Motivering
Förvaltningsutskottets begäran om utlåtande
Förvaltningsutskottet har begärt utlåtande
av grundlagsutskottet om grundlagsenligheten i förslaget.
Under sakkunnigutfrågningen i förvaltningsutskottet
har det framförts att det i fråga om bolagiseringen
av säkerhetsuppgifter finns många centrala och
principiellt viktiga frågor som anknyter till grunderna
för konstitutionen och att det därför
vore motiverat att ännu separat bedöma lagförslagets
grundlagsenlighet. Det har också ansetts att bestämmelserna
i lagförslaget om överföringen av statens
rättigheter och skyldigheter i anslutning till informations- och
kommunikationstekniska tjänster och integrationstjänster
bör preciseras i lagen, och först på grundval
av det kan man till exempel bedöma huruvida en sådan överföring är
möjlig i konstitutionellt hänseende.
Lagförslaget
Lagen om verksamheten i den offentliga förvaltningens
säkerhetsnät tillämpas enligt 1 § 2
mom. i det första lagförslaget på den
offentliga förvaltningens säkerhetsnät
och användningen av dess tjänster samt på säkerhetsnätets övriga
verksamhet. Säkerhetsnätet är ett i kommunikationsmarknadslagen
avsett myndighetsnät som ägs och förvaltas
av staten. Säkerhetsnätet omfattar ett kommunikationsnät
och utrustningsutrymmen, utrustning och annan infrastruktur i omedelbar
anslutning till det samt de gemensamma tjänsterna i säkerhetsnätet.
Enligt 1 § 1 mom. är avsikten att lagen under normala
förhållanden och vid störningar under normala
förhållanden samt under undantagsförhållanden
ska säkerställa att den kommunikation som samarbetet
mellan den högsta statsledningen och de myndigheter och
andra aktörer som är viktiga med tanke på säkerheten
i samhället förutsätter är störningsfri
och obruten samt att säkerställa att den information
som behövs vid beslutsfattandet och ledningen är
lättillgänglig, integrerad och konfidentiell.
Skyldigheten att använda säkerhetsnätet
gäller enligt 2 § myndigheternas interna, inbördes och
externa samarbete som ansluter sig till statens ledning och säkerhet,
försvaret, den allmänna ordningen och säkerheten,
gränssäkerheten, räddningsverksamheten,
sjöräddningen, nödcentralsverksamheten,
invandringen och den prehospitala akutsjukvården och där
kraven på hög beredskap eller hög säkerhet
iakttas.
Enligt motiven i propositionen (RP s. 3/I) består
säkerhetsnätets verksamhet av två delområden:
säkerhetsnätet och styrningen av det. Med säkerhetsnätets
verksamhet avses enligt motiven den administrativa, funktionella
och tekniska helhet av ovan nämnda delområden,
inom vilken verksamheten i fråga om säkerhetsnätet
och de tjänster och tjänsteproducenter som hör
samman med det samt styrningen av och tillsynen över säkerhetsnätet
sammanförs.
Enligt 6 § tillhandahålls nät- och
infrastrukturtjänster i säkerhetsnätet
av aktiebolaget Suomen Erillisverkot Oy, som helt och hållet ägs
av staten, eller ett dotterbolag som Suomen Erillisverkot Oy separat
bildat för detta ändamål och som helt
och hållet ägs av bolaget. Uppgiften som tillhandahållare
av informations- och kommunikationstekniska tjänster (8 § i
lagförslaget) och integrationstjänster (10 § i
lagförslaget) i säkerhetsnätet sköts
av en myndighet inom den offentliga förvaltningen eller
en aktör inom den informations- och kommunikationstekniska
branschen som särskilt utsetts för denna uppgift.
Enligt motiven kan aktörer inom den informations- och kommunikationstekniska
branschen som avses i bestämmelserna också vara
privata företag. Tjänsteproducenter som avses
i 6, 8 och 10 § kan använda underleverantörer
i den omfattning finansministeriet beslutar (7 § 2 mom.,
9 § 2 mom. och 11 § 2 mom.).
Det främsta syftet med säkerhetsnätets
verksamhet är att säkerställa statens
och samhällets kärnverksamheter och att kommunikationen
i anknytning till dem är störningsfri och konfidentiell.
