FÖRVALTNINGSUTSKOTTETS BETÄNKANDE 16/2014 rd

FvUB 16/2014 rd - RP 57/2013 rd

Ogranskad version 2.0

Regeringens proposition till riksdagen med förslag till säkerhetsutredningslag och lagar som har samband med den

INLEDNING

Remiss

Riksdagen remitterade den 4 juni 2013 regeringens proposition med förslag till säkerhetsutredningslag och lagar som har samband med den (RP 57/2013 rd) till förvaltningsutskottet för beredning.

Utlåtande

I enlighet med riksdagens beslut har grundlagsutskottet lämnat utlåtande i ärendet. Utlåtandet (GrUU 3/2014 rd) återges efter betänkandet.

Sakkunniga

Utskottet har hört

lagstiftningsråd Anna-Riitta Wallin, justitieministeriet

riksdagens justitieombudsman Petri Jääske-läinen

justitiekanslern i statsrådet Jaakko Jonkka

statsrådets säkerhetsdirektör Timo Härkönen, statsrådets kansli

ställföreträdare för chefen för nationella säkerhetsmyndigheten, utrikesråd Maarit Jalava, utrikesministeriet

lagstiftningsdirektör Marko Viitanen ja polisinspektör Pekka Aho, inrikesministeriet

regeringssekreterare Jenni Herrala, försvarsministeriet

regeringsråd Kari Mäkinen, arbets- och näringsministeriet

dataombudsman Reijo Aarnio

statsåklagare Jarmo Hirvonen ja statsåklagare Juha-Mikko Hämäläinen, Riksåklagarämbetet

polisdirektör Seppo Kolehmainen ja polisdirektör Tomi Vuori, Polisstyrelsen

biträdande avdelningschef för juridiska avdelningen  Christel Hägglund ja överinspektör på  granskningsenheten Terhi Vira, Huvudstaben

chef för enheten för säkerhetsutlåtanden, överinspektör  Astrid Geisor-Goman, skyddspolisen

expert Vesa Vuorenkoski, Akava rf

juridisk ombudsman Mikko Nyyssölä, Finlands Näringsliv rf

chef för enheten Anställningsvillkor, chefsjurist  Timo Koskinen, Finlands Fackförbunds Centralorganisation FFC rf, avdelningen för intressebevakning

Dessutom har skriftligt yttrande lämnats av

  • Riksdagens kansli
  • finansministeriet
  • kommunikationsministeriet
  • social- och hälsovårdsministeriet
  • Kommunikationsverket
  • Tullen
  • Finlands Kommunförbund
  • Suomen Vartioliikkeitten Liitto ry
  • Tjänstemannacentralorganisationen STTK rf
  • Finansbranschens Centralförbund
  • Suomen Turvaurakoitsijaliitto ry
  • Företagarna i Finland rf.

PROPOSITIONEN

I propositionen föreslår regeringen att det stiftas en säkerhetsutredningslag genom vilken 2002 års lag om säkerhetsutredningar upphävs. Syftet med den nya lagen är att reglera bedömningen av såväl fysiska personers som företags tillförlitlighet så att deras bakgrund kontrolleras genom myndighetsåtgärder.

Ett centralt mål för reformen är att effektivisera den övergripande säkerheten genom att förbättra den allmänna säkerheten, främja företagssäkerheten och utveckla informationssäkerheten inom statsförvaltningen. Målet är också att få lagstiftningen i Finland att motsvara internationell praxis, effektivisera och förenhetliga utredningsförfarandet hos olika myndigheter, göra förfarandet öppnare och öka växelverkan i samband med förfarandet.

Säkerhetsutredningar av personer ska, liksom för närvarande, kunna göras bara om den som utredningen gäller ger sitt samtycke till det. Genom reformen får den som utredningen gäller bättre möjligheter att få information, och möjligheterna att intervjua honom eller henne blir bättre. Utredningarna ska alltjämt kunna vara begränsade, normala eller omfattande.

För säkerhetsutredningar av personer kommer man att använda bl.a. uppgifter som ingår i polisens och justitieförvaltningens informationssystem. Säkerhetsutredningar av personer handlar dock inte enbart om att kontrollera brottslig bakgrund. Vid omfattande säkerhetsutredningar av personer kommer utredningarna på samma sätt som enligt gällande lag att utsträckas till att gälla även den berörda personens ekonomiska ställning och närstående.

Skyddspolisen ska tillsammans med andra myndigheter som gör utredningar föra ett register över säkerhetsutredningar. Tillförlitlighet och oförvitlighet ska kunna kontrolleras genom att personregister samkörs. Dessa reformer tillsammans med de föreslagna bestämmelserna om giltighetstiden för säkerhetsutredningar och intyg utfärdade över säkerhetsutredningar kommer att effektivisera förfarandet. Allt fler personer kan således bli föremål för utredningsförfarandet utan att det behövs nya personalresurser.

I den nya lagen föreskrivs det om säkerhetsutredningar av företag. Genom en sådan utredning kontrolleras vilken bakgrund företagets ansvars-personer har samt nivån på informationssäkerheten vid företaget och företagets förmåga att sköta åtaganden. Utredningar av företag ska kunna göras när ett företag i egenskap av en myndighets avtalspartner får klassificerade sekretessbelagda uppgifter.

Genom propositionen eftersträvas ett enhetligare säkerhetsutredningsförfarande. För att genomföra detta föreslås det att en särskild nämnd för bedömningskriterier inrättas i anslutning till justitieministeriet. Som underlag för de myndigheter som gör säkerhetsutredningar ska nämnden lägga fram allmänna tolkningsrekommendationer om vad som bör beaktas när lagen tillämpas.

I propositionen ingår förslag till lagar om ändring av 22 lagar. Genom de föreslagna bestämmelserna kommer lagstiftningen att stämma överens med innehållet i den nya säkerhetsutredningslagen och med målen för reformen.

De föreslagna lagarna avses träda i kraft under det första halvåret 2014. Med beaktande av övergångsbestämmelserna kommer reformen att gälla fullt ut inom två år från den nya säkerhetsutredningslagens ikraftträdande.

UTSKOTTETS ÖVERVÄGANDEN

Allmän motivering

Reformbehov

Den gällande lagen om säkerhetsutredningar (177/2002) har på lite mer än tio år visat sig vara föråldrad om man ser till dagens behov och krav. På grund av våra internationella förpliktelser behövdes redan 2004 en speciallag om internationella förpliktelser som gäller informationssäkerhet (588/2004) för att Finland skulle kunna uppfylla sina förpliktelser på grund av internationella avtal, bland annat säkerhetsutredningar av företag.

En ny lag om säkerhetsutredningar har blivit aktuell också av den anledningen att de intressen som skyddas genom den gällande lagen är relativt snävt definierade med avseende på dagens säkerhetsbegrepp. Överlag är normerna i den gällande lagstiftningen alltför abstrakta ur dagens synvinkel. Bestämmelserna anger till exempel inte vilka de uppdrag eller arbetsuppgifter är där bakgrunden får utredas. Det bör också noteras att garantierna för att kritisk infrastruktur i samhället ska fungera är förknippade med uppdrag som inte nödvändigtvis innefattar åtkomst till data utan snarare en möjlighet att verkligen göra något. Dessutom är det inte bara den offentliga förvaltningen som har hand om kritiska funktioner i samhället. De är ofta i privat ägo, och privata företag har därför ett betydande ansvar för att upprätthålla livsviktiga samhällsfunktioner.

Den övergripande säkerheten i samhället innefattar alla delområden inom säkerhet som avser att bland annat garantera statens säkerhet, grundläggande samhällsfunktioner, allmän ordning och säkerhet, befolkningens säkerhet, tillgång till information och felfri information. Åtgärderna för att upprätthålla säkerheten kan delas upp i informationssäkerhet, fysisk säkerhet, personalsäkerhet och företagssäkerhet.

Regeringen har ett viktigt mål med den nya lagstiftningen om säkerhetsutredningar, nämligen att bidra till att minska sårbarheten i samhället genom att införa effektivare processer för att utreda bakgrunden beträffande personer och företag. Den nya lagstiftningen ska inte bara skydda de traditionella allmänintressena (statens säkerhet, försvaret och internationella relationer) utan också den allmänna säkerheten och infrastruktur som är kritisk för ett fungerande samhälle. Genom revideringen av allmänlagen genomförs dessutom våra EU-förpliktelser i fråga om informationssäkerhet och bestämmelser om informationssäkerhet vid offentlig försvars- och säkerhetsupphandling.

Reformen avser att göra en tillnärmning av vår lagstiftning till internationell praxis, men med hänsyn till särdragen i det finländska samhället, exempelvis möjligheten att identifiera personer med hjälp av personbeteckning, övergripande informationssystem liksom även specialbestämmelserna om inhämtande och hantering av kreditupplysningar om arbetssökande och skyldighet att visa upp ett intyg över narkotikatest. Detta är motiverat, anser utskottet. Vidare är det viktigt att bestämmelserna ökar öppenheten och växelverkan vid säkerhetsutredningar och att lagen tillämpas effektivt och samordnat.

