Allmän motivering
Reformbehov
Den gällande
lagen om säkerhetsutredningar (177/2002) har på lite
mer än tio år visat sig vara föråldrad
om man ser till dagens behov och krav. På grund av våra
internationella förpliktelser behövdes redan 2004
en speciallag om internationella förpliktelser som gäller
informationssäkerhet (588/2004) för att
Finland skulle kunna uppfylla sina förpliktelser på grund
av internationella avtal, bland annat säkerhetsutredningar
av företag.
En ny lag om säkerhetsutredningar har blivit aktuell
också av den anledningen att de intressen som skyddas genom
den gällande lagen är relativt snävt
definierade med avseende på dagens säkerhetsbegrepp. Överlag är
normerna i den gällande lagstiftningen alltför
abstrakta ur dagens synvinkel. Bestämmelserna anger till
exempel inte vilka de uppdrag eller arbetsuppgifter är
där bakgrunden får utredas. Det bör också noteras
att garantierna för att kritisk infrastruktur i samhället
ska fungera är förknippade med uppdrag som inte
nödvändigtvis innefattar åtkomst till
data utan snarare en möjlighet att verkligen göra
något. Dessutom är det inte bara den offentliga
förvaltningen som har hand om kritiska funktioner i samhället.
De är ofta i privat ägo, och privata företag
har därför ett betydande ansvar för att
upprätthålla livsviktiga samhällsfunktioner.
Den övergripande säkerheten i samhället innefattar
alla delområden inom säkerhet som avser att bland
annat garantera statens säkerhet, grundläggande
samhällsfunktioner, allmän ordning och säkerhet,
befolkningens säkerhet, tillgång till information
och felfri information. Åtgärderna för
att upprätthålla säkerheten kan delas
upp i informationssäkerhet, fysisk säkerhet, personalsäkerhet
och företagssäkerhet.
Regeringen har ett viktigt mål med den nya lagstiftningen
om säkerhetsutredningar, nämligen att bidra till
att minska sårbarheten i samhället genom att införa
effektivare processer för att utreda bakgrunden beträffande
personer och företag. Den nya lagstiftningen ska inte bara
skydda de traditionella allmänintressena (statens säkerhet,
försvaret och internationella relationer) utan också den
allmänna säkerheten och infrastruktur som är
kritisk för ett fungerande samhälle. Genom revideringen
av allmänlagen genomförs dessutom våra
EU-förpliktelser i fråga om informationssäkerhet
och bestämmelser om informationssäkerhet vid offentlig
försvars- och säkerhetsupphandling.
Reformen avser att göra en tillnärmning av vår
lagstiftning till internationell praxis, men med hänsyn
till särdragen i det finländska samhället,
exempelvis möjligheten att identifiera personer med hjälp
av personbeteckning, övergripande informationssystem liksom även
specialbestämmelserna om inhämtande och hantering av
kreditupplysningar om arbetssökande och skyldighet att
visa upp ett intyg över narkotikatest. Detta är
motiverat, anser utskottet. Vidare är det viktigt att bestämmelserna ökar öppenheten
och växelverkan vid säkerhetsutredningar och att
lagen tillämpas effektivt och samordnat.
Säkerhetsutredningar
Med säkerhetsutredningar utreds bakgrunden till antingen
fysiska personer (säkerhetsutredning av person) eller företag
(säkerhetsutredning av företag) för att
säkerställa att de är tillförlitliga. Rent
allmänt framhåller utskottet att utredningarna
gäller personer och företag som har åtkomst
till kritisk information och som förväntas vara
extra tillförlitliga i sina uppdrag.
Säkerhetsutredningarna grundar sig i första hand
på uppgifter om en persons eller ett företags
tidigare verksamhet och omständigheter. Precis som nu kommer
utredningarna av personer också i fortsättningen
att göras på tre olika nivåer (begränsade,
normala och omfattande utredningar). Det är motiverat att
ju mer kritiska de kommande arbetsuppdragen är, desto mer omfattande är
informationskällorna vid säkerhetsutredningar
av personer. Utredning av brottslig bakgrund spelar en framträdande
roll. Om en person hanterar information i de högsta säkerhetsklasserna,
utreds också den ekonomiska situationen och anhöriga.
Detta är nödvändigt för att
säkerställa att den som utreds inte befinner sig
i ett läge där han eller hon kan påverkas
till exempel med ekonomiska fördelar eller utpressning.
Utredningar av personer ska fortfarande göras av skyddspolisen,
Huvudstaben och polisinrättningarna. Reformen innebär
att begränsade säkerhetsutredningar kommer att
göras av polisinrättningar som anvisas av Polisstyrelsen.
Vid säkerhetsutredningar av företag utreds bakgrunden
beträffande ansvarspersoner och nivån på informationssäkerheten.
En utredning kan göras exempelvis om ett företag
i egenskap av avtalspart får klassificerade sekretessbelagda uppgifter
från en myndighet. Den nya lagstiftningen täcker
in de fall som inte ingår i tillämpningsområdet
för lagen om offentlig försvars- och säkerhetsupphandling
() och förtydligar
reglerna för säkerhetsutredningar av företag
vid olika typer av upphandling. Säkerhetsutredningar av
företag görs av skyddspolisen, medan nivån
på informationssystemen och datakommunikationen utreds
av Kommunikationsverket som ett led i säkerhetsutredningen.
Den som utredningen gäller
Det är motiverat att säkerhetsutredningar
och den anknytande kontrollen av oförvitligheten i alla
lägen bara görs med samtycke från den
person eller det företag som de gäller. Vid en
säkerhetsutredning ska man vid behov kunna intervjua den
som utredningen gäller, vilket enligt utskottet kan tillföra
större växelverkan och ge den behöriga
myndigheten bättre möjligheter att bedöma
vilken betydelse de tillgängliga uppgifterna har för
resultatet av utredningen. Vid intervjun och kontrollen av personuppgifter
kan den som utredningen gäller komma med kommentarer, och
huvudregeln är att detta ska skrivas in i säkerhetsutredningen
om inte uppgifterna rättas till genast. Reformen innebär
också att den som utreds har bättre möjligheter
att få information. Dessutom förbättras
rättssäkerheten när möjligheten
att överklaga utvidgas.
Nämnden för bedömningskriterier
Vid utfrågningen av de sakkunniga företräddes åsikten
att någon nämnd för bedömningskriterier
inte bör inrättas eftersom yttrandeförfarandet
i frågor enligt 22 § i lagförslag 1 kan
gälla mycket känslig information om företagsspioneri
och företagens säkerhetsintressen. Den typen av
frågor måste kunna behandlas konfidentiellt mellan
företagen och den behöriga polisförvaltningen.
Enligt 12 § i lagförslaget ska det i anslutning till
justitieministeriet finnas en nämnd för bedömningskriterier
tillsatt av statsrådet. Den ska bestå av företrädare
för det ministerium som har ansvar för den allmänna
styrningen av informationssäkerheten inom den offentliga
förvaltningen och företrädare för
försvarsförvaltningen, utrikesförvaltningen
och övriga förvaltningsområden som är
centrala för skyddet av allmänna intressen, fackorganisationerna
och näringslivet och medlemmar som företräder
den behövliga juridiska sakkunskapen.
