2.1.1  Transport- och kommunikationsverket

I 2 § i lagen om transport- och kommunikationsverket (935/2018) finns bestämmelser om transport- och kommunikationsverkets allmänna uppgifter. Transport- och kommunikationsverket har bland annat till uppgift att främja trafik- och kommunikationssäkerheten samt den tekniska utvecklingen och störningsfriheten inom detta område samt sköta sådana uppgifter inom trafik, transport och elektronisk kommunikation som gäller reglering, tillstånd, godkännanden, register och tillsyn som avser verksamhetsområdet. Dessutom har verket till uppgift att nom den egna verksamheten sörja för beredskapen för störningssituationer under normala förhållanden och för undantagsförhållanden, främja och övervaka funktionssäkerheten i den elektroniska kommunikationen samt inom sitt verksamhetsområde stödja samhällets allmänna beredskap för störningssituationer under normala förhållanden och för undantagsförhållanden. 

I 3 § i lagen om transport- och kommunikationsverket finns bestämmelser om transport- och kommunikationsverket Cybersäkerhetscenters uppgifter. Cybersäkerhetscentret har till uppgift att stödja, styra och övervaka informationssäkerheten och tillgodoseendet av integritetsskyddet vid elektronisk kommunikation, upprätthålla en lägesbild över den nationella cybersäkerheten samt främja och säkerställa informationssäkerheten i informationssystem och datakommunikation Cybersäkerhetscentret sörjer för kommunikationsbranschens beredskap för störningssituationer under normala förhållanden och för undantagsförhållanden, främja och övervaka funktionssäkerheten i den elektroniska kommunikationen samt inom sitt verksamhetsområde stödja samhällets allmänna beredskap för störningssituationer under normala förhållanden och för undantagsförhållanden. Cybersäkerhetscentret är nationell NIS-samordningspunkt mellan olika myndigheter. 

Det finns bestämmelser om transport- och kommunikationsverkets särskilda uppgifter i 304 § i lagen om tjänster inom elektronisk kommunikation (917/2014, nedan SVPL). Enligt punkterna 1, 7, 9 och 10 i 1 mom. i bestämmelsen har transport- och kommunikationsverket till uppgift att främja den elektroniska kommunikationens funktion, störningsfrihet och trygghet, samt att samla in information om kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster, mervärdestjänster och informationssystem samt om fel och störningar i kommunikationsnät och kommunikationstjänster. Till de särskilda uppgifterna hör dessutom att utreda orsakerna till störningar av radiokommunikation samt till störningar som en radioutrustning eller teleterminalutrustning orsakar kommunikationsnät, radioutrustningar, teleterminalutrustningar eller elanläggningar. Dessutom har transport- och kommunikationsverket till uppgift att utreda kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster, mervärdestjänster och informationssystem. 

2.1.2  Polisen

Polisens uppgift är enligt 1 kap. 1 § i polislagen (872/2011) att trygga rätts- och samhällsordningen, skydda den nationella säkerheten, upprätthålla allmän ordning och säkerhet samt att förebygga, avslöja och utreda brott och föra brott till åtalsprövning. Desssutom, ska polisen sköta andra uppgifter som uttryckligen föreskrivs i lag samt inom ramen för sina uppgifter ge var och en den hjälp som han eller hon behöver. Polisen utreder brott i datakommunikationsnät och strävar efter att med den information den fått förebygga eventuella kommande brott Polisen upprätthäller den nationella lägesbilden över datakommunikationsbrott. 

2.1.3  Skyddspolisen

Skyddspolisens uppgift är att på förhand förebygga och bekämpa de allra allvarligaste hoten gentemot den nationella säkerheten, såsom terrorism och främmande staters olagliga underrättelseverksamhet mot Finland. Den har till uppgift att observera, förhindra och avslöja sådana åtgärder, projekt och brott som kan vara ett hot mot stats- och samhällsordningen eller Finlands inre eller yttre säkerhet. Skyddspolisen sköter enligt 1 § i 5 a kap. i polislagen inhämtande av information. dvs. civil underrättelseinhämtning, bland annat för att utreda bakgrunden till och motiven för cyberattacker på nätet för att skydda den nationella säkerheten, stödja den högsta statsledningens beslutsfattande och för att andra myndigheter ska kunna utföra de lagstadgade uppgifter. 

2.1.4  Försvarsmakten

Försvarsmakten har enligt 2 § i lagen om Försvarsmakten (551/2007) bland annat till uppgift att övervaka landområdena, vattenområdena och luftrummet samt trygga den territoriella integriteten. Försvarsmaktens uppgift är ytterligare att trygga befolkningens livsbetingelser, de grundläggande fri- och rättigheterna och statsledningens handlingsfrihet samt försvaret av den lagliga samhällsordningen, Dessutom är dess uppgift att stödja andra myndigheter, vilket innefattar handräckning för upprätthållande av allmän ordning och säkerhet, för förhindrande och avbrytande av terroristbrott och andra brott som orsakar allvarlig fara för människors liv eller hälsa samt för skyddande av samhället i övrigt. Försvarsmakten ansvarar för Finlands militära cyberförsvar som en del av den nationella cybersäkerheten. Försvarsmakten är skyldig att avvärja datanätsunderrättelse verksamhet som riktar sig mot landets försvar och försvarssystem samt cyberangrepp särskilt då det är fråga om en statlig aktör.  

