2 kap.
Ställning och rättigheter för den
som utredningen gäller
4 §
Meddelande om säkerhetsutredning
Den som har för avsikt att ansöka om en säkerhetsutredning
av en person som ska utses till ett anställningsförhållande
eller ett uppdrag ska meddela detta i den annons som gäller
tillsättandet av tjänsten eller uppdraget eller
på något annat lämpligt sätt.
Detsamma gäller utbildningsanordnare, om det är
meningen att en säkerhetsutredning av person ska begäras
om den som antas till utbildning.
Den som har för avsikt att ansöka om en säkerhetsutredning
av ett företag med vilket ett upphandlingsavtal avses bli
ingånget ska meddela detta i upphandlingsannonsen eller
i anbudsförfrågan. Om det inte är frågan
om försvars- och säkerhetsupphandling enligt lagen
om offentlig försvars- och säkerhetsupphandling (1531/2011)
får upplysningen om denna avsikt också lämnas
på annat sätt.
Bestämmelserna i 1 och 2 mom. tillämpas inte,
om den som utredningen gäller själv ansöker om
säkerhetsutredning.
5 §
Samtycke av den som utredningen gäller
En allmän förutsättning för
att en säkerhetsutredning och en kontroll av tillförlitligheten
enligt 51 § i anslutning till en säkerhetsutredning ska
kunna genomföras är att den som utredningen gäller
på förhand har gett sitt skriftliga samtycke till
detta.
Av samtyckeshandlingen ska det framgå att den som utredningen
gäller före sitt samtycke har informerats om syftet
med säkerhetsutredningen och kontrollen av tillförlitligheten
och hur dessa används, om databehandlingen i samband med
säkerhetsutredningen och kontrollen av tillförlitligheten
samt om sin rätt att ta del av utredningens innehåll.
Samtycke till en säkerhetsutredning av person kan ges
så att samtycket täcker alla de situationer där
det under det anställningsförhållande eller
uppdrag som angivits i samtycket behöver göras
en säkerhetsutredning eller utfärdas ett intyg över
säkerhetsutredning av person. Samtycke kan också ges
så att det omfattar alla arbetsuppgifter inom ett visst
förvaltningsområde.
Om den som utredningen gäller själv ansöker om
säkerhetsutredning, ska han eller hon i stället
för en samtyckeshandling lämna en anmälan med
de uppgifter som avses i 2 mom.
6 §
Rätt att få information om säkerhetsutredning
Var och en har rätt att få information av
den behöriga myndigheten om huruvida det har gjorts en
säkerhetsutredning om honom heller henne eller det företag
vars talan han eller hon för. Den som utredningen gäller
har rätt att av den behöriga myndigheten på begäran
få de uppgifter som finns i utredningen.
Den som ansökt om säkerhetsutredningen ska informera
den som utredningen gäller om utredningens resultat. Om
utredningen har getts i skriftlig form, ska utredningen ges för
påseende eller på begäran överlämnas
i form av en kopia.
Bestämmelserna i 1 och 2 mom. tillämpas inte,
om informationen har sitt ursprung i personregister som en registrerad
enligt lag inte har rätt till insyn i.
Om den behöriga myndigheten vägrar att lämna
informationen, ska den i ett skriftligt beslut till den som begärt
informationen uppge skälen för detta.
7 §
Anmärkningsrätt för den som utredningen
gäller
Den person som en säkerhetsutredning gäller har
rätt att göra anmärkningar om sådant
som framkommit i samband med en intervju eller vid kontroll av uppgifterna
på blanketten för personuppgifter enligt 28 §.
Den behöriga myndigheten ska anteckna en anmärkning
som gjorts av den som utredningen gäller i hans eller hennes
säkerhetsutredning, om inte uppgiften genast rättas
med anledning av anmärkningen eller anmärkningen
måste betraktas som uppenbart ogrundad.
Om den behöriga myndigheten vägrar anteckna
anmärkningen i säkerhetsutredningen, ska myndigheten
meddela den som utredningen gäller orsaken till detta i
ett skriftligt beslut.
Särskilda bestämmelser gäller för
rättelse av uppgifter i register.
8 §
Tillämpning av bestämmelserna på närstående
Vad som i detta kapitel föreskrivs om samtycke, rätt
till information och anmärkningsrätt för
den som utredningen gäller ska också tillämpas
på en närstående till honom eller henne,
om en säkerhetsutredning görs om den närstående med
stöd av 29 §.
3 kap.
Behöriga myndigheter och styrning av deras prövningsrätt
9 §
Behöriga myndigheter
Skyddspolisen fattar beslut om huruvida en normal säkerhetsutredning
av person eller en säkerhetsutredning av företag
ska göras, om inte något annat föreskrivs
nedan. Skyddspolisen gör en begränsad säkerhetsutredning
av person, om en sådan behövs för att
uppfylla en internationell förpliktelse som gäller
informationssäkerhet. Uppdrag enligt denna lag kan vid
skyddspolisen skötas av kontaktpersoner som anvisats av huvudstaben.
En av Polisstyrelsen utsedd enhet inom polisförvaltningen
fattar beslut om huruvida en begränsad säkerhetsutredning
av person ska göras, om inte något annat följer
av 1 eller 3 mom.
Huvudstaben fattar beslut om huruvida en säkerhetsutredning
av person ska göras, om den som utredningen gäller
arbetar eller kommer att arbeta inom försvarsmakten eller
sköter ett uppdrag på förordnande av
försvarsmakten eller om säkerhetsutredningen hänför
sig till verksamhet eller upphandling inom försvarsmakten.
Huvudstaben fattar beslut om huruvida en säkerhetsutredning
ska göras av ett företag som sköter eller kommer
att sköta ett uppdrag på förordnande
av försvarsmakten eller av ett företag som hänför sig
till upphandling inom försvarsmakten. Huvudstaben kan delegera
kontrollen av de registeruppgifter som behövs för
en säkerhetsutredning till en enhet inom försvarsmakten
under dess tillsyn som den utser, och i detta syfte ge tillträde
till de register som används vid kontrollen. Huvudstaben
kan även ge denna enhet rätt att underrätta
en enhet inom försvarsmakten som ansökt om en
säkerhetsutredning av en person om att registeruppgifterna
inte uppvisar något som skulle vara negativt med tanke
på personens tillförlitlighet.
Kommunikationsverket gör som ett led i en säkerhetsutredning
av företag en utredning om nivån på informationssäkerheten
i informationssystem och datakommunikation.
Trots vad som föreskrivs ovan kan de behöriga
myndigheterna i enskilda fall komma överens om att en myndighet
gör en säkerhetsutredning eller en del av den
i en annan myndighets ställe eller utfärdar intyg över
säkerhetsutredningen.
10 §
Myndighetens prövning i fråga om säkerhetsutredning
En säkerhetsutredning görs inte, om det finns en
giltig motsvarande säkerhetsutredning om den som utredningen
gäller, om inte något annat följer av
särskilda skäl.
Om det inte i lag har föreskrivits om skyldighet
att skaffa säkerhetsutredning eller intyg över en
säkerhetsutredning, görs säkerhetsutredningarna
med de resurser som den behöriga myndigheten har till sitt
förfogande och med hänsyn till
1) behovet att uppfylla internationella förpliktelser
som gäller informationssäkerhet,
2) vilken allmän betydelse den säkerhetsutredning
som ansökan gäller har för att trygga
informationssäkerheten inom den offentliga förvaltningen
eller för att skydda vitala samhällsfunktioner
eller synnerligen viktiga enskilda intressen,
3) likabehandling av dem som ansökt om säkerhetsutredning
och av dem som utredningarna gäller.
11 §
Omständigheter som ska beaktas vid säkerhetsutredning
av person
Om det vid en säkerhetsutredning av person framkommer
att han eller hon har dömts till straff genom ett lagakraftvunnet
avgörande eller med stöd av 3 kap. 4 § 1
eller 2 mom. i strafflagen (39/1889) inte har tilldömts
straff, ska den behöriga myndigheten vid prövning
av utredningens resultat särskilt beakta
1) den tid som förflutit från tidpunkten
för gärningen,
2) hur gammal den som utredningen gäller var vid
tidpunkten för gärningen,
3) huruvida gärningen har upprepats och den likgiltighet
för andras rättigheter eller bristande omdöme
som detta visar på,
4) påföljdernas stränghet,
5) gärningens art eller betydelse i förhållande till
den arbetsuppgift som utredningen görs för.
Bestämmelserna i 1 mom. tillämpas också vid bedömning
av uppgifter om beslut som polisväsendet i sin verksamhet
fattat i fråga om den som utredningen gäller eller
om åtgärder som polisväsendet i sin verksamhet
riktat mot honom eller henne.
Bestämmelser om begränsning av användningen
av uppgifter i vissa fall finns i 32 §.
12 §
Nämnden för bedömningskriterier
I anslutning till justitieministeriet finns det en av statsrådet
tillsatt nämnd för bedömningskriterier.
Nämnden består av företrädare
för det ministerium som har ansvar för den allmänna
styrningen av informationssäkerheten inom den offentliga
förvaltningen och företrädare för
försvarsförvaltningen, utrikesförvaltningen
och övriga förvaltningsområden som är
centrala för skyddet av allmänna intressen, fackorganisationerna
och näringslivet samt medlemmar som företräder
den behövliga juridiska sakkunskapen.
