2
Nykytila
2.1
Laki kansainvälisistä tietoturvallisuusvelvoitteista
Lain yleinen soveltamisala
Lakia kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) sovelletaan erityissuojattaviin tietoaineistoihin. Näillä tarkoitetaan sellaisia salassa pidettäviä asiakirjoja ja materiaaleja sekä asiakirjoista ja materiaaleista saatavissa olevia tietoja, sekä näiden perusteella tuotettuja asiakirjoja ja materiaaleja, jotka kansainvälisen tietoturvallisuusvelvoitteen mukaisesti on turvallisuusluokiteltu. Määräysvalta luovutettuun tietoon säilyy luovutuksen jälkeenkin aineiston luovuttaneella valtiolla. Lakia voidaan soveltaa vain, jos kansainvälinen sopimus on saatettu Suomessa voimaan perustuslaissa säädetyllä tavalla tai jos kysymys on Suomea muutoin sitovasta kansainvälisestä velvoitteesta.
Lain soveltamisalan piiriin kuuluvia erityissuojattavia tietoaineistoja ovat lisäksi Suomen viranomaisen tai lain soveltamisalan piiriin kuuluvan elinkeinonharjoittajan laatimat asiakirjat, joista ilmenee Suomeen toimitettuihin erityissuojattaviin tietoaineistoihin sisältyviä tai tällaisista saatavissa olevia tietoja. Lakia ei sovelleta pelkästään Suomen kansallista tietoa sisältävien asiakirjojen tai niiden osien salassapitoon tai luokitukseen.
Laissa on säännökset henkilöturvallisuusselvitystodistuksen (Personnel Security Clearance, PSC) ja yritysturvallisuusselvitystodistuksen (Facility Security Clearance, FSC) myöntämisestä. Henkilö- tai yritysturvallisuusselvityksen laatineen viranomaisen on salassapitosäännösten estämättä toimitettava todistuksen antamista ja siihen liittyvää harkintaa varten kansalliselle turvallisuusviranomaiselle tieto kaikista selvityksen laadinnassa ilmi tulleista selvityksen kohdetta koskevista seikoista (11 §:n 1 momentti ja 12 §:n 1 momentti).
Todistuksen antamista koskevaan arvioon sekä todistuksen voimassaoloon ja peruuttamiseen sovelletaan turvallisuusselvityslakia (kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 11 §:n 2 momentti ja 12 §:n 2 momentti). Jos kansallinen turvallisuusviranomainen kieltäytyy antamasta henkilö- tai yritysturvallisuusselvitystodistusta, sen tulee ilmoittaa syyt tähän selvityksen hakijalle ja sen kohteelle annettavassa kirjallisessa päätöksessä (kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 11 §:n 3 momentti ja 12 §:n 3 momentti). Muutoksenhausta säädetään lain 20 a §:ssä.
Lain suhde julkisuuslainsäädäntöön
Kansainvälisistä tietoturvallisuusvelvoitteista annettuun lakiin sisältyy kansallisten asiakirjojen tietoturvallisuudesta annetuista säännöksistä poikkeavia säännöksiä. Lain 3 §:n 1 momentissa on kuitenkin yleinen viittaussäännös julkisuuslakiin (621/1999) sekä tiedonhallintalakiin (906/2019). Niiltä osin kuin suomalaisten viranomaisten asiakirjoihin sisältyy muita kuin kansainvälisten tietoturvallisuusvelvoitteiden piiriin kuuluvia tietoja kansainvälisestä yhteistyöstä, on sovellettava julkisuuslain (621/1999) ja sen nojalla annettuja säännöksiä. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 3 §:n 2 momentin mukaan julkisuuslakiin tai muuhun lakiin perustuvan pyynnön saada tieto erityissuojattavasta tietoaineistosta käsittelee ja ratkaisee se viranomainen, jolle tietoaineisto on toimitettu taikka jonka käsiteltäväksi asia kokonaisuudessaan kuuluu.
Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain säännöksiä sovelletaan niin kauan kuin se turvallisuusluokituksen perusteena olevan yleisen edun vuoksi on tarpeen silloinkin, kun sopimus tai säädös, johon säännösten soveltaminen perustuu, ei enää ole voimassa (15 §). Salassapitovelvollisuuden lakkaamisesta on voimassa mitä julkisuuslaissa säädetään. Julkisuuslain 31 §:n 2 momentin mukaan viranomaisen asiakirjan salassapitoaika on 25 vuotta, jollei toisin ole säädetty. Julkisuuslain 31 §:n 3 momentin mukaan asiakirjan salassapito voi jatkua 25 vuoden jälkeenkin, mikäli asiakirja sisältää kansainvälisistä tietoturvallisuusvelvoitteista annetun lain mukaan turvallisuusluokiteltua tietoa, ja mikäli tiedon antaminen asiakirjasta aiheuttaisi julkisuuslain 24 §:n 1 momentin 2, 7, 8 tai 10 kohdassa tarkoitetun haittaseurauksen. Tällaiset asiakirjat tulevat julkisuuslain 31 §:n 3 momentin mukaan julkisiksi, kun turvallisuusluokitus on kumottu.
Lain soveltaminen elinkeinonharjoittajiin
Kansainvälisistä tietoturvallisuusvelvoitteista annettua lakia sovelletaan viranomaisten lisäksi myös elinkeinonharjoittajaan ja tämän palveluksessa olevaan silloin, kun elinkeinonharjoittaja on osapuolena turvallisuusluokitellussa sopimuksessa tai osallistuu tällaista sopimusta edeltävään hankintakilpailuun tai toimii tällaisen elinkeinonharjoittajan alihankkijana (1 §:n 2 momentti).
