2
Nuläge
2.1
Lagen om internationella förpliktelser som gäller informationssäkerhet
Lagens allmänna tillämpningsområde
Lagen om internationella förpliktelser som gäller informationssäkerhet (588/2004) tillämpas på särskilt känsligt informationsmaterial. Med det avses sådana sekretessbelagda handlingar och sådant sekretessbelagt material samt information som kan fås ur dessa handlingar och detta material och handlingar och material som producerats utifrån dem och som har säkerhetsklassificerats i enlighet med en internationell förpliktelse om informationssäkerhet. Bestämmanderätten över utlämnad information kvarstår även efter att den utlämnats hos den utlämnande staten. Lagen kan endast tillämpas om den internationella överenskommelsen har satts i kraft i Finland på det sätt som grundlagen kräver eller om det är fråga om en internationell förpliktelse som annars är bindande för Finland.
Till kategorin särskilt känsligt informationsmaterial som omfattas av lagens tillämpningsområde hänförs ytterligare handlingar som har upprättats av en finsk myndighet eller av en näringsidkare som omfattas av lagens tillämpningsområde, av vilka framgår information som ingår i särskilt känsligt informationsmaterial som har sänts till Finland eller information som kan hämtas ur sådant material. Lagen tillämpas inte endast för hemlighållande eller klassificering av handlingar och delar av handlingar som innehåller nationell information från Finland.
Lagen innehåller bestämmelser om utfärdande av intyg över säkerhetsutredning av person (Personnel Security Clearance, PSC) och säkerhetsutredning av företag (Facility Security Clearance, FSC). För utfärdandet av intyg och prövningen i anslutning till detta ska den myndighet som gjort säkerhetsutredningen av person eller företag trots sekretessbestämmelserna lämna den nationella säkerhetsmyndigheten information om alla sådana omständigheter som vid utredningen framkommit i fråga om den person eller det företag som utredningen gäller (11 § 1 mom. och 12 § 1 mom.).
I fråga om bedömning av huruvida ett intyg ska utfärdas samt om giltighet för och återkallelse av ett intyg tillämpas säkerhetsutredningslagen (11 § 2 mom. och 12 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet). Om den nationella säkerhetsmyndigheten vägrar att utfärda ett intyg över säkerhetsutredning av person eller företag, ska den meddela skälen för detta i ett skriftligt beslut som ges till den som ansökt om utredningen och den som utredningen gäller (11 § 3 mom. och 12 § 3 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet). Bestämmelser om ändringssökande finns i lagens 20 a §.
Lagens förhållande till offentlighetslagstiftningen
I lagen om internationella förpliktelser som gäller informationssäkerhet finns det bestämmelser som avviker från bestämmelserna om nationella handlingars informationssäkerhet. I lagens 3 § 1 mom. ingår emellertid en allmän hänvisning till offentlighetslagen (621/1999) och till informationshanteringslagen (906/2019). Till de delar finska myndigheters handlingar innehåller annan information om internationellt samarbete än sådan som omfattas av internationella förpliktelser om informationssäkerhet ska offentlighetslagen och bestämmelser som utfärdats med stöd av den tillämpas. Enligt 3 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet ska en på offentlighetslagen eller på någon annan lag baserad begäran om att få uppgifter ur särskilt känsligt informationsmaterial handläggas och avgöras av den myndighet till vilken informationsmaterialet har sänts eller som ska behandla ärendet i dess helhet.
Bestämmelserna i lagen om internationella förpliktelser som gäller informationssäkerhet ska tillämpas så länge det är nödvändigt för det allmänna intresse som säkerhetsklassificeringen baserar sig på, också då den överenskommelse eller den författning som tillämpningen av bestämmelserna baserar sig på inte längre är i kraft (15 §). I fråga om upphörande av sekretessförpliktelsen gäller vad som föreskrivs i offentlighetslagen. Enligt 31 § 2 mom. i offentlighetslagen är sekretesstiden för en myndighetshandling 25 år, om inte något annat föreskrivs. Enligt 31 § 3 mom. kan en handling vara sekretessbelagd även efter dessa 25 år, om den innehåller uppgifter som är säkerhetsklassificerade enligt lagen om internationella förpliktelser som gäller informationssäkerhet och om lämnande av uppgifter ur handlingen fortfarande skulle orsaka en sådan följd som avses i 24 § 1 mom. 2, 7 och 8 eller 10 punkten. Enligt 31 § 3 mom. i offentlighetslagen blir dessa handlingar offentliga när säkerhetsklassificeringen har upphävts.
Tillämpning av lagen på näringsidkare
Lagen om internationella förpliktelser som gäller informationssäkerhet tillämpas förutom på myndigheter också på en näringsidkare och dennes anställda i sådana fall då näringsidkaren är part i ett säkerhetsklassificerat avtal eller deltar i ett upphandlingsförfarande innan ett sådant avtal ingås eller är underleverantör för en sådan näringsidkare (1 § 2 mom.).
Med ett säkerhetsklassificerat avtal avses ett avtal som en myndighet i en annan stat eller ett företag som har hemvist i den andra staten eller en internationell organisation eller ett internationellt organ, på det sätt som avses i en internationell förpliktelse som gäller informationssäkerhet, har för avsikt att ingå eller har ingått med en näringsidkare som har hemvist i Finland, om deltagande i ett anbudsförfarande eller fullgörande av ett avtal kan förutsätta tillgång till särskilt känsligt informationsmaterial (2 § 1 mom. 3 punkten).
