1
Överenskommelsens innehåll och förhållande till lagstiftningen i Finland
Artikel 1. Syfte och tillämpningsområde. Enligt artikeln är syftet med överenskommelsen att säkerställa skyddet av sådan säkerhetsklassificerad information som utbyts eller framställs i samarbetet mellan parterna. Överenskommelsen tillämpas inte på sådan information som utbyts mellan parterna som inte är säkerhetsklassificerad. I Finland görs det t.ex. i regel inte någon anteckning om säkerhetsklassificering i polisens undersöknings- och underrättelseinformation.
Artikel 2.Definitioner. I artikeln definieras de begrepp som är centrala vid tillämpningen av överenskommelsen på följande sätt:
I led a definieras säkerhetsklassificerad information. Överenskommelsen gäller information, handlingar eller material, oavsett form, karaktär eller förmedlingssätt som en part lämnar ut till den andra parten och som har säkerhetsklassificerats och märkts med klassificeringsanteckning i enlighet med nationella lagar och bestämmelser. Med säkerhetsklassificerad information avses vidare information, handlingar eller material som har framställts utifrån sådan säkerhetsklassificerad information och märkts med tillämplig klassificeringsanteckning. Detta led är i samklang med definitionen av särskilt känsligt informationsmaterial i 2 § 2 punkten i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt led b avses med säkerhetsklassificerat kontrakt ett kontrakt eller underleverantörskontrakt som innehåller eller som har anknytning till säkerhetsklassificerad information. Detta led är i samklang med 2 § 3 punkten i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt led c avses med utlämnande part den part som lämnar ut säkerhetsklassificerad information eller under vilken säkerhetsklassificerad information framställs.
Enligt led d avses med mottagare den part samt juridiska eller fysiska personer inom partens jurisdiktion till vilken den utlämnande parten lämnar ut säkerhetsklassificerad information.
Enligt led e avses med behörig säkerhetsmyndighet en nationell säkerhetsmyndighet, en utsedd säkerhetsmyndighet eller ett annat behörigt organ enligt artikel 3 som i enlighet med parternas nationella lagar och bestämmelser har bemyndigats att svara för genomförandet av överenskommelsen.
Enligt led f avses med kränkning av dataskyddet en sådan gärning eller försummelse i strid med nationella lagar och bestämmelser som kan medföra att säkerhetsklassificerad information går förlorad eller äventyras.
Enligt led g avses med säkerhetsutredning ett positivt utfall av en prövning, baserad på nationella lagar och bestämmelser, av lämpligheten hos en juridisk person (säkerhetsutredning av företag) eller en fysisk person (säkerhetsutredning av person) att få tillgång till och att hantera säkerhetsklassificerad information på en bestämd nivå.
Enligt led h avses med tredje part en stat som inte är part i överenskommelsen eller en juridisk eller fysisk person som inte omfattas av någondera partens jurisdiktion.
Artikel 3.Behöriga säkerhetsmyndigheter. I punkt 1 anges vardera partens nationella säkerhetsmyndigheter (National Security Authority, NSA) som ska svara för det allmänna genomförandet av överenskommelsen. Nationell säkerhetsmyndighet i Finland är enligt 4 § i lagen om internationella förpliktelser som gäller informationssäkerhet utrikesministeriet, där uppgiften sköts av Nationella säkerhetsmyndigheten (NSA). I Österrike har Information Security Commission (NSA)/Federal Chancellery utsetts till nationell säkerhetsmyndighet.
Enligt punkt 2 ska de nationella säkerhetsmyndigheterna underrätta varandra om eventuella andra behöriga säkerhetsmyndigheter (Competent Security Authorities, CSA) som till olika delar svarar för genomförandet av överenskommelsen och om senare ändringar i dessa myndigheter. Dessa underrättelser ska även innehålla kontaktuppgifter till de nationella säkerhetsmyndigheterna och till de andra behöriga säkerhetsmyndigheterna. Utsedda säkerhetsmyndigheter (Designated Security Authority, DSA) i Finland är enligt 4 § i lagen om internationella förpliktelser som gäller informationssäkerhet försvarsministeriet, huvudstaben, Skyddspolisen och Kommunikationsverket.