Turvallisuusluokitellulla sopimuksella tarkoitetaan sopimusta, jonka toisen valtion viranomainen tai siinä kotipaikkaansa pitävä yritys taikka kansainvälinen järjestö tai toimielin aikoo tehdä tai on tehnyt kansainvälisessä tietoturvallisuusvelvoitteessa tarkoitetulla tavalla Suomessa kotipaikkaansa pitävän elinkeinonharjoittajan kanssa, jos tarjouskilpailuun osallistuminen tai sopimuksen toteuttaminen voi edellyttää pääsyä erityissuojattavaan tietoaineistoon (2 §:n 1 momentin 3 kohta).
Elinkeinonharjoittajalla ja tämän palveluksessa tai toimeksiannosta toimivalla on erityissuojattavia tietoaineistoja koskeva salassapitovelvollisuus, velvollisuus käyttää tällaista tietoaineistoa vain siihen tarkoitukseen, johon se on annettu sekä velvollisuus pitää huolta siitä, että tietoaineistoon on pääsy vain niillä, jotka tarvitsevat tietoa tehtävän hoitamisessa (6 §). Elinkeinonharjoittajalla on myös velvollisuus kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi antaa toimivaltaiselle turvallisuusviranomaiselle tietoja sekä sallia viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa (16 §:n 2 momentti ja 18 §:n 2 momentti).
Lain täytäntöönpanoviranomaiset
Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:ssä on säännökset niistä viranomaisista, jotka huolehtivat kansainvälisten tietoturvallisuusvelvoitteiden hoitamisesta. Kansallisena turvallisuusviranomaisena (National Security Authority, NSA) kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseen liittyvissä tehtävissä toimii ulkoasiainministeriö. Puolustusministeriö, pääesikunta, suojelupoliisi sekä Liikenne- ja viestintävirasto toimivat kansainvälisissä tietoturvallisuusvelvoitteissa tarkoitettuina määrättyinä turvallisuusviranomaisina (Designated Security Authority, DSA).
Tietojen salassapito ja käytön sääntely
Erityissuojattava tietoaineisto on pidettävä salassa, jollei kansainvälisestä tietoturvallisuusvelvoitteesta muuta johdu (kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 1 momentti). Salassapitovelvollisuus koskee myös elinkeinonharjoittajaa tämän ollessa osapuolena turvallisuusluokitellussa sopimuksessa. Suomen tekemissä kahdenvälisissä sopimuksissa, jotka koskevat eri maiden viranomaisten välistä salassa pidettävien tietojen vaihtoa ja suojaamista, on säännönmukaisesti määräys, joka rajoittaa luovutettujen tietojen käyttöä. Kyseisen määräyksen mukaisesti erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan. Erityissuojattavien tietoaineistojen käyttöä koskee siten vahva käyttötarkoitussidonnaisuus.
Turvallisuusluokittelu ja -toimenpiteet
Kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään velvollisuudesta merkitä erityissuojattavaan tietoaineistoon sen turvallisuusluokka. Erityissuojattavaan tietoaineistoon tehty merkintä turvallisuusluokasta osoittaa, minkälaisia tietoturvallisuusvaatimuksia sen käsittelyssä on noudatettava (8 §). Mitä korkeampaan turvallisuusluokkaan aineisto kuuluu, sitä tiukempia tietoturvallisuustoimenpiteitä edellytetään. Laissa on yleinen velvoite toteuttaa tietoaineiston käsittelyssä sen turvallisuusluokkaa koskevia käsittelymääräyksiä sekä valtuus säätää erityissuojattavan tietoaineiston käsittelyssä noudatettavista eri turvallisuusluokkia vastaavista turvallisuustoimenpiteistä valtioneuvoston asetuksella (9 §). Asiakirjojen turvallisuusluokittelusta valtionhallinnossa annetun valtioneuvoston asetuksen (1101/2019), jäljempänä turvallisuusluokitteluasetus, 4 §:ssä on säädetty turvallisuusluokituksen vastaavuudesta kansainvälisiä tietoturvallisuusvelvoitteita toteutettaessa.
Erityissuojattava tietoaineisto on kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 10 §:n mukaan säilytettävä tiloissa, joissa asiakirjojen ja materiaalien sekä niihin sisältyvien tietojen suojaamisesta voidaan huolehtia kansainvälisessä tietoturvallisuusvelvoitteessa edellytetyllä tavalla. Tilojen turvallisuusvaatimuksista on säädetty turvallisuusluokitteluasetuksen 9 ja 10 §:ssä.
Lakiin kansainvälisistä tietoturvallisuusvelvoitteista on kirjattu kansainvälisissä sopimuksissa oleva yleinen vaatimus siitä, että tietoihin annetaan pääsy vain niille, jotka tarvitsevat tietoja tehtäviensä hoitamisessa. Nämä henkilöt on nimettävä etukäteen, jos kansainvälisessä tietoturvallisuusvelvoitteessa tätä edellytetään (lain 6 §:n 3 momentti). Sama koskee myös 1 §:n 2 momentissa tarkoitettua elinkeinonharjoittajaa.
2.2
Turvallisuusselvityslaki
Lain tarkoitus ja soveltamisala
Turvallisuusselvityslain (726/2014) tarkoituksena on parantaa mahdollisuuksia ennakolta ehkäistä toimintaa, joka voi vahingoittaa valtion turvallisuutta, maanpuolustusta, Suomen kansainvälisiä suhteita, yleistä turvallisuutta tai muuta niihin verrattavaa yleistä etua taikka erittäin merkittävää yksityistä taloudellista etua taikka edellä tarkoitettujen etujen suojaamiseksi toteutettavia turvallisuusjärjestelyjä (1 §).