En näringsidkare och den som är anställd av eller handlar på uppdrag av en näringsidkare har sekretessplikt i fråga om särskilt känsligt informationsmaterial, skyldighet att använda sådant material endast för angivet ändamål samt skyldighet att se till att endast personer som behöver informationen för skötsel av sina uppgifter har tillgång till materialet (6 §). För att uppfylla internationella förpliktelser som gäller informationssäkerhet är en näringsidkare också skyldig att lämna behöriga säkerhetsmyndigheter information samt att låta representanter för myndigheter, internationella organ och fördragsslutande stater bekanta sig med sina säkerhetsarrangemang och lokaler (16 § 2 mom. och 18 § 2 mom.).
Verkställande myndigheter
I 4 § i lagen om internationella förpliktelser som gäller informationssäkerhet finns bestämmelser om de myndigheter som ser till att de internationella förpliktelser som gäller informationssäkerhet uppfylls. Utrikesministeriet är Finlands nationella säkerhetsmyndighet (National Security Authority, NSA) vid uppfyllandet av internationella förpliktelser som gäller informationssäkerhet. Försvarsministeriet, huvudstaben, skyddspolisen och Transport- och kommunikationsverket är utsedda säkerhetsmyndigheter (Designated Security Authority, DSA).
Sekretessbeläggning och reglering av informationsanvändningen
Särskilt känsligt informationsmaterial ska sekretessbeläggas, om inte annat följer av en internationell förpliktelse som gäller informationssäkerhet (lagen om internationella förpliktelser som gäller informationssäkerhet, 6 § 1 mom.). Sekretessplikten gäller också näringsidkare som är parter i säkerhetsklassificerade kontrakt. I Finlands bilaterala överenskommelser om utbyte av sekretessbelagd information mellan olika länders myndigheter ingår i regel en bestämmelse som begränsar användningen av den utlämnade informationen. Enligt den bestämmelsen får särskilt känsligt informationsmaterial användas och överlåtas endast för angivet ändamål, om inte den som har klassificerat materialet samtycker till något annat. Användningen av särskilt känsligt informationsmaterial är alltså strikt ändamålsbunden.
Säkerhetsklassificering och säkerhetsåtgärder
I lagen om internationella förpliktelser som gäller informationssäkerhet föreskrivs om skyldigheten att förse särskilt känsligt informationsmaterial med en anteckning om säkerhetsklass. Anteckningen anger vilka åtgärder som ska vidtas vid hantering av materialet (8 §). Ju högre materialets säkerhetsklass är, desto strängare säkerhetsåtgärder krävs det. Lagen innehåller en allmän förpliktelse att tillämpa de bestämmelser om hantering av informationsmaterialet som materialets säkerhetsklass förutsätter samt ett bemyndigande att genom förordning av statsrådet föreskriva om säkerhetsåtgärder vid hantering av särskilt känsligt informationsmaterial som motsvarar de olika säkerhetsklasserna (9 §). I 4 § i statsrådets förordning om säkerhetsklassificering av handlingar inom statsförvaltningen (1101/2019), nedan
säkerhetsklassificeringsförordningen,
finns det bestämmelser om säkerhetsklassificeringens motsvarighet vid tillgodoseende av internationella förpliktelser som gäller informationssäkerheten.
Enligt 10 § i lagen om internationella förpliktelser som gäller informationssäkerhet ska särskilt känsligt informationsmaterial förvaras i utrymmen där det är möjligt att skydda handlingarna och materialen samt informationen i dem i enlighet med en internationell förpliktelse som gäller informationssäkerhet. Bestämmelser om kraven på säkerheten i sådana utrymmen finns i 9 och 10 § i säkerhetsklassificeringsförordningen.
Det allmänna kravet i internationella överenskommelser om att endast personer som behöver informationen för skötseln av sina uppgifter ska ges tillgång till den har skrivits in i lagen om internationella förpliktelser som gäller informationssäkerhet. Dessa personer ska namnges på förhand i de fall som den internationella förpliktelsen som gäller informationssäkerhet förutsätter (lagens 6 § 3 mom.). Detsamma gäller näringsidkare som avses 1 § 2 mom.
Skydd av personuppgifter
Enligt 17 § i lagen om internationella förpliktelser som gäller informationssäkerhet har finska myndigheter rätt att till en annan fördragsslutande part lämna ut handlingar och information som är nödvändiga för uppfyllandet av en internationell förpliktelse som gäller informationssäkerhet, trots vad som i finsk lagstiftning föreskrivs om sekretessbeläggning av handlingar och uppgifter. Detta gäller inte uppgifter som är sekretessbelagda på grund av skyddet för privatlivet. I 26 § i säkerhetsutredningslagen föreskrivs det om möjligheten att med stöd av ett internationellt avtal inhämta uppgifter ur register som förs av en utländsk myndighet, i 57 § i den lagen föreskrivs det om myndigheternas rätt att få information och i 59 § i den lagen om sekretess.
2.2
Säkerhetsutredningslagen
Lagens syfte och tillämpningsområde
Syftet med säkerhetsutredningslagen (726/2014) är att främja möjligheterna att förebygga verksamhet som kan medföra skada för statens säkerhet, försvaret, Finlands internationella förbindelser, den allmänna säkerheten eller något annat med dessa jämförbart allmänt intresse eller enskilda ekonomiska intressen av synnerligen stor betydelse eller säkerhetsarrangemang för skyddet av dessa intressen (1 §).