Säkerhetsutredningar

Med säkerhetsutredningar utreds bakgrunden till antingen fysiska personer (säkerhetsutredning av person) eller företag (säkerhetsutredning av företag) för att säkerställa att de är tillförlitliga. Rent allmänt framhåller utskottet att utredningarna gäller personer och företag som har åtkomst till kritisk information och som förväntas vara extra tillförlitliga i sina uppdrag.

Säkerhetsutredningarna grundar sig i första hand på uppgifter om en persons eller ett företags tidigare verksamhet och omständigheter. Precis som nu kommer utredningarna av personer också i fortsättningen att göras på tre olika nivåer (begränsade, normala och omfattande utredningar). Det är motiverat att ju mer kritiska de kommande arbetsuppdragen är, desto mer omfattande är informationskällorna vid säkerhetsutredningar av personer. Utredning av brottslig bakgrund spelar en framträdande roll. Om en person hanterar information i de högsta säkerhetsklasserna, utreds också den ekonomiska situationen och anhöriga. Detta är nödvändigt för att säkerställa att den som utreds inte befinner sig i ett läge där han eller hon kan påverkas till exempel med ekonomiska fördelar eller utpressning. Utredningar av personer ska fortfarande göras av skyddspolisen, Huvudstaben och polisinrättningarna. Reformen innebär att begränsade säkerhetsutredningar kommer att göras av polisinrättningar som anvisas av Polisstyrelsen.

Vid säkerhetsutredningar av företag utreds bakgrunden beträffande ansvarspersoner och nivån på informationssäkerheten. En utredning kan göras exempelvis om ett företag i egenskap av avtalspart får klassificerade sekretessbelagda uppgifter från en myndighet. Den nya lagstiftningen täcker in de fall som inte ingår i tillämpningsområdet för lagen om offentlig försvars- och säkerhetsupphandling () och förtydligar reglerna för säkerhetsutredningar av företag vid olika typer av upphandling. Säkerhetsutredningar av företag görs av skyddspolisen, medan nivån på informationssystemen och datakommunikationen utreds av Kommunikationsverket som ett led i säkerhetsutredningen.

Den som utredningen gäller

Det är motiverat att säkerhetsutredningar och den anknytande kontrollen av oförvitligheten i alla lägen bara görs med samtycke från den person eller det företag som de gäller. Vid en säkerhetsutredning ska man vid behov kunna intervjua den som utredningen gäller, vilket enligt utskottet kan tillföra större växelverkan och ge den behöriga myndigheten bättre möjligheter att bedöma vilken betydelse de tillgängliga uppgifterna har för resultatet av utredningen. Vid intervjun och kontrollen av personuppgifter kan den som utredningen gäller komma med kommentarer, och huvudregeln är att detta ska skrivas in i säkerhetsutredningen om inte uppgifterna rättas till genast. Reformen innebär också att den som utreds har bättre möjligheter att få information. Dessutom förbättras rättssäkerheten när möjligheten att överklaga utvidgas.

Nämnden för bedömningskriterier

Vid utfrågningen av de sakkunniga företräddes åsikten att någon nämnd för bedömningskriterier inte bör inrättas eftersom yttrandeförfarandet i frågor enligt 22 § i lagförslag 1 kan gälla mycket känslig information om företagsspioneri och företagens säkerhetsintressen. Den typen av frågor måste kunna behandlas konfidentiellt mellan företagen och den behöriga polisförvaltningen.

Enligt 12 § i lagförslaget ska det i anslutning till justitieministeriet finnas en nämnd för bedömningskriterier tillsatt av statsrådet. Den ska bestå av företrädare för det ministerium som har ansvar för den allmänna styrningen av informationssäkerheten inom den offentliga förvaltningen och företrädare för försvarsförvaltningen, utrikesförvaltningen och övriga förvaltningsområden som är centrala för skyddet av allmänna intressen, fackorganisationerna och näringslivet och medlemmar som företräder den behövliga juridiska sakkunskapen.

Utskottet understryker att nämnden är en myndighet och att de som ingår där är bundna av bestämmelserna om sekretess och tystnadsplikt i bland annat offentlighetslagen (). Även i övrigt ska myndigheterna i sin verksamhet följa principen att behandlingen av sekretessbelagda uppgifter i förekommande fall ska avgränsas till uppgifter som är nödvändiga.

Säkerhetsutredningarna och regleringen av dem kommer att förändras mycket i och med den nya lagen, bland annat för att arbetsuppgifterna anges mycket mer exakt och lagen förbättrar rättssäkerheten. Följaktligen är det viktigt att de behöriga myndigheterna får stöd i sina beslutsprocesser. Tolkningsrekommendationerna från nämnden är tänkta att garantera att dels de som ansöker om säkerhetsutredning, dels de som utredningen gäller behandlas lika i processen.

Bestämmelserna i den föreslagna 22 § handlar om att ge företagen en särskild möjlighet att ansöka om säkerhetsutredning av personer också vid andra arbetsuppgifter än de som nämns explicit i lagen. Med hänvisning till inkommen information framhåller utskottet att nämnden inte behöver yttra sig om detaljer, exempelvis i tekniska utvecklingsprojekt, om det kan vara en risk för företagets patenträttigheter.

Utskottet tillstyrker bestämmelserna om nämnden för bedömningskriterier i den form som regeringen föreslår (12 §).

Informationssystemet för misstänkta (register över misstänkta)

Av 25 § 2 mom. och 27 § framgår det att det vid en normal och en omfattande säkerhetsutredning kan vara tillåtet att använda den typen av uppgifter i registret över misstänkta som centralkriminalpolisen ansett vara nödvändig att uppge för att ett intresse som säkerhetsutredningen grundar sig på ska kunna skyddas mot organiserade kriminella sammanslutningar. Propositionen innebär att dataunderlaget för säkerhetsutredningar vidgas. Skyddspolisen föreslås dock inte få direkt uppkoppling till registret över misstänkta, utan det ska vara centralkriminalpolisens uppgift att i förekommande fall förmedla information i varningssyfte.

Syftet är att förhindra att de som deltar i organiserad brottslig verksamhet eller är misstänkta för sådan verksamhet får tillträde eller tillgång till platser och material som kräver särskilt skydd, och utskottet anser förslaget motiverat. Den typen av försök har förekommit enligt centralkriminalpolisen, framgår det av propositionen.

Enligt 4 § i lagen om behandling av personuppgifter i polisens verksamhet () är informationssystemet för misstänkta ett permanent personregister som är avsett för polisens riksomfattande bruk och förs med hjälp av automatisk databehandling. Det kan innehålla information som för att handha uppgifter enligt 1 kap. 1 § 1 mom. i polislagen inhämtats genom kriminalunderrättelseverksamhet, observation eller iakttagelser och som gäller personer som skäligen kan misstänkas 1) göra eller ha gjort sig skyldiga till ett brott som kan följas av fängelse eller 2) medverka eller ha medverkat till ett brott som kan följas av fängelse i mer än sex månader eller till straffbart bruk av narkotika.

Av ovan nämnda 4 § framgår det också vilka personuppgifter som ska föras in i registret. Med stöd av 4 § får informationssystemet genom teknisk anslutning bara användas av polispersonal som förordnats till kriminalunderrättelse-, brottsanalys- och observationsuppgifter och av kontaktpersoner som polisen sänt utomlands. Lagstiftningen tillåter också att uppgifter genom teknisk anslutning lämnas ut från registret över misstänkta till Gränsbevakningsväsendet och Tullen. Ungefär 1 400 personer har fått behörighet att använda registret och av dem är omkring 1 100 är poliser.

I proposition RP 93/2002 rd säger regeringen bland annat följande om tröskeln för att mata in uppgifter: "I fråga om individualiseringen av en misstänkt förblir regleringen oförändrad. En person skall misstänkas göra eller ha gjort sig skyldig eller medverka eller ha medverkat till ett visst brott, men på grund av syftet med registret kan inte en mycket precis individualisering av brottet förutsättas. Detta gäller t.ex. den verksamhet som medlemmarna i en känd kriminell grupp bedriver."

I 1 § 1 mom. föreskriver den nya polislagen (872/2011), precis som polislagen från 1995 (493/1995), bland annat att polisen ska förebygga, avslöja och utreda brott. När uppgifter om en person förs in i registret över misstänkta måste kriterierna uppfyllas, det vill säga att personen kan misstänkas göra sig eller ha gjort sig skyldig alternativt medverka eller ha medverkat till ett brott. Tröskeln för "skäl att misstänka" är densamma som tröskeln för att inleda förundersökning av brott enligt förundersökningslagen ().

Att det inte är så enkelt att tillämpa bestämmelserna om registret över misstänkta framgår av att registret inte bara innehåller uppgifter om misstänkta personer som har gjort sig skyldiga eller har medverkat till ett brott som nämns i bestämmelsen, utan också om ett sådant brott som personen kan göra sig skyldig eller medverka till i framtiden. Det är uppenbart att misstanken i sådana fall måste grunda sig på konkreta iakttagelser som ger anledning att sluta sig till att personen kommer att handla så att kravet "skäl att misstänka" uppfylls på ett godtagbart sätt. Att bedöma hur en person kommer att bete sig i framtiden är kopplat till en så osäker slutledningskedja att risken för felbedömning är mycket stor.

