuusselvitykset tasot eroaisivat toisistaan sen suhteen, minkälaisia tietolähteitä niitä laadittaessa on lupa käyttää.

Henkilöturvallisuusselvityksen hakeminen

15 §. Henkilöturvallisuusselvityksen hakemiseen oikeutetut. Henkilöturvallisuusselvitystä voisi hakea ehdotetun 1 momentin pääsäännön mukaan selvityksen kohteen työnantaja. Momentissa on otettu huomioon, että turvallisuusselvityksen hakeminen voi johtua kansainvälisestä velvoitteesta taikka muussa laissa olevasta säännöksestä.

Kuten ehdotetusta 3 §:n 8 kohdasta ilmenee, työnantajalla tarkoitettaisiin myös sitä, joka on valitsemassa henkilöä palvelussuhteeseen. Hakijana voisi olla kuitenkin myös se, jonka antamaa toimeksiantoa tai siihen kuuluvaa tehtävää selvityksen kohteen olisi tarkoitus hoitaa tai jota hän hoitaisi. Jos turvallisuusselvitys laadittaisiin koulutukseen osallistuvasta, hakijana olisi koulutuksen järjestäjä.

Turvallisuusselvityksen hakemista koskevat kansainvälisiin tehtäviin liittyvät poikkeussäännökset ovat ehdotetussa 2 momentissa. Niiden soveltamisen yleisenä edellytyksenä olisi, että turvallisuusselvitystä edellytetään kansainvälisen järjestön tai toimielimen säännöissä tai toisen valtion laissa. Kansainvälisellä järjestöllä ja toimielimellä viitataan valtioiden välisiin organisaatioihin, kuten Yhdistyneet kansakunnat (YK), Kansainvälinen atomienergiajärjestö (IAEA) ja Euroopan turvallisuus- ja yhteistyöjärjestössä (ETYJ).

Kansainväliseen tehtävään vedoten ei olisi mahdollisuutta saada turvallisuusselvitystä eräänlaisena mainetodistuksena. Momentin tarkoituksena on turvata se, että Suomen kansalaiset voisivat tulla valituksi kansainvälisiin tehtäviin.

Sen 1 kohdan mukaan henkilöturvallisuusselvitys voitaisiin laatia esimerkiksi selvityksen kohteen pyynnöstä, jos se on tarpeen sen vuoksi, että hänet voidaan valita hoitamaan tehtäviä kansainvälisessä järjestössä tai toimielimessä taikka toisessa valtiossa. Säännös mahdollistaisi selvityksen laatimisen sellaisessakin tilanteessa, joissa kansainvälisen tehtävän edellyttämistä turvallisuustoimista ei ole tehty kansainvälistä sopimusta.

Ehdotetun 2 kohdan mukaan selvitys voitaisiin laatia, jos se on tarpeen sen vuoksi, että selvityksen kohde voisi aloittaa yritystoiminnan toisessa valtiossa.

16 §. Valtionhallinnon viranomaisen velvollisuus henkilöturvallisuusselvityksen hakemiseen. Valtionhallinnossa ollaan asteittain korottamassa tietoturvallisuuden tasoa. Tämän kehittämistyön ohjaamiseksi ja tukemiseksi sekä yhdenmukaisten menettelyjen toteuttamiseksi eri hallinnonaloilla ehdotetaan valtioneuvostolle annettavaksi oikeus asetuksella säätää velvollisuudesta hankkia henkilöturvallisuusselvitys.

Velvollisuus voisi ehdotuksen mukaan koskea sellaisiin työtehtäviin valittavia, joilla työtehtävissään on muutoin kuin satunnaisesti oikeus käsitellä suojaustasoon I tai II kuuluvia asiakirjoja (1 momentti). Velvollisuus voitaisiin säätää koskemaan myös muita sellaisia tehtäviä, joissa selvityksen kohde salassa pidettäviä tietoja paljastamalla tai muilla tavoin voi vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, turvallisuusjärjestelyjä, poikkeusoloihin varautumista tai väestönsuojelua. Kysymys voisi olla siten tehtävistä, joissa on mahdollista luokitustasosta riippumatta taikka esimerkiksi yksinomaan lainvastaisella tosiasiallisella toiminnalla aiheuttaa lainkohdassa määriteltäviä seurauksia.

Turvallisuusselvityksen hakemista koskevan velvollisuuden perusteella annettu selvitys ei sitoisi asianomaista viranomaista. Tämän vuoksi esityksessä ehdotetaan virkamieslakia muutettavaksi (lakiehdotus n:o 10). Sen mukaan virkamieslain nojalla voitaisiin säätää velvollisuudesta varmistaa, että virkaan nimitettävällä henkilöllä on henkilöturvallisuusselvityksen perusteella annettu henkilöturvallisuusselvitystodistus. Näissä tapauksissa turvallisuusselvitystodistus olisi edellytyksenä virkaan nimittämiselle, minkä vuoksi asiaa koskevat säännökset kuuluvat virkamieslakiin. Vaatimus todistuksesta merkitsee käytännössä sitä, että henkilön luotettavuus ja nuhteettomuus on varmistettu turvallisuusselvitysmenettelyssä.

17 §. Henkilöturvallisuusselvitystä koskeva hakemus ja sen käsittelyä varten annettavat tiedot. Turvallisuusselvitystä, kuten nykyistä turvallisuusselvitystäkin, tulisi hakea kirjallisesti. Tämä vaatimus on kirjattu ehdotettuun 1 momenttiin. Turvallisuusselvitysten laadinta perustuu selvityksen kohteen suostumukseen. Ehdotuksen mukaan turvallisuusselvitystä koskevaan hakemukseen tulisi liittää selvityksen kohteen antama suostumus tai, jos selvityksen kohde itse hakee selvitystä, lain 5 §:n 4 momentissa tarkoitettu selvitys.

Sähköisestä asioinnista viranomaistoiminnassa annetun lain (13/2003) 9 §:n mukaan vireillepanossa ja asian muussa käsittelyssä vaatimuksen kirjallisesta muodosta täyttää myös viranomaiselle toimitettu sähköinen asiakirja. Jos asian vireillepanossa tai muussa käsittelyssä edellytetään allekirjoitettua asiakirjaa, allekirjoitusvaatimuksen täyttää myös sähköisistä allekirjoituksista annetun lain (14/2003) 18 §:ssä tarkoitettu sähköinen allekirjoitus. Ehdotetussa laissa ei nimenomaiseksi edellytykseksi säädetä allekirjoitusta. On kuitenkin selvää, että selvityksen kohteen suostumusasiakirjassa on selvityksen kohteen allekirjoitus. Selvityksen laadinta voisi perustua sähköisenä tallenteena välitettyyn suostumusasiakirjaan, jos viranomainen katsoo sen tilannekohtaisista syistä luotettavaksi eikä pidä tarpeellisena näiltä osin täydentämismenettelyä.

Ehdotetussa 2 momentissa kuvattaisiin ne yleiset perustiedot, jotka olisi annettava henkilöturvallisuusselvitystä haettaessa. Hakemuksessa tulisi ilmoittaa ensiksikin selvityksen kohdetta koskevat perustiedot, toisin sanoen henkilön nimi ja henkilötunnus tai, jollei sitä ole käytettävissä, syntymäaika ja syntymäpaikka. Samoin tulisi ilmoittaa selvityksen kohteen kotikunta, yhteystiedot, kansalaisuus ja ammatti sekä muutokset nimessä, henkilötunnuksessa ja kansalaisuudessa (1 kohta). Toiseksi tulisi ilmoittaa, mihin virkaan tai tehtävään selvityksen kohde aiotaan nimittää tai jota hän hoitaa (2 kohta). Samoin tulisi ilmoittaa sellaiset virkaa ja tehtävää kuvaavat yksityiskohtaisemmat tiedot, jotka ovat tarpeen turvallisuusselvityksen laatimisen edellytyksiä harkittaessa (3 kohta). Siten esimerkiksi pelkkä virkanimikkeen ilmoittaminen ei olisi riittävää.

Ehdotettu 4 kohta sisältää erityissäännökset hakemuksen tietosisällöstä. Tiedot liittyvät tarpeeseen arvioida kokonaisuudessaan niitä keinoja, jotka ovat työnantajan käytettävissä arvioitaessa henkilön luotettavuutta tehtävään valittaessa. Tällaisista keinoista säädetään yksityisyyden suojasta työelämässä annetussa laissa, valtion virkamieslaissa, kunnallisesta viranhaltijasta annetussa laissa (304/2003) sekä työterveydenhuoltolaissa (1383/2001).

Ehdotuksen mukaan hakemuksesta tulisi käydä ilmi, aiotaanko ennen tehtävään valitsemista laissa erikseen säädetyllä tavalla pyytää selvityksen hakijaa esittämään huumausainetestiä koskeva todistus, hankkia tätä koskevat luottotiedot tai suorittaa hänelle lääkärintarkastus. Tietojen avulla toimivaltainen viranomainen voisi arvioida tilannekohtaisesti, onko sen tarpeen kiinnittää työnantajan huomiota muihin laillisesti käytettävissä oleviin työntekijän taustan selvittämiseen liittyviin keinoihin ehdotetun lain 42 §:n 4 momentissa tarkoitetulla tavalla.

Ehdotetussa 3 momentissa olisivat perusmuotoista ja laajaa henkilöturvallisuusselvitystä koskevat erityissäännökset. Sen mukaan hakemukseen tulisi liittää tiedot selvityksen kohteen asuinpaikoista ja pidempiaikaisista oleskelupaikoista enintään viimeisten kymmenen vuoden ajalta sekä nimikirjaote tai muu selvitys hänen koulutuksestaan ja virka- ja työsuhteistaan vähintään kymmenen viimeisen vuoden ajalta. Nimikirjaa vastaavia tietoja ei tarvitsisi esittää toimivaltaisen viranomaisen palveluksessa jo olevasta henkilöstä, jos toimivaltainen viranomainen voisi hankkia tiedot viran puolesta.

Ehdotus merkitsee, että henkilöturvallisuusselvitystä laadittaessa olisi käytettävissä nykyistä laajempi tietopohja, mitä on pidettävä tarpeellisena muun ohella lisääntyvien kansainvälisten velvoitteiden vuoksi ja Suomessa noudatettavan menettelyn lähentämiseksi muiden maiden käytäntöön. Tieto ulkomailla oleskelusta on tarpeen sen arvioimiseksi, onko tietojen hankkiminen ulkomaan viranomaisen rekisteristä tarpeen.

Laajaa henkilöturvallisuusselvitystä haettaessa tulee hakemukseen liittää tai erikseen toimittaa 28 §:ssä tarkoitettu henkilötietolomake, jolla selvityksen kohde ilmoittaa arvioinnissa huomioon otettavat tiedot.

Ehdotetussa 4 momentissa olisi yleissäännös, jonka mukaan selvityksen hakijan olisi toimivaltaisen viranomaisen pyynnöstä annettava tietoja, jotka on otettava ehdotetun lain mukaan huomioon arvioitaessa turvallisuusselvityksen laatimisen edellytyksiä. Tällaisia hakemuksen täydentämistä koskevia tietoja voivat olla esimerkiksi tiedot kansainvälisen järjestön säännöistä, joissa edellytetään turvallisuusselvitystä tai sen perusteella annettua turvallisuusselvitystodistusta (15 § 2 mom.).

Henkilöturvallisuusselvityksen laatimisen edellytykset

18 §. Turvallisuusvaatimusten toteuttaminen yleisenä edellytyksenä. Henkilöturvallisuusselvityksen laatimisen yleisenä edellytyksenä ehdotetun 1 momentin mukaan on, että hakija on rajoittanut teknisin ja muin toimenpitein pääsyä suojattaviin tietoihin sekä huolehtinut toimitilojen ja tietojärjestelmien suojaamisesta ja ryhtynyt muihin asianmukaisiin toimenpiteisiin tietoturvallisuuden sekä muiden turvallisuusjärjestelyjen toteuttamiseksi. Ehdotetun sääntelyn tarkoituksena on edistää yleistä tietoturvallisuutta sekä varmistaa, että turvallisuusselvityksiä käytetään vain osana laajempia turvallisuusjärjestelyjä eikä niiden sijasta.

Asianmukaisten tietoturvallisuustoimien suorittaminen voitaisiin 2 momentin mukaan osoittaa esimerkiksi sillä, että yritys on saanut yritysturvallisuusselvityksen perusteella turvallisuusselvitystodistuksen taikka että hakija on saanut tietoturvallisuuden arviointilaitoksista annetussa laissa tarkoitetun hyväksytyn arviointilaitoksen antaman todistuksen. Viranomaiset voisivat osoittaa asianmukaiset toimet Viestintäviraston viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain mukaisella todistuksella. Näiden lisäksi asia voitaisiin osoittaa muullakin suojelupoliisin hyväksymällä tavalla, kuten tietoturvallisuussuunnitelmalla ja sen toteuttamista koskevalla ohjeistolla.

Pykälän 3 momentissa olisivat säännökset niistä tilanteista, jolloin turvallisuustoimien selvittäminen ei olisi tarpeen. Kysymys olisi muun muassa oppilaitoksiin valittavaista sekä sellaisia tehtäviä hoitavista, jotka työskentelevät esimerkiksi asennus- ja huoltotehtävissä eri toimipaikoissa.

19 §. Perusmuotoisen henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät. Pykälän 1 momentissa säädettäisiin edellytyksistä, jotka määrittelevät, milloin työelämässä olevista tai työtehtäviin hakeutuvista voidaan laatia perusmuotoinen henkilöturvallisuusselvitys. Momentti koskisi sekä virkamiehiä tai virkaan hakevia että työsuhteisesti tai toimeksiannosta tehtäviä hoitavia tai sellaisiin tehtäviin valittavia.

On pidettävä selvänä, että ehdotetun kaltaisessa sääntelyssä eri kohdat voivat olla ja ovat osittain päällekkäisiä. Tätä ei kuitenkaan voida kokonaan välttää silloin, kun on tarve suojata keskeisiä yleisiä ja muita kansallisesti merkittäviä etuja.

Pykälään ehdotettaviksi otetut säännökset voivat olla osin päällekkäisiä myös suppean henkilöturvallisuusselvityksen laatimisen edellytyksiä koskevan ehdotetun 21 §:n säännösten kanssa. Sen, että turvallisuusselvityksen edellytykset voisivat täyttyä useamman eri kohdan mukaan, voidaan perustellusti pitää olettamana turvallisuusselvityksen laatimisen yleisestä sallittavuudesta. Osittaisesta päällekkäisyydestä ei oleteta aiheutuvan hakijoille haittaa, koska suojelupoliisilla olisi mahdollisuus sekä ottaa ratkaistavakseen suppeaa henkilöturvallisuusselvitystä koskeva hakemus että siirtää sille tehty henkilöturvallisuusselvitystä koskeva hakemus suppeita henkilöturvallisuusselvityksiä laativalle poliisihallinnon yksikölle (24 §).

Perusmuotoinen henkilöturvallisuusselvitys voidaan ehdotetun 1 kohdan mukaan laatia henkilöstä, joka saa oikeuden muutoin kuin satunnaisesti käsitellä sellaisia viranomaisen asiakirjoja, jotka voidaan tai tulee turvallisuusluokitella suojaustasoihin II—III kuuluviksi. Tällaisia tehtäviä on erityisesti ulkoasiainhallinnossa sekä puolustushallinnon ja muissa turvallisuusalan hallintotehtävissä.

Kohdan mukaan turvallisuusselvitys voitaisiin laatia myös henkilöstä, joka hoitaa sellaisia tehtäviä, joissa hän salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi merkittävällä tavalla vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, poikkeusoloihin varautumista, väestönsuojelua tai yhteiskunnan elintärkeitä toimintoja taikka mainittujen etujen suojaamiseksi toteutettuja turvallisuusjärjestelyjä.

Ehdotetun 2 kohdan mukaan selvitys voidaan laatia henkilöstä, joka hoitaa eduskunnan kanslian, tasavallan presidentin kanslian, eduskunnan oikeusasiamiehen tai valtiontalouden tarkastusviraston tehtävää, jos tämä tehtäviä hoitaessaan saa edellä 1 kohdassa tarkoitettuihin tietoihin verrattavissa olevia tietoja, taikka saa pysyväisluonteisen oikeuden päästä eduskunnan tai sen virastojen toimitiloihin. Säännös on tarpeen eduskunnan toiminnan turvaamiseksi sekä selvyyden vuoksi ja ottaen huomioon, että tietoturvallisuudesta valtionhallinnosta annettu asetus ja sen säännökset asiakirjojen luokittelusta eivät ole sovellettavissa eduskunnan virastoihin ja laitoksiin.

Ehdotetun 3 kohdan mukaan selvitys voidaan laatia myös henkilöstä, joka toimii sellaisissa valtionjohtoa välittömästi palvelevissa tehtävissä, joissa voidaan edellyttää erityistä luotettavuutta.

Valtion turvallisuuteen kuuluu suojata myös keskeisten valtioelinten tehtäviä hoitavia henkilöitä, kuten tasavallan presidenttiä, eduskunnan puhemiehiä ja valtioneuvoston jäseniä. Ehdotetun säännöksen tarkoituksena on varmistaa se, että edellä mainittujen henkilöiden läheisyydessä toimivat ja konkreettisia palveluluonteisia tehtäviä, kuten sihteeri- ja kuljetustehtäviä, hoitavat henkilöt ovat luotettavia. Tällaisissa tehtävissä toimivat saavat jatkuvasti tietoja, jotka ovat merkityksellisiä sellaisten turvallisuusjärjestelyjen kannalta, jotka ovat salassa pidettäviä julkisuuslain 24 §:n 1 momentin 7 kohdan mukaan.

Ehdotetun 4 kohdan mukaan henkilöturvallisuusselvitys voitaisiin laatia henkilöstä, joka toimii tai jonka on tarkoitus toimia tehtävissä, joissa voi vahingoittaa yhteiskunnan toimivuuden kannalta välttämättömän infrastruktuurin toimivuutta tai kriittisen tuotannon jatkumista kaikissa tilanteissa.

Valtioneuvoston 16.12.2010 tekemän yhteiskunnan turvallisuusstrategiaa koskevan periaatepäätöksen mukaan kriittiseen infrastruktuuriin ja tuotantoon voidaan lukea muun muassa voimahuolto, tietoliikenne- ja tietojärjestelmät, kuljetuslogistiikka, yhdyskuntatekniikka, elintarvikehuolto, vesihuolto, teollisuus- ja palvelutuotanto sekä rahoitus- ja maksujärjestelmät. Henkilöturvallisuusselvitysmenettelyn piiriin voisivat siis kuulua muun muassa edellä mainituilla aloilla kriittisissä tehtävissä toimivat henkilöt.

Ehdotus liittyy esityksen tavoitteeseen suojata yhteiskuntaa vakavilta häiriötilanteilta. Kohdan soveltamisalan on tarkoitus kattaa ne henkilöt, jotka toimivat edellä mainitun turvallisuusstrategian mukaisissa elintärkeissä tehtävissä riippumatta siitä, ovatko he virkamiehiä vai yksityissektorilla toimivia ja toimivatko he johtotehtävissä tai käytännön työtehtävissä. Olennaista soveltamisalan kannalta on, mikä vaikutus asianomaisen henkilön toiminnalla voi olla yhteiskunnan toimivuuden kannalta välttämättömän infrastruktuurin tai kriittisen tuotannon jatkumiseen kaikissa tilanteissa ja minkälaisia seurauksia hän toiminnallaan voi saada aikaan.

Sekä viranomaisten että yhteiskunnan muunkin toiminnan kannalta keskeisten tietojärjestelmien toimivuus ja niiden tietoturvallisuus ovat keskeisiä edellytyksiä. Ehdotetun 5 kohdan mukaan henkilöturvallisuusselvitys voitaisiin tehdä henkilöistä, jotka tietojärjestelmän pääkäyttäjänä tai muut toimivaltuutensa huomioon otettuina muutoin voisivat vahingoittaa viranomaisten toiminnan tai yhteiskunnan perustoimintojen kannalta keskeisten tietojärjestelmien toimivuutta tai niiden tietoturvallisuutta.

Keskeisiä hallinnon toimintaa palvelevia tietojärjestelmiä ovat muun ohella niin sanotut perusrekisterit samoin kuin esimerkiksi rahoitusjärjestelmien tietojärjestelmät. Väestöä tai yrityksiä koskevien perustietojen saannin estyminen tai esimerkiksi pankkien tietojärjestelmien pitkäaikaisempi toimintakyvyttömyys voi vakavasti vahingoittaa mitä erilaisimpia toimintoja.

Säännösehdotuksessa on tietojärjestelmän pääkäyttäjään lisäksi rinnastettu muukin henkilö, joka toimivaltuuksiensa vuoksi voi aiheuttaa säännösehdotuksessa tarkoitetun seurauksen. Tämä on tarpeen suojattavan edun vuoksi ja ottaen huomioon käytössä olevien järjestelmien tarjoamat mahdollisuudet käyttöoikeushallinnan avulla estää tahallisia vahingollisia tekoja.

Henkilöturvallisuusselvityksen avulla pyritään nykyisenkin lain mukaan suojaamaan merkityksellisimpiä liike- ja ammattisalaisuuksia ja taloudellisia etuja. Perusmuotoinen henkilöturvallisuusselvitys voitaisiin ehdotetun 6 kohdan mukaan tehdä sellaisesta henkilöstä, joka työtehtävissään pääsee tietoihin, joita paljastamalla tai muulla käsittelyllä taikka muulla oikeudettomalla toiminnallaan voi aiheuttaa vakavaa vahinkoa kansantaloudelle taikka rahoitus- ja vakuutusjärjestelmien toimivuudelle tai kansallisen edun kannalta merkitykselliselle elinkeinotoiminnalle.

Kohta voisi koskea sekä virkamiehiä että yksityissektorin palveluksessa toimivia. Kohta voisi olla sovellettavissa esimerkiksi sellaisiin henkilöihin, jotka pääsevät finanssivalvonnassa tai muutoin tietoihin, joiden luvaton paljastaminen voi johtaa rahoitusjärjestelmän vakaviin häiriötilanteisiin. Kohta voisi tulla sovellettavaksi myös sellaiseen yksityisessä – sekä johdossa että työntekijänä – toimivaan tai valittavaan, jonka työtehtävä on merkittävä kansantalouden kannalta tai jonka työtehtävällä on kansallisesti merkittävä tuotantosuuntansa tai tieto-osaamisensa ja siihen liittyvän kehittämistyön ja sen laajuuden vuoksi.

Pykälän 2 momenttiin ehdotetaan otettaviksi säännökset niistä erityistehtäviin tai koulutukseen valittavista, joista voidaan laatia perusmuotoinen henkilöturvallisuusselvitys.

Perusmuotoinen henkilöturvallisuusselvitys voitaisiin laatia kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi sekä henkilön hakemuksesta 15 §:n 2 momentissa tarkoitettuun tehtävään, jossa kysymys on kansainvälisen järjestön tai toimielimen tehtävästä taikka tehtävästä toisessa valtiossa. Puolustushallinnon tehtävistä olisi erityissäännös ehdotetussa 1 kohdassa. Sen mukaan henkilöturvallisuusselvitys voitaisiin laatia henkilöstä, jota ollaan valitsemassa puolustushallinnon tehtäviin, opiskelijaksi Maanpuolustuskorkeakouluun, vapaaehtoisesta maanpuolustuksesta annetun lain (556/2007) mukaiseen koulutukseen, Maanpuolustuskoulutusyhdistyksen tehtäviin taikka kansainvälisenä yhteistyönä toteutettaviin kriisinhallinta- ja rauhanturvaamistehtäviin tai osallistumaan kriisinhallinta- ja rauhanturvaamistehtäviin liittyvään koulutus- tai harjoitustoimintaan.

Poliisin ja rajavartiolaitoksen tehtävissä toimiviin liittyy mainittujen tehtävien luonteen vuoksi erityinen luotettavuuden vaatimus. Tämän vuoksi 2 kohtaan ehdotetaan otettavaksi säännös opiskelijaksi Poliisiammattikorkeakouluun ja rajavartiolaitoksen tehtäviin valittavista laadittavista henkilöturvallisuusselvityksistä.

Henkilöturvallisuusselvitys voitaisiin ehdotetun 3 kohdan mukaan tehdä henkilöstöstä, jota ollaan valitsemassa ulkoasiainhallinnon tehtäviin valmentavaan koulutukseen. Ehdotus vastaa näiltä osin nykyistä käytäntöä.

Ehdotettuun 3 momenttiin on selvyyssyistä otettu säännös, jossa on otettu huomioon lain 22 ja 24 §:ssä säädetyt erityistilanteet.

20 §. Laajan henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät. Ehdotetuissa säännöksissä määritellään, missä tilanteissa lakiehdotuksen 27—29 §:ssä tarkoitettuja lisätietoja saataisiin hankkia henkilöturvallisuusselvityksen kohteesta. Menettely olisi mahdollista pykälässä säädettävistä erityisistä syistä.

Pykälän soveltamisala on suhteellisen rajoitettu ja niiden tehtävien määrä, joissa laaja henkilöturvallisuusselvitys voitaisiin laatia, on verrattain pieni. Suojelupoliisi teki voimassa olevan lain mukaisia vastaavia laajoja turvallisuusselvityksiä vuoden 2010 aikana 77 kappaletta. Menettely koskisi pääasiassa johtavia tehtäviä sekä eräitä erityistehtäviä hoitavia virkamiehiä.

Ehdotuksen mukaan laajempi tietopohja voitaisiin hankkia ehdotetun 1 kohdan mukaan henkilöstä, joka työtehtävissään saa oikeuden muutoin kuin satunnaisesti käsitellä suojaustasoihin I tai II kuuluviksi luokiteltuja asiakirjoja. Kohdassa tarkoitettuja tehtäviä on etenkin puolustus- ja ulkoasiainhallinnossa sekä suojelupoliisissa.

Laaja henkilöturvallisuusselvitys olisi ehdotetun 2 kohdan mukaan mahdollinen tilanteissa, joissa henkilö hoitaa sellaisia tehtäviä, joissa hän salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi vahingoittaa valtion turvallisuutta, maanpuolustusta tai Suomen kansainvälisiä suhteita. Kohta kattaisi esimerkiksi sellaiset tilanteet, joissa henkilö työtehtävissään tosiasiallisella lainvastaisella toiminnallaan voisi aiheuttaa lainkohdassa tarkoitetut seuraukset.

Ehdotetussa 3 kohdassa on otettu huomioon se, että kansainväliset tietoturvallisuusvelvoitteet taikka esimerkiksi kansainvälisen järjestön tai toimielimen säännöt voivat edellyttää tavanomaista laajemman ja täsmällisemmän selvityksen laatimista. Säännös on siten tarpeen sen vuoksi, että suomalaiset voisivat tulla valituksi sellaisiin kansainvälisiin tehtäviin, joissa edellytetään erityistä luotettavuutta.

21 §. Suppean henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät. Suppea henkilöturvallisuusselvitys olisi poliisihallituksen tätä tehtävää hoitamaan määräämän yksikön laatima selvitys.

Ehdotettuun pykälään on otettu säännökset, jotka vastaavat osin nykyisen lain mukaista suppean turvallisuusselvityksen laatimisesta koskevaa käytäntöä. Selvitysmuoto laajenisi jossain määrin nykyisen lain soveltamiskäytännöstä eräisiin turvallisuutta vaarantaviin yksityissektorin tehtäviä suorittaviin sekä merkittäviä omaisuuseriä käsitteleviin tai varojen sähköiseen siirtoon oikeutettuihin.

Julkishallinnon kehityksen vuoksi myös luokiteltuja tietoja annetaan ulkopuolisille erilaisten tehtävien, kuten asiantuntija- tai tietojenkäsittelytehtävien hoitamiseksi. Tähän liittyvien tietoturvallisuusriskien vähentämiseksi 1 momentissa ehdotetaan säädettäväksi, että suppea turvallisuusselvitys voitaisiin laatia henkilöstä, joka saa palvelussuhteen tai viranomaisen toimeksiannon tai hankintasopimuksen johdosta oikeuden käsitellä viranomaisen suojaustasoihin III—IV kuuluviksi luokiteltuja asiakirjoja (1 kohta). Säännös koskisi siten esimerkiksi tietojenkäsittelyn palveluyrityksen työntekijöitä kohdassa tarkoitetuissa tilanteissa.

Ehdotetun 2 kohdan mukaan suppea henkilöturvallisuusselvitys voitaisiin tehdä henkilöstä, joka työskentelee passin, henkilökortin tai muun sellaisen viranomaisen antaman todistuksen valmistuksessa, johon liittyy erityinen luotettavuuden vaatimus.

Ehdotetussa 3 kohdassa olisi viranomaisen toimitiloihin pääseviä tietyissä tilanteissa koskeva säännös. Sen mukaan selvitysmenettelyn piiriin voitaisiin ottaa henkilö, joka saa pysyväisluonteisen oikeuden päästä sellaiseen viranomaisen yleisöltä suljettuun toimitilaan tai alueelle ja hoitaa siellä itsenäisesti rakennus-, asennus-, huolto-, tai vartiointitehtäviä tai muita niihin rinnastettavia tehtäviä, jos toimitilasta tai alueesta saatavien tietojen oikeudettomalla käytöllä tai niissä tapahtuvalla lainvastaisella teolla voi vaarantaa yleistä turvallisuutta, valtion turvallisuutta tai muuta merkittävää yleistä etua.

Selvitysmenettely voitaisiin ehdotetun 4 kohdan mukaan kohdistaa henkilöön, joka pääsee yleisöltä suljettuihin osiin lentoasemalla tai satamassa taikka muulle maan ulkoisten taikka sisäisten liikenneyhteyksien jatkuvuuden ja turvallisuuden kannalta merkittävälle liikennealueelle taikka tietoliikenneyhteyksien tai sähkön- ja energiantuotannon yleisen toimivuuden kannalta merkityksellisiin kohteisiin.

Lentoasemalla tarkoitetaan ilmailulain (1194/2009) 81 §:n 1 kohdan mukaan lentopaikkaa, jossa lentotiedotuspalvelu, hälytyspalvelu, ilmaliikenteen neuvontapalvelu ja lennonjohtopalvelu on pysyvästi järjestetty. Sekä lentoliikenteen että satamien turvallisuusjärjestelyistä on annettu Euroopan unionin säädöksiä. Nämä on otettu huomioon ehdotettua lakia valmisteltaessa.

Kohdan on määrä osaltaan suojata kriittisen infrastruktuurin kohteita. Nykyisen lain suppeaa turvallisuusselvitystä koskevien edellytysten lisäksi kohdassa mainittaisiin erikseen tietoliikennejärjestelyjen sekä sähkön- ja energiatuotannon yleisen toimivuuden kannalta merkitykselliset kohteet.

Ehdotetun 5 kohdan mukaan suppea henkilöturvallisuusselvitys voitaisiin laatia tietyistä ydinaineiden käsittelyyn kuuluvia tehtäviä hoitavista henkilöistä. Tällaisia tehtäviä olisivat ydinaineen kuljetus sekä tehtävät, joissa pääsee ydinlaitokseen, taikka pääsemällä ydinlaitoksen rakentamisalueelle saa tietoja ydinlaitoksen turvallisuuteen vaikuttavista tekijöistä. Turvallisuusselvitys voitaisiin laatia myös henkilöistä, jotka pääsevät ydinaineen käyttö- tai varastointitilaan tai sellaiseen säteilylähteen käyttöpaikkaan tai varastointitilaan, jossa sijaitsevien radioaktiivisten aineiden määrä vastaa säteilylainsäädännössä tarkoitettua korkea-aktiivisen umpilähteen aktiivisuustasoa tai on sitä korkeampi.

Nykyisessä toimintaympäristössä on perusteltua, että mahdollisuutta tehdä turvallisuusselvityksen laatimismahdollisuus laajennettaisiin myös ydinaineiden ja radioaktiivisten aineiden käyttö- ja varastointipaikkoihin pääseviin sekä niihin, jotka ydinlaitoksen rakentamisalueelle pääsemällä voivat saada tietoja ydinlaitoksen turvallisuuteen vaikuttavista seikoista.

Suomi on sitoutunut kansainvälisissä sopimuksissa suojaamaan ydinaineet ja radioaktiiviset aineet sabotaasilta tai varastamiselta. Tällaisten aineiden joutuminen epäasianmukaiseen tai jopa lainvastaiseen käyttöön voi aiheuttaa erittäin vahingollisia vaikutuksia ihmisten terveydelle tai ympäristölle.

Ehdotetussa kohdassa mainitun korkea-aktiivisen umpilähteen määritelmä sisältyy säteilylain (592/1991) 31 a §:ään.

Ehdotettuun 6 kohtaan on otettu erityissäännös, joka koskee räjähdysvaarallisten aineiden kanssa työskentelevistä tehtäviä selvityksiä. Suppea henkilöturvallisuusselvitys voitaisiin sen mukaan pyytää henkilöstä, joka työskentelee räjähdysaineiden valmistukseen tai kuljetukseen liittyvissä tehtävissä taikka joka muutoin voi saada haltuunsa merkittäviä määriä räjähdysaineita tai muita sellaisia aineita, joiden asiattomalla käsittelyllä voidaan aiheuttaa vahinkoa laajalla alueella tai suurelle määrää ihmisiä.

Ehdotettu säännös on helposti ymmärrettävissä yleisen turvallisuuden sekä rikosten estämisen näkökulmasta. Räjähdysaineteollisuus on pitänyt tärkeänä, että se voisi varmistaa henkilökuntansa luotettavuuden.

Räjähdysaineiden turvalliseen käyttöön ja käsittelyyn liittyy esitykseen sisältyvä lakiehdotus panostajalain muuttamisesta (lakiehdotus n:o 11), jonka mukaan panostajan pätevyyskirjan antava viranomainen voisi hankkia suppean henkilöturvallisuusselvityksen kaikista pätevyyskirjaa hakevista.

Ydinaineiden ja räjähteiden lisäksi merkittävää vaaraa yleiselle turvallisuudelle voidaan aiheuttaa myös aineilla, joita voidaan käyttää biologisena, kemiallisena taikka toksiiniaseena. Henkilöistä, joilla on mahdollisuus saada haltuunsa tällaisia aineita, voitaisiin ehdotetun 7 kohdan mukaan laatia suppea henkilöturvallisuusselvitys.

Ehdotetun 8 kohdan mukaan suppea henkilöturvallisuusselvitys voitaisiin laatia henkilöstä, joka työskentelee sellaisessa yhdyskuntatekniseen huoltoon taikka elintarvike- tai lääkehuoltoon kuuluvassa tai niitä palvelevassa tehtävässä, jossa voi aiheuttaa vakavaa vaaraa yleisön terveydentilalle tai turvallisuudelle. Yhdyskuntatekniseen huoltoon luetaan kuuluvaksi energiahuolto, vesihuolto sekä muun muassa jätehuolto. Näistä etenkin vesihuollon yksikköjen suojaaminen on tärkeää yleisön terveydentilan kannalta.

Yhdyskuntateknisen huollon alueita, joilla voi olla merkitystä yleisen turvallisuuden kannalta ovat muun muassa erilaiset energiahuollon tarpeisiin käytettävät alueet, joilla voi olla varastoituna merkittäviä määriä polttoaineita.

Suppea henkilöturvallisuusselvitys voitaisiin laatia myös sellaisista elintarvike- ja lääkehuollon tehtävissä toimivista, joissa voi aiheuttaa vakavaa vaaraa yleisön terveydentilalle ja turvallisuudelle. Kohta tulisi sovellettaviksi myös siinä mainittuja aloja palveleviin tehtäviin, joita voivat olla esimerkiksi tieto- ja tuotantojärjestelmien ylläpitotehtävät.

Ehdotetun 9 kohdan mukaan suppea henkilöturvallisuusselvitys voitaisiin laatia henkilöstä, joka pääsee rahanlaskentakeskukseen tai työskentelee rahanvalmistuksessa, huolehtii työnantajan tai tämän asiakkaan lukuun arvokuljetuksista taikka muissa niihin verrattavissa olosuhteissa käsittelee itsenäisesti ja ilman järjestettävissä olevaa jatkuvaa valvontaa laadultaan ja määrältään merkittävää omaisuutta, kuten rahaa, arvopapereita tai arvoesineitä.

Voimassa olevan lain aikana on jossain määrin ollut ongelmallista huolehtia arvokuljetustehtävissä toimivien luotettavuuden varmistamisesta. Tarve taustojen selvittämiseksi tuli esille käytännössä erään arvokuljetukseen kohdistuneen ryöstön yhteydessä, jonka tutkinnassa ilmeni, että arvokuljetustehtäviä hoitaneet henkilöt olivat olleet mukana ryöstön suunnittelussa ja toteutuksessa.

Kohta liittyy kokonaisuudessaan merkittävien omaisuuserien suojeluun ja niihin kohdistuvien rikosten ennalta ehkäisemiseen. Merkittäviin rahamääriin liittyviä ehdotetussa säännöksessä tarkoitettuja tehtäviä voivat olla esimerkiksi isompien kauppakeskusten kassavarojen keräämiseen ja siirtämiseen liittyvät tehtävät.

Ehdotetulla muotoilulla on haluttu korostaa sitä, että mikä tahansa tehtävä, kuten kassan hoitaminen tavarataloissa tai palvelutehtävä pankissa, ei olisi peruste suppean henkilöturvallisuusselvityksen laatimiseen. Yksityisyyden suojasta työelämässä annetussa laissa on säännökset edellytyksistä valvoa esimerkiksi kassoja videovalvonnan avulla, minkä lisäksi valvontaa voidaan suorittaa muillakin keinoin.