Utskottet understryker att nämnden är en myndighet
och att de som ingår där är bundna av bestämmelserna
om sekretess och tystnadsplikt i bland annat offentlighetslagen
(). Även i övrigt
ska myndigheterna i sin verksamhet följa principen att
behandlingen av sekretessbelagda uppgifter i förekommande
fall ska avgränsas till uppgifter som är nödvändiga.
Säkerhetsutredningarna och regleringen av dem kommer
att förändras mycket i och med den nya lagen,
bland annat för att arbetsuppgifterna anges mycket mer
exakt och lagen förbättrar rättssäkerheten.
Följaktligen är det viktigt att de behöriga
myndigheterna får stöd i sina beslutsprocesser.
Tolkningsrekommendationerna från nämnden är
tänkta att garantera att dels de som ansöker om
säkerhetsutredning, dels de som utredningen gäller
behandlas lika i processen.
Bestämmelserna i den föreslagna 22 § handlar
om att ge företagen en särskild möjlighet
att ansöka om säkerhetsutredning av personer också vid
andra arbetsuppgifter än de som nämns explicit
i lagen. Med hänvisning till inkommen information framhåller
utskottet att nämnden inte behöver yttra sig om
detaljer, exempelvis i tekniska utvecklingsprojekt, om det kan vara
en risk för företagets patenträttigheter.
Utskottet tillstyrker bestämmelserna om nämnden
för bedömningskriterier i den form som regeringen
föreslår (12 §).
Informationssystemet för misstänkta (register över
misstänkta)
Av 25 § 2 mom. och 27 § framgår det
att det vid en normal och en omfattande säkerhetsutredning
kan vara tillåtet att använda den typen av uppgifter
i registret över misstänkta som centralkriminalpolisen
ansett vara nödvändig att uppge för att
ett intresse som säkerhetsutredningen grundar sig på ska
kunna skyddas mot organiserade kriminella sammanslutningar. Propositionen
innebär att dataunderlaget för säkerhetsutredningar
vidgas. Skyddspolisen föreslås dock inte få direkt
uppkoppling till registret över misstänkta, utan
det ska vara centralkriminalpolisens uppgift att i förekommande
fall förmedla information i varningssyfte.
Syftet är att förhindra att de som deltar
i organiserad brottslig verksamhet eller är misstänkta för
sådan verksamhet får tillträde eller
tillgång till platser och material som kräver
särskilt skydd, och utskottet anser förslaget
motiverat. Den typen av försök har förekommit
enligt centralkriminalpolisen, framgår det av propositionen.
Enligt 4 § i lagen om behandling av personuppgifter
i polisens verksamhet () är informationssystemet
för misstänkta ett permanent personregister som är
avsett för polisens riksomfattande bruk och förs
med hjälp av automatisk databehandling. Det kan innehålla
information som för att handha uppgifter enligt 1 kap. 1 § 1
mom. i polislagen inhämtats genom kriminalunderrättelseverksamhet,
observation eller iakttagelser och som gäller personer
som skäligen kan misstänkas 1) göra eller
ha gjort sig skyldiga till ett brott som kan följas av
fängelse eller 2) medverka eller ha medverkat till ett
brott som kan följas av fängelse i mer än
sex månader eller till straffbart bruk av narkotika.
Av ovan nämnda 4 § framgår det också vilka personuppgifter
som ska föras in i registret. Med stöd av 4 § får
informationssystemet genom teknisk anslutning bara användas
av polispersonal som förordnats till kriminalunderrättelse-, brottsanalys-
och observationsuppgifter och av kontaktpersoner som polisen sänt
utomlands. Lagstiftningen tillåter också att uppgifter
genom teknisk anslutning lämnas ut från registret över
misstänkta till Gränsbevakningsväsendet och
Tullen. Ungefär 1 400 personer har fått behörighet
att använda registret och av dem är omkring 1
100 är poliser.
I proposition RP 93/2002 rd säger regeringen bland
annat följande om tröskeln för att mata
in uppgifter: "I fråga om individualiseringen
av en misstänkt förblir regleringen oförändrad.
En person skall misstänkas göra eller ha gjort
sig skyldig eller medverka eller ha medverkat till ett visst brott,
men på grund av syftet med registret kan inte en mycket
precis individualisering av brottet förutsättas.
Detta gäller t.ex. den verksamhet som medlemmarna i en
känd kriminell grupp bedriver."
I 1 § 1 mom. föreskriver den nya polislagen (872/2011),
precis som polislagen från 1995 (493/1995), bland
annat att polisen ska förebygga, avslöja och utreda
brott. När uppgifter om en person förs in i registret över
misstänkta måste kriterierna uppfyllas, det vill
säga att personen kan misstänkas göra
sig eller ha gjort sig skyldig alternativt medverka eller ha medverkat
till ett brott. Tröskeln för "skäl
att misstänka" är densamma som tröskeln
för att inleda förundersökning av brott
enligt förundersökningslagen ().
Att det inte är så enkelt att tillämpa
bestämmelserna om registret över misstänkta
framgår av att registret inte bara innehåller
uppgifter om misstänkta personer som har gjort sig skyldiga eller
har medverkat till ett brott som nämns i bestämmelsen,
utan också om ett sådant brott som personen kan
göra sig skyldig eller medverka till i framtiden. Det är
uppenbart att misstanken i sådana fall måste grunda
sig på konkreta iakttagelser som ger anledning att sluta
sig till att personen kommer att handla så att kravet "skäl
att misstänka" uppfylls på ett godtagbart
sätt. Att bedöma hur en person kommer att bete
sig i framtiden är kopplat till en så osäker
slutledningskedja att risken för felbedömning är
mycket stor.
Uppgifter som presenterades för utskottet vid utfrågningen
av de sakkunniga visar att det i registret förs in personuppgifter
för personer som misstänkts medverka till ett
brott i framtiden, men i fråga om vilka det finns synnerligen
goda skäl att fråga sig om detta är korrekt.
Förvaltningsutskottet behandlade registret för
misstänkta på nytt efter våren 2013 (HAO
2/2013 vp, Poliisin henkilöreksterit, henkilötietojen
käsittely ja tietosuoja) och gick då in på teman
som innehåll, anteckningar som har gjorts och görs, tillsyn,
utbildning och anvisningar. I detta sammanhang är ett av
utskottets viktigaste mål att se till att polisens personregister är
utformade och används korrekt både med avseende
på lagstiftningen och i övrigt och att brister
som förekommit och kan förekomma rättas
till så snabbt som möjligt.
I det nuvarande systemet för tillsyn över
polisen varierar den som utövar tillsyn delvis efter ärendegrupp.
Dessutom har inte alla som utövar tillsyn samma befogenheter.
För den utomstående laglighetsövervakningen
av polisen står i synnerhet de högsta laglighetsövervakarna
och dataombudsmannen och på sätt och vis också domstolarna.
För den interna laglighetsövervakningen står
enheten för juridiska frågor vid inrikesministeriet,
delvis också ministeriets polisavdelning, Polisstyrelsen
och övriga polisenheter. Varje tjänsteman svarar
självfallet för att tjänsteutövningen är
laglig.