Uppgifter som presenterades för utskottet vid utfrågningen av de sakkunniga visar att det i registret förs in personuppgifter för personer som misstänkts medverka till ett brott i framtiden, men i fråga om vilka det finns synnerligen goda skäl att fråga sig om detta är korrekt. Förvaltningsutskottet behandlade registret för misstänkta på nytt efter våren 2013 (HAO 2/2013 vp, Poliisin henkilöreksterit, henkilötietojen käsittely ja tietosuoja) och gick då in på teman som innehåll, anteckningar som har gjorts och görs, tillsyn, utbildning och anvisningar. I detta sammanhang är ett av utskottets viktigaste mål att se till att polisens personregister är utformade och används korrekt både med avseende på lagstiftningen och i övrigt och att brister som förekommit och kan förekomma rättas till så snabbt som möjligt.

I det nuvarande systemet för tillsyn över polisen varierar den som utövar tillsyn delvis efter ärendegrupp. Dessutom har inte alla som utövar tillsyn samma befogenheter. För den utomstående laglighetsövervakningen av polisen står i synnerhet de högsta laglighetsövervakarna och dataombudsmannen och på sätt och vis också domstolarna. För den interna laglighetsövervakningen står enheten för juridiska frågor vid inrikesministeriet, delvis också ministeriets polisavdelning, Polisstyrelsen och övriga polisenheter. Varje tjänsteman svarar självfallet för att tjänsteutövningen är laglig.

Enligt 68 § i grundlagen svarar varje ministerium för att förvaltningen inom dess ansvarsområde fungerar som sig bör. Det inbegriper att styra och övervaka förvaltningsområdet. Inrikesministeriet utför sitt uppdrag dels i en resultat- och styrprocess, dels genom bevakning och utvärdering av dagligen förekommande och enskilda frågor och ärendegrupper. I tillsynsuppdraget ingår också intern övervakning, exempelvis övervakning av lagligheten.

Enligt uppgift till utskottet meddelade inrikesministeriet den första anvisningen om övervakningen av lagligheten inom sitt förvaltningsområde den 28 juni 2011. Den behandlar bland annat ansvar, kvalitetskrav på den interna laglighetsövervakningen, laglighetsövervakning på chefsnivå, övervakning av behandlingen av personuppgifter, uppföljning och rapportering av laglighetsövervakning och intern och extern kommunikation om laglighetsövervakning. Enheten för juridiska frågor ska tillsammans med avdelningarna och enheten för intern granskning granska de centrala ämbetsverken inom förvaltningsområdet och de centrala ämbetsverken i sin tur granska förvaltningen under dem.

Enligt 7 § i lagen om behandling av personuppgifter i polisens verksamhet är det Polisstyrelsen som är registeransvarig för informationssystemet för misstänkta. I 3 § 1 mom. 4 punkten i personuppgiftslagen () definieras registeransvarig som en eller flera personer, sammanslutningar, inrättningar eller stiftelser för vilkas bruk ett personregister inrättas och vilka har rätt att förfoga över registret eller vilka enligt lag ålagts skyldighet att föra register. I 5 § i samma lag föreskrivs det om aktsamhetsplikt, det vill säga att en registeransvarige ska behandla personuppgifterna i enlighet med lag, iaktta aktsamhet och god informationshantering och även i övrigt förfara så att skyddet av den registrerades privatliv och andra grundläggande fri- och rättigheter som tryggar skyddet för den personliga integriteten inte begränsas utan en i lag angiven grund. Samtidigt kan det noteras att 9 § 2 mom. i den lagen föreskriver att den registeransvarige ska se till att oriktiga, ofullständiga eller föråldrade personuppgifter inte behandlas (felfrihetskrav).

Den 11 april 2013 begärde inrikesministeriet information av Polisstyrelsen bland annat om vilka anvisningar det finns om behandling av personuppgifter i informationssystemet för misstänka utöver lagbestämmelserna. Ministeriet ville också ha information om hur behandlingen av personuppgifter har övervakats och övervakas. Dessutom bad ministeriet om att få revisionsberättelser och annan tillgänglig information om övervakningen.

Polisstyrelsen har underrättat utskottet om de utvecklingsåtgärder och andra insatser som den har vidtagit efter april 2013. Inrikesministeriet har uppgett att det administrativa utredningsarbetet är inställt så länge förundersökningen pågår eftersom utredningen och förundersökningen gäller samma fråga. Den 22 april 2014 begärde inrikesministeriet en kopia av förundersökningsprotokollet från Riksåklagarämbetet för detta administrativa övervakningsuppdrag. Enligt uppgift från inrikesministeriet har Polisstyrelsen bland annat förordnat att uppgifterna i informationssystemet för misstänkta ska granskas. Enligt vad utskottet erfar har polisenheterna raderat registeruppgifter som uppenbart strider mot lag. Arbetet är emellertid stoppat eftersom förundersökningen har utvidgats till vissa förfaringssätt inom ramen för informationssystemet.

Det är värt att notera att intern kontroll inom polisförvaltningen inte kunde utsträckas till registret över misstänkta innan lagen ändrades på initiativ av förvaltningsutskottet och ändringen trädde i kraft den 1 januari 2014. Detta berodde på att lagen tolkades så att behörighet att använda registret inte kunde ges för laglighetsövervakning. Polisstyrelsen uppger att övervakningen av registret är sedvanlig övervakning på chefsnivå och laglighetsövervakning. Utskottet har ingen information om vad övervakning på chefsnivå konkret avser i detta sammanhang. Enligt ett sakkunnigyttrande tillämpas inte den typen av övervakning särskilt aktivt. Polisstyrelsen har uppgett att den gör stickprov på logguppgifterna minst två gånger om året.

Enligt 45 § i lagen om behandling av personuppgifter i polisens verksamhet gäller rätten till insyn inte informationssystemet för misstänkta. Men på begäran av den registrerade kan dataombudsmannen kontrollera att uppgifterna om honom eller henne är registrerade enligt lag. Vid en bedömning av vilken roll detta faktum spelar måste det beaktas att exempelvis observationer och iakttagelser huvudsakligen har förts in utifrån en enskild polismans bedömning och att det därmed är polismannen som har bedömt om de uppgifterna är korrekta eller inte.

Utskottet påpekar är det enligt lag är Polisstyrelsen som är registeransvarig och har alla de skyldigheter som ingår i uppdraget. Däremot är det centralkriminalpolisen som beviljar behörighet att använda registret. Det sker under överinsikt av polisens högsta ledning, erfar utskottet. Centralkriminalpolisen har två kriminalöverkonstaplar som genom stickprov kontrollerar att uppgifterna i registret följer reglerna för allmän laglighet. De har uppdraget vid sidan av sin normala tjänst. I detta sammanhang avses med allmän laglighet att databasen har ett registerkort på personen och att brottsrubriceringen nämns vid misstanke om brott. Registreringspraxis har ändrats efter de händelser som fick publicitet i våras. Polisstyrelsen har beslutat att det ska vara en tjänsteman inom befälet som bedömer lagligheten och kvaliteten på uppgifterna i registret över misstänkta.

Myndigheterna måste behandla sina personregister och personuppgifter på ett korrekt sätt i alla hänseenden och uppfylla de lagstadgade kraven på personregister, påpekar utskottet. Behandlingen av personuppgifter inbegriper också god informationshantering och iakttagande av bästa praxis. På grund av de fall som förekommit är det nödvändigt att göra en heltäckande utredning om polisens personregister, särskilt om informationssystemet för misstänkta och då gå närmare in på vem som gör registeranteckningar och hur de görs, vilka data som ingår i registren, hur data används och personuppgifter behandlas, vilken utbildning det finns och hur registren övervakas. Detta bör utredas särskilt för alla parter. Om det är möjligt bör utredningen behandla frågorna åtminstone ur följande perspektiv: aktörer på alla nivåer, övervakning på chefsnivå, övervakning av de registeransvariga, intern kontroll och laglighetsövervakning. Dataombudsmannen bör göra en heltäckande kontroll av åtminstone informationssystemet för misstänkta efter det att inrikesförvaltningen är klar med sina egna utredningar och utvecklingsåtgärder, anser utskottet. Samtidigt måste det beredas lagstiftning som tillåter att det görs sådana kontroller.

Förvaltningsutskottet föreslår att riksdagen godkänner följande uttalande: Riksdagen förutsätter att regeringen ser till att förvaltningsutskottet före utgången av 2015 får en heltäckande utredning 1) om vilka åtgärder som har vidtagits i synnerhet i fråga om informationssystemet för misstänkta men också i fråga om polisens andra personregister, för att säkerställa att informationssystemen inte innehåller felaktigheter och att behandlingen av personuppgifter i alla avseenden sker i enlighet med lag och även i övrigt på ett korrekt sätt samt 2) om vilka åtgärder som har vidtagits för att utveckla styrningen och övervakningen av personregistren och av behandlingen av personuppgifter och utbildningen i anslutning till dem. (Utskottets förslag till uttalande)

I detaljmotiven föreslår utskottet att 25 § 2 mom. i säkerhetsutredningslagen ändras så att uppgifter i registret över misstänkta får användas för säkerhetsutredningar om det inte äventyrar personens rättssäkerhet.