Frågan gäller alltså uppdrag som är
väsentliga med tanke på statens säkerhet
och de offentliga verksamheternas kontinuitet och vilkas främsta
syfte är att bevara datasekretessen. På det hela
taget måste verksamheten betraktas som en offentlig förvaltningsuppgift
som avses i 124 § i grundlagen. De föreslagna
bestämmelserna om att ge uppgifter som hör till
säkerhetsnätets verksamhet till någon
annan än en myndighet bör därför
också bedömas utifrån 124 § i
grundlagen. Där sägs det att offentliga förvaltningsuppgifter
kan anförtros andra än myndigheter endast genom
lag eller med stöd av lag, om det behövs för
en ändamålsenlig skötsel av uppgifterna
och det inte äventyrar de grundläggande fri- och
rättigheterna, rättssäkerheten eller
andra krav på god förvaltning. Uppgifter som innebär betydande
utövning av offentlig makt får bara anförtros
myndigheter.
124 § i grundlagen
Bestämmelserna om tillhandahållare av nät- och
infrastrukturtjänster
Betydande utövning av offentlig makt.
Det helt statsägda aktiebolaget eller ett av bolaget
helägt dotterbolag som avses i 6 § i det första
lagförslaget och som tillhandahåller nät-
och infrastrukturtjänster har med stöd av 7 § till
uppgift att bland annat producera och upprätthålla
säkerhetsnätets nättjänster,
administrera säkerhetsnätets utrustningsutrymmen
och utrustning samt inom sitt uppgiftsområde svara för
att de krav på säkerhet, aktionsberedskap, annan
beredskap och kontinuitet som gäller säkerhetsnätet
uppfylls under normala förhållanden och under
undantagsförhållanden. I sak är det fråga
om uppgifter av teknisk natur som stöder myndigheternas
verksamhet och som i hög grad genomförs under
de statliga myndigheternas översyn och styrning. Även
om verksamheten skapar förutsättningar för
betydande utövning av offentlig makt har tjänsteproducenterna
inte själva sådana uppgifter som kan anses vara
sådan utövning av offentlig makt som avses i grundlagens
124 § (jfr t.ex. GrUU 6/2013 rd,
s. 2).
Kravet på ändamålsenlighet.
Kravet på ändamålsenlighet i grundlagens
124 § är ett juridiskt villkor och det måste
bedömas från fall till fall huruvida kravet uppfylls.
I detta sammanhang måste bland annat förvaltningsuppgiftens
karaktär beaktas (se t.ex. GrUU 5/2014
rd, s. 3, och GrUU 65/2010 rd,
s. 2/II). Enligt förarbetena till grundlagen ska
man vid bedömning av ändamålsenligheten
uppmärksamma dels förvaltningens effektivitet
och övriga interna behov, dels enskilda personers och sammanslutningars
behov (RP 1/1998 rd, s. 179/II).
I propositionen (RP s. 15) motiveras överföring
av offentliga förvaltningsuppgifter till ett helt statsägt
bolag med att ett aktiebolag jämfört med ett statligt ämbetsverk
har bättre möjligheter att klara av ett långsiktigt
strategiskt utvecklande och hanteringen av investeringar, där
man på ett smidigt sätt även kan beakta
att tillhandahållandet av IKT-tjänster inom statsförvaltningen
utvecklas på ett övergripande sätt. Enligt
en utredning från finansministeriet har förfarandets ändamålsenlighet
dessutom motiverats med att uppgifterna till sin karaktär
kräver särskild informations- och kommunikationsteknisk
sakkunskap, långsiktighet och fortsatta investeringar för
utveckling. Enligt utredningen är bolagsformen det bästa
sättet att sköta dessa uppgifter som kräver
särskild sakkunskap och för att sörja för
långsiktig utveckling och hanteringen av investeringar.