Enligt 68 § i grundlagen svarar varje ministerium för
att förvaltningen inom dess ansvarsområde fungerar
som sig bör. Det inbegriper att styra och övervaka
förvaltningsområdet. Inrikesministeriet utför
sitt uppdrag dels i en resultat- och styrprocess, dels genom bevakning
och utvärdering av dagligen förekommande och enskilda frågor
och ärendegrupper. I tillsynsuppdraget ingår också intern övervakning,
exempelvis övervakning av lagligheten.
Enligt uppgift till utskottet meddelade inrikesministeriet den
första anvisningen om övervakningen av lagligheten
inom sitt förvaltningsområde den 28 juni 2011.
Den behandlar bland annat ansvar, kvalitetskrav på den
interna laglighetsövervakningen, laglighetsövervakning
på chefsnivå, övervakning av behandlingen
av personuppgifter, uppföljning och rapportering av laglighetsövervakning
och intern och extern kommunikation om laglighetsövervakning.
Enheten för juridiska frågor ska tillsammans med avdelningarna
och enheten för intern granskning granska de centrala ämbetsverken
inom förvaltningsområdet och de centrala ämbetsverken
i sin tur granska förvaltningen under dem.
Enligt 7 § i lagen om behandling av personuppgifter
i polisens verksamhet är det Polisstyrelsen som är
registeransvarig för informationssystemet för
misstänkta. I 3 § 1 mom. 4 punkten i personuppgiftslagen
() definieras registeransvarig
som en eller flera personer, sammanslutningar, inrättningar
eller stiftelser för vilkas bruk ett personregister inrättas
och vilka har rätt att förfoga över registret
eller vilka enligt lag ålagts skyldighet att föra
register. I 5 § i samma lag föreskrivs det om
aktsamhetsplikt, det vill säga att en registeransvarige
ska behandla personuppgifterna i enlighet med lag, iaktta aktsamhet
och god informationshantering och även i övrigt
förfara så att skyddet av den registrerades privatliv
och andra grundläggande fri- och rättigheter som
tryggar skyddet för den personliga integriteten inte begränsas
utan en i lag angiven grund. Samtidigt kan det noteras att 9 § 2
mom. i den lagen föreskriver att den registeransvarige
ska se till att oriktiga, ofullständiga eller föråldrade
personuppgifter inte behandlas (felfrihetskrav).
Den 11 april 2013 begärde inrikesministeriet information
av Polisstyrelsen bland annat om vilka anvisningar det finns om
behandling av personuppgifter i informationssystemet för misstänka
utöver lagbestämmelserna. Ministeriet ville också ha
information om hur behandlingen av personuppgifter har övervakats
och övervakas. Dessutom bad ministeriet om att få revisionsberättelser
och annan tillgänglig information om övervakningen.
Polisstyrelsen har underrättat utskottet om de utvecklingsåtgärder
och andra insatser som den har vidtagit efter april 2013. Inrikesministeriet har
uppgett att det administrativa utredningsarbetet är inställt
så länge förundersökningen pågår
eftersom utredningen och förundersökningen gäller
samma fråga. Den 22 april 2014 begärde inrikesministeriet
en kopia av förundersökningsprotokollet från
Riksåklagarämbetet för detta administrativa övervakningsuppdrag.
Enligt uppgift från inrikesministeriet har Polisstyrelsen
bland annat förordnat att uppgifterna i informationssystemet
för misstänkta ska granskas. Enligt vad utskottet
erfar har polisenheterna raderat registeruppgifter som uppenbart
strider mot lag. Arbetet är emellertid stoppat eftersom
förundersökningen har utvidgats till vissa förfaringssätt
inom ramen för informationssystemet.
Det är värt att notera att intern kontroll
inom polisförvaltningen inte kunde utsträckas
till registret över misstänkta innan lagen ändrades
på initiativ av förvaltningsutskottet och ändringen trädde
i kraft den 1 januari 2014. Detta berodde på att lagen
tolkades så att behörighet att använda
registret inte kunde ges för laglighetsövervakning.
Polisstyrelsen uppger att övervakningen av registret är
sedvanlig övervakning på chefsnivå och
laglighetsövervakning. Utskottet har ingen information
om vad övervakning på chefsnivå konkret
avser i detta sammanhang. Enligt ett sakkunnigyttrande tillämpas
inte den typen av övervakning särskilt aktivt.
Polisstyrelsen har uppgett att den gör stickprov på logguppgifterna
minst två gånger om året.
Enligt 45 § i lagen om behandling av personuppgifter
i polisens verksamhet gäller rätten till insyn
inte informationssystemet för misstänkta. Men
på begäran av den registrerade kan dataombudsmannen
kontrollera att uppgifterna om honom eller henne är registrerade
enligt lag. Vid en bedömning av vilken roll detta faktum
spelar måste det beaktas att exempelvis observationer och
iakttagelser huvudsakligen har förts in utifrån
en enskild polismans bedömning och att det därmed är
polismannen som har bedömt om de uppgifterna är
korrekta eller inte.
Utskottet påpekar är det enligt lag är
Polisstyrelsen som är registeransvarig och har alla de skyldigheter
som ingår i uppdraget. Däremot är det
centralkriminalpolisen som beviljar behörighet att använda
registret. Det sker under överinsikt av polisens högsta
ledning, erfar utskottet. Centralkriminalpolisen har två kriminalöverkonstaplar
som genom stickprov kontrollerar att uppgifterna i registret följer
reglerna för allmän laglighet. De har uppdraget
vid sidan av sin normala tjänst. I detta sammanhang avses
med allmän laglighet att databasen har ett registerkort på personen
och att brottsrubriceringen nämns vid misstanke om brott.
Registreringspraxis har ändrats efter de händelser
som fick publicitet i våras. Polisstyrelsen har beslutat
att det ska vara en tjänsteman inom befälet som
bedömer lagligheten och kvaliteten på uppgifterna
i registret över misstänkta.
Myndigheterna måste behandla sina personregister och
personuppgifter på ett korrekt sätt i alla hänseenden
och uppfylla de lagstadgade kraven på personregister, påpekar
utskottet. Behandlingen av personuppgifter inbegriper också god
informationshantering och iakttagande av bästa praxis.
På grund av de fall som förekommit är
det nödvändigt att göra en heltäckande
utredning om polisens personregister, särskilt om informationssystemet
för misstänkta och då gå närmare
in på vem som gör registeranteckningar och hur
de görs, vilka data som ingår i registren, hur
data används och personuppgifter behandlas, vilken utbildning
det finns och hur registren övervakas. Detta bör
utredas särskilt för alla parter. Om det är
möjligt bör utredningen behandla frågorna åtminstone
ur följande perspektiv: aktörer på alla
nivåer, övervakning på chefsnivå, övervakning
av de registeransvariga, intern kontroll och laglighetsövervakning.
Dataombudsmannen bör göra en heltäckande
kontroll av åtminstone informationssystemet för
misstänkta efter det att inrikesförvaltningen är
klar med sina egna utredningar och utvecklingsåtgärder,
anser utskottet. Samtidigt måste det beredas lagstiftning
som tillåter att det görs sådana kontroller.