I lagen föreskrivs det om förfarandet vid genomförande av säkerhetsutredningar av person och av företag. Lagen innehåller bestämmelser om förutsättningarna för säkerhetsutredningar och om vilka uppgifter som ska användas för en säkerhetsutredning, samtycke av och rätt till information för den som utredningen gäller, uppgiftsskyldigheten för den som ansöker om säkerhetsutredning och den som utredningen gäller, giltigheten av säkerhetsutredningar och intyg över säkerhetsutredningar samt om återkallelse av intyg samt om samkörning av personregister för att kontrollera att den som utredningen gäller är oförvitlig och tillförlitlig och om de åtgärder som ska genomföras med anledning av samkörningen (2 §).
Eftersom integritetsskyddet har karaktären av en grundläggande rättighet är säkerhetsutredningsförfarandet strikt formbundet. En säkerhetsutredning kan göras endast om den som utredningen gäller på förhand har gett sitt skriftliga samtycke till detta (5 §).
Personalsäkerhet
Med säkerhetsutredning av person avses enligt 3 § 1 mom. 1 punkten i säkerhetsutredningslagen en sådan utredning av en fysisk persons bakgrund som görs i enlighet med den lagen för att säkerställa att han eller hon är oförvitlig eller tillförlitlig. Enligt 23 § i lagen görs en säkerhetsutredning av person genom att registeruppgifter om den personen kontrolleras på det sätt som föreskrivs i kapitlet samt vid behov genom att personen intervjuas om sin situation i allmänhet, vistelse utomlands och sina relationer till medborgare i andra länder samt om andra omständigheter som är av särskild betydelse för bedömningen av hans eller hennes tillförlitlighet med tanke på de arbetsuppgifter som utredningen görs för.
Enligt 14 § kan en säkerhetsutredning av person göras som en begränsad, en normal eller en omfattande säkerhetsutredning. Säkerhetsutredningar görs i de fall som anges i lagen, till exempel om ett fördrag eller någon annan internationell förpliktelse som är bindande för Finland förutsätter att en säkerhetsutredning ska göras eller att ett intyg över en utredning visas upp.
Var och en har rätt att få veta om det har gjorts en säkerhetsutredning om honom heller henne för något bestämt uppdrag. Den som utredningen gäller har rätt att av den behöriga myndigheten på begäran få de uppgifter som finns i utredningen. Denna rätt gäller emellertid inte om informationen har sitt ursprung i personregister som en registrerad enligt lag inte har rätt till insyn i (6 §).
I lagen finns också en uttömmande uppräkning över de register som får användas vid utredningsförfarandet. Informationskällorna för säkerhetsutredningar får också bygga på vissa uppgifter i register som förs av en myndighet i en annan stat (25 §).
Enligt 43 § 2 mom. i säkerhetsutredningslagen utfärdar den nationella säkerhetsmyndigheten i enlighet med lagen om internationella förpliktelser som gäller informationssäkerhet sådana intyg över säkerhetsutredning av person som behövs för att uppfylla internationella förpliktelser som gäller informationssäkerhet.
Företagssäkerhet
I 33 § i säkerhetsutredningslagen bestäms om rätten att ansöka om säkerhetsutredning av företag och i 36 § om förutsättningar för säkerhetsutredning av företag. I 37 § förtecknas informationskällorna vid säkerhetsutredning av företag och 38 § handlar om handläggning av säkerhetsutredningar av företag. Vid en säkerhetsutredning av företag ska det med hjälp av uppgifterna i ansökan och de informationskällor som avses i 37 § samt genom inspektion av företagets lokaler och dess informationssystem utredas hur företaget kan se till att information skyddas, obehörigt tillträde till lokalerna förhindras och personalen får utbildning (38 § 1 mom.). En säkerhetsutredning av företag får också genomföras partiellt, om det behövs för att uppfylla en internationell förpliktelse som gäller informationssäkerhet eller om det annars är befogat för att syftet med säkerhetsutredningen ska uppnås (38 § 3 mom.). Internationellt används tre former av säkerhetsutredningar av företag: 1) begränsad säkerhetsutredning av företag som inte inbegriper inspektion av företagets lokaler eller informationssystem ”FSC without safeguards”, 2) säkerhetsutredning av företag som inbegriper inspektion av lokalerna ”FSC with safeguards” och 3) säkerhetsutredning av företag som inbegriper inspektion av lokaler och informationssystem ”FSC with safeguards including Communications and Information Systems”.
Denna utredning görs enligt 9 § i säkerhetsutredningslagen av skyddspolisen. Det är dock huvudstaben som gör säkerhetsutredningen av ett företag när det är fråga om ett företag som sköter eller kommer att sköta ett uppdrag på förordnande av försvarsmakten eller om ett företag som hänför sig till upphandling inom försvarsmakten. Transport- och kommunikationsverket har hand om bedömningen av informationssäkerheten i informationssystem och datakommunikation.
Enligt 40 § i säkerhetsutredningslagen kan den behöriga myndigheten när den gör en säkerhetsutredning av företag och upprättar ett intyg över utredningen förutsätta att näringsidkaren förbinder sig att sörja för att informationssäkerhetsnivån bevaras och anmäla förändringar som inverkar på informationssäkerhetsnivån, samt att för övervakning av att informationssäkerhetsnivån bevaras ge myndigheten tillstånd att komma in i företagets lokaler och lämna uppgifter som behövs för kontrollen.
Enligt lagens 46 § 2 mom. utfärdar den nationella säkerhetsmyndigheten i enlighet med lagen om internationella förpliktelser som gäller informationssäkerhet sådana intyg över säkerhetsutredning av företag som behövs för att uppfylla internationella förpliktelser som gäller informationssäkerhet.