Artikel 4.Säkerhetsklasser. Enligt punkt 1 ska säkerhetsklassificerad information som lämnas ut i enlighet med överenskommelsen märkas med tillämplig anteckning om säkerhetsklass i enlighet med parternas nationella lagar och bestämmelser.
I punkt 2 definieras hur Finlands och Österrikes säkerhetsklasser motsvarar varandra. Den högsta säkerhetsklassen, som kräver de strängaste informationssäkerhetsåtgärderna, är ”ERITTÄIN SALAINEN/YTTERST HEMLIG” (”STRENG GEHEIM”). Till denna kategori räknas i Finland information som, om den obehörigen röjs, kan orsaka särskilt påtaglig skada för försvaret, säkerheten, de internationella relationerna eller andra allmänna intressen. Den näst högsta säkerhetsklassen är ”SALAINEN/HEMLIG” (”GEHEIM”). Hit hör i Finland information som, om den obehörigen röjs, kan orsaka väsentlig skada för försvaret, säkerheten, de internationella relationerna eller andra allmänna intressen. Den tredje högsta säkerhetsklassen är ”LUOTTAMUKSELLINEN/KONFIDENTIELL” (”VERTRAULICH”), som i Finland avser information som, om den obehörigen röjs, kan skada försvaret, säkerheten, de internationella relationerna eller andra allmänna intressen. Till den fjärde säkerhetsklassen ”KÄYTTÖ RAJOITETTU/BEGRÄNSAD TILLGÅNG” (”EINGESCHRÄNKT”) hör information som, om den obehörigen röjs, kan skada allmänna intressen eller försämra myndigheternas möjligheter att agera.
Finlands internationella relationer skyddas i offentlighetslagens 24 § 1 mom. 1 och 2 punkt, försvaret i 10 punkten och säkerheten i 5, 8 och 9 punkten i samma moment. Andra allmänna intressen som avses i offentlighetslagen kan vara t.ex. skyddet av säkerhetsarrangemangen för statsledningen och statsbesök och för datasystem (24 § 1 mom. 7 punkten) samt samhällsekonomin (24 § 1 mom. 11 och 12 punkten). Allmänt tillämpliga bestämmelser om sekretess- och klassificeringsanteckningar i myndighetshandlingar finns i 25 § i offentlighetslagen. Enligt 25 § 3 mom. i den lagen kan det i handlingen göras en anteckning som anger vilka krav på datasäkerhet som ska iakttas vid hanteringen av handlingen. Handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet ska förses med anteckning om säkerhetsklass i enlighet med den lagen. Anteckning om säkerhetsklass ska göras också om så föreskrivs genom förordning av statsrådet.
Enligt 8 § i lagen om internationella förpliktelser som gäller informationssäkerhet ska särskilt känsligt informationsmaterial oberoende av vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet eller med stöd av den förses med en sådan anteckning om säkerhetsklass som anges i en internationell förpliktelse som gäller informationssäkerhet och som anger vilka säkerhetskrav som ska iakttas vid hanteringen av materialet. Särskilda bestämmelser om anteckningen om säkerhetsklassificering finns i informationssäkerhetsförordningens 11 §, och bestämmelser om anteckningarnas motsvarigheter i säkerhetsklasserna i internationella informationssäkerhetsförpliktelser finns i förordningens 12 §. I 11 § 1 mom. i förordningen finns bestämmelser om när en anteckning om säkerhetsklassificering kan göras i en sekretessbelagd handling. Enligt 11 § 3 mom. i förordningen får anteckning om säkerhetsklass inte användas i andra fall än de som avses i 1 mom., om inte anteckningen är nödvändig för tillgodoseendet av en internationell förpliktelse som gäller informationssäkerhet eller om handlingen inte i övrigt hänför sig till internationellt samarbete. En särskild bestämmelse om säkerhetsklassificeringsanteckningar på svenska finns i förordningens 11 § 4 mom.
