GRUNDLAGSUTSKOTTETS UTLÅTANDE 8/2014 rd

GrUU 8/2014 rd - RP 54/2013 rd

Granskad version 2.0

Regeringens proposition till riksdagen med förslag till lag om verksamheten i den offentliga förvaltningens säkerhetsnät och lag om ändring av 2 § i kommunikationsmarknadslagen

Till förvaltningsutskottet

INLEDNING

Remiss

Förvaltningsutskottet har den 28 november 2013 begärt utlåtande av grundlagsutskottet om grundlagsenligheten i förslaget till lag om verksamheten i den offentliga förvaltningens säkerhetsnät och lagen om ändring av 2 § i kommunikationsmarknadslagen (RP 54/2013 rd).

Sakkunniga

Utskottet har hört

IKT-direktör Timo Valli, lagstiftningsråd Sami Kivivasara och konsultativ tjänsteman Timo Saastamoinen, finansministeriet

dataadministrationsdirektör Tapio Aaltonen, inrikesministeriet

enhetschef Timo Nuutinen, försvarsministeriet

verkställande direktör Timo Lehtimäki, Suomen Erillisverkot Oy

docent Kalevi Kilkki

professor Jukka Manner

professor Olli Mäenpää

professor Kaarlo Tuori

professor Veli-Pekka Viljanen

professor Tomi Voutilainen

Dessutom har skriftligt yttrande lämnats av

  • justitieministeriet
  • Ålands landskapsregering
  • juris doktor Mikael Koillinen

PROPOSITIONEN

I propositionen föreslår regeringen en lag om verksamheten i den offentliga förvaltningens säkerhetsnät samt att bestämmelsen om definitionen på myndighetsnät i kommunikationsmarknadslagen ändras.

Avsikten är att det i den föreslagna lagen ska föreskrivas om den offentliga förvaltningens säkerhetsnät, tjänsterna i nätet och användningen av tjänsterna samt säkerhetsnätets övriga verksamhet. Enligt förslaget ska lagen under normala förhållanden och vid störningar under normala förhållanden samt under undantagsförhållanden säkerställa att den kommunikation som samarbetet mellan den högsta statsledningen och de myndigheter och andra aktörer som är viktiga med tanke på säkerheten i samhället förutsätter är störningsfri och obruten samt att säkerställa att den information som behövs vid beslutsfattandet och ledningen är lättillgänglig, integrerad och konfidentiell.

De lagar som ingår i propositionen avses träda i kraft så snart som möjligt.

I den del som gäller lagstiftningsordningen granskas bestämmelserna med avseende på 80 § 1 mom., 92 § 2 mom., 119 § 2 mom., 120 §, 121 § 2 mom. och 124 § i grundlagen. Regeringen anser att propositionen överensstämmer med grundlagen och att de föreslagna lagarna därför kan behandlas i vanlig lagstiftningsordning.

UTSKOTTETS ÖVERVÄGANDEN

Motivering

Förvaltningsutskottets begäran om utlåtande

Förvaltningsutskottet har begärt utlåtande av grundlagsutskottet om grundlagsenligheten i förslaget. Under sakkunnigutfrågningen i förvaltningsutskottet har det framförts att det i fråga om bolagiseringen av säkerhetsuppgifter finns många centrala och principiellt viktiga frågor som anknyter till grunderna för konstitutionen och att det därför vore motiverat att ännu separat bedöma lagförslagets grundlagsenlighet. Det har också ansetts att bestämmelserna i lagförslaget om överföringen av statens rättigheter och skyldigheter i anslutning till informations- och kommunikationstekniska tjänster och integrationstjänster bör preciseras i lagen, och först på grundval av det kan man till exempel bedöma huruvida en sådan överföring är möjlig i konstitutionellt hänseende.