I lagen om militär underrättelseverksamhet (590/2019, nedan militärunderrättelselagen) föreskrivs om Försvarsmaktens underrättelseverksamhet (militärunderrättelse), vars syfte är att till stöd för den högsta statsledningens beslutsfattande inhämta och behandla information om militär verksamhet som riktar sig mot Finland eller som är av betydelse med tanke på Finlands säkerhetsmiljö, inhämta och behandla information till stöd för den högsta statsledningens beslutsfattande om en främmande stats verksamhet eller någon annan sådan verksamhet som allvarligt hotar det finska försvaret eller som äventyrar samhällets vitala funktioner. 

Ï lagen om militär disciplin och brottsbekämpning inom försvarsmakten (255/2014) föreskrivs om Försvarsmaktens brottsbekämpning, som omfattar förebyggande och avslöjande av brott samt utredning av sådana brott som omfattas av ett militärdisciplinförfarande. I lagens 9 kap. föreskrivs om uppgifter som gäller förebyggande och avslöjande av brott Till dem hör förebyggande och avslöjande av brott som anknyter till underrättelseverksamhet som riktar sig mot Finland på det militära försvarets område och till sådan verksamhet som äventyrar syftet med det militära försvaret. Det kan inom landförsvaret vara fråga om exempelvis sådana projekt eller brott som kan hota stats- eller samhällsordningen eller Finlands yttre eller inre säkerhet, såsom landsförräderi. högförräderi, spionage eller olovlig underrättelseverksamhet. 

2.1.5  Andra centrala myndigheter

Statens center för informations- och kommunikationsteknik Valtori, nedan Valtori) har till uppgift att med stöd av lagen om anordnande av statens gemensamma informations- och kommunikationstekniska tjänster (1226/2013) producera statens gemensamma grundläggande datatekniktjänster samt gemensamma datatekniktjänster som statens verk och inrättningar i princip är skyldiga att använda. Valtoris skyldighet är att se till att verksamheten och produktionen av tjänster fortsätter så störningsfritt som möjligt i störningssituationer i normala förhållanden och i undantagsförhållanden.  

I lagen om verksamheten i den offentliga förvaltningens säkerhetsnät (10/2015, nedan TUVE-lagen) föreskrivs om säkerhetsnätsverksamheten. Säkerhetsnätet är ett myndighetsnät som ägs och förvaltas av staten. Till det hör ett kommunikationsnät och med det direkt sammanhörande lokaler för anläggningar och anläggningar samt gemensamma informations- och kommunikationstekniska tjänster. Säkerhetsnätet uppfyller kraven på hög beredskap och hög säkerhet i enlighet med vad som särskilt föreskrivs i lag eller bestäms med stöd av lag. Säkerhetsnätet möjliggör daglig verksamhet både för den operativa verksamheten och för de administrativa uppgifterna. Säkerhetsnätets nät- och infrastrukturtjänster produceras av Suomen Turvallisuusverkko Oy (STUVE), som också levererar det i TUVE-lagen avsedda myndighetsradionätet samt myndigheternas tidskritiska mobilkommunikation via bredband. Valtori producerar säkerhetsnätets övriga informations- och kommunikationstekniska tjänster samt integrationstjänster. Den som tillhandahåller nät- och infrastrukturtjänster i säkerhetsnätet ska enligt TUVE-lagen inom sitt uppgiftsområde svara för att de krav på säkerhet, aktionsberedskap, annan beredskap och kontinuitet som gäller säkerhetsnätet uppfylls under normala förhållanden och vid störningar under normala förhållanden samt under undantagsförhållanden. Säkerhetsnätets tjänster är centrala med tanke på förmedlingen av information som utbyts mellan myndigheterna också i störningssituationer vid kränkningar av informationssäkerheten.  

Övervakningen av kränkningar av informationssäkerheten enligt NIS-direktivet sköts nationellt av flera olika sektormyndigheter. Tillsynsmyndigheter enligt gällande NIS-direktiv är i fråga om trafik (luftfart, sjöfart, vägtrafik, spårtrafik) och digital infrastruktur samt digitala tjänster Transport- och kommunikationsverket, i fråga om energisektorn Energiverket, i fråga om hälso- och sjukvårdssektorn Valvira, i fråga om finanssektorn Finansinspektionen och vattenförsörjningen NTM-centralen samt jord- och skogsbruks-ministeriet. Varje NIS-myndighet svarar för emottagandet av anmälningar om betydande kränkningar av informationssäkerheten inom sitt verksamhetsområde. Beroende på anmälningssättet går dessa anmälningar inte automatiskt till Cybersäkerhetscentret utan en separat anmälan.  

Enligt 12 § 7 punkten i reglementet för statsrådet (262/2003) hör till statsrådets kanslis ansvarsområde statsrådets gemensamma lägesbild, beredskap och säkerhet och den allmänna samordningen av hanteringen av störningssituationer. I lagen föreskrivs om statsrådets lägescentrals uppgifter. Enligt 1 § i lagen om statsrådets lägescentral (300/2017) är lägescentralens uppgift att för att stödja republikens presidents och statsrådets beslutsfattande och verksamhet samla in och analysera information om säkerhetssituationen och sådana störningar och hot om störningar som äventyrar samhällets vitala funktioner, sköta och koordinera förvaltningsövergripande uppgifter som hänför sig till upprätthållande, sammanställande, samordnande och förmedlande av lägesbilden samt sprida den samordnade informationen till presidenten, statsrådet och andra myndigheter. Dessutom föreskrivs i lagen att ministerierna samt ämbetsverken och inrättningarna inom deras förvaltningsområde ska informera statsrådets lägescentral om olyckor, farosituationer, exceptionella händelser och andra motsvarande störningar till lägescentralen samt om lägescentralens rätt att få information och om överlåtande av sekretessbelagd information.  