Som underlag för de behöriga myndigheternas
beslut samt för främjande av en enhetlig och konsekvent
tolkningspraxis ska nämnden behandla och lägga
fram allmänna tolkningsrekommendationer om
1) vilka arbetsuppgifter det med med hänsyn till
de i lag angivna kriterierna kan göras en säkerhetsutredning
för,
2) hur det är ändamålsenligt
att bedöma olika slags uppgifter om en gärning
med tanke på skötseln av olika slags arbetsuppgifter
och om behovet att intervjua den som utredningen gäller i
samband med bedömningen,
3) vilka omständigheter som kan påverka
utfärdandet av intyg över säkerhetsutredning,
4) återkallelse av en säkerhetsutredning
och intyget över den,
5) övriga åtgärder för
att i utredningsförfarandet säkerställa
enhetlig och jämlik behandling av dem som ansöker
om säkerhetsutredning och av dem som utredningen gäller.
Utöver vad som föreskrivs i 2 mom. ska nämnden
för bedömningskriterier ge skyddspolisen ett utlåtande
med anledning av en ansökan som avses i 22 §.
13 §
Samarbete mellan behöriga myndigheter
De behöriga myndigheterna ska bedriva samarbete sinsemellan
för att skapa ett enhetligt sätt att utforma säkerhetsutredningarna
och intygen över dem och för att skapa en enhetlig
praxis för tillämpningen av rekommendationerna
från nämnden för bedömningskriterier.
4 kap.
Säkerhetsutredning av person
Utförligheten av en säkerhetsutredning av
person
14 §
Normala, omfattande och begränsade säkerhetsutredningar
av personer
En säkerhetsutredning av person kan göras som
en begränsad, en normal eller en omfattande säkerhetsutredning
så som föreskrivs i detta kapitel.
Ansökan om säkerhetsutredning av person
15 §
Rätt att ansöka om säkerhetsutredning
av person
Om inte något annat följer av internationella förpliktelser
som gäller informationssäkerhet eller om inte
något annat föreskrivs i lag, får säkerhetsutredning
av person sökas av arbetsgivaren till den som utredningen
gäller eller av den som står för förordnandet
av det uppdrag eller arbetsuppgifter inom det uppdrag som den som utredningen
gäller kommer att sköta eller sköter.
Om utredningen görs i fråga om någon
som ska antas till utbildning, är det utbildningsanordnaren
som ska ansöka om säkerhetsutredning.
Säkerhetsutredning av person kan göras
också på ansökan av någon annan än
den som avses i 1 mom., om en säkerhetsutredning förutsätts
i en internationell organisations eller ett internationellt organs
stadgar eller i en annan stats lag och om utredningen behövs
för att den som utredningen gäller ska kunna
1) utses att sköta uppdrag i en internationell organisation
eller i ett internationellt organ eller i en annan stat,
2) inleda företagsverksamhet i en annan stat.
16 §
Statsförvaltningsmyndigheters skyldighet att ansöka
om säkerhetsutredning av person
Genom förordning av statsrådet får
det föreskrivas att en statsförvaltningsmyndighet
ska skaffa en säkerhetsutredning av en sådan person som
annat än tillfälligt har rätt att hantera
handlingar på skyddsnivå I eller II eller som
annars sköter sådana arbetsuppgifter där
han eller hon genom att röja sekretessbelagda uppgifter
eller begå någon annan lagstridig gärning,
på ett betydande sätt kan äventyra statens
säkerhet, försvaret, internationella förbindelser,
beredskap för undantagsförhållanden,
befolkningsskyddet eller vitala samhällsfunktioner eller
säkerhetsarrangemang för skyddet av nämnda
intressen.
Bestämmelser om när intyg över säkerhetsutredning
av person krävs för utnämning till en tjänst
finns i statstjänstemannalagen (750/1994).
17 §
Ansökan om säkerhetsutredning av person och uppgifter
som ska lämnas för behandlingen av ansökan
En säkerhetsutredning av person ska sökas skriftligt.
Ansökan ska åtföljas av en samtyckeshandling
enligt 5 § 2 mom. eller, om personen själv ansöker
om en säkerhetsutredning, en redogörelse enligt
5 § 4 mom.
Ansökan om säkerhetsutredning av
person ska innehålla följande uppgifter:
1) namnet på den som utredningen gäller
och hans eller hennes personbeteckning, eller, om personbeteckning
saknas, personens födelsetid och födelseplats,
samt hans eller hennes hemkommun, kontaktinformation, medborgarskap och
yrke samt ändringar i namnet, personbeteckningen eller
medborgarskapet,
2) den tjänst eller det uppdrag som den som utredningen
gäller ska utses till eller som han eller hon sköter,
3) sådan information om tjänsten
eller uppdraget som behövs när förutsättningarna
för säkerhetsutredningen prövas,
4) huruvida avsikten är att före
utnämningen, på det sätt som särskilt
föreskrivs i lag, be den som utredningen gäller
visa upp ett intyg över narkotikatest, skaffa kreditupplysningar
om honom eller henne eller låta honom eller henne genomgå läkarundersökning.
När en normal eller omfattande säkerhetsutredning
av person söks ska ansökan åtföljas
av uppgifter om vilka orter den som utredningen gäller
har varit bosatt på eller vistats en längre tid
på under högst de tio senaste åren samt
matrikelutdrag eller någon annan utredning om utbildning
och tjänste- och arbetsavtalsförhållanden
under minst de tio senaste åren. Uppgifter som motsvarar
matrikelutdrag behöver inte visas upp i fråga
om den som redan är anställd hos den behöriga
myndigheten eller inom myndighetens förvaltningsområde,
om den behöriga myndigheten kan skaffa uppgifterna på tjänstens vägnar.
När en omfattande säkerhetsutredning av person
söks ska en blankett för personuppgifter enligt
28 § fogas till ansökan eller ges in separat.
Den som ansöker om en säkerhetsutredning av
person ska utöver vad som föreskrivs ovan på begäran
av den behöriga myndigheten lämna uppgifter som
enligt denna lag ska beaktas vid bedömningen av förutsättningarna
för att en säkerhetsutredning ska göras
eller för att ett intyg över säkerhetsutredningen
ska utfärdas.
Förutsättningar för säkerhetsutredning
av person
18 §
Överensstämmelse med säkerhetskraven
som en allmän förutsättning
En allmän förutsättning för
säkerhetsutredning av person är att sökanden
genom tekniska eller andra åtgärder har begränsat
tillgången till uppgifter som skyddas och har sett till
att lokaler och informationssystem är skyddade samt har vidtagit
andra behövliga åtgärder för
att genomföra informationssäkerhet och andra säkerhetsarrangemang.
Överensstämmelse med kraven enligt 1 mom. kan
påvisas genom ett intyg utfärdat av ett godkänt
bedömningsorgan som avses i lagen om bedömningsorgan
för informationssäkerhet (1405/2011),
genom ett intyg utfärdat i enlighet med lagen om bedömning
av informationssäkerheten i myndigheternas informationssystem
och datakommunikation (1406/2011), genom en säkerhetsplan
eller på något annat sätt som den behöriga
myndighet som beslutar att säkerhetsutredning ska göras
godkänner.
Bestämmelserna ovan tillämpas inte, om en säkerhetsutredning
av person görs med stöd av 19 § 2 mom.
eller 21 § 2 mom. eller om den som utredningen gäller
sköter arbetsuppgifter som avses i 43 § 1 mom.
2 punkten.
19 §
När får en normal säkerhetsutredning
av person göras
En normal säkerhetsutredning av person får göras
i fråga om den som ska utses till ett anställningsförhållande
eller uppdrag eller som arbetar i ett anställningsförhållande
eller med ett uppdrag och som
1) får rätt att annat än
tillfälligt hantera myndighetshandlingar som kan eller
ska säkerhetsklassificeras på skyddsnivåerna
II eller III, eller annars sköter sådana uppgifter
där han eller hon genom att röja sekretessbelagd
information eller begå någon annan lagstridig
gärning, på ett betydande sätt kan äventyra
statens säkerhet, försvaret, internationella förbindelser,
beredskapen för undantagsförhållanden,
befolkningsskyddet eller vitala samhällsfunktioner eller
säkerhetsarrangemang för skyddet av nämnda
intressen,
2) sköter arbetsuppgifter vid riksdagens kansli,
republikens presidents kansli, riksdagens justitieombudsman eller
statens revisionsverk och i sina arbetsuppgifter får information
som kan jämföras med information som avses i 1
punkten eller får permanent tillträde till riksdagens
eller dess ämbetsverks lokaler,
3) arbetar med uppgifter som direkt stöder statsledningen
och där särskild tillförlitlighet kan
förutsättas,
4) arbetar med uppgifter där man kan skada funktionen
hos den infrastruktur som är nödvändig
för ett fungerande samhälle eller den kritiska
produktionens kontinuitet,
5) i egenskap av ett informationssystems huvudanvändare
eller med beaktande av sina övriga befogenheter kan skada
sådana informationssystem som är centrala med
tanke på myndigheternas verksamhet och de grundläggande
samhällsfunktionerna eller skada informationssäkerheten
i dessa informationssystem,
6) i sina arbetsuppgifter har tillgång till
information som om den röjs eller blir föremål
för annan hantering eller annan obehörig verksamhet kan
förorsaka allvarlig skada för samhällsekonomin
eller fungerande finans- och försäkringssystem
eller för näringsverksamhet av nationell betydelse.