Förvaltningsutskottet föreslår att
riksdagen godkänner följande uttalande: Riksdagen
förutsätter att regeringen ser till att förvaltningsutskottet
före utgången av 2015 får en heltäckande
utredning 1) om vilka åtgärder som har vidtagits
i synnerhet i fråga om informationssystemet för
misstänkta men också i fråga om polisens
andra personregister, för att säkerställa
att informationssystemen inte innehåller felaktigheter och
att behandlingen av personuppgifter i alla avseenden sker i enlighet
med lag och även i övrigt på ett korrekt
sätt samt 2) om vilka åtgärder som har
vidtagits för att utveckla styrningen och övervakningen
av personregistren och av behandlingen av personuppgifter och utbildningen i
anslutning till dem. (Utskottets förslag till uttalande)
I detaljmotiven föreslår utskottet att 25 § 2 mom.
i säkerhetsutredningslagen ändras så att uppgifter
i registret över misstänkta får användas
för säkerhetsutredningar om det inte äventyrar
personens rättssäkerhet.
Sammanfattning
Sammantaget anser utskottet propositionen vara behövlig
och angelägen. Utskottet tillstyrker lagförslag
2, 3, 5 och 7—23 utan ändringar och lagförslag
1, 4 och 6 med de ställningstaganden och ändringsförslag
som framgår av betänkandet.
Detaljmotivering
1. Säkerhetsutredningslag
9 §. Behöriga myndigheter.
Enligt det föreslagna 1 mom. ska skyddspolisen ha allmän
behörighet att besluta om säkerhetsutredningar.
Av paragrafens 3 mom. framgår att avsikten har varit att
huvudstaben ska göra säkerhetsutredningar av personer
i samtliga fall där den som utredningen gäller
arbetar eller kommer att arbeta inom försvarsmakten eller
sköter ett uppdrag som förordnats av försvarsmakten
eller där utredningen anknyter till verksamhet eller upphandling
inom försvarsmakten. Huvudstaben ska dessutom fatta beslut
om huruvida en säkerhetsutredning av företag ska
göras i fråga om ett företag som sköter
eller kommer att sköta ett uppdrag på förordnande
av försvarsmakten eller sköter ett uppdrag som
hänför sig till upphandling inom försvarsmakten.
Enligt uppgift till utskottet har det efter det att propositionen
lämnades gjorts upp planer som gäller omorganisering
av försvarsförvaltningen. Enligt planen kan huvudstaben
lämna de uppgifter som behövs för kontroll
av registeruppgifter och i samma syftet förordna att vissa
enheter inom försvarsmakten som huvudstaben övervakar
ska få tillträde till register som används
vid kontrollen. Den enhet det här är fråga
om är Försvarsmaktens underrättelseverk,
som ska inrättas i enlighet med lagen om militär
disciplin och brottsbekämpning inom försvarsmakten (FvUB 5/2013
rd — RP 30/2013 rd) så snart lagen har
trätt i kraft.
Enligt utredning till utskottet har de rikstäckande
aktörerna inom den militära underrättelseverksamheten
med en omfattnning som motsvarar försvarsmakten från
början av maj 2014 sammanförts till Försvarsmaktens
underrättelseverk. Målet är att vässa
den militära underrättelseverksamhetens viktigaste
funktioner genom att göra organisatoriska sammanslagningar,
höja personalens kompetens och eliminera överlappningar
inom förvaltningen och analysverksamheten. Verket lyder
under huvudstaben och producerar de underrättelsetjänster
som försvarsmakten behöver. En rationell organisering
av verksamheten kräver att de personer som för
närvarande gör säkerhetsutredningar vid
huvudstabens undersökningsavdelning i huvudsak överförs
till underrättelseverket. Men huvudstaben ska också i
framtiden ansvara för ledningen och övervakningens
av förfarandet med säkerhetsutredningar.
Utskottet föreslår utifrån den ovan
relaterade utredningen att 9 § 3 mom. i lagförslaget
formuleras på följande sätt: "Huvudstaben
fattar beslut om huruvida en säkerhetsutredning av en person
ska göras, om den som utredningen gäller arbetar
eller kommer att arbeta inom försvarsmakten eller sköter
ett uppdrag på förordnande av försvarsmakten
eller om säkerhetsutredningen hänför
sig till verksamhet eller upphandling inom försvarsmakten.
Huvudstaben fattar beslut om huruvida en säkerhetsutredning ska
göras av ett företag som sköter eller
kommer att sköta ett uppdrag på förordnande
av försvarsmakten eller av som hänför
sig till upphandling inom försvarsmakten. Huvudstaben kan
delegera kontrollen av de registeruppgifter som behövs
för en säkerhetsutredning till en enhet inom försvarsmakten
under dess tillsyn som den utser, och i detta syfte ge tillträde
till de register som används vid kontrollen. Huvudstaben
kan även ge denna enhet rätt att underrätta
en enhet inom försvarsmakten som ansökt om en
säkerhetsutredning av en person om att registeruppgifterna
inte uppvisar något som skulle vara negativt med tanke
på personens tillförlitlighet."
16 §. Statsförvaltningsmyndigheters skyldighet att
ansöka om säkerhetsutredning av person.
I förslaget till 15 § föreskrivs
det om vem som har rätt att ansöka om säkerhetsutredning
av en person. I regel är det arbetsgivaren som kan göra
en sådan ansökan.
Lagförslagets 16 § gäller uteslutande
statsförvaltningsmyndigheterna. Inom statsförvaltningen
håller man på att gradvis höja nivån
på informations- och personsäkerheten. För
att styra och stödja utvecklingen i den här riktningen
och för att skapa enhetliga förfaranden föreslås
det att statsrådet ska få rätt att genom
förordning utfärda bestämmelser om skyldigheten
att skaffa säkerhetsutredningar av personer i vissa fall,
som framgår av 16 §.
Förvaltningsutskottet konstaterar att det i fråga
om riksdagen räcker med att riksdagens kansli med stöd
av 15 § har rätt att ansöka om säkerhetsutredning.
När det gäller riksdagens kansli finns det inget
behov att föreskriva om den skyldighet som avses i 16 §.
Förvaltningsutskottet understryker att det inte heller
i övrigt är möjligt att genom förordning
föreskriva om skyldighet för riksdagens kansli
att låta göra säkerhetsutredningar. Eftersom
utskottet ser det som en självklarhet att statsrådets
behörighet att utfärda förordningar inte
omfattar riksdagens kansli finns det inte heller enligt utskottet
något behov av att precisera 16 §.
18 §. Överensstämmelse med säkerhetskraven som
en allmän förutsättning.
En allmän förutsättning för
säkerhetsutredning av person är enligt 18 § att
sökanden genom tekniska eller andra åtgärder
har begränsat tillgången till uppgifter som skyddas
och har sett till att lokaler och informationssystem är
skyddade samt har vidtagit andra behövliga åtgärder
för att genomföra informationssäkerhet
och andra säkerhetsarrangemang. Syftet med den föreslagna
regleringen är att främja allmän informationssäkerhet och
säkerställa att säkerhetsutredningarna
används endast som en del av mera omfattande säkerhetsarrangemang,
inte i stället för dem.
De sakkunniga som utskottet har hört har påpekat
att de föreslagna allmänna förutsättningarna
för säkerhetsutredning av personer ser ut att bli
ett påfallande tungrott auditeringsförfarande eller
motsvarande utredningsförfarande. Det anses att de nya
kraven ökar företagens administrativa börda
utan att koncentrera sig på sådant som är
väsentligt för själva utredningarna.