Grundlagsutskottet fäster uppmärksamhet vid att
arrangemangets ändamålsenlighet motiveras främst
med faktorer som gäller ekonomisk långsiktighet
och sakkunskap. Däremot motiveras ändamålsenligheten
till exempel inte med grunder som syftar till att garantera funktionssäkerhet,
tillförlitlighet, datasäkerhet eller riskhantering
trots att syftet med bestämmelserna uttryckligen är
att skapa förutsättningar för myndighetsverksamhet
som är väsentlig med hänsyn till statens
och samhällets säkerhet. Utskottet menar att det
inte på något sätt är självklart
att utveckling av verksamheten på lång sikt eller
garanterad sakkunskap bättre kan säkerställas
om tjänsterna produceras av ett aktiebolag och inte av
myndigheter. Enligt uppgift till utskottet är till exempel
verksamheten i Statens center för informations- och kommunikationsteknik
Valtori organiserad så att investeringsutgifterna kan hanteras
mera långsiktigt än av myndighetsverksamheten.
Styrningen av och tillsynen över verksamheten kan sannolikt
skötas enklare och mera direkt om en myndighet har hand
om uppgifterna. Man kan således också med skäl
ställa sig skeptiskt till hur ändamålsenligt
förfarandet är. Kravet på ändamålsenlighet
i grundlagens 124 § kan enligt utskottet inte i detta fall
direkt anses utgöra ett absolut hinder för de
föreslagna bestämmelserna, eftersom det är
fråga om tekniska uppgifter i anknytning till tjänsteproduktion
(jfr t.ex. GrUU 6/2013 rd, s. 2/II,
och GrUU 3/2009 rd, s. 4/II).
Tryggande av de grundläggande fri- och rättigheterna,
rättssäkerheten och en god förvaltning.
För att offentliga förvaltningsuppgifter ska
kunna anförtros andra än myndigheter krävs
det att detta inte äventyrar de grundläggande
fri- och rättigheterna, rättssäkerheten
eller andra krav på god förvaltning. De föreslagna
bestämmelserna måste granskas med beaktande av
att aktiebolagets verksamhet som producent av nät- och
infrastrukturtjänster i synnerhet i dagens informationssamhälle är
av väsentlig betydelse när man ska trygga de kärnfunktioner
som gäller statsledningen och samhällets säkerhet.
Det är delvis, åtminstone indirekt, också fråga
om att uppgifter som gäller privatpersoners personuppgifter
och privatliv förblir konfidentiella. I fråga
om sådan reglering måste särskilt höga
krav ställas på att funktionerna förblir
tillförlitliga och funktionssäkra och på att
de behandlade uppgifternas konfidentialitet garanteras. Dessutom
måste myndigheterna övervaka och instruera tjänsteproducenterna
på ett effektivt och heltäckande sätt.
Grundlagsutskottet påpekar att den administrativa styrningen
och tillsynen av aktiebolag i princip inte kan ligga på samma
nivå respektive vara lika effektiv som när det
gäller myndighetsverksamhet. Det bör också beaktas
att avsikten i praktiken är att det dotterbolag till aktiebolaget Suomen
Erillisverkot Oy som avses i det föreslagna 6 § 3
mom. ska ha hand om säkerhetsnätets nät-
och infrastrukturtjänster, vilket innebär att
myndighetstillsynen och myndighetsstyrningen blir ännu
mer indirekt. Samtidigt har det skrivits in i lag att tjänsteproducenten är
ett icke-vinstdrivande, helt statsägt aktiebolag eller
ett dotterbolag som aktiebolaget äger helt och hållet.
Det innebär att tillsynen och styrningen är något
lättare att ordna än om det vore fråga
om ett rent kommersiellt företag.
I det föreslagna 3 kap. finns bestämmelser
om styrning och tillsyn av säkerhetsnätet. Där
delas styr- och tillsynsuppgifterna upp mellan statsrådet
kansli och finansministeriet. Kansliet ansvarar för ägarstyrningen
av det bolag som tillhandahåller nät- och infrastrukturtjänsterna
och finansministeriet för den allmänna administrativa,
strategiska och ekonomiska styrningen av verksamheten i säkerhetsnätet
och för styrningen av den informations- och kommunikationstekniska
beredskapen och säkerheten. Dessutom tillsätter
statsrådet en delegation för säkerhetsnätets
verksamhet som ska stödja finansministeriet i den strategiska
styrningen. Enligt uppgift gäller den lagbaserade styr-
och tillsynsmodellen tjänsteproduktionen också på operativ
nivå. Utskottet anser emellertid att bestämmelserna inte
avspeglar detta synsätt tillräckligt tydligt. Det är
viktigt, menar utskottet, att bestämmelserna preciseras
i det avseendet att man uttryckligen föreskriver att en
viss myndighet ansvarar för tillsyn och styrning när
det gäller det bolag som producerar nät- och infrastrukturtjänster
i säkerhetsnätet. Dessutom måste bestämmelserna
tydligt ange hurdana tillsynsmetoder myndigheterna får
använda. Sammanfattningsvis bör förvaltningsutskottet,
med beaktande av verksamhetens natur, försäkra
sig om att den modell för tillsyn och styrning som ingår
i regleringen faktiskt och tydligt säkerställer
en tillräcklig tillsyn och styrning av tjänsteproducenten.