Lagförslaget

Lagen om verksamheten i den offentliga förvaltningens säkerhetsnät tillämpas enligt 1 § 2 mom. i det första lagförslaget på den offentliga förvaltningens säkerhetsnät och användningen av dess tjänster samt på säkerhetsnätets övriga verksamhet. Säkerhetsnätet är ett i kommunikationsmarknadslagen avsett myndighetsnät som ägs och förvaltas av staten. Säkerhetsnätet omfattar ett kommunikationsnät och utrustningsutrymmen, utrustning och annan infrastruktur i omedelbar anslutning till det samt de gemensamma tjänsterna i säkerhetsnätet.

Enligt 1 § 1 mom. är avsikten att lagen under normala förhållanden och vid störningar under normala förhållanden samt under undantagsförhållanden ska säkerställa att den kommunikation som samarbetet mellan den högsta statsledningen och de myndigheter och andra aktörer som är viktiga med tanke på säkerheten i samhället förutsätter är störningsfri och obruten samt att säkerställa att den information som behövs vid beslutsfattandet och ledningen är lättillgänglig, integrerad och konfidentiell.

Skyldigheten att använda säkerhetsnätet gäller enligt 2 § myndigheternas interna, inbördes och externa samarbete som ansluter sig till statens ledning och säkerhet, försvaret, den allmänna ordningen och säkerheten, gränssäkerheten, räddningsverksamheten, sjöräddningen, nödcentralsverksamheten, invandringen och den prehospitala akutsjukvården och där kraven på hög beredskap eller hög säkerhet iakttas.

Enligt motiven i propositionen (RP s. 3/I) består säkerhetsnätets verksamhet av två delområden: säkerhetsnätet och styrningen av det. Med säkerhetsnätets verksamhet avses enligt motiven den administrativa, funktionella och tekniska helhet av ovan nämnda delområden, inom vilken verksamheten i fråga om säkerhetsnätet och de tjänster och tjänsteproducenter som hör samman med det samt styrningen av och tillsynen över säkerhetsnätet sammanförs.

Enligt 6 § tillhandahålls nät- och infrastrukturtjänster i säkerhetsnätet av aktiebolaget Suomen Erillisverkot Oy, som helt och hållet ägs av staten, eller ett dotterbolag som Suomen Erillisverkot Oy separat bildat för detta ändamål och som helt och hållet ägs av bolaget. Uppgiften som tillhandahållare av informations- och kommunikationstekniska tjänster (8 § i lagförslaget) och integrationstjänster (10 § i lagförslaget) i säkerhetsnätet sköts av en myndighet inom den offentliga förvaltningen eller en aktör inom den informations- och kommunikationstekniska branschen som särskilt utsetts för denna uppgift. Enligt motiven kan aktörer inom den informations- och kommunikationstekniska branschen som avses i bestämmelserna också vara privata företag. Tjänsteproducenter som avses i 6, 8 och 10 § kan använda underleverantörer i den omfattning finansministeriet beslutar (7 § 2 mom., 9 § 2 mom. och 11 § 2 mom.).

Det främsta syftet med säkerhetsnätets verksamhet är att säkerställa statens och samhällets kärnverksamheter och att kommunikationen i anknytning till dem är störningsfri och konfidentiell. Frågan gäller alltså uppdrag som är väsentliga med tanke på statens säkerhet och de offentliga verksamheternas kontinuitet och vilkas främsta syfte är att bevara datasekretessen. På det hela taget måste verksamheten betraktas som en offentlig förvaltningsuppgift som avses i 124 § i grundlagen. De föreslagna bestämmelserna om att ge uppgifter som hör till säkerhetsnätets verksamhet till någon annan än en myndighet bör därför också bedömas utifrån 124 § i grundlagen. Där sägs det att offentliga förvaltningsuppgifter kan anförtros andra än myndigheter endast genom lag eller med stöd av lag, om det behövs för en ändamålsenlig skötsel av uppgifterna och det inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. Uppgifter som innebär betydande utövning av offentlig makt får bara anförtros myndigheter.

124 § i grundlagen

Bestämmelserna om tillhandahållare av nät- och infrastrukturtjänster
Betydande utövning av offentlig makt.