Enligt punkt 3 i artikeln ska mottagaren säkerställa att säkerhetsklassificeringar inte ändras eller upphävs utan skriftligt tillstånd av den utlämnande parten. Den utlämnande parten ska utan dröjsmål meddela mottagaren, om säkerhetsklassen för utlämnad säkerhetsklassificerad information ändras eller upphävs.
Artikel 5.Skydd av säkerhetsklassificerad information. Artikeln innehåller de viktigaste förpliktelserna i fråga om ömsesidigt skydd.
Enligt punkt 1 ska parterna vidta alla relevanta åtgärder för att skydda säkerhetsklassificerad information som avses i överenskommelsen samt möjliggöra nödvändig övervakning av detta skydd. Parterna ska enligt samma punkt skydda denna information på samma sätt som de i enlighet med sina nationella lagar och bestämmelser skyddar egen information i motsvarande säkerhetsklass.
Enligt punkt 2 får parterna inte ge tredje parter tillgång till säkerhetsklassificerad information utan den utlämnande partens skriftliga förhandssamtycke. Denna punkt förpliktar parterna att följa principen om utlämnarens samtycke.
Enligt punkt 3 ska tillgång till säkerhetsklassificerad information inskränkas till personer som har ett informationsbehov och som i enlighet med nationella lagar och bestämmelser har säkerhetsklarerats och bemyndigats att få tillgång till sådan information såväl som instruerats om sitt ansvar i skyddet av säkerhetsklassificerad information.
Enligt punkt 4 krävs inte säkerhetsutredning av person för tillgång till säkerhetsklassificerad information i säkerhetsklass KÄYTTÖ RAJOITETTU/BEGRÄNSAD TILLGÅNG eller ”EINGESCHRÄNKT”.
Enligt punkt 5 får säkerhetsklassificerad information endast användas för angivet ändamål. En motsvarande bestämmelse finns i 6 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt punkt 6 ska vardera parten inom tillämpningsområdet för överenskommelsen erkänna intyg över säkerhetsutredningar utfärdade av den andra parten.
Bestämmelserna i artikeln är i samklang med Finlands gällande lagstiftning om skydd av säkerhetsklassificerad information.
Artikel 6.Säkerhetsklassificerade kontrakt. Artikeln innehåller bestämmelser om sådana i artikel 2 led b avsedda säkerhetsklassificerade kontrakt som ingås inom någondera partens territorium.
Enligt punkt 1 i artikeln ska mottagarens behöriga säkerhetsmyndighet på begäran meddela den utlämnande partens behöriga säkerhetsmyndighet huruvida det för den föreslagna kontraktsparten, som deltar i förhandlingar som föregår säkerhetsklassificerade kontrakt eller i genomförandet av ett sådant kontrakt, har utfärdats ett relevant intyg över säkerhetsutredning i den säkerhetsklass som krävs. Om kontraktsparten inte har ett sådant intyg över säkerhetsutredning, får den utlämnande partens behöriga säkerhetsmyndighet be mottagarens behöriga säkerhetsmyndighet säkerhetsklarera kontraktsparten.
Enligt punkt 2 får vid öppna anbudsförfaranden mottagarens behöriga säkerhetsmyndighet utan formell begäran överlämna de relevanta intygen över säkerhetsutredningar till den utlämnande partens behöriga säkerhetsmyndighet.
Enligt punkt 3 krävs säkerhetsutredning av företag inte för tillgång till säkerhetsklassificerade kontrakt i säkerhetsklass KÄYTTÖ RAJOITETTU/BEGRÄNSAD TILLGÅNG eller ”EINGESCHRÄNKT”.