7
Bestämmelserna i överenskommelsen och deras förhållande till lagstiftningen i Finland
Artikel 1.Syfte.
I artikeln definieras att syftet med överenskommelsen är att fastställa regler och förfaranden för att säkerställa skyddet av säkerhetsklassificerad information som utbyts eller skapas i samarbetet mellan parterna. Överenskommelsen tillämpas inte på sådan information som utbyts mellan parterna som inte är säkerhetsklassificerad.
Artikel 2.Definitioner.
I artikeln definieras de begrepp som är centrala i tillämpningen av överenskommelsen på följande sätt:
I punkt a definieras säkerhetsklassificerad information. Enligt punkten avses med säkerhetsklassificerad information information, handlingar eller material i vilken form som helst som har säkerhetsklassificerats och försetts med en märkning om säkerhetsklass i enlighet med nationella lagar och bestämmelser, såväl som information, handlingar eller material som har skapats utifrån sådan säkerhetsklassificerad information och försetts med motsvarande märkning om säkerhetsklass. Denna punkt är i samklang med definitionen av särskilt känsligt informationsmaterial i 2 § 1 mom. 2 punkten i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt punkt b avses med säkerhetsklassificerat kontrakt ett kontrakt eller underleverantörskontrakt som innehåller eller som har anknytning till säkerhetsklassificerad information. Denna punkt är i samklang med 2 § 3 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt punkt c avses med utlämnande part den part som lämnar ut säkerhetsklassificerad information eller under vilken säkerhetsklassificerad information skapas.
Enligt punkt d avses med mottagande part den part eller en offentlig- eller privaträttslig juridisk eller fysisk person inom partens jurisdiktion till vilken den utlämnande parten lämnar ut säkerhetsklassificerad information.
Enligt punkt e avses med tredje part en sådan internationell organisation eller stat, inklusive juridiska och fysiska personer inom dess jurisdiktion, som inte är part i denna överenskommelse.
Enligt punkt f avses med behörig säkerhetsmyndighet en nationell säkerhetsmyndighet eller något annat behörigt organ, bemyndigat i enlighet med parternas nationella lagar och bestämmelser, som svarar för genomförandet av denna överenskommelse.
Enligt punkt g avses med kränkning av dataskyddet en gärning eller försummelse i strid med nationella lagar och bestämmelser som kan medföra att säkerhetsklassificerad information går förlorad eller äventyras,
Enligt punkt h avses med säkerhetsutredning ett positivt utfall av en prövning av lämpligheten hos en juridisk person (säkerhetsutredning av företag) eller en fysisk person (säkerhetsutredning av person) för tillgång till och hantering av säkerhetsklassificerad information på en bestämd nivå i enlighet med nationella lagar och bestämmelser.
Enligt punkt i avses med säkerhetsutredning av företag den behöriga säkerhetsmyndighetens bedömning om att en juridisk person har vidtagit lämpliga säkerhetsåtgärder och därför får hantera säkerhetsklassificerad information i enlighet med partens nationella lagar och bestämmelser.
Enligt punkt j avses med säkerhetsutredning av person ett tillstånd som baserat på nationella lagar och bestämmelser utfärdas av den behöriga säkerhetsmyndigheten och med stöd av vilket en fysisk person beviljas tillgång till säkerhetsklassificerad information.
Enligt punkt k avses med informationsbehov principen enligt vilken en fysisk person endast kan beviljas tillgång till säkerhetsklassificerad information i samband med personens officiella tjänsteutövning och uppgifter.
Enligt punkt l avses med kontraktspart en fysisk eller juridisk person som har rättskapacitet att ingå kontrakt.
Artikel 3.Behöriga säkerhetsmyndigheter
I punkt 1 anges parternas nationella säkerhetsmyndigheter (National Security Authority, NSA) som på ett allmänt plan ansvarar för genomförandet av överenskommelsen. Behörig säkerhetsmyndighet i Finland är enligt 4 § i lagen om internationella förpliktelser som gäller informationssäkerhet utrikesministeriet, där uppgiften sköts av Nationella säkerhetsmyndigheten (NSA). I Brasilien har Verket för institutionell säkerhet inom Brasiliens presidentförvaltning (The Institutional Security Cabinet of the Presidency of the Federative Republic of Brazil) utsetts till behörig säkerhetsmyndighet.
Enligt punkt 2 ska parterna underrätta varandra om eventuella andra behöriga säkerhetsmyndigheter som till olika delar ska ansvara för genomförandet av överenskommelsen.
Enligt punkt 3 ska parterna underrätta varandra om eventuella senare ändringar i de behöriga säkerhetsmyndigheterna.
Enligt punkt 4 ska parterna skriftligen ge varandra sina behöriga säkerhetsmyndigheters kontaktuppgifter. Parternas behöriga säkerhetsmyndigheter ska skriftligen underrätta varandra om ändringar i sina kontaktuppgifter.
Enligt punkt 5 kan de behöriga säkerhetsmyndigheterna, i enlighet med parternas gällande nationella lagar och bestämmelser, på begäran bistå varandra vid utförandet av säkerhetsutredning av företag eller av person.
Enligt punkt 6 ska den ena partens behöriga säkerhetsmyndighet på begäran av den andra partens behöriga säkerhetsmyndighet skriftligen bekräfta att en giltig säkerhetsutredning av person och/eller av företag har utfärdats.