Sammanfattning

Sammantaget anser utskottet propositionen vara behövlig och angelägen. Utskottet tillstyrker lagförslag 2, 3, 5 och 7—23 utan ändringar och lagförslag 1, 4 och 6 med de ställningstaganden och ändringsförslag som framgår av betänkandet.

Detaljmotivering

1. Säkerhetsutredningslag

9 §. Behöriga myndigheter.

Enligt det föreslagna 1 mom. ska skyddspolisen ha allmän behörighet att besluta om säkerhetsutredningar. Av paragrafens 3 mom. framgår att avsikten har varit att huvudstaben ska göra säkerhetsutredningar av personer i samtliga fall där den som utredningen gäller arbetar eller kommer att arbeta inom försvarsmakten eller sköter ett uppdrag som förordnats av försvarsmakten eller där utredningen anknyter till verksamhet eller upphandling inom försvarsmakten. Huvudstaben ska dessutom fatta beslut om huruvida en säkerhetsutredning av företag ska göras i fråga om ett företag som sköter eller kommer att sköta ett uppdrag på förordnande av försvarsmakten eller sköter ett uppdrag som hänför sig till upphandling inom försvarsmakten.

Enligt uppgift till utskottet har det efter det att propositionen lämnades gjorts upp planer som gäller omorganisering av försvarsförvaltningen. Enligt planen kan huvudstaben lämna de uppgifter som behövs för kontroll av registeruppgifter och i samma syftet förordna att vissa enheter inom försvarsmakten som huvudstaben övervakar ska få tillträde till register som används vid kontrollen. Den enhet det här är fråga om är Försvarsmaktens underrättelseverk, som ska inrättas i enlighet med lagen om militär disciplin och brottsbekämpning inom försvarsmakten (FvUB 5/2013 rd — RP 30/2013 rd) så snart lagen har trätt i kraft.

Enligt utredning till utskottet har de rikstäckande aktörerna inom den militära underrättelseverksamheten med en omfattnning som motsvarar försvarsmakten från början av maj 2014 sammanförts till Försvarsmaktens underrättelseverk. Målet är att vässa den militära underrättelseverksamhetens viktigaste funktioner genom att göra organisatoriska sammanslagningar, höja personalens kompetens och eliminera överlappningar inom förvaltningen och analysverksamheten. Verket lyder under huvudstaben och producerar de underrättelsetjänster som försvarsmakten behöver. En rationell organisering av verksamheten kräver att de personer som för närvarande gör säkerhetsutredningar vid huvudstabens undersökningsavdelning i huvudsak överförs till underrättelseverket. Men huvudstaben ska också i framtiden ansvara för ledningen och övervakningens av förfarandet med säkerhetsutredningar.

Utskottet föreslår utifrån den ovan relaterade utredningen att 9 § 3 mom. i lagförslaget formuleras på följande sätt: "Huvudstaben fattar beslut om huruvida en säkerhetsutredning av en person ska göras, om den som utredningen gäller arbetar eller kommer att arbeta inom försvarsmakten eller sköter ett uppdrag på förordnande av försvarsmakten eller om säkerhetsutredningen hänför sig till verksamhet eller upphandling inom försvarsmakten. Huvudstaben fattar beslut om huruvida en säkerhetsutredning ska göras av ett företag som sköter eller kommer att sköta ett uppdrag på förordnande av försvarsmakten eller av som hänför sig till upphandling inom försvarsmakten. Huvudstaben kan delegera kontrollen av de registeruppgifter som behövs för en säkerhetsutredning till en enhet inom försvarsmakten under dess tillsyn som den utser, och i detta syfte ge tillträde till de register som används vid kontrollen. Huvudstaben kan även ge denna enhet rätt att underrätta en enhet inom försvarsmakten som ansökt om en säkerhetsutredning av en person om att registeruppgifterna inte uppvisar något som skulle vara negativt med tanke på personens tillförlitlighet."

16 §. Statsförvaltningsmyndigheters skyldighet att ansöka om säkerhetsutredning av person.

I förslaget till 15 § föreskrivs det om vem som har rätt att ansöka om säkerhetsutredning av en person. I regel är det arbetsgivaren som kan göra en sådan ansökan.

Lagförslagets 16 § gäller uteslutande statsförvaltningsmyndigheterna. Inom statsförvaltningen håller man på att gradvis höja nivån på informations- och personsäkerheten. För att styra och stödja utvecklingen i den här riktningen och för att skapa enhetliga förfaranden föreslås det att statsrådet ska få rätt att genom förordning utfärda bestämmelser om skyldigheten att skaffa säkerhetsutredningar av personer i vissa fall, som framgår av 16 §.

Förvaltningsutskottet konstaterar att det i fråga om riksdagen räcker med att riksdagens kansli med stöd av 15 § har rätt att ansöka om säkerhetsutredning. När det gäller riksdagens kansli finns det inget behov att föreskriva om den skyldighet som avses i 16 §. Förvaltningsutskottet understryker att det inte heller i övrigt är möjligt att genom förordning föreskriva om skyldighet för riksdagens kansli att låta göra säkerhetsutredningar. Eftersom utskottet ser det som en självklarhet att statsrådets behörighet att utfärda förordningar inte omfattar riksdagens kansli finns det inte heller enligt utskottet något behov av att precisera 16 §.

18 §. Överensstämmelse med säkerhetskraven som en allmän förutsättning.

En allmän förutsättning för säkerhetsutredning av person är enligt 18 § att sökanden genom tekniska eller andra åtgärder har begränsat tillgången till uppgifter som skyddas och har sett till att lokaler och informationssystem är skyddade samt har vidtagit andra behövliga åtgärder för att genomföra informationssäkerhet och andra säkerhetsarrangemang. Syftet med den föreslagna regleringen är att främja allmän informationssäkerhet och säkerställa att säkerhetsutredningarna används endast som en del av mera omfattande säkerhetsarrangemang, inte i stället för dem.

De sakkunniga som utskottet har hört har påpekat att de föreslagna allmänna förutsättningarna för säkerhetsutredning av personer ser ut att bli ett påfallande tungrott auditeringsförfarande eller motsvarande utredningsförfarande. Det anses att de nya kraven ökar företagens administrativa börda utan att koncentrera sig på sådant som är väsentligt för själva utredningarna. I vissa sakkunnigyttranden har man därför talat för att förslaget till 18 § inte borde godkännas.

Utskottet konstaterar att bedömningen av förändringar i rättsläget måste ske med beaktande av inrikesministeriets förordning om ansökningsförfarandet vid säkerhetsutredningar (710/2002), som utfärdats med stöd av lagen om säkerhetsutredningar. Förordningens 1 § 2 mom. 4 punkt föreskriver att när en ansökan om normal säkerhetsutredning görs för första gången och vid behov även därefter ska det till ansökan fogas en skriftlig utredning av vilka andra förebyggande åtgärder som sökanden har vidtagit när det gäller upprätthållande av säkerheten. Den kritik som de sakkunniga har riktat mot propositionen gäller med andra ord sådana krav som det redan nu föreskrivs om.

Utskottet framhåller att betydelsen av personsäkerhetsutredningar minskar väsentligt och kan rentav helt elimineras om man inte sköter övriga element av informationssäkerheten. En sådan situation kan uppstå t.ex. om passagekontrollsystem inte har ordnats till lokaler där det hanteras information som ska skyddas eller om informationssystem inte har försetts med lämplig administration och kontroll av användarbehörighet. Utskottet anser att det är nödvändigt att definiera krav på säkerhetsåtgärder på det sätt som framgår av propositionen.

I det föreslagna 18 § 2 mom. föreskrivs det att överensstämmelse med kraven enligt 1 mom. kan påvisas på det sätt som anges i momentet eller på något annat sätt som skyddspolisen godkänner. Enligt 2 mom. ska tillbörliga informationssäkerhetsåtgärder kunna påvisas t.ex. genom att företaget har mottagit ett intyg utfärdat av ett i lagen om bedömningsorgan för informationssäkerhet (1405/2011) avsett godkänt bedömningsorgan.

Utskottet påpekar att också andra myndigheter som nämns i den nu föreslagna säkerhetsutredningslagen än skyddspolisen gör säkerhetsutredningar. Förvaltningsutskottet föreslår därför följande tekniska ändringar i 18 § 2 mom: "Överensstämmelse med kraven enligt 1 mom. kan påvisas genom ett intyg utfärdat av ett godkänt bedömningsorgan som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011), genom ett intyg utfärdat i enlighet med lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011), genom en säkerhetsplan eller på något annat sätt som den behöriga myndighet som beslutar att säkerhetsutredning ska göras godkänner."

25 §. Informationskällor vid normal säkerhetsutredning av person.

I paragrafen nämns vilka personregister som kan läggas till grund för en normal säkerhetsutredning av person. I 25 § 1 mom. 12 punkten sägs det att det också ska vara tillåtet att använda uppgifter som finns i register som förs av myndigheter i en annan stat och som motsvarar de register som innehåller sådana uppgifter som avses i 1 mom. 1—3 punkten. I detaljmotiven till propositionen sägs det att på grund av det växande internationella samarbetet kan den som utredningen gäller vara antingen en utlänning eller en finländare som har vistats utomlands långa tider. I propositionen utgår man från att dessa situationer beaktas i den föreslagna lagen.