Laissa säädetään henkilö- ja yritysturvallisuusselvityksen laadinnassa noudatettavasta menettelystä. Laki sisältää säännökset turvallisuusselvityksen laatimisen edellytyksistä sekä sitä laadittaessa käytettävistä tiedoista, selvityksen kohteen suostumuksesta ja tiedonsaantioikeuksista, selvityksen hakijan ja selvityksen kohteen tiedonantovelvollisuuksista sekä turvallisuusselvityksen ja sen perusteella annetun todistuksen voimassaolosta ja todistuksen peruuttamisesta, sekä henkilörekisterien yhdistämisestä selvityksen kohteen nuhteettomuuden ja luotettavuuden seuraamiseksi ja sen johdosta suoritettavista toimenpiteistä (2 §).
Yksityisyyden suojan perusoikeusluonteen vuoksi turvallisuusselvitysmenettely on tarkan muotosidonnaista. Turvallisuusselvitys voidaan tehdä vain selvityksen kohteen etukäteen antaman kirjallisen suostumuksen perusteella (5 §).
Henkilöstöturvallisuus
Henkilöturvallisuusselvityksellä tarkoitetaan turvallisuusselvityslain 3 §:n 1 momentin 1 kohdan mukaisesti henkilön nuhteettomuuden tai luotettavuuden varmistamiseksi turvallisuusselvityslaissa säädetyllä tavalla laadittavaa selvitystä henkilön taustasta. Lain 23 §:n mukaan henkilöturvallisuusselvitys tehdään tarkistamalla henkilöä koskevat rekisteritiedot lain 4 luvussa säädetyllä tavalla sekä tarvittaessa selvityksen kohdetta haastattelemalla hänen yleisistä olosuhteistaan, ulkomailla oleskelustaan ja hänen suhteistaan muiden maiden kansalaisiin sekä muista sellaisista seikoista, joilla on erityistä merkitystä arvioitaessa hänen luotettavuuttaan selvityksen perustana olevan tehtävän kannalta.
Lain 14 §:n mukaan henkilöturvallisuusselvitys voidaan laatia suppeana, perusmuotoisena tai laajana. Turvallisuusselvitys tehdään laissa määritellyissä tapauksissa, kuten silloin, kun Suomea sitova valtiosopimus tai muu kansainvälinen velvoite edellyttää turvallisuusselvityksen tekemistä tai sen perusteella laaditun todistuksen esittämistä.
Jokaisella on oikeus saada tieto siitä, onko hänestä tehty turvallisuusselvitys tiettyä tehtävää varten. Selvityksen kohteella on myös oikeus pyynnöstä saada toimivaltaiselta viranomaiselta turvallisuusselvityksen tiedot. Tiedonsaantioikeus ei kuitenkaan koske sellaisesta rekisteristä peräisin olevaa tietoa, johon rekisteröidyllä ei ole tarkastusoikeutta (6 §).
Turvallisuusselvitysmenettelyssä käytetyt rekisterit on laissa lueteltu tyhjentävästi. Turvallisuusselvityksessä voidaan käyttää myös tiettyjä ulkomaan viranomaisen rekistereihin talletettuja tietoja (25 §).
Turvallisuusselvityslain 43 §:n 2 momentin mukaan kansallinen turvallisuusviranomainen antaa kansainvälisen tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisen henkilöturvallisuusselvitystodistuksen siten kuin kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään.
Yritysturvallisuus
Turvallisuusselvityslain 33 §:ssä määritellään yritysturvallisuusselvityksen hakemiseen oikeutetut ja 36 §:ssä yritysturvallisuusselvityksen laatimisen edellytykset. Lain 37 §:ssä on lueteltu yritysturvallisuusselvityksissä käytettävät tietolähteet ja lain 38 § koskee yritysturvallisuusselvitysasian käsittelyä. Yritysturvallisuusselvitystä laadittaessa selvitetään hakemuksessa esitettyjen tietojen ja 37 §:ssä tarkoitettujen tietolähteiden sekä yrityksen toimitilojen ja tietojärjestelmien tarkastuksen avulla, miten yritys huolehtii tietojen suojaamisesta, asiattoman pääsyn estämisestä tiloihin ja henkilöstön koulutuksesta (38 §:n 1 momentti). Yritysturvallisuusselvitys voidaan tehdä myös osittaisena, jos se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi tai muutoin perusteltua (38 §:n 3 momentti). Kansainvälisesti käytössä on kolme yritysturvallisuusselvityksen muotoa: 1) rajattu yritysturvallisuusselvitys, ”FSC without safeguards”, joka ei sisällä yrityksen toimitilojen tai tietojärjestelmien tarkastuksia, 2) yritysturvallisuusselvitys ”FSC with safeguards”, joka sisältää toimitilojen tarkastukset ja 3) yritysturvallisuusselvitys ”FSC with safeguards including Communications and Information Systems”, joka sisältää toimitilojen ja tietojärjestelmien tarkastukset.
Selvityksen laatii turvallisuusselvityslain 9 §:n mukaan suojelupoliisi. Pääesikunta huolehtii yritysturvallisuusselvityksen laatimisesta kuitenkin silloin, kun kysymys on yrityksestä, joka hoitaa tai jonka on tarkoitus hoitaa puolustusvoimien antamaa tehtävää, taikka yrityksestä, joka liittyy puolustusvoimien hankintoihin. Liikenne- ja viestintäviraston tehtävänä on huolehtia yrityksen tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista.