Enligt punkt 7 ska parternas behöriga säkerhetsmyndigheter ömsesidigt erkänna säkerhetsutredningar av person och säkerhetsutredning av företag som den andra parten har beviljat i enlighet med partens nationella lagar och bestämmelser vid tillämpningen av överenskommelsen.
Artikel 4.Säkerhetsklasser.
I punkt 1 definieras hur Finlands och Brasiliens säkerhetsklasser motsvarar varandra. Den högsta säkerhetsklassen, som kräver de strängaste informationssäkerhetsåtgärderna, är ”ERITTÄIN SALAINEN / YTTERST HEMLIG" (ULTRASECRETO). Till denna kategori räknas i Finland information som, om den obehörigen röjs eller obehörigen används, kan orsaka särskilt påtaglig skada för försvaret, beredskapen inför undantagsförhållanden, internationella relationer, brottsbekämpningen, den allmänna säkerheten, en fungerande stats- och samhällsekonomi eller på något annat jämförbart sätt skada för Finlands säkerhet. Den näst högsta säkerhetsklassen är ”SALAINEN/HEMLIG” (SECRETO). Hit hör i Finland information som, om den obehörigen röjs eller obehörigen används, kan orsaka betydande skada för försvaret, beredskapen inför undantagsförhållanden, internationella relationer, brottsbekämpningen, den allmänna säkerheten, en fungerande stats- och samhällsekonomi eller på något annat jämförbart sätt skada för Finlands säkerhet. Den tredje högsta säkerhetsklassen är ”LUOTTAMUKSELLINEN / KONFIDENTIELL” (SECRETO). Med den avses i Finland information som, om den obehörigen röjs eller obehörigen används, kan orsaka skada för försvaret, beredskapen inför undantagsförhållanden, internationella relationer, brottsbekämpningen, den allmänna säkerheten, en fungerande stats- och samhällsekonomi eller på något annat jämförbart sätt skada för Finlands säkerhet. Eftersom Brasilien har tre nivåer av säkerhetsklasser och det inte finns någon motsvarighet till säkerhetsklassen ”KONFIDENTIELL”, behandlas information i Finlands säkerhetsklass ”KONFIDENTIELL” på samma sätt som information i Brasiliens säkerhetsklass ”SECRETO”. Till den fjärde säkerhetsklassen ”KÄYTTÖ RAJOITETTU / BEGRÄNSAD TILLGÅNG” (RESERVADO) hör information som, om den obehörigen röjs eller obehörigen används, kan orsaka lindrig skada för försvaret, beredskapen inför undantagsförhållanden, internationella relationer, brottsbekämpningen, den allmänna säkerheten, en fungerande stats- och samhällsekonomi eller på något annat jämförbart sätt skada för Finlands säkerhet. Säkerhetsklassen ”KONFIDENTIELL” finns inte i Brasilien. Information i säkerhetsklassen ”RESERVADO” kan inkludera information motsvarande Finlands säkerhetsklasser ”KONFIDENTIELL” och ”BEGRÄNSAD TILLGÅNG”. Av denna anledning behandlas information i Brasiliens säkerhetsklass ”RESERVADO” i Finland på samma sätt som information i säkerhetsklassen ”KONFIDENTIELL”. På motsvarande sätt behandlas information i Finlands säkerhetsklass ”KONFIDENTIELL” i Brasiliens på samma sätt som information i säkerhetsklassen ”SECRETO”.
Finlands internationella relationer skyddas i 24 § 1 mom. 1 och 2 punkten i offentlighetslagen, försvaret i 10 punkten och säkerheten i 5, 8 och 9 punkten i samma moment. Andra allmänna intressen som avses i offentlighetslagen kan t.ex. vara skyddet av säkerhetsarrangemangen för statsledningen och statsbesök och för datasystem (24 § 1 mom. 7 punkten) samt samhällsekonomin (24 § 1 mom. 11 och 12 punkten). Allmänt tillämpliga bestämmelser om sekretess- och klassificeringsanteckningar i myndighetshandlingar ingår i 25 § i offentlighetslagen. Enligt 25 § 3 mom. finns bestämmelser om anteckning av säkerhetsklass i lagen om informationshantering inom den offentliga förvaltningen.
Enligt 18 § 1 mom. i lagen om informationshantering inom den offentliga förvaltningen ska myndigheter vid statliga ämbetsverk och inrättningar, domstolar och nämnder som har inrättats för att behandla besvärsärenden säkerhetsklassificera handlingar och förse dem med anteckning om säkerhetsklass som visar vilket slag av informationssäkerhetsåtgärder som ska vidtas vid behandlingen av dem. Anteckningen om säkerhetsklass ska göras om handlingen eller informationen i den är sekretessbelagd enligt 24 § 1 mom. 2, 5 eller 7–11 punkten i offentlighetslagen och om obehörigt röjande eller obehörig användning av handlingen kan orsaka skada för försvaret, beredskapen inför undantagsförhållanden, internationella relationer, brottsbekämpningen, den allmänna säkerheten, en fungerande stats- och samhällsekonomi eller på något annat jämförbart sätt skada för Finlands säkerhet. Enligt 18 § 2 mom. i informationshanteringslagen får en handling inte förses med en anteckning om säkerhetsklass i andra fall än sådana som avses i 1 mom., om anteckningen inte behövs för att fullgöra en internationell förpliktelse som gäller informationssäkerhet eller om handlingen annars har samband med internationellt samarbete.