Pankkitoiminnassa merkityksellisten aktioiden tekemiseen vaaditaan säännönmukaisesti kahden virkailijan myötävaikutus. Siten ehdotetun säännöksen soveltamisala on sopusoinnussa sekä käytännön tarpeiden että yksityisyyden suojasta annetussa laissa omaksuttujen valvontakeinojen käyttöä koskevien periaatteiden kanssa.

Ehdotuksen mukaan suppea henkilöturvallisuusselvitys voitaisiin laatia myös henkilöstä, jolla on asemansa vuoksi sellaiset oikeudet siirtää työnantajan tai tämän asiakkaan varoja tai muuttaa niihin liittyviä tietoja, joiden käyttämisellä annettujen valtuuksien tai ohjeiden vastaisesti voi aiheuttaa huomattavaa vahinkoa työnantajalle tai tämän asiakkaalle (10 kohta).

Säännösehdotuksessa on otettu huomioon, että rahat, arvopaperit ja sijoitustuotteet ovat nykyisin mitä suurimmassa määrin sähköisessä muodossa käsiteltävää omaisuutta, jolle tietojärjestelmiä käyttämällä voidaan aiheuttaa suuria vahinkoja. Sääntelyn tarkoituksena ei ole ulottaa turvallisuusselvityksiä palvelutehtäviä suorittavaan henkilöstöön, vaan esimies- ja avaintehtävissä oleviin ja suppean henkilöturvallisuusselvityksen piiriin tulisi muutamia satoja henkilöitä.

Pykälän 2 momenttiin ehdotetaan otettavaksi säännös suppean henkilöturvallisuusselvityksen laatimisesta erityistilanteissa.

Ehdotetun 1 kohdan mukaan suppea henkilöturvallisuusselvitys voitaisiin laatia henkilöstä, joka on tarkoitus valita siviilikriisinhallintatehtävään tai siihen liittyvään koulutus- ja harjoitustoimintaan.

Ehdotetun 2 kohdan mukaan selvitys voitaisiin laatia henkilöstä, joka toimii Hätäkeskuslaitoksen hallinnon johto- tai asiantuntijatehtävissä tai hätäkeskuksen päivystystehtävissä taikka poliisi- tai pelastustoimen hallinnon johto- tai asiantuntijatehtävissä tai pelastustoiminnan tehtävissä.

Hätäkeskushenkilöstöä pidetään kriittisenä ryhmänä, koska heillä on muun ohella pääsy erilaisiin henkilörekistereihin. Poliisihallinnossa toimii myös siviilihenkilöstöä muun muassa lupahallinnon tehtävissä ja muissa sellaisissa tehtävissä, joissa pääsee salassa pidettäviä tietoja sisältäviin poliisin rekistereihin, kuten ampuma-aserekisteriin. Tällaisista henkilöistä tehdään nykyisin suppea turvallisuusselvitys.

Ehdotetun 3 kohdan mukaan suppea henkilöturvallisuusselvitys voitaisiin laatia henkilöstä, joka on tarkoitus valita Pelastusopistosta annetussa laissa (607/2006) tarkoitettuun pelastustoimen tai hätäkeskustoiminnan ammatillisiin tutkintoihin johtavaan koulutukseen, ammattikorkeakoulututkintoon johtavaan pelastustoimen päällystön koulutukseen, taikka Rikosseuraamusalan koulutuskeskuksen koulutukseen.

Säännösehdotuksessa mainittuihin tehtäviin liittyy niiden erityispiirteiden vuoksi erityinen luotettavuuden vaatimus, mikä on tarkoituksenmukaista ottaa huomioon jo valittaessa henkilöitä tehtäviin tähtäävään koulutukseen.

Ehdotetun 4 kohdan mukaan suppea henkilöturvallisuusselvitys voitaisiin laatia henkilöstä, joka on hakenut yksityisistä turvallisuuspalveluista annetussa laissa (282/2002) tarkoitetun vastaavan hoitajan, voimankäyttökouluttajan ja vartijan koulutukseen. Esitykseen on sisällytetty ehdotus yksityisistä turvallisuuspalveluista annetun lain muuttamisesta (lakiehdotus n:o 12).

Kohdan mukaan voitaisiin laatia suppea henkilöturvallisuusselvitys panostajan pätevyyskirjaa hakeneesta. Esitykseen sisällytetyn panostajalain muuttamista koskevan lakiehdotuksen (lakiehdotus n:o 11) mukaisesti pätevyyskirjan myöntävä viranomainen voisi hakea pätevyyskirjaa hakeneesta suppean turvallisuusselvityksen.

Suppea henkilöturvallisuusselvitys voitaisiin ehdotetun 3 momentin mukaan laatia myös sellaisia tehtäviä hoitavista tai tehtäviin valittavista, jotka suojelupoliisi on 22 §:n mukaisesti hyväksynyt menettelyn piiriin taikka siirtänyt poliisilaitoksen käsiteltäväksi 24 §:n mukaisesti.

Säännös on katsottu tarpeelliseksi selvyyssyistä ja turvallisuusselvitysten laadinnan tarkoituksenmukaisen työnjaon toteuttamiseksi.

22 §. Eräiden tehtävien hyväksyminen turvallisuusselvitysmenettelyyn. Suojelupoliisi voisi päättää hyväksyä henkilöturvallisuusselvitysmenettelyn piiriin muitakin kuin lain 19 ja 21 §:ssä säädettäviä tehtäviä hoitavia.

Ehdotetun 1 momentin mukaan selvitysmenettelyn piiriin voitaisiin päätöksessä määriteltävien yrityksen työntekijöiden tehtävien lisäksi yrityksen lukuun toimivan aliurakoitsijan työntekijöiden hoitamat tehtävät.

Henkilöturvallisuusselvitysmenettelyn piiriin voitaisiin ehdotetun 1 kohdan mukaisesti hyväksyä henkilö, joka tehtäviensä vuoksi saa sellaiset käyttöoikeudet työnantajan tai tämän asiakkaan tietojärjestelmään, joiden käyttäminen oikeudettomasti voi keskeyttää tai merkittävällä tavalla vaarantaa tietojärjestelmän toiminnan siten, että se aiheuttaa laajamittaisen tuotantotoiminnan keskeytymisen tai muulla siihen verrattavalla tavalla aiheuttaa työnantajalle tai tämän asiakkaalle merkittävää taloudellista vahinkoa.

Kohdassa tarkoitettuja tehtäviä voivat olla esimerkiksi yrityksen niin sanotun pääkäyttäjän tehtävät, joissa henkilö pääsee laajasti yrityksen eri tietojärjestelmiin. Käyttöoikeuden haltijalla tulisi oikeuksiensa vuoksi lisäksi olla mahdollisuus tietojärjestelmän avulla aiheuttaa niiden toiminnan keskeytymisen tai merkittävän vaarantumisen. Tietojärjestelmän toimivuudella tulisi lisäksi olla merkitystä tuotantotoiminnan jatkuvuuden kannalta.

Ehdotetun 2 kohdan mukaan kysymys voi olla työtehtävistä, joissa valittava saa käyttöönsä työnantajan antamia sellaisia tietoja työantajan tai tämän yhteistyökumppanin liike- tai ammattisalaisuudesta tai teknologisesta kehittämistyöstä tai sen hyödyntämisestä, joiden oikeudeton luovuttaminen, käyttö ja muu käsittely aiheuttaa työnantajalle tai tämän asiakkaalle tai yhteistyökumppanille merkittävää taloudellista vahinkoa. Säännöksen katsotaan olevan tarpeen muun muassa yritysten yhteishankkeena toteutettavien teknologisiin kehittämistöihin liittyvien merkittävien taloudellisten arvojen suojaamiseksi.

Hyväksymisen edellytyksenä ehdotetun 2 momentin 1 kohdan mukaan olisi, että yritykseen voi sen toimialan tai toiminnan vuoksi kohdistua yritysvakoilua. Säännös rajoittaa niitä yrityksiä, jotka voitaisiin hyväksyä menettelyn piiriin. Kysymys olisi yrityksistä, joihin sen toimialan tai toiminnan, kuten kehittämistyön laajuuden vuoksi ennakolta arvioiden voi kohdistua yritysvakoilua.

Vaihtoehtoinen edellytys olisi, että selvitys olisi tarpeen erittäin tärkeän yksityisen taloudellisen edun vuoksi (2 kohta). Käsitteeseen sisältyy huomattavan arvokas liike- ja ammattisalaisuus.

Ehdotetun 3 momentin mukaan suojelupoliisin olisi ennen tehtävien hyväksymistä turvallisuusselvitysmenettelyyn koskevaa päätöstä pyydettävä 11 §:ssä tarkoitetun arviointikriteerilautakunnan lausunto. Lausuntomenettelyä voidaan näissä tapauksissa pitää perusteltuna turvallisuusselvitysmenettelyn laajentamista koskevan päätöksen poikkeusluonteen vuoksi ja ottaen huomioon tarve varmistaa lain yhtenäinen täytäntöönpano välittömästi lain voimaantullessa sekä hakijoina toimivien yritysten että selvitysten kohteen yhdenvertaisen kohtelun vuoksi.

Suojelupoliisin olisi ehdotetun 4 momentin mukaan toimitettava 1 momentissa tarkoitetusta päätöksestään tarvittavassa laajuudessa tieto suppeita henkilöturvallisuusselvityksiä laativalle poliisihallinnon yksikölle. Tämä on tarpeen asioiden nopean ja tehokkaan käsittelyn vuoksi.

Henkilöturvallisuusselvitysasian käsittely

23 §. Rekisteritietojen käyttö ja tarkistaminen sekä selvityksen kohteen haastattelu. Pykälässä säädettäisiin yleisesti menettelyistä laadittaessa henkilöturvallisuusselvitys.

Ehdotetun 1 momentin mukaan henkilöturvallisuusselvitys tehtäisiin tarkistamalla henkilöä koskevat rekisteritiedot käsiteltävänä olevassa luvussa säädettävällä tavalla sekä hankkimalla tietoja selvityksen kohteelta ja häntä haastattelemalla.

Ehdotuksessa on haluttu korostaa nykyistä lakia painokkaammin selvityksen kohteen haastattelua. Haastattelu ei kuitenkaan olisi aina pakollinen, vaan se tehtäisiin ehdotuksen mukaan tarvittaessa. Haastattelulle ei ole välttämättä tarvetta esimerkiksi silloin, kun käytetyissä rekistereissä ei ole kohdetta koskevia rikosmerkintöjä.

Voimassa olevan lain mukaan haastattelu on liitetty laajaan turvallisuusselvitykseen. Ehdotuksen mukaan haastattelua voitaisiin käyttää kaikissa henkilöturvallisuusselvityksissä. Tämän voidaan olettaa toimivan ensi sijassa selvityksen kohteen eduksi erityisesti silloin, kun henkilön elämäntilanteessa ja toimintatavoissa on tapahtunut muutoksia. Tällä on merkitystä varsinkin nuoremmille ihmisille, joilla käyttäytymismallit voivat muuttua merkittävästi aikuistumisen ja työelämään siirtymisen vuoksi.

Haastattelussa voitaisiin kysyä selvityksen kohteen yleisistä olosuhteista, ulkomailla oleskelusta ja hänen suhteistaan muiden maiden kansalaisiin sekä muista sellaisista seikoista, joilla on erityistä merkitystä arvioitaessa hänen luotettavuuttaan selvityksen perustana olevan tehtävän kannalta. Kysymys on siten sellaisten seikkojen selvittämisestä, joilla voi olla vaikutusta siihen, voiko henkilö hoitaa tehtävänsä lojaalisti ja asiaan kuuluvalla tavalla. Haastattelussa käsiteltävät kysymykset voivat vaihdella paitsi turvallisuusselvityksen tason, myös eri tehtävien mukaan. Yleensä laajoissa turvallisuusselvityksissä on tarpeen yksityiskohtaisempien ja laaja-alaisempien kysymysten käsittely kuin muissa selvitystasoissa.

Toimivaltaisella viranomaisella olisi 2 momentin mukaan oikeus salassapitosäännösten estämättä saada toiselta viranomaiselta ja turvallisuusselvityksen laadinnassa käyttää sellaisia tietoja, joiden avulla voidaan varmistaa, että rekistereistä saadut tiedot eivät ole vanhentuneita tai muutoin harhaan johtavia. Kysymys ei siten olisi erillisestä, henkilöä koskevan selvityksen tietosisältöä laajentavasta tiedonsaantioikeudesta.

Laajaa henkilöturvallisuusselvitystä laadittaessa voitaisiin ehdotetun 3 momentin mukaan selvittää myös selvityksen kohteen läheisiä sekä hänen taloudellista asemaansa siten kuin 27—29 §:ssä säädettäisiin. Menettely vastaa voimassa olevaa lakia.

24 §. Suojelupoliisin oikeus ottaa ratkaistavakseen suppeaa henkilöturvallisuusselvitystä koskeva asia tai siirtää sille tehty hakemus. Tarkoituksenmukaisen työnjaon toteuttamiseksi poliisin ja suojelupoliisin välillä suojelupoliisin tehtävien hoitoa vaarantamatta ehdotetaan annettavaan lakiin otettaviksi turvallisuusselvitysasian käsittelyä koskevat erityissäännökset.

Ehdotetun 1 momentin mukaan suojelupoliisi voisi ottaa käsiteltäväkseen suppean henkilöturvallisuusselvityksen laatimista koskevan hakemuksen, jos se on tarpeen valtion tai yleisen turvallisuuden varmistamiseksi sen estämättä, mitä 19 ja 21 §:ssä säädettäisiin. Suojelupoliisi saisi poliisin suppeita henkilöturvallisuusselvityksiä laativassa yksikössä vireille tulleista hakemuksista tiedon ehdotetun 48 §:n mukaan pidettävästä turvallisuusselvitysrekisteristä. Käsittelyssä vaadittavan nopeuden vuoksi suojelupoliisi voisi yhdistää turvallisuusselvitysrekisterin selvityksen kohdetta koskevat yksilöintitiedot suojelupoliisin toiminnalliseen tietojärjestelmään.

Yleisellä turvallisuudella viitataan tässä yhteydessä mahdolliseen keskusrikospoliisilta tulleen tiedon käyttämiseen ammattirikollisista.

Ehdotetun 2 momentin mukaan suojelupoliisi voisi siirtää sille tehdyn perusmuotoista henkilöturvallisuusselvitystä koskevan hakemuksen suppeaa henkilöturvallisuusselvitystä koskevana asiana käsiteltäväksi poliisihallinnon tätä tehtävää hoitavalle yksikölle, jos se on tarkoituksenmukaista eikä asian käsittely suojelupoliisissa ole tarpeen valtion tai yleisen turvallisuuden vuoksi. Tämä merkitsee, että suojelupoliisi voi siirtää asian, kun se on ensin varmistanut, ettei henkilöstä ole tietoja suojelupoliisin toiminnallisessa tietojärjestelmässä tai hänestä ole saatu tietoja epäiltyjen rekisteristä. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain tarkoittamia asioita ei momentin mukaan siirrettäisi, mikä johtuu ehdotetusta 9 §:n 1 momentista.

Käytettävät tietolähteet

25 §. Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet. Ehdotuksen mukaan laissa määriteltäisiin jo voimassa olevassa laissa omaksutun sääntelytavan mukaisesti ne henkilörekisterit, joihin talletettuihin tietoihin perusmuotoinen henkilöturvallisuusselvitys voisi perustua.

Ehdotetun 1 momentin 1 kohdan mukaan henkilöturvallisuusselvitys voisi perustua väestötietojärjestelmästä hankittaviin tietoihin. Niistä ilmenevät henkilön perustietojen lisäksi tiedot puolisosta ja lapsista.

Ehdotetun 2 kohdan mukaan käytettävissä olisivat rikosrekisteriin, sakkorekisteriin ja liiketoimintakieltorekisteriin sisältyvät tiedot ja 3 kohdan mukaan oikeushallinnon valtakunnallisen tietojärjestelmän diaari- ja asianhallintajärjestelmän valtakunnalliseen käsittelyjärjestelmään talletetut tiedot syyteharkinnassa olevista tai olleista rikosasioista sekä ratkaisu- ja ilmoitusjärjestelmään talletetut tiedot ratkaisuista rikosasioissa. Sakkorekisterin tiedoista olisi tiedonsaantioikeus rajattu vain sakkorangaistuksia koskeviin tietoihin. Sakkorekisteriin sisältyy nykyisin tietoja muun muassa korvauksista, joilla ei ole katsottu olevan merkitystä turvallisuusselvityksien laatimisen kannalta.

Ehdotetun 4 kohdan mukaan voitaisiin hankkia henkilötietojen käsittelystä poliisitoimessa annetussa laissa tarkoitettuun poliisiasiain tietojärjestelmään, hallintoasiain tietojärjestelmään ja suojelupoliisin toiminnalliseen tietojärjestelmään talletetut tiedot.

Henkilöturvallisuusselvitystä laadittaessa voitaisiin käyttää myös pääesikunnan pitämiin sotilasoikeudenhoidon tietojärjestelmään sekä turvallisuustietorekisteriin (kohta 5), rajavartiolaitoksen esikunnan pitämään rajavalvontarekisteriin (kohta 6) sekä tullihallituksen pitämään tutkinta- ja virka-apujärjestelmään (kohta 7) sisältyviä tietoja.

Uutena tietolähteenä nykyiseen lakiin verrattuna olisivat tiedot ammatin- tai elinkeinonharjoittajia sekä näiden toimikelpoisuutta koskevista rekistereistä (8 kohta). Tällaisista rekistereistä voidaan esimerkkeinä mainita terveydenhuollon ammattihenkilöistä annetun lain (559/1994) mukainen terveydenhuollon ammattihenkilöiden keskusrekisteri ja kiinteistönvälitysliikkeistä ja vuokrahuoneiston välitysliikkeistä annetussa laissa (1075/2000) säädetty välitysliikerekisteri.

Tietoja voitaisiin ehdotetun 9 kohdan mukaan hankkia laissa säädettyä toimintaa valvovan viranomaisen ylläpitämästä rekisteristä talletetuista yrityksen vastuuhenkilön toimikelpoisuutta koskevista tiedoista.

Ehdotetun 10 kohdan mukaan tietoja voitaisiin hankkia kaikista ulkomaalaisrekisteriin kuuluvista osarekistereistä sekä viisumirekisteristä.

Ehdotuksessa laajennettaisiin henkilöturvallisuusselvityksen tietopohjaa siten, että tietoja voitaisiin hankkia myös luottotietorekisteristä ja ulosottorekisteristä. Tätä koskeva ehdotus sisältyy 11 kohtaan.

Kansainvälisen yhteistoiminnan lisääntymisen vuoksi selvityksen kohde voi olla joko ulkomaalainen tai suomalainen, joka on oleskellut pidempiä aikoja ulkomailla. Ehdotusta laadittaessa on lähdetty siitä, että säädettävässä laissa tulisi ottaa huomioon tällaiset tilanteet. Tämän vuoksi ehdotetaan momentin 12 kohtaan otettavaksi säännös, jonka mukaan henkilöturvallisuusselvitystä laadittaessa saataisiin käyttää myös momentin 1—3 kohdissa tarkoitettuja rekistereitä vastaavista toisen valtion rekistereistä saatuja tietoja.

Euroopan unionin piirissä on luotu järjestelmä rikosrekisteritietojen vaihdolle, jonka tuloksena rikosrekisteriin voidaan tietyin edellytyksin siirtää tiedot Suomen kansalaisen toisessa maassa saamista rikostuomiosta. Asiasta on säädetty rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetussa laissa (214/2012) ja rikosrekisterilaissa. Tämä uudistus ei kuitenkaan poista ehdotetun erityissäännöksen tarvetta.

Ehdotetun 2 momentin mukaan perusmuotoista turvallisuusselvitystä laadittaessa voitaisiin käyttää myös epäiltyjen rekisteriin sisältyviä sellaisia tietoja, joiden ilmoittamista keskusrikospoliisi on pitänyt välttämättömänä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toimilta.

Ehdotus laajentaisi tietopohjaa nykyisestä. Suojelupoliisilla ei kuitenkaan olisi suoraa käyttöyhteyttä epäiltyjen rekisteriin, vaan keskusrikospoliisi välittäisi tapauskohtaisesti tiedon varoitusluonteisena ilmoituksena. Kuten ehdotetusta 50 §:n 3 momentista ilmenee, keskusrikospoliisi saisi tiedot vireillä olevien henkilöturvallisuusselvityksiä koskevista hakemuksista turvallisuusselvitysrekisteristä. Selvityksen kohteiden henkilötunnukset yhdistettäisiin epäiltyjen tietojärjestelmään rekisteröityjen henkilöiden henkilötunnuksiin, minkä perusteella keskusrikospoliisi saisi tiedon henkilöistä, joista on haettu turvallisuusselvitystä ja joita koskevat tiedot sisältyvät myös epäiltyjen tietojärjestelmään. Tuloksen perusteella keskusrikospoliisi voisi arvioida, onko asiasta tarpeen tiedottaa suojelupoliisille.

Menettelyn tarkoituksena on estää järjestäytyneeseen rikolliseen toimintaan osallistuvien tai sellaisesta toiminnasta epäiltyjen pääseminen erityistä suojaa vaativiin kohteisiin ja aineistoihin. Tätä koskevia pyrkimyksiä on keskusrikospoliisin mukaan tullut jo esiin. Järjestäytyneen rikollisryhmän toimintaan osallistumisen rangaistavuudesta säädetään rikoslain 17 luvun 1 a §:ssä.

26 §. Tiedot ulkomaan viranomaisten pitämistä rekistereistä. Ulkomailla työskentely voi nykyään olla pitkäaikaistakin eikä ulkomailla tapahtuneista asioista yleensä talleteta tietoja suomalaisten viranomaisten 25 §:ssä mainittuihin rekistereihin, minkä vuoksi turvallisuusselvityksiä laativilla viranomaisilla ei ole edellytyksiä laatia turvallisuusselvitystä eikä etenkään antaa sen perusteella turvallisuusselvitystodistusta. Tämä voi vaikuttaa ulkomailla pidempään työskennelleiden suomalaisten takaisinmuuton jälkeiseen sopivien työtehtävien löytämiseen Suomessa.

Työvoiman vapaan liikkumisen vuoksi erityisesti Euroopan unionin alueella Suomeen tulevien muiden maiden kansalaisista tulisi olla mahdollisuus laatia turvallisuusselvitys. Työntekijöiden yhdenvertaisen kohtelun vuoksi ehdotettavat säännökset tulisivat koskemaan sekä Suomen kansalaisia, jotka ovat oleskelleet säännöksissä ehdotetun enimmäisajan ulkomailla että Suomeen ensi kertaa tulevia tai täällä ehdotettua määräaikaa vähemmän aikaa oleskelleita ulkomaan kansalaisia.

Edellä olevista syistä ehdotetaan 1 momenttiin otettavaksi säännös selvityksen kohteen oikeudesta mahdollisuuksiensa mukaan esittää ulkomaan viranomaisen todistus sellaisista 25 §:n 1—3 kohdassa tarkoitetuista rekisteritiedoista, jotka hän suojelupoliisin ehdotetussa 3 momentissa tarkoitetulla tavalla antamien yhteystietojen perusteella tai muutoin voi tätä tarkoitusta varten asianomaisen maan lainsäädännön mukaan saada. Todistus olisi toimitettava ennen henkilöturvallisuusselvityksen laatimista.

Säännös koskisi tilanteita, joissa selvityksen kohde on ennen selvityksen laadintaa asunut yhtäjaksoisesti ulkomailla enemmän kuin viisi vuotta viimeisten 10 vuoden aikana. Viiden vuoden aika on katsottu kohtuulliseksi ottaen huomioon esimerkiksi ulkoasiainhallinnon ja tietyt puolustushallinnon tehtävät sekä selvitysvelvollisuudesta selvityksen kohteelle aiheutuvan vaivannäön ja kustannukset.

Ehdotetussa 2 momentissa säädettäisiin tilanteista, joissa otteiden toimittaminen ei olisi tarpeen.

Ehdotetun 1 kohdan mukaan otetta ei olisi tarpeen hankkia sellaisista maista, joista toimivaltainen viranomainen voi kansainvälisen sopimuksen mukaisesti hankkia tiedot viran puolesta. Kansainvälisen yhteistyön lisääntymisen vuoksi voitaneen pitää todennäköisenä, että turvallisuusselvitysten laadintaan liittyvät tietojen vaihtoa koskevat sopimusjärjestelyt lisääntyvät, minkä vuoksi viranomaiset voivat hankkia tarvittavia tietoja viran puolesta.

Momentin ehdotetun 2 kohdan mukaan otetta ei myöskään olisi tarpeen toimittaa, jos selvityksen kohde on 1 momentissa tarkoitettuna ajankohtana toiminut ulkomailla palvelussuhteessa yritykseen tai viranomaiseen taikka kansainväliseen järjestöön tai toimielimeen. Jos palvelussuhde on jatkunut käytännössä yhtäjaksoisesti ulkomailla lainkohdassa mainitun ajan, perusteltuna olettamana voidaan pitää, että henkilöä ei sanottuna aikana ole tuomittu vapausrangaistukseen.

On selvää, että ehdotetuista säännöksistä huolimatta voi syntyä tilanteita, joissa esimerkiksi ulkomaalaisesta työnhakijasta ei ole saatavissa turvallisuusselvityksen laatimisen kannalta riittäväksi katsottuja tietoja. Turvallisuusselvityksen laativa viranomainen ilmoittaa tällaisessa tilanteessa asiasta turvallisuusselvityksen hakijalle.

Ehdotetussa 3 momentissa olisi suojelupoliisin tiedottamista koskeva säännös. Sen mukaan suojelupoliisin olisi toiminnassaan kertyneiden tietojen perusteella annettava yleisen tietoverkon avulla tai muilla sopivilla tavoilla saatavissa oleva tieto niistä muiden valtioiden toimivaltaisista viranomaisista, jotka asianomaisen valtion lainsäädännön mukaan vastaavat taustojen selvittämisestä sekä tiedot kyseisten viranomaisten yhteystiedoista.

Säännösehdotus ei merkitsisi suojelupoliisille velvollisuutta selvittää eri maissa olevat käytännöt ja tiedottaa niistä. Tiedottamisvelvollisuus koskisi vain niitä tietoja, jotka suojelupoliisi saa tietoonsa oman toimintansa yhteydessä.

27 §. Laajan henkilöturvallisuusselvityksen tietolähteet. Pykälässä annettaisiin säännökset laajentaa selvitys kattamaan muitakin kuin 25 §:ssä tarkoitettuja tietoja.

Lisätietoina voitaisiin perusmuotoista henkilöturvallisuusselvitystä laadittaessa käytettävissä olevien tietojen lisäksi käyttää tietoja elinkeinotoiminnasta ja osallistumisesta siihen, varallisuudesta ja veloista sekä muista taloudellisista sidonnaisuuksista sekä perhe- ja sukulaisuussuhteista.

Laaja henkilöturvallisuusselvitys laadittaisiin kaikilta osin selvityksen kohteen ja tämän läheisen suostumuksella, kuten ehdotetun lain 5 ja 8 §:stä ilmenee. Siten myös läheistä koskevan henkilöturvallisuusselvityksen laatiminen olisi mahdollista vain tämän suostumuksella. Jos läheinen ei anna suostumustaan, selvitys voidaan tästä huolimatta laatia, mutta annettaessa selvityksestä tieto, ilmoitetaan, miltä osin selvitystä ei ole voitu tehdä.

28 §. Henkilötietolomake ja siinä ilmoitettujen tietojen tarkistaminen. Laajan henkilöturvallisuuden laatimista varten hankitaan tavanomaiseen henkilöturvallisuusselvitykseen nähden laajemmat tiedot. Ehdotetun 1 momentin mukaan tällaisten tietojen ensisijainen tietolähde olisi selvityksen kohteen antama henkilötietolomake.

Henkilötietolomakkeella selvityksen kohde ilmoittaisi tiedot viimeisen kymmenen vuoden aikana harjoitetusta elinkeinotoiminnasta tai osallistumisesta siihen (kohta 1), tiedot varallisuudesta ja veloista sekä muista taloudellisista sidonnaisuuksista (kohta 2) sekä tiedot perhe- ja sukulaisuussuhteista (kohta 3). Ehdotetulla säännöksellä on tarkoitus varmistaa, että henkilö ei taloudellisen asemansa vuoksi ole vaarassa joutua alttiiksi ulkopuolisten tarjoamille laittomille taloudellisille eduille.

Toimivaltainen viranomainen voisi ehdotetun 2 momentin mukaan tarkistaa henkilötietolomakkeella annetut tiedot ja hankkia tätä tarkoitusta varten tietoja verohallinnon julkisista verotustiedoista (kohta 1) sekä yleistä käyttöä varten perustetuista elinkeinotoiminnan harjoittamista tai omaisuutta kuvaavia julkisia tietoja sisältävistä rekistereistä (kohta 2), kuten kaupparekisteristä, yritys- ja yhteisörekisteristä, arvo-osuusrekisteristä, kiinteistörekisteristä tai ajoneuvorekisteristä. Taloudellista asemaa koskevia tietoja voisi lisäksi tarkistaa selvityksen kohteen antamalla luvalla luotto- ja rahoituslaitoksista (kohta 3).

Toimivaltaisen viranomaisen olisi ehdotetun 3 momentin mukaan varattava selvityksen kohteelle tilaisuus lausua antamiensa tietojen tarkistamisessa ilmi tulleista seikoista. Säännös on tarpeen selvityksen kohteen oikeusturvan vuoksi.

29 §. Henkilöturvallisuusselvityksen ulottaminen läheisiin laajassa henkilöturvallisuusselvityksessä. Jos henkilöturvallisuusselvityksen tarkoituksen saavuttaminen sitä välttämättä edellyttää, voitaisiin henkilöturvallisuusselvitys yksittäistapauksessa ulottaa koskemaan myös selvityksen kohteen läheisiä. Ehdotettu sääntely vastaisi voimassa olevaa lakia.

30 §. Suppean henkilöturvallisuusselvityksen tietolähteet. Suppean henkilöturvallisuusselvityksen laadinnassa käytettäisiin pääpiirteissään samoja rekisteritietoja kuin perusmuotoista henkilöturvallisuusselvitystä laadittaessa. Ulkopuolelle jäisivät kuitenkin suojelupoliisin toiminnallinen tietojärjestelmä sekä pääesikunnan turvallisuustietorekisteri. Ehdotetusta viittaussäännöksestä johtuu, että ulkopuolelle jäisivät myös henkilön koulutusta ja virka- ja työsuhteita koskevat sekä ulkomaan viranomaisten rekisteritiedot samoin kuin luottotietorekisterin ja ulosottorekisterin tiedot.

31 §. Puolustusvoimia ja suojelupoliisia koskevat erityissäännökset. Puolustusvoimien ja suojelupoliisin toimintaan liittyy erityispiirteitä, minkä vuoksi lakiin ehdotetaan otettaviksi erityissäännökset.

Ehdotettu 1 momentti mahdollistaisi puolustusvoimien itse ylläpitämien tietojärjestelmien käytön laadittaessa henkilöturvallisuusselvitystä puolustusvoimien tehtävään valittaessa tai sen tehtäviä hoitavista. Rekisterit, joita pääesikunta voisi käyttää, olisivat asevelvollisrekisteri ja kriisinhallintahenkilöstörekisteri.

Asevelvollisrekisteriin sisältyy myös terveydentilaa ja palveluskelpoisuutta koskevia tietoja. Näitä saisi ehdotetun 2 momentin mukaan ottaa huomioon selvitystä laadittaessa vain, jos se on välttämätöntä toisten henkilökohtaisen turvallisuuden varmistamiseksi. Rajoitussäännös on tarpeen yksityisyyden suojan vuoksi ja ottaen huomioon tietojenkäsittelyn tarkoitus.

Ehdotetussa 3 momentissa olisi säännös, joka mahdollistaisi puolustushallinnon tietojärjestelmien käyttämisen laadittaessa henkilöturvallisuusselvitystä suojelupoliisin tehtäviin valittavista.

32 §. Tietojen käyttörajoitukset henkilöturvallisuusselvitystä laadittaessa. Pykälässä kiellettäisiin käyttämästä sellaisia tietoja henkilöturvallisuusselvitystä tehtäessä, joiden käyttöön liittyy tavanomaista suurempi oikeusturvan ja yksityisyyden suojan loukkauksen vaara.

Tietojen käyttöä koskevat erityisrajoituksen koskisivat 1 momentin 1 kohdan mukaan sellaisia ilmiantoja tai rikosilmoituksia tai muita vastaavia poliisille toimitettuja tietoja, joiden mukaan henkilön on ilmoitettu syyllistyneen tai syyllistyvän rikokseen, jos niiden perusteella ei ole aloitettu esitutkintaa. Säännöksen tarkoituksena on estää se, että henkilöä ei ryhdytä arvioimaan pelkän rikosilmoituksen perusteella. Vastaava sääntely on esimerkiksi Ruotsin lainsäädännössä.

Esitutkintaviranomaisen on uuden esitutkintalain (805/2011) 3 luvun 3 §:n 1 momentin mukaan toimitettava esitutkinta, kun sille tehdyn ilmoituksen perusteella tai muuten on syytä epäillä, että rikos on tehty. Ennen esitutkinnan aloittamista esitutkintaviranomaisen on mainitun pykälän 2 momentin mukaan selvitettävä tarkoitettuun rikosepäilyyn liittyvät seikat erityisesti siten, että ketään ei aiheettomasti aseteta rikoksesta epäillyn asemaan.

Ehdotetun 2 kohdan mukaan kiellettyä olisi myös käyttää poliisiasiain tietojärjestelmään sisältyviä havaintotietoja henkilöistä tai tapahtumista, joissa on oletettu olevan kysymys rikollisesta toiminnasta. Myös näiden tietojen oikeellisuuteen voi liittyä erilaisia epävarmuustekijöitä, minkä vuoksi tietojen käyttö henkilön arvioinnissa ei ole asianmukaista.

Poliisiasiain tietojärjestelmään kuuluvan arkistotietokannan käyttöön liittyy erilaisia henkilötietojen suojaa koskevia riskejä. Tietosuojavaltuutettu on valvontatoimissaan katsonut, ettei niitä saisi yleisesti käyttää turvallisuusselvityksiä tehtäessä, vaan ainoastaan asiakirjan hakua varten poliisin päätearkistosta. Arkistotietokannan käyttö on johtunut osaltaan tietojärjestelmän teknisistä ominaisuuksista, jotka muuttuvat tietojärjestelmää uudistettaessa.

Vanhoja tapahtumia koskevien tietojen käytöstä aiheutuvien ongelmien estämiseksi momenttiin ehdotetaan otettavaksi 3 kohta, jonka mukaan kymmentä vuotta vanhempia tietoja ei saisi pääsäännön mukaan käyttää. Voimassa olevan lain mukaan tällaisia tietoja ei saa käyttää, ellei tällaisten tietojen käyttäminen ole välttämätöntä selvityksen tarkoituksen saavuttamiseksi. Ehdotuksen mukaan kymmentä vuotta vanhempia tapahtumia koskevien tietojen käyttäminen olisi kuitenkin sallittua, jos tiedot on saatavissa rikosrekisteristä.

Rikosrekisterilain 10 §:n 1 momentin mukaan rikosrekisteristä poistetaan tieto ehdottomasta, enintään kahden vuoden vankeusrangaistuksesta ja yhdyskuntapalvelusta kymmenen vuoden kuluttua lainvoiman saaneen tuomion antamispäivästä. Tieto ehdottomasta, yli kahden ja enintään viiden vuoden vankeusrangaistuksesta sekä rikoslain 3 luvun 4 §:n 1 ja 2 momentin nojalla rangaistukseen tuomitsematta jättämisestä poistetaan kahdenkymmenen vuoden kuluttua. lainvoiman saaneen tuomion antamispäivästä. Yksittäistä rangaistusta koskevaa tietoa ei kuitenkaan poisteta, jos henkilöstä on rikosrekisterissä sellainen tieto, jota ei vielä voida poistaa.

Rikosrekisterilain edellä kuvatut säännökset merkitsevät, että vakavimmat rikokset tai toistuva rikollinen toiminta voisi vaikuttaa turvallisuusselvityksen sisältöön silloinkin, kun kysymys on yli kymmenen vuotta aikaisemmin tehdyistä rikoksista. Tätä on pidettävä riittävänä turvallisuusselvitysmenettelyn kannalta, minkä lisäksi selkeä rajoitussäännös olisi tarpeen menettelyjen yhdenmukaistamiseksi.

Tietoja viittätoista vuotta nuorempana tehdystä teosta ei pääsäännön mukaan tule lainkaan käyttää (4 kohta). Tietoja voitaisiin kuitenkin käyttää, jos tiedon käyttäminen on puolustusvoimissa välttämätöntä muiden henkilökohtaisen turvallisuuden suojaamiseksi. Puolustusvoimat pitävät poikkeusmahdollisuutta tärkeänä toimintansa vuoksi.

Ehdotettuun 2 momenttiin ehdotetaan otettavaksi erityissäännös esitutkinnassa olevaa tai syyttäjällä vireillä olevaa asiaa koskevan tiedon käyttämisestä. Säännökset on katsottu tarpeelliseksi syyttömyysolettaman vuoksi. Ehdotetun sääntelyn tarkoituksena on varmistaa, että turvallisuusselvitystä laadittaessa käytettäisiin mahdollisimman ajan tasalla olevia ja luotettavia tietoja.