En normal säkerhetsutredning av person får göras
också i syfte att uppfylla en internationell förpliktelse
som gäller informationssäkerhet samt på ansökan
av en person inför ett uppdrag i en internationell organisation
eller i ett internationellt organ i enlighet med 15 § 2
mom., eller när han eller hon håller på att
utses eller antas
1) till uppgifter inom försvarsförvaltningen, som
studerande vid Försvarshögskolan, till utbildning
enligt lagen om frivilligt försvar (556/2007),
till uppgifter inom Försvarsutbildningsföreningen
eller till krishanteringsuppdrag och fredsbevarande uppdrag som
genomförs som internationellt samarbete eller till utbildnings-
och övningsverksamhet som hänför sig till
krishantering och fredsbevarande uppdrag,
2) som studerande vid Polishögskolan eller till
uppgifter inom gränsbevakningsväsendet,
3) till utbildning som syftar till att utbilda personer
för uppgifter inom utrikesförvaltningen.
En normal säkerhetsutredning av person görs också på en
sådan ansökan som skyddspolisen handlägger
med stöd av 24 § 1 mom. eller har godkänt
att förfarandet med säkerhetsutredning ska tillämpas
på i enlighet med 22 §.
20 §
När får en omfattande säkerhetsutredning
av person göras
En omfattande säkerhetsutredning av person får
göras endast i fråga om den som
1) i sina arbetsuppgifter får rätt
att annat än tillfälligt hantera klassificerade
handlingar på skyddsnivå I eller II,
2) sköter sådana uppgifter där
han eller hon genom att röja sekretessbelagda uppgifter
eller begå någon annan lagstridig gärning
kan skada statens säkerhet, försvaret eller Finlands
internationella förbindelser,
3) behöver ett intyg över säkerhetsutredning av
person på grund av en internationell förpliktelse
som gäller informationssäkerhet eller för att
kunna utses till uppdrag inom en internationell organisation eller
ett internationellt organ.
21 §
När får en begränsad säkerhetsutredning
av person göras
En begränsad säkerhetsutredning
av person får göras i fråga om den som
ska utses till ett anställningsförhållande
eller ett uppdrag eller som arbetar i ett anställningsförhållande
eller med ett uppdrag och som
1) får rätt att hantera myndighetshandlingar på skyddsnivåerna
III och IV,
2) arbetar med att framställa pass eller identitetskort
eller andra sådana intyg som utfärdas av en myndighet,
om det ställs ett särskilt krav på tillförlitlighet,
3) får permanent tillträde till en
myndighets lokaler eller områden som är stängda
för allmänheten och där självständigt
utför byggnads-, installations-, underhålls- eller
bevakningsuppgifter eller andra med dem jämförbara
uppgifter, om obehörig användning av information
som kan fås om en lokal eller ett område eller
en lagstridig gärning där kan äventyra
den allmänna säkerheten, statens säkerhet
eller något annat betydande allmänt intresse,
4) har tillträde till för allmänheten
stängda lokaler på flygplatser eller i hamnar
eller på andra trafikområden av betydelse för
fortsatta och säkra trafikförbindelser inom och
utom landet eller till platser som är av betydelse för
allmänt fungerande datakommunikationsförbindelser
eller el- och energiproduktion,
5) deltar i transport av kärnämnen
eller har tillträde till en kärnanläggning
eller genom tillträde till det område där
en kärnanläggning byggs har tillgång
till uppgifter om faktorer som inverkar på kärnanläggningens
säkerhet eller har tillträde till platser där
kärnämnen används eller lagras eller
till platser där strålkällor används
eller lagras och där mängden radioaktiva ämnen motsvarar
eller överskrider den aktivitetsnivå för
slutna strålkällor med hög aktivitet
som avses i strålskyddslagstiftningen,
6) har arbetsuppgifter som anknyter till tillverkning
eller transport av sprängämnen eller på något
annat sätt kan komma i besittning av en betydande mängd
sprängämnen eller andra sådana ämnen
som genom obehörig hantering kan förorsaka skada
på ett vidsträckt område eller för en
stor mängd människor,
7) kan komma i besittning av en betydande mängd ämnen
som kan användas som biologiska vapen, kemiska vapen eller
toxinvapen,
8) arbetar med sådana uppgifter som hör
till eller stöder samhällsteknisk service, livsmedelsförsörjning
eller läkemedelsförsörjning och där man
kan förorsaka allvarlig fara för allmänhetens
hälsotillstånd eller säkerhet,
9) har tillträde till en central för
penningräkning eller arbetar inom penningtillverkning,
sköter för arbetsgivarens eller för arbetsgivarens kunders
räkning värdetransporter eller i andra med dem
jämförbara förhållanden självständigt och
utan fortlöpande övervakning hanterar kvalitativt
eller kvantitativt betydande egendom, såsom pengar, värdepapper
eller värdeföremål,
10) på grund av sin ställning får
rättigheter att överföra arbetsgivarens
eller arbetsgivarens kunders medel eller ändra uppgifter
om dem och om utövande av rättigheterna i strid
med bemyndiganden eller anvisningar kan förorsaka allmän skada
för finans- eller försäkringssystemets
tillförlitlighet eller betydande skada för ett
finansiellt institut eller en försäkringsanstalt
eller deras kunder.
En begränsad säkerhetsutredning
får göras också i fråga om en
person som
1) avses bli utsedd till civila krishanteringsuppdrag
enligt lagen om civilpersonals deltagande i krishantering (1287/2004)
eller antagen till utbildnings- eller övningsverksamhet
som hänför sig till civil krishantering,
2) arbetar med lednings- eller sakkunniguppgifter inom
Nödcentralverkets förvaltning eller med jouruppgifter
vid en nödcentral eller med lednings- eller sakkunniguppgifter
inom polis- eller räddningsväsendets förvaltning
eller med uppgifter inom räddningsverksamheten,
3) avses bli antagen till sådan utbildning
enligt lagen om Räddningsinstitutet (607/2006) som
leder till yrkesinriktad examen inom räddningsväsendet
eller nödcentralsverksamheten, till utbildning för
räddningsväsendets befäl som leder till
yrkeshögskoleexamen eller till utbildning vid Brottspåföljdsområdets
utbildningscentral,
4) har ansökt om kompetensbrev för
laddare eller sökt till utbildning för ansvarig
föreståndare, utbildare i användningen
av maktmedel och väktare enligt lagen om privata säkerhetstjänster
(282/2002).
En begränsad säkerhetsutredning görs
i fråga om dem som sköter eller ska utses till
sådana arbetsuppgifter som skyddspolisen i enlighet med 22 § har
godkänt för förfarandet med säkerhetsutredning
eller som skyddspolisen i enlighet med 24 § har överfört
för att handläggas som begränsad säkerhetsutredning.
22 §
Godkännande av att förfarandet med säkerhetsutredning
tillämpas i fråga om vissa arbetsuppgifter
Utöver vad som föreskrivs i 19
och 21 § får skyddspolisen på ansökan
av ett företag fatta beslut om att godkänna tillämpning
av förfarandet med normal eller begränsad säkerhetsutredning av
person när någon som vid företaget eller
vid ett företag som är dess underentreprenör
utses till eller sköter arbetsuppgifter där han
eller hon
1) får sådana rättigheter
att använda arbetsgivarens eller arbetsgivarens kunders
informationssystem som, om de utövas på obehörigt
sätt, kan avbryta eller på ett betydande sätt äventyra informationssystemets
funktion så att detta orsakar ett omfattande avbrott i
produktionsverksamheten eller på något annat därmed
jämförbart sätt förorsakar arbetsgivaren
eller arbetsgivarens kunder betydande ekonomisk skada,
2) får tillgång till sådan
information om arbetsgivarens eller arbetsgivarens samarbetspartners
affärs- och yrkeshemligheter, teknologiska utvecklingsarbete
eller utnyttjandet av det som, om informationen överlåts,
används eller annars hanteras på obehörigt
sätt, förorsakar arbetsgivaren, arbetsgivarens
kunder eller samarbetspartner betydande ekonomisk skada.
Utöver vad som föreskrivs i 18 § förutsätts
det för skyddspolisens beslut om godkännande av förfarandets
tillämplighet
1) att företaget på grund av branschen
i fråga eller sin verksamhet kan bli föremål
för företagsspionage, eller
2) att en utredning behövs för skyddet
av ytterst viktiga enskilda ekonomiska intressen.
Skyddspolisen ska innan den fattar ett beslut enligt 1 mom.
begära ett utlåtande av nämnden för
bedömningskriterier om en ansökan som ett företag
lämnat in till skyddspolisen.
Skyddspolisen ska i behövlig utsträckning
informera den enhet inom polisförvaltningen som gör
begränsade säkerhetsutredningar om ett beslut
som avses i 1 mom.
Åtgärder vid säkerhetsutredning av
person
23 §
Användning och kontroll av registeruppgifter samt intervju
med den som utredningen gäller
En säkerhetsutredning av person görs genom att
registeruppgifter om personen kontrolleras på det sätt
som föreskrivs i detta kapitel samt vid behov genom att
den som utredningen gäller intervjuas om sin situation
i allmänhet, vistelse utomlands och sina relationer
till medborgare i andra länder samt om andra omständigheter
som är av särskild betydelse för bedömningen
av hans eller hennes tillförlitlighet med tanke på de arbetsuppgifter
som utredningen görs för.
Den behöriga myndigheten har trots sekretessbestämmelserna
rätt att av andra myndigheter få och för
säkerhetsutredningen använda uppgifter med vars
hjälp det kan säkerställas att registeruppgifterna
inte är föråldrade eller annars vilseledande.