Enligt 18 § 3 mom. i informationshanteringslagen ska sådana handlingar som avses i lagen om internationella förpliktelser som gäller informationssäkerhet förses med anteckning om säkerhetsklass så som föreskrivs i den lagen. Enligt 8 § i lagen om internationella förpliktelser som gäller informationssäkerhet ska särskilt känsligt informationsmaterial oberoende av vad som föreskrivs i lagen om informationshantering inom den offentliga förvaltningen eller med stöd av den förses med en sådan märkning om säkerhetsklass som anges i en internationell förpliktelse som gäller informationssäkerhet och som anger vilka säkerhetskrav som ska iakttas vid hanteringen av materialet. Enligt 18 § 4 mom. i informationshanteringslagen finns det bestämmelser om säkerhetsklassificering, anteckningar i säkerhetsklassificerade handlingar och informationssäkerhetsåtgärder som anknyter till behandlingen av säkerhetsklassificerade handlingar i statsrådets förordning om säkerhetsklassificering av handlingar inom statsförvaltningen.
Specialbestämmelser om säkerhetsklassificering och märkning av säkerhetsklass finns i 3 § i säkerhetsklassificeringsförordningen och om säkerhetsklassificeringens motsvarighet vid tillgodoseende av internationella förpliktelser som gäller informationssäkerheten i förordningens 4 §. Specialbestämmelser om säkerhetsklassificeringsmärkning på svenska finns i förordningens 3 § 3 mom.
Enligt punkt 2 ska den utlämnande parten säkerställa att all säkerhetsklassificerad information som lämnas ut eller skapas i enlighet med överenskommelsen förses med den utlämnande partens märkning om säkerhetsklass i enlighet med partens nationella lagar och bestämmelser och på det sätt som anges i punkt 1.
Enligt punkt 3 ska den mottagande parten förse all sådan säkerhetsklassificerad information som avses i överenskommelsen och som den tar emot av den utlämnande parten med motsvarande märkning om säkerhetsklass enligt punkt 1. Den utlämnande partens säkerhetsklass ska anges först, så att den lämpliga motsvarande säkerhetsklassen kan fastställas.
Enligt punkt 4 ska parterna underrätta varandra om eventuella förändringar och senare ändringar i säkerhetsklassen för den säkerhetsklassificerade informationen.
Enligt punkt 5 får den mottagande parten inte ändra eller upphäva säkerhetsklassificeringen av sådan säkerhetsklassificerad information som mottagits eller skapats i enlighet med överenskommelsen utan den utlämnande partens skriftliga förhandssamtycke.
Enligt punkt 6 ska säkerhetsklassificerad information som härrör från båda parterna gemensamt tilldelas en säkerhetsklass som parterna bestämmer sinsemellan.
Artikel 5.Skydd av säkerhetsklassificerad information.
Artikeln innehåller de viktigaste förpliktelserna i fråga om ömsesidigt skydd.
Enligt punkt 1 ska parterna vidta alla relevanta åtgärder i enlighet med sina nationella lagar och bestämmelser för att skydda sådan säkerhetsklassificerad information som avses i överenskommelsen. Parterna ska enligt samma punkt ge denna information åtminstone samma skyddsnivå som egen information i motsvarande säkerhetsklass.
Enligt punkt 2 får parterna inte ge tredje parter tillgång till säkerhetsklassificerad information utan den utlämnande partens skriftliga förhandssamtycke. Denna punkt förpliktar parterna att följa principen om utlämnarens samtycke.
Enligt punkt 3 ska tillgång till säkerhetsklassificerad information beviljas endast fysiska personer som har ett informationsbehov och som har säkerhetsklarerats i enlighet med nationella lagar och bestämmelser och som instruerats om sitt ansvar i skyddet av säkerhetsklassificerad information.
Enligt punkt 4 förutsätter inte tillgång till information i den finska partens säkerhetsklass KÄYTTÖ RAJOITETTU / BEGRÄNSAD TILLGÅNG säkerhetsutredning av person.
Enligt punkt 5 får säkerhetsklassificerad information endast användas för det ändamål för vilket den har lämnats ut. En bestämmelse som motsvarar denna förpliktelse finns i 6 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet.
Bestämmelserna i artikeln är i samklang med Finlands gällande lagstiftning om skydd av säkerhetsklassificerad information.
Artikel 6. Säkerhetsklassificerade kontrakt.
Artikeln innehåller bestämmelser om ingående av sådana säkerhetsklassificerade kontrakt inom någondera partens territorium som avses i artikel 2 led b.
Enligt punkt 1 ska den mottagande partens behöriga säkerhetsmyndighet på begäran meddela den utlämnande partens behöriga säkerhetsmyndighet huruvida en lämplig säkerhetsutredning motsvarande den säkerhetsklass som krävs har beviljats i fråga om en föreslagen kontraktspart som deltar i förhandlingar som föregår säkerhetsklassificerade kontrakt eller i genomförandet av ett sådant kontrakt. Om kontraktsparten inte har en sådan säkerhetsutredning, får den utlämnande partens behöriga säkerhetsmyndighet be den mottagande partens behöriga säkerhetsmyndighet säkerhetsklarera kontraktsparten. Enligt 12 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet tillämpas 53–55 § i säkerhetsutredningslagen i fråga om giltighet för och återkallelse av ett intyg över säkerhetsutredning av företag som den nationella säkerhetsmyndigheten utfärdat.
Enligt artikel 6.2 får den mottagande partens behöriga säkerhetsmyndighet vid öppna anbudsförfaranden utan formell begäran överlämna de relevanta intygen över säkerhetsutredningar av företag till den utlämnande partens behöriga säkerhetsmyndighet.