Dessutom bör det sörjas för att verksamheten är
effektiv och ledningen konsekvent i alla konkreta situationer, särskilt
i undantagsförhållanden.
I sin tolkningspraxis har grundlagsutskottet ansett att det
för att kraven på rättssäkerhet
och god förvaltning ska anses vara uppfyllda i den bemärkelse
som avses i 124 § i grundlagen krävs att ärendena
behandlas i enlighet med de allmänna förvaltningslagarna
och att de som behandlar ärendena handlar under tjänsteansvar
(t.ex. GrUU 3/2009 rd, s. 4/II,
och GrUU 20/2006 rd, s. 2). De allmänna
förvaltningslagarna tillämpas, också utan
särskild hänvisning, med stöd av bestämmelserna
om tillämpningsområde, myndighetsdefinition eller
skyldigheten att betjäna på ett visst språk
också på privata aktörer när
de fullgör offentliga förvaltningsuppgifter. Bestämmelser
om offentlighet och sekretess finns i den föreslagna 21 §.
De bör vara ändamålsenliga med avseende
på regleringsobjektet. Det som däremot är
problematiskt är att de anställda med arbetsavtal
hos det bolag som producerar nät- och infrastrukturtjänster
i säkerhetsnätet eller de anställda hos
den eventuella underleverantören inte har något
straffrättsligt tjänsteansvar till den del uppgifterna
inte inbegriper utövande av offentlig makt på det
sätt som avses i 40 kap. 11 § i strafflagen. Regleringen
måste till denna del kompletteras med bestämmelser
om att bestämmelserna om straffrättsligt tjänsteansvar
ska tillämpas på anställda hos bolaget
eller underleverantören när de utför
uppgifter som avses i lagen om verksamheten i den offentliga förvaltningens
säkerhetsnät. Det är en förutsättning
för att behandla lagförslaget i vanlig lagstiftningsordning.
Enligt det föreslagna 7 § 2 mom. får
den som tillhandahåller nät- och infrastrukturtjänster
i sitt uppdrag anlita underleverantörer i den omfattning
finansministeriet beslutar. Tjänsteproducenten ska begära
utlåtande av ministeriet innan den upphandlar från
en underleverantör. Enligt propositionsmotiven (s. 45)
innebär detta i praktiken att ministeriet fastställer
de uppgifter som kan upphandlas från en underleverantör. Avsikten
med utlåtandeförfarandet är dessutom att
säkerställa att underleverantören verkligen klarar
av att inom sitt uppgiftsområde uppfylla säkerhets-
och beredskapskraven på säkerhetsnätet.
Ser man till bestämmelserna ter det sig i princip som om
obegränsad användning av underleverantörer är
möjlig. Eventuella inskränkningar beslutas helt
av finansministeriet. Det är viktigt att komplettera regleringen
med bestämmelser som inskränker möjligheten
att lägga ut verksamhet till det absolut nödvändiga
och bestämmer villkoren för att använda
underleverantörer. Dessutom måste myndigheternas
styr- och tillsynsbehörighet i lag i tillräcklig
omfattning utsträckas också till underleverantörens
verksamhet.
