1 Överenskommelsens innehåll och förhållande till lagstiftningen i Finland
Artikel 1. Syfte och tillämpningsområde. Syftet med denna överenskommelse är att säkerställa skyddet av sådan säkerhetsklassificerad information som utbyts eller framställs i samarbetet mellan parterna. Överenskommelsen tillämpas inte på sådan information som utbyts mellan parterna som inte är säkerhetsklassificerad. I Finland görs det till exempel i regel inte någon anteckning om säkerhetsklassificering i polisens undersöknings- och underrättelseinformation.
Artikel 2.Definitioner. I artikeln definieras de begrepp som är centrala i tillämpningen av överenskommelsen på följande sätt:
I punkt a definieras säkerhetsklassificerad information. Överenskommelsen gäller information, handlingar eller material, oavsett form, karaktär eller förmedlingssätt som en part lämnar ut till den andra parten och som har säkerhetsklassificerats och märkts med klassificeringsanteckning i enlighet med nationella lagar och bestämmelser. Med säkerhetsklassificerad information avses vidare information, handlingar eller material som har framställts utifrån sådan säkerhetsklassificerad information och märkts med tillämplig klassificeringsanteckning. Denna punkt är i samklang med definitionen av särskilt känsligt informationsmaterial i 2 § 2 punkten i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt punkt b avses med säkerhetsklassificerat kontrakt kontrakt eller underleverantörskontrakt som innehåller eller som har anknytning till säkerhetsklassificerad information. Denna punkt är i samklang med 2 § 3 punkten i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt punkt c avses med kontraktspart en juridisk eller fysisk person som har rättskapacitet att ingå säkerhetsklassificerade kontrakt i enlighet med nationella lagar och bestämmelser. I överenskommelsen hänför sig begreppet ”juridisk person” (legal entities) både till offentliga och privaträttsliga aktörer.
Enligt punkt d avses med utlämnande part den part som lämnar ut säkerhetsklassificerad information eller under vilken säkerhetsklassificerad information framställs.
Enligt punkt e avses med mottagare den part samt offentlig- eller privaträttsliga juridiska eller fysiska personer inom partens jurisdiktion till vilken den utlämnande parten lämnar ut säkerhetsklassificerad information.
Enligt punkt f avses med behörig säkerhetsmyndighet en nationell säkerhetsmyndighet, en utsedd säkerhetsmyndighet eller ett annat behörigt organ som i enlighet med nationella lagar och bestämmelser har bemyndigats att svara för genomförandet av överenskommelsen.
Enligt punkt g avses med kränkning av dataskyddet en gärning eller försummelse i strid med nationella lagar och bestämmelser som kan medföra att säkerhetsklassificerad information går förlorad eller äventyras.
Enligt punkt h avses med säkerhetsutredning ett positivt utfall av en prövning, baserad på nationella lagar och bestämmelser, av lämpligheten hos en juridisk person (säkerhetsutredning av företag) eller en fysisk person (säkerhetsutredning av person) att få tillgång till och att hantera säkerhetsklassificerade uppgifter på en bestämd nivå.
Enligt punkt i avses med tredje part en sådan stat, medräknat offentlig- eller privaträttsliga juridiska eller fysiska personer inom dess jurisdiktion, eller internationell organisation som inte är part i överenskommelsen.
Artikel 3.Behöriga säkerhetsmyndigheter. I punkt 1 anges vardera partens utsedda nationella säkerhetsmyndigheter (National Security Authority, NSA) som svarar för det allmänna genomförandet av överenskommelsen. Nationell säkerhetsmyndighet i Finland är enligt 4 § i lagen om internationella förpliktelser som gäller informationssäkerhet utrikesministeriet, där uppgiften sköts av Nationella säkerhetsmyndigheten (NSA). Till nationell säkerhetsmyndighet i Ungern har utsetts Nemzeti Biztonsági Felügyelet (NBF)/National Security Authority NSA.