Enligt punkt 3 förutsätter säkerhetsklassificerade kontrakt i den finska partens säkerhetsklass KÄYTTÖ RAJOITETTU / BEGRÄNSAD TILLGÅNG inte säkerhetsutredning av företag.
Enligt punkt 4 ska ett säkerhetsklassificerat kontrakt, för att säkerheten ska kunna övervakas och kontrolleras i tillräcklig utsträckning, innehålla anvisningar om säkerhetsklassificering och tillämpliga säkerhetsföreskrifter i enlighet med bilaga 1. En kopia av säkerhetsföreskrifterna ska skickas till den partens behöriga säkerhetsmyndighet inom vars jurisdiktion det säkerhetsklassificerade kontraktet ska genomföras.
Enligt punkt 5 får representanter för parternas behöriga säkerhetsmyndigheter besöka varandra för att bedöma effekten av de åtgärder som en kontraktspart har vidtagit för att skydda säkerhetsklassificerad information med anknytning till ett säkerhetsklassificerat kontrakt. Bestämmelsen har också samband med artikel 10.2 i överenskommelsen där det bestäms om besök av parternas säkerhetsmyndigheter.
De nationella bestämmelserna om säkerhetsklassificerade kontrakt finns i lagen om internationella förpliktelser som gäller informationssäkerhet i 1 § 2 mom. (tillämpning på näringsidkare), 2 § 2 punkten (särskilt känsligt informationsmaterial), 2 § 3 punkten (säkerhetsklassificerat avtal), 6 § (sekretess och användning av information), 7 § (tystnadsplikt och förbud mot utnyttjande), 10 § (säkerhetskrav som gäller utrymmen), 12 § (intyg över säkerhetsutredning av företag, dess giltighet och återkallelse), 14 § (anteckning av uppgifter om intyg i registret över säkerhetsutredningar), 16 § (informationsskyldighet) och i 18 § 2 mom. (besök av representanter för internationella organ och för fördragsslutande stater). I 18 § 2 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet föreskrivs om skyldigheten för företag att tillåta att representanter för myndigheter, internationella organ och fördragsslutande stater bekantar sig med deras säkerhetsarrangemang och verksamhetsutrymmen, när det är nödvändigt för att uppfylla en internationell förpliktelse som gäller informationssäkerhet. I 40 § i säkerhetsutredningslagen föreskrivs att dessa företag ska ge den behöriga myndigheten en förbindelse om att de bevarar sin informationssäkerhetsnivå och ger myndigheten tillstånd att komma in i sina lokaler för att övervaka att säkerhetsnivån bevaras. Överenskommelsens förpliktelser enligt artikeln motsvarar kraven i den nationella lagstiftningen.
Artikel 7.Förmedling av säkerhetsklassificerad information.
Artikeln innehåller bestämmelser om hur parterna ska förmedla säkerhetsklassificerad information till varandra i elektronisk och i icke-elektronisk form.
Enligt punkt 1 ska den utlämnande parten och den mottagande parten förmedla säkerhetsklassificerad information till varandra genom mellanstatliga kanaler eller på något annat sätt som avtalas mellan deras behöriga säkerhetsmyndigheter.
Enligt punkt 2 ska den utlämnande parten och den mottagande parten förmedla säkerhetsklassificerad information till varandra på elektronisk väg endast på ett sådant säkert sätt som har avtalats mellan de behöriga säkerhetsmyndigheterna.
Bestämmelserna i artikeln är i samklang med säkerhetsklassificeringsförordningens 13 § om transport av en handling, informationshanteringslagens 14 § om informationsöverföring i datanät och säkerhetsklassificeringsförordningens 12 § om överföring av en handling via datanätet.
Artikel 8.Översättning, kopiering och utplåning av säkerhetsklassificerad information.
Enligt punkt 1 ska alla översättningar och kopior av säkerhetsklassificerad information förses en lämplig märkning om säkerhetsklass och skyddas på samma sätt som den ursprungliga säkerhetsklassificerade informationen. Enligt samma punkt ska översättningarna och antalet kopior begränsas till det minimum det officiella syftet kräver.
Enligt punkt 2 ska alla översättningar förses med en tillämplig anteckning på det översatta språket om att de innehåller säkerhetsklassificerad information från den utlämnande parten.
Enligt punkt 3 får information i säkerhetsklass ERITTÄIN SALAINEN / YTTERST HEMLIG eller ULTRASECRETO översättas eller kopieras endast med skriftligt samtycke av den utlämnande parten.
Enligt punkt 4 ska information i säkerhetsklass ERITTÄIN SALAINEN / YTTERST HEMLIG eller ULTRASECRETO återlämnas till den utlämnande parten, om inte annat avtalas.
Enligt punkt 5 ska information i säkerhetsklass SALAINEN / HEMLIG eller SECRETO eller lägre utplånas när den mottagande parten anser att den inte längre behövs, i enlighet med den mottagande partens nationella lagar och bestämmelser.
Enligt punkt 6 ska säkerhetsklassificerad information som har lämnats ut i enlighet med överenskommelsen omedelbart utplånas, om en krissituation gör det omöjligt att skydda informationen. Den mottagande parten ska så snart som möjligt underrätta den utlämnande partens behöriga säkerhetsmyndighet om att den säkerhetsklassificerade informationen har utplånats.