Toimivaltainen viranomainen voi turvallisuusselvityslain 40 §:n mukaan yritysturvallisuusselvitystä ja sen perusteella annettavaa todistusta laatiessaan edellyttää yritykseltä sitoumusta, jonka mukaan elinkeinonharjoittaja sitoutuu huolehtimaan tietoturvallisuustason säilyttämisestä sekä ilmoittamaan muutoksista, joilla on siihen vaikutuksia sekä antamaan tietoturvallisuustason säilyttämisen valvomiseksi viranomaiselle luvan päästä yrityksen tiloihin sekä antamaan seurannassa tarvittavia tietoja.
Lain 46 §:n 2 momentin mukaan kansallinen turvallisuusviranomainen antaa kansainvälisen tietoturvallisuusvelvoitteiden toteuttamiseksi tarpeellisen yritysturvallisuusselvitystodistuksen siten kuin kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään.
7
Sopimuksen määräykset ja niiden suhde Suomen lainsäädäntöön
1 artikla.Tarkoitus ja soveltamisala. Artiklassa määritellään sopimuksen tarkoitukseksi varmistaa sellaisen turvallisuusluokitellun tiedon suojaaminen, jota vaihdetaan tai tuotetaan osapuolten välisessä yhteistyössä. Sopimusta ei sovelleta sellaisiin osapuolten välillä vaihdettaviin tietoihin, joita ei ole turvallisuusluokiteltu.
2 artikla.Määritelmät. Artiklassa määritellään sopimuksen soveltamisen kannalta keskeiset käsitteet seuraavasti:
Artiklan a) kohdassa on turvallisuusluokitellun tiedon määritelmä. Sopimus koskee missä tahansa muodossa olevaa, tietoa, asiakirjaa tai aineistoa, joka on turvallisuusluokiteltu ja johon on tehty luokitusmerkintä kansallisten säädösten ja määräysten mukaisesti. Edelleen turvallisuusluokitellulla tiedolla tarkoitetaan tietoa, asiakirjaa tai aineistoa, joka on tuotettu tällaisen turvallisuusluokitellun tiedon pohjalta ja johon on tehty asianmukainen luokitusmerkintä. Kohta on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 2 §:n 1 momentin 2 kohdan erityissuojattavan tietoaineiston määritelmän kanssa.
Artiklan b) kohdan mukaan turvallisuusluokiteltu sopimus tarkoittaa sopimusta tai alihankintasopimusta, johon sisältyy tai liittyy turvallisuusluokiteltua tietoa. Kohta on sopusoinnussa kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 2 §:n 3 kohdan kanssa.
Artiklan c) kohdan mukaan luovuttavalla osapuolella tarkoitetaan sitä osapuolta, joka luovuttaa turvallisuusluokitellun tiedon.
Artiklan d) kohdan mukaan vastaanottavalla osapuolella tarkoitetaan sitä osapuolta sekä sen lainkäyttövaltaan kuuluvaa julkis- tai yksityisoikeudellista oikeushenkilöä tai luonnollista henkilöä, jolle luovuttava osapuoli luovuttaa turvallisuusluokitellun tiedon.
Artiklan e) kohdan mukaisesti toimivaltainen turvallisuusviranomainen tarkoittaa kansallista turvallisuusviranomaista tai erikseen nimettyä valtion elintä, joka on osapuolten kansallisten säädösten ja määräysten mukaisesti valtuutettu vastaamaan sopimuksen täytäntöönpanosta.
Artiklan f) kohdan mukaan tietoturvaloukkaus tarkoittaa kansallisten säädösten ja määräysten vastaista tekoa tai laiminlyöntiä, joka saattaa johtaa turvallisuusluokitellun tiedon menettämiseen tai vaarantumiseen.
Artiklan g) kohdan mukaan henkilöturvallisuusselvitys tarkoittaa toimivaltaisen turvallisuusviranomaisen tekemää arviota, jonka mukaan luonnollinen henkilö täyttää edellytykset turvallisuusluokiteltuun tietoon pääsemiseksi ja tämän tiedon käsittelemiseksi.
Artiklan h) kohdan mukaan yritysturvallisuusselvitys tarkoittaa toimivaltaisen turvallisuusviranomaisen tekemää arviota, jolla vahvistetaan, että oikeushenkilö täyttää edellytykset turvallisuusluokiteltuun tietoon pääsemiseksi ja sen käsittelemiseksi.
3 artikla.Toimivaltaiset turvallisuusviranomaiset. Artiklan 1 kohdassa on nimetty kummankin osapuolen toimivaltaiset turvallisuusviranomaiset, jotka vastaavat sopimuksen yleisestä täytäntöönpanosta. Suomessa toimivaltaisena turvallisuusviranomaisena toimii kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n perusteella ulkoministeriö, jossa tehtävää hoitaa Kansallinen turvallisuusviranomainen (NSA). Ukrainassa toimivaltaiseksi turvallisuusviranomaiseksi on nimetty Ukrainan turvallisuuspalvelu (Security Service of Ukraine).
Artiklan 2 kohdan mukaan osapuolet antavat toisilleen tiedoksi ne toimivaltaiset turvallisuusviranomaiset tai muut toimivaltaiset viranomaiset (Competent Security Authorities, CSA), jotka vastaavat sopimuksen täytäntöönpanosta eri osin. Suomessa määrättyjä turvallisuusviranomaisia (Designated Security Authority, DSA) ovat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 4 §:n mukaisesti puolustusministeriö, Pääesikunta, suojelupoliisi ja Liikenne- ja viestintävirasto.
Artiklan 3 kohdan mukaan osapuolet antavat toisilleen tiedoksi mahdolliset myöhemmät toimivaltaisten turvallisuusviranomaisten muutokset.
4 artikla.Turvallisuusluokitukset.
Artiklan 1 kohdan mukaan sopimuksen mukaisesti luovutettavaan turvallisuusluokiteltuun tietoon merkitään asianmukainen turvallisuusluokka osapuolten kansallisten säädösten ja määräysten mukaisesti.