Edellytyksenä esitutkinnassa ja syyteharkinnassa olevaa asiaa koskevan tiedon käyttämiselle olisi ensinnäkin vaatimus sen selvittämisestä, missä vaiheessa asian käsittely on ja mikä on selvityksen kohteen syyllisyyttä koskevien tietojen laatu (1 kohta). Asian käsittelyvaihe yleensä vaikuttaa siihen, kuinka luotettavan kuvan tapahtuneesta voi saada. Säännösehdotuksessa on huomiota kiinnitetty tietojen laadun arviointiin. Tietojen laadulla tarkoitetaan tässä tietojen virheettömyyttä ja ajantasaisuutta sekä luotettavuutta.

Edellytyksenä keskeneräistä rikosasiaa koskevan tiedon käyttämiselle turvallisuusselvitystä laadittaessa olisi, että tiedon käyttö on välttämätöntä selvityksen perustana olevaan tehtävään liittyvien erityisten vaatimusten sekä epäillyn teon luonteen vuoksi (2 kohta).

Pykälän 3 momentissa olisi poliisin henkilörekisterissä olevien terveydentilatietojen käyttöä koskeva rajoitus. Ehdotuksen mukaan poliisin henkilötietojen käsittelystä poliisitoimessa annetussa laissa tarkoitettuun poliisiasiain tietojärjestelmään, hallintoasiain tietojärjestelmään ja suojelupoliisin toiminnalliseen tietojärjestelmään sisältyviä terveydentilaa koskevia tietoja saisi ottaa huomioon turvallisuusselvitystä laadittaessa vain, jos se on välttämätöntä toisten henkilökohtaisen turvallisuuden varmistamiseksi ja tiedot perustuvat lääkärintodistukseen tai muihin laillistetun terveydenhuollon ammattihenkilön tekemiin merkintöihin eikä niiden virheettömyydestä muutoinkaan ole epäselvyyttä.

Ehdotus vastaa sitä esityksessä omaksuttua yleistä lähtökohtaa, jonka mukaan virkaan tai tehtävään valittavan terveydentila selvitetään yksityisyyden suojasta työelämässä annetussa laissa, virkamieslaissa, kunnallisesta viranhaltijasta annetussa laissa ja työterveydenhuoltolaissa säädettyjen menettelyjen mukaisesti. Erityisen tärkeää on huolehtia siitä, että henkilön terveydentilaa ei arvioida muiden kuin terveydenhuollon ammattihenkilöiden asiantuntemuksen perusteella.

Säännösehdotuksessa oleva tietojen käyttökielto ei kuitenkaan estäisi sitä, että toimivaltainen viranomainen voisi kiinnittää työnantajan huomiota esimerkiksi tarpeeseen lääkärintarkastuksen toteuttamisesta ennen työhönottoa.

5 luku Yritysturvallisuusselvitys

33 §. Yritysturvallisuusselvityksen hakemiseen oikeutetut. Yritysturvallisuusselvitystä hakisi ehdotetun 1 momentin 1 kohdan mukaan se, joka tarvitsee selvitystä laissa tai sen nojalla säädetyn taikka kansainvälisestä tietoturvallisuusvelvoitteesta johtuvan velvoitteen toteuttamiseksi. Kohdassa on varauduttu siihen, että vastaisuudesta yritysturvallisuusselvitystä edellytetään erityislaeissa.

Julkisista puolustus- ja turvallisuushankinnoista annetun lain 41 ja 54 §:n mukaan hankintayksikkö voi asettaa ehdokkaalle tai tarjoajille tietoturvallisuutta koskevia vaatimuksia, jotka ovat tarpeen viranomaiselle säädettyjen velvoitteiden toteuttamiseksi, jos tarjouskilpailun tai hankinnan toteuttamiseksi annetaan, laaditaan tai muutoin käsitellään turvallisuusluokiteltuja asiakirjoja. Hankintayksikkö voi pyytää ehdokkaalta tai tarjoajalta sitoumuksia ja tietoja, joka osoittavat tarjoajan kyvyn täyttää asetetut tietoturvallisuusvaatimukset. Tällaisena tietona voi olla esimerkiksi laadittu yritysturvallisuusselvitys.

Ehdotetun 2 kohdan mukaan yritysturvallisuusselvitystä voisi hakea se viranomainen, jonka on tarkoitus tehdä sopimus selvityksen kohteen kanssa. Yritys ei voisi suoraan ehdotetun lain nojalla hakea yritysturvallisuusselvitystä toisesta yrityksestä. Yritysten välisissä toimissa voitaisiin hyödyntää hyväksyttyjä yritysten tietoturvallisuuden arviointilaitoksia, jotka niitä koskevan lainsäädännön mukaan ovat viranomaisten valvonnassa. Valtioneuvoston asetuksella voitaisiin myöhemmin antaa säännökset, missä tapauksissa yritys voisi pyytää toisesta yrityksestä yritysturvallisuusselvityksen laatimista (36 § 4 mom.).

Laissa ehdotetaan annettavaksi mahdollisuus hoitaa yritysturvallisuusselvitykset keskitetysti ja tehokkaasti valtionhallinnossa. Ehdotuksen mukaan hakijana voisi toimia valtionhallinnon hankinnoista vastaava yksikkö tai valtionhallinnolle yhteisiä tai laajaan käyttöön tarkoitettuja tieto- ja viestintekniikkapalveluja tarjoava yksikkö (3 kohta).

Säännösehdotuksessa valtionhallinnon hankinnoista vastaavalla yksiköllä viitattaisiin Hansel osakeyhtiöön, joka on valtion yhteishankintayksikkö. Valtionhallinnolle yhteisiä tai laajaan käyttöön tarkoitettuja tieto- ja viestintätekniikkapalveluja tarjoavalla yksiköllä tarkoitetaan valtiokonttorissa toimivaa Valtion IT-palvelukeskusta.

Ehdotetussa 4 kohdassa säänneltäisiin toimintaa valvovalle viranomaiselle mahdollisuus hakea yritysturvallisuusselvitystä yrityksestä, joka harjoittaa 21 §:n 1 momentin 5 ja 6 kohdassa tarkoitettua toimintaa tai on osallistumassa aliurakoitsijana hankkeeseen, jossa sillä tai sen työntekijöillä on pääsy mainitussa lainkohdassa tarkoitettuihin tietoihin taikka tiloihin tai alueelle. Kohdan soveltamisalasta esimerkkinä voitaisiin mainita, että säteilyturvallisuuskeskus voisi pyytää yritysturvallisuusselvityksen laatimista sellaisista ydinvoimalan rakentamiseen osallistuvista yrityksistä, joiden työntekijät saavat tietoja ydinvoimalan turvallisuuteen vaikuttavista tekijöistä.

Ehdotettu 2 momentti koskisi yrityksen oikeutta itse hakea yritysturvallisuusselvityksen laatimista ehdotetun 36 §:n 2 momentin tarkoittamissa tapauksissa. Säännösehdotus liittyy tavoitteeseen tukea suomalaisia ja suomalaisia yrityksiä osallistua kansainväliseen toimintaan.

34 §. Valtionhallinnon viranomaisen velvollisuus yritysturvallisuusselvityksen hakemiseen. Valtioneuvoston asetuksella voitaisiin ehdotuksen mukaan säätää, että yritysturvallisuusselvitys on haettava yrityksestä, jolle valtionhallinnon viranomaisen kanssa tehtävän sopimuksen toteuttamiseksi annetaan tai joita toteutettaessa syntyy tai muutoin saadaan suojaustasoon I—III kuuluviksi luokiteltuja asiakirjoja. Tällainen velvollisuus olisi tarkoitus kohdistaa kriittisimpiin valtionhallinnon tietojärjestelmiin liittyviä tehtäviä hoitaviin sekä viranomaiskäyttöä varten kehiteltäviä laiteratkaisuja tuottaviin yrityksiin.

35 §. Yritysturvallisuusselvitystä koskeva hakemus. Ehdotetun 1 momentin 1 kohdan mukaan selvityksen kohteena olevasta yrityksestä tulisi ilmoittaa nimi ja muut tunnistetiedot sekä yhteystiedot. Tunnistetiedoilla viitataan esimerkiksi yritys- ja yhteisörekisteriin merkittyyn tunnukseen. Tunnistetietona voi olla myös muu yrityksen rekisteröinnin yhteydessä annettu rekisteröintinumero.

Hakemuksessa tulisi ehdotetun 2 kohdan mukaan ilmoittaa ne alihankkijat, joiden kanssa selvityksen kohde aikoo tehdä sopimuksen yritysturvallisuusselvityksen perusteena olevan hankkeen toteuttamiseksi, aliurakoitsijan tehtävät hankkeessa sekä tällaista alihankkijaa koskevat 1 kohdassa tarkoitetut tiedot. Säännös on tarpeen toimivaltaisen viranomaisen harkintaa varten sen arvioidessa, onko aliurakoitsijasta tarpeen kulloinkin tarvittavan suojaustason toteuttamiseksi laatia yritysturvallisuusselvitys ja miltä osin.

Hakemuksessa tulisi ehdotetun 3 kohdan mukaan annettava selvitys yritysturvallisuusselvityksen laatimiselle 36 §:ssä säädettävien edellytysten täyttymisestä. Kysymyksen ollessa hankintasopimuksen tekemisestä selvityksen kohteena olevan yrityksen kanssa, on annettava tieto hankinnasta ja erityisesti siitä, minkälaisten turvallisuusnäkökohtien vuoksi selvitys on tarpeen (hankinnan yhteydessä yritykselle annettavat tai sen toteuttamisessa syntyvät tai muutoin tietoon tulevat salassa pidettävät tiedot tai yrityssalaisuudet). Jos yritys on itse hakijana, on annettava tiedot, jotka ovat tarpeen 36 §:n 2 momentin 1 ja 2 kohdassa säädettävistä seikoista.

Ehdotetussa 4 kohdassa edellytettäisiin tiedon antamista siitä, onko yritysturvallisuusselvityksen avulla tarkoitus osoittaa yrityksen täyttävän määrätty tietoturvallisuuden taso ja jos on, mikä on käytettävä arviointiperuste. Tällainen tieto on tarpeen yritysturvallisuusselvitysasian käsittelemiseksi ja selvityksen pohjalta annetavan todistuksen laatimiseksi.

Ehdotetun 5 kohdan mukaan yritysturvallisuusselvitystä haettaessa olisi annettava tieto siitä, onko yrityksen tai sen alihankkijana toimivan toimitiloista, tietojärjestelmistä ja muista turvallisuusjärjestelyistä laadittu tietoturvallisuusvaatimusten arviointilaitoksista annetussa laissa tarkoitetun arviointilaitoksen laatima arviointi ja, jos on, kopio tällaisesta arvioinnista.

Lailla tietoturvallisuuden arviointilaitoksista on luotu arviointilaitosten hyväksyntä- ja valvontajärjestelmä, joka antaa yrityksille mahdollisuuden hankkia yleisesti luotettava arviointi tietoturvallisuusjärjestelyjensä tasosta. Tällä tavoin yritys voi ennakolta varautua yritysturvallisuusselvitysmenettelyssä sovellettaviin vaatimuksiin. Tiedonantovelvollisuus palvelisi siten sekä selvityksen kohteena olevaa yritystä että viranomaista ja olisi omiaan nopeuttamaan selvityksen laadintaa sekä alentamaan kustannuksia.

36 §. Yritysturvallisuusselvityksen laatimisen edellytykset. Yritysturvallisuusselvityksen tarve liittyy erilaisiin tilanteisiin. Pykälässä säädettäisiin siitä, missä tapauksissa selvitys voidaan tehdä. Se ei muodollisesti anna yritykselle oikeutta saada itsestään selvitystä.

Yritysturvallisuusselvitys voitaisiin ehdotetun 1 momentin 1 kohdan mukaan laatia, jos yritysturvallisuusselvitys on laadittava tai voidaan laatia laissa tai lain nojalla annetun säännöksen mukaan taikka kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi.

Ehdotettu säännös merkitsee muun ohella, että yritysturvallisuusselvitys on laadittava tapauksissa, joissa on kysymys kansainvälisissä sopimuksissa tai säädöksissä tarkoitetun turvallisuusluokitellun sopimuksen tekemisestä tai siihen tähtäävästä hankintakilpailusta. Erityislakeja ovat puolustus- ja turvallisuushankinnoista annettu laki ja puolustustarvikkeiden viennistä annettu laki (282/2012).

Ehdotetut ja jo voimassa olevat säännökset merkitsevät siten sitä, että yritysturvallisuuteen liittyvät vaatimukset eivät estä suomalaisten yritysten mahdollisuuksia osallistua sellaisiin kansainvälisiin tarjouskilpailuihin, joissa edellytetään korkeaa yritysturvallisuuden tasoa.

Ehdotetun momentin 2 kohdan mukaan yritysturvallisuusselvitys voitaisiin laatia, kun viranomainen on tekemässä yrityksen kanssa sopimusta, jonka yhteydessä yritykselle luovutetaan viranomaisen luokiteltuja asiakirjoja. Säännöksen tarkoituksena on osaltaan varmistaa, että luokiteltujen asiakirjojen suoja ja asianmukainen käsittely voidaan varmistaa silloinkin, kun ne ovat muun kuin viranomaisen hallussa.

Ehdotettu kohta tulisi sovellettavaksi esimerkiksi yrityksiin, jotka hoitavat viranomaisen tietojärjestelmien ylläpitoa ja muita tietojenkäsittelytehtäviä. Se voisi tulla sovellettavaksi myös silloin, kun yritys kehittää viranomaisen lukuun erilaisia teknisiä ratkaisuja ja tuotteita, kuten puolustustarvikkeita puolustusvoimille tai rikosten selvittämiseen ja tutkintaan käytettäviä laitteita poliisihallinnolle.

Toimintaa valvova viranomainen voisi ehdotetun 3 kohdan mukaan pyytää yritysturvallisuusselvitystä sellaisesta yrityksestä, joka harjoittaa 21 §:n 5 ja 6 kohdassa tarkoitettua toimintaa (ydinlaitokset ja sen alue, räjähdysvaarallisten aineiden valmistus ja kuljetus).

Yritysturvallisuusselvitys voitaisiin tehdä ehdotetun 2 momentin mukaan, jos turvallisuusselvitystä edellytetään kansainvälisen järjestön tai toimielimen säännöissä tai toisen valtion laissa. Lisäksi edellytettäisiin, että yritysturvallisuusselvitys olisi tarpeen sen vuoksi, että selvityksen kohde voisi tulla valituksi kansainvälisen järjestön tai toimielimen järjestämään tai näiden muutoin organisoimaan hankkeeseen taikka toisessa valtiossa järjestettävään hankintakilpailuun (1 kohta). Säännös vastaa asiasisällöltään osaksi voimassa olevan kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 1 §:n 3 momenttia, joka ehdotetaan kumottavaksi.

Ehdotetun 2 kohdan mukaan yritysturvallisuusselvitys voitaisiin laatia myös silloin, kun se on tarpeen yritystoiminnan aloittamiseksi toisessa valtiossa.

Yritysturvallisuusselvitys voitaisiin ehdotetun 3 momentin mukaan ulottaa koskemaan myös selvityksen kohteen alihankkijana toimivaa yritystä niiltä osin kuin 1 momentissa säädetyt edellytykset täyttyvät myös alihankkijaa koskevina ja toimivaltainen viranomainen katsoo sen tarpeelliseksi. Ehdotetun säännöksen on määrä antaa toimivaltaiselle viranomaiselle mahdollisuudet arvioida kulloisessakin tilanteessa yritysturvallisuusselvityksen laajuus ja ottaen huomioon aliurakoitsijoiden tehtävien merkitys suojattavan edun kannalta.

Valtioneuvostolle annettaisiin ehdotetun 4 momentin mukaan oikeus laajentaa yritysturvallisuusselvityksen laatimista. Ehdotuksen mukaan yritysturvallisuusselvitys voitaisiin asetuksella oikeuttaa laadittavaksi myös yrityksen sellaisten liike- ja ammattisalaisuuksien tai teknologista kehittämistyötä koskevien tietojen suojaamiseksi, joiden oikeudeton käyttö, käsittely ja luovuttaminen aiheuttaisivat yritykselle merkittävää taloudellista vahinkoa tai joiden suojaamisella on merkitystä yleisen edun suojaamiseksi.

Ehdotuksen taustalla on ensinnäkin yrityksen tarve suojata omia yrityssalaisuuksia sen olleessa tekemässä sopimusta selvityksen kohteena olevan yrityksen kanssa. Toimivaltaisten viranomaisten nykyisten voimavarojen rajallisuuden vuoksi mahdollisuudesta yritysturvallisuusselvityksen laatimiseen olisi tarkoituksenmukaista säätää asetuksella.

Toiseksi asetuksenantovaltuus voisi koskea sellaisia tilanteita, joissa yrityksen tai yritysten yhteistyön välisenä yhteistyöhankkeena toteutettavalla kehittämistyöllä on erityistä merkitystä suojattavan yleisen edun kannalta. Eri maiden lainsäädännössä voidaan tällaisissa tilanteissa edellyttää, että hankkeeseen osallistuvan toisessa valtiossa kotipaikkaansa pitävän yrityksen on tehtävä turvallisuusluokiteltu sopimus. Tämä edellyttää käytännössä sitä, että toisessa valtiossa kotipaikkaansa pitävästä yrityksestä olisi pyydettävä kansainvälisistä tietoturvallisuusvelvoitteista annetun lain nojalla yritysturvallisuusselvitys.

Ehdotettu sääntely loisi yhdenvertaiset kilpailuedellytykset suomalaisille ja muissa maissa kotipaikkaansa pitäville yrityksille.

37 §. Yritysturvallisuusselvityksessä käytettävät tietolähteet. Yritysturvallisuusselvityksen laatiminen perustuu yrityksen antamiin tietoihin sekä tietojen hankkimiseen ulkopuolisilta, minkä lisäksi selvityksen laadinta edellyttää säännönmukaisesti myös sitä, että toimivaltainen viranomainen tutustuu yrityksen toimitiloihin, toimintaan niissä sekä tietojärjestelmiin ja tietoliikenneratkaisuihin.

Yritysturvallisuusselvitystä laadittaessa voitaisiin käyttää ehdotetussa 1 momentissa osoitettavia ulkopuolisia tietolähteitä. Tietoja voitaisiin mukaan hankkia yrityksestä, sen omistajista ja näiden kansalaisuudesta, jos tällainen tieto olisi saatavissa (1 kohta).

Yritystä ja yrityksen vastuuhenkilöitä koskevia tietoja voitaisiin ehdotetun 2 kohdan mukaan hankkia myös yrityspalvelujen asiakastietojärjestelmästä annetussa laissa (240/2007) säädetystä tietojärjestelmästä. Esitykseen sisältyy ehdotus mainitun lain muuttamisesta (lakiehdotus n:o 7).

Samoin voitaisiin hankkia tietoja yrityksen toiminnasta ja sen henkilöstön määrästä sekä yrityksen ja sen vastuuhenkilöiden luottokelpoisuudesta (3 ja 4 kohta).

Ehdotetun 5 kohdan mukaan tietoja voitaisiin hankkia yrityksen varallisuudesta yleistä käyttöä varten perustetuista rekisteristä taikka muista julkisista lähteistä. Tällaisia tietolähteitä ovat muun ohella yritys- ja yhteisötietorekisteri, luottotietorekisterit, arvo-osuusjärjestelmät ja osakerekisterit samoin kuin kiinteistörekisteri. Kohdan mukaan käytettävissä ovat myös yrityksen itse selvityksen laadintaa varten antamat tiedot.

Tietoja voitaisiin ehdotetun 6 kohdan mukaisesti hankkia myös ulosottorekisteristä ja verohallinnon tietojärjestelmistä sekä vakuutuslaitokselta sellaisen lakisääteiseen vakuutukseen perustuvan saatavan laiminlyönnistä, joka voidaan ulosmitata ilman tuomiota tai päätöstä verojen ja maksujen täytäntöönpanosta annetun lain (706/2007) mukaan.

Ehdotetun 7 kohdan mukaan yritysturvallisuusselvitystä laadittaessa voitaisiin käyttää ulkomaalaisrekisteristä saatavia tietoja. Tällainen tieto voi olla tarpeen erityisesti silloin, kun yritys voisi käsitellä suojaustasoihin I tai II kuuluvia, erityistä suojaa vaativia tietoaineistoja.

Yritysturvallisuusselvitystä laadittaessa voi olla tarpeen käyttää myös raha- ja luottolaitoksista saatavia tietoja. Ehdotetun 8 kohdan mukaan tällaisia tietoja voitaisiin kuitenkin hankkia vain yrityksen suostumuksella. Jos yritys ei antaisi suostumustaan eikä esittäisi mainittujen laitosten oikeaksi todistamia otteita, toimivaltainen viranomainen voisi ottaa tämän huomioon yritysturvallisuusselvitystä laadittaessa.

Yritysturvallisuusselvitystä laadittaessa voitaisiin ehdotetun 9 kohdan mukaan käyttää tietoja yritykselle tuomituista rangaistuksista ja uhkasakoista sekä siihen kohdistuneista rikoksista. Näitä tietoja voitaisiin saada poliisiasiain tietojärjestelmästä, sakkorekisteristä sekä oikeushallinnon valtakunnallisesta tietojärjestelmästä.

Ehdotetun 2 momentin mukaan yritysturvallisuusselvitykseen sisältyvän yrityksen vastuuhenkilöitä koskevien henkilöturvallisuusselvitysten laadinnassa käytettävistä tietolähteistä noudatetaan lisäksi, mitä 4 luvussa säädetään.

38 §. Yritysturvallisuusselvitysasian käsittely. Yritysturvallisuusselvitystä laadittaessa toimivaltainen viranomainen selvittäisi toimivaltaansa kuuluvilta hakemuksen ja asian käsittelyssä käytettävissä olevien tietolähteiden sekä yritykseen ja sen toimitiloihin ja sen käytössä olevien tietojärjestelmiin ja tietoliikennejärjestelyihin kohdistuneen tarkastuksen perusteella, miten yritys voi huolehtia turvallisuusjärjestelyistä (1 momentti). Käytännössä tehtävään osallistuu kaksi toimivaltaista viranomaista, koska Viestintäviraston tehtävänä on huolehtia tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista.

Toimivaltaisten viranomaisten käytettävissä olevien keinoin selvitetään, miten yritys voi huolehtia erilaisista tietoturvallisuuteen kuuluvista seikoista. Tällaisia ovat tiedot siitä, miten tiedot suojataan oikeudettomalta ilmitulolta, muuttamiselta ja hävittämiseltä (1 kohta) ja miten estetään asiaton pääsy tiloihin, joissa tietoja käsitellään tai joissa harjoitetaan muuta selvityksen perusteena olevaa toimintaa (2 kohta). Turvallisuustyössä olennaista on henkilöstön toiminta, minkä vuoksi on tärkeätä varmistaa, miten henkilöstöä ohjataan ja koulutetaan asianmukaisesti (3 kohta).

Useissa tilanteissa voi olla tarpeen varmistaa yrityksen tietoturvallisuuden taso esimerkiksi sen mukaan, mille suojaustasolle kuuluvia asiakirjoja yritys saa käsitellä. Jos tällaisesta on kysymys, yritysturvallisuusselvitystä laadittaessa on selvitettävä, toteutuvatko määriteltyä tasoa koskevat vaatimukset (2 momentti).

Yritysturvallisuusselvitys voitaisiin tehdä myös osittaisena. Tämä olisi mahdollista ehdotetun 3 momentin mukaan, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai jos se on muutoin turvallisuusselvityksen tarkoituksen toteuttamiseksi perusteltua.

39 §. Yritysturvallisuuteen liittyvät tarkastukset ja viranomaisen tiedonsaantioikeus. Ehdotetussa 1 momentissa asetettaisiin yritykselle, josta yritysturvallisuusselvitys laaditaan, velvollisuus antaa selvitystä laativalle viranomaiselle ne tiedot, jotka ovat tarpeen selvityksen tekemiseksi.

Vaikka yritysturvallisuusselvityksen laatiminen ei voi tulla vireille ilman yrityksen suostumusta, asian käsittelyn jatkamisen edellytyksenä on, että yritys on koko selvityksen laatimisen ajan ja sen jälkeenkin osallisena prosessissa. Jos yritys ei täyttäisi ehdotettuja velvoitteita viranomaisen asettamaan hallintolain (434/2003) mukaisesti määriteltyyn määräaikaan mennessä, toimivaltainen viranomainen voisi jättää asian käsittelyn silleen.

Toimivaltaisella viranomaisella olisi ehdotetun 2 momentin mukaan oikeus tarkastaa tarvittavassa laajuudessa yrityksen toimitilojen, tietojärjestelmien ja tietoliikenteen suojaamiseksi toteutetut ja muut turvallisuusjärjestelyt.

Koska säännösehdotuksessa tarkoitettua tarkastusta ei ole tarpeen ulottaa kotirauhan piiriin kuuluviin tiloihin, on ehdotetussa säännöksessä katsottu olevan syytä nimenomaisesti rajata tällaiset tilat tarkastusoikeuden ulkopuolelle (PeVL 2/2002 vp, PeVL 18/2006 vp). Kotirauhan suojaama piiri määritellään eri tavoin perustuslaissa kuin esimerkiksi rikoslaissa (RL 24:11), minkä vuoksi rajaussäännös on muotoiltu perustuslakivaliokunnan kannanottojen mukaisesti koskemaan pysyväisluonteiseen asumiseen käytettyjä tiloja.

40 §. Yrityksen sitoumus. Toimivaltainen viranomainen voisi yritysturvallisuusselvitystä ja sen perusteella annettavaa todistusta laatiessaan edellyttää, että elinkeinonharjoittaja sitoutuu huolehtimaan tietoturvallisuustason säilyttämisestä. Samoin voitaisiin edellyttää, että yritys sitoutuu ilmoittamaan muutoksista, joilla on vaikutusta tietoturvallisuuden tasoon.

Koska yritysturvallisuusselvityksen perusteella annetaan todistus, joka on yleensä voimassa viisi vuotta, viranomaisella tulee olla mahdollisuus selvityksen laatimisen jälkeenkin varmistaa tietoturvallisuusjärjestelyt yrityksessä. Tämän vuoksi viranomainen voisi edellyttää, että yritys sitoutuu antamaan tietoturvallisuustason säilyttämisen valvomiseksi viranomaiselle luvan päästä yrityksen tiloihin sekä seurannassa tarvittavia tietoja tietoturvallisuustason säilyttämisen valvomiseksi.

Ehdotettu säännös vastaa kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa nykyisin säädettyjä velvoitteita.

6 luku Turvallisuusselvitysmenettelyn päättäminen ja siitä saatujen tietojen käsittely

41 §. Turvallisuusselvitysmenettelyn päättyminen. Turvallisuusselvitysmenettelyn päättymisestä ja sen sisällöstä ilmoitettaisiin ehdotetun 1 momentissa olevan pääsäännön mukaan hakijalle kirjallisesti tai antamalla sen perusteella turvallisuusselvitystodistus.

Jos henkilöturvallisuusselvityksen perusteella ei ole velvollisuutta antaa turvallisuusselvitystodistusta eikä sitä tehtäessä ole tullut esiin sellaista, jonka selvitystä laatinut viranomainen katsoo olevan selvityksen kohteen luotettavuuden kannalta merkityksellistä, viranomainen voisi ehdotetun 2 momentin mukaan ilmoittaa tämän selvityksen hakijalle suullisesti.

42 §. Turvallisuusselvityksen vaikutukset ja sen sisältö. Voimassa olevan lain lähtökohdan mukaisesti ehdotetaan 1 momentissa säädettäväksi, että turvallisuusselvitys ei sitoisi sitä, jonka käyttöä varten selvitys on laadittu.

Ehdotetun 2 momentin mukaan turvallisuusselvitykseen otettaisiin vain sellaisia salassa pidettäviä tietoja, jotka yksittäistapauksessa olisivat tarpeen selvityksen tarkoituksen saavuttamiseksi. Jos turvallisuusselvitykseen otettaisiin tieto keskeneräisestä rikosasiasta, olisi samalla ilmoitettava, missä vaiheessa asian käsittely silloin on.

Turvallisuusselvitykseen ei saisi nykyisen lain tapaan ja ehdotetun 3 momentin mukaan sisällyttää viranomaisen arviota selvityksen kohteena olevan henkilön nuhteettomuudesta, luotettavuudesta tai sopivuudesta virkaan tai tehtävään. Sääntely vastaisi voimassa olevaa lakia.

Toimivaltainen viranomainen voisi henkilöturvallisuusselvityksen antamisen yhteydessä kiinnittää työnantajan huomiota ehdotetun lain 17 §:n 2 momentin 4 kohdassa tarkoitettujen muiden luotettavuutta lisäävien selvitysten hankkimiseen (4 momentti). Säännöstä voidaan pitää tarpeellisena sen vuoksi, että Suomessa huumeiden käyttöä ja terveystilaa koskevia asioita ei ole katsottu sopivaksi selvittää osana turvallisuusselvitystä.

43 §. Henkilöturvallisuusselvitystodistuksen antaminen. Voimassa olevan turvallisuusselvityksistä annetun lain mukaan turvallisuusselvityksestä ei anneta todistusta. Todistus on voitu antaa vain kansainvälisistä tietoturvallisuusvelvoitteista annetun lain tarkoittamissa tapauksissa. Tämä on osoittautunut epäkohdaksi, minkä vuoksi laissa säädettäisiin niistä tilanteista, joissa todistus voitaisiin antaa.

Ehdotetussa 1 momentissa säädettäisiin edellytyksistä henkilöturvallisuusselvitystodistuksen antamiseen. Henkilöturvallisuusselvitystodistuksen antamisen yleisenä edellytyksenä olisi, ettei selvitysmenettelyssä ole tullut esiin syitä, miksi henkilöä ei voitaisi valita selvityksen perusteena olevaan tehtävään.

Todistuksen antamisen tarkempana lisäedellytyksenä ehdotetun 1 kohdan mukaan olisi, että turvallisuusselvitystodistuksen antaminen on tarpeen laissa tai sen nojalla annetun säännöksen mukaan taikka 15 §:n 2 momentissa tarkoitetun tehtävän vuoksi. Lain nojalla säädetystä tarpeesta esimerkkinä on virkamieslain nojalla annettava asetus, jonka mukaan edellytyksenä virkaan nimittämiselle olisi, että henkilöllä on henkilöturvallisuusselvitystodistus (lakiehdotus n:o 10).

Henkilöturvallisuusselvityksen perusteella annettaisiin momentin 2 kohdan mukaan todistus, jos se on tarpeen tarpeettomien turvallisuusselvitysten laadinnan estämiseksi ja selvityksen kohde työskentelee panostajan tehtävissä taikka huolto-, asennus-, vartiointi- tai muissa sellaisissa tehtävissä, missä hänen on työtehtäviensä luonteen vuoksi säännönmukaisesti toimittava sellaisissa toimitiloissa tai alueella, joissa työskentelevistä laaditaan turvallisuusselvitys.

Turvallisuusselvitystodistus voitaisiin antaa ja sen esittämistä edellyttää sellaisestakin vartiointitehtävässä toimivasta, joka on hyväksytty yksityisistä turvallisuuspalveluista annetun lain (282/2002) mukaisesti vartijaksi ja jolle poliisilaitos on antanut vartijakortin, vaikka henkilön rikostaustaa selvitetään osana vartijaksi hyväksymistä.

Turvallisuusselvitystodistuksella on osin oma merkityksensä luotettavuuden varmistamisessa ja sen saaneen luottavuuden seuranta olisi järjestetty ehdotetun lain mukaisesti. Samoin ehdotuksessa tarkoitetuissa tiloissa työskentelevästä panostajasta voitaisiin laatia turvallisuusselvitys ja antaa sen perusteella todistus, vaikka suppea henkilöturvallisuusselvitys laadittaisiinkin ennen panostajan pätevyyskirjan antamista.

Laissa ei säädettäisi, kenelle henkilöturvallisuusselvitystodistus annettaisiin. Kun kysymys on tilanteista, joissa henkilön on itse esitettävä todistus esimerkiksi kansainvälisiin tehtäviin liittyen, todistus annettaisiin henkilölle itselleen. Kun kysymys on esimerkiksi eri ministeriöiden toimitiloissa työskentelevästä huoltohenkilöstöstä, todistus voidaan antaa työnantajalle, joka esittää ne ministeriön edustajille kulkuoikeutta osoittavien asiakirjojen antamista varten. Henkilöllä itsellään on aina oikeus saada turvallisuusselvitystodistuksesta joka tapauksessa kopio.

Ehdotetun 2 momentin mukaan kansallinen turvallisuusviranomainen antaisi kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisen henkilöturvallisuusselvitystodistuksen siten kuin kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään. Esitykseen sisältyvässä lakiehdotukseen (lakiehdotus n:o 6) on otettu asiasta tarkemmat säännökset.

Henkilöturvallisuusselvitystodistus voitaisiin ehdotetun 3 momentin mukaan antaa myös henkilökorttina 1 momentin 2 kohdassa tarkoitetuissa tapauksissa, joissa henkilö säännönmukaisesti työskentelee eri turvallisuusselvitystä edellyttävissä työpisteissä. Suojelupoliisi vahvistaisi pääesikuntaa kuultuaan kortin muodon ja sisällön.

Pykälän 4 momenttiin ehdotetaan selvyyssyistä otettavaksi säännös kirjallisen päätöksen antamisesta silloin, kun toimivaltainen viranomainen kieltäytyy antamasta henkilöturvallisuusselvitystodistusta.

44 §. Henkilöturvallisuusselvitystodistuksen sisältö. Henkilöturvallisuusselvitystodistukseen merkittäisiin 1 momentin mukaan tieto selvityksen kohteesta ja todistuksen päivämäärästä ja antajasta sekä tehtävistä, joita varten se on annettu. Tämä olisi omiaan yhdenmukaistamaan käytäntöjä.

Todistukseen voitaisiin tarvittaessa merkitä 2 momentin mukaan tieto sen voimassaolosta (1 kohta) sekä siitä, ettei selvitysmenettelyssä ole tullut esiin syitä, joiden vuoksi henkilöä ei voitaisi valita hakemuksen perusteena olevaan tehtävään (2 kohta). Samoin voitaisiin merkitä myös tieto siitä, mille suojaustasoille luokiteltuihin asiakirjoihin selvityksen kohteelle voidaan antaa pääsy (3 kohta). Tällaisen merkinnän tekeminen on usein tarpeen erityisesti kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen liittyvissä asioissa. Muitakin kansainvälisistä velvoitteista johtuvia tietoja voitaisiin merkitä todistukseen (4 kohta).

45 §. Henkilöturvallisuusselvityksen perusteella saatujen tietojen käsittely. Pykälässä säädettäisiin henkilöturvallisuusselvityksen perusteella tietoja saaneiden velvollisuuksista. Se ei siis vaikuttaisi toimivaltaisten viranomaisten oikeuteen käsitellä turvallisuusselvitysasioiden yhteydessä syntyneitä tietoja.

Ehdotetun 1 momentin mukaan turvallisuusselvityksen hakijan tulisi pitää huolta siitä, että turvallisuusselvityksen sisältämiä henkilötietoja voivat käsitellä vain ne henkilöt, jotka niitä tehtävissään välttämättä tarvitsevat ja että niistä ilmeneviä tietoja ei käytetä muuhun kuin hakemuksessa ilmoitettuun tarkoitukseen. Sama velvollisuus koskisi sitä, joka on saanut turvallisuusselvityksen tai sen perusteella annetun todistuksen selvityksen kohteelta. Säännös on tarpeen rikosepäily- ja rangaistustietojen arkaluonteisuuden vuoksi ja se vastaa voimassa olevaa lakia.

Momentissa olisi nykyiseen lakiin verrattuna uusi säännös, jonka mukaan salassapitovelvoite ja tietojen käyttörajoitus ei estäisi käsittelemästä tietoja työnantajan haastatellessa työnhakijaa. Jos turvallisuusselvityksestä ilmenisi tietoja sellaisista henkilörekistereistä, joihin rekisteröidyllä ei ole tarkastusoikeutta, ei näitä tietoja kuitenkaan saisi haastattelussa ilmaista tai muutoin käsitellä.

Hakijan olisi ehdotetun 2 momentin mukaan hävitettävä turvallisuusselvityksestä hänelle annettu kirjallinen ilmoitus heti, kun se ei enää ole tarpeen selvitystä haettaessa ilmoitetun käyttötarkoituksen kannalta, kuitenkin viimeistään kuuden kuukauden kuluttua siitä, kun tieto selvityksestä on saatu. Hävittämisaika lyhenisi nykyisestä merkittävästi. Tiedot selvityksestä olisi saatavissa turvallisuusselvitysrekisteristä sekä toimivaltaisten viranomaisten asianhallintajärjestelmästä, minkä vuoksi nykyisen lain mukaiselle säilyttämisajalle ei ole perusteita.

Ehdotetussa 3 momentissa olisi informaatiosyistä viittaussäännös salassapitovelvollisuutta määrittelevään 59 §:ään.

46 §. Yritysturvallisuustodistuksen antaminen. Ehdotetun 1 momentin mukaan yritysturvallisuusselvityksen perusteella hakijalle annettaisiin yritysturvallisuusselvitystodistus, jos yritys täyttää selvityksen perusteena olevat vaatimukset. Todistus annettaisiin aina myös selvityksen kohteelle.

Ehdotetussa 2 momentissa olisi säännös, jossa todetaan kansallisen turvallisuusviranomaisen toimivalta antaa kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellinen yritysturvallisuusselvitystodistus.

Käytännön tarpeita varten olisi mahdollista saada yritysturvallisuusselvitystodistus myös osittaisena. Jos selvitys ja arviointi koskevat yksinomaan tietojärjestelmien tai tietoliikennejärjestelyjen turvallisuutta, selvityksen ja arvioinnin laatinut Viestintävirasto voisi 3 momentin mukaan antaa tästä todistuksen.