I vissa sakkunnigyttranden har man därför talat
för att förslaget till 18 § inte borde
godkännas.
Utskottet konstaterar att bedömningen av förändringar
i rättsläget måste ske med beaktande av
inrikesministeriets förordning om ansökningsförfarandet
vid säkerhetsutredningar (710/2002), som utfärdats
med stöd av lagen om säkerhetsutredningar. Förordningens
1 § 2 mom. 4 punkt föreskriver att när
en ansökan om normal säkerhetsutredning görs
för första gången och vid behov även
därefter ska det till ansökan fogas en skriftlig
utredning av vilka andra förebyggande åtgärder
som sökanden har vidtagit när det gäller
upprätthållande av säkerheten. Den kritik
som de sakkunniga har riktat mot propositionen gäller med
andra ord sådana krav som det redan nu föreskrivs
om.
Utskottet framhåller att betydelsen av personsäkerhetsutredningar
minskar väsentligt och kan rentav helt elimineras om man
inte sköter övriga element av informationssäkerheten.
En sådan situation kan uppstå t.ex. om passagekontrollsystem
inte har ordnats till lokaler där det hanteras information
som ska skyddas eller om informationssystem inte har försetts
med lämplig administration och kontroll av användarbehörighet. Utskottet
anser att det är nödvändigt att definiera
krav på säkerhetsåtgärder på det
sätt som framgår av propositionen.
I det föreslagna 18 § 2 mom. föreskrivs
det att överensstämmelse med kraven enligt 1 mom. kan
påvisas på det sätt som anges i momentet
eller på något annat sätt som skyddspolisen
godkänner. Enligt 2 mom. ska tillbörliga informationssäkerhetsåtgärder
kunna påvisas t.ex. genom att företaget har mottagit
ett intyg utfärdat av ett i lagen om bedömningsorgan
för informationssäkerhet (1405/2011)
avsett godkänt bedömningsorgan.
Utskottet påpekar att också andra myndigheter
som nämns i den nu föreslagna säkerhetsutredningslagen än
skyddspolisen gör säkerhetsutredningar. Förvaltningsutskottet
föreslår därför följande
tekniska ändringar i 18 § 2 mom: "Överensstämmelse
med kraven enligt 1 mom. kan påvisas genom ett intyg utfärdat
av ett godkänt bedömningsorgan som avses i lagen
om bedömningsorgan för informationssäkerhet (1405/2011),
genom ett intyg utfärdat i enlighet med lagen om bedömning
av informationssäkerheten i myndigheternas informationssystem
och datakommunikation (1406/2011), genom en säkerhetsplan
eller på något annat sätt som den
behöriga myndighet som beslutar att säkerhetsutredning
ska göras godkänner."
25 §. Informationskällor vid normal säkerhetsutredning
av person.
I paragrafen nämns vilka personregister som kan läggas
till grund för en normal säkerhetsutredning av
person. I 25 § 1 mom. 12 punkten sägs
det att det också ska vara tillåtet att använda
uppgifter som finns i register som förs av myndigheter
i en annan stat och som motsvarar de register som innehåller
sådana uppgifter som avses i 1 mom. 1—3 punkten.
I detaljmotiven till propositionen sägs det att på grund
av det växande internationella samarbetet kan den som utredningen
gäller vara antingen en utlänning eller en finländare
som har vistats utomlands långa tider. I propositionen
utgår man från att dessa situationer beaktas i
den föreslagna lagen.
De sakkunniga uppmärksammade också utskottet
på att finländare som i sitt arbete behandlar
högkvalificerad internationell information måste
ha ett intyg över säkerhetsutredning (Personal
Security Clearance, PSC) och företagen för dem
avsedda intyg (Facility Security Clearance, FSC). På grundval
av propositionen kommer beviljandet av intyg över säkerhetsutredning
för personer för internationellt behov i allt högre
grad att koncentreras till den nationella säkerhetsmyndighet
som är verksam i anknytning till utrikesministeriet, vilket
tryggar en enhetlig intygspraxis och förtydligar behörigheten
mellan myndigheterna.
De sakkunniga påtalade också att lagförslaget
gör det möjligt att delvis utnyttja registeruppgifter
från myndigheter i andra stater, vilket höjer
nivån på säkerhetsutredningarna. Begränsandet
av användningen av utländska registeruppgifter
till uppgifter ur befolkningsregister, straffregister och justitieförvaltningens
handläggningssystem leder till att utredningen inte kan
komma åt sådana uppgifter som kunde tänkas
vara av stor betydelse när man bedömer om någon
ska ges tillträde till högt säkerhetsklassificerad,
sekretessbelagd information.
Vid hörandet framgick ytterligare att den föreslagna
begränsningen av möjligheterna att utnyttja uppgifter
som utländska myndigheter har innebär att finländska
säkerhetsmyndigheter i fråga om utlänningar
som ska rekryteras till Finland inte kan utnyttja uppgifter t.ex.
om kontakter till terroriströrelser och motsvarande extrema
rörelser eller om anknytning till utländska underrättelseorganisationer
eller organiserad brottslighet, trots att uppgifterna skulle finnas att
få hos utländska myndigheter. Man skulle inte
heller ha tillgång till uppgifter om pågående brottsutredningar
oberoende av hur grova brott det är fråga om.
Förvaltningsutskottet lägger vikt vid dessa
argument och finner dem motiverade. Men utifrån utredning
anser utskottet ändå att internationella människorättskonventioner är
ett hinder för att med enbart en hänvisning i
25 § 1 mom. 4 punkten utvidga möjligheterna att
använda utländsk information. Information ur utländska
myndigheters register måste också lagras i skyddspolisens
informationssystem för att de inte ska ligga utanför
dataombudsmannens rätt att utöva tillsyn. Förvaltningsutskottet
föreslår att en säkerhetsutredning av
person kan ske på grundval av register som förs
av en myndighet i en annan stat och föreslår en
ny 13 punkt i 25 § 1 mom. med följande lydelse: "13)
register som förs av en myndighet i en annan stat och som
motsvarar de register som nämns i 4 punkten om registeruppgifterna
a) motsvarar uppgifter som kan föras in i de register som
nämns i 4 punkten och b) har erhållits av en annan
medlemsstat i Europeiska unionen, på grundval av en internationell
förpliktelse som gäller informationssäkerhet
eller ur ett sådant myndighetsregister i en annan stat som
motsvarar kraven ovan eller c) lagras i ett personregister som den
behöriga myndigheten för." (Ny
13 punkt) Utskottet framhåller att förutsättningarna
enligt a—c-punkterna måste uppfyllas samtidigt
för att 13 punkten ska kunna tilllämpas.
När en normal säkerhetsutredning görs
ska det enligt det föreslagna 2 mom. också vara
tillåtet att använda sådana uppgifter
i registret över misstänkta som centralkriminalpolisen
ansett vara nödvändigt att uppge för
att ett intresse som ligger till grund för säkerhetsutredningen
ska kunna skyddas mot organiserade kriminella sammanslutningars åtgärder.
Av det inledande stycket i 27 § framgår att det
också för en omfattande säkerhetsutredning
kan vara tillåtet att utnyttja registret över
misstänkta.