Enligt punkt 4 ska säkerhetsklassificerade kontrakt, för att säkerheten ska kunna övervakas och kontrolleras i tillräcklig utsträckning, innefatta tillämpliga säkerhetsbestämmelser enligt bilaga 1 till överenskommelsen, däribland anvisningar om säkerhetsklassificering. Den utlämnande partens behöriga säkerhetsmyndighet ska skicka en kopia av säkerhetsbestämmelserna till mottagarens behöriga säkerhetsmyndighet.
Enligt punkt 5 ställs på underleverantörer samma säkerhetskrav, däribland i fråga om de relevanta intygen, som på den kontraktspart som har ingått ett säkerhetsklassificerat kontrakt.
Nationella bestämmelser om säkerhetsklassificerade kontrakt finns i 1 § 2 mom. (tillämpning på näringsidkare), 2 § 2 punkten (särskilt känsligt informationsmaterial), 2 § 3 punkten (säkerhetsklassificerat avtal), 6 § (sekretess och användning av information), 7 § (tystnadsplikt och förbud mot utnyttjande), 10 § (säkerhetskrav som gäller utrymmen), 12 § (intyg över säkerhetsutredning av företag, dess giltighet och återkallelse), 14 § (anteckning av uppgifter om intyg i registret över säkerhetsutredningar), 16 § (informationsskyldighet) och 18 § 2 mom. (besök av representanter för internationella organ och för fördragsslutande stater) i lagen om internationella förpliktelser som gäller informationssäkerhet. I 18 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet föreskrivs det om skyldigheten för företag att tillåta att representanter för myndigheter, internationella organ och fördragsslutande stater bekantar sig med deras säkerhetsarrangemang och verksamhetsutrymmen, när det är nödvändigt för att uppfylla en internationell förpliktelse som gäller informationssäkerhet. I 40 § i säkerhetsutredningslagen föreskrivs det att företaget ska ge den behöriga myndigheten en förbindelse om att företaget bevarar sin informationssäkerhetsnivå och ger myndigheten tillstånd att komma in i företagets lokaler för att övervaka att säkerhetsnivån bevaras. Avtalsförpliktelserna enligt artikeln motsvarar kraven i den nationella lagstiftningen.
Artikel 7. Förmedling av säkerhetsklassificerad information. Artikeln innehåller bestämmelser om hur parterna ska förmedla säkerhetsklassificerad information till varandra i elektronisk och icke-elektronisk form.
Enligt punkt 1 ska parterna förmedla säkerhetsklassificerad information till varandra genom skyddade mellanstatliga kanaler eller på något annat sätt som har avtalats mellan deras behöriga säkerhetsmyndigheter. Mottagande av information i säkerhetsklass LUOTTAMUKSELLINEN/KONFIDENTIELL eller ”VERTRAULICH” eller högre ska bekräftas skriftligen.
Enligt punkt 2 får säkerhetsklassificerad information förmedlas elektroniskt mellan parterna endast på ett sådant säkert sätt som har avtalats mellan de behöriga säkerhetsmyndigheterna.
Artikelns bestämmelser är i samklang med informationssäkerhetsförordningens 18 § om förmedling av en handling och 19 § om överföring av en handling i datanätet.
Artikel 8.Översättning, kopiering och utplåning av säkerhetsklassificerad information. Enligt punkt 1 i artikeln ska alla kopior och översättningar av säkerhetsklassificerad information vara försedda med tillämplig klassificeringsmärkning och skyddas på samma sätt som originalinformationen. Enligt samma punkt ska översättningarna och antalet kopior begränsas till det minimum det officiella syftet kräver.
Enligt punkt 2 ska alla översättningar förses med en tillämplig anteckning på det översatta språket om att de innehåller säkerhetsklassificerad information från den utlämnande parten.
Enligt punkt 3 får säkerhetsklassificerad information märkt ERITTÄIN SALAINEN/YTTERST HEMLIG eller ”STRENG GEHEIM” översättas eller kopieras endast med skriftligt samtycke av den utlämnande parten.