Selvyyssyistä 4 momenttiin ehdotetaan otettavaksi säännös kirjallisen päätöksen antamisesta silloin, kun toimivaltainen viranomainen kieltäytyy antamasta yritysturvallisuusselvitystodistusta.

47 §. Yritysturvallisuusselvitystodistuksen sisältö. Annettavaan todistukseen merkittäisiin ehdotetun 1 momentin mukaan tieto selvityksen kohteesta ja todistuksen antajasta ja voimassaoloajasta. Samoin merkitään tiedot siitä, mitkä seikat ovat olleet selvityksen piirissä sekä niitä koskevat tulokset. Tarvittaessa ilmoitetaan tieto siitä, mille suojaustasolle luokiteltujen asiakirjojenkäsittelyä koskevat vaatimukset yritys täyttää taikka tieto seikoista, joita kansainvälinen tietoturvallisuusvelvoite edellyttää todistukseen merkittäväksi.

Ehdotetun 2 momentin mukaan todistukseen merkitään tieto siitä, ettei selvitysmenettelyssä ole tullut esiin syitä, joiden vuoksi yritystä ei voitaisi valita hakemuksen perusteena olevaan tehtävään, jos yritysturvallisuusselvityksen käyttötarkoitus tätä edellyttää.

7 luku Turvallisuusselvitysrekisteri ja siihen liittyvä tietojenkäsittely

48 §. Turvallisuusselvitysrekisteri, sen käyttötarkoitus ja tietojen tallettaminen rekisteriin. Nykyinen lainsäädäntö ja käytäntö ovat johtaneet turvallisuusselvityslainsäädännön tavoitteiden ja tarkoituksen kannalta tarpeettomiin ja hallinnollisia kustannuksia aiheuttaviin selvitysmenettelyihin. Tämä on osaltaan johtunut siitä, että selvityksiä laativilla eri viranomaisilla ei ole ollut tietoa laadituista selvityksistä. Toiminnan tehostamiseksi ja kustannussäästöjen aikaansaamiseksi ehdotetaan turvallisuusselvitysrekisterin perustamista.

Koska turvallisuusselvitysrekisteri olisi osaksi henkilörekisteri, sen käyttötarkoitus on tarpeen määritellä laissa. Ehdotetun 1 momentin mukaan turvallisuusselvitysrekisteriä pidetään tarpeettomien turvallisuusselvitysmenettelyjen välttämiseksi sekä tietojen välittämiseksi toimivaltaisten viranomaisten välillä sekä selvityksen kohteiden luotettavuuden ja nuhteettomuuden seurannan toteuttamiseksi.

Suojelupoliisi toimisi turvallisuusselvitysrekisterin päävastuullisena rekisterinpitäjänä. Tietoja rekisteriin tallettava viranomainen vastaisi rekisteriin tallettamiensa tietojen oikeellisuudesta.

Toimivaltaisen viranomaisen olisi viivytyksettä talletettava turvallisuusselvitysrekisteriin tieto sille tehdystä turvallisuusselvitystä koskevasta hakemuksesta, selvityksen kohteen nimestä ja muista yksilöintitiedoista, selvityksen laajuudesta sekä tiedot selvitysmenettelyn lopputuloksesta tai turvallisuusselvitystodistuksesta ja sen voimassaolosta ja peruuttamisesta sekä tieto henkilöturvallisuusselvityksen kohteen työnantajasta, jos se on saatavissa. Kansallisen turvallisuusviranomaisen olisi vastaavasti talletettava tieto antamastaan kansainvälisessä tietoturvallisuusvelvoitteessa edellytetystä henkilöturvallisuusselvitystodistuksesta ja yritysturvallisuustodistuksesta (2 momentti). Tietojen tallettamisvelvollisuus on välttämätön rekisterin toimivuuden kannalta.

Ehdotetussa 3 momentissa olisi erityissäännös puolustusvoimien ja suojelupoliisin henkilökuntaa koskevista tiedoista. Suojelupoliisi voisi merkitä omasta henkilökunnastaan tai pääesikunta puolustusvoimien henkilökunnasta rekisteriin tiedot tarvittavilta osin siten, etteivät ne ole muiden saatavissa, jos sellaisten tietojen antaminen ulkopuolisille voi vaarantaa viranomaisen toimintaa ja sen toimialaan kuuluvien tehtävien hoitamista.

Turvallisuusselvitysmenettelyjen tehokkaaksi toteuttamiseksi pykälän 4 momenttiin ehdotetaan otettavaksi säännös Viestintäviraston oikeudesta merkitä tietoja turvallisuusselvitysrekisteriin. Ehdotuksen mukaan Viestintävirasto voisi tallettaa viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain mukaan antamistaan todistuksista ja niihin merkityistä tiedoista (1 kohta) samoin kuin tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti hyväksytyistä arviointilaitoksista (2 kohta).

Viestintäviraston tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti hyväksymät ja Viestintäviraston valvonnan piirissä olevat arviointilaitokset laativat yritysten tietoturvallisuuden tasosta arviointeja sekä antavat niiden perusteella todistuksia.

Arviointilaitokset voivat käyttää arvioinnin perusteena samoja tietoturvallisuuden tason vaatimuksia kuin mitä valtionhallinnossa. Tämän vuoksi on yritysturvallisuusselvityksen laatimisen harkintaa varten tarpeellista tietää hyväksytyn arviointilaitoksen antamista todistuksista (3 kohta). Koska arviointilaitostoiminnassa on kysymys yksityisen yrityksen tilaamasta palveluksesta, rekisteriin voitaisiin merkitä tiedot vain sellaisista todistuksen saaneista yrityksistä, jotka ovat antaneet tähän suostumuksensa. Tätä koskeva ehdotus sääntelyksi ilmenee esitykseen sisältyvästä lakiehdotuksesta (lakiehdotus n:o 2, 13 a §).

Ministeriöt voisivat 50 §:n 2 momentin mukaan saada käyttöyhteyden avulla tietoja turvallisuusselvitysrekisteristä. Jos ministeriö ottaa palvelussuhteeseen henkilön, josta laaditusta henkilöturvallisuusselvityksestä se on hankkinut tiedon turvallisuusselvitysrekisteristä, ministeriön olisi ehdotetun 5 momentin mukaan ilmoitettava asiasta suojelupoliisille. Säännöksen tarkoituksena on varmistaa, että ehdotettu luotettavuuden seuranta on tarvittavine toimenpiteineen toteutettavissa silloinkin, kun työantajana toimiva ministeriö tekee henkilöä koskevan valinnan yksinomaan turvallisuusselvitysrekisterin perusteella. Ilmoitus olisi rekisterin tietojen ajan tasalla pitämiseksi tehtävä myös edellä tarkoitetun palvelussuhteen päättymisestä.

Ilmoitus voitaisiin tehdä merkitsemällä tieto turvallisuusselvitysrekisteriin tai muutoin sähköisesti suojelupoliisin hyväksymällä tavalla. Asian jääminen suojelupoliisin hyväksynnän varaan on tarpeen käytännön syistä.

49 §. Turvallisuusselvitysrekisterin tietojen poistaminen. Poistamisajankohtaa määriteltäessä on otettu huomioon rekisterin käyttötarkoitus, toisin sanoen tavoite tarpeettomien turvallisuusselvitysten välttämiseksi. Tämän vuoksi tietoja voitaisiin säilyttää kolmen vuoden ajan ehdotetussa säännöksessä mainituista ajankohdista.

Kolmen vuoden aika luettaisiin vastaavan uuden selvityksen laatimisesta, turvallisuusselvitystodistuksen voimassaolosta taikka siitä, kun se tehtävä, jota varten turvallisuusselvitys on laadittu, on suoritettu loppuun tai turvallisuusselvitystodistus on peruutettu. Tietojen poistamisesta sovellettaisiin muutoin, mitä henkilötietolaissa säädetään.

50 §. Tietojen luovuttaminen turvallisuusselvitysrekisteristä. Turvallisuusselvitysrekisterin tarkoituksena olisi estää tarpeettomien selvitysten laatimista ja siten tehostaa toimivaltaisten viranomaisten toimintaa. Turvallisuusselvitysrekisterin tietojen laajemman käytön mahdollistamiseksi pykälän 1 momentissa ehdotetaan säädettäväksi, että suojelupoliisi antaisi salassapitosäännöksistä riippumatta turvallisuusselvitysrekisteristä teknisen käyttöyhteyden avulla tietoja pääesikunnalle ja poliisihallituksen määräämälle suppeita turvallisuusselvityksiä laativalle yksikölle.

Pääesikunta saisi ehdotetun suojelupoliisin hyväksymällä tavalla luovuttaa edelleen puolustusvoimien yksiköiden nimeämille virkamiehille sellaisia tietoja, jotka ovat tarpeen turvallisuusselvityksen hankkimisen tarpeen arvioimiseksi taikka puolustusvoimista annetun lain (551/2007) 15 §:ssä tarkoitetun oleskelu- tai vierailuluvan liikkumisluvan käsittelyä varten. Suojelupoliisin hyväksyntä on tässä tilanteessa tarpeen sen vuoksi, että suojelupoliisi toimii kyseisen rekisterin rekisterinpitäjänä, jolloin sillä on myös vastuu rekisterin tietojen asianmukaisesta käsittelystä.

Ehdotetun 2 momentin mukaan suojelupoliisi voisi antaa ministeriön nimeämälle virkamiehelle hyväksymällään tavalla teknisen käyttöyhteyden avulla turvallisuusselvityksen hankkimisen arviointia varten turvallisuusselvitysrekisteristä tietoja.

Tarkoituksena on ollut, että tietoja voisi käyttää ministeriön turvallisuuspäällikkö tai muu sellainen virkamies, jonka tehtäväksi on annettu huolehtia tarpeellisten turvallisuusselvitysten hankkimisesta, kuten henkilöstöpäällikkö. Näiden henkilöiden määrä tulisi pitää rajoitettuna.

Tieto voitaisiin antaa siitä, että yritysturvallisuusselvitys on laadittu ja sen perusteella annetusta todistuksesta (1 kohta). Tieto voitaisiin antaa siitä, että henkilöstä on laadittu turvallisuusselvitys, jossa ei ole ilmennyt henkilön luotettavuuden kannalta kielteisiä tietoja, sekä tieto selvityksen perusteella annetusta voimassa olevasta todistuksesta (2 kohta 2). Tieto voitaisiin lisäksi antaa viranomaisen tietojärjestelmästä tai tietoliikennejärjestelyistä annetusta todistuksesta sekä muista 48 §:n 4 momentissa tarkoitetuista tiedoista (kohta 3). Kaikissa edellä tarkoitetuissa tapauksissa voitaisiin antaa tieto turvallisuusselvityksen laatijasta ja laatimisajankohdasta sekä todistuksen voimassaoloajasta (kohta 4).

Suojelupoliisi voisi ehdotetun 3 momentin mukaan teknisen käyttöyhteyden avulla antaa salassapitosäännöksistä riippumatta keskusrikospoliisille turvallisuusselvityksen hakemista koskevat tiedot niiden yhdistämiseksi epäiltyjen rekisterin tietoihin 25 §:n 2 momentissa tarkoitettujen ilmoitusten tekemistä ja sitä koskevaa harkintaa varten. Keskusrikospoliisin olisi hävitettävä yhdistämisen kautta saadut tiedot välittömästi sen jälkeen, kun tarve ilmoituksen tekemiseen on arvioitu tai ilmoitus on lähetty suojelupoliisille.

Ehdotus liittyy pyrkimykseen estää järjestäytyneeseen rikolliseen toimintaan osallisten pääsemistä suojattaviin kohteisiin tai tietoihin.

Teknisen käyttöyhteyden avulla saisi ehdotetun 4 momentin mukaan 2 momentissa tarkoitetuissa tapauksissa hakea tietoja vain sellaisesta henkilöstä tai yrityksestä, joka on antanut suostumuksensa turvallisuusselvityksen laadintaan ja jota ollaan valitsemassa palvelussuhteeseen tai turvallisuusselvitysmenettelyn piiriin kuuluvaan tehtävään taikka henkilöstä, jota koskeva oleskelu- ja liikkumisluvan käsittely on vireillä 1 momentissa tarkoitetussa puolustusvoimien yksikössä.

Säännös on tarpeen henkilötietojen suojan ja tietoturvallisuuden varmistamiseksi. Säännöksestä johtuu myös tarve toteuttaa rekisteritoiminnot siten, että rekisterin tietojen käyttö kirjaantuu tietojärjestelmään.

51 §. Nuhteettomuuden ja luotettavuuden seuranta henkilörekisterien yhdistämisen avulla. Voimassa olevassa laissa ei ole säännöksiä siitä, miten henkilön nuhteettomuus ja luotettavuus varmistetaan sen jälkeen, kun henkilö on nimitetty virkaan tai tehtävään. Tämän epäkohdan poistamiseksi pykälän 1 momenttiin ehdotetaan otettavaksi säännös, jonka mukaan suojelupoliisi voisi seurantatarkoituksessa yhdistää pykälässä mainittuja henkilörekistereitä.

Perustuslakivaliokunnan lausuntokäytännössä on edellytetty, että henkilörekisterien yhdistämisestä ja yhdistämisen edellytyksistä ja yhdistettävistä rekisteritiedoista säädetään lailla. Säännösehdotuksessa on mainittu ne rekisterit, joihin turvallisuusselvitettyjen henkilöiden yksilöintitiedot voidaan yhdistää. Näitä olisivat poliisiasiain tietojärjestelmän osarekisterit sekä oikeushallinnon valtakunnalliseen tietojärjestelmään sisältyvät rikosasioiden vireilläolo- ja ratkaisutiedot. Yhdistämisen tarkoituksena olisi sen selvittäminen, voidaanko turvallisuusselvitys tai sen perusteella annettu todistus edelleenkin pitää voimassa. Lakiehdotuksen 5 §:n mukaan yhdistäminen edellyttäisi lisäksi, että selvityksen kohde on antanut siihen suostumuksensa.

Sellaisen henkilön tietoihin, josta on laadittu laaja henkilöturvallisuusselvitys, voitaisiin ehdotetun 2 momentin mukaan yhdistää tietoja niistä henkilörekistereistä, joista 28 §:n 2 momentin mukaan voidaan hankkia tietoja henkilötietolomakkeella annettujen tietojen tarkistamiseksi. Mainitusta säännöksestä johtuu, ettei luotto- ja rahoituslaitoksista voi hankkia tietoja, jollei selvityksen kohde ole antanut lupaa tietojen käyttöön myös tässä tarkoituksessa.

Pykälään ei sisälly säännöksiä siitä, kuinka usein rekisteritietoja yhdistettäisiin. Lähtökohtana on kuitenkin ollut, että 1—2 kertaa vuodessa olisi riittävä sääntelyn ja yhdistämisen tarkoituksen kannalta.

Perustuslakivaliokunnan lausuntokäytäntöä (PeVL 30/2005) vastaavalla tavalla ehdotetaan, että suojelupoliisin olisi hävitettävä yhdistämisen seurauksena syntynyt tiedot heti, kun ehdotetussa 52 §:ssä tarkoitetut toimenpiteet on saatettu loppuun, viimeistään kuitenkin vuoden kuluttua rekisterien yhdistämisestä (3 momentti).

Pykälän 4 momenttiin ehdotetaan otettavaksi informatiivinen viittaus lain 5 §:ään, jonka mukaan rekisteritietojen yhdistäminen on sallittua vain selvityksen kohteen suostumuksella.

52 §. Toimenpiteet seurannan perusteella. Seurantamenettelyssä saatuja tietoja arvioitaisiin suhteessa siihen, mitä ne olisivat vaikuttaneet turvallisuusselvitysmenettelyyn ja sen lopputulokseen, jos vastaavat tiedot olisivat olleet esillä turvallisuusselvitystä laadittaessa. Tässä arvioinnissa olisi otettava huomioon lain 4 luvun säännökset. Tämä merkitsee ennen muuta lain 32 §:n rajoitussäännösten soveltamista myös pykälässä tarkoitetuista toimenpiteistä päätettäessä.

Jos 51 §:ssä tarkoitetun seurannan perusteella ilmenee, että henkilön taikka yrityksen tai sen vastuuhenkilön epäillään tai katsotaan tuomioistuimen päätöksellä syyllistyneen rikolliseen tekoon, suojelupoliisin olisi ehdotetun 1 momentin mukaan salassapitosäännösten estämättä ilmoitettava asiasta turvallisuusselvityksen laatineelle viranomaiselle. Tiedonsaanti on välttämätöntä, jotta toimivaltainen viranomaisen voisi ryhtyä asian vaatimiin toimenpiteisiin.

Jos seurannassa saatujen tietojen perusteella henkilön epäillään tai katsotaan tuomioistuimen päätöksellä syyllistyneen tekoon, joka olisi voinut vaikuttaa turvallisuusselvitystodistuksen antamiseen tai turvallisuusselvityksen sisältöön, toimivaltaisen viranomaisen olisi 2 momentin mukaan salassapitosäännösten estämättä selvityksen kohdetta kuultuaan ilmoitettava asiasta henkilöturvallisuusselvitystä hakeneelle taikka viranomaiselle, joka 48 §:n 5 momentin mukaisesti on merkinnyt rekisteriin selvityksen kohteen ottamisesta palvelussuhteeseen tai valitsemisesta toimeksiantotehtävää suorittamaan.

Ensimmäisessä vaiheessa toimivaltaisen viranomaisen olisi harkittava, olisiko seurannassa saatu tieto voinut vaikuttaa henkilöturvallisuusselvityksen sisältöön. Jos tiedolla ei olisi ollut merkitystä, asia ei aiheuttaisi enempiä toimenpiteitä. Arviointi suoritettaisiin noudattaen samoja tietojen käyttörajoituksia ja merkitystä määritteleviä säännöksiä kuin turvallisuusselvitystä tehtäessäkin (5 mom.).

Selvityksen kohdetta olisi aina kuultava, jos toimivaltaisen viranomaisen on tarkoitus ilmoittaa seurannasta saaduista edelleen esimerkiksi työnantajalle. Kuuleminen on tarpeen selvityksen kohteen oikeusturvan ja hänen tiedonsaantioikeutensa vuoksi.

Kuuleminen voidaan luonnollisesti suorittaa esille tulleen tiedon taustojen selvittämiseksi eikä kuulemisesta siten olisi välttämätöntä seurata tietojen välittäminen työnantajalle.

Ennen tietojen ilmoittamista hakijalle, työnantajalle tai toimeksiantajalle on selvitettävä, toimiiko selvityksen kohde edelleenkin asianomaisen työnantajan palveluksessa tai toimeksiantajan tehtävissä taikka opiskelee hakijana olleessa oppilaitoksessa. Toimivaltaisen viranomaisen olisikin käytettävissä olevien keinoin estettävä, että seurannasta johtuvat toimenpiteet eivät johda arkaluonteisten tietojen välittämiseen ulkopuolisille.

Se, millainen merkitys tiedon välittämisellä työnantajalle voi olla palvelussuhteen kannalta, määräytyy virkamieslain, kunnallisesta viranhaltijasta annetun lain sekä työsopimuslain perusteella. Tuomioistuimen velvollisuudesta ilmoittaa eräistä ratkaisuistaan annetun lain mukaisesti ilmoitetaan jo nykyisin virkamiehen ja kunnallisen viranhaltijan tuomiosta tämän työnantajalle.

Yrityksen tai yrityksen vastuuhenkilöitä koskevien havaintojen perusteella suoritettavista toimista säädettäisiin 3 momentissa. Asiassa olisi kuultava selvityksen kohdetta ennen kuin asiasta tiedotetaan yritysturvallisuusselvitystä hakeneelle.

Jos turvallisuusselvitystodistus on annettu kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi, 1 momentissa tarkoitetuista seikoista olisi 4 momentin mukaan viipymättä ilmoitettava kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisesta huolehtivalle kansalliselle turvallisuusviranomaiselle. Säännös on tarpeen sen vuoksi, että kansallinen turvallisuusviranomainen voi arvioida tarpeen peruuttaa antamansa turvallisuusselvitystodistuksen tai ilmoittaa asiasta kansainvälisessä sopimuksessa tai säädöksessä edellytetyllä tavalla ja laajuudessa.

On tärkeätä, että mikä tahansa seurannan perusteella saatu tieto ei johtaisi pykälässä säädettäviin toimenpiteisiin. Tämän vuoksi 5 momenttiin ehdotetaan otettavaksi nimenomainen säännös, jonka mukaan 1—4 momenttia sovellettaessa ja toimenpiteitä harkittaessa rikosepäilyä ja rikollista tekoa koskevan tiedon merkitystä arvioitaessa on otettava huomioon, mitä 32 §:ssä ja laissa muutoin säädetään erilaisten tietojen huomioon ottamisesta turvallisuusselvitystä laadittaessa.

8 luku Turvallisuusselvityksen ja turvallisuusselvitystodistuksen voimassaolo

53 §. Turvallisuusselvityksen ja turvallisuusselvitystodistuksen voimassaoloaika. Voimassa olevassa laissa ei määritellä, kuinka kauan turvallisuusselvityksen katsotaan olevan voimassa. Laissa ei ole myöskään säännöksiä turvallisuusselvityksen perusteella annettavasta todistuksesta ja sen voimassaoloajasta.

Epäkohtien poistamiseksi sekä oikeustilan selkeyttämiseksi ehdotetaan, että lakiin otettaisiin säännökset turvallisuusselvityksestä ja siihen perustuvan todistuksen voimassaoloajasta, niiden uusimisesta ja peruuttamisesta. Ehdotettu sääntely on katsottu tarpeelliseksi sääntelyn saattamiseksi vastaamaan kansainvälisesti noudatettavia käytäntöjä sekä turvallisuusselvitysmenettelyn tehostamiseksi.

Ehdotuksen mukaan turvallisuusselvitys olisi voimassa toistaiseksi, enintään kuitenkin viisi vuotta. Turvallisuusselvitykseen perustuva todistus olisi voimassa samaa pääsääntöä noudattaen. Pääsäännöstä voitaisiin poiketa, jos todistus on annettu tiettyä tehtävää tai tiettyyn hankkeeseen kuuluvaa tehtävää varten taikka jos toimivaltainen viranomainen selvitykseen liittyvien erityisten olosuhteiden vuoksi niin päättää.

Uudistuksen tavoitteet huomioon otettuina poikkeussäännöstä tulisi tulkita ahtaasti. Ehdotettujen luotettavuuden seurantaa koskevien säännösten vuoksi uusien samaa henkilöä koskevien selvitysten laadintaa ei enää voitaisi pitää perusteltuna turvallisuussyistä.

54 §. Turvallisuusselvityksen uusiminen ja uuden turvallisuusselvitystodistuksen antaminen. Valtionhallinnossa on virkamiehiä, jotka jatkuvasti tarvitsevat turvallisuusselvitystä kansainvälisten tehtävien vuoksi. Myös yksityissektorilla toimivat voivat työskennellä säännönmukaisesti sellaisissa julkishallinnon antamissa toimeksiantotehtävissä, joissa työskenteleviltä edellytetään turvallisuusselvityksen laatimista.

Turvallisuusselvityksen uusiminen voisi tulla vireille selvityksen laatineen viranomaisen omasta aloitteesta taikka turvallisuusselvityksen hakijan tai turvallisuusselvityksen kohteen hakemuksesta.

Toistaiseksi annettu turvallisuusselvitys voitaisiin ehdotetun 1 momentin mukaan uusia, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai selvityksen kohteen tehtävissä tai sellaisissa olosuhteissa tapahtuneen muutoksen vuoksi, jotka ehdotetun lain mukaan otetaan huomioon selvitystä laadittaessa.

Henkilöä koskeva turvallisuusselvitystodistus voitaisiin ehdotetun 2 momentin mukaan antaa uutta selvitystä suorittamatta turvallisuusselvitysrekisterin tietojen perusteella, jos luotettavuuden seurannassa on toteutettu 51 §:ssä säädettävä rekisterien yhdistäminen, missä ei ole ilmennyt syitä luotettavuuden uudelleen arvioinnille.

Ehdotettuun lakiin ei ole otettu säännöksiä turvallisuusselvitystodistuksen muuttamisesta. Jos esille tullut rike ei estäisi kokonaan uuden todistuksen antamista, henkilön aikaisempi todistus voitaisiin peruuttaa ja antaa uusi turvallisuusselvitystodistus, joka oikeuttaisi esimerkiksi pääsemään aikaisempaa alempiin suojausluokkiin luokiteltuihin asiakirjoihin.

55 §. Turvallisuusselvitystodistuksen peruuttaminen. Ehdotetut säännökset ovat nykyiseen lakiin verrattuina uusia. Ne on katsottu tarpeelliseksi oikeustilan selkeyttämiseksi ja selvityksen kohteen oikeusturvan varmistamiseksi sekä kansainvälisen uskottavuuden vuoksi.

Henkilöturvallisuusselvitystodistuksen peruuttamista koskeva asia voi tulla vireille joko toimivaltaisen viranomaisen aloitteesta taikka turvallisuusselvitystä hakeneen tai selvityksen kohteen pyynnöstä.

Toimivaltainen viranomainen voisi ehdotetun 1 momentin 1 kohdan mukaan peruuttaa henkilöturvallisuusselvitystodistuksen, jos selvityksen kohde ei enää työskentele niissä tehtävissä, joita varten todistus on annettu. Kohta on katsottu tarpeelliseksi muun muassa eläkkeelle tai erilaisiin tehtäviin siirtymisen vuoksi.

Ehdotetun 2 kohdan mukaan henkilöturvallisuusselvitystodistus voitaisiin peruuttaa, jos selvityksen kohde on kansainvälisen tietoturvallisuusvelvoitteen perusteella saadun ilmoituksen mukaisesti laiminlyönyt häntä sitovia tietoturvallisuusvaatimuksia tehtävässä, jota varten hänelle on Suomessa annettu henkilöturvallisuusselvitystodistus.

Ehdotettua säännöstä pidetään tarpeellisena kansainvälisten tietoturvallisuusvelvoitteiden tehostamiseksi ja Suomen viranomaisen antaman henkilöturvallisuusselvitystodistuksen luotettavuuden lisäämiseksi. Todistuksen peruuttamista koskeva asia tulisi vireille viranomaistoimin ja asiasta päättäisi säännönmukaisesti kansallinen turvallisuusviranomainen ehdotettujen säännösten mukaisesti (lakiehdotus n:o 6, 11 §).

Ehdotetun 3 kohdan mukaan henkilöturvallisuusselvitystodistus voitaisiin peruuttaa, jos selvityksen kohteen epäillään 51 §:n mukaisesti toteutetun seurannan perusteella syyllistyneen tekoon, joka olisi ollut esteenä todistuksen antamiselle, taikka jos hänelle ei muiden muuttuneiden olosuhteiden vuoksi voitaisi enää antaa turvallisuusselvitystodistusta.

Ehdotetun lain 51 §:ssä on säännökset seurannasta, mitä kautta toimivaltainen viranomainen voisi saada tiedon siitä, että selvityksen kohdetta koskeva rikosasia on esitutkinnassa taikka vireillä tai ratkaistu syyttäjäviranomaisessa tai tuomioistuimessa.

Peruuttamista harkittaessa olisi noudatettava samoja säännöksiä kuin selvitystä laadittaessa. Tässä suhteessa merkityksellisiä olisivat etenkin ehdotetun lain 32 §. Siten asian käsittelyvaihe ja tekoa koskevien tietojen laatu, epäillyn rikoksen luonne suhteessa selvityksen kohteen työtehtäviin olisivat merkityksellisiä toimivaltaisen viranomaisen harkinnan kannalta.

Ehdotettu 2 momentti koskisi yritykselle annetun turvallisuusselvitystodistuksen peruuttamista. Sen mukaan todistus voidaan peruuttaa, jos selvityksen kohteena olleen yrityksen toiminta ei enää täytä niitä vaatimuksia, jotka ovat olleet edellytyksenä todistuksen antamiselle, tai jos yrityksen vastuuhenkilön epäillään syyllistyneen 1 momentin 3 kohdassa tarkoitettuun tekoon, eikä yritys ole asetetussa määräajassa korjannut edellä tarkoitettuja puutteita.

Säännöksessä edellytettäisiin, että yritykselle asetetaan määräaika esiin tulleiden puutteiden korjaamiseen. Tämä koskee myös vastuuhenkilön korvaamista uudella. Asetettavan määräajan tulee olla kohtuullinen.

Toimivaltaisen viranomaisen olisi 3 momentin mukaan ennen turvallisuusselvitystodistuksen peruuttamista koskevan ratkaisun tekemistä kuultava selvityksen kohdetta sekä tarvittaessa turvallisuusselvityksen hakijaa tai työnantajaa. Koska turvallisuusselvityksen hakijana ollut työnantaja voisi ehdotetun 62 §:n 2 momentin mukaan hakea muutosta todistuksen peruuttamista koskevaan päätökseen, hänelle olisi hallintolain 54 §:n 1 momentin mukaan annettava tiedoksi peruuttamista koskevassa asiassa annettu ratkaisu.

Toimivaltainen viranomainen voisi ehdotetun 4 momentin mukaan turvallisuusselvitystodistuksen peruuttamista koskevassa päätöksessään määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää. Tämä on tarpeen erityisesti silloin, kun on kysymys kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi annetun turvallisuusselvitystodistuksen peruuttamisesta. Esitykseen sisältyvässä ehdotuksessa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain muuttamisesta on säännökset todistuksen peruuttamista silloin, kun turvallisuusselvitystodistuksen on antanut kansallinen turvallisuusviranomainen.

Turvallisuusselvityslaissa ei määriteltäisi henkilöturvallisuusselvitystodistuksen peruuttamisesta aiheutuvista työ- tai virkamiesoikeudellisista seurauksista, vaan nämä määräytyisivät valtion virkamieslain, kunnallisesta viranhaltijasta annetun lain ja työsopimuslain perusteella.

Julkishallinnon työnantaja voi saada tiedon virkamiehen syyllistymisestä rikolliseen tekoon eri lakien perusteella. Vuoden 2014 alussa voimaan tulevan uuden esitutkintalain (805/2011) 3 luvun 6 §:n mukaan tutkinnanjohtajan on ilmoitettava esitutkinnan aloittamisesta rikoslain 40 luvun 11 §:n 1 kohdassa tarkoitetun virkamiehen esimiehelle mahdollisia virkamiesoikeudellisia toimenpiteitä varten, jos virkamiestä epäillään rikoksesta, josta säädetty ankarin rangaistus on vähintään neljä vuotta vankeutta. Tutkinnanjohtajalla on oikeus ilmoittaa myös virkamiehen tekemäksi epäillyn muun rikoksen esitutkinnan aloittamisesta, jos tutkittavana oleva rikos on sellainen, että sillä voidaan olettaa olevan merkitystä virkatehtävien suorittamisen kannalta. Tuomioistuimen ilmoitusvelvollisuudesta säädetään laissa tuomioistuimen velvollisuudesta ilmoittaa eräistä ratkaisuistaan.

9 luku Erinäiset säännökset

56 §. Tietosuojavaltuutetun valvontaoikeus. Tietosuojavaltuutetulla olisi 1 momentin mukaan oikeus tutustua ehdotetun lain nojalla laadittuun turvallisuusselvitykseen sen lainmukaisuuden tarkastamiseksi.

Pykälän 2 momenttiin ehdotetaan otettavaksi viittaussäännös, jonka mukaan tietosuojavaltuutetun oikeudesta valvoa ja saada tietoja henkilötietojen käsittelystä säädetään henkilötietolain 39 §:ssä.

57 §. Viranomaisten tietojensaantioikeus. Toimivaltaisilla viranomaisilla olisi oikeus salassapitovelvollisuuden estämättä saada ehdotetun 1 momentin mukaisia tietoja. Ehdotetun 1 kohdan mukaan toimivaltaiset viranomaiset voisivat saada muilta viranomaisilta ne tiedot, joita ne voivat käyttää turvallisuusselvityksiä laatiessaan.

Ehdotetun 2 kohdan mukaan toimivaltaisten viranomaisten tulisi luovuttaa toisilleen yksittäisen turvallisuusselvityksen tekemiseksi ehdotetun lain mukaan käytettävissä olevia tietoja.

Luottotietoja voitaisiin käyttää henkilöturvallisuusselvitystä ja yritysturvallisuusselvitystä laadittaessa. Ehdotettuun 2 momenttiin on otettu säännös toimivaltaisen viranomaisen oikeudesta saada tiedot luottotietorekisterin pitäjältä. Tiedonsaantioikeus koskisi myös niitä tilanteita, joissa toteutetaan seurantaa siten kuin ehdotetussa 51 §:ssä säädettäisiin.

Ehdotetun 3 momentin mukaan 1 ja 2 momentissa tarkoitetut tiedot voitaisiin luovuttaa myös teknisen käyttöyhteyden avulla.

58 §. Työnantajan ja yritysturvallisuusselvitystodistuksen saaneen yrityksen ilmoitus- ja toimenpidevelvollisuus. Pykälässä säädettävien velvoitteiden tarkoituksena on varmistaa turvallisuusselvitysrekisterin ajantasaisuus sekä peruutettujen turvallisuusselvitystodistusten palauttaminen asianomaiselle viranomaiselle.

Pykälän 1 momentissa olisi säännös henkilöturvallisuusselvityksen hakijana olleen työantajan velvollisuudesta ilmoittaa palvelussuhteen päättymisestä asiassa toimivaltaiselle viranomaiselle. Työnantajan olisi myös huolehdittava annetun henkilöturvallisuusselvitystodistuksen palauttamisesta todistuksen antaneelle viranomaiselle (2 mom.).

Jos yritysturvallisuusselvitystodistus on peruutettu, selvityksen kohteena olleen yrityksen olisi ehdotetun 3 momentin mukaan palautettava saamansa yritysturvallisuusselvitystodistus.

59 §. Salassapitovelvollisuus. Ehdotetun 1 momentin mukaan vaitiolovelvollisuuteen sekä hyväksikäyttökieltoon sovelletaan julkisuuslain 22—24 §:ää silloinkin, kun asiakirjat ja tiedot on laissa säädetyn menettelyn perusteella saanut muu kuin julkisuuslain 4 §:ssä tarkoitettu viranomainen. Säännös on tarpeen sen vuoksi, että ehdotetussa laissa tarkoitettuja turvallisuusselvityksen taikka esimerkiksi turvallisuusselvitystodistuksen peruuttamiseen liittyviä tietoja saisivat myös sellaiset turvallisuusselvityksen hakijana olleet taikka selvityksen kohteen työnantajana toimivat toimielimet ja organisaatiot, joihin julkisuuslakia ei sovelleta. Arkaluonteisten tietoja suojan tarve on myös ilmeinen. Sääntelytapa vastaa voimassa olevaa lakia.

Ehdotetussa 2 momentissa olisi erityissäännös yritysturvallisuustodistuksen saaneen yrityksen, sen vastuuhenkilöiden sekä sen palveluksessa olevien ja sen toimeksiannosta tehtäviä suorittavien salassapitovelvollisuudesta. Salassapitovelvollisuuden piiriin kuuluisivat tiedot, jotka on saatu tietää sen tehtävän perusteella, jonka vuoksi yritysturvallisuusselvitys on laadittu, tai joka on saatu yritysturvallisuustodistus esittämällä.

Ehdotettu säännös varmistaisi sen jo julkisuuslaista johtuvan periaatteen, jonka mukaan tehtäviä viranomaisen lukuun toimivalla ei ole määräämisvaltaa viranomaisten asiakirjojen tietojen luovuttamisesta. Salassapidon piiriin kuuluisivat paitsi viranomaisen antamat tiedot, myös tiedot, jotka ovat syntyneet yrityksen ja viranomaisen välisen sopimuksen tai viranomaisen muun toimeksiannon johdosta.

60 §. Turvallisuusselvityksen maksullisuus. Ehdotetun 1 momentin mukaan pääsääntönä olisi, että turvallisuusselvitykset olisivat maksullisia. Toimivaltaisten viranomaisten ehdotetun lain nojalla tekemistä turvallisuusselvityksistä perittäisiin maksu noudattaen, mitä valtion maksuperustelaissa (150/1992) säädetään.

Maksuvelvollisuus olisi pääsäännön mukaan selvityksen hakijalla. Yritysturvallisuusselvityksen perusteella annetaan todistus, jota selvityksen kohteena oleva yritys voi käyttää muissakin kuin selvityksen perustana olevassa asiassa. Todistuksella on siten yleistä merkitystä yrityksen kilpailukyvylle sen voidessa osoittaa tietoturvallisuusjärjestelyjen tason, minkä vuoksi on pidetty asianmukaisena, että yritys vastaa siitä laaditun yritysturvallisuusselvityksen laadinnasta aiheutuvista kustannuksista.

Maksua ei perittäisi ehdotetun 2 momentin mukaan sellainen henkilöturvallisuusselvityksen laatimisesta, jonka toimivaltainen viranomainen tekee saman hallinnonalan toisen viranomaisen tai oppilaitoksen hakemuksesta.

61 §. Viittaus rangaistussäännöksiin. Ehdotettu 1 momentti sisältäisi viittaussäännökset rikoslakiin salassapitovelvollisuuden rikkomisesta tuomittavasta rangaistuksesta. Salassapitovelvollisuuden rikkomisena pidetään myös 40 §:ssä tarkoitetun sitoumuksen rikkomista

Ehdotetussa 2 momentissa olisi viittaukset rikoslain henkilörekisteririkosta koskeviin ja henkilötietolain henkilörekisteririkkomusta koskeviin säännöksiin.