Enligt punkt 2 i artikeln ska parterna underrätta varandra om eventuella andra behöriga säkerhetsmyndigheter (Competent Security Authorities, CSA) som till olika delar ska svara för genomförandet av överenskommelsen. Utsedda säkerhetsmyndigheter (Designated Security Authority, DSA) i Finland är enligt 4 § i lagen om internationella förpliktelser som gäller informationssäkerhet försvarsministeriet, huvudstaben, Skyddspolisen och Kommunikationsverket.
Enligt punkt 3 ska de nationella säkerhetsmyndigheterna underrätta varandra om eventuella senare ändringar i de behöriga säkerhetsmyndigheterna.
Artikel 4.Säkerhetsklasser.
Enligt punkt 1 ska säkerhetsklassificerad information som lämnas ut i enlighet med överenskommelsen förses med tillämplig klassificeringsanteckning i enlighet med parternas lagar och bestämmelser.
I punkt 2 definieras hur Finlands och Ungerns säkerhetsklasser motsvarar varandra. Den högsta säkerhetsklassen, som kräver de strängaste informationssäkerhetsåtgärderna, är ”ERITTÄIN SALAINEN/YTTERST HEMLIG" ("Szigorúan titkos!"). Till denna kategori räknas i Finland information som, om den obehörigen röjs, kan orsaka särskilt påtaglig skada för försvaret, säkerheten, de internationella relationerna eller andra allmänna intressen. Den näst högsta säkerhetsklassen är ”SALAINEN/HEMLIG” ("Titkos!”). Hit hör i Finland information som, om den obehörigen röjs, kan orsaka väsentlig skada för försvaret, säkerheten, de internationella relationerna eller andra allmänna intressen. Den tredje högsta säkerhetsklassen är ”LUOTTAMUKSELLINEN/KONFIDENTIELL” ("Bizalmas!"), varmed i Finland avses information som, om den obehörigen röjs, kan skada försvaret, säkerheten, de internationella relationerna eller andra allmänna intressen. Till den fjärde säkerhetsklassen ”KÄYTTÖ RAJOITETTU/BEGRÄNSAD TILLGÅNG” ("Korlátozott terjesztésű!") hör information som, om den obehörigen röjs, kan skada allmänna intressen eller försämra myndigheternas möjligheter att agera.
Finlands internationella relationer skyddas i 24 § 1 mom. 1 och 2 punkten i offentlighetslagen, försvaret i 10 punkten och säkerheten i 5, 8 och 9 punkten i samma moment. Andra allmänna intressen som avses i offentlighetslagen kan t.ex. vara skyddet av säkerhetsarrangemangen för statsledningen och statsbesök och för datasystem (24 § 1 mom. 7 punkten) samt samhällsekonomin (24 § 1 mom. 11 och 12 punkten). Allmänt tillämpliga bestämmelser om sekretess- och klassificeringsanteckningar i myndighetshandlingar ingår i 25 § i offentlighetslagen. Enligt 25 § mom. i lagen kan det i handlingen göras en anteckning som anger vilka krav på datasäkerhet som ska iakttas vid hanteringen av handlingen. Handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet ska förses med anteckning om säkerhetsklass i enlighet med den lagen. Anteckning om säkerhetsklass ska göras också om så föreskrivs genom förordning av statsrådet.