Vid genomförandet av en omfattande säkerhetsutredning
av person är det också möjligt att utreda
vilken ekonomisk ställning den som utredningen gäller
har samt utreda hans eller hennes närstående i
enlighet med 25 §.
24 §
Rätt för skyddspolisen att handlägga
en begränsad säkerhetsutredning av person eller
hänskjuta ansökan om en sådan
Trots vad som föreskrivs i 19 och 21 § kan skyddspolisen
pröva en ansökan om begränsad säkerhetsutredning,
om det är behövs för att trygga statens
säkerhet eller den allmänna säkerheten.
I detta syfte kan skyddspolisen samköra identifieringsuppgifterna
om den som utredningen gäller i det i 48 § avsedda
registret över säkerhetsutredningar med skyddspolisens
funktionella informationssystem.
Skyddspolisen kan hänskjuta en till skyddspolisen ställd
ansökan om säkerhetsutredning av person för
att handläggas som begränsad säkerhetsutredning
av person till den enhet inom polisförvaltningen som sköter
sådana ärenden, om det är ändamålsenligt
och förutsatt att ärendet inte med hänsyn
statens säkerhet eller den allmänna säkerheten
behöver behandlas av skyddspolisen.
Informationskällor
25 §
Informationskällor vid normal säkerhetsutredning
av person
En säkerhetsutredning av person får
bygga enbart på registeruppgifter som finns i
1) befolkningsdatasystemet,
2) straffregistret och näringsförbudsregistret och
i bötesregistrets uppgifter om bötesstraff,
3) det i justitieförvaltningens riksomfattande informationssystem
ingående rikssystemet för behandling av diarie-
och ärendehanteringsuppgifter bland uppgifterna om brottmål
som är eller har varit föremål för åtalsprövning
eller i registret över avgöranden och meddelanden
om avgöranden bland uppgifterna om avgöranden
i brottmål,
4) informationssystemet för polisärenden,
informationssystemet för förvaltningsärenden
och skyddspolisens funktionella informationssystem, vilka avses
i lagen om behandling av personuppgifter i polisens verksamhet (761/2003),
5) informationssystemet för militärrättsvården
och säkerhetsdataregistret, vilka förs av huvudstaben,
6) gränsbevakningsregistret, som förs
av staben för gränsbevakningsväsendet,
7) undersöknings- och handräckningssystemet,
som förs av Tullen,
8) register som gäller yrkesutövare
eller näringsidkare samt deras handlingsbehörighet,
9) register som förs av en myndighet som övervakar
i lag föreskriven verksamhet och vilka innehåller
uppgifter om handlingsbehörigheten för ett företags
ansvarsperson,
10) utlänningsregistret och visumregistret,
11) utsökningsregistret och kreditupplysningsregistret,
12) register som förs av myndigheter i en
annan stat och som motsvarar de register som avses i 1—3
punkten,
13) uppgifter i register som förs av en myndighet i
en annan stat och som motsvarar de register som nämns i
4 punkten, om registeruppgifterna
a) motsvarar uppgifter som kan föras in i de register
som nämns i 4 punkten,
b) har erhållits av en annan medlemsstat i Europeiska
unionen, på grundval av en internationell förpliktelse
som gäller informationssäkerhet eller ur ett sådant
myndighetsregister i en annan stat som motsvarar kraven ovan, och
c) lagras i ett personregister som den behöriga myndigheten
för.
För en normal säkerhetsutredning
får användas en anmälan som centralkriminalpolisen
gjort utifrån uppgifter som framgår av informationssystemet
för misstänkta, när anmälan
innehåller sådana uppgifter som skyddspolisen
behöver för att bedöma informationens
betydelse. Centralkriminalpolisen får göra en
anmälan, ifall
1) den som utredningen gäller utifrån tillgängliga
uppgifter i informationssystemet för misstänkta
har återkommande kontakter av permanent natur med sådana
personer som enligt domstolsbeslut ansetts ha deltagit i en organiserad
kriminell sammanslutnings verksamhet eller som i en pågående
förundersökning eller åtalsprövning
misstänkts ha deltagit i sådan verksamhet, om
kontakterna kan göra den som utredningen gäller
mottaglig för extern osaklig påverkan och därmed
riskera skyddet för ett intresse som ligger till grund
för säkerhetsutredningen, eller
2) centralkriminalpolisen utifrån informationen i informationssystemet
för misstänkta och andra eventuella upplysningar
anser att det föreligger grundad anledning att misstänka
att den som utredningen gäller gjort sig skyldig till deltagande
i en organiserad kriminell sammanslutnings verksamhet och det är
nödvändigt att förmedla informationen
för att skydda ett intresse som ligger till grund för
säkerhetsutredningen mot åtgärder eller
påverkan från organiserade kriminella sammanslutningars
sida eller för att förebygga brott, eller
3) det i fråga om den som utredningen gäller finns
flera sådana anteckningar i informationssystemet för
misstänkta som till sin natur och sitt innehåll är
betydande för bedömningen av personens tillförlitlighet
och som sammantagna ger centralkriminalpolisen grundad anledning
att misstänka att den som utredningen gäller kan äventyra
skyddet för de handlingar på skyddsnivåerna
I och II och uppgifterna i dem som personen fått i den
arbetsuppgift som ligger till grund för utredningen och
därmed gynna organiserade kriminella sammanslutningars åtgärder,
om det är nödvändigt att förmedla
informationen för att skydda statens viktiga säkerhetsintressen
mot åtgärder eller påverkan från
organiserade kriminella sammanslutningars sida eller för
att förebygga brott.
26 §
Uppgifter ur register som förs av utländska
myndigheter
Den som är föremål för en
säkerhetsutredning av person och som före utredningen
har bott utomlands utan avbrott mer än fem år
under de tio senaste åren kan för att säkerställa
en heltäckande säkerhetsutredning visa upp ett
intyg från en utländsk myndighet över
sådana registeruppgifter enligt 25 § 1 mom. 1—3
punkten som han eller hon kan få för detta ändamål
enligt lagstiftningen i landet i fråga.
Vad som föreskrivs i 1 mom. är
inte tillämpligt på
1) inhämtande av utredning från sådana
länder där den behöriga myndigheten i
enlighet med internationella avtal eller rättsregler kan
skaffa uppgifterna på tjänstens vägnar,
2) en person som under den tid som avses i 1 mom.
har varit anställd utomlands hos ett företag eller
en myndighet eller hos en internationell organisation eller ett
internationellt organ.
Utifrån den information som skyddspolisen inhämtat
i sin verksamhet ska skyddspolisen genom ett allmänt datanät
eller på annat lämpligt sätt informera
om de behöriga myndigheter i andra stater som i enlighet
med lagstiftningen i staten i fråga svarar för
utredningar om personers bakgrund eller för förande
av de register som anlitas i samband med utredningarna samt ge ut dessa
myndigheters kontaktinformation.
27 §
Informationskällor vid omfattande säkerhetsutredning
av person
Vid en omfattande säkerhetsutredning av
person är det utöver vad som föreskrivs
i 25 § möjligt att utreda
1) näringsverksamhet som personen bedriver eller
deltar i,
2) personens förmögenhet och skulder
samt andra ekonomiska bindningar,
3) personens familje- och släktskapsförhållanden.
28 §
Blankett för personuppgifter och kontroll av uppgifterna
på blanketten
Den person som en omfattande säkerhetsutredning
gäller ska som underlag för utredningen lämna
en anmälan om personuppgifter av vilken framgår
1) näringsverksamhet som han eller hon har bedrivit
eller deltagit i under de tio senaste åren,
2) hans eller hennes förmögenhet
och skulder samt andra ekonomiska bindningar,
3) hans eller hennes familje- och släktskapsförhållanden.
Utöver vad som föreskrivs i 25
och 27 § får den behöriga myndigheten
kontrollera de givna uppgifterna och för detta ändamål
skaffa information
1) som ingår i Skatteförvaltningens
offentliga beskattningsuppgifter,
2) ur register som har inrättats för
allmänt bruk och som innehåller offentliga uppgifter som
beskriver bedrivande av näringsverksamhet eller egendom,
3) från kreditinstitut och finansiella institut, om
den som utredningen gäller har gett sitt tillstånd
till det.
Den behöriga myndigheten ska ge den som utredningen
gäller möjlighet att yttra sig om de omständigheter
som framkommit vid kontroll av de uppgifter som han eller hon har
lämnat.
29 §
När en omfattande säkerhetsutredning av person
utsträcks till närstående
Om det är absolut nödvändigt för
att syftet med en omfattande säkerhetsutredning av person
ska uppnås, får utredningen i enskilda fall utsträckas
till att gälla också närstående
till den som utredningen gäller.
30 §
Informationskällor vid begränsad säkerhetsutredning
av person
Vid en begränsad säkerhetsutredning av person
ska de register som avses i 25 § 1 mom. 1—10
punkten användas som informationskällor, med undantag
för skyddspolisens funktionella informationssystem och
huvudstabens säkerhetsdataregister.
31 §
Specialbestämmelser om försvarsmakten och skyddspolisen
Utöver vad som föreskrivs i 25 § får
huvudstaben när den gör säkerhetsutredningar
av personer som ska utses till eller sköter arbetsuppgifter
inom försvarsmakten använda uppgifter som kan
fås ur värnpliktsregistret och ur registret över
krishanteringspersonal.