Artiklan 2 kohdassa määritellään, miten Suomen ja Ukrainan turvallisuusluokituksen tasot vastaavat toisiaan. Korkein, ankarimpia tietoturvallisuustoimenpiteitä vaativa luokka on "ERITTÄIN SALAINEN / YTTERST HEMLIG" (Особливої важливості). Suomessa tähän luokkaan luetaan kuuluviksi tiedot, joiden oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa erityisen suurta vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle. Toiseksi korkein turvallisuusluokka on "SALAINEN / HEMLIG" (Цілком таємно). Tähän kuuluvat Suomessa tiedot, joiden oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa merkittävää vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle. Kolmanneksi korkein turvallisuusluokka on "LUOTTAMUKSELLINEN / KONFIDENTIELL" (Таємно), jolla tarkoitetaan Suomessa tietoja, joiden oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle. Neljänteen turvallisuusluokkaan "KÄYTTÖ RAJOITETTU / BEGRÄNSAD TILLGÅNG” (Для службового користування) kuuluvat tiedot, joiden oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa lievää vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle.
Suomen kansainvälisiä suhteita suojaavat julkisuuslain 24 §:n 1 momentin 1 ja 2 kohta, maanpuolustusta momentin 10 kohta ja turvallisuutta momentin 5, 8 ja 9 kohta. Muita julkisuuslaissa tarkoitettuja yleisiä etuja voivat olla esimerkiksi valtionjohdon ja valtiovieraiden sekä tietojärjestelmien turvallisuusjärjestelyjen suojaaminen (24 § 1 mom. 7 kohta) sekä kansantalouden toimivuus (24 § 1 mom. 11 ja 12 kohta). Julkisuuslain 25 §:ssä on yleiset säännökset salassapito- ja luokitusmerkinnän tekemisestä viranomaisen asiakirjaan. Lain 25 §:n 3 momentin mukaan turvallisuusluokkaa koskevan merkinnän tekemisestä säädetään julkisen hallinnon tiedonhallinnasta annetussa laissa.
Julkisen hallinnon tiedonhallinnasta annetun lain 18 §:n 1 momentin mukaan valtion virastoissa ja laitoksissa toimivien viranomaisten, tuomioistuimien ja valitusasioita käsittelemään perustettujen lautakuntien on turvallisuusluokiteltava asiakirjat ja tehtävä niihin turvallisuusluokkaa koskeva merkintä sen osoittamiseksi, minkälaisia tietoturvallisuustoimenpiteitä asiakirjaa käsiteltäessä noudatetaan. Turvallisuusluokkaa koskeva merkintä on tehtävä, jos asiakirja tai siihen sisältyvä tieto on salassa pidettävä julkisuuslain 24 §:n 1 momentin 2, 5 tai 7–11 kohdan perusteella ja asiakirjaan sisältyvän tiedon oikeudeton paljastuminen tai oikeudeton käyttö voi aiheuttaa vahinkoa maanpuolustukselle, poikkeusoloihin varautumiselle, kansainvälisille suhteille, rikosten torjunnalle, yleiselle turvallisuudelle tai valtion- ja kansantalouden toimivuudelle taikka muulla niihin rinnastettavalla tavalla Suomen turvallisuudelle. Tiedonhallintalain 18 §:n 2 momentin mukaan turvallisuusluokkaa koskevaa merkintää ei saa käyttää muissa kuin 1 momentissa tarkoitetuissa tapauksissa, ellei merkinnän tekeminen ole tarpeen kansainvälisten tietoturvallisuusvelvoitteiden toteuttamiseksi tai asiakirja muutoin liity kansainväliseen yhteistyöhön.
Tiedonhallintalain 18 §:n 3 momentin mukaan kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa tarkoitettuihin asiakirjoihin on tehtävä turvallisuusluokituksesta merkintä siten kuin mainitussa laissa säädetään. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 8 §:n mukaan erityissuojattavaan tietoaineistoon on siitä riippumatta, mitä julkisen hallinnon tiedonhallinnasta annetussa laissa tai sen nojalla säädetään, tehtävä kansainvälisessä tietoturvallisuusvelvoitteessa määritelty luokitusmerkintä sen osoittamiseksi, minkälaisia tietoturvallisuusvaatimuksia sen käsittelyssä on noudatettava. Tiedonhallintalain 18 §:n 4 momentin mukaan turvallisuusluokittelusta, turvallisuusluokiteltaviin asiakirjoihin tehtävistä merkinnöistä sekä turvallisuusluokiteltujen asiakirjojen käsittelyä koskevista tietoturvallisuustoimenpiteistä on säädetty valtioneuvoston asetuksella asiakirjojen turvallisuusluokittelusta valtionhallinnossa.
Turvallisuusluokittelua ja turvallisuusluokan merkitsemistä koskevat erityissäännökset sisältyvät turvallisuusluokitteluasetuksen 3 §:ään ja merkintöjen vastaavuudesta kansainvälisten tietoturvallisuusvelvoitteiden luokkien kanssa on säädetty asetuksen 4 §:ssä. Ruotsinkielisistä turvallisuusluokitusmerkinnöistä on erityissäännös asetuksen 3 §:n 3 momentissa.
Artiklan 3 kohdan mukaan vastaanottava osapuoli varmistaa, ettei turvallisuusluokituksia muuteta tai kumota, ellei luovuttava osapuoli anna siihen kirjallista lupaa.
5 artikla.Turvallisuusluokitellun tiedon suojaaminen. Artikla sisältää keskeiset vastavuoroista suojaamista koskevat velvoitteet.