62 §. Muutoksenhaku. Ehdotettuun 1 momenttiin on otettu viittaus hallintolainkäyttölakiin. Toimivaltaisen viranomaisen ehdotetun lain nojalla tekemään päätökseen saisi hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa säädetään. Muutoksenhaku olisi mahdollinen esimerkiksi päätöksestä, jolla on kieltäydytty lain 6 §:n nojalla antamasta tietoja taikka lain 7 §:n nojalla tekemästä selvityksen kohteen pyytämää merkintää henkilöturvallisuusselvitykseen taikka päätökseen turvallisuusselvitystodistuksen peruuttamisesta.

Henkilöturvallisuusselvityksen lopputuloksena annettava toimivaltaisen viranomaisen kirjallinen ilmoitus ei ole päätös. Kirjallinen selvitys annetaan useimmiten vain silloin, kun selvityksen kohteesta on löytynyt rekisteritarkastuksessa merkintöjä rikollisesta teosta. Henkilöturvallisuusselvitys ei ehdotetun lain nimenomaisen säännöksen perusteella sido selvityksen hakijaa eikä sillä siten ole oikeusvaikutuksia.

Pykälän 2 momenttiin on kirjattu muutoksenhakukielto. Toimivaltaisen viranomaisen päätökseen, jolla on kieltäydytty laatimasta turvallisuusselvitystä, taikka suojelupoliisin lain 22 § tai 23 §:ssä tarkoitetussa asiassa tekemään päätökseen, ei saisi hakea valittamalla muutosta. Muutoksenhakukielto vastaa perustaltaan voimassa olevaa lakia. Säännösehdotus perustuu perustuslakivaliokunnassa nykyisen turvallisuusselvityksistä annetun lain säätämisen yhteydessä omaksumaan kannanottoon, jonka mukaan päätös turvallisuusselvityksen tekemisestä ei ole perustuslain 21 §:n mukainen oikeutta koskeva päätös.

Päätökseen, jolla on kieltäydytty antamasta turvallisuusselvitystodistusta, saisi hakea valittamalla muutosta vain, jos turvallisuusselvitystodistus on lain tai sen nojalla annetun säännöksen mukaan edellytyksenä virkaan tai tehtävään valitsemiselle taikka sellaisen viran tai tehtävän hoitoa varten, johon valittavalla on kansainvälisen tietoturvallisuusvelvoitteen mukaan oltava turvallisuusselvitystodistus.

Säännösehdotuksen tarkoituksena on varmistaa, että erityisesti selvityksen kohde voisi saattaa turvallisuusselvitystodistuksen antamatta jättämisen perusteiden muutoksenhakuviranomaisen tutkittavaksi sellaisissa tilanteissa, joissa ratkaisu koskee selvityksen kohteen etuja välittömästi. Näiltä osin ehdotus vastaa korkeimman hallinto-oikeuden ratkaisua, joka koski turvallisuusselvitystodistuksen antamatta jättämistä kansainvälisistä tietoturvallisuusvelvoitteista annetun lain nojalla (KHO 18.9.2012 T 2483).

Ehdotetun 3 momentin mukaan turvallisuusselvitystodistuksen antamista ja peruuttamista koskevaan päätökseen muutosta saa hakea sekä turvallisuusselvityksen hakija että selvityksen kohde. Hallinto-oikeuden päätökseen, jolla on kumottu toimivaltaisen viranomaisen päätös tai muutettu sitä, saisi lain soveltamisen yhtenäisyyden ylläpitämiseksi hakea muutosta myös kysymyksessä oleva viranomainen.

10 luku Voimaantulo- ja siirtymäsäännökset

63 §. Voimaantulosäännös. Lain on tarkoitus tulla voimaan vuoden 2014 alkupuoliskolla. Lailla kumottaisiin vuonna 2002 turvallisuusselvityksistä annettu laki.

Ennen lain voimaantuloa voitaisiin ryhtyä sen täytäntöönpanon edellyttämiin toimenpiteisiin.

64 §. Siirtymäsäännös. Ehdotetun 1 momentin mukaan ennen lain voimaantuloa vireille saatettuun asiaan sovellettaisiin ehdotetun lain voimaan tullessa voimassa ollutta lakia.

Pääesikunnan ja poliisilaitosten antamista turvallisuusselvityksistä, jotka on annettu aikaisintaan kolme vuotta ennen lain voimaantuloa, siirretäisiin ehdotetun 2 momentin mukaan 48 §:ssä tarkoitettuun turvallisuusselvitysrekisteriin vuoden kuluessa lain voimaantulosta.

Turvallisuusselvitysrekisterin kuntoon saattamiselle ehdotetaan säädettäväksi kahden vuoden siirtymäaika (3 momentti).

4 §. Hakemuksen käsittely. Pykälässä oleva viittaus kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin muutettaisiin viittaukseksi turvallisuusselvityslakiin.

13 a §. Turvallisuusselvitysrekisteriin merkittävät tiedot. Pykälässä säädettäisiin turvallisuusselvitysrekisteriin merkittävistä tiedoista. Tiedot on katsottu tarpeelliseksi viranomaistehtävien hoitamiseksi sekä turvallisuusselvityksiä laativissa viranomaisissa että muissa viranomaisissa niiden harkitessa tarvetta hakea yritysturvallisuusselvitystä.

Viestintävirasto merkitsisi ehdotetun 1 momentin mukaan turvallisuusselvityslaissa tarkoitettuun turvallisuusselvitysrekisteriin tiedot hyväksytyistä arviointilaitoksista samoin kuin tiedot arviointilaitokselle annettuun todistukseen merkityt tiedot. Hyväksynnän peruuttamisesta olisi myös tehtävä välittömästi merkintä rekisteriin.

Hyväksytty arviointilaitos voisi 2 momentin mukaan ilmoittaa Viestintävirastolle rekisteriin merkitsemistä ja siitä edelleen luovuttamista varten tiedot arvioimastaan kohteesta ja sille annetun todistuksen sisällöstä, jollei arvioinnin kohde ole sitä kieltänyt. Arvioinnin kohteelle olisi ennen ilmoituksen tekemistä annettava tieto tietojenkäsittelyn tarkoituksesta ja sitä koskevasta sääntelystä.

1 §. Lain soveltamisala. Ehdotetussa 2 momentissa oleva viittaus kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin muutettaisiin viittaukseksi turvallisuusselvityslakiin, jossa esityksen mukaan säädettäisiin yritysturvallisuusselvityksistä. Samalla käsite yhteisöturvallisuusselvitys muutettaisiin vastaamaan turvallisuusselvityslaissa käytettyä käsitettä yritysturvallisuusselvitys.

8 a §. Viranomaisen velvollisuus hankkia todistus. Pykälässä annettaisiin oikeus säätää valtioneuvoston asetuksella, että lain 8 §:ssä tarkoitettu todistus on hankittava ja laadittava sellaisesta valtionhallinnon viranomaisen määräysvallassa olevasta tietojärjestelmästä tai tietoliikennejärjestelmästä, jossa käsitellään asiakirjoja, jotka on merkitty turvallisuusluokitusmerkinnällä I tai II.

8 b §. Turvallisuusselvitysrekisteriin merkittävät tiedot ja merkinnän poistaminen. Viestintävirasto voisi tallettaa antamastaan todistuksesta 8 §:ssä mainitut tiedot turvallisuusselvityslaissa tarkoitettuun turvallisuusselvitysrekisteriin. Säännöksen avulla voitaisiin tehostaa yritysturvallisuusselvitysmenettelyä sekä tietoturvallisuutta viranomaistoiminnassa, koska tietoa sertifioiduista tietojärjestelmistä voitaisiin käyttää muun muassa viranomaisten hankintatoimien valmistelussa.

3 §. Hallintoasiain tietojärjestelmä. Pykälän 3 momentin 4 kohta, joka koskee paikallispoliisin turvallisuusselvitystietoja, ehdotetaan kumottavaksi. Ehdotetun turvallisuusselvityslain mukaan tiedot turvallisuusselvityksistä talletettaisiin yhtenäiseen turvallisuusselvitysrekisteriin (lakiehdotus n:o 1, 44 §).

5 §. Suojelupoliisin toiminnallinen tietojärjestelmä. Pykälän 4 momentissa nykyisin oleva säännös turvallisuusselvityksistä pidettävästä rekisteristä ehdotetaan muutettavaksi viittaukseksi turvallisuusselvitysrekisteriä koskevaan sääntelyyn.

19 §. Tietojen luovuttaminen muille viranomaisille. Pykälän 1 momentin 2 kohdassa oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi ehdotettuun turvallisuusselvityslakiin.

21 §. Turvallisuusselvitykset. Voimassa olevassa laissa säädetään suojelupoliisin ja paikallispoliisin oikeudesta käyttää poliisin tietojärjestelmän tietoja turvallisuusselvityksiä laadittaessa. Pykälä ehdotetaan kumottavaksi tarpeettomana, koska asiasta säädettäisiin ehdotetussa turvallisuusselvityslaissa (lakiehdotus n:o 1, 21 ja 25 §, 43 § 1 mom. 1 kohta).

23 §. Tietojen poistaminen hallintoasiain tietojärjestelmästä. Voimassa olevan lain 1 momentin 4 kohdassa säädetään tietojen poistamisesta paikallispoliisin turvallisuusselvitystiedoista. Kohta ehdotetaan kumottavaksi tarpeettomana, koska asiasta säädettäisiin ehdotetussa turvallisuusselvityslaissa.

25 §. Tietojen poistaminen suojelupoliisin toiminnallisesta tietojärjestelmästä. Pykälää ehdotetaan muutettavaksi siten, että siitä asiallisesti kumoutuisi säännös, joka koskee suojelupoliisin tietojärjestelmään sisältyvien turvallisuusselvityksiä koskevien tietojen säilytysaikaa. Sääntely ei enää olisi tarpeen ottaen huomioon ehdotettu turvallisuusselvityslaki.

2 §. Viestintäviraston tehtävät. Pykälän 1 kohdassa olevaan luetteloon Viestintävirastolle eri laeissa säädetyistä tehtävistä ehdotetaan sille esityksessä ehdotettujen uusien tehtävien vuoksi otettavaksi viittaus ehdotettuun turvallisuusselvityslakiin.

1 §. Lain soveltamisala. Pykälän 3 momentti ehdotetaan kumottavaksi, koska asiasta säädettäisiin turvallisuusselvityslaissa.

4 §. Turvallisuusviranomaiset ja niiden tehtävät. Pykälän 3 momenttia ehdotetaan muutettavaksi lainsäädännön johdonmukaisuuden vuoksi siten, että siinä käytettäisiin käsitettä yritysturvallisuusselvitys voimassa olevassa laissa käytetyn käsitteen yhteisöturvallisuusselvitys sijasta.

11 §. Henkilöturvallisuusselvitystodistus, sen voimassaolo ja peruuttaminen. Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty henkilöturvallisuusselvitys tehtäisiin kaikilta osin siten kuin turvallisuusselvityslaissa säädettäisiin, minkä vuoksi laissa nykyisin oleva säännös ehdotetun 1 momentin mukaan muutettaisiin viittaussäännökseksi turvallisuusselvityslakiin. Henkilöturvallisuusselvitystodistuksen antaisi kansallinen turvallisuusviranomainen, jollei erityisistä syistä muuta johdu. Tarkoituksena on, että Suomesta ulkomaan viranomaisille ja kansainvälisille järjestöille annettavat todistukset olisivat yhdenmukaiset ja saman viranomaisen antamat. Tästä säännöstä poikkeamiseen tulisi olla erityinen syy.

Ehdotetun 2 momentin mukaan kansallisen turvallisuusviranomaisen arvioidessa henkilöturvallisuusselvitystodistuksen antamista, henkilöturvallisuusselvitystodistuksen voimassaoloa ja peruuttamista sovellettaisiin, mitä turvallisuusselvityslain 11, 23, 32 sekä 53—55 §:ssä säädetään. Kansallinen turvallisuusviranomainen voisi haastatella selvityksen kohdetta todistuksen antamista varten. Säännös on tarpeen yhdenmukaisten menettelyjen varmistamiseksi niin kansallisista kuin kansainvälisestä toimintaa palvelevassa selvitysmenettelyssä.

Pykälän 3 momenttiin ehdotetaan selvyyssyistä otettavaksi säännös kirjallisen päätöksen antamisesta silloin, kun kansallinen turvallisuusviranomainen kieltäytyy antamasta henkilöturvallisuusselvitystodistusta.

12 §. Yritysturvallisuusselvitystodistus, sen voimassaolo ja peruuttaminen. Ehdotettuun turvallisuusselvityslakiin sisältyvät nykyistä tarkemmat säännökset yritysturvallisuusselvityksen laatimisesta ja siinä käytettävistä tietolähteistä, minkä vuoksi kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa ei ole enää tarpeen säätää yritysturvallisuusselvityksen tekemisestä. Tästä syystä ehdotetaan, että pykälän 1 momentissa olisi vain viittausluonteinen säännös, jonka mukaan kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty yritysturvallisuusselvitys tehdään siten kuin turvallisuusselvityslaissa säädettäisiin. Yritysturvallisuusselvitystodistuksen antaisi kuitenkin kansallinen turvallisuusviranomainen, jolle tulisi toimittaa todistuksen antamista varten tarpeellinen aineisto.

Kansallisen turvallisuusviranomaisen antaman yritysturvallisuusselvitystodistuksen voimassaoloon ja peruuttamiseen sovellettaisiin ehdotetun 2 momentin mukaan, mitä turvallisuusselvityslain 53—55 §:ssä säädetään.

Pykälän 3 momenttiin ehdotetaan selvyyssyistä otettavaksi säännös kirjallisen päätöksen antamisesta silloin, kun kansallinen turvallisuusviranomainen kieltäytyy antamasta yritysturvallisuusselvitystodistusta.

13 §. Sitoumus turvallisuustoimenpiteiden suorittamisesta. Pykälä ehdotetaan tarpeettomana kumottavaksi. Vastaava sääntely sisältyisi esityksen mukaan turvallisuusselvityslakiin (lakiehdotus n:o 1, 40 § ).

14 §. Todistusta koskevien tietojen merkitseminen turvallisuusselvitysrekisteriin. Voimassa olevaa pykälää vastaava sääntely sisältyisi esityksen mukaan turvallisuusselvitys lakiin. Pykälään ehdotetaan otettavaksi informatiivinen säännös siitä, että kansallinen turvallisuusviranomainen tallettaa antamastaan henkilöturvallisuusselvitystodistuksesta ja yritysturvallisuusselvitystodistuksesta tiedot turvallisuusselvitysrekisteriin. Pykälän otsikko muutettaisiin vastaamaan ehdotettua säännöstä.

20 a §. Muutoksenhaku. Lakiin ehdotetaan otettavaksi muutoksenhakua koskeva säännös, joka pääpiirteissään vastaisi ehdotetun turvallisuusselvityslain 62 §:ää. Koska kansallinen turvallisuusviranomainen on osa ulkoasiainministeriötä, sen päätöksestä valitettaisiin korkeimpaan hallinto-oikeuteen.

5 §. Asiakastietojärjestelmän käyttötarkoitus. Ehdotuksen mukaan yrityspalvelujen asiakastietojärjestelmän tarkoitusta määritelevää säännöstä muutettaisiin siten, että sen kautta saatavia lain 6 §:n 1 momentissa tarkoitettuja tietoja saisi käyttää myös yritysturvallisuusselvitysten laadinnassa.

10 §. Asiakastietojärjestelmän tietojen luovuttaminen. Asiakastietojärjestelmän perustietoja saisi ehdotuksen mukaan luovuttaa myös turvallisuusselvityslain mukaisten tehtävien hoitoa varten toimivaltaisille viranomaisille.

4 §. Rikosrekisteristä voitaisiin ehdotetun uuden 3 a kohdan mukaan salassapitovelvollisuuden estämättä luovuttaa henkilöä koskeva tieto Etelä-Suomen aluehallintovirastolle rahanpesun ehkäisemiseksi annetun lainsäädännön mukaan ilmoitusvelvollisten yritysten vastuuhenkilöiden taustan selvittämiseksi. Muutos on tarpeen rahanpesun ja terrorismin rahoittamisen estämisestä ja selvittämisestä koskevien kansainvälisten velvoitteiden kiireelliseksi toteuttamiseksi.

4 a §. Pykälän 1 momentin 1 a kohdassa oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi ehdotettuun turvallisuusselvityslakiin.

21 §. Rekisteri. Ehdotettuun 5 momenttiin on otettu viittaus turvallisuusselvityksistä annetun lain sijasta uuteen turvallisuusselvityslakiin.

8 c §. Lakiin ehdotetaan otettavaksi uusi säännös, joka sisältäisi valtuuden säätää niistä tehtävistä, joihin nimitettävällä tulisi olla turvallisuusselvitystodistus. Säännös liittyy tarpeeseen asteittain tehostaa henkilöstöturvallisuutta valtionhallinnossa.

2 a §. Turvallisuusselvityksen hankkiminen. Lakiin lisättäisiin säännös, jossa panostajan pätevyyskirjan antava viranomainen velvoitettaisiin hankkimaan pätevyyskirjaa hakevasta ehdotetun turvallisuusselvityslain mukaisen suppean turvallisuusselvityksen. Velvollisuutta ei kuitenkaan olisi, jos pätevyyskirjan hakija esittää viranomaiselle edellä tarkoitetun lain mukaan annetun turvallisuusselvitystodistuksen.

59 §. Turvallisuusselvitykset. Voimassa olevan lain mukaan yksityisen turvallisuuspalvelualan koulutukseen hakeutuvista on tietyissä tapauksissa pyydettävä poliisilaitoksen lausunto. Pykälään ehdotetaan otettavaksi viittaus turvallisuusselvityslakiin ja sen perusteella annettavaan suppeaan henkilöturvallisuusselvitykseen. Samalla henkilöpiiriä laajennettaisiin nykyisestä siten, että siihen kuuluisivat vastaavan hoitajan ja vartijan lisäksi voimankäyttökouluttajat. Pykälän otsikko muutettaisiin vastaaman sen uutta sisältöä.

9 §. Opiskelijaksi ottaminen ammatilliseen tutkintoon johtavaan koulutukseen. Pykälän 3 momentissa oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi turvallisuusselvityslakiin, jossa säädettäisiin suppean turvallisuusselvityksen antamisesta.

18 §. Kelpoisuus opintoihin. Pykälän 5 momentissa oleva viittaus turvallisuusselvityslakiin muutettaisiin viittaukseksi ehdotettuun uuteen lakiin, jossa säädettäisiin suppean henkilöturvallisuusselvityksen antamisesta.

105 §. Kulkuoikeus ja Liikenteen turvallisuusviraston oikeus saada tietoja viranomaisilta. Pykälän 1 momentin johdantokappaleessa oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi turvallisuusselvityslakiin.

70 §. Esitutkinta- ja eräät muut viranomaiset sekä tuomioistuimet. Pykälän 1 momentin 4 kohdassa oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi ehdotettuun uuteen lakiin. Samalla muotoilussa ehdotetaan otettavaksi huomioon, että ulosottotietoja voitaisiin käyttää myös yritysturvallisuusselvityksiä ja perusmuotoisia henkilöturvallisuusselvityksiä laadittaessa.

2 §. Rekisterinpito ja käyttötarkoitus. Pykälän 2 momentissa oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi turvallisuusselvityslakiin.

6 §. Viittaussäännös tietojen luovuttamisesta. Pykälässä oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi turvallisuusselvityslakiin.

1 §. Lain 16 §:n 3 momentti ehdotetaan kumottavaksi. Turvallisuusselvityksiä koskevat tiedot ovat puolustusvoimien käytettävissä perustettavan turvallisuusselvitysrekisterin kautta.

2 §. Lain on tarkoitus tulla voimaan samanaikaisesti turvallisuusselvityslain kanssa.

25 §. Tietojen saanti viranomaisilta. Pykälän 1 momentin 2 kohdassa oleva maininta kansainvälisistä tietoturvallisuusvelvoitteista annetusta laista ja yhteisöturvallisuusselvityksestä muutettaisiin maininnaksi turvallisuusselvityslaista ja yritysturvallisuusselvityksestä.

26 §. Luotettavuustodistuksen myöntämisen edellytykset. Pykälässä käytetty käsite yhteisöturvallisuusselvitys muutettaisiin vastaamaan ehdotetun turvallisuusselvityslain mukaista käsitteistöä.

36 §. Maksut. Pykälässä käytetty käsite yhteisöturvallisuusselvitys muutettaisiin vastaamaan ehdotetun turvallisuusselvityslain mukaista käsitteistöä.

19 §. Opiskelijaksi pyrkivän terveydentilatiedot ja turvallisuusselvitys. Pykälän 2 momentissa oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi turvallisuusselvityslakiin.

5 §. Tarkastus- ja valvontaoikeudet. Pykälän 6 momentissa oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi turvallisuusselvityslakiin.

4 §. Liikenteen turvallisuusviraston erityistehtävät. Pykälän 1 momentin 1 a kohdassa oleva viittaus turvallisuusselvityksistä annettuun lakiin muutettaisiin viittaukseksi turvallisuusselvityslakiin. Momentin 1 a että 1 b kohtaa muutettaisiin siten, että niissä korvattaisiin sana turvallisuusselvitys sanalla turvallisuusselvitys. Se, kummassa muodossa selvitys tapahtuisi, jäisi suojelupoliisin ratkaisun varaan.

Esitykseen sisältyvään ehdotukseen turvallisuusselvityslaiksi (lakiehdotus n:o 1) on otettu säännökset, joiden mukaan valtioneuvoston asetuksella voitaisiin säätää valtionhallinnon viranomaisen velvollisuudesta hankkia henkilöturvallisuusselvitys (9 § 1 mom.) taikka yritysturvallisuusselvitys (9 § 3 mom.). Lakiin viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain muuttamisesta (lakiehdotus n:o 3) on vastaavasti otettu säännös, jonka mukaan valtioneuvoston asetuksella voitaisiin säätää valtionhallinnon viranomaisen velvollisuudesta hankkia lakiehdotuksessa tarkoitettu todistus (6 a §). Ehdotettuun lakiin valtion virkamieslain muuttamisesta (lakiehdotus n:o 10, 8 c §) sisältyy valtuus antaa asetuksella säännökset niistä viroista, joihin nimitettävistä tulisi hankkia turvallisuusselvitystodistus.

Perustuslain 10 §:n 1 momentissa turvataan jokaisen yksityiselämä ja edellytetään, että henkilötietojen suojasta säädetään tarkemmin lailla. Perustuslain lakiviittaus henkilötietojen suojasta edellyttää perusoikeusuudistuksen tarkoituksen mukaisesti lainsäätäjän säätävän tästä oikeudesta, mutta se jättää sääntelyn yksityiskohdat lainsäätäjän harkintaan (PeVL 25/1998 vp, s. 2/I). Tällainen perusoikeussäännös sitoo lainsäätäjän sisällöllistä harkintaa vähemmän kuin sellainen sääntelyvarauksen sisältävä säännös, jossa perusoikeuden todetaan olevan olemassa sen mukaan kuin lailla säädetään. Lainsäätäjän liikkuma-alaa rajoittaa kuitenkin se, että henkilötietojen suoja osittain sisältyy samassa momentissa lähtökohtaisesti suojatun yksityiselämän piiriin.

Perustuslakivaliokunnan tulkintakäytännön mukaan henkilötietojen suojan kannalta tärkeitä sääntelykohteita ovat ainakin rekisteröinnin tavoite, rekisteröitävien henkilötietojen sisältö, niiden sallitut käyttötarkoitukset mukaan luettuna tietojen luovutettavuus, rekisterien yhdistäminen, henkilötietojen luovuttaminen teknisen käyttöyhteyden avulla sekä tietojen säilytysaika henkilörekistereissä ja rekisteröidyn oikeusturva. Näiden seikkojen sääntelyn lain tasolla tulee lisäksi olla kattavaa ja yksityiskohtaista. Ehdotettuun turvallisuusselvityslakiin on otettu säännökset edellä tarkoitetuista tietojen käsittelyn edellytyksistä niiltä osin kuin on tarve poiketa tai täsmentää henkilötietolaissa ja julkisuuslaissa olevaa sääntelyä.

Perustuslakivaliokunta ei ole aikaisemmin pitänyt henkilön luotettavuuden selvittämisessä käytettäviä menettelyjä sellaisenaan valtiosääntöoikeuden kannalta ongelmallisina. Ehdotetussa turvallisuusselvityslaissa turvallisuusselvityksistä ja niiden laatimisen edellytyksistä säädettäisiin nykyistä lainsäädäntöä täsmällisemmin, mutta samalla niiden käyttöalaa laajennettaisiin jossain määrin.

Nykyistä turvallisuusselvityksistä annettua lakia säädettäessä perustuslakivaliokunta arvioi yksityisyyden suojan rajoittamisedellytyksiä lainsäädännön perusteen painavuuden kannalta ja piti tältä kannalta merkittävänä, että ehdotetun lain tarkoituksena oli ennen muuta julkisten intressien suojaaminen (PeVL 21/2001 vp). Valiokunta katsoi samalla myös, että siltä osin kun lailla pyritään ehkäisemään myös yksityisiin etuihin liittyviä rikoksia, sääntelyllä on yhtymiä perusoikeuksien suojaamistarkoitukseen. Valiokunta piti selvänä, että esityksen tarkoittaman henkilötietojen suojan rajoituksen taustalla on sellainen hyväksyttävä peruste kuin perusoikeuksien yleisten rajoitusedellytysten mukaan tulee olla.

Nyt ehdotetussa turvallisuusselvityslaissa henkilöiden taustojen selvittämisen tarkoituksena on suojata samoja yleisiä etuja kuin voimassa olevassa laissa. Laissa annettaisiin nykyistä jossain määrin laajemmat mahdollisuudet myös yksityisille yrityksille hakea työnhakijasta turvallisuusselvitys, mutta näistä useimmat tapaukset koskevat tilanteita, joissa henkilön luotettavuudella on yleistä merkitystä esimerkiksi yleisen turvallisuuden kannalta, kuten säännökset sellaisten henkilöiden taustan selvittämisestä, jotka voivat saada haltuunsa suuria määriä räjähdysvaarallisia aineita. Muidenkin selvitysmenettelyn piiriin ehdotettavaksi otettavien uusien yksityissektorin tehtävien luotettava suorittaminen suojaa viime kädessä yleisiä etuja, kuten kriittisen infrastruktuurin sekä rahoitus- ja vakuutusjärjestelmien toimintaa. Suojelupoliisi voisi erikseen hyväksyä selvitysmenettelyn piiriin yrityksissä hoidettavia tehtäviä. Nämä tehtävät olisivat luonteeltaan sellaisia, joihin voi kohdistua yritysvakoilua tai joissa on kysymys erittäin merkittävästä taloudellisesta edusta. Erittäin merkittävä yksityinen taloudellinen etu on nykyisessä laissa suojattu etu.

Henkilötietojen suojan rajoitusten on perustuslakivaliokunnan tulkintakäytännön mukaan oltava myös suhteellisuusvaatimuksen mukaisia. Sääntelyn suhteellisuuden kannalta on tärkeää, että lakiehdotuksessa yksilöidään tyhjentävästi ne rekisterit, joiden tietoja saadaan käyttää turvallisuusselvityksen laadinnassa. Rikosepäilyä koskevien tietojen käyttöä säänneltäisiin nykyistä tarkemmin.

Henkilöturvallisuusselvitysten tietopohja laajenisi jossain määrin nykyisestä. Uusia tietolähteitä olisivat luottotietorekisteri (perusmuotoinen ja laaja henkilöturvallisuusselvitys, yrityksen vastuuhenkilöstä laadittava henkilöturvallisuusselvitys). Työnantaja voi käyttää luottotietoja nykyisin yksityisyyden suojasta työelämässä annetun lain mukaisesti. Samoin mahdollistettaisiin ulkomaan viranomaisen pitämästä rekisteristä saatavien tietojen käyttö, jos vastaavia Suomessa pidettäviä rekistereitä voitaisiin käyttää henkilöturvallisuusselvitystä laadittaessa. Nämä tiedot saataisiin joko kansainvälisen Suomea sitovan sopimukseen tai säädöksen perustella tai selvityksen kohteen itsenä toimittamina.

Perusmuotoisessa henkilöturvallisuusselvityksessä voitaisiin lisäksi käyttää keskusrikospoliisin ilmoittamia epäiltyjen rekisteriin sisältyviä tietoja, jos se on välttämätöntä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toimilta (lakiehdotus n:o 1, 25 § 2 mom.). Järjestäytyneeseen rikollisryhmään kuuluminen on nykyisin rangaistavaa. Keskusrikospoliisin antamien tietojen mukaan on tullut esiin tapauksia, joissa rikollisryhmän jäseniä on hakeutunut turvallisuuden kannalta merkityksellisiin viranomaisten hankkeisiin.

Epäiltyjen rekisteri on lainsäädännön mukaan vain määriteltyjen poliisitehtäviä hoitavien käytössä. Tämän vuoksi ja ottaen huomioon rekisteriin liittyvien tietojenkäsittelyn erityispiirteet, tietoja annettaisiin vain tapauskohtaiseen harkintaan perustuen suojelupoliisille. Keskusrikospoliisi toisin sanoen arvioisi tapauskohtaisesti, toteutuuko laissa säädetyt edellytykset.

Jotta keskusrikospoliisi voisi suorittaa arvionsa turvallisuusselvitysmenettelyltä vaadittavassa ajassa, keskusrikospoliisi voisi teknisesti yhdistää vireille tulleita turvallisuusselvityshakemuksia koskevat tiedot epäiltyjen rekisteriin. Yhdistämisen perusteella saadut tiedot tulisi hävittää välittömästi sen jälkeen, kun ratkaisu ilmoituksen tekemisestä on tehty tai ilmoitus lähetetty. Perustuslakivaliokunnan lausuntokäytäntöä (PeVL 30/2005) vastaavalla tavalla ehdotetaan lakiin otettavaksi säännökset yhdistämisen seurauksena syntyneiden tietojen hävittämisestä.

Puolustusvoimilla ja suojelupoliisilla olisi oikeus käyttää asevelvollisrekisteriin, pääesikunnan ylläpitämään sotilasoikeudenhoidon tietojärjestelmään ja turvallisuustietorekisteriin sekä kriisinhallintahenkilöstörekisteriin talletettuja tietoja laissa säädettävin rajoituksin (lakiehdotus n:o 1, 31 §). Näitä tietoja saisi käyttää vain laadittaessa henkilöturvallisuusselvitystä puolustusvoimien tai suojelupoliisin tehtäviin valittavista. Ehdotetuissa säännöksissä rajoitettaisiin asevelvollisrekisteriin talletettujen terveydentilaa ja kelpoisuusluokkaa koskevien tietojen käyttöä tilanteisiin, jossa käyttö on välttämätöntä toisten henkilökohtaisen turvallisuuden varmistamiseksi.

Tietopohjan laajentamista on arvioitava suhteellisuusvaatimuksen täyttymisen kannalta. Tässä arvioinnissa voidaan turvallisuusselvitysmenettelyllä suojattavien etujen painoarvon ja lakiehdotukseen kirjattujen edellytysten lisäksi antaa merkitystä selvityksen kohteen asemalle. Ehdotuksen mukaan turvallisuusselvityksen tekeminen edellyttäisi asianomaisen suostumusta, jonka hän antaa saatuaan informaation käytettävistä tietolähteistä. Suostumusedellytys vastaa myös perustuslakivaliokunnan arkaluonteisten henkilötietojen käsittelyä koskevaa tulkintakäytäntöä (PeVL 25/1988 vp, s. 3).

Turvallisuusselvityksen kohteen tiedonsaantioikeudet vastaisivat pitkälti voimassa olevassa laissa säädettyjä. Niitä ehdotetaan kuitenkin jossain määrin laajennettavaksi siten, että työnantajan olisi pääsäännön mukaan annettava turvallisuusselvityksestä tieto työntekijälle. Tämä ei kuitenkaan koskisi tietoja, joihin työntekijälle ei ole tarkastusoikeutta.

Lakiin ehdotetaan otettaviksi säännökset nuhteettomuuden ja luotettavuuden seurannasta, mikä toteutettaisiin henkilörekistereitä yhdistämällä (lakiehdotus n:o 1, 51 §). Yhdistämisen tarkoituksena olisi sen selvittäminen, voidaanko turvallisuusselvitys tai sen perustella annettu todistus edelleenkin pitää voimassa. Säännösehdotuksessa on lueteltu ne rekisterit, joihin turvallisuusselvitettyjen henkilöiden tiedot voidaan yhdistää. Lakiehdotuksen 5 §:n mukaan yhdistäminen edellyttäisi lisäksi, että selvityksen kohde on antanut siihen suostumuksensa. Lakiin ehdotetaan otettaviksi säännökset yhdistämisen seurauksena syntyneiden tietojen hävittämisestä. Ehdotetussa sääntelyssä on siten otettu huomioon perustuslakivaliokunnan lausuntokäytäntö (PeVL 30/2005).

Oikeusturvajärjestelyjä koskevaa sääntelyä ehdotetaan kehitettäväksi. Ehdotetussa turvallisuusselvityslaissa ei enää voimassa olevan lain tapaan lueteltaisi tilanteita, joissa on oikeus hakea muutosta, vaan lakiin otettaisiin viittaus hallintolainkäyttölakiin. Lakiin sisältyisi kuitenkin muutoksenhakukielto. Muutosta ei saisi hakea päätökseen, jolla toimivaltainen viranomainen on kieltäytynyt laatimasta turvallisuusselvitystä. Tätä ei ole pidettävä valtiosääntöoikeudelliselta kannalta ongelmana, koska päätös turvallisuusselvityksen tekemisestä ei ole perustuslain 21 §:ssä tarkoitettua oikeutta koskeva päätös (PeVL 21/2001).

Nykyistä lakia säädettäessä perustuslakivaliokunta katsoi, että selvityksen kohteen oikeusturvajärjestelyt olivat riittäviä. Turvallisuusselvitysmenettelyssä voitaisiin ehdotuksen mukaan, kuten nykyisinkin, käyttää rekisteritietoja, joihin selvityksen kohteella ei itsellään ole tiedonsaantioikeutta (suojelupoliisin toiminnallinen rekisteri, pääesikunnan turvallisuustietorekisteri). Ehdotuksen mukaan turvallisuusselvitystä laadittaessa voitaisiin käyttää myös ilmoituksia, jotka keskusrikospoliisi on tehnyt epäiltyjen tietojärjestelmän pohjalta. Mainittujen rekisterien tietojen käsittelyn laillisuus voidaan kuitenkin selvityksen kohteen pyynnöstä selvittää tietosuojavaltuutetun kautta. Tietosuojavaltuutetulla on myös oikeus määrätä lainvastaisesti talletettu tieto – mukaan lukien harhaanjohtava tai vanhentunut tieto – poistettavaksi. Näiltä osin oikeusturvajärjestelmässä ei ole samankaltaisia puutteita kuin mihin kiinnitettiin huomiota Euroopan ihmisoikeustuomioistuimen ratkaisussa Segerstedt-Wiberg (6.6.2006).

Turvallisuusselvityslainsäädännön yhteydessä ei ole ollut mahdollisuutta arvioida, ovatko nykyiset rekisteröityä koskevat tiedonsaantioikeudet (rekisteröidyn tarkastusoikeus, asianosaisen tiedonsaantioikeus) riittäviä kysymyksen ollessa viranomaisten tiedustelutyyppisistä tehtävistä. Kansallisen turvallisuusviranomaisen (NSA) tehtävien organisointia selvittänyt työryhmä katsoi muistiossaan, että Suomessa tarvittaisiin yleinen tiedustelutoimintaa koskeva laki.

Muutoksenhakuoikeus laajenisi nykyisestään, mikä johtuu turvallisuusselvitystodistusta koskevasta muutoksesta. Ehdotetun turvallisuusselvityslain mukaan turvallisuusselvityksen perusteella voitaisiin antaa turvallisuusselvitystodistus, joka voitaisiin peruuttaa laissa säädettävien edellytysten mukaan.

Turvallisuusselvitystodistuksen peruuttamista koskevasta päätöksestä saisi hakea muutosta. Päätökseen, jolla on kieltäydytty antamasta turvallisuusselvitystodistusta, saisi hakea valittamalla muutosta, jos turvallisuusselvitystodistus on lain tai sen nojalla annetun säännöksen mukaan edellytyksenä virkaan tai tehtävään valitsemiselle taikka sellaisen viran tai tehtävän hoitoa varten, johon valittavalla on kansainvälisen tietoturvallisuusvelvoitteen mukaan oltava turvallisuusselvitystodistus (lakiehdotus no:1, 62 §, lakiehdotus n:o 6, 20 a §). Ehdotuksen tarkoituksena on varmistaa erityisesti selvityksen kohteen oikeusturvaa tilanteissa, joissa ratkaisu koskee selvityksen kohteen etuja välittömästi. Näiltä osin ehdotus vastaa korkeimman hallinto-oikeuden viimeaikaista käytäntöä (KHO 18.9.2012 T 2483).

Ehdotuksen mukaan myös toimivaltainen viranomainen voisi hakea muutosta hallinto-oikeuden päätökseen. Viranomaisella on valitusoikeus hallintolainkäyttölain 6 §:n mukaan, jos laissa niin säädetään tai jos valitusoikeus on viranomaisen valvottavana olevan julkisen edun vuoksi tarpeen. Perustuslakivaliokunta on pitänyt viranomaisen muutoksenhakuoikeutta hallintolainkäyttöjärjestelmässä poikkeuksellisena ja katsonut etenkin viranomaisen yleisen muutoksenhakuoikeuden voivan muodostua ongelmalliseksi perustuslain 21 §:n 1 momentissa vaaditun asianmukaisen menettelyn kannalta, koska tällöin viranomainen saatetaan nähdä asianosaisen mahdolliseksi vastapuoleksi (esim. PeVL 45/2006 vp, PeVL 4/2002 vp). Valiokunta on toisaalta pitänyt viranomaisen muutoksenhakuoikeutta perustuslain näkökulmasta ongelmattomana, jos se on lailla rajoitettu esimerkiksi oikeuskäytännön yhtenäisyyden ylläpitoon liittyviin perusteisiin (esim. PeVL 4/2005 vp, PeVL 4/2004 vp).