Det helt statsägda aktiebolaget eller ett av bolaget helägt dotterbolag som avses i 6 § i det första lagförslaget och som tillhandahåller nät- och infrastrukturtjänster har med stöd av 7 § till uppgift att bland annat producera och upprätthålla säkerhetsnätets nättjänster, administrera säkerhetsnätets utrustningsutrymmen och utrustning samt inom sitt uppgiftsområde svara för att de krav på säkerhet, aktionsberedskap, annan beredskap och kontinuitet som gäller säkerhetsnätet uppfylls under normala förhållanden och under undantagsförhållanden. I sak är det fråga om uppgifter av teknisk natur som stöder myndigheternas verksamhet och som i hög grad genomförs under de statliga myndigheternas översyn och styrning. Även om verksamheten skapar förutsättningar för betydande utövning av offentlig makt har tjänsteproducenterna inte själva sådana uppgifter som kan anses vara sådan utövning av offentlig makt som avses i grundlagens 124 § (jfr t.ex. GrUU 6/2013 rd, s. 2).

Kravet på ändamålsenlighet.

Kravet på ändamålsenlighet i grundlagens 124 § är ett juridiskt villkor och det måste bedömas från fall till fall huruvida kravet uppfylls. I detta sammanhang måste bland annat förvaltningsuppgiftens karaktär beaktas (se t.ex. GrUU 5/2014 rd, s. 3, och GrUU 65/2010 rd, s. 2/II). Enligt förarbetena till grundlagen ska man vid bedömning av ändamålsenligheten uppmärksamma dels förvaltningens effektivitet och övriga interna behov, dels enskilda personers och sammanslutningars behov (RP 1/1998 rd, s. 179/II).

I propositionen (RP s. 15) motiveras överföring av offentliga förvaltningsuppgifter till ett helt statsägt bolag med att ett aktiebolag jämfört med ett statligt ämbetsverk har bättre möjligheter att klara av ett långsiktigt strategiskt utvecklande och hanteringen av investeringar, där man på ett smidigt sätt även kan beakta att tillhandahållandet av IKT-tjänster inom statsförvaltningen utvecklas på ett övergripande sätt. Enligt en utredning från finansministeriet har förfarandets ändamålsenlighet dessutom motiverats med att uppgifterna till sin karaktär kräver särskild informations- och kommunikationsteknisk sakkunskap, långsiktighet och fortsatta investeringar för utveckling. Enligt utredningen är bolagsformen det bästa sättet att sköta dessa uppgifter som kräver särskild sakkunskap och för att sörja för långsiktig utveckling och hanteringen av investeringar.

Grundlagsutskottet fäster uppmärksamhet vid att arrangemangets ändamålsenlighet motiveras främst med faktorer som gäller ekonomisk långsiktighet och sakkunskap. Däremot motiveras ändamålsenligheten till exempel inte med grunder som syftar till att garantera funktionssäkerhet, tillförlitlighet, datasäkerhet eller riskhantering trots att syftet med bestämmelserna uttryckligen är att skapa förutsättningar för myndighetsverksamhet som är väsentlig med hänsyn till statens och samhällets säkerhet. Utskottet menar att det inte på något sätt är självklart att utveckling av verksamheten på lång sikt eller garanterad sakkunskap bättre kan säkerställas om tjänsterna produceras av ett aktiebolag och inte av myndigheter. Enligt uppgift till utskottet är till exempel verksamheten i Statens center för informations- och kommunikationsteknik Valtori organiserad så att investeringsutgifterna kan hanteras mera långsiktigt än av myndighetsverksamheten. Styrningen av och tillsynen över verksamheten kan sannolikt skötas enklare och mera direkt om en myndighet har hand om uppgifterna. Man kan således också med skäl ställa sig skeptiskt till hur ändamålsenligt förfarandet är. Kravet på ändamålsenlighet i grundlagens 124 § kan enligt utskottet inte i detta fall direkt anses utgöra ett absolut hinder för de föreslagna bestämmelserna, eftersom det är fråga om tekniska uppgifter i anknytning till tjänsteproduktion (jfr t.ex. GrUU 6/2013 rd, s. 2/II, och GrUU 3/2009 rd, s. 4/II).