Artiklan 1 kohdan mukaan osapuolet toteuttavat kaikki asianmukaiset kansallisten säädöstensä ja määräystensä mukaiset toimet suojatakseen sopimuksessa tarkoitetun turvallisuusluokitellun tiedon. Osapuolet antavat saman kohdan mukaisesti tälle tiedolle samantasoisen suojan kuin omalle vastaavaan turvallisuusluokkaan kuuluvalle tiedolleen.
Artiklan 2 kohdan mukaan osapuolet eivät salli kolmansille osapuolille pääsyä turvallisuusluokiteltuun tietoon ilman luovuttavan osapuolen kirjallista ennakkosuostumusta. Kohta velvoittaa osapuolet noudattamaan luovuttajan suostumuksen periaatetta.
Artiklan 3 kohdan mukaan pääsy turvallisuusluokiteltuun tietoon sallitaan ainoastaan henkilöille, joilla on tiedonsaantitarve, joista on tarvittaessa tehty turvallisuusselvitys kansallisten säädösten ja määräysten mukaisesti ja joille on sallittu pääsy tällaiseen tietoon sekä selvitetty heidän vastuunsa turvallisuusluokitellun tiedon suojaamisesta. Turvallisuusselvitystä ei vaadita henkilöistä, joille on tehtäviensä vuoksi muutoin asianmukaisesti sallittu pääsy tietoon kansallisten säädösten ja määräysten mukaisesti.
Artiklan 4 kohdan mukaan henkilöturvallisuusselvitystä ei edellytetä turvallisuusluokkaan KÄYTTÖ RAJOITETTU / BEGRÄNSAD TILLGÅNG tai Для службового користування kuuluvaan turvallisuusluokiteltuun tietoon pääsemiseksi.
Artiklan 5 kohdan mukaan turvallisuusluokiteltua tietoa saa käyttää ainoastaan siihen tarkoitukseen, jota varten se on luovutettu. Velvoitetta vastaava säännös on kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 6 §:n 2 momentissa.
Artiklan määräykset ovat sopusoinnussa Suomen voimassaolevan turvallisuusluokitellun tiedon suojaamista koskevan lainsäädännön kanssa.
6 artikla.Turvallisuusluokitellut sopimukset. Artikla sisältää määräykset 2 artiklan b) kohdassa tarkoitetun turvallisuusluokitellun sopimuksen tekemisestä jommankumman osapuolen alueella.
Artiklan 1 kohdan mukaan vastaanottavan osapuolen toimivaltainen turvallisuusviranomainen ilmoittaa pyynnöstä luovuttavan osapuolen toimivaltaiselle turvallisuusviranomaiselle, onko ehdotetulle hankeosapuolelle, joka osallistuu turvallisuusluokiteltua sopimusta edeltäviin neuvotteluihin tai tällaisen sopimuksen täytäntöönpanoon, annettu vaadittua turvallisuusluokkaa vastaava asianmukainen henkilö- tai yritysturvallisuusselvitystodistus. Jollei hankeosapuolella ole tällaista todistusta, luovuttavan osapuolen toimivaltainen turvallisuusviranomainen voi pyytää vastaanottavan osapuolen toimivaltaista turvallisuusviranomaista tekemään hankeosapuolta koskevan turvallisuusselvityksen.
Artiklan 2 kohdan mukaan avoimen tarjouskilpailun tapauksessa vastaanottavan osapuolen toimivaltainen turvallisuusviranomainen voi antaa luovuttavan osapuolen toimivaltaiselle turvallisuusviranomaiselle asianmukaiset turvallisuusselvitystodistukset ilman virallista pyyntöä.
Artiklan 3 kohdan mukaan yritysturvallisuusselvitystä ei edellytetä turvallisuusluokkaan KÄYTTÖ RAJOITETTU / BEGRÄNSAD TILLGÅNG tai Для службового користування kuuluvia turvallisuusluokiteltuja sopimuksia varten.
Artiklan 4 kohdan mukaan, jotta turvallisuutta voidaan valvoa ja ohjata asianmukaisesti, turvallisuusluokitellussa sopimuksessa on oltava tämän sopimuksen liitteessä 1 tarkoitetut turvallisuusluokitusohjeet ja asianmukaiset turvallisuusmääräykset. Kopio turvallisuusmääräyksistä toimitetaan sen osapuolen toimivaltaiselle turvallisuusviranomaiselle, jonka lainkäyttöalueella turvallisuusluokiteltu sopimus pannaan täytäntöön
Artiklan 5 kohdan mukaan osapuolten toimivaltaisten turvallisuusviranomaisten edustajat voivat vierailla toistensa luona arvioimassa niiden toimien tehokkuutta, jotka hankeosapuoli on toteuttanut suojatakseen turvallisuusluokiteltuun sopimukseen liittyvän turvallisuusluokitellun tiedon. Määräyksellä on yhteys myös turvallisuusyhteistyötä koskevaan sopimuksen 10 artiklan 2 kohtaan, jossa määrätään osapuolten turvallisuusviranomaisten vierailuista.