Perustuslakivaliokunnan käytännön mukaisesti ehdotetussa säännöksessä viranomaisen muutoksenhakuoikeus olisi lailla rajoitettu vain tilanteisiin, jossa se olisi tarpeen lain soveltamisen yhtenäisyyden ylläpitämiseksi.

Toimivaltaisille viranomaisille annettaisiin ehdotetussa turvallisuusselvityslaissa oikeus päästä yrityksen toimitiloihin (lakiehdotus n:o 1, 39 § 2 mom.). Säännösehdotuksissa tarkoitettua tarkastusta ei ole tarkoitus eikä tarpeen ulottaa kotirauhan piiriin kuuluviin tiloihin. Selvyyden vuoksi ja kotirauhaa koskevien perustuslain säännösten huomioon ottamiseksi on ehdotetuissa säännöksissä nimenomaisesti rajattu tällaiset tilat tarkastusoikeuden ulkopuolelle (PeVL 2/2002 vp, PeVL 18/2006 vp). Kotirauhan suojaama piiri määritellään eri tavoin perustuslaissa verrattuna esimerkiksi rikoslakiin (RL 24:11), minkä vuoksi rajaussäännökset on muotoiltu perustuslakivaliokunnan kannanottojen mukaisesti koskemaan pysyväisluonteiseen asumiseen käytettyjä tiloja.

Ehdotettuun turvallisuusselvityslakiin sisältyy ehdotus asetuksenantovaltuuksiksi (lakiehdotus n:o 1, 16 ja 34 §), joka oikeuttaisi valtioneuvoston antamaan asetuksella säännökset viranomaisen velvollisuudesta hankkia henkilöturvallisuusselvitys tai yritysturvallisuusselvitys. Ehdotetun turvallisuusselvityslain mukaan valtioneuvoston asetuksella voitaisiin laajentaa yritysturvallisuusselvityksen laatimista eräissä tapauksissa myös osittain yksityisten taloudellisten etujen suojaamiseksi (lakiehdotus n:o 1, 36 § 4 mom.). Ehdotettuun lakiin valtion virkamieslain muuttamisesta (lakiehdotus n:o 10, 8 c §) sisältyy valtuus antaa asetuksella säännökset niistä viroista, joihin nimitettävistä tulisi hankkia turvallisuusselvitystodistus.

Ehdotetuissa säännöksissä on määritelty, minkälaisissa tilanteissa velvollisuus turvallisuusselvityksen tai turvallisuusselvitystodistuksen hankkimiseen voitaisiin säätää. Edellytykset ehdotetaan muotoiltavaksi siten, että niiden vallitessa turvallisuusselvityksen tai turvallisuusselvitystodistuksen hankkiminen olisi ehdotetun lain mukaan mahdollista. Asetuksessa annettavat säännökset asettaisivat siten velvoitteen viranomaisille eivätkä ne sellaisenaan vaikuttaisi luonnollisten henkilöiden ja yritysten oikeusasemaan. Myös viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annettavaksi ehdotettuun lakiin (lakiehdotus n:o 3, 6 a §) on otettu säännös, jonka mukaan valtioneuvoston asetuksella voitaisiin säätää valtionhallinnon viranomaisen velvollisuudesta hankkia lakiehdotuksessa tarkoitettu todistus.

Edellä esitetyn perusteella lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Koska ensimmäiseen lakiehdotukseen liittyy useita perusoikeuksien tulkintaa koskevia kysymyksiä, hallitus pitää suotavana, että ehdotuksesta hankitaan perustuslakivaliokunnan lausunto. ’

Lait ehdotetaan tulemaan voimaan vuoden 2014 alkupuoliskolla. Uudistuksen voimaantulo on tarkoitus ajoittaa siten, että sen täytäntöönpanoa varten tarpeelliset tietojenkäsittelyjärjestelyt ovat riittävän pitkällä uudistuksella tavoiteltavien kustannussäästöjen varmistamisen kannalta.

Edellä esitetyn perusteella annetaan eduskunnan hyväksyttäviksi seuraavat lakiehdotukset:

Lakiehdotukset

1.

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Lain tarkoitus

Tämän lain tarkoituksena on parantaa mahdollisuuksia ennakolta ehkäistä toimintaa, joka voi vahingoittaa valtion turvallisuutta, maanpuolustusta, Suomen kansainvälisiä suhteita, yleistä turvallisuutta tai muuta niihin verrattavaa yleistä etua taikka erittäin merkittävää yksityistä taloudellista etua taikka edellä tarkoitettujen etujen suojaamiseksi toteutettavia turvallisuusjärjestelyjä.

2 §
Lain soveltamisala ja sen suhde muuhun lainsäädäntöön

Tässä laissa säädetään:

1) turvallisuusselvityksen laatimisen edellytyksistä ja laadinnassa noudatettavasta menettelystä;

2) turvallisuusselvitystä laadittaessa käytettävistä tiedoista;

3) selvityksen kohteen suostumuksesta ja tiedonsaantioikeuksista;

4) selvityksen hakijan ja selvityksen kohteen tiedonantovelvollisuuksista;

5) turvallisuusselvityksen ja sen perusteella annetun todistuksen voimassaolosta ja todistuksen peruuttamisesta;

6) henkilörekisterien yhdistämisestä selvityksen kohteen nuhteettomuuden ja luotettavuuden seuraamiseksi ja sen johdosta suoritettavista toimenpiteistä.

Työnantajan oikeudesta kerätä ja tallettaa tietoja työnhakijasta tai virkaa hakeneesta taikka siihen palvelussuhteessa olevasta, lasten kanssa työskentelevien rikostaustan selvittämisestä sekä rikostaustan selvittämisestä viranomaisen luvan myöntämisen tai hyväksynnän osana säädetään erikseen.

3 §
Määritelmät

Tässä laissa tarkoitetaan:

1) henkilöturvallisuusselvityksellä henkilön nuhteettomuuden tai luotettavuuden varmistamiseksi tässä laissa säädetyllä tavalla laadittavaa selvitystä henkilön taustasta;

2) yritysturvallisuusselvityksellä yrityksen ja sen vastuuhenkilöiden luotettavuuden, yrityksen tietoturvallisuuden tason sekä sitoumustenhoitokyvyn arvioimiseksi tässä laissa säädetyllä tavalla laadittavaa selvitystä;

3) turvallisuusselvityksellä henkilöturvallisuusselvitystä ja yritysturvallisuusselvitystä;

4) selvityksen kohteella henkilöä tai yritystä, josta turvallisuusselvitys on pyydetty laadittavaksi;

5) viranomaisella viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 4 §:ssä tarkoitettua organisaatiota, toimielintä tai henkilöä;

6) yrityksellä elinkeinotoimintaa harjoittavaa luonnollista henkilöä tai muuta yksikköä, joka yritys- ja yhteisötietolain (244/2001) 3 §:n 1 momentin 1—5 kohdan mukaan on rekisteröitävä yritys- ja yhteisötietojärjestelmään;

7) yrityksen vastuuhenkilöllä henkilöä, joka merkitään viranomaisen julkiseen rekisteriin yhtiömiehenä, vastuullisena yhtiömiehenä, toimitusjohtajana, yrityksen hallituksen jäsenenä tai varajäsenenä tai henkilönä, jolla on prokuura- ja nimenkirjoitusoikeus;

8) työnantajalla viranomaista tai yritystä, joka on valitsemassa henkilöä palvelussuhteeseen tai johon henkilö on palvelussuhteessa;

9) läheisellä selvityksen kohteen isää tai äitiä, avio- tai avopuolisoa taikka lasta;

10) kansainvälisellä tietoturvallisuusvelvoitteella Suomea sitovaan kansainväliseen sopimukseen tai säädökseen sisältyvää salassa pidettävän asiakirjan käsittelyn tietoturvallisuuden toteuttamisessa noudatettavaa vaatimusta ja turvallisuusjärjestelyä;

11) luokitellulla asiakirjalla viranomaisten toiminnan julkisuudesta annetun lain 5 §:n 1 momentissa tarkoitettua asiakirjaa, johon mainitun lain tai sen nojalla annettujen säännösten nojalla taikka kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) nojalla on tehty tai voidaan tehdä suojaustasoa koskeva luokittelumerkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia asiakirjaa käsiteltäessä noudatetaan.

Mitä 1 momentin 6 kohdassa säädetään yrityksestä ja 7 kohdassa yrityksen vastuuhenkilöstä, sovelletaan vastaavasti myös sellaiseen säätiöön tai yhdistykseen, joka ei harjoita elinkeinotoimintaa, sekä tällaisen säätiön ja yhdistyksen hallituksen jäseniin ja niihin, joilla säätiörekisterin tai yhdistysrekisterin mukaan on säätiön tai yhdistyksen nimenkirjoitusoikeus.

Mitä 1 momentin 11 kohdassa säädetään luokitellusta asiakirjasta, sovelletaan myös tietoihin, jotka on saatu suullisesti tai voidaan saada havainnoimalla, jos tällaisia tietoja sisältävät asiakirjat olisi luokiteltavissa mainitussa kohdassa tarkoitettujen säännösten perusteella.

2 luku

Selvityksen kohteen asema ja oikeudet

4 §
Ilmoittaminen turvallisuusselvityksestä

Sen, joka aikoo hakea henkilöturvallisuusselvityksen laatimista palvelussuhteeseen tai toimeksiantotehtävään valittavasta, on ilmoitettava tästä viran tai tehtävän täytettävänä oloa koskevassa ilmoituksessa tai muulla sopivalla tavalla. Sama koskee koulutuksen järjestäjää, jos koulutukseen valittavasta on tarkoitus pyytää henkilöturvallisuusselvitys.

Sillä, joka aikoo hakea yritysturvallisuusselvitystä siitä, jonka kanssa on tarkoitus tehdä hankintasopimus, on hankintailmoituksessa tai tarjouspyynnössä ilmoitettava yritysturvallisuusselvityksen laadinnasta. Jos kysymys ei ole julkisista puolustus- ja turvallisuushankinnoista annetussa laissa (1531/2011) tarkoitetusta puolustus- ja turvallisuushankinnasta, asiasta voidaan ilmoittaa myös muulla tavalla.

Mitä 1 ja 2 momentissa säädetään, ei sovelleta, jos selvityksen kohde itse hakee turvallisuusselvityksen laatimista.

5 §
Selvityksen kohteen suostumus

Turvallisuusselvityksen laatimisen ja turvallisuusselvitykseen liittyvän 51 §:ssä tarkoitetun luotettavuuden seurannan toteuttamisen yleisenä edellytyksenä on, että selvityksen kohde on antanut siihen etukäteen kirjallisen suostumuksen.

Suostumusasiakirjasta tulee käydä ilmi, että selvityksen kohde on ennen suostumuksen antamista saanut tiedon turvallisuusselvityksen ja luotettavuuden seurannan tarkoituksesta ja niiden käytöstä, turvallisuusselvitykseen ja sen seurantaan liittyvästä tietojenkäsittelystä sekä oikeudestaan saada tieto selvityksen sisällöstä.

Suostumus henkilöturvallisuusselvityksen laatimiseen voidaan antaa siten, että se kattaa kaikki ne tilanteet, joissa suostumuksessa määritellyn palvelussuhteen tai tehtävän aikana on tarpeen laatia turvallisuusselvitys tai antaa sen perusteella henkilöturvallisuusselvitystodistus. Suostumus voidaan antaa myös siten, että se koskee kaikkia tietyn hallinnonalan tehtäviä.

Jos selvityksen kohde itse hakee turvallisuusselvityksen laadintaa, suostumusasiakirjan sijasta on annettava selvityksen kohteen ilmoitus, josta tulee käydä ilmi 2 momentissa tarkoitetut tiedot.

6 §
Oikeus saada tieto turvallisuusselvityksestä

Jokaisella on oikeus saada toimivaltaiselta viranomaiselta tieto siitä, onko hänestä tai yrityksestä, jonka puhevaltaa hän käyttää, tehty turvallisuusselvitys. Selvityksen kohteella on oikeus pyynnöstään saada toimivaltaiselta viranomaiselta turvallisuusselvityksen sisältämät tiedot.

Turvallisuusselvityksen hakijan on ilmoitettava selvityksen kohteelle selvityksen lopputuloksesta. Jos selvitys on annettu kirjallisena, selvitys on annettava myös nähtäväksi tai pyydettäessä kopiona.

Mitä 1 ja 2 momentissa säädetään, ei sovelleta, jos tieto on peräisin sellaisesta henkilörekisteristä, johon rekisteröidyllä ei lain mukaan ole tarkastusoikeutta.

Jos toimivaltainen viranomainen kieltäytyy antamasta tietoja, sen tulee ilmoittaa syyt tähän tietoja pyytäneelle annettavassa kirjallisessa päätöksessä.

7 §
Selvityksen kohteen huomautusoikeus

Henkilöturvallisuusselvityksen kohteella on oikeus tehdä huomautus haastattelun tai 28 §:ssä tarkoitetun henkilötietolomakkeen tietojen tarkistamismenettelyn yhteydessä esiin tulleista seikoista.

Toimivaltaisen viranomaisen on tehtävä selvityksen kohteen esittämästä huomautuksesta merkintä kohteesta laadittavaan henkilöturvallisuusselvitykseen, jollei tietoa huomautuksen johdosta heti oikaista tai jollei huomautusta ole pidettävä ilmeisen perusteettomana.

Jos toimivaltainen viranomainen kieltäytyy tekemästä huomautuksesta merkintää henkilöturvallisuusselvitykseen, sen tulee ilmoittaa syyt tähän selvityksen kohteelle annettavassa kirjallisessa päätöksessä.

Rekisteriin sisältyvän tiedon korjaamisesta säädetään erikseen.

8 §
Säännösten soveltaminen läheisiin

Mitä tässä luvussa säädetään selvityksen kohteena olevan henkilön suostumuksesta, tiedonsaantioikeudesta ja huomautusoikeudesta, sovelletaan myös selvityksen kohteena olevan henkilön läheiseen, jos tästä tehdään 29 §:n nojalla turvallisuusselvitys.

3 luku

Toimivaltaiset viranomaiset ja niiden harkintavallan ohjaus

9 §
Toimivaltaiset viranomaiset

Perusmuotoisen henkilöturvallisuusselvityksen ja yritysturvallisuusselvityksen tekemisestä päättää suojelupoliisi, jollei jäljempänä toisin säädetä. Suojelupoliisi laatii suppean henkilöturvallisuusselvityksen, jos selvitys on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi. Suojelupoliisissa voi tämän lain mukaisissa tehtävissä toimia pääesikunnan osoittamia yhteyshenkilöitä.

Poliisihallituksen määräämä poliisihallinnon yksikkö päättää suppean henkilöturvallisuusselvityksen laatimisesta, jollei 1 tai 3 momentista muuta johdu.

Henkilöturvallisuusselvityksen tekemisestä päättää pääesikunta, jos selvityksen kohde toimii tai hänen on tarkoitus toimia puolustusvoimissa tai hoitaa puolustusvoimien antamaa tehtävää taikka jos turvallisuusselvitys liittyy puolustusvoimien toimintaan tai hankintoihin. Pääesikunta päättää yritysturvallisuusselvityksen tekemisestä yrityksestä, joka hoitaa tai jonka on tarkoitus hoitaa puolustusvoimien antamaa tehtävää taikka yrityksestä, joka liittyy puolustusvoimien hankintoihin.

Viestintävirasto laatii yritysturvallisuusselvityksen osana tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden tasoa koskevan selvityksen.

Sen estämättä, mitä edellä säädetään, toimivaltaiset viranomaiset voivat yksittäistapauksessa sopia, että toinen viranomainen laatii turvallisuusselvityksen tai sen osan toisen viranomaisen sijasta taikka antaa niiden perusteella todistuksen.

10 §
Viranomaisen harkinta turvallisuusselvitysasian käsittelyyn ottamisessa

Turvallisuusselvitystä ei laadita, jos selvityksen kohteesta on laadittu voimassa oleva vastaava turvallisuusselvitys, jollei erityisistä syistä muuta johdu.

Jollei velvollisuudesta hankkia turvallisuusselvitys tai hankkia sen perusteella annettava todistus säädetä laissa, turvallisuusselvitykset suoritetaan toimivaltaisen viranomaisen käytettävissä olevien voimavarojen mukaisesti ja ottaen huomioon:

1) tarve kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen,

2) haetun turvallisuusselvityksen yleinen merkitys tietoturvallisuuden varmistamiseksi julkishallinnossa taikka yhteiskunnan elintärkeiden toimintojen tai erittäin tärkeiden yksityisten etujen suojaamisessa;

3) selvityksen hakijoiden ja kohteiden yhdenvertainen kohtelu.

11 §
Eräiden selvityksen kohdetta koskevien seikkojen huomioon ottaminen henkilöturvallisuusselvityksen laadinnassa

Jos henkilöturvallisuusselvitystä laadittaessa ilmenee, että selvityksen kohde on lainvoimaisella ratkaisulla tuomittu rangaistukseen tai jätetty rikoslain (39/1889) 3 luvun 4 §:n 1 tai 2 momentin nojalla rangaistukseen tuomitsematta, toimivaltaisen viranomaisen on selvityksen lopputulosta harkitessaan otettava erityisesti huomioon:

1) teosta kulunut aika;

2) selvityksen kohteen ikä tekohetkellä;

3) tekojen toistuvuus ja niiden osoittama piittaamattomuus toisten oikeuksista taikka harkintakyvyn puutteesta;

4) seuraamusten ankaruus;

5) teon luonne tai merkittävyys suhteessa selvityksen perustana olevaan tehtävään kannalta.

Mitä 1 momentissa säädetään, sovelletaan myös arvioitaessa tietoja poliisitoimen tekemistä selvityksen kohdetta koskevista päätöksistä tai häneen kohdistetuista toimenpiteistä.

Tietojen käyttörajoituksista eräissä tapauksissa säädetään 32 §:ssä.

12 §
Arviointikriteerilautakunta

Oikeusministeriön yhteydessä toimii turvallisuusselvitysasioissa valtioneuvoston asettama arviointikriteerilautakunta, jossa on edustettuna julkishallinnon tietoturvallisuuden yleisestä ohjauksesta vastaava ministeriö, puolustushallinto, ulkoasiainhallinto ja muut yleisten etujen suojaamisen kannalta keskeiset hallinnonalat, ammattijärjestöt ja elinkeinoelämä sekä tarvittava oikeudellinen asiantuntemus.

Arviointikriteerilautakunnan tehtävänä on toimivaltaisten viranomaisten päätöksenteon tueksi sekä yhtenäisen ja johdonmukaisen tulkintakäytännön edistämiseksi käsitellä ja esittää yleisiä tulkintasuosituksia:

1) tehtävistä, joista laissa säädetyt edellytykset huomioon ottaen voidaan laatia turvallisuusselvitys;

2) siitä, miten erilaisten tekoa koskevien tietojen merkitystä olisi asianmukaista arvioida erilaisten tehtävien hoidon kannalta ja selvityksen kohteen haastattelun tarpeesta asiaa arvioitaessa;

3) seikoista, jotka voivat vaikuttaa turvallisuusselvitystodistuksen antamiseen;

4) turvallisuusselvityksen ja sen perusteella annetun turvallisuusselvitystodistuksen peruuttamisesta;

5) muista toimenpiteistä turvallisuusselvityksen hakijoiden ja selvityksen kohteiden yhtenäisen ja yhdenvertaisen kohtelun varmistamiseksi turvallisuusselvitysmenettelyssä.

Sen lisäksi, mitä 2 momentissa säädetään, arviointikriteerilautakunnan tehtävänä on antaa suojelupoliisille lausunto 22 §:ssä tarkoitetun hakemuksen johdosta.

13 §
Toimivaltaisten viranomaisten yhteistyö

Toimivaltaisten viranomaisten on toimittava yhteistyössä turvallisuusselvityksen ja sen perusteella annettavan todistuksen yhtenäisen esittämistavan sekä arviointikriteerilautakunnan suosituksiin perustuvan yhtenäisen soveltamiskäytännön luomiseksi.

4 luku

Henkilöturvallisuusselvitys

Henkilöturvallisuusselvityksen tasot

14 §
Perusmuotoinen, laaja ja suppea henkilöturvallisuusselvitys

Henkilöturvallisuusselvitys laaditaan suppeana, perusmuotoisena tai laajana siten kuin jäljempänä tässä luvussa säädetään.

Henkilöturvallisuusselvityksen hakeminen

15 §
Henkilöturvallisuusselvityksen hakemiseen oikeutetut

Henkilöturvallisuusselvitystä voi hakea, jollei kansainvälisistä tietoturvallisuusvelvoitteista muuta johdu tai laissa toisin säädetä, selvityksen kohteen työnantaja tai se, jonka antamaa toimeksiantoa tai siihen kuuluvaa tehtävää selvityksen kohteen on tarkoitus hoitaa tai jota hän hoitaa. Jos selvitys laaditaan koulutukseen valittavasta, koulutuksen järjestäjä hakee selvitystä.

Henkilöturvallisuusselvitys voidaan tehdä myös muun kuin 1 momentissa tarkoitetun hakijan pyynnöstä, jos turvallisuusselvitystä edellytetään kansainvälisen järjestön tai toimielimen säännöissä tai toisen valtion laissa ja jos se on tarpeen sen vuoksi, että selvityksen kohde:

1) voidaan valita hoitamaan tehtäviä kansainvälisessä järjestössä tai toimielimessä taikka toisessa valtiossa;

2) voi aloittaa yritystoiminnan toisessa valtiossa.

16 §
Valtionhallinnon viranomaisen velvollisuus hakea henkilöturvallisuusselvitystä

Valtioneuvoston asetuksella voidaan säätää, että valtionhallinnon viranomaisen on hankittava henkilöturvallisuusselvitys henkilöstä, jolla on muutoin kuin satunnaisesti oikeus käsitellä suojaustasoihin I tai II luokiteltuja asiakirjoja taikka joka muutoin hoitaa sellaisia tehtäviä, joissa hän salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi merkittävällä tavalla vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, poikkeusoloihin varautumista, väestönsuojelua tai yhteiskunnan elintärkeitä toimintoja taikka mainittujen etujen suojaamiseksi toteutettuja turvallisuusjärjestelyjä.

Valtion virkamieslaissa (750/1994) säädetään henkilöturvallisuusselvitystodistuksen vaatimisesta edellytyksenä virkaan nimittämiselle.

17 §
Henkilöturvallisuusselvitystä koskeva hakemus ja sen käsittelyä varten annettavat tiedot

Henkilöturvallisuusselvitystä on haettava kirjallisesti. Hakemukseen tulee liittää 5 §:n 2 momentissa tarkoitettu suostumusasiakirja, tai, jos selvityksen kohde itse hakee henkilöturvallisuusselvitystä, 5 §:n 4 momentissa tarkoitettu selvitys.

Henkilöturvallisuusselvitystä koskevassa hakemuksessa tulee ilmoittaa:

1) selvityksen kohteen nimi ja henkilötunnus, tai, jollei sitä ole, syntymäaika ja -paikka, kotikunta, yhteystiedot, kansalaisuus ja ammatti sekä muutokset nimessä, henkilötunnuksessa tai kansalaisuudessa;

2) se virka tai tehtävä, johon selvityksen kohde aiotaan nimittää tai jota hän hoitaa;

3) sellaiset tiedot virasta tai tehtävästä, jotka ovat tarpeen turvallisuusselvityksen laatimisen edellytyksiä harkittaessa;

4) aiotaanko ennen tehtävään valitsemista laissa erikseen säädetyllä tavalla pyytää selvityksen kohdetta esittämään huumausainetestiä koskeva todistus, hankkia häntä koskevat luottotiedot tai suorittaa hänelle lääkärintarkastus.

Perusmuotoista tai laajaa henkilöturvallisuusselvitystä haettaessa hakemukseen tulee liittää selvitys selvityksen kohteen asuinpaikoista ja pitempiaikaisista oleskelupaikoista enintään viimeisten kymmenen vuoden ajalta sekä nimikirjaote tai muu selvitys koulutuksesta ja virka- ja työsuhteista vähintään kymmenen viimeisen vuoden ajalta. Nimikirjaa vastaavia tietoja ei tarvitse esittää toimivaltaisen viranomaisen tai sen hallinnonalan palveluksessa jo olevasta henkilöstä, jos toimivaltainen viranomainen voi hankkia tiedot viran puolesta. Laajaa henkilöturvallisuusselvitystä haettaessa tulee hakemukseen liittää tai erikseen toimittaa 28 §:ssä tarkoitettu henkilötietolomake.

Sen lisäksi, mitä edellä säädetään, henkilöturvallisuusselvityksen hakijan on toimivaltaisen viranomaisen pyynnöstä annettava tietoja, jotka on otettava tämän lain mukaan huomioon arvioitaessa edellytyksiä laatia henkilöturvallisuusselvitys tai antaa sen perusteella henkilöturvallisuusselvitystodistus.

Henkilöturvallisuusselvityksen laatimisen edellytykset

18 §
Turvallisuusvaatimusten toteuttaminen yleisenä edellytyksenä

Henkilöturvallisuusselvityksen laatimisen yleisenä edellytyksenä on, että hakija on rajoittanut teknisin ja muin toimenpitein pääsyä suojattaviin tietoihin sekä huolehtinut toimitilojen ja tietojärjestelmien suojaamisesta ja ryhtynyt muihin asianmukaisiin toimenpiteisiin tietoturvallisuuden sekä muiden turvallisuusjärjestelyjen toteuttamiseksi.

Edellä 1 momentissa tarkoitettu vaatimuksen täyttyminen voidaan osoittaa tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011) tarkoitetun hyväksytyn arviointilaitoksen antamalla todistuksella, viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) mukaisesti annetulla todistuksella, turvallisuussuunnitelmalla tai muulla suojelupoliisin hyväksymällä tavalla.

Mitä edellä säädetään, ei sovelleta, jos henkilöturvallisuusselvitys laaditaan 19 §:n 2 momentin tai 21 §:n 2 momentin nojalla taikka jos selvityksen kohde hoitaa 43 §:n 1 momentin 2 kohdassa tarkoitettuja tehtäviä.

19 §
Perusmuotoisen henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät

Perusmuotoinen henkilöturvallisuusselvitys voidaan laatia sellaiseen palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta, joka:

1) saa oikeuden muutoin kuin satunnaisesti käsitellä sellaisia viranomaisen asiakirjoja, jotka voidaan tai tulee turvallisuusluokitella suojaustasoihin II—III kuuluviksi, taikka muutoin hoitaa sellaisia tehtäviä, joissa hän salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi merkittävällä tavalla vaarantaa valtion turvallisuutta, maanpuolustusta, kansainvälisiä suhteita, poikkeusoloihin varautumista, väestönsuojelua tai yhteiskunnan elintärkeitä toimintoja taikka mainittujen etujen suojaamiseksi toteutettuja turvallisuusjärjestelyjä;

2) hoitaa eduskunnan kanslian, tasavallan presidentin kanslian, eduskunnan oikeusasiamiehen tai valtiontalouden tarkastusviraston tehtävää ja tehtävässään saa 1 kohdassa tarkoitettuihin tietoihin verrattavissa olevia tietoja, taikka saa pysyväisluonteisen oikeuden päästä eduskunnan ja sen virastojen toimitiloihin;

3) toimii valtionjohtoa välittömästi palvelevissa tehtävissä, joissa voidaan edellyttää erityistä luotettavuutta;

4) toimii tehtävissä, joissa voi vahingoittaa yhteiskunnan toimivuuden kannalta välttämättömän infrastruktuurin toimivuutta tai kriittisen tuotannon jatkumista;

5) voi tietojärjestelmän pääkäyttäjänä tai muut toimivaltuutensa huomioon ottaen vahingoittaa viranomaisten toiminnan tai yhteiskunnan perustoimintojen kannalta keskeisten tietojärjestelmien toimivuutta tai niiden tietoturvallisuutta;

6) pääsee työtehtävissään tietoihin, joita paljastamalla tai muulla käsittelyllä taikka muulla oikeudettomalla toiminnalla voi aiheuttaa vakavaa vahinkoa kansantaloudelle tai rahoitus- ja vakuutusjärjestelmien toimivuudelle tai kansallisen edun kannalta merkitykselliselle elinkeinotoiminnalle.

Perusmuotoinen henkilöturvallisuusselvitys voidaan laatia myös kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi sekä henkilön hakemuksesta kansainvälisen järjestön tai toimielimen tehtävää varten 15 §:n 2 momentin mukaisesti samoin kuin henkilöstä, jota ollaan valitsemassa:

1) puolustushallinnon tehtäviin, opiskelijaksi Maanpuolustuskorkeakouluun, vapaaehtoisesta maanpuolustuksesta annetun lain (556/2007) mukaiseen koulutukseen, Maanpuolustuskoulutusyhdistyksen tehtäviin taikka kansainvälisenä yhteistyönä toteutettaviin kriisinhallinta- ja rauhanturvaamistehtäviin tai osallistumaan kriisinhallinta- ja rauhanturvaamistehtäviin liittyvään koulutus- tai harjoitustoimintaan;

2) opiskelijaksi Poliisiammattikorkeakouluun tai rajavartiolaitoksen tehtäviin;

3) koulutukseen, jonka tarkoituksena on valmentaa henkilöitä ulkoasiainhallinnon tehtäviin.

Perusmuotoinen henkilöturvallisuusselvitys laaditaan myös sellaisen hakemuksen perusteella, jonka suojelupoliisi on 24 §:n 1 momentin mukaisesti ottanut käsiteltäväkseen tai hyväksynyt 22 §:n mukaisesti menettelyyn.

20 §
Laajan henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät

Laaja henkilöturvallisuusselvitys voidaan laatia vain henkilöstä, joka:

1) työtehtävissään saa oikeuden muutoin kuin satunnaisesti käsitellä suojaustasoihin I tai II kuuluviksi luokiteltuja asiakirjoja;

2) hoitaa sellaista tehtävää, jossa hän salassa pidettäviä tietoja paljastamalla tai muulla lainvastaisella teolla voi vahingoittaa valtion turvallisuutta, maanpuolustusta tai Suomen kansainvälisiä suhteita;

3) tarvitsee henkilöturvallisuusselvityksen perusteella annettavaa todistusta kansainvälisen tietoturvallisuusvelvoitteen vuoksi taikka voidakseen tulla valituksi kansainvälisen järjestön tai toimielimen tehtäviin.

21 §
Suppean henkilöturvallisuusselvityksen piiriin kuuluvat tehtävät

Suppea henkilöturvallisuusselvitys voidaan laatia sellaiseen palvelussuhteeseen tai toimeksiantotehtävää suorittamaan valittavasta taikka palvelussuhdetta tai toimeksiantotehtävää hoitavasta, joka:

1) saa oikeuden käsitellä viranomaisen suojaustasoihin III—IV luokiteltuja asiakirjoja;

2) työskentelee passin, henkilökortin tai muun sellaisen viranomaisen antaman todistuksen valmistuksessa, johon liittyy erityinen luotettavuuden vaatimus;

3) saa pysyväisluonteisen oikeuden päästä sellaiseen viranomaisen yleisöltä suljettuun toimitilaan tai alueelle ja hoitaa siellä itsenäisesti rakennus-, asennus-, huolto-, tai vartiointitehtäviä tai muita niihin rinnastettavia tehtäviä, jos toimitilasta tai alueesta saatavien tietojen oikeudettomalla käytöllä tai niissä tapahtuvalla lainvastaisella teolla voi vaarantaa yleistä turvallisuutta, valtion turvallisuutta tai muuta merkittävää yleistä etua;

4) pääsee lentoasemalla tai satamassa taikka muulla maan ulkoisten tai sisäisten liikenneyhteyksien jatkuvuuden ja turvallisuuden kannalta merkittävällä liikennealueella yleisöltä suljettuihin tiloihin taikka tietoliikenneyhteyksien tai sähkön- ja energiantuotannon yleisen toimivuuden kannalta merkityksellisiin kohteisiin;

5) osallistuu ydinaineen kuljetukseen taikka pääsee ydinlaitokseen tai pääsemällä ydinlaitoksen rakentamisalueelle saa tietoja ydinlaitoksen turvallisuuteen vaikuttavista tekijöistä taikka pääsee ydinaineen käyttö- tai varastointitilaan tai sellaiseen säteilylähteen käyttöpaikkaan tai varastointitilaan, jossa sijaitsevien radioaktiivisten aineiden määrä vastaa säteilylainsäädännössä tarkoitettua korkea-aktiivisen umpilähteen aktiivisuustasoa tai on sitä korkeampi;

6) työskentelee räjähdysaineiden valmistukseen tai kuljetukseen liittyvissä tehtävissä taikka muutoin voi saada haltuunsa merkittäviä määriä räjähdysaineita tai muita sellaisia aineita, joiden asiattomalla käsittelyllä voidaan aiheuttaa vahinkoa laajalla alueella tai suurelle määrää ihmisiä;

7) voi saada haltuunsa merkittäviä määriä aineita, joita voidaan käyttää biologisena, kemiallisena taikka toksiiniaseena;

8) työskentelee sellaisessa yhdyskuntatekniseen huoltoon taikka elintarvike- tai lääkehuoltoon kuuluvassa tai näitä palvelevassa tehtävässä, jossa voi aiheuttaa vakavaa vaaraa yleisön terveydentilalle tai turvallisuudelle;

9) pääsee rahanlaskentakeskukseen tai työskentelee rahanvalmistuksessa, huolehtii työnantajan tai tämän asiakkaan lukuun arvokuljetuksista taikka muissa näihin verrattavissa olosuhteissa käsittelee itsenäisesti ja ilman järjestettävissä olevaa jatkuvaa valvontaa laadultaan ja määrältään merkittävää omaisuutta, kuten rahaa, arvopapereita tai arvoesineitä;

10) saa asemansa vuoksi oikeudet siirtää työnantajan tai tämän asiakkaan varoja tai muuttaa niihin liittyviä tietoja, jos oikeuksien käyttämisestä annettujen valtuuksien tai ohjeiden vastaisesti voi aiheutua yleistä vahinkoa rahoitus- tai vakuutusjärjestelmän luotettavuudelle tai huomattavaa vahinkoa rahoitus- tai vakuutuslaitokselle tai sen asiakkaalle.

Suppea turvallisuusselvitys voidaan laatia myös henkilöstä, joka:

1) on tarkoitus valita siviilihenkilöstön osallistumisesta kriisinhallintaan annetussa laissa (1287/2004) tarkoitettuun siviilikriisinhallintatehtävään tai osallistumaan siviilikriisinhallintaan liittyvään koulutus- tai harjoitustoimintaan;

2) toimii Hätäkeskuslaitoksen hallinnon johto tai asiantuntijatehtävissä tai hätäkeskuksen päivystystehtävissä taikka poliisi- tai pelastustoimen hallinnon johto- tai asiantuntijatehtävissä tai pelastustoiminnan tehtävissä;

3) on tarkoitus valita Pelastusopistosta annetussa laissa (607/2006) tarkoitettuun pelastustoimen tai hätäkeskustoiminnan ammatillisiin tutkintoihin johtavaan koulutukseen, ammattikorkeakoulututkintoon johtavaan pelastustoimen päällystön koulutukseen taikka Rikosseuraamusalan koulutuskeskuksen koulutukseen;

4) on hakenut panostajan pätevyyskirjaa tai yksityisistä turvallisuuspalveluista annetussa laissa (282/2002) tarkoitetun vastaavan hoitajan, voimankäyttökouluttajan ja vartijan koulutukseen.

Suppea turvallisuusselvitys laaditaan sellaisia tehtäviä hoitavista tai tehtäviin valittavista, jotka suojelupoliisi on 22 §:n mukaisesti hyväksynyt turvallisuusselvitysmenettelyn piiriin taikka jotka se on 24 §:n mukaisesti siirtänyt suppeina turvallisuusselvitysasioina käsiteltäviksi.

22 §
Eräiden tehtävien hyväksyminen turvallisuusselvitysmenettelyyn

Suojelupoliisi voi sen lisäksi, mitä 19 ja 21 §:ssä säädetään, päättää yrityksen hakemuksesta hyväksyä perusmuotoisen tai suppean henkilöturvallisuusselvitysmenettelyn piiriin sellaiset yrityksessä tai sen lukuun aliurakoitsijana toimivassa yrityksessä suoritettavat tehtävät, joissa tehtävään valittava tai sitä hoitava:

1) saa sellaiset käyttöoikeudet työnantajan tai tämän asiakkaan tietojärjestelmään, joiden käyttäminen oikeudettomasti voi keskeyttää tai merkittävällä tavalla vaarantaa tietojärjestelmän toiminnan siten, että se aiheuttaa laajamittaisen tuotantotoiminnan keskeytymisen tai muulla siihen verrattavalla tavalla aiheuttaa työnantajalle tai tämän asiakkaalle merkittävää taloudellista vahinkoa;

2) saa käyttöönsä sellaisia tietoja työantajan tai tämän yhteistyökumppanin liike- ja ammattisalaisuudesta, teknologisesta kehittämistyöstä tai sen hyödyntämisestä, että tietojen oikeudeton luovuttaminen, käyttö tai muu käsittely aiheuttaa työnantajalle, tämän asiakkaalle tai yhteistyökumppanille merkittävää taloudellista vahinkoa.