Uppgifter om hälsotillstånd och tjänsteduglighet
i värnpliktsregistret får beaktas i en säkerhetsutredning
endast om det är nödvändigt för att
trygga andras personliga säkerhet.
Vad som i 1 och 2 mom. föreskrivs om huvudstaben gäller
också skyddspolisen när den gör en säkerhetsutredning
av en person som ska utses till uppgifter inom skyddspolisen.
32 §
Begränsning av användningen av uppgifter i
säkerhetsutredning av person
Vid en säkerhetsutredning av person får
följande uppgifter inte användas:
1) sådana angivelser eller polisanmälningar eller
andra motsvarande uppgifter som getts in till polisen enligt vilka
han eller hon har begått eller kommer att begå ett
brott, om ingen förundersökning har inletts på basis
av uppgifterna,
2) sådana uppgifter om iakttagelser av honom
eller henne eller händelser i informationssystemet för
polisärenden där det har antagits vara frågan
om brottslig verksamhet,
3) uppgifter om brottsliga gärningar som begåtts
tio år tidigare, om inte uppgifterna kan fås ur
straffregistret,
4) uppgifter om gärningar som han eller hon har
begått innan han eller hon fyllt femton år, om det
inte är nödvändigt att uppgifterna används
i syfte att skydda andras personliga säkerhet inom försvarsmakten.
För att information om ett ärende
som är föremål för förundersökning
eller anhängigt hos åklagaren ska få användas
förutsätts det att
1) det utreds i vilken fas av handläggningen ärendet
befinner sig och av hurdan kvalitet de uppgifter är som
utpekar den som utredningen gäller som gärningsman,
2) det är nödvändigt att
uppgifterna används på grund av de särskilda
krav som hänför sig till de arbetsuppgifter med
tanke på vilka utredningen görs och på grund
av den misstänkta gärningens karaktär.
Sådana uppgifter om en persons hälsotillstånd
som ingår i informationssystemet för polisärenden,
informationssystemet för förvaltningsärenden
och skyddspolisens funktionella informationssystem, vilka avses
i lagen om behandling av personuppgifter i polisens verksamhet,
får beaktas när en utredning görs endast
om det är nödvändigt för att
trygga andras personliga säkerhet och uppgifterna baserar
sig på ett läkarintyg eller andra anteckningar
av en legitimerad yrkesutbildad person inom hälso- och
sjukvården eller på uppgifter som han eller hon
lämnat muntligt med stöd av lag, och det inte
råder oklarhet om att uppgifterna är korrekta.
Vad som föreskrivs ovan i detta moment hindrar inte den behöriga
myndigheten från att fästa arbetsgivarens uppmärksamhet
på behovet att vidta i 17 § 2 mom. 4
punkten avsedda åtgärder.
5 kap.
Säkerhetsutredningar av företag
33 §
Rätt att ansöka om säkerhetsutredning
av företag
Säkerhetsutredning av företag får
sökas
1) av den som behöver en utredning för
att fullgöra en i eller med stöd av lag föreskriven skyldighet
eller en skyldighet som följer av en internationell förpliktelse
som gäller informationssäkerhet,
2) av den myndighet som ämnar ingå avtal med
det företag som utredningen gäller, om företaget
i samband med avtalet får eller det med anledning av avtalet
uppkommer handlingar på skyddsnivå I—III,
3) i de fall som avses i 2 punkten av en enhet som
på uppdrag av en myndighet svarar för upphandling
inom statsförvaltningen eller av en enhet som tillhandahåller
statsförvaltningen gemensamma eller för omfattande
bruk avsedda informations- och kommunikationstekniska tjänster,
4) av den myndighet som övervakar verksamhet
som avses i 21 § 1 mom. 5 och 6 punkten.
I de fall som avses i 36 § 2 mom. kan en säkerhetsutredning
av företag göras på begäran
av företaget i fråga.
34 §
Statsförvaltningsmyndigheters skyldighet att ansöka
om säkerhetsutredning av företag
Genom förordning av statsrådet får
det föreskrivas att en statsförvaltningsmyndighet
ska skaffa en säkerhetsutredning i fråga om ett
företag som i syfte att fullfölja ett avtal med
statsförvaltningsmyndigheten tar emot klassificerade handlingar
på skyddsnivåerna I—III.
35 §
Ansökan om säkerhetsutredning av företag
En ansökan om säkerhetsutredning
av företag ska innehålla följande uppgifter:
1) namnet på och andra identifieringsuppgifter
om samt kontaktuppgifter till den som utredningen gäller,
2) de underleverantörer med vilka den som utredningen
gäller ämnar ingå avtal om genomförandet
av det projekt som säkerhetsutredningen görs med
anledning av, underentreprenörens andel i genomförandet
av projektet samt de uppgifter om underleverantören som
avses i 1 punkten,
3) utredning om att förutsättningarna
enligt 36 § för säkerhetsutredning av
företag är uppfyllda,
4) information om huruvida det är meningen att
med hjälp av säkerhetsutredningen påvisa
att företaget når upp till en viss informationssäkerhetsnivå och,
om så är fallet, information om bedömningsgrunden,
5) information om huruvida det över företagets
eller underleverantörens lokaler, informationssystem och
andra säkerhetsarrangemang har gjorts en bedömning
utförd av ett godkänt bedömningsorgan
som avses i lagen om bedömningsorgan för informationssäkerhet
och, om så är fallet, en kopia av det intyg som
utfärdats över bedömningen.
Ansökan ska åtföljas av en handling
med företagets samtycke till att en säkerhetsutredning görs,
om inte företaget självt gör ansökan.
36 §
Förutsättningar för säkerhetsutredning
av företag
En säkerhetsutredning av företag
får göras, om en utredning behövs för
att bedöma företaget, när
1) en sådan utredning förutsätts
eller möjliggörs i lag eller med stöd
av lag eller för att uppfylla en internationell förpliktelse
som gäller informationssäkerhet,
2) en myndighet håller på att ingå ett
avtal med ett företag och myndighetens klassificerade handlingar
kommer att överlämnas till företaget i
samband med detta,
3) den myndighet som övervakar verksamheten
begär en säkerhetsutredning om ett företag
som bedriver verksamhet som avses i 21 § 1 mom.
3 och 4 punkten eller som i egenskap av underentreprenör
håller på att medverka i ett projekt där
företaget eller dess arbetstagare har tillgång
till de uppgifter eller tillträde till de lokaler eller
områden som avses i de punkterna.
En säkerhetsutredning av företag
får göras, om en säkerhetsutredning förutsätts
i en internationell organisations eller ett internationellt organs
stadgar eller i en annan stats lag och om utredningen behövs
för att den som utredningen gäller ska kunna
1) bli utsedd att delta i ett projekt som ordnas eller
annars organiseras av en internationell organisation eller ett internationellt
organ eller bli utsedd att delta i ett upphandlingsförfarande
som ordnas i en annan stat,
2) inleda företagsverksamhet i en annan stat.
En säkerhetsutredning av företag kan utsträckas
också till ett företag som är underleverantör
till den som utredningen gäller till den del förutsättningarna
enligt 1 mom. uppfylls också i fråga
om underleverantören och den behöriga myndigheten
anser att utredningen behövs.
Genom förordning av statsrådet får
det föreskrivas att en säkerhetsutredning av företag
får göras också för att skydda
sådan information om affärs- och yrkeshemligheter
eller teknologiskt utvecklingsarbete vid företaget som
om den användes, hanterades och överläts
på ett obehörigt sätt skulle förorsaka
företaget betydande ekonomisk skada eller om det ligger
i allmänt intresse att skydda informationen.
37 §
Informationskällor vid säkerhetsutredning
av företag
Vid en säkerhetsutredning av företag
får följande uppgifter användas:
1) uppgifter om företaget, dess ägare
och deras nationalitet, om sådana uppgifter finns tillgängliga,
2) sådana uppgifter om företaget
som avses i 6 § 1 mom. i lagen om kundinformationssystemet
för företagstjänster (240/2007),
3) uppgifter om företagets verksamhet, antalet
anställda och andra omständigheter som allmänt
beskriver personalen,
4) kreditupplysningar om företaget och dess ansvarspersoner,
5) sådana uppgifter om företagets
förmögenhet som finns i register som inrättats
för allmänt bruk eller som fås ur andra
offentliga källor eller som företaget självt
lämnar för utredningen,
6) uppgifter i utsökningsregistret, offentliga uppgifter
som fås från skattemyndighetens informationssystem
samt uppgifter om skattefordringar eller uppgifter från
en försäkringsanstalt om försummelse
av en sådan fordran som baserar sig på en lagstadgad
försäkring och som enligt lagen om verkställighet
av skatter och avgifter (706/2007) är direkt utsökbar,
7) uppgifter i utlänningsregistret,
8) uppgifter om penninginstitut och kreditinstitut,
om företaget gett sitt samtycke till att uppgifterna används
eller lämnat uppgifterna,
9) uppgifter om straff och vite som företaget har
dömts till eller förelagts samt om brott som riktats
mot företaget.
Utöver vad som föreskrivs i 1 mom. 3 punkten
ska 4 kap. iakttas när det gäller informationskällor
för sådana säkerhetsutredningar av ett
företags ansvarspersoner som görs som ett led
i en säkerhetsutredning av själva företaget.