Tryggande av de grundläggande fri- och rättigheterna, rättssäkerheten och en god förvaltning.

För att offentliga förvaltningsuppgifter ska kunna anförtros andra än myndigheter krävs det att detta inte äventyrar de grundläggande fri- och rättigheterna, rättssäkerheten eller andra krav på god förvaltning. De föreslagna bestämmelserna måste granskas med beaktande av att aktiebolagets verksamhet som producent av nät- och infrastrukturtjänster i synnerhet i dagens informationssamhälle är av väsentlig betydelse när man ska trygga de kärnfunktioner som gäller statsledningen och samhällets säkerhet. Det är delvis, åtminstone indirekt, också fråga om att uppgifter som gäller privatpersoners personuppgifter och privatliv förblir konfidentiella. I fråga om sådan reglering måste särskilt höga krav ställas på att funktionerna förblir tillförlitliga och funktionssäkra och på att de behandlade uppgifternas konfidentialitet garanteras. Dessutom måste myndigheterna övervaka och instruera tjänsteproducenterna på ett effektivt och heltäckande sätt.

Grundlagsutskottet påpekar att den administrativa styrningen och tillsynen av aktiebolag i princip inte kan ligga på samma nivå respektive vara lika effektiv som när det gäller myndighetsverksamhet. Det bör också beaktas att avsikten i praktiken är att det dotterbolag till aktiebolaget Suomen Erillisverkot Oy som avses i det föreslagna 6 § 3 mom. ska ha hand om säkerhetsnätets nät- och infrastrukturtjänster, vilket innebär att myndighetstillsynen och myndighetsstyrningen blir ännu mer indirekt. Samtidigt har det skrivits in i lag att tjänsteproducenten är ett icke-vinstdrivande, helt statsägt aktiebolag eller ett dotterbolag som aktiebolaget äger helt och hållet. Det innebär att tillsynen och styrningen är något lättare att ordna än om det vore fråga om ett rent kommersiellt företag.

I det föreslagna 3 kap. finns bestämmelser om styrning och tillsyn av säkerhetsnätet. Där delas styr- och tillsynsuppgifterna upp mellan statsrådet kansli och finansministeriet. Kansliet ansvarar för ägarstyrningen av det bolag som tillhandahåller nät- och infrastrukturtjänsterna och finansministeriet för den allmänna administrativa, strategiska och ekonomiska styrningen av verksamheten i säkerhetsnätet och för styrningen av den informations- och kommunikationstekniska beredskapen och säkerheten. Dessutom tillsätter statsrådet en delegation för säkerhetsnätets verksamhet som ska stödja finansministeriet i den strategiska styrningen. Enligt uppgift gäller den lagbaserade styr- och tillsynsmodellen tjänsteproduktionen också på operativ nivå. Utskottet anser emellertid att bestämmelserna inte avspeglar detta synsätt tillräckligt tydligt. Det är viktigt, menar utskottet, att bestämmelserna preciseras i det avseendet att man uttryckligen föreskriver att en viss myndighet ansvarar för tillsyn och styrning när det gäller det bolag som producerar nät- och infrastrukturtjänster i säkerhetsnätet. Dessutom måste bestämmelserna tydligt ange hurdana tillsynsmetoder myndigheterna får använda. Sammanfattningsvis bör förvaltningsutskottet, med beaktande av verksamhetens natur, försäkra sig om att den modell för tillsyn och styrning som ingår i regleringen faktiskt och tydligt säkerställer en tillräcklig tillsyn och styrning av tjänsteproducenten. Dessutom bör det sörjas för att verksamheten är effektiv och ledningen konsekvent i alla konkreta situationer, särskilt i undantagsförhållanden.