Sen lisäksi, mitä 18 §:ssä säädetään, suojelupoliisin hyväksymispäätöksen edellytyksenä on, että:

1) yritykseen voi sen toimialan tai toiminnan vuoksi kohdistua yritysvakoilua; tai

2) selvitys on tarpeen erittäin tärkeän yksityisen taloudellisen edun suojaamiseksi.

Suojelupoliisin on pyydettävä ennen 1 momentissa tarkoitettua päätöstä arviointikriteerilautakunnalta lausunto yrityksen sille toimittamasta hakemuksesta.

Suojelupoliisin on toimitettava 1 momentissa tarkoitetusta päätöksestään tarvittavassa laajuudessa tieto suppeita turvallisuusselvityksiä laativalle poliisihallinnon yksikölle.

Henkilöturvallisuusselvitysasian käsittely

23 §
Rekisteritietojen käyttö ja tarkistaminen sekä selvityksen kohteen haastattelu

Henkilöturvallisuusselvitys tehdään tarkistamalla henkilöä koskevat rekisteritiedot tässä luvussa säädetyllä tavalla sekä tarvittaessa selvityksen kohdetta haastattelemalla hänen yleisistä olosuhteistaan, ulkomailla oleskelustaan ja hänen suhteistaan muiden maiden kansalaisiin sekä muista sellaisista seikoista, joilla on erityistä merkitystä arvioitaessa hänen luotettavuuttaan selvityksen perustana olevan tehtävän kannalta.

Toimivaltaisella viranomaisella on oikeus salassapitosäännösten estämättä saada toiselta viranomaiselta ja turvallisuusselvityksen laadinnassa käyttää sellaisia tietoja, joiden avulla voidaan varmistaa, että rekistereistä saadut tiedot eivät ole vanhentuneita tai muutoin harhaan johtavia.

Laajaa henkilöturvallisuusselvitystä laadittaessa voidaan selvittää myös selvityksen kohteen taloudellista asemaa ja hänen läheisiään siten kuin 25 §:ssä säädetään.

24 §
Suojelupoliisin oikeus ottaa ratkaistavakseen suppeaa henkilöturvallisuusselvitystä koskeva asia tai siirtää sille tehty hakemus

Sen estämättä, mitä 19 ja 21 §:ssä säädetään, suojelupoliisi voi ottaa käsiteltäväkseen suppeaa turvallisuusselvitystä koskevan hakemuksen, jos se on tarpeen valtion tai yleisen turvallisuuden varmistamiseksi. Tätä tarkoitusta varten suojelupoliisi voi yhdistää 48 §:ssä tarkoitetun turvallisuusselvitysrekisterin selvityksen kohdetta koskevat yksilöintitiedot suojelupoliisin toiminnalliseen tietojärjestelmään.

Suojelupoliisi voi siirtää sille tehdyn henkilöturvallisuusselvitystä koskevan hakemuksen poliisihallinnon tätä tehtävää hoitavalle yksikölle suppeana henkilöturvallisuusselvitysasiana käsiteltäväksi, jos se on tarkoituksenmukaista eikä asian käsittely suojelupoliisissa ole tarpeen valtion tai yleisen turvallisuuden vuoksi.

Käytettävät tietolähteet

25 §
Perusmuotoisen henkilöturvallisuusselvityksen tietolähteet

Henkilöturvallisuusselvitys voi perustua vain sellaisiin rekisteritietoihin, jotka sisältyvät:

1) väestötietojärjestelmään;

2) rikosrekisteriin, liiketoimintakieltorekisteriin sekä sakkorangaistusta koskeviin sakkorekisterin tietoihin;

3) oikeushallinnon valtakunnallisen tietojärjestelmän diaari- ja asianhallintajärjestelmän valtakunnalliseen käsittelyjärjestelmään syyteharkinnassa olevista tai olleista rikosasioista taikka ratkaisu- ja ilmoitusjärjestelmän ratkaisuihin rikosasioissa;

4) henkilötietojen käsittelystä poliisitoimessa annetussa laissa (761/2003) tarkoitettuun poliisiasiain tietojärjestelmään, hallintoasiain tietojärjestelmään ja suojelupoliisin toiminnalliseen tietojärjestelmään;

5) pääesikunnan pitämiin sotilasoikeudenhoidon tietojärjestelmään sekä turvallisuustietorekisteriin;

6) rajavartiolaitoksen esikunnan pitämään rajavalvontarekisteriin;

7) tullihallituksen pitämään tutkinta- ja virka-apujärjestelmään;

8) ammatin- tai elinkeinonharjoittajia sekä heidän toimikelpoisuuttaan koskeviin rekistereihin;

9) laissa säädettyä toimintaa valvovan viranomaisen ylläpitämään rekisteriin talletettuihin yrityksen vastuuhenkilön toimikelpoisuutta koskeviin tietoihin;

10) ulkomaalaisrekisteriin ja viisumirekisteriin;

11) ulosottorekisteriin ja luottotietorekisteriin;

12) edellä 1—3 kohdassa tarkoitettuja rekistereitä vastaaviin toisen valtion viranomaisen pitämiin rekistereihin.

Perusmuotoista turvallisuusselvitystä laadittaessa voidaan käyttää myös epäiltyjen rekisteriin sisältyviä sellaisia tietoja, joiden ilmoittamista keskusrikospoliisi on pitänyt välttämättömänä turvallisuusselvityksen perusteena olevan edun suojaamiseksi järjestäytyneen rikollisryhmän toimilta.

26 §
Tiedot ulkomaan viranomaisten pitämistä rekistereistä

Henkilöturvallisuusselvityksen kohde, joka on asunut yhtäjaksoisesti ulkomailla enemmän kuin viisi vuotta viimeisten kymmenen vuoden aikana ennen selvityksen laatimista, voi turvallisuusselvityksen kattavuuden varmistamiseksi esittää ulkomaan viranomaisen todistuksen sellaisista 25 §:n 1 momentin 1—3 kohdassa tarkoitetuista rekisteritiedoista, jotka hän voi asianomaisen maan lainsäädännön mukaan tätä tarkoitusta varten saada.

Mitä 1 momentissa säädetään, ei koske:

1) selvityksen hankkimista sellaisista maista, joista toimivaltainen viranomainen voi kansainvälisen sopimuksen tai säädöksen mukaisesti hankkia tiedot viran puolesta;

2) henkilöä, joka on 1 momentissa tarkoitettuna ajankohtana toiminut ulkomailla palvelussuhteessa yritykseen tai viranomaiseen taikka kansainväliseen järjestöön tai toimielimeen.

Suojelupoliisin on toiminnassaan kertyneiden tietojen perusteella annettava yleisen tietoverkon avulla tai muilla sopivilla tavoilla tieto niistä muiden valtioiden toimivaltaisista viranomaisista, jotka asianomaisen valtion lainsäädännön mukaan vastaavat henkilöiden taustojen selvittämisestä tai siinä käytettävien rekisterien ylläpidosta sekä tiedot näiden yhteystiedoista.

27 §
Laajan henkilöturvallisuusselvityksen tietolähteet

Laajaa henkilöturvallisuusselvitystä laadittaessa voidaan sen lisäksi, mitä 25 §:ssä säädetään, selvittää tiedot selvityksen kohteena olevan henkilön:

1) elinkeinotoiminnasta tai osallistumisesta siihen;

2) varallisuudesta ja veloista sekä muista taloudellisista sidonnaisuuksista;

3) perhe- ja sukulaisuussuhteista.

28 §
Henkilötietolomake ja siinä ilmoitettujen tietojen tarkistaminen

Selvityksen kohde antaa laajan henkilöturvallisuusselvityksen pohjaksi henkilötietoilmoituksen, josta ilmenevät tiedot:

1) viimeisen kymmenen vuoden aikana harjoitetusta elinkeinotoiminnasta tai osallistumisesta siihen;

2) varallisuudesta ja veloista sekä muista taloudellisista sidonnaisuuksista

3) perhe- ja sukulaisuussuhteista.

Sen lisäksi, mitä 25 ja 57 §:ssä säädetään, toimivaltainen viranomainen voi tarkistaa annetut tiedot ja hankkia tätä tarkoitusta varten tietoja:

1) verohallinnon julkisista verotustiedoista;

2) yleistä käyttöä varten perustetuista elinkeinotoiminnan harjoittamista tai omaisuutta kuvaavia julkisia tietoja sisältävistä rekistereistä;

3) selvityksen kohteen antamalla luvalla luotto- ja rahoituslaitoksista.

Toimivaltaisen viranomaisen on varattava selvityksen kohteelle tilaisuus lausua antamiensa tietojen tarkistamisessa ilmi tulleista seikoista.

29 §
Henkilöturvallisuusselvityksen ulottaminen läheisiin laajassa turvallisuusselvityksessä

Jos laajan henkilöturvallisuusselvityksen tarkoituksen saavuttaminen sitä välttämättä edellyttää, voidaan henkilöturvallisuusselvitys yksittäistapauksessa ulottaa koskemaan myös selvityksen kohteen läheisiä.

30 §
Suppean henkilöturvallisuusselvityksen tietolähteet

Suppean henkilöturvallisuusselvityksen laadinnassa käytetään 25 §:n 1 momentin 1—10 kohdassa tarkoitettuja rekisteritietoja, lukuun ottamatta suojelupoliisin toiminnallista tietojärjestelmää ja pääesikunnan turvallisuustietorekisteriä.

31 §
Puolustusvoimia ja suojelupoliisia koskevat erityissäännökset

Pääesikunta voi sen lisäksi, mitä 25 §:ssä säädetään, laatiessaan henkilöturvallisuusselvitystä puolustusvoimien tehtäviin valittavista tai sen tehtäviä hoitavista käyttää tietoja, jotka ovat saatavissa asevelvollisrekisteristä ja kriisinhallintahenkilöstörekisteristä.

Asevelvollisrekisteristä saatavia terveydentilaa ja palveluskelpoisuutta koskevia tietoja saa ottaa huomioon selvitystä laadittaessa vain, jos se on välttämätöntä toisten henkilökohtaisen turvallisuuden varmistamiseksi.

Mitä 1 ja 2 momentissa säädetään pääesikunnasta, koskee myös suojelupoliisia sen laatiessa henkilöturvallisuusselvitystä henkilöstä, jota ollaan valitsemassa suojelupoliisin tehtäviin.

32 §
Tietojen käyttörajoitukset henkilöturvallisuusselvitystä laadittaessa

Henkilöturvallisuusselvitystä tehtäessä ei saa käyttää:

1) sellaisia ilmiantoja tai rikosilmoituksia tai muita vastaavia poliisille toimitettuja tietoja, joiden mukaan henkilön on ilmoitettu syyllistyneen tai syyllistyvän rikokseen, jos tietojen perusteella ei ole aloitettu esitutkintaa;

2) poliisiasiain tietojärjestelmään sisältyviä havaintotietoja henkilöistä tai tapahtumista, joissa on oletettu olevan kysymys rikollisesta toiminnasta;

3) tietoja kymmentä vuotta aikaisemmin tapahtuneista rikollisista teoista, elleivät tiedot ole saatavissa rikosrekisteristä;

4) tietoja viittätoista vuotta nuorempana tehdystä teosta, jollei tiedon käyttäminen ole välttämätöntä toisten henkilökohtaisen turvallisuuden suojaamiseksi puolustusvoimissa.

Edellytyksenä esitutkinnassa tai syyttäjällä vireillä olevaa asiaa koskevan tiedon käyttämiselle on, että:

1) selvitetään, missä vaiheessa asian käsittely on ja mikä on selvityksen kohteen syyllisyyttä koskevien tietojen laatu;

2) tietojen käyttö on välttämätöntä selvityksen perustana olevaan tehtävään liittyvien erityisten vaatimusten sekä epäillyn teon luonteen vuoksi.

Henkilötietojen käsittelystä poliisitoimessa annetussa laissa tarkoitettuun poliisiasiain tietojärjestelmään, hallintoasiain tietojärjestelmään ja suojelupoliisin toiminnalliseen tietojärjestelmään sisältyviä terveydentilaa koskevia tietoja saa ottaa huomioon selvitystä laadittaessa vain, jos se on välttämätöntä toisten henkilökohtaisen turvallisuuden varmistamiseksi ja tiedot perustuvat lääkärinto- distukseen tai muihin laillistetun terveydenhuollon ammattihenkilön tekemiin merkintöihin tai lain nojalla suullisesti antamiin tietoihin, eikä niiden virheettömyydestä ole epäselvyyttä. Mitä edellä tässä momentissa säädetään, ei estä toimivaltaista viranomaista kiinnittämästä työnantajan huomiota tarpeeseen toteuttaa 17 §:n 2 momentin 4 kohdassa tarkoitettuja toimenpiteitä.

5 luku

Yritysturvallisuusselvitys

33 §
Yritysturvallisuusselvityksen hakemiseen oikeutetut

Yritysturvallisuusselvitystä voi hakea:

1) se, joka tarvitsee selvitystä laissa tai sen nojalla säädetyn taikka kansainvälisestä tietoturvallisuusvelvoitteesta johtuvan velvoitteen toteuttamiseksi;

2) viranomainen, jonka on tarkoitus tehdä sopimus selvityksen kohteen kanssa, jos sopimuksen yhteydessä yritykselle annetaan tai sopimuksen johdosta syntyy suojaustasoon I—III kuuluvaksi luokiteltuja asiakirjoja;

3) 2 kohdassa tarkoitetuissa tilanteissa viranomaisen toimeksiannosta valtionhallinnon hankinnoista vastaava yksikkö taikka valtionhallinnolle yhteisiä tai laajaan käyttöön tarkoitettuja tieto- ja viestintekniikkapalveluja tuottava yksikkö;

4) 21 §:n 1 momentin 5 ja 6 kohdassa tarkoitettua toimintaa valvova viranomainen.

Yritysturvallisuusselvitys voidaan tehdä selvityksen kohteen pyynnöstä 36 §:n 2 momentissa tarkoitetuissa tapauksissa.

34 §
Valtionhallinnon viranomaisen velvollisuus yritysturvallisuusselvityksen hakemiseen

Valtioneuvoston asetuksella voidaan säätää, että valtionhallinnon viranomaisen on hankittava yritysturvallisuusselvitys yrityksestä, jolle valtionhallinnon viranomaisen kanssa tehtävän sopimuksen toteuttamiseksi annetaan suojaustasoluokkaan I—III luokiteltuja asiakirjoja.

35 §
Yritysturvallisuusselvitystä koskeva hakemus

Yritysturvallisuusselvityksen laatimista koskevasta hakemuksesta tulee ilmetä:

1) selvityksen kohteen nimi ja muut tunnistetiedot sekä yhteystiedot;

2) ne alihankkijat, joiden kanssa selvityksen kohde aikoo tehdä sopimuksen yritysturvallisuusselvityksen perusteena olevan hankkeen toteuttamisesta, aliurakoitsijan osuus hankkeen toteuttamisessa sekä alihankkijaa koskevat 1 kohdassa tarkoitetut tiedot;

3) selvitys yritysturvallisuusselvityksen laatimiselle 36 §:ssä säädettyjen edellytysten täyttymisestä;

4) tieto siitä, onko yritysturvallisuusselvityksen avulla tarkoitus osoittaa yrityksen täyttävän määrätty tietoturvallisuuden taso ja jos on, mikä on käytettävä arviointiperuste;

5) tieto siitä, onko yrityksen tai sen alihankkijana toimivan toimitiloista, tietojärjestelmistä ja muista turvallisuusjärjestelyistä laadittu tietoturvallisuuden arviointilaitoksista annetussa laissa tarkoitetun hyväksytyn arviointilaitoksen laatima arviointi ja, jos on, kopio arvioinnin perusteella annetusta todistuksesta.

Hakemukseen tulee liittää asiakirja, josta ilmenee yrityksen suostumus yritysturvallisuusselvityksen laatimiseen, jollei yritys itse tee hakemusta.

36 §
Yritysturvallisuusselvityksen laatimisen edellytykset

Yritysturvallisuusselvitys voidaan laatia, jos selvitys on tarpeen yrityksen arvioimiseksi, kun:

1) yritysturvallisuusselvitys on laadittava tai voidaan laatia lain tai sen nojalla annetun säännöksen mukaan taikka kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi;

2) viranomainen on tekemässä yrityksen kanssa sopimusta, jonka yhteydessä yritykselle luovutetaan viranomaisen luokiteltuja asiakirjoja;

3) toimintaa valvova viranomainen pyytää yritysturvallisuusselvitystä sellaisesta yrityksestä, joka harjoittaa 21 §:n 1 momentin 3 ja 4 kohdassa tarkoitettua toimintaa tai on osallistumassa aliurakoitsijana hankkeeseen, jossa sillä tai sen työntekijöillä on pääsy mainitussa lainkohdassa tarkoitettuihin tietoihin taikka tiloihin tai alueelle.

Yritysturvallisuusselvitys voidaan laatia, jos turvallisuusselvitystä edellytetään kansainvälisen järjestön tai toimielimen säännöissä tai toisen valtion laissa ja jos se on tarpeen sen vuoksi, että selvityksen kohde voi:

1) tulla valituksi kansainvälisen järjestön tai toimielimen järjestämään tai näiden muutoin organisoimaan hankkeeseen taikka toisessa valtiossa järjestettävään hankintakilpailuun;

2) aloittaa yritystoiminnan toisessa valtiossa.

Yritysturvallisuusselvitys voidaan ulottaa koskemaan myös selvityksen kohteen alihankkijana toimivaa yritystä niiltä osin kuin 1 momentissa säädetyt edellytykset täyttyvät myös alihankkijaa koskevina ja toimivaltainen viranomainen katsoo sen tarpeelliseksi.

Valtioneuvoston asetuksella voidaan säätää, että yritysturvallisuusselvitys voidaan laatia myös yrityksen sellaisten liike- ja ammattisalaisuuksien tai teknologista kehittämistyötä koskevien tietojen suojaamiseksi, joiden oikeudeton käyttö, käsittely ja luovuttaminen aiheuttaisivat yritykselle merkittävää taloudellista vahinkoa tai joiden suojaamisella on merkitystä yleisen edun kannalta.

37 §
Yritysturvallisuusselvityksessä käytettävät tietolähteet

Yritysturvallisuusselvitystä laadittaessa voidaan käyttää:

1) tietoja yrityksestä, sen omistajista ja näiden kansalaisuudesta, jos tällainen tieto on saatavissa;

2) yrityspalvelujen asiakastietojärjestelmästä annetun lain (240/2007) 6 §:n 1 momentissa tarkoitettuja tietoja;

3) tietoja yrityksen toiminnasta, henkilöstön määrästä ja muista henkilöstöä yleisesti kuvaavista seikoista;

4) yrityksen ja sen vastuuhenkilöiden luottotietoja,

5) tietoja yrityksen varallisuudesta yleistä käyttöä varten perustetuista rekistereistä taikka muista julkisista lähteistä saatavia tietoja tai yrityksen itse selvityksen laadintaa varten antamia tietoja;

6) ulosottorekisterin tietoja, veroviranomaisen tietojärjestelmistä saatavia julkisia tietoja sekä tietoja verosaatavasta taikka vakuutuslaitokselta saatuja tietoja sellaisen lakisääteiseen vakuutukseen perustuvan saatavan laiminlyönnistä, joka on verojen ja maksujen täytäntöönpanosta annetun lain (706/2007) mukaan suoraan ulosottokelpoinen;

7) ulkomaalaisrekisteristä saatavia tietoja;

8) yrityksen suostumuksella tai toimittamina tietoja raha- ja luottolaitoksista;

9) tietoja yritykselle tuomituista rangaistuksista ja uhkasakoista sekä yritykseen kohdistuneista rikoksista.

Sen lisäksi, mitä 1 momentin 3 kohdassa säädetään, yritysturvallisuusselvitykseen sisältyvän yrityksen vastuuhenkilöitä koskevien henkilöturvallisuusselvitysten laadinnassa käytettävistä tietolähteistä noudatetaan, mitä 4 luvussa säädetään.

38 §
Yritysturvallisuusselvitysasian käsittely

Yritysturvallisuusselvitystä laadittaessa selvitetään hakemuksessa esitettyjen tietojen ja 37 §:ssä tarkoitettujen tietolähteiden sekä yritykseen ja sen toimitiloihin sekä sen tietojärjestelmiin ja tietoliikennejärjestelyihin kohdistuneen tarkastuksen avulla, miten yritys voi huolehtia siitä, että:

1) tiedot suojataan oikeudettomalta ilmitulolta, muuttamiselta ja hävittämiseltä;

2) estetään asiaton pääsy tiloihin, joissa tietoja käsitellään tai joissa harjoitetaan muuta selvityksen perusteena olevaa toimintaa;

3) henkilöstöä ohjataan ja koulutetaan asianmukaisesti.

Jos yritysturvallisuusselvityksen avulla on tarkoitus osoittaa yrityksen täyttävän määrätty tietoturvallisuuden taso, on selvitettävä, toteutuvatko tasoa koskevat vaatimukset.

Yritysturvallisuusselvitys voidaan tehdä myös osittaisena, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai se on muutoin yritysturvallisuusselvityksen tarkoituksen toteuttamiseksi perusteltua.

39 §
Yritysturvallisuusselvitykseen liittyvät tarkastukset ja viranomaisen tiedonsaantioikeus

Yrityksen, josta yritysturvallisuusselvitys laaditaan, on annettava selvitystä laativalle viranomaiselle ne tiedot, jotka ovat tarpeen turvallisuusselvityksen tekemiseksi sekä annettava tätä varten selvityksen laatijoille ja tarkastajille pääsy toimitiloihinsa.

Toimivaltainen viranomainen voi tarkastaa tarvittavassa laajuudessa yrityksen toimitilojen, tietojärjestelmien ja tietoliikennejärjestelyjen suojaamiseksi toteutetut sekä muut turvallisuusjärjestelyt. Tarkastusta ei saa suorittaa pysyväisluonteiseen asumiseen käytetyissä tiloissa.

40 §
Yrityksen sitoumus

Toimivaltainen viranomainen voi yritysturvallisuusselvitystä ja sen perusteella annettavaa todistusta laatiessaan edellyttää, että elinkeinonharjoittaja sitoutuu huolehtimaan tietoturvallisuustason säilyttämisestä sekä ilmoittamaan muutoksista, joilla on siihen vaikutuksia sekä antamaan tietoturvallisuustason säilyttämisen valvomiseksi viranomaiselle luvan päästä yrityksen tiloihin sekä antamaan seurannassa tarvittavia tietoja.

6 luku

Turvallisuusselvitysmenettelyn päättäminen ja siitä saatujen tietojen käsittely

41 §
Turvallisuusselvitysmenettelyn päättyminen

Turvallisuusselvityksen päättymisestä ja sen sisällöstä ilmoitetaan hakijalle kirjallisesti tai antamalla selvityksen perusteella 43 tai 46 §:ssä tarkoitettu turvallisuusselvitystodistus.

Jos henkilöturvallisuusselvityksen perusteella ei ole velvollisuutta antaa turvallisuusselvitystodistusta ja jos sitä tehtäessä ei ole tullut esiin sellaista, jonka selvitystä laatinut viranomainen katsoo olevan selvityksen kohteen luotettavuuden kannalta merkityksellistä, viranomainen voi ilmoittaa tämän selvityksen hakijalle 1 momentin estämättä suullisesti.

42 §
Turvallisuusselvityksen vaikutukset ja sen sisältö

Turvallisuusselvitys ei sido sitä, jonka käyttöä varten selvitys on laadittu.

Turvallisuusselvitykseen saadaan ottaa salassa pidettäviksi säädettyjä tietoja vain sellaisessa muodossa ja siinä laajuudessa, joka asianomaisessa tapauksessa on tarpeen selvityksen tarkoituksen saavuttamiseksi ja on ilmeistä, ettei tiedon antaminen vaaranna valtion turvallisuutta tai muita 1 §:ssä mainittuja yleisiä etuja. Jos turvallisuusselvitykseen otetaan tieto keskeneräisestä rikosasiasta, on samalla ilmoitettava, missä vaiheessa asian käsittely turvallisuusselvitystä annettaessa on.

Henkilöturvallisuusselvitykseen ei saa sisällyttää viranomaisen arviota selvityksen kohteena olevan henkilön nuhteettomuudesta, luotettavuudesta tai sopivuudesta virkaan tai tehtävään.

Toimivaltainen viranomainen voi henkilöturvallisuusselvityksen antamisen yhteydessä kiinnittää työnantajan huomiota tarpeeseen toteuttaa 17 §:n 2 momentin 4 kohdassa tarkoitettuja toimenpiteitä.

43 §
Henkilöturvallisuusselvitystodistuksen antaminen

Henkilöturvallisuusselvityksen laatinut toimivaltainen viranomainen antaa henkilöturvallisuusselvityksen perusteella henkilöturvallisuusselvitystodistuksen, jos selvitysmenettelyssä ei ole tullut esiin syitä, miksi henkilöä ei voitaisi valita selvityksen perusteena olevaan tehtävään ja jos turvallisuusselvitystodistuksen antaminen on tarpeen:

1) laissa tai sen nojalla annetun säännöksen mukaan taikka 15 §:n 2 momentissa tarkoitetun tehtävän vuoksi;

2) tarpeettomien turvallisuusselvitysten laadinnan estämiseksi, kun selvityksen kohde työskentelee panostajan tehtävissä taikka huolto-, asennus-, vartiointi- tai muissa sellaisissa tehtävissä, missä hänen on työtehtäviensä luonteen vuoksi säännönmukaisesti toimittava sellaisissa toimitiloissa tai alueella, joissa työskentelevistä laaditaan turvallisuusselvitys.

Kansallinen tietoturvallisuusviranomainen antaa kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisen henkilöturvallisuusselvitystodistuksen siten kuin kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään.

Edellä 1 momentin 2 kohdassa tarkoitetuissa tapauksissa todistus voidaan antaa myös henkilökorttina. Suojelupoliisi määrää henkilökortin muodon ja sisällön pääesikuntaa kuultuaan ottaen huomioon, mitä 44 §:ssä säädetään.

Jos toimivaltainen viranomainen kieltäytyy antamasta henkilöturvallisuusselvitystodistusta, sen tulee ilmoittaa syyt tähän selvityksen hakijalle ja sen kohteelle annettavassa kirjallisessa päätöksessä.

44 §
Henkilöturvallisuusselvitystodistuksen sisältö

Henkilöturvallisuusselvitystodistukseen merkitään tieto selvityksen kohteesta ja todistuksen päivämäärästä ja antajasta sekä tehtävistä, joita varten se on annettu.

Tarvittaessa todistukseen merkitään tieto:

1) todistuksen voimassaoloajasta;

2) siitä, ettei selvitysmenettelyssä ole tullut esiin syitä, joiden vuoksi henkilöä ei voitaisi valita hakemuksen perusteena olevaan tehtävään;

3) siitä, mille suojaustasolle luokiteltuihin asiakirjoihin selvityksen kohteelle voidaan antaa pääsy;

4) kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyistä seikoista.

45 §
Henkilöturvallisuusselvityksen perusteella saatujen henkilötietojen käsittely

Henkilöturvallisuusselvityksen hakijan tulee pitää huolta siitä, että turvallisuusselvityksen sisältämiä henkilötietoja voivat käsitellä vain ne henkilöt, jotka niitä tehtävissään välttämättä tarvitsevat ja että selvityksen ja henkilöturvallisuusselvitystodistuksen sisältämiä tietoja ei käytetä muuhun kuin hakemuksessa ilmoitettuun tarkoitukseen. Sama koskee sitä, joka on saanut turvallisuusselvityksen tai henkilöturvallisuusselvitystodistuksen selvityksen kohteelta. Mitä edellä säädetään, ei estä käsittelemästä tietoja työnantajan haastatellessa työnhakijaa, jollei 6 §:n 3 momentista muuta johdu.

Hakijan on hävitettävä hänelle turvallisuusselvityksestä annettu kirjallinen ilmoitus heti, kun se ei enää ole tarpeen selvitystä haettaessa ilmoitetun käyttötarkoituksen kannalta, kuitenkin viimeistään kuuden kuukauden kuluttua siitä, kun tieto selvityksestä on saatu.

Henkilöturvallisuusselvityksen ja siihen sisältyvien tietojen salassapidosta säädetään 59 §:ssä.

46 §
Yritysturvallisuusselvitystodistuksen antaminen

Yritysturvallisuusselvityksen laatinut toimivaltainen viranomainen antaa yritysturvallisuusselvityksen perusteella hakijalle yritysturvallisuusselvitystodistuksen, jos yritys täyttää selvityksen perusteena olevat tietoturvallisuutta koskevat vaatimukset. Todistus annetaan myös selvityksen kohteelle.

Kansallinen tietoturvallisuusviranomainen antaa kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisen yritysturvallisuusselvitystodistuksen siten kuin kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään.

Jos yritysturvallisuusselvitys on koskenut yksinomaan tietojärjestelmien tai tietoliikennejärjestelyjen turvallisuutta, selvityksen laatinut Viestintävirasto voi antaa selvityksen perusteella todistuksen.

Jos toimivaltainen viranomainen kieltäytyy antamasta yritysturvallisuusselvitystodistusta, sen tulee ilmoittaa syyt tähän selvityksen hakijalle ja sen kohteelle annettavassa kirjallisessa päätöksessä.

47 §
Yritysturvallisuusselvitystodistuksen sisältö

Yritysturvallisuusselvitystodistukseen merkitään tieto:

1) selvityksen kohteesta ja todistuksen antajasta;

2) todistuksen voimassaoloajasta, jos se on määritelty;

3) siitä, mitkä seikat ovat olleet selvityksen piirissä ja arvioinnin perustana sekä niitä koskevat tulokset.

4) tarvittaessa tieto siitä, mille suojaustasolle luokiteltujen asiakirjojen käsittelyä koskevat vaatimukset yritys täyttää;

5) seikoista, joita selvityksen perusteena olevassa kansainvälisessä tietoturvallisuusvelvoitteessa edellytetään.

Jos yritysturvallisuusselvityksen käyttötarkoitus sitä edellyttää, todistukseen merkitään tieto siitä, ettei selvitysmenettelyssä ole tullut esiin syitä, joiden vuoksi yritystä ei voitaisi valita hakemuksen perusteena olevaan tehtävään.

7 luku

Turvallisuusselvitysrekisteri ja siihen liittyvä tietojenkäsittely

48 §
Turvallisuusselvitysrekisteri, sen käyttötarkoitus ja tietojen tallettaminen rekisteriin

Suojelupoliisi päävastuullisena rekisterinpitäjänä pitää turvallisuusselvitysrekisteriä tarpeettomien turvallisuusselvitysten välttämiseksi, tietojen välittämiseksi toimivaltaisten viranomaisten välillä sekä selvityksen kohteiden luotettavuuden ja nuhteettomuuden seurannan toteuttamiseksi. Rekisteriin tietoja tallettava viranomainen vastaa rekisteriin tallettamiensa tietojen oikeellisuudesta.

Toimivaltaisen viranomaisen on viivytyksettä talletettava turvallisuusselvitysrekisteriin tieto sille tehdystä turvallisuusselvitystä koskevasta hakemuksesta, selvityksen kohteen nimestä ja muista yksilöintitiedoista, selvityksen laajuudesta sekä tiedot selvitysmenettelyn lopputuloksesta tai turvallisuusselvitystodistuksesta ja sen voimassaolosta ja peruuttamisesta sekä tieto henkilöturvallisuusselvityksen kohteen työnantajasta, jos se on saatavissa. Kansallisen turvallisuusviranomaisen on talletettava tieto antamastaan kansainvälisessä tietoturvallisuusvelvoitteessa edellytetystä henkilöturvallisuusselvitystodistuksesta ja yritysturvallisuustodistuksesta.

Edellä säädetyn estämättä suojelupoliisi voi merkitä omasta henkilökunnastaan tai pääesikunta puolustusvoimien henkilökunnasta rekisteriin tiedot tarvittavilta osin siten, etteivät ne ole muiden saatavissa, jos sellaisten tietojen antaminen ulkopuolisille voi vaarantaa viranomaisen toimintaa ja sen toimialaan kuuluvien tehtävien hoitamista.

Viestintävirasto voi tallettaa turvallisuusselvitysrekisteriin tiedot:

1) viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain mukaan antamistaan todistuksista ja niihin merkityistä tiedoista;

2) tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti hyväksytyistä arviointilaitoksista;

3) hyväksytyn arviointilaitoksen antamista todistuksista siten kuin tietoturvallisuuden arviointilaitoksista annetussa laissa säädetään.

Kun ministeriö on päättänyt ottaa palvelussuhteeseen henkilön, josta laaditusta henkilöturvallisuusselvityksestä se on hankkinut tiedon turvallisuusselvitysrekisteristä 50 §:n 2 momentin mukaisesti, ministeriön on ilmoitettava päätöksestään suojelupoliisille. Ilmoitus on tehtävä myös edellä tarkoitetun palvelussuhteen päättymisestä. Ilmoitus voidaan tehdä merkitsemällä tieto turvallisuusselvitysrekisteriin tai muutoin sähköisesti suojelupoliisin hyväksymällä tavalla.

49 §
Turvallisuusselvitysrekisterin tietojen poistaminen

Turvallisuusselvitysrekisteriin talletetut tiedot poistetaan viimeistään kolmen vuoden kuluttua vastaavan uuden turvallisuusselvityksen laatimisesta tai turvallisuusselvityksen tai turvallisuusselvitystodistuksen voimassaolon päättymisestä taikka siitä, kun se tehtävä, jota varten turvallisuusselvitys on laadittu, on päättynyt tai kun turvallisuusselvitystodistus on peruutettu. Tietojen poistamisessa sovelletaan muutoin, mitä henkilötietolaissa (523/1999) säädetään.

50 §
Tietojen luovuttaminen turvallisuusselvitysrekisteristä

Suojelupoliisi antaa salassapitosäännöksistä riippumatta turvallisuusselvitysrekisteristä teknisen käyttöyhteyden avulla tietoja pääesikunnalle ja poliisihallituksen määräämälle suppeita turvallisuusselvityksiä laativalle yksikölle. Pääesikunta saa suojelupoliisin hyväksymällä tavalla luovuttaa edelleen niille puolustusvoimien yksiköiden nimeämille virkamiehille sellaisia tietoja, jotka ovat tarpeen turvallisuusselvityksen hankkimisen tarpeen arvioimiseen taikka puolustusvoimista annetun lain (551/2007) 15 §:ssä tarkoitetun oleskelu- tai vierailuluvan käsittelyä varten.

Suojelupoliisi voi salassapitosäännöksistä riippumatta antaa hyväksymällään tavalla teknisen käyttöyhteyden avulla ministeriön nimeämälle virkamiehelle turvallisuusselvityksen hankkimisen arviointia varten turvallisuusselvitysrekisteristä tietoja:

1) yrityksestä, josta yritysturvallisuusselvitys on laadittu, ja selvityksen perusteella annetusta todistuksesta;

2) henkilöturvallisuusselvityksestä, jonka mukaan ei ole ilmennyt henkilön luotettavuuden kannalta kielteisiä tietoja tai jonka perusteella on annettu todistus, joka on edelleen voimassa;

3) viranomaisen tietojärjestelmälle tai tietoliikennejärjestelyille annetusta todistuksesta ja muista 48 §:n 4 momentissa tarkoitetuista tiedoista;

4) 1—3 kohdassa tarkoitetuissa tapauksissa turvallisuusselvityksen laatijasta ja laatimisajankohdasta sekä todistuksen voimassaoloajasta.

Suojelupoliisi voi salassapitosäännöksistä riippumatta antaa teknisen käyttöyhteyden avulla keskusrikospoliisille turvallisuusselvityksen hakemista koskevat tiedot niiden yhdistämiseksi epäiltyjen rekisterin tietoihin 25 §:n 2 momentissa tarkoitettujen ilmoitusten tekemistä ja sitä koskevaa harkintaa varten. Keskusrikospoliisin on hävitettävä yhdistämisen kautta saadut tiedot välittömästi sen jälkeen, kun tarve ilmoituksen tekemiseen on arvioitu tai ilmoitus on lähetty suojelupoliisille.

Teknisen käyttöyhteyden avulla saa 2 momentissa tarkoitetuissa tapauksissa hakea tietoja vain sellaisesta henkilöstä tai yrityksestä, joka on antanut suostumuksensa turvallisuusselvityksen laadintaan ja joka on tarkoitus valita palvelussuhteeseen tai tämän lain mukaan turvallisuusselvitysmenettelyn piiriin kuuluvaan tehtävään taikka henkilöstä, jota koskeva oleskelu- ja liikkumisluvan käsittely on vireillä 1 momentissa tarkoitetussa puolustusvoimien yksikössä.

51 §
Nuhteettomuuden ja luotettavuuden seuranta henkilörekisterien yhdistämisen avulla

Suojelupoliisi voi yhdistää turvallisuusselvitysrekisterin tietoihin poliisiasiain tietojärjestelmän osarekistereihin sekä oikeushallinnon valtakunnalliseen tietojärjestelmään sisältyviä rikosasioiden vireilläolo- ja ratkaisutietoja sen selvittämiseksi, voidaanko turvallisuusselvitys tai sen perustella annettu todistus edelleenkin pitää voimassa.

Sellaisen henkilön tietoihin, josta on laadittu laaja henkilöturvallisuusselvitys, voidaan yhdistää tietoja niistä henkilörekistereistä, joista 28 §:n 2 momentin mukaan voidaan hankkia tietoja henkilötietolomakkeella annettujen tietojen tarkistamiseksi.

Suojelupoliisin on hävitettävä yhdistämisen seurauksena syntyneet tiedot heti, kun 52 §:ssä tarkoitetut toimenpiteet on saatettu loppuun, viimeistään kuitenkin vuoden kuluttua rekisterien yhdistämisestä.

Rekisteritietojen yhdistämiseen vaadittavasta selvityksen kohteen suostumuksesta säädetään 5 §:ssä.