Förvaltningsutskottet menar att samhället
har välgrundade skäl att på olika sätt
skydda sig mot organiserad kriminalitet och bland annat mot dess
infiltration av den offentliga förvaltningen och offentlig
upphandling. Förvaltningsutskottet föreslår
därför med hänvisning till det som sägs
i den allmänna motiveringen att 25 § 2 mom.
i lagförslaget bör omformuleras och preciseras.
I den form utskottet har gett momentet stärker bestämmelsen
rättstryggheten för den som är föremål
för utredning. Utskottet föreslår en
skrivning om att informationen ska förmedlas i form av
centralkriminalpolisens anmälan. Informationen ska förmedlas
i form av en handling där det även ska antecknas
sådana uppgifter som behövs när skyddspolisen överväger
utnyttjandet av uppgifterna i registret över misstänkta. Detta
element kompletterar rättstryggheten på det sätt
som avsågs i hörandet.
Bestämmelsen innehåller i utskottets utformning
två olika punkter som behandlar de förutsättningar
som måste vara rådande för att centralkriminalpolisen
ska kunna göra anmälan. Utskottet fäste
sig särskilt vid de s.k. medverkansuppgifter som avses
i 4 § 2 punkten i lagen om behandling av personuppgifter
i polisens verksamhet. I den omformulerade 25 § 2 mom. 1 punkten
anges de situationer där uppgifter ur registret över
misstänkta om s.k. medverkande får utnyttjas när
en säkerhetsutredning görs. För det första
krävs det att den som utredningen gäller utifrån
tillgängliga uppgifter i informationssystemet för
misstänkta har återkommande kontakter av permanent
natur med sådana personer som enligt domstolsbeslut ansetts
delta i en organiserad kriminell sammanslutnings verksamhet eller
som i en pågående förundersökning
eller åtalsprövning misstänkts ha deltagit
i sådan verksamhet. En anteckning om tillfällig
närvaro eller andra enstaka kontakter berättigar
inte till att lämna informationen till skyddspolisen eller till
att utnyttja den i samband med en säkerhetsutredning. Inte
heller enbart misstanke om att den ena parten i en kontakt tillhör
en organiserad kriminell sammanslutning är tillräcklig
utan ärendet måste ha avancerat åtminstone
till förundersökning. I 17 kap. 1 a § i
strafflagen finns bestämmelser om deltagande i en organiserad
kriminell sammanslutnings verksamhet.
En annan förutsättning är att kontakten
till en organiserad kriminell sammanslutning kan göra den
som utredningen gäller mottaglig för extern osaklig
påverkan och därmed riskera skyddet för ett
intresse som ligger till grund för säkerhetsutredningen.
I det här sammanhanget understryker utskottet att syftet
med att utnyttja informationen i den ovan avsedda situationen inte är
att ge bilden av att den som är föremål
för säkerhetsutredningen har gjort sig skyldig
till ett brott utan endast att beskriva de risker som är
förenade med personen i relation till det intresse som är
avsett att skyddas genom utredningen.
I den föreslagna 25 § 2 mom. 2 punkten föreslår
utskottet bestämmelser om utnyttjande av uppgifter som
gäller utredningsobjektets deltagande i en organiserad
kriminell sammanslutning. Sådana uppgifter kan utnyttjas
om centralkriminalpolisen utifrån informationen i informationssystemet
för misstänkta och andra eventuella upplysningar
anser att det föreligger grundad anledning att misstänka
att den som utredningen gäller gjort sig skyldigt till
deltagande i en organiserad kriminell sammanslutnings verksamhet och
det är nödvändigt att förmedla
informationen för att skydda ett intresse som ligger till grund
för säkerhetsutredningen mot åtgärder
eller påverkan från organiserade kriminella sammanslutningars
sida eller för att förebygga brott.
Den formulering som utskottet föreslår innebär
att tröskeln för att utnyttja informationen är högre än
för att bara lagra uppgifterna i registret. Det måste
alltså röra sig om ett ärende som inom
en relativt kort tid kommer att överföras till
förundersökning.
I momentets 3 punkt föreslår utskottet en
specialbestämmelse som gäller personer som ska
få tillgång till handlingar och information som
kräver särskilt skydd och som hänförs
till de högsta skyddsnivåerna (nivå I
och II).
Centralkriminalpolisen kan göra en anmälan till
skyddspolisen med stöd av 3 punkten när två förutsättningar är
för handen. För det första krävs
det att det i fråga om den som utredningen gäller
finns flera sådana anteckningar i informationssystemet
för misstänkta som sammantagna ger centralkriminalpolisen
grundad anledning att misstänka att den som utredningen
gäller kan äventyra skyddet för de handlingar
på skyddsnivåerna I och II som centralkriminalpolisen
fått för den arbetsuppgift som ligger till grund
för utredningen och för informationen i dessa
handlingar och därmed gynna organiserade kriminella sammanslutningars åtgärder.
Centralkriminalpolisen ska i sitt övervägande
pröva om anteckningarna till sin natur och sitt innehåll är
betydande för bedömningen av personens tillförlitlighet.
Det andra kravet är att det är nödvändigt
att förmedla informationen för att skydda statens viktiga
säkerhetsintressen mot åtgärder eller
påverkan från organiserade kriminella sammanslutningars
sida eller för att förebygga brott. Med statens
viktiga säkerhetsintressen avses särskilt de sekretessbestämmelser
som enligt offentlighetslagen kan skyddas genom en anteckning om
säkerhetsklassificering. Det är fråga
om handlingar vilkas obehöriga avslöjande skulle kunna
skada landets försvar, säkerhet, internationella
relationer eller annat allmänt intresse på det
sätt som avses i 24 § 1 mom. 2 och 7—10 punkten
i den lagen.
Således föreslår förvaltningsutskottet
att 25 § 2 mom. i lagförslaget godkänns
med följande lydelse: "För en normal
säkerhetsutredning får (utesl.) även
användas en anmälan som centralkriminalpolisen gjort
utifrån uppgifter som framgår av informationssystemet
för misstänkta, när anmälan
innehåller sådana uppgifter som skyddspolisen
behöver för att bedöma informationens
betydelse. Centralkriminalpolisen får göra en
anmälan, ifall
1) den som utredningen gäller utifrån
tillgängliga uppgifter i informationssystemet för misstänkta
har återkommande kontakter av permanent natur med sådana
personer som enligt domstolsbeslut ansetts ha deltagit i en organiserad
kriminell sammanslutnings verksamhet eller som i en pågående
förundersökning eller åtalsprövning
misstänkts ha deltagit i sådan verksamhet, om
kontakterna kan göra den som utredningen gäller
mottaglig för extern osaklig påverkan och därmed
riskera skyddet för ett intresse som ligger till grund
för säkerhetsutredningen, eller
2) centralkriminalpolisen utifrån informationen
i informationssystemet för misstänkta och andra
eventuella upplysningar anser att det föreligger grundad
anledning att misstänka att den som utredningen gäller
gjort sig skyldig till deltagande i en organiserad kriminell sammanslutnings
verksamhet och det är nödvändigt att förmedla
informationen för att skydda ett intresse som ligger till
grund för säkerhetsutredningen mot åtgärder
eller påverkan från organiserade kriminella sammanslutningars
sida eller för att förebygga brott, eller
3) det i fråga om den som utredningen gäller finns
flera sådana anteckningar i informationssystemet för
misstänkta som till sin natur och sitt innehåll är
betydande för bedömningen av personens tillförlitlighet
och som sammantagna ger centralkriminalpolisen grundad anledning
att misstänka att den som utredningen gäller kan äventyra
skyddet för de handlingar på skyddsnivåerna
I och II och uppgifterna i dem som personen fått i den
arbetsuppgift som ligger till grund för utredningen och
därmed gynna organiserade kriminella sammanslutningars åtgärder,
om det är nödvändigt att förmedla
informationen för att skydda statens viktiga säkerhetsintressen
mot åtgärder eller påverkan från
organiserade kriminella sammanslutningars sida eller för
att förebygga brott."