Statsrådets lägescentral producerar i realtid information om säkerhetsincidenter och en lägesbild som sammanställts av de behöriga myndigheternas information. Lägescentralen kombinerar information från olika myndigheter och öppna källor och rapporterat utgående från dem till statsledningen och olika myndigheter. I detta ingår också sammanställandet av en lägesbild över cybersäkerheten. 

2.1.6  Utvärdering av myndigheternas uppgifter

På basis av det som beskrivits ovan kan konstateras att det finns flera myndigheter som verkar inom cybersäkerheten och att uppgifterna i någon mån är överlappande. I flera myndigheters verksamhet ingår exempelvis funktioner som gäller utredning av kränkningar av informationssäkerheten, men på grund av uppgifterna skiljer sig målet och syftet med utredningarna från varandra. Transport- och kommunikationsverkets syfte är att utreda kränkningar av informationssäkerheten särskilt från teknisk synpunkt, på så sätt trygga kommunikationens konfidentialitet och också förebygga nya intrång. Polisens intresse av att utreda kränkningar av informationssäkerheten ansluter sig till förebyggande av brott och å andra sidan ställa dem som begått brott inför straffrättsligt ansvar. Skyddspolisens intresse för utredningen gäller i större skala tryggande av den nationella säkerheten och bildandet av en hotbild exempelvis mot statliga aktörer. Försvarsmakten syftar igen genom att utreda brott till att trygga funktioner som hör till landets försvar. Den militära underrättelseverksamhetens mål är att utreda vem som står bakom cyberstörningar särskilt då det är fråga om militär verksamhet samt om vilka intentioner den aktör som står bakom dem har. Metoderna för att utreda cyberstörningar är i stort sett desamma oberoende av myndighet. Den kompetens som behövs för detta finnas således hos flera myndigheter. Endast verksamhetens mål och syfte varierar.  

En annan uppgift där myndigheternas uppgifter delvis sammanfaller är upprätthållandet av olika lägesbilder. Till Transport- och kommunikationsverkets uppgifter hör att upprätthålla en nationell lägesbild över cybersäkerheten. Skyddspolisen stöder för sin del denna uppgift genom att producera information för upprätthållandet av lägesbilden. Å andra sidan är Skyddspolisens uppgift också att producera annan information exempelvis som stöd för den högsta statsledningens beslutsfattande. Försvarsmaktens militärunderrättelseverksamhet har motsvarande uppgift när det gäller den militära verksamheten. Polisen upprätthåller en lägesbild över cyberbrottsligheten. De uppgifter som gäller lägesbilden för olika sektorer ansluter sig också till tillsynsmyndigheternas uppgifter inom olika NIS-sektorer. De har till uppgift att allmänt övervaka en viss sektors verksamhet, inklusive de kränkningar av informationssäkerheten som riktar sig mot dem. Valtori svarar för sin del för att den offentliga sektorns system fungerar och följer med deras verksamhet. Den samordnande aktören för de olika lägesbildsinformation är statsrådets lägescentral, vars uppgift är att samla och analysera information om säkerhetsläget och störningar samt hot, som äventyrar samhällets vitala funktioner. Lägescentralen förmedlar informationen vidare för den högst statsledningens beslutsfattande.  

I uppgifterna finns enligt det ovan anförda många likheter och i centrum för dessa upp-gifter finns information, som är grund för de åtgärder som myndigheterna vidtar. Myndigheterna har på grund av sina uppgifters karaktär olika metoder för att skaffa information för att sköta sina uppgifter. På grund av syftet med uppgifterna finns det också olika begränsningar och villkor som i vissa situationer skapar utmaningar. I följande avsnitt analyseras närmare den lagstiftning som gäller informationsutbytet mellan myndigheterna och de begränsningar den medför. 

2.2.1  Transport- och kommunikationsverket

I 315 § i lagen om tjänster inom elektronisk kommunikation bestäms om myndigheternas allmänna rätt att få information att de myndigheter som övervakar bestämmelserna i lagen när de utför uppgifter enligt lagen har rätt att få den information de behöver för skötseln av uppgifterna av dem vilkas rättigheter och skyldigheter lagen gälle. Dessutom kan de som lagen gäller åläggas att samla in information. Uppgifter om meddelanden, förmedlingsuppgifter och lokaliseringsuppgifter ingår inte i den allmänna rätten att få information. I lagen definieras inte närmare vilka de aktörer är från vilka myndigheterna kan få information, men lagens skyldigheter eller rättigheter har ofta riktats till någon viss aktör. Enligt lagens förarbeten kan rätten att få information i princip gälla vem som helst som lagen gäller.  

I 316 § i lagen föreskrivs om behandling och utplåning av uppgifter om kommunikation och lokalisering. Transport- och kommunikationsverket har trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter rätt att få de förmedlingsuppgifter och lokaliseringsuppgifter som behövs för utredning av fel och störningar samt oklarheter i faktureringen. Dessutom har verket rätt att få förmedlingsuppgifter, lokaliseringsuppgifter och meddelanden, om de behövs för utredning av betydande kränkningar av eller hot mot informationssäkerheten. Dessutom krävs det för rätten att få information att det enligt verkets bedömning finns skäl att misstänka att något av de brottsrekvisit som nämns i paragrafen uppfylls. Bestämmelsen har i praktiken tolkats så att rätten att få förmedlingsuppgifter och lokaliseringsuppgifter gäller samma aktörer verket har rätt att få information från med stöd av lagens 315 §. 