38 §
Handläggning av säkerhetsutredningar av företag
Vid en säkerhetsutredning av företag
ska det med hjälp av uppgifterna i ansökan och
de informationskällor som avses i 37 § samt genom
inspektion av företaget och dess lokaler samt dess informationssystem
och datakommunikation utredas hur företaget kan se till
att
1) information skyddas mot att bli obehörigen
röjd, ändrad eller utplånad,
2) obehörigt tillträde förhindras
till lokaler där information hanteras eller annan sådan
verksamhet bedrivs som utredningen görs i syfte att skydda,
3) personalen får behövlig handledning
och utbildning.
Om syftet med en säkerhetsutredning av företag är
att visa att företaget når upp till en viss informationssäkerhetsnivå,
ska det klarläggas huruvida kraven för den nivån är
uppfyllda.
En säkerhetsutredning av företag får
också genomföras partiellt, om det behövs
för att uppfylla en internationell förpliktelse
som gäller informationssäkerhet eller om det annars är
befogat för att syftet med säkerhetsutredningen
ska uppnås.
39 §
Inspektioner vid säkerhetsutredning av företag och
myndighetens rätt till information
Det företag som en säkerhetsutredning gäller ska
lämna den myndighet som gör utredningen de uppgifter
som behövs för att säkerhetsutredningen
ska kunna göras samt för detta ändamål ge
dem som gör utredningen och utför inspektioner
tillträde till sina lokaler.
Den behöriga myndigheten kan i behövlig omfattning
inspektera de säkerhetsarrangemang som har vidtagits för
att skydda företagets lokaler, informationssystem och datakommunikation
samt övriga säkerhetsarrangemang. Inspektioner
får inte utföras i lokaler och utrymmen som används
för boende av permanent natur.
40 §
Förbindelse av företag
Den behöriga myndigheten kan när den gör
en säkerhetsutredning av företag och upprättar
ett intyg över utredningen förutsätta
att näringsidkaren förbinder sig att sörja
för att informationssäkerhetsnivån bevaras
och anmäla förändringar som inverkar
på informationssäkerhetsinivån, samt
att för övervakning av att informationssäkerhetsnivån
bevaras ge myndigheten tillstånd att komma in i företagets
lokaler och lämna uppgifter som behövs för
kontrollen.
6 kap.
Avslutande av ett förfarande med säkerhetsutredning
och behandling av uppgifter som erhållits vid förfarandet
41 §
Avslutad säkerhetsutredning
Sökanden ska underrättas skriftligt om att
säkerhetsutredningen har avslutats och om innehållet
i utredningen eller ges ett i 43 eller 46 § avsett intyg över
säkerhetsutredningen.
Om det utifrån säkerhetsutredning av person inte
föreligger någon skyldighet att utfärda
ett intyg och om det under utredningen inte framkommer något
sådant som den myndighet som gjort utredningen anser vara
av betydelse med tanke på tillförlitligheten hos
den som utredningen gäller, får myndigheten trots
bestämmelsen i 1 mom. muntligt informera sökanden
om saken.
42 §
Verkningarna av och innehållet i en säkerhetsutredning
En säkerhetsutredning binder inte den för
vars räkning utredningen har gjorts.
En säkerhetsutredning får innehålla
sekretessbelagda uppgifter endast i sådan form och i sådan
omfattning som i det aktuella fallet behövs för
att syftet med utredningen ska uppnås och det är
uppenbart att lämnandet av uppgifterna inte äventyrar
statens säkerhet eller andra i 1 § avsedda allmänna
intressen. Om uppgifter om ett brottmål under behandling
tas in i en säkerhetsutredning, ska det samtidigt uppges
i vilken fas av behandlingen ärendet befinner sig när
säkerhetsutredningen lämnas.
En säkerhetsutredning av person får inte innehålla
myndighetens bedömning av hans eller hennes oförvitlighet,
tillförlitlighet eller lämplighet för
en tjänst eller ett uppdrag.
Den behöriga myndigheten får i samband med att
en säkerhetsutredning av person överlämnas fästa
arbetsgivarens uppmärksamhet på behovet att vidta åtgärder
enligt 17 § 2 mom. 4 punkten.
43 §
Utfärdande av intyg över säkerhetsutredning
av person
Den behöriga myndighet som har gjort en
säkerhetsutredning av en enskild person ska utfärda
ett intyg över säkerhetsutredningen, om det vid
utredningsförfarandet inte har framkommit skäl
till varför personen inte skulle kunna utses till de arbetsuppgifter
som utredningen gjorts för och om ett intyg över
säkerhetsutredning behöver utfärdas
1) enligt vad som föreskrivs i eller med stöd av
lag eller på grund av ett sådant uppdrag som avses
i 15 § 2 mom.,
2) i syfte att förhindra onödiga
säkerhetsutredningar, när den som utredningen
gäller arbetar som laddare eller med service-, installations- eller
bevakningsuppgifter eller andra sådana uppgifter där
han eller hon på grund av arbetsuppgifternas karaktär
regelbundet måste arbeta i sådana lokaler eller
på sådana områden för vilka det
gäller att de som arbetar där ska bli föremål för
säkerhetsutredning.
Den nationella säkerhetsmyndigheten utfärdar
i enlighet med lagen om internationella förpliktelser som
gäller informationssäkerhet sådana intyg över
säkerhetsutredning av person som behövs för
att uppfylla internationella förpliktelser som gäller
informationssäkerhet.
I de fall som avses i 1 mom. 2 punkten kan intyget också utfärdas
som ett identitetskort. Skyddspolisen fastställer identitetskortets
form och innehåll efter att ha hört huvudstaben
och med beaktande av 44 §.
Om den behöriga myndigheten vägrar att utfärda
ett intyg över säkerhetsutredning av person, ska
den i ett skriftligt beslut till den som ansökt om utredningen
och till den som utredningen gäller uppge skälen
för detta.
44 §
Innehållet i ett intyg över säkerhetsutredning
av person
I ett intyg över säkerhetsutredning av person antecknas
den som utredningen gäller, datum, utfärdaren
och de arbetsuppgifter för vilka intyget har utfärdats.
Vid behov antecknas i intyget
1) intygets giltighetstid,
2) att det vid utredningsförfarandet inte
framkommit skäl till varför personen inte skulle
kunna utses till de arbetsuppgifter som ligger till grund för
ansökan,
3) på vilka skyddsnivåer de handlingar
får vara klassificerade som den som utredningen gäller
ges tillgång till,
4) uppgifter om omständigheter som förutsätts
i internationella förpliktelser som gäller informationssäkerhet.
45 §
Behandling av personuppgifter som erhållits vid säkerhetsutredning
av person
Den för vars räkning en säkerhetsutredning
av person har gjorts ska se till att de personuppgifter som ingår
i säkerhetsutredningen kan behandlas endast av personer
som oundgängligen behöver dem för skötseln
av sina arbetsuppgifter och att uppgifterna i utredningen och i
intyget över säkerhetsutredningen inte används
för något annat ändamål än
det som nämnts i ansökan. Detsamma gäller
den som har mottagit en säkerhetsutredning eller ett intyg över
säkerhetsutredning av den person som utredningen gäller. Vad
som föreskrivs ovan utgör inget hinder för att
uppgifterna i en säkerhetsutredning om en arbetssökande
behandlas när denne intervjuas av arbetsgivaren, om inte
något annat följer av 6 § 3 mom.
Sökanden ska förstöra det skriftliga
meddelandet om en säkerhetsutredning omedelbart när det
inte längre behövs för det ändamål
som nämnts i ansökan om utredning, dock senast
sex månader efter det att sökanden mottog meddelandet.
Bestämmelser om hemlighållande av säkerhetsutredningar
av person och av uppgifterna i dem finns i 59 §.
46 §
Utfärdande av intyg över säkerhetsutredning
av företag
Den behöriga myndighet som har gjort en säkerhetsutredning
av ett företag ska ge sökanden ett intyg över
säkerhetsutredningen, om företaget uppfyller de
krav på informationssäkerhet som ligger till grund
för utredningen. Intyget ska också ges till den
som utredningen gäller.
Den nationella säkerhetsmyndigheten utfärdar
i enlighet med lagen om internationella förpliktelser som
gäller informationssäkerhet sådana intyg över
säkerhetsutredning av företag som behövs
för att uppfylla internationella förpliktelser
som gäller informationssäkerhet.
Om en säkerhetsutredning av företag har gällt uteslutande
säkerheten i informationssystem och datakommunikation,
får Kommunikationsverket som har gjort utredningen utfärda
ett intyg över den.
Om den behöriga myndigheten vägrar att utfärda
ett intyg över säkerhetsutredning av företag,
ska den i ett skriftligt beslut till den som ansökt om
utredningen och till den som utredningen gäller uppge skälen
för detta.
47 §
Innehållet i ett intyg över säkerhetsutredning
av företag
I ett intyg över säkerhetsutredning
av företag antecknas
1) den som utredningen gäller och utfärdaren,
2) intygets giltighetstid, om den har fastställts,
3) vilka omständigheter som varit föremål
för utredningen och som bedömningen grundat sig på samt
vilket resultat utredningen gett i fråga om dem,
4) vid behov för vilka skyddsnivåer
företaget uppfyller kraven på hantering av klassificerade handlingar,
5) uppgifter om omständigheter som förutsätts
i den internationella förpliktelse som gäller informationssäkerhet
som föranlett utredningen.
Om det behövs för ändamålet
med en säkerhetsutredning av företag, ska i intyget
antecknas att det vid utredningen inte framkommit skäl
till varför företaget inte skulle kunna utses
till det uppdrag som ligger till grund för ansökan.