27 §. Informationskällor vid omfattande säkerhetsutredning
av person.
Vid en omfattande säkerhetsutredning av person är
det med stöd av 27 § utöver
informationskällor vid normal säkerhetsutredning
av person möjligt att stödja sig på uppgifter
om 1) näringsverksamhet som personen bedriver eller deltar
i, 2) personens förmögenhet och skulder samt andra
ekonomiska bindningar och 3) personens familje- och släktskapsförhållanden.
En utredning på denna nivå görs endast
om personer som har tillgång till handlingar på de högsta
klassificeringsnivåerna. Enligt den föreslagna
lagen kan uppgifter från kreditinstitut och finansiella
institut skaffas bara om den som utredningen gäller har
gett sitt uttryckliga tillstånd till det.
Utskottet fastslår att ett av de viktigaste syftena
med översynen av säkerhetsutredningslagstiftningen är
att utveckla den så att den motsvarar internationella förfaranden
och krav. I detta hänseende är de krav som följer
av Europeiska unionen relevanta.
I rådets nya säkerhetsbestämmelser (2011/292/EU)
definieras de grundläggande principerna och minimikraven
för skyddet av säkerhetsskyddsklassificerad information.
Medlemsstaterna ska tillämpa principerna och minimikraven
i enlighet med nationella lagar och förordningar. I Finland
har man ansett att rådets säkerhetsbestämmelser är
en för Finland bindande internationell förpliktelse
som Finland ska följa. (RP 66/2004 rd och HFD
18.9.2012 L 2483).
Enligt rådets säkerhetsbestämmelser
ska man på nivån EU TOP SECRET, som i Finland
anses kräva omfattande säkerhetsutredning, så ingående
som möjligt inom ramen för nationella lagar och
förordningar utreda en persons ekonomiska ställning.
I detta sammanhang kan det dessutom noteras att medlemsstaterna
den 25 maj 2011 undertecknade ett avtal mellan Europeiska unionens
medlemsstater om skydd av nationella säkerhetsskyddsklassificerade
uppgifter som utbyts i EU:s intresse. Syftet med avtalet är
att medlemsstaterna vidtar alla lämpliga åtgärder
i enlighet med sina respektive nationella lagar och andra författningar
för att säkerställa att den säkerhetsnivå som
ges säkerhetsskyddsklassificerade uppgifter som omfattas
av avtalet är likvärdig med den som ges enligt
rådets nya säkerhetsbestämmelser. Avtalet
och en lag om sättande i kraft av de bestämmelser
som hör till området för lagstiftningen
(224/2012) godkändes i riksdagen i mars 2012 (FvUB
3/2012 rd).
32 §. Begränsning av användningen
av uppgifter i säkerhetsutredning av person.
I 32 § 1 mom. 3 punkten i lagförslaget
föreskrivs det att vid en säkerhetsutredning av
person får inte sådana uppgifter om brottsliga
gärningar användas som begåtts tio år
tidigare, om inte uppgifterna kan fås ur straffregistret.
Under hörande av sakkunniga framgick det bland annat att
i vissa fall skulle uppgifter om gärningar som rentav har
lett till stränga straff inte kunna utnyttjas eftersom
fängelsestraff som är mer än tio år
gamla och kortare än två år skulle ligga
utanför räckvidden. Det här kan vara
av betydelse t.ex. när personer utnämns till polistjänster.
Utskottet konstaterar att enligt gällande lag får
uppgifter av det här slaget inte användas, om det
inte är nödvändigt för att syftet
med utredningen ska uppnås. På grundval av den
föreliggande propositionen får uppgifter om straff
som lagrats i straffregistret alltid användas vid säkerhetsutredningar
oberoende av hur gamla de är. I 10 § i straffregisterlagen
(770/1993) föreskrivs det om utplåning
av uppgifter. Uppgifter om ovillkorligt fängelsestraff
på över två och högst fem år
utplånas sedan tjugo år förflutit från
det den lagakraftvunna domen gavs, om inte annat följer
av nya domar. Uppgifter om fängelsestraff på mer än
fem år utplånas när den dömde fyller
90 år eller avlider. Dessa bestämmelser i straffregisterlagen
innebär att de allvarligaste brotten eller upprepad brottslig
verksamhet kan påverka innehållet i en säkerhetsutredning
också när det handlar om brott som begåtts
mer än tio år tidigare, menar utskottet. Utskottet
anser att bestämmelserna i lagförslaget är
lämpliga.
50 §. Utlämnande av uppgifter ur registret över säkerhetsutredningar.
Skyddspolisen lämnar enligt 50 § 1 mom. trots
sekretessbestämmelserna med hjälp av teknisk anslutning
uppgifter ur registret över säkerhetsutredningar
till huvudstaben och till den enhet som Polisstyrelsen
utsett att göra begränsade säkerhetsutredningar.
Huvudstaben får, på ett sätt som skyddspolisen
godkänner, till tjänstemän som utsetts
av försvarsmaktens enheter vidarebefordra uppgifter som behövs
för bedömning av behovet att skaffa en säkerhetsutredning
eller för behandling av vistelse- och besökstillstånd
som avses i 15 § i lagen om försvarsmakten (551/2007).
Med stöd av 2 mom. får skyddspolisen trots sekretessbestämmelserna
på ett sätt som den godkänner med hjälp
av teknisk anslutning lämna de uppgifter som framgår
av momentet till en av ministeriet utsedd tjänsteman för
att behovet att skaffa en säkerhetsutredning ska kunna
bedömas.
Förvaltningsutskottet konstaterar att 50 § 2 mom.
gäller skyddspolisens behörighet att genom teknisk
anslutning ge endast ministeriet ovan nämnda uppgifter
ur säkerhetsutredningsregistret för bedömning
av behovet att ansöka om säkerhetsutredning. Riksdagen är
landets högsta statsorgan och riksdagens kansli ska se till
att riksdagen kan fullfölja de uppgifter som hör
till den i dess egenskap av statsorgan. Utskottet föreslår
därför att 50 § 2 mom. ändras
så att skyddspolisen med hjälp av teknisk anslutning
får lämna uppgifter ur registret över
säkerhetsutredningar också till en av riksdagens
kansli utsedd tjänsteman för att behovet att skaffa
en säkerhetsutredning ska kunna bedömas. Riksdagens
kansli har på årsnivå ansökt
om över 1 000 säkerhetsutredningar av person.
Det stora antalet beror delvis på den pågående
totalrenoveringen av riksdagens byggnader.