I 318 § i lagen om tjänster inom elektronisk kommunikation föreskrivs om utlämnande av information från myndigheter trots sekretessbestämmelserna. Transport- och kommunikationsverket får lämna ut uppgifter till Energimyndigheten, Finansinspektionen, Val-vira samt NTM-centralen, dvs. till NIS-myndigheterna om det är nödvändigt för skötseln av deras lagstadgade uppgifter i anslutning till informationssäkerhet. Transport- och kommunikationsverket har dessutom rätt att utlämna sekretessbelagda dokument eller uppgifter till finansministeriet om det är nödvändigt för skötseln av uppgifter som gäller erbjudande av nät- och kommunikationstjänster i anslutning till myndighetsnätverket och myndigheternas kommunikation. Rätten att utlämna information gäller enligt 318 § 5 mom. inte information om meddelanden, förmedlingsuppgifter, lokaliseringsuppgifter eller om innehållet i och existensen av konfidentiella radiosändningar. 

Enligt lagens 319 § 1 mom. är sådana uppgifter som Transport- och kommunikations-verket n med stöd av 316 och 317 § har fått och skaffat om meddelanden, förmedlingsuppgifter, lokaliseringsuppgifter samt om innehållet i och existensen av konfidentiella radiosändningar sekretessbelagda. Transport- och kommunikationsverket har enligt 319 § 2 mom. punkt 1 trots sekretessen enligt 1 mom. och andra begränsningar som gäller utlämnande av uppgifter rätt att lämna ut förmedlingsuppgifter och andra uppgifter som verket fått i samband med insamling av information om och utredning av kränkningar av informationssäkerheten till en kommunikationsförmedlare, en leverantör av mervärdestjänster, ett företag, en organisation, en abonnent och en användare, om denna har blivit utnyttjad i samband med kränkningen av informationssäkerheten eller har blivit eller sannolikt kan bli utsatt för en sådan kränkning, och om det enligt Transport- och kommunikationsverkets bedömning finns skäl att misstänka att det har begåtts ett sådant brott som nämns i 316 § 2 mom. 1–12 punkten. Dessutom får information lämnas ut till en sådan i en annan stat verksam myndighet eller annan motsvarande aktör som har till uppgift att förebygga eller utreda sådana kränkningar av informationssäkerheten som är riktade mot kommunikationsnät och kommunikationstjänster. När verket bestämmer vilka myndigheter och andra aktörer som avses ska det samarbeta med kommunikationsministeriet. Verket får lämna ut information endast i endast i nödvändig utsträckning. Det är beaktansvärt att det enligt den nuvarande formuleringen av lagen inte är möjligt att lämna ut information exempelvis till EU eller Nato. 

Enligt lagens 322 § föreskrivs det i polislagen och tvångsmedelslagen (806/2011) om polisens rätt att få förmedlingsuppgifter för att förebygga, avslöja och utreda brott. När det gäller Gränsbevakningsväsendets och Tullens brottsbekämpningsverkesamhet finns bestämmelserna i egna lagar. 

För närvarande föreskrivs i lagens 275 § om teleföretags skyldighet att göra en anmälan om dess tjänster utsätts för eller hotas av betydande kränkningar av informationssäkerheten eller av någonting annat som gör att en kommunikationstjänst inte fungerar eller väsentligen stör den. På motsvarande sätt har Transport- och kommunikationsverket med stöd av lagens 316 § 2 mom. rätt att begära information om en kränkning av informationssäkerheten som det fått kännedom om. Bestämmelserna är dock oklara när det gäller huruvida teleföretag och andra kommunikationsförmedlare vid en kränkning av informationssäkerheten frivilligt och på eget initiativ får lämna ut förmedlingsuppgifter och information om meddelanden till verket, ifall kränkningen inte annars skulle komma till verkets kännedom. Transport- och kommunikationsverket har till uppgift att utreda kränkningar av informationssäkerheten. men enligt lagens 137 § 2 mom. får elektroniska meddelanden och förmedlingsuppgifter lämnas ut endast till aktörer som har rätt att behandla uppgifterna i det aktuella fallet. Den uppgift som föreskrivs i lagens 304 § tolkas dock inte som sådan utgöra någon grund för behandling av förmedlingsuppgifter och innehåll i kommunikation. Det är därför oklart vilken grunden för utlämnande av information till Transport- och kommunikationsverket kunde vara vid utredning av kränkning av kränkning av kommunikationsförmedling i en situation då utlämningen av information görs på eget initiativ och då 275 § inte kan tillämpas eller inte skulle förutsätta att information om kommunikationen ges.  

Transport- och kommunikationsverket har på basis av det som beskrivits ovan omfattande rättigheter att få information på tillsynsrättsliga grunder. Rätten att få information om meddelanden, förmedlingsuppgifter och lokaliseringsuppgifter är dock mera begränsad. Verket har dock laglig rätt att får information också om dessa uppgifter i situationer då informationssäkerheten kränkts. Utöver ovannämnda görs också av privata aktörer frivilligt en betydande mängd anmälningar om kränkning av informationssäkerheten, vilka kan innehålla olika uppgifter i anslutning till kränkningar av informationssäkerheten, såsom förmedlingsuppgifter och uppgifter om meddelandens innehåll. Om vidarebefordran av den information som lämnats ut föreskrivs separat och till den ansluter sig vissa begränsningar, särskilt när det gäller meddelandens innehåll, förmedlingsuppgifter och lokaliseringsuppgifter. Begränsningarna gällande dessa uppgifter bygger på skyddet av konfidentiell information enligt grundlagen. 