Enligt punkt 4 får säkerhetsklassificerad information märkt ERITTÄIN SALAINEN/YTTERST HEMLIG eller ”STRENG GEHEIM” inte utplånas utan skriftligt samtycke av den utlämnande parten. Informationen ska enligt samma punkt returneras till den utlämnande parten när parterna anser att den inte längre behövs.
Enligt punkt 5 ska säkerhetsklassificerad information märkt SALAINEN/HEMLIG eller ”GEHEIM”, eller med en lägre säkerhetsklass enligt artikel 4, förstöras när mottagaren anser att den inte längre behövs, i enlighet med mottagarens nationella lagar och bestämmelser.
Enligt punkt 6 ska informationen omedelbart utplånas, om en krissituation gör det omöjligt att skydda säkerhetsklassificerad information som har lämnats ut i enlighet med överenskommelsen. Den mottagande parten ska så fort som möjligt underrätta den utlämnande partens behöriga säkerhetsmyndighet om att den säkerhetsklassificerade informationen har utplånats i enlighet med punkt 6.
Bestämmelser om skyldigheten att se till att särskilt känsligt informationsmaterial skyddas på ett sätt som motsvarar säkerhetsklassen när sådant material produceras, kopieras, översänds, distribueras, lagras, utplånas eller hanteras i något annat avseende finns i 9 § 1 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet. Närmare bestämmelser om hanteringen har i Finland utfärdats på förordningsnivå. I 17 § i informationssäkerhetsförordningen, som har utfärdats med stöd av offentlighetslagen, föreskrivs det om kopiering av handlingar och i 21 § om arkivering och förstöring av handlingar.
Artikel 9.Besök. Enligt punkt 1 krävs det för besök som inbegriper tillgång till säkerhetsklassificerad information i säkerhetsklass LUOTTAMUKSELLINEN/KONFIDENTIELL eller ”VERTRAULICH” eller högre skriftligt förhandstillstånd av värdpartens behöriga säkerhetsmyndighet. Enligt led a–b i samma punkt ska besökare få tillgång till sådan information endast, om den sändande partens behöriga säkerhetsmyndighet har gett dem tillstånd till det begärda besöket eller de begärda besöken och om de har fått ett relevant intyg över säkerhetsutredning av person.
Enligt punkt 2 ska den tillämpliga behöriga säkerhetsmyndigheten hos den part som föreslår besöket underrätta värdpartens tillämpliga behöriga säkerhetsmyndighet om det planerade besöket i enlighet med bestämmelserna i artikeln och se till att värdpartens säkerhetsmyndighet får besöksbegäran minst 14 dagar före den planerade tidpunkten för besöket. I brådskande fall kan de behöriga säkerhetsmyndigheterna komma överens om en kortare tidsfrist. Besöksbegäran ska innehålla de uppgifter som anges i bilaga 2 till överenskommelsen.
Enligt punkt 3 är tillstånd för upprepade besök giltiga i högst tolv (12) månader.
Artikel 10.Säkerhetssamarbete. I artikeln föreskrivs det om säkerhetssamarbetet mellan de nationella och de behöriga säkerhetsmyndigheterna.
Enligt punkt 1 ska de nationella säkerhetsmyndigheterna för att genomföra överenskommelsen informera varandra om sina tillämpliga nationella lagar och bestämmelser som gäller skyddet av säkerhetsklassificerad information och om eventuella senare ändringar i dem.
Enligt punkt 2 ska de behöriga säkerhetsmyndigheterna samråda sinsemellan i syfte att säkerställa ett nära samarbete i genomförandet av överenskommelsen och informera varandra om sina nationella säkerhetsnormer, förfaranden och tillämpningar för skyddet av säkerhetsklassificerad information och om väsentliga ändringar i dem. För detta ändamål kan de behöriga säkerhetsmyndigheterna avlägga besök hos varandra. Bestämmelser om besök finns i 18 § i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt punkt 3 i artikeln kan de behöriga säkerhetsmyndigheterna även avlägga besök hos varandra för att diskutera genomförandet av en kontraktsparts åtgärder för att skydda säkerhetsklassificerad information i anknytning till ett säkerhetsklassificerat kontrakt.