51 §. Kontroll av oförvitligheten och tillförlitligheten
med hjälp av samkörning av personregister.
I 50 § 3 mom. och i 51 § i lagförslaget
bestäms om samkörning av registeruppgifter. Skyddspolisen
får enligt 50 § 3 mom. trots sekretessbestämmelserna
med hjälp av teknisk anslutning lämna centralkriminalpolisen
uppgifter om ansökan om säkerhetsutredning för
att samköras med uppgifterna i registret över
misstänkta med tanke på de anmälningar
som avses i 25 § 2 mom. och på prövning
i fråga om dem. Av momentet framgår vidare att
centralkriminalpolisen ska utplåna de uppgifter som fåtts
genom samkörningen omedelbart efter det att behovet av
anmälan har prövats eller anmälan har
sänts till skyddspolisen.
Lagförslagets 51 § gäller kontroll
av oförvitligheten och tillförlitligheten med
hjälp av samkörning av personregister. Skyddspolisen
får enligt 1 mom. samköra uppgifterna i registret över säkerhetsutredningar
med uppgifter i delregistren i informationssystemet för
polisärenden samt med uppgifter om anhängiga brottmål
och avgöranden i brottmål i justitieförvaltningens riksomfattande
informationssystem i syfte att klarlägga om säkerhetsutredningar
eller intyg som utfärdats över dem fortfarande
ska få vara giltiga.
Grundlagsutskottet säger i sitt utlåtande
att de föreslagna bestämmelserna i övrigt
motsvarar vad som krävs av bestämmelser i lag,
men det är skäl att komplettera lagförslaget
med en bestämmelse om förbud mot att överlåta
sammanställda uppgifter.
Förvaltningsutskottet anser att regeringen i sin proposition
på ett detaljerat och uttömmande sätt
har försökt ange hur uppgifter som uppkommit till
följd av samkörning får användas
och överlämnas. Bestämmelserna kunde
visserligen vara ännu klarare, menar utskottet. Således
föreslår förvaltningsutskottet att 51 § 3
mom. i lagförslaget godkänns med följande
lydelse: "Skyddspolisen ska utplåna de uppgifter
som uppkommit till följd av samkörningen omedelbart
när de åtgärder som avses i 52 § har
slutförts, dock senast ett år efter samkörningen
av registren. Samkörda uppgifter får användas
eller lämnas ut bara i de fall som avses i 52 § eller för
att behandla ett avgörande som träffats med stöd
av den paragrafen eller ett fullföljdsärende med
anledning av avgörandet."
62 §. Ändringssökande.
Enligt 62 § 2 mom. i lagförslaget får ändring
inte sökas i ett beslut genom vilket en behörig
myndighet vägrat utfärda ett intyg över
säkerhetsutredning av företag. Grundlagsutskottet
menar att det finns skäl att pröva om det inte
vore mest lämpligt att låta utsträcka
besvärsrätten enligt momentet till avslag på begäran
om intyg över säkerhetsutredning av företag,
eftersom ett avslag kan påverka företagets rätt
eller intresse.
Säkerhetsutredningar av företag anknyter i nationella
sammanhang till myndigheters upphandling där genomförandet
av upphandlingen eller ofta redan uppgörandet av anbud
kräver att privata företag får sekretessbelagda
och säkerhetsklassificerade uppgifter.
Lagen om offentlig försvars- och säkerhetsupphandling
(1531/2011) tillåter att det ställs krav
på informationssäkerheten i samband med ett anbudsförfarande.
Ett sätt att gå till väga i detta avseende är
att få säkerhetsutredningar av företag.
Men myndigheterna har inte rätt att få sådana
utredningar.
Utifrån utredning konstaterar utskottet att en säkerhetsutredning
av företag eller ett intyg om en sådan utredning
inte är ett absolut villkor för deltagande i upphandlingsförfarande,
utan myndigheten har andra medel till sitt förfogande för att
bedöma om kraven uppfylls. Myndigheten måste fatta
ett beslut om avgöranden som påverkar kandidaternas
och anbudsgivarnas ställning och i lagen om offentlig försvars-
och säkerhetsupphandling ingår bestämmelser
om hur sådana beslut överklagas.
Den som ansöker om säkerhetsutredning har inte
rätt att överklaga en myndighets beslut att inte
göra en säkerhetsutredning eller ge ett intyg över
en sådan utredning. Med hänsyn till det som anförs
ovan förordar förvaltningsutskottet inte en utvidgning
av rätten att söka ändring.
Utskottet föreslår att hänvisningen
i första meningen i 62 § 2 mom. om ändringssökande justeras
så att där endast hänvisas till 22 § i
stället för till 22 och 23 §, eftersom
23 § gäller användning och kontroll av
registeruppgifter samt intervju med den som utredningen gäller.
Det är fråga om en justering av teknisk natur.
64 §. Övergångsbestämmelser.
Registret över säkerhetsutredningar är
en del av en mer omfattande reform av polisens informationssystem. Enligt
uppgift till utskottet kan registret börja byggas först
i slutet av 2014 och bli färdigt tidigast ett år
senare. De föreslagna övergångsbestämmelserna är
problematiska eftersom de föreskriver om en övergång
i två faser. Att försätta det nya registret
i ett sådant skick att det finns beredskap att konvertera
alla tidigare säkerhetsutredningar för inmatning
i det nya registret är enligt utredning ett lika stor arbete
som att bygga upp hela systemet. Utskottet finner det därför motiverat
att när det gäller registret över säkerhetsutredningar
och informationsbehandlingen i anslutning till det avstå från
indelningen i två faser och i stället föreskriva
om en enda övergångsperiod som ska vara två år.
Förvaltningsutskottet föreslår således
att 64 § godkänns i följande form: "På ärenden
som har anhängiggjorts före ikraftträdandet
av denna lag tillämpas den lag som gällde vid
ikraftträdandet. Det register över säkerhetsutredningar
som avses i 48 § och den tillhörande databehandlingen ska
sättas i lagenligt skick inom två år
från ikraftträdandet.
Uppgifter om sådana säkerhetsutredningar som överlämnats
med stöd av den lag om säkerhetsutredningar (177/2002)
som upphävs och sådana intyg som utfärdats
med stöd av lagen om internationella förpliktelser
som gäller informationssäkerhet får överföras
till registret över säkerhetsutredningar, om utredningarna har överlämnats
och intygen utfärdats tidigast tre år före
denna lags ikraftträdande.
Innan registret över säkerhetsutredningar har
satts i lagenligt skick får de behöriga myndigheterna
trots sekretessbestämmelserna till varandra på elektronisk
väg lämna ut eller annars behandla sådana
uppgifter om i 2 mom. avsedda säkerhetsutredningar och
intyg som behövs för att fullgöra skyldigheterna
enligt 10 § i denna lag." (Nytt 3 mom.)
4. Lag om ändring av lagen om behandling av personuppgifter
i polisens verksamhet
19 §. Utlämnande av uppgifter till andra
myndigheter.
Utskottet föreslår vissa av den nya säkerhetsutredningslagen
föranledda tekniska ändringar i lagens ingress
och i 19 §.
6. Lag om ändring av lagen om internationella förpliktelser
som gäller informationssäkerhet
Ingressen.
Utskottet föreslår tekniska korrigeringar
i ingressen.