7 kap.
Registret över säkerhetsutredningar och databehandling
som hänför sig till det
48 §
Registret över säkerhetsutredningar och dess ändamål
samt registrering av uppgifter
Skyddspolisen ska i egenskap av huvudansvarig registerförare
föra register över säkerhetsutredningar
för att onödiga säkerhetsutredningar ska
kunna undvikas, för att uppgifter ska kunna förmedlas
mellan de behöriga myndigheterna samt för att
tillförlitligheten och oförvitligheten hos dem
som utredningarna gäller ska kunna kontrolleras. Varje
myndighet som för in uppgifter i registret svarar för
att uppgifterna är korrekta.
Den behöriga myndigheten ska utan dröjsmål registrera
att en ansökan om säkerhetsutredning kommit in,
namnet på den som utredningen gäller och andra
identifieringsuppgifter, utredningens omfattning samt uppgifter
om resultatet av utredningen eller att ett intyg över säkerhetsutredning
utfärdats och dess giltighet och återkallelse
samt uppgifter om arbetsgivaren för den som en säkerhetsutredning
av person gäller, om dessa uppgifter är tillgängliga.
Den nationella säkerhetsmyndigheten ska registrera uppgifter om
de intyg över säkerhetsutredning av person och
av företag som den utfärdat i enlighet med vad
som förutsätts i en internationell förpliktelse
som gäller informationssäkerhet.
Trots vad som föreskrivs ovan får skyddspolisen
registrera uppgifter om sina anställda och huvudstaben
uppgifter om anställda hos försvarsmakten till
behövliga delar så att uppgifterna inte är
tillgängliga för andra, om ett utlämnande
av dessa uppgifter till utomstående kan äventyra
myndighetens verksamhet och skötseln av arbetsuppgifter
inom dess verksamhetsområde.
Kommunikationsverket får registrera uppgifter
om
1) de intyg som det har utfärdat enligt lagen om
bedömning av informationssäkerheten i myndigheternas
informationssystem och datakommunikation och de uppgifter som antecknats
i intygen,
2) de bedömningsorgan som har godkänts
i enlighet med lagen om bedömningsorgan för informationssäkerhet,
3) intyg utfärdade av godkända bedömningsorgan
så som föreskrivs i lagen om bedömningsorgan
för informationssäkerhet.
När ett ministerium har beslutat anställa
en person av vilken det har gjorts en säkerhetsutredning
som ministeriet i enlighet med 50 § 2 mom.
ur registret över säkerhetsutredningar har inhämtat
information om, ska ministeriet informera skyddspolisen om sitt
beslut. Skyddspolisen ska också informeras när
ett sådant anställningsförhållande
som avses ovan upphör. Informationen kan lämnas
genom en anteckning i registret över säkerhetsutredningar
eller annars elektroniskt på ett sätt som skyddspolisen
godkänner.
49 §
Avförande av uppgifter ur registret över säkerhetsutredningar
De uppgifter som förts in i registret över
säkerhetsutredningar ska avföras senast tre år
efter det att en ny motsvarande säkerhetsutredning har
gjorts eller giltigheten för en säkerhetsutredning
eller ett intyg över säkerhetsutredning har upphört
eller de arbetsuppgifter för vilka säkerhetsutredningen
gjordes har upphört eller intyget över säkerhetsutredning
har återkallats. På avförande av uppgifter
tillämpas i övrigt personuppgiftslagen (523/1999).
50 §
Utlämnande av uppgifter ur registret över
säkerhetsutredningar
Skyddspolisen lämnar trots sekretessbestämmelserna
med hjälp av teknisk anslutning uppgifter ur registret över
säkerhetsutredningar till huvudstaben och till den enhet
som Polisstyrelsen utsett att göra begränsade
säkerhetsutredningar. Huvudstaben får, på ett
sätt som skyddspolisen godkänner, till tjänstemän
som utsetts av försvarsmaktens enheter vidarebefordra uppgifter
som behövs för bedömning av behovet att skaffa
en säkerhetsutredning eller för behandling av
vistelse- och besökstillstånd som avses i 15 § i
lagen om försvarsmakten (551/2007).
Skyddspolisen får trots sekretessbestämmelserna
på ett sätt som den godkänner med hjälp
av teknisk anslutning lämna följande uppgifter
ur registret över säkerhetsutredningar till en
av riksdagens kansli eller ett ministerium utsedd tjänsteman
för att behovet att skaffa en säkerhetsutredning
ska kunna bedömas:
1) uppgifter om ett företag av vilket det
gjorts en säkerhetsutredning och om det intyg som utfärdats över
säkerhetsutredningen,
2) uppgifter om en säkerhetsutredning av person
där det inte framkommit information som inverkar negativt
på personens tillförlitlighet eller över
vilken det har utfärdats ett intyg som fortfarande är
giltigt,
3) uppgifter om intyg som utfärdats över
en myndighets informationssystem eller datakommunikation och andra
uppgifter som avses i 48 § 4 mom.,
4) uppgifter om vem som gjort säkerhetsutredningen
i de fall som avses i 1—3 punkten och om tidpunkten för
säkerhetsutredningen samt om intygets giltighetstid.
Skyddspolisen får trots sekretessbestämmelserna
med hjälp av teknisk anslutning lämna centralkriminalpolisen
uppgifter om ansökan om säkerhetsutredning för
att samköras med uppgifterna i informationssystemet för
misstänkta med tanke på de anmälningar
som avses i 25 § 2 mom. och på prövning
i fråga om dem. Centralkriminalpolisen ska utplåna
de uppgifter som fåtts genom samkörningen omedelbart
efter det att behovet av anmälan har prövats eller
anmälan har sänts till skyddspolisen.
I de fall som avses i 2 mom. får uppgifter inhämtas
med hjälp av teknisk anslutning endast om sådana
personer och företag som gett sitt samtycke till att en
säkerhetsutredning görs för att bli utsedda
till ett anställningsförhållande eller
ett uppdrag som säkerhetsutredning enligt denna lag ska
göras för, eller om personer vilkas vistelse-
eller besökstillstånd behandlas vid en i 1 mom.
avsedd enhet inom försvarsmakten.
51 §
Kontroll av oförvitligheten och tillförlitligheten med
hjälp av samkörning av personregister
Skyddspolisen får samköra uppgifterna i registret över
säkerhetsutredningar med uppgifter i delregistren i informationssystemet
för polisärenden samt med uppgifter
om anhängiga brottmål och avgöranden
i brottmål i justitieförvaltningens riksomfattande
informationssystem i syfte att klarlägga om säkerhetsutredningar
eller intyg som utfärdats över dem fortfarande
ska få vara giltiga.
Uppgifterna om en person av vilken det har gjorts en omfattande
säkerhetsutredning får samköras med uppgifter
i de personregister ur vilka uppgifter enligt 28 § 2 mom.
kan skaffas för att kontrollera uppgifterna på blanketten
för personuppgifter.
Skyddspolisen ska utplåna de uppgifter som uppkommit
till följd av samkörningen omedelbart när
de åtgärder som avses i 52 § har slutförts,
dock senast ett år efter samkörningen av registren.
Samkörda uppgifter får användas eller lämnas
ut bara i de fall som avses i 52 § eller för att
behandla ett avgörande som träffats med stöd av
den paragrafen eller ett fullföljdsärende med anledning
av avgörandet.
Bestämmelser om det samtycke som krävs av den
som utredningen gäller för samkörning
av registeruppgifter finns i 5 §.
52 §
Åtgärder på grundval av kontrollen
Om det utifrån den kontroll som avses i 51 § framkommer
att en person eller ett företag eller dess ansvarsperson
misstänks för att eller genom beslut av domstol
konstateras ha gjort sig skyldig till en brottslig gärning,
ska skyddspolisen trots sekretessbestämmelserna informera den
myndighet som gjort säkerhetsutredningen om saken.
Om det på basis av de uppgifter som erhållits vid
kontrollen framkommer att en person misstänks för
att eller genom beslut av domstol konstateras ha gjort sig skyldig
till en gärning som skulle ha kunnat inverka på utfärdandet
av ett intyg över säkerhetsutredning eller på säkerhetsutredningens
innehåll, ska den behöriga myndigheten trots sekretessbestämmelserna,
efter att ha hört den som utredningen gäller,
informera den som ansökt om säkerhetsutredning
av personen eller det ministerium som i enlighet med 48 § 5 mom.
har registrerat att den som utredningen gäller har anställts,
om inte det har meddelats att anställningsförhållandet
har upphört. Innan arbetsgivaren eller uppdragsgivaren
informeras ska det klarläggas om den som utredningen gäller
fortfarande är anställd hos den arbetsgivare, fullgör
den uppdragsgivares uppgifter eller studerar vid den läroanstalt
som ansökt om säkerhetsutredning.
Om det på basis av de uppgifter som erhållits vid
kontrollen framkommer att ett företags ansvarsperson eller
ett företag misstänks för att eller genom
beslut av domstol konstateras ha gjort sig skyldig till en gärning
som skulle ha inverkat på utfärdandet av ett intyg över
säkerhetsutredning av företag, ska den behöriga
myndigheten trots sekretessbestämmelserna, efter att ha
hört den som utredningen gäller, informera den
som ansökt om en säkerhetsutredning av företaget
i fråga.