Turvallisuusluokiteltuja sopimuksia koskevat kansalliset säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 1 § 2 momenttiin (soveltaminen elinkeinonharjoittajaan), 2 §:n 2 kohtaan (erityissuojattava tietoaineisto), 2 §:n 3 kohtaan (turvallisuusluokiteltu sopimus), 6 §:ään (salassapitovelvollisuus ja tietojen käyttö), 7 §:ään (vaitiolovelvollisuus ja hyväksikäyttökielto), 10 §:ään (tiloihin liittyvät turvallisuusvaatimukset), 12 §:ään (yritysturvallisuusselvitystodistus, sen voimassaolo ja peruuttaminen), 14 §:ään (todistusta koskevien tietojen merkitseminen turvallisuusselvitysrekisteriin), 16 §:ään (tiedonantovelvollisuus) sekä 18 §:n 2 momenttiin (kansainvälisen toimielimen ja sopimusvaltion edustajien vierailut). Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 18 §:n 2 momentissa säädetään yrityksen velvollisuudesta sallia viranomaisen ja kansainvälisen toimielimen tai sopimusvaltion edustajan tutustuminen turvallisuusjärjestelyihinsä ja toimitiloihinsa, milloin se on tarpeen kansainvälisen tietoturvallisuusvelvoitteen toteuttamiseksi. Turvallisuusselvityslain 40 §:ssä säädetään yrityksen toimivaltaiselle viranomaiselle antamasta sitoumuksesta tietoturvallisuustason säilyttämiseksi sekä viranomaisen pääsemiseksi yrityksen tiloihin tietoturvallisuustason säilyttämisen valvomiseksi. Artiklan mukaiset sopimusvelvoitteet vastaavat kansallisen sääntelyn vaatimuksia.
7 artikla.Turvallisuusluokitellun tiedon välittäminen. Artikla sisältää määräykset siitä, miten osapuolet välittävät toisilleen turvallisuusluokiteltua tietoa ei-sähköisessä sekä sähköisessä muodossa.
Artiklan 1 kohdan mukaan luovuttava osapuoli ja vastaanottava osapuoli välittävät turvallisuusluokitellun tiedon toisilleen käyttäen hallitusten välisiä, diplomaattisia ja virallisia kanavia tai muutoin siten kuin niiden toimivaltaiset turvallisuusviranomaiset keskenään sopivat.
Artiklan 2 kohdan mukaan luovuttava osapuoli ja vastaanottava osapuoli välittävät turvallisuusluokiteltua tietoa toisilleen sähköisesti ainoastaan toimivaltaisten turvallisuusviranomaisten keskenään sopimilla turvallisilla keinoilla.
Artiklan määräykset ovat sopusoinnussa asiakirjan kuljettamista koskevan turvallisuusluokitteluasetuksen 13 §:n kanssa sekä tiedonhallintalain tietojen siirtämistä tietoverkossa koskevan 14 §:n ja turvallisuusluokitteluasetuksen asiakirjan siirtämistä tietoverkon kautta koskevan 12 §:n kanssa.
8 artikla.Turvallisuusluokitellun tiedon kääntäminen, kopiointi ja hävittäminen.
Artiklan 1 kohdan mukaan kaikkiin turvallisuusluokitellun tiedon käännöksiin ja kopioihin tehdään asianmukaiset turvallisuusluokitusmerkinnät, ja ne suojataan kuten alkuperäinen turvallisuusluokiteltu tieto. Saman kohdan mukaan käännöksiä tehdään ja kopioita otetaan ainoastaan viralliseen tarkoitukseen tarvittava vähimmäismäärä.
Artiklan 2 kohdan mukaan kaikkiin käännöksiin tehdään asianmukainen käännöskielinen merkintä siitä, että käännökset sisältävät luovuttavan osapuolen turvallisuusluokiteltua tietoa.
Artiklan 3 kohdan mukaan turvallisuusluokkaan ERITTÄIN SALAINEN / YTTERST HEMLIG tai Особливої важливості kuuluvaa tietoa saa kääntää tai kopioida ainoastaan luovuttavan osapuolen kirjallisella suostumuksella.
Artiklan 4 kohdan mukaan turvallisuusluokkaan ERITTÄIN SALAINEN / YTTERST HEMLIG tai Особливої важливості kuuluva tieto palautetaan luovuttavalle osapuolelle, jollei muuta sovita.
Artiklan 5 kohdan mukaan turvallisuusluokkaan SALAINEN / HEMLIG tai Цілком таємно tai sitä alempaan turvallisuusluokkaan merkitty tieto hävitetään sen jälkeen, kun vastaanottava osapuoli katsoo, ettei sitä enää tarvita, vastaanottavan osapuolen kansallisten säädösten ja määräysten mukaisesti.
Artiklan 6 kohdan mukaan, jos kriisitilanne estää sopimuksen mukaisesti luovutetun turvallisuusluokitellun tiedon suojaamisen, tieto hävitetään välittömästi. Vastaanottava osapuoli ilmoittaa turvallisuusluokitellun tiedon tämän kohdan mukaisesta hävittämisestä luovuttavan osapuolen toimivaltaiselle turvallisuusviranomaiselle mahdollisimman pian.
Velvollisuudesta pitää huolta erityissuojattavan tietoaineiston suojaamisesta sen turvallisuusluokkaa vastaavalla tavalla sitä luotaessa, kopioitaessa, siirrettäessä, jaettaessa, säilytettäessä, hävitettäessä tai muutoin käsiteltäessä on säädetty kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 9 §:n 1 momentissa. Tarkemmat käsittelyä koskevat määräykset on Suomessa säädetty asetuksentasoisina.
9 artikla.Vierailut.
Artiklan 1 kohdan mukaan vierailuihin, joihin liittyy pääsy turvallisuusluokkaan LUOTTAMUKSELLINEN/KONFIDENTIELL tai Таємно tai sitä ylempään turvallisuusluokkaan kuuluvaan tietoon, vaaditaan isäntäosapuolen toimivaltaisen turvallisuusviranomaisen kirjallinen ennakkolupa. Saman kohdan 1 a) – b) alakohtien mukaan vierailijoille sallitaan pääsy tietoon ainoastaan, jos vieraat lähettävän osapuolen toimivaltainen turvallisuusviranomainen on antanut heille luvan pyydettyyn yhteen tai useampaan vierailuun sekä mikäli heille on annettu asianmukainen henkilöturvallisuusselvitystodistus.