Bestämmelser om skyldigheten att se till att särskilt känsligt informationsmaterial skyddas på ett sätt som motsvarar säkerhetsklassen när sådant material produceras, kopieras, översänds, distribueras, lagras, utplånas eller i något annat avseende hanteras finns i 9 § 1 mom. i lagen om internationella förpliktelser som gäller informationssäkerhet. De närmare bestämmelserna om hanteringen regleras i Finland på förordningsnivå.
Artikel 9.Besök.
Enligt punkt 1 krävs det för besök som inbegriper tillgång till säkerhetsklassificerad information i säkerhetsklass LUOTTAMUKSELLINEN / KONFIDENTIELL eller RESERVADO eller högre skriftligt förhandstillstånd av värdpartens behöriga säkerhetsmyndighet. Enligt punkt 1 led a–b ska besökare få tillgång till säkerhetsklassificerad information endast, om den behöriga säkerhetsmyndigheten hos den part som sänder besökare har gett dem tillstånd till det begärda besöket eller de begärda besöken, och de har blivit beviljade en lämplig säkerhetsutredning av person.
Enligt punkt 2 ska den berörda behöriga säkerhetsmyndigheten hos den part som föreslår besöket underrätta värdpartens berörda behöriga säkerhetsmyndighet om det planerade besöket och se till att den myndigheten får besöksbegäran minst 14 dagar före tidpunkten för besöket. I brådskande fall kan de behöriga säkerhetsmyndigheterna komma överens om en kortare tidsfrist. Besöksbegäran ska innehålla de uppgifter som anges i bilaga 2 till överenskommelsen.
Enligt punkt 3 ska tillstånd för upprepade besök gälla i högst 12 månader.
Artikel 10. Säkerhetssamarbete.
Artikeln innehåller en bestämmelse om säkerhetssamarbetet mellan de behöriga säkerhetsmyndigheterna.
Enligt punkt 1 ska de nationella säkerhetsmyndigheterna i syfte att genomföra överenskommelsen underrätta varandra om sina tillämpliga nationella lagar och bestämmelser som gäller skyddet av säkerhetsklassificerad information och om eventuella senare ändringar i dem.
Enligt punkt 2 ska de behöriga säkerhetsmyndigheterna samråda sinsemellan i syfte att säkerställa ett nära samarbete vid genomförandet av överenskommelsen och på begäran informera varandra om sina nationella säkerhetsnormer, förfaranden och praxis för skyddet av säkerhetsklassificerad information. För detta ändamål kan de behöriga säkerhetsmyndigheterna besöka varandra. Bestämmelser om besök finns i 18 § i lagen om internationella förpliktelser som gäller informationssäkerhet.
Enligt artikel 10.3 ska de behöriga säkerhetsmyndigheterna i enlighet med nationella lagar och bestämmelser på begäran bistå varandra vid säkerhetsutredningsförfaranden. Enligt 26 § 2 mom. 1 punkten i säkerhetsutredningslagen kan den behöriga myndighet som gör en säkerhetsutredning på tjänstens vägnar i enlighet med internationella avtal eller rättsregler från en utländsk myndighet inhämta en utredning som motsvarar de uppgifter som avses i 25 § 1 mom. 1−3 punkten och under vissa förutsättningar 4 punkten i säkerhetsutredningslagen. Avtalsförpliktelsen enligt denna punkt motsvarar kraven i den nationella lagstiftningen.
Enligt punkt 4 ska de behöriga säkerhetsmyndigheterna utan dröjsmål underrätta varandra om ändringar i aktuella intyg över säkerhetsutredning av personer och företag.
Artikel 11.Kränkning av dataskyddet.
Enligt punkt 1 ska vardera parten utan dröjsmål underrätta den andra parten om misstänkta eller upptäckta kränkningar av dataskyddet som rör säkerhetsklassificerad information.
Enligt punkt 2 ska den part som har jurisdiktion utan dröjsmål undersöka fallet. Den andra parten ska vid behov samarbeta i undersökningen.
Enligt punkt 3 ska den part som har jurisdiktion vidta alla möjliga tillämpliga åtgärder i enlighet med sina nationella lagar och bestämmelser för att begränsa följderna av en kränkning av dataskyddet och för att förebygga ytterligare kränkningar. Den andra parten ska informeras om utfallet av utredningen och om vidtagna åtgärder.
Bestämmelser som rör förpliktelserna i artikeln ingår i 19 § i lagen om internationella förpliktelser som gäller informationssäkerhet.
Artikel 12. Kostnader.
Enligt artikeln ska vardera parten bära sina egna kostnader för fullföljandet av förpliktelserna enligt överenskommelsen.
Artikel 13.Tvistlösning.
Enligt artikeln ska tvister mellan parterna om tolkning eller tillämpning av överenskommelsen avgöras i godo i samråd mellan parterna.
Artikel 14.Slutbestämmelser.
Artikeln innehåller bestämmelser om ikraftträdande, ändring, uppsägning, förpliktelser till följd av uppsägning och om deponering av överenskommelsen för registrering hos Förenta nationernas sekretariat i överensstämmelse med artikel 102 i Förenta nationernas stadga. Enligt artikeln gäller överenskommelsen tills vidare. Överenskommelsen kan ändras efter gemensamt skriftligt samtycke av parterna. En part får säga upp överenskommelsen genom skriftlig underrättelse till den andra parten via diplomatiska kanaler med iakttagande av en uppsägningstid på sex (6) månader. Om överenskommelsen sägs upp med stöd av artikeln i fråga, ska säkerhetsklassificerad information som redan har tillhandahållits eller som uppkommer genom överenskommelsen hanteras i enlighet med överenskommelsens bestämmelser så länge det behövs för att skydda informationen.