I sin tolkningspraxis har grundlagsutskottet ansett att det för att kraven på rättssäkerhet och god förvaltning ska anses vara uppfyllda i den bemärkelse som avses i 124 § i grundlagen krävs att ärendena behandlas i enlighet med de allmänna förvaltningslagarna och att de som behandlar ärendena handlar under tjänsteansvar (t.ex. GrUU 3/2009 rd, s. 4/II, och GrUU 20/2006 rd, s. 2). De allmänna förvaltningslagarna tillämpas, också utan särskild hänvisning, med stöd av bestämmelserna om tillämpningsområde, myndighetsdefinition eller skyldigheten att betjäna på ett visst språk också på privata aktörer när de fullgör offentliga förvaltningsuppgifter. Bestämmelser om offentlighet och sekretess finns i den föreslagna 21 §. De bör vara ändamålsenliga med avseende på regleringsobjektet. Det som däremot är problematiskt är att de anställda med arbetsavtal hos det bolag som producerar nät- och infrastrukturtjänster i säkerhetsnätet eller de anställda hos den eventuella underleverantören inte har något straffrättsligt tjänsteansvar till den del uppgifterna inte inbegriper utövande av offentlig makt på det sätt som avses i 40 kap. 11 § i strafflagen. Regleringen måste till denna del kompletteras med bestämmelser om att bestämmelserna om straffrättsligt tjänsteansvar ska tillämpas på anställda hos bolaget eller underleverantören när de utför uppgifter som avses i lagen om verksamheten i den offentliga förvaltningens säkerhetsnät. Det är en förutsättning för att behandla lagförslaget i vanlig lagstiftningsordning.

Enligt det föreslagna 7 § 2 mom. får den som tillhandahåller nät- och infrastrukturtjänster i sitt uppdrag anlita underleverantörer i den omfattning finansministeriet beslutar. Tjänsteproducenten ska begära utlåtande av ministeriet innan den upphandlar från en underleverantör. Enligt propositionsmotiven (s. 45) innebär detta i praktiken att ministeriet fastställer de uppgifter som kan upphandlas från en underleverantör. Avsikten med utlåtandeförfarandet är dessutom att säkerställa att underleverantören verkligen klarar av att inom sitt uppgiftsområde uppfylla säkerhets- och beredskapskraven på säkerhetsnätet. Ser man till bestämmelserna ter det sig i princip som om obegränsad användning av underleverantörer är möjlig. Eventuella inskränkningar beslutas helt av finansministeriet. Det är viktigt att komplettera regleringen med bestämmelser som inskränker möjligheten att lägga ut verksamhet till det absolut nödvändiga och bestämmer villkoren för att använda underleverantörer. Dessutom måste myndigheternas styr- och tillsynsbehörighet i lag i tillräcklig omfattning utsträckas också till underleverantörens verksamhet.

Bestämmelser om dem som tillhandahåller informations- och kommunikationstekniska tjänster respektive integrationstjänster

Enligt bestämmelserna om den som tillhandahåller informations- och kommunikationstekniska tjänster (8 §) och den som tillhandahåller integrationstjänster (10 §) kan en sådan tjänsteproducent vara antingen en myndighet eller en aktör inom den informations- och kommunikationstekniska branschen. Därmed är det möjligt att överföra uppgifterna också till en privaträttslig juridisk person, t.ex. ett IKT-företag. Beaktar man detta kan bestämmelserna i både 8 och 10 § anses vara synnerligen allmänt och inexakt utformade i fråga om en eventuell överföring av statens rättigheter och skyldigheter. Både bestämmelserna och deras motiv bör i detta avseende kompletteras väsentligt för att grundlagsutskottet ska kunna bedöma dem utifrån kraven i 124 § i grundlagen. Enligt inkommen utredning från finansministeriet har planerna i fråga om tillhandahållarna av informations- och kommunikationstekniska tjänster respektive integrationstjänster preciserats allt eftersom beredningen framskridit. Det är meningen att myndigheter ska ha hand om dessa uppgifter. Därför har finansministeriet sagt att omnämnandet av "en aktör inom den informations- och kommunikationstekniska branschen" som eventuell tjänsteproducent kan utgå ur 8 § 1 mom. och 10 § 1 mom. i lagförslag 1. I så fall kan lagförslaget behandlas i vanlig lagstiftningsordning.