Enligt punkt 4 ska säkerhetsmyndigheterna på begäran i enlighet med sina nationella lagar och bestämmelser bistå varandra med att utföra säkerhetsklareringar. Enligt 26 § 2 mom. 1 punkten i säkerhetsutredningslagen kan den behöriga myndighet som gör en säkerhetsutredning på tjänstens vägnar i enlighet med internationella avtal eller rättsregler från en utländsk myndighet inhämta en utredning som motsvarar de uppgifter som avses i 25 § 1 mom. 1−3 punkten och under vissa förutsättningar 4 punkten i säkerhetsutredningslagen. Avtalsförpliktelsen enligt denna punkt i artikeln motsvarar kraven i den nationella lagstiftningen.
Enligt punkt 5 ska de nationella säkerhetsmyndigheterna utan dröjsmål underrätta varandra om ändringar i relevanta intyg över säkerhetsutredningar.
Artikel 11.Kränkning av dataskyddet. Enligt punkt 1 ska vardera parten omedelbart skriftligen underrätta den andra parten om misstänkta eller upptäckta kränkningar av dataskyddet som rör säkerhetsklassificerad information som omfattas av överenskommelsen.
Enligt punkt 2 ska den part som har jurisdiktion utan dröjsmål undersöka misstänkta eller upptäckta kränkningar av dataskyddet. Den andra parten ska vid behov samarbeta i undersökningen.
Enligt punkt 3 ska den part som har jurisdiktion, i enlighet med sina nationella lagar och bestämmelser, vidta alla tillämpliga åtgärder som är möjliga för att begränsa konsekvenserna av de kränkningar av dataskyddet som avses i punkt 1 och för att förebygga ytterligare kränkningar. Den andra parten ska informeras om resultatet av utredningen och de genomförda åtgärderna.
Bestämmelser som rör förpliktelserna i artikeln ingår i 19 § i lagen om internationella förpliktelser som gäller informationssäkerhet.
Artikel 12.Kostnader. Enligt artikeln ska vardera parten bära sina egna kostnader för fullföljandet av förpliktelserna i överenskommelsen.
Artikel 13.Tvistlösning. Enligt artikeln ska alla tvister mellan parterna som gäller tolkning eller tillämpning av överenskommelsen uteslutande avgöras i samråd mellan parterna.
Artikel 14. Slutbestämmelser. Artikeln innehåller bestämmelser om ikraftträdande, ändring och uppsägning av överenskommelsen och om förpliktelser till följd av uppsägning.
Enligt punkt 1 i artikeln ska parterna underrätta varandra när de nationella åtgärder som krävs för ikraftträdandet av överenskommelsen har slutförts. Överenskommelsen träder i kraft den första dagen den andra månaden efter det att den senare underrättelsen har tagits emot.
Enligt punkt 2 gäller överenskommelsen tills vidare. Överenskommelsen kan ändras på gemensam skriftlig överenskommelse mellan parterna. En part kan när som helst föreslå ändringar i överenskommelsen. Om endera parten föreslår ändringar, ska parterna inleda förhandlingar om en ändring av överenskommelsen.
Enligt punkt 3 kan en part säga upp överenskommelsen genom skriftlig anmälan till den andra parten via diplomatiska kanaler, iakttagande en uppsägningstid på sex (6) månader. Om överenskommelsen sägs upp, ska säkerhetsklassificerad information som redan har tillhandahållits eller som uppkommer genom överenskommelsen hanteras i enlighet med överenskommelsens bestämmelser så länge det är nödvändigt för att skydda informationen.