De sakkunniga uppmärksammade också utskottet på att finländare som i sitt arbete behandlar högkvalificerad internationell information måste ha ett intyg över säkerhetsutredning (Personal Security Clearance, PSC) och företagen för dem avsedda intyg (Facility Security Clearance, FSC). På grundval av propositionen kommer beviljandet av intyg över säkerhetsutredning för personer för internationellt behov i allt högre grad att koncentreras till den nationella säkerhetsmyndighet som är verksam i anknytning till utrikesministeriet, vilket tryggar en enhetlig intygspraxis och förtydligar behörigheten mellan myndigheterna.

De sakkunniga påtalade också att lagförslaget gör det möjligt att delvis utnyttja registeruppgifter från myndigheter i andra stater, vilket höjer nivån på säkerhetsutredningarna. Begränsandet av användningen av utländska registeruppgifter till uppgifter ur befolkningsregister, straffregister och justitieförvaltningens handläggningssystem leder till att utredningen inte kan komma åt sådana uppgifter som kunde tänkas vara av stor betydelse när man bedömer om någon ska ges tillträde till högt säkerhetsklassificerad, sekretessbelagd information.

Vid hörandet framgick ytterligare att den föreslagna begränsningen av möjligheterna att utnyttja uppgifter som utländska myndigheter har innebär att finländska säkerhetsmyndigheter i fråga om utlänningar som ska rekryteras till Finland inte kan utnyttja uppgifter t.ex. om kontakter till terroriströrelser och motsvarande extrema rörelser eller om anknytning till utländska underrättelseorganisationer eller organiserad brottslighet, trots att uppgifterna skulle finnas att få hos utländska myndigheter. Man skulle inte heller ha tillgång till uppgifter om pågående brottsutredningar oberoende av hur grova brott det är fråga om.

Förvaltningsutskottet lägger vikt vid dessa argument och finner dem motiverade. Men utifrån utredning anser utskottet ändå att internationella människorättskonventioner är ett hinder för att med enbart en hänvisning i 25 § 1 mom. 4 punkten utvidga möjligheterna att använda utländsk information. Information ur utländska myndigheters register måste också lagras i skyddspolisens informationssystem för att de inte ska ligga utanför dataombudsmannens rätt att utöva tillsyn. Förvaltningsutskottet föreslår att en säkerhetsutredning av person kan ske på grundval av register som förs av en myndighet i en annan stat och föreslår en ny 13 punkt i 25 § 1 mom. med följande lydelse: "13) register som förs av en myndighet i en annan stat och som motsvarar de register som nämns i 4 punkten om registeruppgifterna a) motsvarar uppgifter som kan föras in i de register som nämns i 4 punkten och b) har erhållits av en annan medlemsstat i Europeiska unionen, på grundval av en internationell förpliktelse som gäller informationssäkerhet eller ur ett sådant myndighetsregister i en annan stat som motsvarar kraven ovan eller c) lagras i ett personregister som den behöriga myndigheten för." (Ny 13 punkt) Utskottet framhåller att förutsättningarna enligt a—c-punkterna måste uppfyllas samtidigt för att 13 punkten ska kunna tilllämpas.

När en normal säkerhetsutredning görs ska det enligt det föreslagna 2 mom. också vara tillåtet att använda sådana uppgifter i registret över misstänkta som centralkriminalpolisen ansett vara nödvändigt att uppge för att ett intresse som ligger till grund för säkerhetsutredningen ska kunna skyddas mot organiserade kriminella sammanslutningars åtgärder. Av det inledande stycket i 27 § framgår att det också för en omfattande säkerhetsutredning kan vara tillåtet att utnyttja registret över misstänkta.

Förvaltningsutskottet menar att samhället har välgrundade skäl att på olika sätt skydda sig mot organiserad kriminalitet och bland annat mot dess infiltration av den offentliga förvaltningen och offentlig upphandling. Förvaltningsutskottet föreslår därför med hänvisning till det som sägs i den allmänna motiveringen att 25 § 2 mom. i lagförslaget bör omformuleras och preciseras. I den form utskottet har gett momentet stärker bestämmelsen rättstryggheten för den som är föremål för utredning. Utskottet föreslår en skrivning om att informationen ska förmedlas i form av centralkriminalpolisens anmälan. Informationen ska förmedlas i form av en handling där det även ska antecknas sådana uppgifter som behövs när skyddspolisen överväger utnyttjandet av uppgifterna i registret över misstänkta. Detta element kompletterar rättstryggheten på det sätt som avsågs i hörandet.

Bestämmelsen innehåller i utskottets utformning två olika punkter som behandlar de förutsättningar som måste vara rådande för att centralkriminalpolisen ska kunna göra anmälan. Utskottet fäste sig särskilt vid de s.k. medverkansuppgifter som avses i 4 § 2 punkten i lagen om behandling av personuppgifter i polisens verksamhet. I den omformulerade 25 § 2 mom. 1 punkten anges de situationer där uppgifter ur registret över misstänkta om s.k. medverkande får utnyttjas när en säkerhetsutredning görs. För det första krävs det att den som utredningen gäller utifrån tillgängliga uppgifter i informationssystemet för misstänkta har återkommande kontakter av permanent natur med sådana personer som enligt domstolsbeslut ansetts delta i en organiserad kriminell sammanslutnings verksamhet eller som i en pågående förundersökning eller åtalsprövning misstänkts ha deltagit i sådan verksamhet. En anteckning om tillfällig närvaro eller andra enstaka kontakter berättigar inte till att lämna informationen till skyddspolisen eller till att utnyttja den i samband med en säkerhetsutredning. Inte heller enbart misstanke om att den ena parten i en kontakt tillhör en organiserad kriminell sammanslutning är tillräcklig utan ärendet måste ha avancerat åtminstone till förundersökning. I 17 kap. 1 a § i strafflagen finns bestämmelser om deltagande i en organiserad kriminell sammanslutnings verksamhet.

En annan förutsättning är att kontakten till en organiserad kriminell sammanslutning kan göra den som utredningen gäller mottaglig för extern osaklig påverkan och därmed riskera skyddet för ett intresse som ligger till grund för säkerhetsutredningen.

I det här sammanhanget understryker utskottet att syftet med att utnyttja informationen i den ovan avsedda situationen inte är att ge bilden av att den som är föremål för säkerhetsutredningen har gjort sig skyldig till ett brott utan endast att beskriva de risker som är förenade med personen i relation till det intresse som är avsett att skyddas genom utredningen.

I den föreslagna 25 § 2 mom. 2 punkten föreslår utskottet bestämmelser om utnyttjande av uppgifter som gäller utredningsobjektets deltagande i en organiserad kriminell sammanslutning. Sådana uppgifter kan utnyttjas om centralkriminalpolisen utifrån informationen i informationssystemet för misstänkta och andra eventuella upplysningar anser att det föreligger grundad anledning att misstänka att den som utredningen gäller gjort sig skyldigt till deltagande i en organiserad kriminell sammanslutnings verksamhet och det är nödvändigt att förmedla informationen för att skydda ett intresse som ligger till grund för säkerhetsutredningen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott.

Den formulering som utskottet föreslår innebär att tröskeln för att utnyttja informationen är högre än för att bara lagra uppgifterna i registret. Det måste alltså röra sig om ett ärende som inom en relativt kort tid kommer att överföras till förundersökning.

I momentets 3 punkt föreslår utskottet en specialbestämmelse som gäller personer som ska få tillgång till handlingar och information som kräver särskilt skydd och som hänförs till de högsta skyddsnivåerna (nivå I och II).

Centralkriminalpolisen kan göra en anmälan till skyddspolisen med stöd av 3 punkten när två förutsättningar är för handen. För det första krävs det att det i fråga om den som utredningen gäller finns flera sådana anteckningar i informationssystemet för misstänkta som sammantagna ger centralkriminalpolisen grundad anledning att misstänka att den som utredningen gäller kan äventyra skyddet för de handlingar på skyddsnivåerna I och II som centralkriminalpolisen fått för den arbetsuppgift som ligger till grund för utredningen och för informationen i dessa handlingar och därmed gynna organiserade kriminella sammanslutningars åtgärder. Centralkriminalpolisen ska i sitt övervägande pröva om anteckningarna till sin natur och sitt innehåll är betydande för bedömningen av personens tillförlitlighet.

Det andra kravet är att det är nödvändigt att förmedla informationen för att skydda statens viktiga säkerhetsintressen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott. Med statens viktiga säkerhetsintressen avses särskilt de sekretessbestämmelser som enligt offentlighetslagen kan skyddas genom en anteckning om säkerhetsklassificering. Det är fråga om handlingar vilkas obehöriga avslöjande skulle kunna skada landets försvar, säkerhet, internationella relationer eller annat allmänt intresse på det sätt som avses i 24 § 1 mom. 2 och 7—10 punkten i den lagen.