Om ett intyg över säkerhetsutredning har utfärdats
i syfte att uppfylla internationella förpliktelser som
gäller informationssäkerhet, ska den nationella
säkerhetsmyndighet som svarar för att internationella
förpliktelser som gäller informationssäkerhet
uppfylls, utan dröjsmål informeras om de omständigheter
som avses i 1 mom.
När åtgärder övervägs
och 1—4 mom. tillämpas ska vid bedömning
av betydelsen av uppgifterna om brottsmisstanke och brottslig gärning hänsyn
tas till vad som i 32 § och annars i lag föreskrivs
om beaktande av olika slags uppgifter vid säkerhetsutredningar.
8 kap.
Giltigheten av säkerhetsutredningar och intyg över
säkerhetsutredning
53 §
Giltighetstiden för säkerhetsutredningar och
intyg över säkerhetsutredning
En säkerhetsutredning gäller tills vidare,
dock högst fem år. Detsamma gäller det
intyg som utfärdas över säkerhetsutredningen,
om inte intyget har utfärdats för ett tidsbegränsat
uppdrag eller för ett uppdrag inom ett visst projekt eller
om inte den behöriga myndigheten på grund av särskilda
omständigheter relaterade till utredningen beslutar något
annat.
54 §
Ny säkerhetsutredning och utfärdande av nytt intyg över
säkerhetsutredning
En säkerhetsutredning som gäller tills vidare kan
på initiativ av den myndighet som gjort utredningen, på ansökan
av den som ansökt om utredning eller på ansökan
av den som utredningen gäller göras på nytt,
om det behövs för att uppfylla en internationell
förpliktelse som gäller informationssäkerhet
eller på grund av sådana förändringar
i arbetsuppgifterna för den som utredningen gäller,
eller i hans eller hennes situation, som enligt denna
lag ska beaktas när en utredning görs.
Ett intyg över säkerhetsutredning av person får
utfärdas på basis av registret över säkerhetsutredningar
utan att någon ny utredning görs, om inte något
annat följer av den kontroll som genomförts i
enlighet med 51 §.
55 §
Återkallelse av intyg över säkerhetsutredning
Den behöriga myndigheten får på eget
initiativ eller på ansökan av den som ansökt
om en säkerhetsutredning av person, på ansökan
av arbetsgivaren till den som utredningen gäller eller på ansökan
av den som utredningen gäller återkalla ett med
stöd av denna lag utfärdat intyg över
säkerhetsutredning av person, om den som utredningen gäller
1) inte längre arbetar med de uppgifter för
vilka intyget har utfärdats,
2) enligt en anmälan som gjorts utifrån
en internationell förpliktelse som gäller informationssäkerhet
har försummat för honom eller henne bindande krav
som gäller informationssäkerhet i de arbetsuppgifter
för vilka han eller hon fått intyget i Finland,
3) utifrån en kontroll enligt 51 § misstänks
ha gjort sig skyldig till en gärning som skulle ha varit
ett hinder för utfärdande av intyget, eller det på grund
av andra förändrade omständigheter inte
längre skulle kunna utfärdas ett intyg över säkerhetsutredning
för honom eller henne.
Ett intyg över säkerhetsutredning av företag kan återkallas,
om verksamheten vid det företag som utredningen gäller
inte längre uppfyller de krav som har legat till grund
för intyget eller om dess ansvarsperson misstänks
ha gjort sig skyldig till en gärning som avses i 1 mom.
2 punkten och företaget inte har avhjälpt bristerna
inom utsatt tid.
Innan den behöriga myndigheten fattar ett beslut enligt
1 eller 2 mom. ska den höra den som utredningen gäller
samt vid behov den som ansökt om säkerhetsutredning
eller arbetsgivaren.
Den behöriga myndigheten får i sitt beslut
om att återkalla ett intyg över säkerhetsutredning bestämma
att beslutet ska följas även om det överklagas,
om inte den myndighet som ska pröva överklagandet
bestämmer något annat.
9 kap.
Särskilda bestämmelser
56 §
Dataombudsmannens rätt att utöva tillsyn
Dataombudsmannen har rätt att ta del av en säkerhetsutredning
som har gjorts med stöd av denna lag för att kontrollera
att behandlingen av personuppgifter är laglig.
Bestämmelser om dataombudsmannens rätt att
utöva tillsyn och få information om behandlingen
av personuppgifter finns i 39 § i personuppgiftslagen.
57 §
Myndigheternas rätt att få information
Trots vad som i lag föreskrivs om tystnadsplikt
ska
1) myndigheterna till de enligt denna lag behöriga
myndigheterna lämna ut uppgifter som dessa kan använda
när säkerhetsutredningar görs och därtill
hörande kontroll genomförs,
2) de behöriga myndigheterna i syfte att göra en
enskild säkerhetsutredning utbyta uppgifter som är
tillgängliga enligt denna lag.
För att göra säkerhetsutredningar
av personer och säkerhetsutredningar av företag
samt i samband med kontroll enligt 51 § har den behöriga myndigheten
rätt att få information av den registeransvarige
för kreditupplysningsregistret.
De uppgifter som avses i 1 och 2 mom. får lämnas
ut också med hjälp av teknisk anslutning.
58 §
Anmälnings- och åtgärdsskyldighet
för arbetsgivaren och ett företag som fått
ett intyg över säkerhetsutredning av företaget
Arbetsgivaren på vars ansökan över
en arbetstagare har gjorts en säkerhetsutredning av person
eller på basis av vilken det har utfärdats ett intyg över
säkerhetsutredning av person ska anmäla om att
anställningsförhållandet har upphört
till den myndighet som gjort säkerhetsutredningen av person
eller har utfärdat intyget över säkerhetsutredning
av person.
Om intyget över säkerhetsutredning av person
har återkallats, ska arbetsgivaren på vars ansökan
intyget över säkerhetsutredning har utfärdats
se till att intyget över säkerhetsutredning av person
returneras till den myndighet som har utfärdat intyget.
Om ett intyg över säkerhetsutredning av företag
har återkallats, ska det företag som utredningen
gäller returnera det intyg över säkerhetsutredning
av företag som företagit erhållit till den
myndighet som har utfärdat intyget.
59 §
Sekretess
I ett ärende som har samband med en säkerhetsutredning
ska på sekretess och förbud mot att utnyttja i
fråga om den som har erhållit uppgifterna med
stöd av lag, tillämpas bestämmelserna
i 22—24 § i lagen om offentlighet i myndigheternas
verksamhet även i de fall när någon annan än
en myndighet enligt 4 § i den lagen har erhållit
handlingarna och uppgifterna.
Utöver vad som föreskrivs i 1 mom. ska ett
företag som mottagit ett intyg över säkerhetsutredning
av företag, företagets ansvarspersoner, de som är
anställda vid företaget och de som utför arbetsuppgifter
på uppdrag av företaget hemlighålla sådant
de fått kännedom om i samband med de arbetsuppgifter
med avseende på vilka ett intyg över säkerhetsutredning
av företag har utfärdats eller visats upp.
60 §
Avgifter för säkerhetsutredningar
För säkerhetsutredningar som de behöriga myndigheterna
gör med stöd av denna lag och för Kommunikationsverkets
sakkunniguppgifter i samband med säkerhetsutredningar av
företag tas det hos sökanden ut en avgift med
iakttagande av lagen om grunderna för avgifter till staten
(150/1992). Den som utredningen gäller svarar
dock för kostnaderna i samband med genomförande
av en säkerhetsutredning av företag, om utredningen
har gjorts på ansökan av en myndighet.
Avgift tas inte ut för genomförande av en
sådan säkerhetsutredning av person som den behöriga
myndigheten gör på ansökan av en annan myndighet
inom samma förvaltningsområde eller på ansökan
av en läroanstalt.
61 §
Hänvisning till straffbestämmelser
Till straff för brott mot tystnadsplikten enligt 59 § döms
enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen
utgör brott enligt 40 kap. 5 § i strafflagen eller
om inte strängare straff för den föreskrivs
någon annanstans i lag. Som brott mot tystnadsplikten enligt
1 mom. betraktas också brott mot en förbindelse
som avses i 40 §.
Bestämmelser om straff för personregisterbrott
finns i 38 kap. 9 § i strafflagen och om straff för
personregisterförseelse i 48 § 2 mom.
i personuppgiftslagen.
62 §
Ändringssökande
En behörig myndighets beslut enligt denna lag får överklagas
genom besvär hos förvaltningsdomstolen så som
föreskrivs i förvaltningsprocesslagen (586/1996).
En behörig myndighets beslut genom vilket den vägrat
göra en säkerhetsutredning eller ett beslut som
skyddspolisen fattat i ett ärende som avses i 22 § får
inte överklagas genom besvär. Ett beslut om vägran
att utfärda intyg över säkerhetsutredning
får överklagas genom besvär bara om intyget
enligt lag eller en bestämmelse som utfärdats
med stöd av lag är ett villkor för att
någon ska kunna utses till en tjänst eller väljas
till ett uppdrag eller för skötseln av en sådan
tjänst eller ett sådant uppdrag där den
som utses eller väljs enligt en internationell förpliktelse
som gäller informationssäkerhet ska ha ett intyg över säkerhetsutredning.
Ett beslut som gäller utfärdande och återkallelse
av ett intyg över säkerhetsutredning får överklagas
av den som ansökt om säkerhetsutredning och av
den som utredningen gäller.
En myndighet vars beslut förvaltningsdomstolen har
upphävt eller ändrat får för
att bevara en enhetlig tillämpning av lagen överklaga
förvaltningsdomstolens beslut.