Säkerhetsutredningar

Enligt 22 § i lagförslag 1 ska den personal som sköter uppgifter i säkerhetsnätet ha sådan pålitlighet som uppgifterna förutsätter och som vid behov kan utredas i enlighet med vad som särskilt bestäms eller föreskrivs om detta. Enligt propositionsmotiven (RP s. 55) betyder detta i praktiken att personalens pålitlighet kan utredas t.ex. enligt lagen om säkerhetsutredningar, om de förutsättningar för en utredning som anges i den lagen är uppfyllda. I de fall där den lagen inte är tillämplig, kan utredningen enligt regeringens motivering göras exempelvis enligt vad finansministeriet bestämmer och enligt de villkor och principer som ska ha behandlats i den delegation som avses i 17 § i lagförslaget.

I sin praxis har grundlagsutskottet ansett att säkerhetsutredningar ingriper i skyddet för privatlivet och personuppgifter i grundlagens 10 § (GrUU 3/2014 rd, s. 2, och GrUU 21/2001 rd, s. 2). I grundlagens 10 § 1 mom. tryggas skyddet för privatlivet och det förutsätts att närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagens hänvisning till bestämmelser i lag om skyddet för personuppgifter kräver att lagstiftaren utfärdar sådana bestämmelser, men samtidigt får lagstiftaren själv överväga detaljerna i regleringen. Detta övervägande begränsas emellertid av att skyddet för personuppgifter ingår i skyddet för privatlivet i samma moment (GrUU 3/2014 rd, s. 2, och GrUU 21/2001 rd, s. 2).

Grundlagsutskottet anser det vara självklart att uppgifter som omfattas av skyddet för privatlivet enligt grundlagen måste skaffas om man vill utreda hur pålitlig en person är som utför uppgifter i säkerhetsnätet. Med andra ord finns det skäl för de föreslagna bestämmelserna som är godtagbara med avseende på de grundläggande fri- och rättigheterna. Det som är problematiskt är att ordalydelsen i bestämmelsen och de tillhörande motiven utgår från att utredningen av pålitligheten kan bygga också på reglering på lägre nivå än lag eller till och med på vad finansministeriet bestämmer (jfr också GrUU 51/2006 rd, s. 6—7). Detta står i strid med kravet på reglering på lagnivå i 10 § i grundlagen. Därför måste lagförslaget ändras så att det framgår att bestämmelser om en sådan utredning ska finnas i lag (exempelvis "på det sätt som särskilt föreskrivs genom lag") för att lagförslag 1 ska kunna behandlas i vanlig lagstiftningsordning.

Övrigt

Propositionsmotiven till lagstiftningsordning (RP s. 64) slår fast att lagen inte kommer att tillämpas i landskapet Åland till den del som lagstiftningsbehörigheten i ärendet hör till landskapet enligt självstyrelselagen för Åland. Om landskapets säkerhetsmyndigheter ska ges möjlighet att använda säkerhetsnätet måste särskilda bestämmelser om detta utfärdas på grundval av en grundlig beredning.

Ställningstagande

Grundlagsutskottet anser

att lagförslagen kan behandlas i vanlig lagstiftningsordning, men lagförslag 1 bara om utskottets konstitutionella anmärkningar till 8 § 1 mom., 10 § 1 mom. och 22 § och om straffrättsligt tjänsteansvar beaktas på behörigt sätt.

Helsingfors den 3 april 2014

I den avgörande behandlingen deltog

  • ordf. Johannes Koskinen /sd
  • medl. Sauli Ahvenjärvi /kd
  • Tuija Brax /gröna
  • Eeva-Johanna Eloranta /sd
  • Ilkka Kantola /sd
  • Kimmo Kivelä /saf
  • Anna Kontula /vänst
  • Jukka Kopra /saml
  • Markus Lohi /cent
  • Elisabeth Nauclér /sv
  • Tom Packalén /saf
  • Vesa-Matti Saarakkala /saf
  • Tapani Tölli /cent
  • Anu Urpalainen /saml
  • ers. Kimmo Sasi /saml

Sekreterare var

utskottsråd Petri Helander

​​​​​​​