2.2.2  Polisen

Den lagstiftning som gäller polisens verksamhet är mångfasetterad, beroende på polisens olika uppgifter. I polislagen finns allmänna bestämmelser om polisens verksamhet, befogenheter och dessutom om hemliga sätt att skaffa information, som polisen kan an-vända för att förebygga och avslöja brott. I polislagen föreskrivs också om civil underrättelseinhämtning som hör till skyddspolisens uppgifter och som kompletteras av lagen om civil underrättelseinhämtning avseende datatrafik (582/2019). Förundersökningslagen (805/2011) tillämpas på förundersökning av brott och på tvångsmedel och informationshämning som används vid förundersökning tillämpas tvångsmedelslagen. I lagen om behandling av personuppgifter i polisens verksamhet (616/2019, nedan polisens personuppgiftslag) föreskrivs såsom framgår av namnet om polisens behandling av personuppgifter. 

I polislagens 4 kap. föreskrivs om polisens rätt att inhämta information. Enligt 2 § i la-gens 4 kap. har polisen oberoende av tystnadsplikten på begäran av en polisman som hör till befälet rätt att för tjänsteuppdrag avgiftsfritt få behövlig information och handlingar av myndigheter och sammanslutningar som tillsatts för att sköta offentliga uppgifter, om inte överlämnande av informationen eller handlingarna till polisen eller användning av informationen som bevis uttryckligen har förbjudits eller begränsats i lag. Enligt tolkningen är 318 § 1–4 mom. i lagen om tjänster inom elektronisk kommunikation ett sådant uttryckligt förbud, eftersom där föreskrivs om de myndigheter till vilka information får utlämnas och polisen inte nämns i detta sammanhang. I förarbetena till polislagen (RP 57/1994 rd, s. 67) konstateras att den rätt att få information som definieras i paragrafen exkluderar sekretessplikt om vilken bestäms annanstans i lag, om inte det i bestämmelsen om sekretessplikt förbjuds att uppgifterna utlämnas till polisen. Förbudet kan uttryckas också genom att räkna upp de myndigheter som har rätt att få information och nämna polisen bland dem. När det gäller information om kommunikation är situationen den här, med undantag för en situation som avses i 319 § 4 mom., som gäller utlämnande av förmedlingsuppgifter till en annan myndighet om det är nödvändigt för utredning av eller väckande av åtal för ett brott som förorsakats av radiostörningar eller för att eliminera eller begränsa störning av radiokommunikation. Med stöd av 319 § 2 mom. i lagen kan annars till polisen utlämnas information om meddelanden, förmedlingsuppgifter, lokaliseringsuppgifter eller om innehållet i och existensen av radiosändningar endast i de fall då polisen själv är föremål för en kränkning av eller ett hot om kränkning av informationssäkerheten. 

I polislagens 4 kap. 3 § föreskrivs om polisens rätt att få information av privata sammanslutningar och personer för att förhindra eller utreda ett brott. Polisen har rätt att få information oberoende av att en sammanslutnings medlemmar, revisorer, verkställande direktör, styrelsemedlemmar eller arbetstagare är bundna av sekretessplikt. Bestämmelsen ger inte polisen rätt att få förmedlingsuppgifter eller information om innehållet i ett meddelande eftersom det finns särskilda förutsättningar för att få denna information enligt polis- och tvångsmedelslagen. 

Enligt polislagens 4 kap. 3 § 2 mom. har polisen rätt att av teleföretag och av sammanslutningsabonnenter få kontaktuppgifter för teleadresser som inte är upptagna i en offentlig katalog eller information som specificerar en teleadress eller teleterminalutrustning, om informationen behövs för ett polisuppdrag. Överensstämmande bestämmelser om teleföretags skyldighet att bistå polisen och om åtkomst till vissa uppgifter finns i bestämmelserna om polisens hemliga metoder för inhämtande av information (Polislagen 5 kap. 61 §), Skyddspolisens civila underrättelseinhämtning (polislagen 5a kap. 51 §) och hemliga tvångsmedel (Tvångsmedelslagen 10 kap. 63 §).  

När det gäller myndigheteras utlämnande av sekretessbelagd information är den grundläggande principen bestämmelserna i offentlighetslagen. I praktiken förutsätter detta således att det i lagen finns en särskilt föreskriven grund för utlämnande av information, vilket i praktiken medför utmaningar eftersom det är svårt att på förhand bedöma alla situationer där information utlämnas. Information får dock med stöd av 17 § 3 mom. och 26 § i offentlighetslagen lämnas ut till en begränsad krets, såsom till en annan myndighet inom de gränser som en klausul om skaderekvisit anger enligt 24 § 1 mom. i offentlig-hetslagen.  