Enligt 8 § i lagen om internationella förpliktelser som gäller informationssäkerhet ska särskilt känsligt informationsmaterial oberoende av vad som föreskrivs i lagen om offentlighet i myndigheternas verksamhet förses med en sådan anteckning om säkerhetsklass som anges i en internationell förpliktelse som gäller informationssäkerhet, för att ange vilka säkerhetskrav som ska följas vid hanteringen av materialet. Särskilda bestämmelser om anteckningen om säkerhetsklassificering ingår i informationssäkerhetsförordningens 11 § och om anteckningarnas motsvarigheter i säkerhetsklasserna i internationella informationssäkerhetsförpliktelser i förordningens 12 §. I 11 § 1 mom. i förordningen finns bestämmelser om när en anteckning om säkerhetsklassificering kan göras i en sekretessbelagd handling. Enligt 11 § 3 mom. i förordningen får anteckning om säkerhetsklass inte användas i andra fall än de som avses i 1 mom., om inte anteckningen är nödvändig för tillgodoseendet av en internationell förpliktelse som gäller informationssäkerhet eller om handlingen inte i övrigt hänför sig till internationellt samarbete. Det finns en särskild bestämmelse om säkerhetsklassificeringsanteckningar på svenska i förordningens 11 § 4 mom.
Enligt punkt 3 ska mottagaren säkerställa att säkerhetsklassificeringar inte ändras eller upphävs utan skriftligt tillstånd av den utlämnande parten.
Artikel 5.Skydd av säkerhetsklassificerad information. Artikeln innehåller de viktigaste förpliktelserna om ömsesidigt skydd.
Enligt punkt 1 ska parterna vidta alla relevanta åtgärder i enlighet med sina nationella lagar och bestämmelser för att skydda säkerhetsklassificerad information som avses i överenskommelsen. Parterna ska enligt samma punkt skydda denna information på samma nivå som egen information i motsvarande säkerhetsklass.
Enligt punkt 2 får parterna inte ge tredje parter tillgång till säkerhetsklassificerad information utan den utlämnande partens skriftliga förhandssamtycke. Denna punkt förpliktar parterna att följa principen om utlämnarens samtycke.
Enligt punkt 3 ska tillgång till säkerhetsklassificerad information inskränkas till personer som har ett informationsbehov och som i enlighet med nationella lagar och bestämmelser har säkerhetsklarerats och bemyndigats att få tillgång till sådan information såväl som instruerats om sitt ansvar i skyddet av säkerhetsklassificerad information.
Enligt punkt 4 krävs personsäkerhetsutredning inte för tillgång till säkerhetsklassificerad information i säkerhetsklass KÄYTTÖ RAJOITETTU/BEGRÄNSAD TILLGÅNG eller “Korlátozott terjesztésű!”
Enligt punkt 5 får säkerhetsklassificerad information endast användas för angivet ändamål. En motsvarande bestämmelse finns i 6 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet.
Bestämmelserna i artikeln är i samklang med Finlands gällande lagstiftning om skydd av säkerhetsklassificerad information.
Artikel 6.Säkerhetsklassificerade kontrakt. Artikeln innehåller de bestämmelser som avses i artikel 2 led b om säkerhetsklassificerade kontrakt som ingås inom någondera partens territorium.
Enligt punkt 1 ska mottagarens behöriga säkerhetsmyndighet på begäran meddela den utlämnande partens behöriga säkerhetsmyndighet huruvida den föreslagna kontraktsparten, som deltar i förhandlingar som föregår säkerhetsklassificerade kontrakt eller i genomförandet av ett sådant kontrakt, har beviljats intyg över säkerhetsutredning i den säkerhetsklass som krävs. Om kontraktsparten inte har ett sådant intyg över säkerhetsutredning, får den utlämnande partens behöriga säkerhetsmyndighet be mottagarens behöriga säkerhetsmyndighet säkerhetsklarera kontraktsparten.
Enligt punkt 2 får vid öppna anbudsförfaranden den mottagande partens behöriga säkerhetsmyndighet utan formell begäran överlämna de relevanta intygen över säkerhetsutredningar till den utlämnande partens behöriga säkerhetsmyndighet.
Enligt punkt 3 i artikeln krävs säkerhetsutredning av företag inte för tillgång till säkerhetsklassificerade kontrakt i säkerhetsklass KÄYTTÖ RAJOITETTU/BEGRÄNSAD TILLGÅNG eller “Korlátozott terjesztésű!”