Således föreslår förvaltningsutskottet att 25 § 2 mom. i lagförslaget godkänns med följande lydelse: "För en normal säkerhetsutredning får (utesl.) även användas en anmälan som centralkriminalpolisen gjort utifrån uppgifter som framgår av informationssystemet för misstänkta, när anmälan innehåller sådana uppgifter som skyddspolisen behöver för att bedöma informationens betydelse. Centralkriminalpolisen får göra en anmälan, ifall

1) den som utredningen gäller utifrån tillgängliga uppgifter i informationssystemet för misstänkta har återkommande kontakter av permanent natur med sådana personer som enligt domstolsbeslut ansetts ha deltagit i en organiserad kriminell sammanslutnings verksamhet eller som i en pågående förundersökning eller åtalsprövning misstänkts ha deltagit i sådan verksamhet, om kontakterna kan göra den som utredningen gäller mottaglig för extern osaklig påverkan och därmed riskera skyddet för ett intresse som ligger till grund för säkerhetsutredningen, eller

2) centralkriminalpolisen utifrån informationen i informationssystemet för misstänkta och andra eventuella upplysningar anser att det föreligger grundad anledning att misstänka att den som utredningen gäller gjort sig skyldig till deltagande i en organiserad kriminell sammanslutnings verksamhet och det är nödvändigt att förmedla informationen för att skydda ett intresse som ligger till grund för säkerhetsutredningen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott, eller

3) det i fråga om den som utredningen gäller finns flera sådana anteckningar i informationssystemet för misstänkta som till sin natur och sitt innehåll är betydande för bedömningen av personens tillförlitlighet och som sammantagna ger centralkriminalpolisen grundad anledning att misstänka att den som utredningen gäller kan äventyra skyddet för de handlingar på skyddsnivåerna I och II och uppgifterna i dem som personen fått i den arbetsuppgift som ligger till grund för utredningen och därmed gynna organiserade kriminella sammanslutningars åtgärder, om det är nödvändigt att förmedla informationen för att skydda statens viktiga säkerhetsintressen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott."

27 §. Informationskällor vid omfattande säkerhetsutredning av person.

Vid en omfattande säkerhetsutredning av person är det med stöd av 27 § utöver informationskällor vid normal säkerhetsutredning av person möjligt att stödja sig på uppgifter om 1) näringsverksamhet som personen bedriver eller deltar i, 2) personens förmögenhet och skulder samt andra ekonomiska bindningar och 3) personens familje- och släktskapsförhållanden.

En utredning på denna nivå görs endast om personer som har tillgång till handlingar på de högsta klassificeringsnivåerna. Enligt den föreslagna lagen kan uppgifter från kreditinstitut och finansiella institut skaffas bara om den som utredningen gäller har gett sitt uttryckliga tillstånd till det.

Utskottet fastslår att ett av de viktigaste syftena med översynen av säkerhetsutredningslagstiftningen är att utveckla den så att den motsvarar internationella förfaranden och krav. I detta hänseende är de krav som följer av Europeiska unionen relevanta.

I rådets nya säkerhetsbestämmelser (2011/292/EU) definieras de grundläggande principerna och minimikraven för skyddet av säkerhetsskyddsklassificerad information. Medlemsstaterna ska tillämpa principerna och minimikraven i enlighet med nationella lagar och förordningar. I Finland har man ansett att rådets säkerhetsbestämmelser är en för Finland bindande internationell förpliktelse som Finland ska följa. (RP 66/2004 rd och HFD 18.9.2012 L 2483).

Enligt rådets säkerhetsbestämmelser ska man på nivån EU TOP SECRET, som i Finland anses kräva omfattande säkerhetsutredning, så ingående som möjligt inom ramen för nationella lagar och förordningar utreda en persons ekonomiska ställning.

I detta sammanhang kan det dessutom noteras att medlemsstaterna den 25 maj 2011 undertecknade ett avtal mellan Europeiska unionens medlemsstater om skydd av nationella säkerhetsskyddsklassificerade uppgifter som utbyts i EU:s intresse. Syftet med avtalet är att medlemsstaterna vidtar alla lämpliga åtgärder i enlighet med sina respektive nationella lagar och andra författningar för att säkerställa att den säkerhetsnivå som ges säkerhetsskyddsklassificerade uppgifter som omfattas av avtalet är likvärdig med den som ges enligt rådets nya säkerhetsbestämmelser. Avtalet och en lag om sättande i kraft av de bestämmelser som hör till området för lagstiftningen (224/2012) godkändes i riksdagen i mars 2012 (FvUB 3/2012 rd).

32 §. Begränsning av användningen av uppgifter i säkerhetsutredning av person.

I 32 § 1 mom. 3 punkten i lagförslaget föreskrivs det att vid en säkerhetsutredning av person får inte sådana uppgifter om brottsliga gärningar användas som begåtts tio år tidigare, om inte uppgifterna kan fås ur straffregistret. Under hörande av sakkunniga framgick det bland annat att i vissa fall skulle uppgifter om gärningar som rentav har lett till stränga straff inte kunna utnyttjas eftersom fängelsestraff som är mer än tio år gamla och kortare än två år skulle ligga utanför räckvidden. Det här kan vara av betydelse t.ex. när personer utnämns till polistjänster.

Utskottet konstaterar att enligt gällande lag får uppgifter av det här slaget inte användas, om det inte är nödvändigt för att syftet med utredningen ska uppnås. På grundval av den föreliggande propositionen får uppgifter om straff som lagrats i straffregistret alltid användas vid säkerhetsutredningar oberoende av hur gamla de är. I 10 § i straffregisterlagen (770/1993) föreskrivs det om utplåning av uppgifter. Uppgifter om ovillkorligt fängelsestraff på över två och högst fem år utplånas sedan tjugo år förflutit från det den lagakraftvunna domen gavs, om inte annat följer av nya domar. Uppgifter om fängelsestraff på mer än fem år utplånas när den dömde fyller 90 år eller avlider. Dessa bestämmelser i straffregisterlagen innebär att de allvarligaste brotten eller upprepad brottslig verksamhet kan påverka innehållet i en säkerhetsutredning också när det handlar om brott som begåtts mer än tio år tidigare, menar utskottet. Utskottet anser att bestämmelserna i lagförslaget är lämpliga.

50 §. Utlämnande av uppgifter ur registret över säkerhetsutredningar.

Skyddspolisen lämnar enligt 50 § 1 mom. trots sekretessbestämmelserna med hjälp av teknisk anslutning uppgifter ur registret över säkerhetsutredningar till huvudstaben och till den enhet som Polisstyrelsen utsett att göra begränsade säkerhetsutredningar. Huvudstaben får, på ett sätt som skyddspolisen godkänner, till tjänstemän som utsetts av försvarsmaktens enheter vidarebefordra uppgifter som behövs för bedömning av behovet att skaffa en säkerhetsutredning eller för behandling av vistelse- och besökstillstånd som avses i 15 § i lagen om försvarsmakten (551/2007).

Med stöd av 2 mom. får skyddspolisen trots sekretessbestämmelserna på ett sätt som den godkänner med hjälp av teknisk anslutning lämna de uppgifter som framgår av momentet till en av ministeriet utsedd tjänsteman för att behovet att skaffa en säkerhetsutredning ska kunna bedömas.

Förvaltningsutskottet konstaterar att 50 § 2 mom. gäller skyddspolisens behörighet att genom teknisk anslutning ge endast ministeriet ovan nämnda uppgifter ur säkerhetsutredningsregistret för bedömning av behovet att ansöka om säkerhetsutredning. Riksdagen är landets högsta statsorgan och riksdagens kansli ska se till att riksdagen kan fullfölja de uppgifter som hör till den i dess egenskap av statsorgan. Utskottet föreslår därför att 50 § 2 mom. ändras så att skyddspolisen med hjälp av teknisk anslutning får lämna uppgifter ur registret över säkerhetsutredningar också till en av riksdagens kansli utsedd tjänsteman för att behovet att skaffa en säkerhetsutredning ska kunna bedömas. Riksdagens kansli har på årsnivå ansökt om över 1 000 säkerhetsutredningar av person. Det stora antalet beror delvis på den pågående totalrenoveringen av riksdagens byggnader.

51 §. Kontroll av oförvitligheten och tillförlitligheten med hjälp av samkörning av personregister.

I 50 § 3 mom. och i 51 § i lagförslaget bestäms om samkörning av registeruppgifter. Skyddspolisen får enligt 50 § 3 mom. trots sekretessbestämmelserna med hjälp av teknisk anslutning lämna centralkriminalpolisen uppgifter om ansökan om säkerhetsutredning för att samköras med uppgifterna i registret över misstänkta med tanke på de anmälningar som avses i 25 § 2 mom. och på prövning i fråga om dem. Av momentet framgår vidare att centralkriminalpolisen ska utplåna de uppgifter som fåtts genom samkörningen omedelbart efter det att behovet av anmälan har prövats eller anmälan har sänts till skyddspolisen.

Lagförslagets 51 § gäller kontroll av oförvitligheten och tillförlitligheten med hjälp av samkörning av personregister. Skyddspolisen får enligt 1 mom. samköra uppgifterna i registret över säkerhetsutredningar med uppgifter i delregistren i informationssystemet för polisärenden samt med uppgifter om anhängiga brottmål och avgöranden i brottmål i justitieförvaltningens riksomfattande informationssystem i syfte att klarlägga om säkerhetsutredningar eller intyg som utfärdats över dem fortfarande ska få vara giltiga.