Om utlämnande av information i enskilda fall föreskrivs i polislagens 7 kap. 2 §. Enligt denna paragraf hindrar inte polisens tystnadsplikt utlämnande av information till en myndighet som på grund av sina lagstadgade uppgifter behöver information om omständigheter som annars är sekretessbelagda. Detta kan betyda exempelvis förmedlingsuppgifter eller information om ett meddelande. I förarbetena till polislagen (RP 224/2010 rd s. 147) konstateras att även om utlämnande av uppgifter i enlighet med 7 kap. 2 § 1 mom. i allmänhet sker på begäran av en annan myndighet är det ändå inte en förutsättning för att bestämmelsen ska kunna tillämpas. Enligt förarbetena kan det för polisen uppkomma situationer där det också är nödvändigt och motiverat att utlämna information till en annan myndighet på eget initiativ. Också i rättslitteraturen har det med hänvisning till förarbetena till polislagen ansetts att begäran från en annan myndighet för utlämnande av de uppgifter som avses i 7 kap. 2 § 1 mom. i polislagen inte är en nödvändig förutsättning utan att utlämnandet av uppgifter kan ske också på eget initiativ. Också biträdande justitieombudsmannen har ansett (EOAK/3813/2017) att det uppenbart är etablerad praxis att polisen på eget initiativ lämnar ut uppgifter, för vilken kan anses finnas grunder i bestämmelsen i 7 kap. 2 § och i förarbetena till denna bestämmelse. Det är dock beaktansvärt att hovrätten i sitt avgörande HO 4.3.2021 nr 263, konstaterar att bestämmelsen i polislagens 7 kap. 2 § inte är en behörighetsbestämmelse med stöd av vilken polisen till utsökningsmyndigheterna på eget initiativ kan lämna ut uppgifter. Ärendet behandlas som bäst av Högsta domstolen. Polislagens bestämmelse om utlämnande av information är primär i förhållande till 22 § i lagen om behandling av personuppgifter i polisens verksamhet. 

I 24 § 1 mom. 3 punkten i offentlighetslagen föreskrivs att anmälan om brott till polisen eller någon annan förundersökningsmyndighet, en åklagare eller en kontroll- och tillsynsmyndighet, handlingar som har mottagits eller uppgjorts för förundersökning och åtalsprövning är sekretessbelagda. De uppgifter om vilka föreskrivs i denna punkt är sekretessbelagda om det inte är uppenbart att utlämnandet av uppgifter ur en sådan handling inte äventyrar brottsutredningen eller undersökningens syfte eller utan vägande skäl vållar den som har del i saken skada eller lidande eller hindrar domstolen från att utöva sin rätt att sekretessbelägga handlingar enligt lagen om offentlighet vid rättegång i allmänna domstolar. Enligt 2 kap. 2 § i förundersökningslagen leds förundersökningen av en undersökningsledare och denne beslutar således bland annat under förundersökningens gång om uppgifter ska lämnas ut. I 11 kap. 7 § i förundersökningslagen föreskrivs om information om förundersökning. 

Polisen får information för att förhindra och avslöja brott också genom hemliga metoder för inhämtande av information enligt 5 kap. i polislagen och för förundersökning genom hemliga tvångsmedel som avses i 10 kap. i tvångsmedelslagen. Till dessa metoder hör exempelvis teleavlyssning, teleövervakning, inhämtande av basstationsuppgifter samt inhämtande av identifieringsuppgifter för teleadresser eller teleterminalutrustning. Förutsättningen för användning av hemliga metoder för inhämtande av information är att man med den metoden kan antas få information som behövs för förhindrande, avslöjande eller avvärjande av risk för brott. Förutsättningen för användning av hemliga tvångsmedel är att det kan antas att man på det sättet får information som behövs för att utreda ett brott. Hemligt inhämtande av information eller hemliga tvångsmedel ska antas vara av synnerlig vikt för utredning, förhindrande eller avslöjande av ett brott. I polislagens 5 kap. 3 § uppräknas de brott för vilkas utredning hemligt inhämtande av information får användas. Tillstånd för användning av hemligt inhämtande av information och hemliga tvångsmedel ska i princip ansökas hos domstol. I vissa brådskande fall kan beslut temporärt fattas också av en anhållningsberättigad tjänsteman innan man hinner få domstolens beslut i ärendet.  

När det gäller hemliga metoder för inhämtande av information föreskrivs i 5 kap. 52 § i polislagen att upptagningar som uppkommit vid hemligt inhämtande av information enligt ett särskilt beslut får undersökas av en annan person som anlitas för inhämtande av information än av polisen. I fråga om civil underrättelseverksamhet finns bestämmelsen i 5 a kap. 43 § i polislagen och i fråga om hemliga tvångsmedel i 10 kap, 54 § i tvångsmedelslagen.  

Skyddspolisen får information genom underrättelseinhämtning enligt 5 a kap. i polislagen, vilka är motsvarande som vad som föreskrivits om polisens hemliga metoder för inhämtande av information och om hemliga tvångsmedel. Förutsättningen för användningen av dessa metoder är att användningen av den är nödvändig för att få viktig information om sådan verksamhet som är föremål för civil underrättelseinhämtning och som allvarligt hotar den nationella säkerheten. Om användning av underrättelsemetoder beslutar i cybermiljö i huvudsak en domstol. I vissa brådskande fall kan beslut temporärt fattas också av chefen för skyddspolisen eller en för uppdraget förordnad polisman som hör till befälet vid skyddspolisen och som är förtrogen med användningen av metoder för underrättelseinhämtning innan man hinner få domstolens beslut i ärendet. 