Enligt punkt 4 i artikeln ska för att säkerheten ska kunna övervakas och kontrolleras i tillräcklig utsträckning säkerhetsklassificerade kontrakt innefatta tillämpliga säkerhetsbestämmelser enligt bilaga 1 till denna överenskommelse, däribland anvisningar om säkerhetsklassificering. En kopia av säkerhetsbestämmelserna ska skickas till den partens behöriga säkerhetsmyndigheter inom vars jurisdiktion det säkerhetsklassificerade kontraktet ska genomföras.
Enligt punkt 5 får representanter för parternas behöriga säkerhetsmyndigheter besöka varandra för att bedöma effekten av de åtgärder som en kontraktspart har vidtagit för att skydda säkerhetsklassificerad information i anknytning till ett säkerhetsklassificerat kontrakt. Bestämmelsen har också samband med artikel 10.2 i överenskommelsen där det föreskrivs om besök av parternas säkerhetsmyndigheter.
Nationella bestämmelser om säkerhetsklassificerade kontrakt finns i 1 § 2 mom. (tillämpning på näringsidkare), 2 § 2 punkten (särskilt känsligt informationsmaterial), 2 § 3 punkten (säkerhetsklassificerat avtal), 6 § (sekretess och användning av information), 7 § (tystnadsplikt och förbud mot utnyttjande), 10 § (säkerhetskrav som gäller utrymmen), 12 § (intyg över säkerhetsutredning av företag, dess giltighet och återkallelse), 14 § (anteckning av uppgifter om intyg i registret över säkerhetsutredningar), 16 § (informationsskyldighet) och i 18 § 2 mom. (besök av representanter för internationella organ och för fördragsslutande stater) i lagen om internationella förpliktelser som gäller informationssäkerhet. I 18 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet föreskrivs om skyldigheten för företag att tillåta att representanter för myndigheter, internationella organ och fördragsslutande stater bekantar sig med deras säkerhetsarrangemang och verksamhetsutrymmen, när det är nödvändigt för att uppfylla en internationell förpliktelse som gäller informationssäkerhet. I 40 § i säkerhetsutredningslagen föreskrivs att företaget ska ge den behöriga myndigheten en förbindelse om att företaget bevarar sin informationssäkerhetsnivå och ger myndigheten tillstånd att komma in i företagets lokaler för att övervaka att säkerhetsnivån bevaras. Avtalsförpliktelserna enligt artikeln motsvarar kraven i den nationella lagstiftningen.
Artikel 7. Förmedling av säkerhetsklassificerad information. Artikeln innehåller bestämmelser om hur parterna ska förmedla säkerhetsklassificerad information till varandra i elektronisk och icke-elektronisk form.
Enligt punkt 1 ska parterna förmedla säkerhetsklassificerad information till varandra genom skyddade mellanstatliga kanaler eller på något annat sätt som har avtalats mellan deras behöriga säkerhetsmyndigheter.
Enligt punkt 2 ska säkerhetsklassificerad information förmedlas elektroniskt mellan parterna endast på ett sådant säkert sätt som har avtalats mellan de behöriga säkerhetsmyndigheterna.
Artikelns bestämmelser är i samklang med 18 § i informationssäkerhetsförordningen om förmedling av en handling och med 19 § om överföring av en handling i datanätet.
Artikel 8.Kopiering, översättning och utplåning av säkerhetsklassificerad information.
Enligt punkt 1 ska alla kopior av säkerhetsklassificerad information, däribland utdrag såväl som översättningar, vara försedda med tillämplig klassificeringsmärkning och skyddas på samma sätt som originalinformationen. Enligt samma punkt ska antalet kopior och översättningarna begränsas till det minimum det officiella syftet kräver.
Enligt punkt 2 ska alla översättningar förses med en tillämplig anteckning på det översatta språket om att översättningen innehåller säkerhetsklassificerad information från den utlämnande parten.