Artiklan 2 kohdan mukaan vierailupyynnön esittävän osapuolen asianomainen toimivaltainen turvallisuusviranomainen ilmoittaa suunnitellusta vierailusta isäntäosapuolen asianomaiselle toimivaltaiselle turvallisuusviranomaiselle ja varmistaa, että kyseinen isäntäosapuolen turvallisuusviranomainen saa vierailupyynnön vähintään 14 päivää ennen vierailun ajankohtaa. Kiireellisissä tapauksissa toimivaltaiset turvallisuusviranomaiset voivat sopia lyhyemmästä ajasta. Vierailupyynnön on sisällettävä sopimuksen liitteessä 2 mainitut tiedot.
Artiklan 3 kohdan mukaan toistuvia vierailuja koskevat luvat ovat voimassa enintään 12 kuukautta.
10 artikla. Turvallisuusyhteistyö. Artiklassa on määräys toimivaltaisten turvallisuusviranomaisten välisestä turvallisuusyhteistyöstä.
Artiklan 1 kohdan mukaan sopimuksen täytäntöön panemiseksi toimivaltaiset turvallisuusviranomaiset antavat toisilleen tiedoksi asianomaiset turvallisuusluokitellun tiedon suojaamista koskevat kansalliset säädöksensä ja määräyksensä sekä niiden mahdolliset myöhemmät muutokset.
Artiklan 2 kohdan mukaan varmistaakseen läheisen yhteistyön sopimuksen täytäntöönpanossa toimivaltaiset turvallisuusviranomaiset neuvottelevat keskenään sekä antavat pyynnöstä toisilleen tietoa turvallisuusluokitellun tiedon suojaamista koskevista kansallisista turvallisuusnormeistaan, menettelyistään ja käytännöistään. Tätä tarkoitusta varten toimivaltaiset turvallisuusviranomaiset voivat tehdä keskinäisiä vierailuja. Vierailujen toteuttamiseen liittyvät säännökset ovat kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 18 §:ssä.
Artiklan 3 kohdan mukaan turvallisuusviranomaiset avustavat pyynnöstä toisiaan turvallisuusselvityksiin liittyvissä menettelyissä kansallisten säädösten ja määräystensä mukaisesti. Turvallisuusselvityslain 26 §:n 2 momentin 1 kohdan mukaan turvallisuusselvitystä laativa toimivaltainen viranomainen voi viran puolesta kansainvälisen sopimuksen tai säädöksen mukaisesti hankkia ulkomaan viranomaiselta turvallisuusselvityslain 25 §:n 1 momentin 1-3 kohdissa ja tietyin edellytyksin 4 kohdassa tarkoitettuja tietoja vastaavan selvityksen. Kohdan mukainen sopimusvelvoite vastaa kansallisen sääntelyn vaatimuksia.
Artiklan 4 kohdan mukaan toimivaltaiset turvallisuusviranomaiset ilmoittavat viipymättä toisilleen henkilö- ja yritysturvallisuusselvitystodistusten muutoksista.
11 artikla.Tietoturvaloukkaus. Artiklan 1 kohdan mukaan kumpikin osapuoli ilmoittaa viipymättä toiselle osapuolelle epäillystä tai todetusta turvallisuusluokiteltuun tietoon kohdistuneesta tietoturvaloukkauksesta.
Artiklan 2 kohdan mukaan se osapuoli, jonka lainkäyttövaltaan asia kuuluu, tutkii tapauksen viipymättä. Toinen osapuoli tekee tarvittaessa tutkintayhteistyötä.
Artiklan 3 kohdan mukaan se osapuoli, jonka lainkäyttövaltaan asia kuuluu, toteuttaa kansallisten säädöstensä ja määräystensä mukaisesti kaikki mahdolliset asianmukaiset toimet rajoittaakseen tietoturvaloukkauksen seurauksia ja estääkseen tietoturvaloukkausten jatkumisen. Toiselle osapuolelle ilmoitetaan tutkinnan ja toteutettujen toimien tuloksista.
Artiklan velvoitteisiin liittyvät säännökset sisältyvät kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 19 §:ään.
12 artikla. Kustannukset. Artiklan mukaan kumpikin osapuoli vastaa omista kustannuksistaan, jotka sille aiheutuvat sen täyttäessä sopimuksen mukaisia velvoitteitaan.
13 artikla.Riitojen ratkaiseminen. Artiklan mukaan osapuolten väliset riidat sopimuksen tulkinnasta tai soveltamisesta ratkaistaan osapuolten välisillä neuvotteluilla.
14 artikla.Loppumääräykset. Artiklassa on sopimuksen voimaantuloa, muuttamista, irtisanomista, irtisanomisesta johtuvia velvollisuuksia sekä sopimuksen tallettamista Yhdistyneiden kansakuntien sihteeristön kirjattavaksi YK:n peruskirjan 102 artiklan mukaisesti koskevat määräykset. Artiklan mukaan sopimus on voimassa toistaiseksi. Sopimusta voidaan muuttaa osapuolten keskinäisellä kirjallisella suostumuksella. Osapuoli voi irtisanoa artiklan mukaisesti sopimuksen ilmoittamalla asiasta kirjallisesti toiselle osapuolelle diplomaattiteitse kuuden (6) kuukauden irtisanomisaikaa noudattaen. Jos sopimus irtisanotaan ko. artiklan nojalla, sopimuksen perusteella jo luovutettua ja sen perusteella syntyvää turvallisuusluokiteltua tietoa käsitellään sopimuksen määräysten mukaisesti niin kauan kuin se on tarpeen kyseisen tiedon suojaamiseksi.