I 5 a kap. 44 § i polislagen föreskrivs om i vilka situationer skyddspolisen inte får anmäla samt i vilka situationer skyddspolisen ska anmäla och i vilka situationer den enligt övervägande får anmäla uppgifter som fåtts genom civil underrättelseinhämtning till centralkriminalpolisen. Dessutom föreskrivs i paragrafen om skyldigheterna att anmäla ett brott som ännu kan förhindras. Anmälningsskyldigheten eller – rätten beror på straffbarheten för dem gärning som uppdagats. En sådan anmälan kan göras endast för de allvarligaste brotten. I princip har underrättelseverksamhet skilts åt från uppgifter inom förundersökning och de uppgifter som fås genom dessa hålls åtskilda eftersom tröskeln för användning av underrättelsemetoder är lägre än för motsvarande metoder inom förundersökning. Det är fråga om så kallad brandmurslagstiftning.  

I 5 a kap. 55 § i polislagen föreskrivs om skyddspolisens samarbete med andra myndig-heter och med företag och sammanslutningar. Skyddspolisen ska enligt behov agera i samarbete med andra myndigheter för att den civila underrättelseinhämtningen ska kunna skötas på ett ändamålsenligt sätt. Skyddspolisen får för att genomföra sitt uppdrag avseende civil underrättelseinhämtning trots sekretessbestämmelserna lämna ut andra uppgifter än personuppgifter till andra myndigheter, men också till företag samt andra sammanslutningar, om utlämnandet av uppgifterna behövs för att skydda den nationella säkerheten. 

I 14 § i lagen om civil underrättelseinhämtning avseende datatrafik föreskrivs om undersökning av upptagningar som uppkommit vid användningen av underrättelseinhämtning. På motsvarande sätt som i annan underrättelseverksamhet får upptagningarna undersökas endast av domstol eller en polisman som hör till befälet vid skyddspolisen eller av underrättelsetillsynsombudsmannen eller en av denne förordnad tjänsteman. Enligt förordnande av en polisman som hör till befälet vid skyddspolisen eller enligt anvisning av domstolen får upptagningarna undersökas även av en annan polisman, av en sakkunnig eller av någon annan som anlitas för inhämtande av information. 

Om utlämnande av information om skadliga datorprogram eller skadliga datakommandon till myndigheter, företag eller sammanslutningar föreskrivs i 16 § i lagen om civil underrättelseinhämtning avseende datatrafik. Skyddspolisen får trots sekretessbestämmelserna lämna ut sådan information som inhämtats med hjälp av underrättelseinhämtning som avser datatrafik och som gäller skadliga datorprogram eller skadliga datakommandon till myndigheter, företag eller sammanslutningar, om utlämnandet av informationen behövs för att skydda den nationella säkerheten eller informationsmottagarens intressen. På utlämnande av information till brottsbekämpning tillämpas vad som i polislagen bestäms om saken.  

I 22 § i lagen om behandling av personuppgifter i polisens verksamhet föreskrivs om övrigt utlämnande av personuppgifter till myndigheter. Uppgifter som avses i lagens 5–8, 11 och 12 §, såsom uppgifter som gäller specificering, beskrivningar och klassificeringar i anslutning till polisens uppdrag, åtgärder och händelser får utlämnas till de myndigheter som anges i underpunkterna i 22 § 1 mom. Denna lista är dock inte betydelsefull med tanke på utredning av cyberstörningssituationer, utan i fråga om dem tillämpas 22 § 3 mom. enligt vilket polisen av grundad anledning trots sekretessbestämmelserna genom en teknisk anslutning eller som en datamängd till en myndighet får lämna ut personuppgifter som är nödvändiga för att utföra en uppgift som i lag föreskrivits för myndigheten. En förutsättning för att uppgifter får lämnas ut är således en nödvändig orsak och en i lag föreskriven uppgift.  

Enligt 21 § i lagen om behandling av personuppgifter i polisens verksamhet får polisen trots sekretessbestämmelserna lämna ut sådana personuppgifter som avses i lagen bland annat till skyddspolisen och Försvarsmakten för de uppgifter som myndigheten har enligt 1 § i lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018), nedan dataskyddslagen i brottkålsärenden. Dessa uppgifter kan vara exempelvis förebyggande, avslöjande, utredning eller åtalsprövning av brott,  

På grund av polisens omfattande uppgiftsfält är också lagstiftningen om polisens rätt att få information och om utlämnande av information ganska komplicerad. Polisen har allmänt taget för skötseln av sitt uppdrag omfattande allmänna rättigheter att få information, som då situationen så kräver kompletteras av bestämmelserna om hemliga metoder för inhämtande av information och hemliga tvångsmedel. Särskilda begränsningar av polisens rätt att få information ansluter sig till Transport- och kommunikationsverkets uppgifter om kommunikation. För att få motsvarande uppgifter borde polisen i normala förhållanden använda sina egna metoder för inhämtande av information, vilka förutsätter kontroll av domstol.  

Polisens utlämnande av information grundar sig allmänt på offentlighetslagen, men också på bestämmelsen om utlämnande av information i 2 § i 7 kap. i polislagen och å andra sidan på bestämmelserna om utlämnande av personuppgifter i lagen om behandling av personuppgifter i polisens verksamhet. Under en förundersökning överväger undersökningsledaren från fall till fall vilka uppgifter som kan lämnas ut med städ av förutsättningarna i 24 § 3 punkten i offentlighetslagen. I lagstiftningen har också angetts vissa begränsningar för informationsutbytet mellan olika polisenheter, vilket beror på skyddspolisens avvikande roll i den övriga polisorganisationen. Det är närmast fråga om ovan beskrivna så kallade brandmurslagstiftning. 