Grundlagsutskottet säger i sitt utlåtande att de föreslagna bestämmelserna i övrigt motsvarar vad som krävs av bestämmelser i lag, men det är skäl att komplettera lagförslaget med en bestämmelse om förbud mot att överlåta sammanställda uppgifter.

Förvaltningsutskottet anser att regeringen i sin proposition på ett detaljerat och uttömmande sätt har försökt ange hur uppgifter som uppkommit till följd av samkörning får användas och överlämnas. Bestämmelserna kunde visserligen vara ännu klarare, menar utskottet. Således föreslår förvaltningsutskottet att 51 § 3 mom. i lagförslaget godkänns med följande lydelse: "Skyddspolisen ska utplåna de uppgifter som uppkommit till följd av samkörningen omedelbart när de åtgärder som avses i 52 § har slutförts, dock senast ett år efter samkörningen av registren. Samkörda uppgifter får användas eller lämnas ut bara i de fall som avses i 52 § eller för att behandla ett avgörande som träffats med stöd av den paragrafen eller ett fullföljdsärende med anledning av avgörandet."

62 §. Ändringssökande.

Enligt 62 § 2 mom. i lagförslaget får ändring inte sökas i ett beslut genom vilket en behörig myndighet vägrat utfärda ett intyg över säkerhetsutredning av företag. Grundlagsutskottet menar att det finns skäl att pröva om det inte vore mest lämpligt att låta utsträcka besvärsrätten enligt momentet till avslag på begäran om intyg över säkerhetsutredning av företag, eftersom ett avslag kan påverka företagets rätt eller intresse.

Säkerhetsutredningar av företag anknyter i nationella sammanhang till myndigheters upphandling där genomförandet av upphandlingen eller ofta redan uppgörandet av anbud kräver att privata företag får sekretessbelagda och säkerhetsklassificerade uppgifter.

Lagen om offentlig försvars- och säkerhetsupphandling (1531/2011) tillåter att det ställs krav på informationssäkerheten i samband med ett anbudsförfarande. Ett sätt att gå till väga i detta avseende är att få säkerhetsutredningar av företag. Men myndigheterna har inte rätt att få sådana utredningar.

Utifrån utredning konstaterar utskottet att en säkerhetsutredning av företag eller ett intyg om en sådan utredning inte är ett absolut villkor för deltagande i upphandlingsförfarande, utan myndigheten har andra medel till sitt förfogande för att bedöma om kraven uppfylls. Myndigheten måste fatta ett beslut om avgöranden som påverkar kandidaternas och anbudsgivarnas ställning och i lagen om offentlig försvars- och säkerhetsupphandling ingår bestämmelser om hur sådana beslut överklagas.

Den som ansöker om säkerhetsutredning har inte rätt att överklaga en myndighets beslut att inte göra en säkerhetsutredning eller ge ett intyg över en sådan utredning. Med hänsyn till det som anförs ovan förordar förvaltningsutskottet inte en utvidgning av rätten att söka ändring.

Utskottet föreslår att hänvisningen i första meningen i 62 § 2 mom. om ändringssökande justeras så att där endast hänvisas till 22 § i stället för till 22 och 23 §, eftersom 23 § gäller användning och kontroll av registeruppgifter samt intervju med den som utredningen gäller. Det är fråga om en justering av teknisk natur.

64 §. Övergångsbestämmelser.

Registret över säkerhetsutredningar är en del av en mer omfattande reform av polisens informationssystem. Enligt uppgift till utskottet kan registret börja byggas först i slutet av 2014 och bli färdigt tidigast ett år senare. De föreslagna övergångsbestämmelserna är problematiska eftersom de föreskriver om en övergång i två faser. Att försätta det nya registret i ett sådant skick att det finns beredskap att konvertera alla tidigare säkerhetsutredningar för inmatning i det nya registret är enligt utredning ett lika stor arbete som att bygga upp hela systemet. Utskottet finner det därför motiverat att när det gäller registret över säkerhetsutredningar och informationsbehandlingen i anslutning till det avstå från indelningen i två faser och i stället föreskriva om en enda övergångsperiod som ska vara två år.

Förvaltningsutskottet föreslår således att 64 § godkänns i följande form: "På ärenden som har anhängiggjorts före ikraftträdandet av denna lag tillämpas den lag som gällde vid ikraftträdandet. Det register över säkerhetsutredningar som avses i 48 § och den tillhörande databehandlingen ska sättas i lagenligt skick inom två år från ikraftträdandet.

Uppgifter om sådana säkerhetsutredningar som överlämnats med stöd av den lag om säkerhetsutredningar (177/2002) som upphävs och sådana intyg som utfärdats med stöd av lagen om internationella förpliktelser som gäller informationssäkerhet får överföras till registret över säkerhetsutredningar, om utredningarna har överlämnats och intygen utfärdats tidigast tre år före denna lags ikraftträdande.

Innan registret över säkerhetsutredningar har satts i lagenligt skick får de behöriga myndigheterna trots sekretessbestämmelserna till varandra på elektronisk väg lämna ut eller annars behandla sådana uppgifter om i 2 mom. avsedda säkerhetsutredningar och intyg som behövs för att fullgöra skyldigheterna enligt 10 § i denna lag." (Nytt 3 mom.)

4. Lag om ändring av lagen om behandling av personuppgifter i polisens verksamhet

19 §. Utlämnande av uppgifter till andra myndigheter.

Utskottet föreslår vissa av den nya säkerhetsutredningslagen föranledda tekniska ändringar i lagens ingress och i 19 §.

6. Lag om ändring av lagen om internationella förpliktelser som gäller informationssäkerhet

Ingressen.

Utskottet föreslår tekniska korrigeringar i ingressen.

Grundlagsutskottets utlåtande

Av grundlagsutskottets utlåtande framgår det att lagförslagen kan behandlas i vanlig lagstiftningsordning.

Utskottets förslag till beslut

Riksdagen

godkänner lagförslag 2, 3, 5 och 7—23 utan ändringar och

godkänner lagförslag 1, 4 och 6 med ändringar (Utskottets ändringsförslag) och

godkänner ett uttalande (Utskottets förslag till uttalande).

Utskottets ändringsförslag

1.

Säkerhetsutredningslag

I enlighet med riksdagens beslut föreskrivs:

1 kap.

Allmänna bestämmelser

1—3 §

(Som i RP)

2 kap.

Ställning och rättigheter för den som utredningen gäller

4—8 §

(Som i RP)

3 kap.

Behöriga myndigheter och styrning av deras prövningsrätt

9 §

Behöriga myndigheter

(1 och 2 mom. som i RP)

Huvudstaben fattar beslut om huruvida en säkerhetsutredning av en person ska göras, om den som utredningen gäller arbetar eller kommer att arbeta inom försvarsmakten eller sköter ett uppdrag på förordnande av försvarsmakten eller om säkerhetsutredningen hänför sig till verksamhet eller upphandling inom försvarsmakten. Huvudstaben fattar beslut om huruvida en säkerhetsutredning ska göras av ett företag som sköter eller kommer att sköta ett uppdrag på förordnande av försvarsmakten eller av som hänför sig till upphandling inom försvarsmakten. Huvudstaben kan delegera kontrollen av de registeruppgifter som behövs för en säkerhetsutredning till en enhet inom försvarsmakten under dess tillsyn som den utser, och i detta syfte ge tillträde till de register som används vid kontrollen. Huvudstaben kan även ge denna enhet rätt att underrätta en enhet inom försvarsmakten som ansökt om en säkerhetsutredning av en person om att registeruppgifterna inte uppvisar något som skulle vara negativt med tanke på personens tillförlitlighet.

(4 och 5 mom. som i RP)

10—13 §

(Som i RP)

4 kap.

Säkerhetsutredning av person

Utförligheten av en säkerhetsutredning av person

14 §

(Som i RP)

Ansökan om säkerhetsutredning av person

15—17 §

(Som i RP)

Förutsättningar för säkerhetsutredning av person

18 §

Överensstämmelse med säkerhetskraven som en allmän förutsättning

(1 mom. som i RP)

Överensstämmelse med kraven enligt 1 mom. kan påvisas genom ett intyg utfärdat av ett godkänt bedömningsorgan som avses i lagen om bedömningsorgan för informationssäkerhet (1405/2011), genom ett intyg utfärdat i enlighet med lagen om bedömning av informationssäkerheten i myndigheternas informationssystem och datakommunikation (1406/2011), genom en säkerhetsplan eller på något annat sätt som den behöriga myndighet som beslutar att säkerhetsutredning ska göras godkänner.