52 §
Toimenpiteet seurannan perusteella

Jos 51 §:ssä tarkoitetun seurannan perusteella ilmenee, että henkilön taikka yrityksen tai sen vastuuhenkilön epäillään tai katsotaan tuomioistuimen päätöksellä syyllistyneen rikolliseen tekoon, suojelupoliisin on salassapitosäännösten estämättä ilmoitettava asiasta turvallisuusselvityksen laatineelle viranomaiselle.

Jos seurannassa saatujen tietojen perusteella henkilön epäillään tai katsotaan tuomioistuimen päätöksellä syyllistyneen tekoon, joka olisi voinut vaikuttaa turvallisuusselvitystodistuksen antamiseen tai turvallisuusselvityksen sisältöön, toimivaltaisen viranomaisen on salassapitosäännösten estämättä selvityksen kohdetta kuultuaan ilmoitettava asiasta henkilöturvallisuusselvitystä hakeneelle taikka ministeriölle, joka 48 §:n 5 momentin mukaisesti on merkinnyt rekisteriin selvityksen kohteen ottamisesta palvelussuhteeseen, jollei palvelussuhdetta ole ilmoitettu päättyneeksi. Ennen tietojen ilmoittamista työnantajalle tai toimeksiantajalle on selvitettävä, toimiiko selvityksen kohde edelleenkin asianomaisen työnantajan palveluksessa tai toimeksiantajan tehtävissä taikka opiskelee hakijana olleessa oppilaitoksessa.

Jos seurannassa saatujen tietojen perusteella yrityksen vastuuhenkilön tai yrityksen epäillään tai katsotaan tuomioistuimen päätöksellä syyllistyneen tekoon, joka olisi vaikuttanut yritysturvallisuusselvitystodistuksen antamiseen, toimivaltaisen viranomaisen on salassapitosäännösten estämättä selvityksen kohdetta kuultuaan ilmoitettava asiasta yritysturvallisuusselvitystä hakeneelle.

Jos turvallisuusselvitystodistus on annettu kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi, 1 momentissa tarkoitetuista seikoista on viipymättä ilmoitettava kansainvälisten tietoturvallisuusvelvoitteiden toteuttamisesta huolehtivalle kansalliselle turvallisuusviranomaiselle.

Toimenpiteitä harkittaessa ja 1—4 momenttia sovellettaessa rikosepäilyä ja rikollista tekoa koskevan tiedon merkitystä arvioitaessa on otettava huomioon, mitä 32 §:ssä ja laissa muutoin säädetään erilaisten tietojen huomioon ottamisesta turvallisuusselvitystä laadittaessa.

8 luku

Turvallisuusselvityksen ja turvallisuusselvitystodistuksen voimassaolo

53 §
Turvallisuusselvityksen ja turvallisuusselvitystodistuksen voimassaoloaika

Turvallisuusselvitys on voimassa toistaiseksi, enintään kuitenkin viisi vuotta. Sama koskee turvallisuusselvityksen perusteella annettavaa todistusta, jollei todistusta ole annettu määräaikaista tehtävää tai tiettyyn hankkeeseen kuuluvaa tehtävää varten taikka toimivaltainen viranomainen selvitykseen liittyvien erityisten olosuhteiden vuoksi toisin päätä.

54 §
Turvallisuusselvityksen uusiminen ja uuden turvallisuusselvitystodistuksen antaminen

Toistaiseksi annettu turvallisuusselvitys voidaan selvityksen laatineen viranomaisen aloitteesta taikka turvallisuusselvityksen hakijan tai selvityksen kohteen hakemuksesta uusia, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi taikka selvityksen kohteen tehtävissä tai hänen olosuhteissaan tapahtuneen sellaisen muutoksen vuoksi, joka tämän lain mukaan otetaan huomioon selvitystä laadittaessa.

Henkilöä koskeva turvallisuusselvitystodistus voidaan antaa uutta selvitystä suorittamatta turvallisuusselvitysrekisterin tietojen perusteella, jollei 51 §:n mukaisesti toteutetusta seurannasta muuta johdu.

55 §
Turvallisuusselvitystodistuksen peruuttaminen

Toimivaltainen viranomainen voi omasta aloitteestaan, turvallisuusselvityksen hakijan tai selvityksen kohteen työnantajan taikka selvityksen kohteen hakemuksesta peruuttaa tämän lain nojalla annetun henkilöturvallisuusselvitystodistuksen, jos:

1) selvityksen kohde ei enää työskentele niissä tehtävissä, joita varten todistus on annettu;

2) selvityksen kohde on kansainvälisen tietoturvallisuusvelvoitteen perusteella saadun ilmoituksen mukaan laiminlyönyt häntä sitovia tietoturvallisuusvaatimuksia tehtävässä, jota varten hänelle on Suomessa annettu henkilöturvallisuusselvitystodistus;

3) selvityksen kohteen epäillään 51 §:n mukaisesti toteutetun seurannan perusteella syyllistyneen tekoon, joka olisi ollut esteenä todistuksen antamiselle, taikka hänelle ei muiden muuttuneiden olosuhteiden vuoksi voitaisi enää antaa turvallisuusselvitystodistusta.

Yritysturvallisuusselvitystodistus voidaan peruuttaa, jos selvityksen kohteena olleen yrityksen toiminta ei enää täytä niitä vaatimuksia, jotka ovat olleet edellytyksenä todistuksen antamiselle, tai jos yrityksen vastuuhenkilön epäillään syyllistyneen 1 momentin 2 kohdassa tarkoitettuun tekoon, eikä yritys ole asetetussa määräajassa korjannut edellä tarkoitettuja puutteita.

Toimivaltaisen viranomaisen on ennen 1 tai 2 momentissa tarkoitetun ratkaisun tekemistä kuultava selvityksen kohdetta sekä tarvittaessa turvallisuusselvityksen hakijaa tai selvityksen kohteen työnantajaa.

Toimivaltainen viranomainen voi turvallisuusselvitystodistuksen peruuttamista koskevassa päätöksessään määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää.

9 luku

Erinäiset säännökset

56 §
Tietosuojavaltuutetun valvontaoikeus

Tietosuojavaltuutetulla on oikeus tutustua tämän lain nojalla laadittuun turvallisuusselvitykseen sen henkilötietojen käsittelyn lainmukaisuuden tarkastamiseksi.

Tietosuojavaltuutetun oikeudesta valvoa ja saada tietoja henkilötietojen käsittelystä säädetään henkilötietolain 39 §:ssä.

57 §
Viranomaisten tietojensaantioikeus

Sen estämättä, mitä tietojen salassapitovelvollisuudesta laissa säädetään:

1) viranomaisten on luovutettava tämän lain mukaan toimivaltaisille viranomaisille tiedot, joita ne voivat käyttää turvallisuusselvitystä laadittaessa tai siihen liittyvää seurantaa toteutettaessa;

2) toimivaltaisten viranomaisten on luovutettava toisilleen yksittäisen turvallisuusselvityksen tekemiseksi tämän lain mukaan käytettävissä olevia tietoja.

Toimivaltaisella viranomaisella on oikeus saada tietoja luottotietorekisterin pitäjältä henkilöturvallisuusselvityksen ja yritysturvallisuusselvityksen laadintaa varten sekä toteutettaessa 51 §:ssä tarkoitettua seurantaa.

Edellä 1 ja 2 momentissa tarkoitetut tiedot voidaan luovuttaa myös teknisen käyttöyhteyden avulla.

58 §
Työnantajan ja yritysturvallisuusselvitystodistuksen saaneen yrityksen ilmoitus- ja toimenpidevelvollisuus

Työnantajan, jonka hakemuksesta työntekijästä on laadittu henkilöturvallisuusselvitys tai sen perusteella annettu henkilöturvallisuustodistus, on ilmoitettava palvelussuhteen päättymisestä henkilöturvallisuusselvityksen laatineelle tai henkilöturvallisuustodistuksen antaneelle viranomaiselle.

Jos henkilöturvallisuusselvitystodistus on peruutettu, työnantajan, jonka hakemuksesta henkilöturvallisuusselvitystodistus on annettu, on pidettävä huolta siitä, että henkilöturvallisuusselvitystodistus palautetaan todistuksen antaneelle viranomaiselle.

Jos yritysturvallisuusselvitystodistus on peruutettu, selvityksen kohteena olleen yrityksen on palautettava saamansa yritysturvallisuusselvitystodistus todistuksen antaneelle viranomaiselle.

59 §
Salassapitovelvollisuus

Turvallisuusselvitykseen liittyvässä asiassa lain nojalla tietoja saaneen vaitiolovelvollisuuteen ja hyväksikäyttökieltoon sovelletaan viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 22–24 §:ää silloinkin, kun asiakirjat ja tiedot on saanut muu kuin mainitun lain 4 §:ssä tarkoitettu viranomainen.

Sen lisäksi, mitä 1 momentissa säädetään, yritysturvallisuusselvitystodistuksen saanut yritys, sen vastuuhenkilöt ja palveluksessa olevat sekä sen toimeksiannosta tehtäviä suorittavat ovat velvollisia pitämään salassa, mitä he ovat saanet tietää sen tehtävän perusteella, jonka vuoksi yritysturvallisuusselvitystodistus on annettu tai esitetty.

60 §
Turvallisuusselvityksen maksullisuus

Toimivaltaisten viranomaisten tämän lain nojalla tekemistä turvallisuusselvityksistä ja Viestintäviraston asiantuntijatehtävien suorittamisesta yritysturvallisuusselvitystä laadittaessa peritään hakijalta maksu noudattaen, mitä valtion maksuperustelaissa (150/1992) säädetään. Yritysturvallisuusselvityksen laatimiseen liittyvistä kustannuksista vastaa kuitenkin selvityksen kohde, jos selvitys on laadittu viranomaisen hakemuksesta.

Maksua ei peritä sellainen henkilöturvallisuusselvityksen laatimisesta, jonka toimivaltainen viranomainen tekee saman hallinnonalan toisen viranomaisen tai oppilaitoksen hakemuksesta.

61 §
Viittaus rangaistussäännöksiin

Rangaistus 59 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain (39/1889) 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta. Edellä tarkoitettuna salassapitovelvollisuuden rikkomisena pidetään myös 40 §:ssä tarkoitetun sitoumuksen rikkomista.

Rangaistus henkilörekisteririkoksesta säädetään rikoslain 38 luvun 9 §:ssä ja rangaistus henkilörekisteririkkomuksesta henkilötietolain 48 §:n 2 momentissa.

62 §
Muutoksenhaku

Toimivaltaisen viranomaisen tämän lain nojalla tekemään päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään.

Toimivaltaisen viranomaisen päätökseen, jolla on kieltäydytty laatimasta turvallisuusselvitystä, taikka suojelupoliisin lain 22 § tai 23 §:ssä tarkoitetussa asiassa tekemään päätökseen, ei saa hakea valittamalla muutosta. Päätökseen, jolla on kieltäydytty antamasta turvallisuusselvitystodistusta saa hakea valittamalla muutosta vain, jos turvallisuusselvitystodistus on lain tai sen nojalla annetun säännöksen mukaan edellytyksenä virkaan tai tehtävään valitsemiselle taikka sellaisen viran tai tehtävän hoitoa varten, johon valittavalla on kansainvälisen tietoturvallisuusvelvoitteen mukaan oltava turvallisuusselvitystodistus.

Turvallisuusselvitystodistuksen antamista ja peruuttamista koskevaan päätökseen muutosta saa hakea sekä turvallisuusselvityksen hakija että selvityksen kohde.

Viranomainen, jonka tekemän päätöksen hallinto-oikeus on kumonnut tai muuttanut, saa lain soveltamisen yhtenäisyyden ylläpitämiseksi hakea muutosta hallinto-oikeuden päätökseen.

10 luku

Voimaantulo- ja siirtymäsäännökset

63 §
Voimaantulo

Tämä laki tulee voimaan päivänä kuuta 20 . Tällä lailla kumotaan turvallisuusselvityksistä annettu laki (177/2002).

Ennen tämän lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

64 §
Siirtymäsäännökset

Ennen tämän lain voimaantuloa vireille saatettuun asiaan sovelletaan tämän lain voimaan tullessa voimassa ollutta lakia.

Pääesikunnan ja poliisilaitosten antamista turvallisuusselvityksistä, jotka on annettu aikaisintaan kolme vuotta ennen lain voimaantuloa, siirretään tiedot 48 §:ssä tarkoitettuun turvallisuusselvitysrekisteriin vuoden kuluessa lain voimaantulosta.

Turvallisuusselvitysrekisteri ja siihen liittyvä tietojenkäsittely on saatettava lainmukaiseen kuntoon kahden vuoden kuluessa lain voimaantulosta.

---

2.

Eduskunnan päätöksen mukaisesti

muutetaan tietoturvallisuuden arviointilaitoksista annetun lain (1405 /2011) 4 §:n 1 momentti ja

lisätään lakiin uusi 13 a § seuraavasti:

4 §
Hakemuksen käsittely

Viestintäviraston on ennen tietoturvallisuuden arviointilaitoksen hyväksymistä varattava suojelupoliisille tilaisuus lausua arviointilaitoksen vastuuhenkilöiden luotettavuudesta ja sen toimitilojen turvallisuudesta. Suojelupoliisi noudattaa lausuntoaan laatiessaan, mitä turvallisuusselvityslaissa ( /20 ) säädetään.

---

13 a §
Turvallisuusselvitysrekisteriin merkittävät tiedot

Viestintävirasto merkitsee turvallisuusselvityslaissa tarkoitettuun turvallisuusselvitysrekisteriin tiedot hyväksytyistä arviointilaitoksista samoin kuin arviointilaitokselle annettuun todistukseen merkityt tiedot. Hyväksynnän peruuttamisesta on tehtävä välittömästi merkintä rekisteriin.

Hyväksytty arviointilaitos voi ilmoittaa Viestintävirastolle turvallisuusselvitysrekisteriin merkitsemistä ja siitä edelleen luovuttamista varten tiedot arvioimastaan kohteesta ja sille annetun todistuksen sisällöstä, jollei arvioinnin kohde ole sitä kieltänyt. Arvioinnin kohteelle on ennen ilmoituksen tekemistä annettava tieto tietojenkäsittelyn tarkoituksesta ja sitä koskevasta sääntelystä.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

Ennen lain voimaantuloa voidaan ryhtyä lain täytäntöönpanon edellyttämiin toimenpiteisiin.

---

3.

Eduskunnan päätöksen mukaisesti

muutetaan viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain (1406/2011) 1 §:n 2 momentti sekä

lisätään lakiin uusi 8 a ja 8 b § seuraavasti:

1 §
Lain soveltamisala

---

Viestintäviraston tehtävistä yritysturvallisuusselvitystä laadittaessa säädetään turvallisuusselvityslaissa ( /20 ).

8 a §
Viranomaisen velvollisuus hankkia todistus

Valtioneuvoston asetuksella voidaan säätää, että 8 §:ssä tarkoitettu todistus on hankittava sellaisen valtionhallinnon viranomaisen määräysvallassa olevasta tietojärjestelmästä tai tietoliikennejärjestelystä, jossa käsitellään turvallisuusluokkaan I tai II kuuluviksi luokiteltuja asiakirjoja.

8 b §
Turvallisuusselvitysrekisteriin merkittävät tiedot ja merkinnän poistaminen

Viestintävirasto voi tallettaa antamastaan todistuksesta 8 §:ssä mainitut tiedot turvallisuusselvityslaissa tarkoitettuun turvallisuusselvitysrekisteriin. Viestintäviraston on poistettava merkintä kuuden kuukauden kuluessa siitä, kun todistuksessa asetettu määräaika on päättynyt. Merkintä poistetaan kuukauden kuluessa siitä, kun peruuttamista koskeva ratkaisu on tullut lainvoimaiseksi.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

4.

Eduskunnan päätöksen mukaisesti

kumotaan henkilötietojen käsittelystä poliisitoimessa annetun lain (761/2003) 3 §:n 3 momentin 5 kohta, 21 § ja 23 §:n 1 momentin 4 kohta, sellaisina kuin niistä ovat 3 §:n 3 momentin 5 kohta laissa 457/2009 ja 21 § laissa 402/2010, sekä

muutetaan 5 §:n 4 momentti, 19 §:n 1 momentin 2 kohta ja 25 § seuraavasti:

5 §
Suojelupoliisin toiminnallinen tietojärjestelmä

---

Turvallisuusselvitysrekisteristä säädetään erikseen.

19 §
Tietojen luovuttaminen muille viranomaisille

Poliisi saa luovuttaa muista poliisin henkilörekistereistä kuin 30 §:ssä tarkoitetusta Europol-tietojärjestelmästä ja 31 §:ssä tarkoitetusta kansallisesta Schengen-tietojärjestelmästä salassapitosäännösten estämättä teknisen käyttöyhteyden avulla tai konekielisessä muodossa tietoja, jotka ovat tarpeen:

---

2) puolustusvoimien pääesikunnalle poliisin tehtävien suorittamisesta puolustusvoimissa annetussa laissa (1251/1995) tarkoitettuja turvallisuus- ja valvontatehtäviä ja rikostutkintaa varten sekä turvallisuusselvityslaissa ( /20 ) tarkoitettujen turvallisuusselvitysten tekemistä varten;

---

25 §
Tietojen poistaminen suojelupoliisin toiminnallisesta tietojärjestelmästä

Henkilöä koskevat tiedot poistetaan suojelupoliisin toiminnallisesta tietojärjestelmästä 25 vuoden kuluttua viimeisen tiedon merkitsemisestä.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

5.

Eduskunnan päätöksen mukaisesti

muutetaan viestintähallinnosta annetun lain (625/2001) 2 §:n 1 kohta, sellaisena kuin se on laissa 1407/2011, seuraavasti:

2 §
Viestintäviraston tehtävät

Viestintäviraston tehtävänä on:

1) huolehtia viestintämarkkinalaissa (393/2003), radiotaajuuksista ja telelaitteista annetussa laissa (1015/2001), postilaissa (415/2011), televisio- ja radiotoiminnasta annetussa laissa (744/1998), valtion televisio- ja radiorahastosta annetussa laissa (745/1998), sähköisen viestinnän tietosuojalaissa (516/2004), eräiden suojauksen purkujärjestelmien kieltämisestä annetussa laissa (1117/2001), vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetussa laissa (617/2009), kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa (588/2004), turvallisuusselvityslaissa ( /20 ), tietoturvallisuuden arviointilaitoksista annetussa laissa (1405/2011), viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetussa laissa (1406/2011 ) sekä verkkotunnuslaissa (228/2003) sille säädetyistä tehtävistä;

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

6.

Eduskunnan päätöksen mukaisesti

kumotaan kansainvälisistä tietoturvallisuusvelvoitteista annetun lain (588/2004) 1 §:n 3 momentti ja 13 §, sellaisina kuin ne ovat, 1 §:n 3 momentti laissa 1534/2011 ja 13 § laissa 885/2010,

muutetaan 4 §:n 3 momentti sekä 11, 12 ja 14 §, sellaisina kuin niistä on 12 § laissa 885/2010, sekä

lisätään lakiin uusi 20 a § seuraavasti:

4 §
Turvallisuusviranomaiset ja niiden tehtävät

---

Määrätyt turvallisuusviranomaiset huolehtivat niille tässä laissa säädetyistä ja muista niille kansainvälisistä tietoturvallisuusvelvoitteista johtuvista tehtävistä. Puolustusministeriö, pääesikunta ja suojelupoliisi toimivat kansallisen turvallisuusviranomaisen asiantuntijoina henkilöstö-, yritys- ja toimitilaturvallisuutta koskevissa asioissa sekä Viestintävirasto tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuutta koskevissa asioissa.

11 §
Henkilöturvallisuusselvitystodistus, sen voimassaolo ja peruuttaminen

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty henkilöturvallisuusselvitys laaditaan siten kuin turvallisuusselvityslaissa ( /20 ) säädetään. Henkilöturvallisuusselvitystodistuksen antaa kuitenkin kansallinen turvallisuusviranomainen, jollei erityisistä syistä muuta johdu. Selvityksen laatineen viranomaisen on salassapitosäännösten estämättä toimitettava todistuksen antamista ja siihen liittyvää harkintaa varten kansalliselle turvallisuusviranomaiselle tieto kaikista selvityksen laadinnassa ilmi tulleista selvityksen kohdetta koskevista seikoista.

Kansallisen turvallisuusviranomaisen arvioidessa henkilöturvallisuusselvitystodistuksen antamista sovelletaan, mitä turvallisuusselvityslain 11, 23 ja 32 §:ssä säädetään. Henkilöturvallisuusselvitystodistuksen voimassaoloon ja peruuttamiseen sovelletaan, mitä turvallisuusselvityslain 53—55 §:ssä säädetään. Kansallinen turvallisuusviranomainen voi haastatella selvityksen kohdetta todistuksen antamista varten.

Jos kansallinen turvallisuusviranomainen kieltäytyy antamasta henkilöturvallisuusselvitystodistusta, sen tulee ilmoittaa syyt tähän selvityksen hakijalle ja sen kohteelle annettavassa kirjallisessa päätöksessä.

12 §
Yritysturvallisuusselvitystodistus, sen voimassaolo ja peruuttaminen

Kansainvälisessä tietoturvallisuusvelvoitteessa edellytetty yritysturvallisuusselvitys laaditaan siten kuin turvallisuusselvityslaissa säädetään. Yritysturvallisuusselvitystodistuksen antaa kuitenkin kansallinen turvallisuusviranomainen, jollei erityisistä syistä muuta johdu. Selvityksen laatineen viranomaisen on salassapitosäännösten estämättä toimitettava todistuksen antamista ja siihen liittyvää harkintaa varten kansalliselle turvallisuusviranomaiselle tieto kaikista selvityksen laadinnassa ilmi tulleista selvityksen kohdetta koskevista seikoista.

Kansallisen turvallisuusviranomaisen antaman yritysturvallisuusselvitystodistuksen voimassaoloon ja peruuttamiseen sovelletaan, mitä turvallisuusselvityslain 53—55 §:ssä säädetään.

Jos kansallinen turvallisuusviranomainen kieltäytyy antamasta yritysturvallisuusselvitystodistusta, sen tulee ilmoittaa syyt tähän selvityksen hakijalle ja sen kohteelle annettavassa kirjallisessa päätöksessä.

14 §
Todistusta koskevien tietojen merkitseminen turvallisuusselvitysrekisteriin

Kansallinen turvallisuusviranomainen tallettaa antamastaan henkilöturvallisuusselvitystodistuksesta ja yritysturvallisuusselvitystodistuksesta tiedot turvallisuusselvityslaissa tarkoitettuun turvallisuusselvitysrekisteriin.

20 a §
Muutoksenhaku

Kansallisen turvallisuusviranomaisen tämän lain nojalla tekemään päätökseen saa hakea muutosta valittamalla korkeimpaan hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään.

Päätökseen, jolla kansallinen turvallisuusviranomainen on kieltäytynyt antamasta turvallisuusselvitystodistusta saa hakea valittamalla muutosta vain, jos turvallisuusselvitystodistus edellytyksenä sellaisen viran tai tehtävän hoitoa varten, johon valittavalla on kansainvälisen tietoturvallisuusvelvoitteen mukaan oltava turvallisuusselvitystodistus.

Turvallisuusselvitystodistuksen antamista ja peruuttamista koskevaan päätökseen muutosta saa hakea sekä turvallisuusselvityksen hakija että selvityksen kohde.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

7.

Eduskunnan päätöksen mukaisesti

muutetaan yrityspalvelujen asiakastietojärjestelmästä annetun lain (240/2007) 5 § sekä 10 §:n 2 momentti, sellaisena kuin niistä on 10 §:n 2 momentti laissa 1039/2010, seuraavasti:

5 §
Asiakastietojärjestelmän käyttötarkoitus

Yrityspalvelujen asiakastietojärjestelmän tarkoituksena on parantaa yrityspalvelujen suuntaamista ja yritysten arviointia niille myönnettäviä yrityspalveluja harkittaessa sekä tehostaa myönnettyjen yritystukien valvontaa. Asiakastietojärjestelmän kautta saatavia 6 §:n 1 momentissa tarkoitettuja tietoja saa käyttää myös turvallisuusselvityslaissa ( /20 ) tarkoitetun yritysturvallisuusselvityksen laadinnassa.

10 §
Asiakastietojärjestelmän tietojen luovuttaminen

---

Edellä 6 §:n 1 momentissa tarkoitettuja tietoja saa tämän pykälän 1 momentissa säädetyn lisäksi luovuttaa ulkoasiainministeriölle, opetus- ja kulttuuriministeriölle, Finpro ry:lle sekä turvallisuusselvityslain mukaisia tehtäviä varten toimivaltaisille viranomaisille.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

8.

Eduskunnan päätöksen mukaisesti

muutetaan rikosrekisterilain (770/1993) 4 a §:n 1 momentin 1 a kohta, sellaisena kuin se on laissa 180/2002, sekä

lisätään 4 §:n 1 momenttiin, sellaisena kuin se on osaksi laeissa 141/2001, 377/2010, 331/2011 ja 453/2011, uusi 3 a kohta seuraavasti:

4 §

Rikosrekisteristä voidaan 3 §:ssä tai muussa laissa säädetyn salassapitovelvollisuuden estämättä luovuttaa henkilöä koskeva tieto:

---

3 a) Etelä-Suomen aluehallintovirastolle rahanpesun ehkäisemiseksi annetun lainsäädännön mukaan ilmoitusvelvollisten yritysten vastuuhenkilöiden taustan selvittämiseksi;

---

4 a §

Sen lisäksi, mitä 4 §:ssä säädetään, rikosrekisteristä luovutetaan henkilöä koskevat tiedot Suomen viranomaiselle asiassa, joka koskee:

---

1 a) turvallisuusselvityslaissa ( /20 ) tarkoitetun turvallisuusselvityksen tekemistä;

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

9.

Eduskunnan päätöksen mukaisesti

muutetaan liiketoimintakiellosta annetun lain (1059/1985) 21 §:n 5 momentti, sellaisena kuin se on laissa 182/2002, seuraavasti:

21 §
Rekisteri

---

Tiedot päättyneistä liiketoimintakielloista on pidettävä salassa. Tietoja voidaan kuitenkin luovuttaa poliisille liiketoimintakiellon rikkomista koskevan rikoksen esitutkintaa ja liiketoimintakiellon määräämisen edellytysten selvittämistä varten, yleiselle syyttäjälle syyteharkintaa ja syytteen ajamista varten sekä turvallisuusselvityslain ( /20 ) mukaan toimivaltaisille viranomaisille laissa tarkoitetun turvallisuusselvityksen laatimista varten.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

10.

Eduskunnan päätöksen mukaisesti

lisätään valtion virkamieslakiin (750/1994) uusi 8 c § seuraavasti:

8 c §

Virkaan nimittämisen edellytyksenä on, jos niin valtioneuvoston asetuksella säädetään, että virkaan nimitettävä on saanut turvallisuusselvityslaissa ( /20 ) tarkoitetun henkilöturvallisuusselvitystodistuksen.

Valtioneuvoston asetuksella voidaan säätää 1 momentissa tarkoitetusta henkilöturvallisuusselvitystodistusta koskevasta vaatimuksesta, jos virkaan nimitettävällä on oikeus muutoin kuin satunnaisesti käsitellä suojaustasoihin I tai II luokiteltuja asiakirjoja tai jos hänen on muutoin tarkoitus toimia tehtävässä, jossa sen luonteen vuoksi edellytetään erityistä luotettavuutta.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

11.

Eduskunnan päätöksen mukaisesti

lisätään panostajalakiin (219/2000) uusi 2 a § seuraavasti:

2 a §
Turvallisuusselvityksen hankkiminen

Panostajan pätevyyskirjan antavan viranomaisen on ennen pätevyyskirjan antamista hankittava pätevyyskirjaa hakeneesta turvallisuusselvityslaissa ( /20 ) tarkoitettu suppea henkilöturvallisuusselvitys, jollei hakija esitä viranomaiselle mainitun lain mukaan annettua turvallisuusselvitystodistusta.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

12.

Eduskunnan päätöksen mukaisesti

muutetaan yksityisistä turvallisuuspalveluista annetun lain (282/2002) 59 § seuraavasti:

59 §
Turvallisuusselvitykset

Vastaavan hoitajan, voimankäyttökouluttajan ja vartijan koulutuksen järjestäjällä on oikeus pyytää koulutukseen oppilaaksi tai opettajaksi hakeutuvasta turvallisuusselvityslaissa ( / ) tarkoitettu suppea henkilöturvallisuusselvitys.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

13.

Eduskunnan päätöksen mukaisesti

muutetaan Rikosseuraamusalan koulutuskeskuksesta annetun lain (1316/2006) 9 §:n 3 momentti seuraavasti:

9 §
Opiskelijaksi ottaminen ammatilliseen tutkintoon johtavaan koulutukseen

---

Opiskelijaksi pyrkivän tulee antaa koulutuskeskukselle opiskelijaksi ottamisen arvioinnissa tarvittavat terveydentilaansa koskevat tiedot. Turvallisuusselvityksen hakemisesta säädetään turvallisuusselvityslaissa ( /20 ).

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

14.

Eduskunnan päätöksen mukaisesti

muutetaan Pelastusopistosta annetun lain (607/2006) 18 §:n 5 momentti seuraavasti:

18 §
Kelpoisuus opintoihin

---

Pelastusopisto päättää 1 momentin 3 kohdassa ja 4 momentin 2 kohdassa tarkoitetuista koulutukseen ottamisen edellytyksenä olevista terveydentilaan ja alalle soveltuvuuteen liittyvistä vaatimuksista. Ammatilliseen peruskoulutukseen opiskelijaksi pyrkivän tulee antaa opiskelijaksi ottamisen arvioinnin edellyttämät terveydentilaansa koskevat tiedot Pelastusopiston määräämällä tavalla. Turvallisuusselvityksen hakemisesta säädetään turvallisuusselvityslaissa ( /20 ).

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

15.

Eduskunnan päätöksen mukaisesti

muutetaan ilmailulain (1194/2009) 105 §:n 1 momentin johdantokappale seuraavasti:

105 §
Kulkuoikeus ja Liikenteen turvallisuusviraston oikeus saada tietoja viranomaisilta

Liikenteen turvallisuusviraston on myönnettävä lentoasemalla turvavalvotulla alueella työskentelevälle tai siellä säännöllisesti käyvälle henkilölle kulkuoikeus, jos hakijalle tehdyn turvallisuusselvityslain ( /20 ) mukaisen turvallisuusselvityksen tai toisessa valtiossa tehdyn taustantarkastuksen mukaan:

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

16.

Eduskunnan päätöksen mukaisesti

muutetaan ulosottokaaren (705/2007) 3 luvun 70 §:n 1 momentin 4 kohta seuraavasti:

3 luku

Yleiset menettelysäännökset

70 §
Esitutkinta- ja eräät muut viranomaiset ja tuomioistuimet

Ulosottoviranomainen saa yksittäistapauksessa antaa pyydettäessä ulosottoviranomaisen asiakirjasta vastaajan tunniste- ja yhteystietoja sekä vastaajan taloudellista asemaa ja toimintaa koskevia tietoja:

---

4) suojelupoliisille ja pääesikunnalle turvallisuusselvitysten laatimiseksi turvallisuusselvityslaissa ( /20 ) säädetyllä tavalla;

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

17.

Eduskunnan päätöksen mukaisesti

muutetaan ulkomaalaisrekisteristä annetun lain (1270/1997) 2 §:n 2 momentti, sellaisena kuin se on laissa 305/2004, seuraavasti:

2 §
Rekisterin pito ja käyttötarkoitus

---

Ulkomaalaisrekisteriä pidetään ja käytetään ulkomaalaisten maahantuloa ja maastalähtöä sekä oleskelua ja työntekoa koskevien asioiden käsittelyä, päätöksentekoa ja valvontaa varten, valtion turvallisuuden suojaamiseksi sekä turvallisuusselvityslaissa ( /20 ) tarkoitetun turvallisuusselvityksen tekemiseksi.

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

18.

Eduskunnan päätöksen mukaisesti

muutetaan poliisilain (872/2011) 7 luvun 6 § seuraavasti:

7 luku

Vaitiolovelvollisuus ja vaitiolo-oikeus

6 §
Viittaussäännös tietojen luovuttamisesta

Poliisin henkilörekisteriin talletettujen tietojen luovuttamisesta toiselle poliisiyksikölle ja muille viranomaisille teknisen käyttöyhteyden avulla tai konekielisessä muodossa ja ulkomaille säädetään henkilötietojen käsittelystä poliisitoimessa annetussa laissa sekä henkilörekisterien käyttämisestä turvallisuusselvityksiä annettaessa turvallisuusselvityslaissa ( /20 ).

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

19.

Eduskunnan päätöksen mukaisesti säädetään:

1 §

Tällä lailla kumotaan puolustusvoimista annetun lain (551/2007) 16 §:n 3 momentti.

2 §

Tämä laki tulee voimaan päivänä kuuta 20 .

---

20.

Eduskunnan päätöksen mukaisesti

muutetaan puolustustarvikkeiden viennistä annetun lain (282/2012) 25 §:n 1 momentin 1 kohta ja 2 momentti sekä 26 ja 36 § seuraavasti:

25 §
Tietojen saanti viranomaisilta

Puolustusministeriöllä on luotettavuustodistuksen myöntämisen arvioimiseksi oikeus salassapitosäännösten estämättä saada:

1) suojelupoliisilta tai pääesikunnalta tieto hakijaa koskevasta turvallisuusselvityslaissa ( /20 ) tarkoitetusta yritysturvallisuusselvityksestä;

---

Puolustusministeriö voi pyytää luotettavuustodistuksen hakijan suostumuksella yritysturvallisuusselvityksen käynnistämistä, jos hakijalla ei ole voimassa olevaa yritysturvallisuusselvitystä.

26 §
Luotettavuustodistuksen myöntämisen edellytykset

Puolustusministeriö arvioi 24 §:ssä tarkoitetusta hakemuksesta ja 25 §:ssä tarkoitetusta yritysturvallisuusselvityksestä sekä ampuma-aselaissa tarkoitettuja lupia koskevasta selvityksestä saatavien tietojen perusteella hakijan luotettavuutta ja toimintaa puolustustarvikkeiden tuotannon, viennin ja tuonnin alueella, hakijan henkilöstö- ja muita voimavaroja sekä siirron- ja vienninhallintajärjestelmiä. Puolustusministeriö myöntää luotettavuustodistuksen sille, jonka arvioidaan edellä mainittujen tietojen perusteella noudattavan puolustustarvikkeiden vientiä ja siirtoa koskevia säännöksiä ja määräyksiä.

36 §
Maksut

Tässä laissa säädetystä lupapäätöksestä, luotettavuustodistuksesta ja siihen mahdollisesti sisältyvästä yritysturvallisuusselvityksestä sekä rekisteröitymisestä peritään maksu. Maksujen suuruudesta säädetään valtion maksuperustelaissa (150/1992).

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

21.

Eduskunnan päätöksen mukaisesti

muutetaan Maanpuolustuskorkeakoulusta annetun lain (1121/2008) 19 §:n 2 momentti seuraavasti:

19 §
Opiskelijaksi pyrkivän terveydentilatiedot ja turvallisuusselvitys

---

Maanpuolustuskorkeakoulu pyytää opiske- lijoiksi pyrkivistä turvallisuusselvityslain ( /20 ) mukaisen turvallisuusselvityksen.

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

22.

Eduskunnan päätöksen mukaisesti

muutetaan kemiallisten aseiden kehittämisen, tuotannon, varastoinnin ja käytön kieltämisestä sekä niiden hävittämistä koskevan yleissopimuksen eräiden määräysten hyväksymisestä ja sen soveltamisesta annetun lain (346/1997) 5 §:n 6 momentti, sellaisena kuin se on laissa 902/2010, seuraavasti:

5 §
Tarkastus- ja valvontaoikeudet

---

Jos instituutti katsoo, ettei se voi hyväksyä kieltojärjestön ehdottamaa tarkastushenkilökuntaa tai turvallisuusselvitystä, sen on siirrettävä asia ulkoasiainministeriön ratkaistavaksi. Turvallisuusselvityksen tekemisestä säädetään turvallisuusselvityslaissa ( /20 ).

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

23.

Eduskunnan päätöksen mukaisesti

muutetaan eräiden alusten ja niitä palvelevien satamien turvatoimista ja turvatoimien valvonnasta annetun lain (485/2004) 4 §:n 1 a ja 1 b kohta, sellaisina kuin ne ovat laissa 69/2007, seuraavasti:

4 §
Liikenteen turvallisuusviraston erityistehtävät

Liikenteen turvallisuusvirasto toimii turvatoimiasetuksen 2 artiklan 6 kohdassa tarkoitettuna merenkulun turvatoimien yhteysyksikkönä ja satamien turvatoimien yhteysyksikkönä, minkä lisäksi sen tehtävänä on:

---

1 a) hyväksyä turva-arvioinnin perusteella ja satamanpitäjän esityksestä sataman turvatoimialueen rajat ja se, keille sataman henkilöstöstä tehdään turvallisuusselvityslaissa ( /20 ) tarkoitettu turvallisuusselvitys, sekä huolehtia satamien turvasuunnitelmien tarkistamisesta tämän lain mukaisesti;

1 b) hyväksyä sataman turvapäällikkö ja muu keskeinen turvahenkilöstö sataman tekemän esityksen ja turvallisuusselvityksen perusteella;

---

---

Tämä laki tulee voimaan päivänä kuuta 20 .

---

Helsingissä 30 päivänä toukokuuta 2013

Pääministeri
JYRKI KATAINEN

Oikeusministeri
Anna-Maja Henriksson