Bestämmelser om dem som tillhandahåller informations-
och kommunikationstekniska tjänster respektive integrationstjänster
Enligt bestämmelserna om den som tillhandahåller
informations- och kommunikationstekniska tjänster (8 §)
och den som tillhandahåller integrationstjänster
(10 §) kan en sådan tjänsteproducent
vara antingen en myndighet eller en aktör inom den informations-
och kommunikationstekniska branschen. Därmed är
det möjligt att överföra uppgifterna
också till en privaträttslig juridisk person,
t.ex. ett IKT-företag. Beaktar man detta kan bestämmelserna
i både 8 och 10 § anses vara synnerligen allmänt
och inexakt utformade i fråga om en eventuell överföring
av statens rättigheter och skyldigheter. Både
bestämmelserna och deras motiv bör i detta avseende
kompletteras väsentligt för att grundlagsutskottet
ska kunna bedöma dem utifrån kraven i 124 § i
grundlagen. Enligt inkommen utredning från finansministeriet
har planerna i fråga om tillhandahållarna av informations-
och kommunikationstekniska tjänster respektive integrationstjänster
preciserats allt eftersom beredningen framskridit. Det är
meningen att myndigheter ska ha hand om dessa uppgifter. Därför
har finansministeriet sagt att omnämnandet av "en
aktör inom den informations- och kommunikationstekniska
branschen" som eventuell tjänsteproducent kan
utgå ur 8 § 1 mom. och 10 § 1 mom. i
lagförslag 1. I så fall kan lagförslaget
behandlas i vanlig lagstiftningsordning.
Säkerhetsutredningar
Enligt 22 § i lagförslag 1 ska den personal
som sköter uppgifter i säkerhetsnätet
ha sådan pålitlighet som uppgifterna förutsätter
och som vid behov kan utredas i enlighet med vad som särskilt
bestäms eller föreskrivs om detta. Enligt propositionsmotiven
(RP s. 55) betyder detta i praktiken att personalens pålitlighet
kan utredas t.ex. enligt lagen om säkerhetsutredningar,
om de förutsättningar för en utredning
som anges i den lagen är uppfyllda. I de fall där
den lagen inte är tillämplig, kan utredningen
enligt regeringens motivering göras exempelvis enligt vad finansministeriet
bestämmer och enligt de villkor och principer som ska ha
behandlats i den delegation som avses i 17 § i lagförslaget.
I sin praxis har grundlagsutskottet ansett att säkerhetsutredningar
ingriper i skyddet för privatlivet och personuppgifter
i grundlagens 10 § (GrUU 3/2014
rd, s. 2, och GrUU 21/2001 rd,
s. 2). I grundlagens 10 § 1 mom. tryggas skyddet för
privatlivet och det förutsätts att närmare
bestämmelser om skydd för personuppgifter utfärdas
genom lag. Grundlagens hänvisning till bestämmelser
i lag om skyddet för personuppgifter kräver att
lagstiftaren utfärdar sådana bestämmelser,
men samtidigt får lagstiftaren själv överväga
detaljerna i regleringen. Detta övervägande begränsas
emellertid av att skyddet för personuppgifter ingår
i skyddet för privatlivet i samma moment (GrUU
3/2014 rd, s. 2, och GrUU 21/2001
rd, s. 2).
Grundlagsutskottet anser det vara självklart att uppgifter
som omfattas av skyddet för privatlivet enligt grundlagen
måste skaffas om man vill utreda hur pålitlig
en person är som utför uppgifter i säkerhetsnätet.
Med andra ord finns det skäl för de föreslagna
bestämmelserna som är godtagbara med avseende
på de grundläggande fri- och rättigheterna.
Det som är problematiskt är att ordalydelsen
i bestämmelsen och de tillhörande motiven utgår
från att utredningen av pålitligheten kan bygga
också på reglering på lägre
nivå än lag eller till och med på vad
finansministeriet bestämmer (jfr också GrUU 51/2006 rd,
s. 6—7). Detta står i strid med kravet på reglering
på lagnivå i 10 § i grundlagen. Därför
måste lagförslaget ändras så att
det framgår att bestämmelser om en sådan
utredning ska finnas i lag (exempelvis "på det
sätt som särskilt föreskrivs genom lag")
för att lagförslag 1 ska kunna behandlas i vanlig
lagstiftningsordning.
Övrigt
Propositionsmotiven till lagstiftningsordning (RP s. 64) slår
fast att lagen inte kommer att tillämpas i landskapet Åland
till den del som lagstiftningsbehörigheten i ärendet
hör till landskapet enligt självstyrelselagen
för Åland. Om landskapets säkerhetsmyndigheter
ska ges möjlighet att använda säkerhetsnätet
måste särskilda bestämmelser om detta
utfärdas på grundval av en grundlig beredning.