(3 mom. som i RP)

19—22 §

(Som i RP)

Åtgärder vid säkerhetsutredning av person

23 och 24 §

(Som i RP)

Informationskällor

25 §

Informationskällor vid normal säkerhetsutredning av person

En säkerhetsutredning av person får bygga enbart på registeruppgifter som finns i

(1—11 punkten som i RP)

12) register som förs av myndigheter i en annan stat och som motsvarar de register som avses i 1—3 punkten,

13) register som förs av en myndighet i en annan stat och som motsvarar de register som nämns i 4 punkten om registeruppgifterna a) motsvarar uppgifter som kan föras in i de register som nämns i 4 punkten och b) har erhållits av en annan medlemsstat i Europeiska unionen, på grundval av en internationell förpliktelse som gäller informationssäkerhet eller ur ett sådant myndighetsregister i en annan stat som motsvarar kraven ovan eller c) lagras i ett personregister som den behöriga myndigheten för. (Ny 13 punkt)

För en normal säkerhetsutredning får (utesl.) även användas en anmälan som centralkriminalpolisen gjort utifrån uppgifter som framgår av informationssystemet för misstänkta, när anmälan innehåller sådana uppgifter som skyddspolisen behöver för att bedöma informationens betydelse. Centralkriminalpolisen får göra en anmälan, ifall

1) den som utredningen gäller utifrån tillgängliga uppgifter i informationssystemet för misstänkta har återkommande kontakter av permanent natur med sådana personer som enligt domstolsbeslut ansetts ha deltagit i en organiserad kriminell sammanslutnings verksamhet eller som i en pågående förundersökning eller åtalsprövning misstänkts ha deltagit i sådan verksamhet, om kontakterna kan göra den som utredningen gäller mottaglig för extern osaklig påverkan och därmed riskera skyddet för ett intresse som ligger till grund för säkerhetsutredningen, eller

2) centralkriminalpolisen utifrån informationen i informationssystemet för misstänkta och andra eventuella upplysningar anser att det föreligger grundad anledning att misstänka att den som utredningen gäller gjort sig skyldig till deltagande i en organiserad kriminell sammanslutnings verksamhet och det är nödvändigt att förmedla informationen för att skydda ett intresse som ligger till grund för säkerhetsutredningen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott, eller

3) det i fråga om den som utredningen gäller finns flera sådana anteckningar i informationssystemet för misstänkta som till sin natur och sitt innehåll är betydande för bedömningen av personens tillförlitlighet och som sammantagna ger centralkriminalpolisen grundad anledning att misstänka att den som utredningen gäller kan äventyra skyddet för de handlingar på skyddsnivåerna I och II och uppgifterna i dem som personen fått i den arbetsuppgift som ligger till grund för utredningen och därmed gynna organiserade kriminella sammanslutningars åtgärder, om det är nödvändigt att förmedla informationen för att skydda statens viktiga säkerhetsintressen mot åtgärder eller påverkan från organiserade kriminella sammanslutningars sida eller för att förebygga brott.

26—32 §

(Som i RP)

5 kap.

Säkerhetsutredningar av företag

33—40 §

(Som i RP)

6 kap.

Avslutande av ett förfarande med säkerhetsutredning och behandling av uppgifter som erhållits vid förfarandet

41—47 §

(Som i RP)

7 kap.

Registret över säkerhetsutredningar och databehandling som hänför sig till det

48 och 49 §

(Som i RP)

50 §

Utlämnande av uppgifter ur registret över säkerhetsutredningar

(1 mom. som i RP)

Skyddspolisen får trots sekretessbestämmelserna på ett sätt som den godkänner med hjälp av teknisk anslutning lämna följande uppgifter ur registret över säkerhetsutredningar till en av riksdagens kansli eller ministeriet utsedd tjänsteman för att behovet att skaffa en säkerhetsutredning ska kunna bedömas:

(1—4 punkten som i RP)

(3 och 4 mom. som i RP)

51 §

Kontroll av oförvitligheten och tillförlitligheten med hjälp av samkörning av personregister

(1 och 2 mom. som i RP)

Skyddspolisen ska utplåna de uppgifter som uppkommit till följd av samkörningen omedelbart när de åtgärder som avses i 52 § har slutförts, dock senast ett år efter samkörningen av registren. Samkörda uppgifter får användas eller lämnas ut bara i de fall som avses i 52 § eller för att behandla ett avgörande som träffats med stöd av den paragrafen eller ett fullföljdsärende med anledning av avgörandet.

(4 mom. som i RP)

52 §

(Som i RP)

8 kap.

Giltigheten av säkerhetsutredningar och intyg över säkerhetsutredning

53—55 §

(Som i RP)

9 kap.

Särskilda bestämmelser

56—61 §

(Som i RP)

62 §

Ändringssökande

(1 mom. som i RP)

En behörig myndighets beslut genom vilket den (utesl.) vägrat göra en säkerhetsutredning eller ett beslut som skyddspolisen fattat i ett ärende som avses i 22 § får inte överklagas genom besvär. Ett beslut om vägran att utfärda intyg över säkerhetsutredning får överklagas genom besvär bara om intyget enligt lag eller en bestämmelse som utfärdats med stöd av lag är ett villkor för att någon ska kunna utses till en tjänst eller väljas till ett uppdrag eller för skötseln av en sådan tjänst eller ett sådant uppdrag där den som utses eller väljs enligt en internationell förpliktelse som gäller informationssäkerhet ska ha ett intyg över säkerhetsutredning.

(3 och 4 mom. som i RP)

10 kap.

Ikraftträdande och övergångsbestämmelser

63 §

(Som i RP)

64 §

Övergångsbestämmelser

På ärenden som har anhängiggjorts före ikraftträdandet av denna lag tillämpas den lag som gällde vid ikraftträdandet. Det register över säkerhetsutredningar som avses i 48 § och den tillhörande databehandlingen ska sättas i lagenligt skick inom två år från ikraftträdandet.

Uppgifter om sådana säkerhetsutredningar som överlämnats med stöd av den lag om säkerhetsutredningar (177/2002) som upphävs och sådana intyg som utfärdats med stöd av lagen om internationella förpliktelser som gäller informationssäkerhet får överföras till registret över säkerhetsutredningar, om utredningarna har överlämnats och intygen utfärdats tidigast tre år före denna lags ikraftträdande.

Innan registret över säkerhetsutredningar har satts i lagenligt skick får de behöriga myndigheterna trots sekretessbestämmelserna till varandra på elektronisk väg lämna ut eller annars behandla sådana uppgifter om i 2 mom. avsedda säkerhetsutredningar och intyg som behövs för att fullgöra skyldigheterna enligt 10 § i denna lag. (Nytt 3 mom.)

_______________

4.

Lag

om ändring av lagen om behandling av personuppgifter i polisens verksamhet

I enlighet med riksdagens beslut

upphävs i lagen om behandling av personuppgifter i polisens verksamhet (761/2003) 3 § 3 mom. 5 punkten och 23 § 1 mom. 4 punkten, av den 3 § 3 mom. 5 punkten sådan den lyder i lagarna 457/2009 och 402/2010, samt

ändras 5 § 4 mom., 19 § 1 mom. 5 punkten och 25 §, av dem 19 § 1 mom. 5 punkten och 25 § sådana de lyder i lag 1181/2013, som följer:

5 §

(Som i RP)

19 §

Utlämnande av uppgifter till andra myndigheter

Trots sekretessbestämmelserna får polisen lämna ut behövliga uppgifter ur sina personregister genom teknisk anslutning eller som en datamängd enligt följande:

- - - - - - - - - - - - - - - - - - -

(2 punkten utesl.)

- - - - - - - - - - - - - - - - - - -

5) till försvarsmaktens huvudstab för säkerhets- och övervakningsuppgifter och brottsutredning enligt lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) samt för i säkerhetsutredningslagen (/) avsedda säkerhetsutredningar,

- - - - - - - - - - - - - - - - - - -

25 §

(Som i RP)

_______________

Ikraftträdandebestämmelsen

(Som i RP)

_______________

6.

Lag

om ändring av lagen om internationella förpliktelser som gäller informationssäkerhet

I enlighet med riksdagens beslut

upphävs i lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) 1 § 3 mom. och 13 §, sådana de lyder, 1 § 3 mom. i lag 1534/2011 och 13 § i lag 885/2010,

ändras 4 § 3 mom. samt 11, 12 och 14 §, av dem 4 § 3 mom. och 12 § sådan den lyder i lag 885/2010, samt

fogas till lagen ny 20 a § som följer:

4, 11, 12, 14 och 20 a §

(Som i RP)

_______________

Ikraftträdandebestämmelsen

(Som i RP)

_______________

Utskottets förslag till uttalande

Riksdagen förutsätter att regeringen ser till att förvaltningsutskottet före utgången av 2015 får en heltäckande utredning 1) om vilka åtgärder som har vidtagits i synnerhet i fråga om informationssystemet för misstänkta men också i fråga om polisens andra personregister, för att säkerställa att informationssystemen inte innehåller felaktigheter och att behandlingen av personuppgifter i alla avseenden sker i enlighet med lag och även i övrigt på ett korrekt sätt samt 2) om vilka åtgärder som har vidtagits för att utveckla styrningen och övervakningen av personregistren och av behandlingen av personuppgifter och utbildningen i anslutning till dem.

Helsingfors den 10 juni 2014

I den avgörande behandlingen deltog

  • ordf. Pirkko Mattila /saf
  • vordf. Mika Kari /sd
  • medl. Heikki Autto /saml
  • Jussi Halla-aho /saf
  • Risto Kalliorinne /vänst
  • Elsi Katainen /cent
  • Antti Lindtman /sd
  • Markus Lohi /cent
  • Tapani Mäkinen /saml
  • Osmo Soininvaara /gröna
  • Ulla-Maj Wideroos /sv
  • ers. Anne Holmlund /saml
  • Mikael Jungner /sd
  • Antti Rantakangas /cent

Sekreterare var

utskottsråd Ossi Lantto