Enligt punkt 3 får säkerhetsklassificerad information märkt ERITTÄIN SALAINEN/YTTERST HEMLIG eller ”Szigorúan titkos!”, eller med en motsvarande säkerhetsklass enligt artikel 4, kopieras eller översättas endast med skriftligt samtycke av den utlämnande parten.
Enligt punkt 4 får säkerhetsklassificerad information märkt ERITTÄIN SALAINEN/YTTERST HEMLIG eller ”Szigorúan titkos!”, eller med en motsvarande säkerhetsklass enligt artikel 4, inte utplånas utan skriftligt samtycke av den utlämnande parten. Informationen ska enligt samma punkt returneras till den utlämnande parten när parterna anser att den inte längre behövs.
Enligt punkt fem ska säkerhetsklassificerad information märkt SALAINEN/HEMLIG eller ”Titkos!”, eller med en motsvarande eller lägre säkerhetsklass enligt artikel 4, förstöras när mottagaren anser att den inte längre behövs, i enlighet mottagarens med nationella lagar och bestämmelser.
Enligt punkt 6 ska informationen omedelbart utplånas, om en krissituation gör det omöjligt att skydda säkerhetsklassificerad information som har lämnats ut i enlighet med överenskommelsen. Den mottagande parten ska så fort som möjligt underrätta den utlämnande partens behöriga säkerhetsmyndighet om att den säkerhetsklassificerade informationen har utplånats i enlighet med denna punkt.
Bestämmelser om skyldigheten att se till att särskilt känsligt informationsmaterial skyddas på ett sätt som motsvarar säkerhetsklassen när sådant material produceras, kopieras, översänds, distribueras, lagras, utplånas eller i något annat avseende hanteras finns i 9 § 1 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet. De närmare bestämmelserna om hanteringen regleras i Finland på förordningsnivå. I 17 § i informationssäkerhetsförordningen som har utfärdats med stöd av offentlighetslagen föreskrivs om kopiering av handlingar och i 21 § om arkivering och förstöring av handlingar.
Artikel 9.Besök.
Enligt punkt 1 krävs det för besök som inbegriper tillgång till säkerhetsklassificerad information i säkerhetsklass LUOTTAMUKSELLINEN/KONFIDENTIELL eller ”Bizalmas!” eller högre skriftligt förhandstillstånd av värdpartens behöriga säkerhetsmyndighet. Enligt led a–c i samma punkt ska besökare få tillgång till sådan information endast, om den sändande partens behöriga säkerhetsmyndighet har gett dem tillstånd till det eller de besök de har bett om, de har fått ett relevant intyg över säkerhetsundersökning av person och dessutom fått tillstånd att ta emot säkerhetsklassificerad information i enlighet med värdpartens lagar och bestämmelser.
Enligt punkt 2 ska den relevanta behöriga säkerhetsmyndigheten hos den part som föreslår besöket underrätta värdpartens relevanta behöriga säkerhetsmyndighet om det planerade besöket i enlighet med artikelns bestämmelser och se till att sistnämnda myndighet får denna begäran minst 14 dagar före den planerade tidpunkten för besöket. I brådskande fall kan de behöriga säkerhetsmyndigheterna komma överens om en kortare tidsfrist. Besöksbegäran ska innehålla de uppgifter som anges i bilaga 2 till överenskommelsen.
Enligt punkt 3 är tillstånd för upprepade besök giltiga i högst 12 månader.
Artikel 10.Säkerhetssamarbete. Artikeln innehåller en bestämmelse om säkerhetssamarbetet mellan de nationella och de behöriga säkerhetsmyndigheterna.
Enligt punkt 1 ska de nationella säkerhetsmyndigheterna för att genomföra överenskommelsen informera varandra om sina relevanta nationella lagar och bestämmelser som gäller skyddet av säkerhetsklassificerad information och om eventuella senare ändringar i dem.
Enligt punkt 2 ska de behöriga säkerhetsmyndigheterna samråda sinsemellan i syfte att säkerställa ett nära samarbete i genomförandet av överenskommelsen och på begäran informera varandra om sina nationella säkerhetsnormer, förfaranden och tillämpningar för skyddet av säkerhetsklassificerad information. För att nå detta mål får de behöriga säkerhetsmyndigheterna enligt denna punkt besöka varandra. Bestämmelser om besök finns i 18 § i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt punkt 3 ska säkerhetsmyndigheterna på begäran bistå varandra med att utföra säkerhetsklareringar i enlighet med sina nationella lagar och bestämmelser. Enligt 26 § 2 mom. 1 punkten i säkerhetsutredningslagen kan den behöriga myndighet som gör en säkerhetsutredning på tjänstens vägnar i enlighet med internationella avtal eller rättsregler från en utländsk myndighet inhämta en utredning som motsvarar de uppgifter som avses i 25 § 1 mom. 1−3 punkten och under vissa förutsättningar 4 punkten i säkerhetsutredningslagen. Avtalsförpliktelsen enligt denna punkt motsvarar kraven i den nationella lagstiftningen.
Enligt punkt 4 ska de nationella säkerhetsmyndigheterna utan dröjsmål underrätta varandra om ändringar i aktuella säkerhetsutredningar av personer eller av företag.
Artikel 11.Kränkning av dataskyddet. Enligt punkt 1 ska bägge parter omedelbart underrätta den andra parten om misstänkta eller upptäckta kränkningar av dataskyddet som rör säkerhetsklassificerad information.
Enligt punkt 2 ska den part som har jurisdiktion utan dröjsmål undersöka händelsen. Den andra parten ska vid behov samarbeta i undersökningen.
Enligt punkt 3 ska den part som har jurisdiktion i enlighet med sina nationella lagar och bestämmelser vidta alla tillämpliga åtgärder som är möjliga för att begränsa konsekvenserna av de kränkningar av dataskyddet som avses i punkt 1 och för att förebygga ytterligare kränkningar. Den andra parten ska informeras om resultatet av utredningen och de genomförda åtgärderna.
Bestämmelser som rör förpliktelserna i artikeln ingår i 19 § i lagen om internationella förpliktelser som gäller informationssäkerhet.
Artikel 12.Kostnader. Enligt artikeln ska vardera parten bära sina egna kostnader för fullföljandet av förpliktelserna i överenskommelsen.
Artikel 13.Tvistlösning. Enligt artikeln ska alla tvister mellan parterna angående tolkning eller tillämpning av överenskommelsen uteslutande avgöras i samråd mellan parterna.
Artikel 14.Förhållande till andra internationella fördrag. Enligt artikeln inverkar avtalet inte på de skyldigheter parterna har utifrån andra bilaterala eller multilaterala fördrag, däribland avtal om utbyte och ömsesidigt skydd av säkerhetsklassificerad information.
Artikel 15. Slutbestämmelser. Artikeln innehåller bestämmelser om ikraftträdande, ändring, uppsägning, förpliktelser till följd av uppsägning och om deponering av överenskommelsen för registrering hos Förenta nationernas sekretariat i överensstämmelse med artikel 102 i Förenta nationernas stadga. Enligt artikeln gäller överenskommelsen tills vidare. Överenskommelsen kan ändras på gemensam skriftlig överenskommelse mellan parterna. En part kan säga upp överenskommelsen i enlighet med artikeln genom skriftlig anmälan till den andra parten via diplomatiska kanaler, iakttagande en uppsägningstid på sex (6) månader. Om överenskommelsen sägs upp med stöd av artikeln i fråga, ska säkerhetsklassificerad information som redan har förmedlats eller som uppkommer genom överenskommelsen behandlas i enlighet med överenskommelsens bestämmelser så länge det är nödvändigt för att skydda informationen.