2.2.3  Försvarsmakten

Försvarsmakten har med stöd av 17 § i lagen om försvarsmakten rätt att trots sekretessplikten av myndigheter och av sammanslutningar som tillsatts för att sköta ett offentligt uppdrag få de uppgifter och handlingar som är nödvändiga för skötseln av lagstadgade uppdrag, om inte lämnandet av uppgiften eller handlingen till Försvarsmakten eller användningen av uppgifterna som bevis har förbjudits eller begränsats i lag. På utlämnandet av information tillämpas offentlighetslagen.  

Enligt 17 § i lagen om militär underrättelseverksamhet ska militärunderrättelsemyndigheterna agera i samarbete med skyddspolisen för att underrättelsemyndigheternas uppgifter ska kunna skötas på ett ändamålsenligt sätt och i detta syfte, trots vad som föreskrivs om sekretess, ge skyddspolisen behövliga uppgifter. Enligt lagens 18 § ska militärunderrättelsemyndigheterna enligt behov agera i samarbete med andra myndigheter för att den militära underrättelseinhämtningen ska kunna skötas på ett ändamålsenligt sätt. Militärunderrättelsemyndigheterna kan för att genomföra sitt uppdrag, trots sekretessbestämmelserna lämna ut andra uppgifter än personuppgifter, om utlämnandet av uppgifterna är behövligt med avseende på försvaret av landet eller för att skydda den nationella säkerheten. 

Dessutom kan militärunderrättelsemyndigheterna för att genomföra sitt uppdrag trots sekretessbestämmelserna till företag och andra sammanslutningar lämna ut identifieringsuppgifter som anknyter till sabotageprogram och som behövs för utvecklingen av metoder och system för underrättelseinhämtning eller lämna ut andra uppgifter än personuppgifter, om utlämnandet av uppgifterna är nödvändigt med avseende på Försvarsmaktens verksamhet eller för att skydda den nationella säkerheten.  

Enligt 74 § i militäruuderrättelselagen får militärunderrättelsemyndigheterna trots sekretessbestämmelserna till ett företag, en sammanslutning eller myndighet lämna ut uppgifter som inhämtats med hjälp av underrättelseinhämtning som avser datatrafik och som gäller ett skadligt datorprogram och dess verkningar, om utlämnandet av uppgifterna behövs med avseende på det militära försvaret, för att skydda den nationella säkerheten eller trygga företagets eller sammanslutningens intressen.  

I 79 § i militärunderrättelselagen föreskrivs om anmälan om brottsmisstanke till centralkriminalpolisen om det medan en metod för underrättelseinhämtning används framkommer att ett sådant brott kan antas ha begåtts för vilket det föreskrivna strängaste straffet är fängelse i minst sex år. Dessutom får anmälan göras om anmälan kan antas vara av synnerlig vikt för utredningen av ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst tre år Dessutom ska militärunderrättelsemyndigheterna enligt lagens 80 § utan dröjsmål anmäla till en behörig myndighet, om det medan en metod för underrättelseinhämtning används framkommer att ett sådant brott är på färde för vilket det föreskrivna strängaste straffet är fängelse i minst sex år, och brottet ännu kan förhindras och anmälan får göras det föreskrivna strängaste straffet är fängelse i minst två år. Det är fråga om motsvarande brandmurslagstiftning som tidigare beskrivits i fråga om förhållandet mellan skyddspolisen och centralkriminalpolisen.  

I 111 § i militärunderrättelselagen föreskrivs om undersökning av upptagningar som uppkommit vid användningen av metoder för underrättelseinhämtning. Uppgifterna får undersökas endast av domstol, huvudstabens underrättelsechef, en till uppdraget av militärunderrättelsemyndigheterna förordnad militärjurist eller annan tjänsteman eller av underrättelsetillsynsombudsmannen eller en av denne förordnad tjänsteman. På förordnande av huvudstabens underrättelsechef eller enligt anvisning av domstolen får upptagningar också undersökas av en annan än en ovan avsedd tjänsteman vid en militärunderrättelsemyndighet, en sakkunnig eller en annan person som bistår vid inhämtande av information. 

Enligt 29 § i lagen om behandling av personuppgifter inom Försvarsmakten (332/2019, nedan Försvarsmaktens personuppgiftslag) får Försvarsmakten trots sekretessbestämmelserna till en annan myndighet och till en sammanslutning som tillsatts för att sköta ett offentligt uppdrag lämna ut personuppgifter som behövs för fullgörande av dess lagstadgade uppgifter. I paragrafen uppräknas myndigheter och uppgifter för skötseln av vilka uppgifter får lämnas u. Uppgifter får för det första lämnas ut till polisen för de uppgifter enligt 1 kap. 1 § 1 mom. i polislagen vilka sammanhänger med att trygga rätts- och samhällsordningen, upprätthålla allmän ordning och säkerhet samt att förebygga, avslöja och utreda brott och föra brott till åtalsprövning, Dessutom får uppgifter lämnas ut till Cybersäkerhetscentret vid Transport- och kommunikationsverket för skötseln av uppgifter enligt 3 § i lagen om Transport- och kommunikationsverket. Detta omfattar exempelvis upprätthållandet av den nationella lägesbilden samt främjande av informationssäkerheten för informationssystem och elektronisk kommunikation. I paragrafen hänvisas dock inte exakt till alla de särskilda som Cybersäkerhetscentret i praktiken ansvarar för enligt 304 § i lagen om elektronisk kommunikation och till vilka hör bland annat att utreda kränkningar och hot om kränkningar av informationssäkerheten för nättjänster, kommunikationstjänster, mervärdestjänster och informationssystem. 

Försvarsmakten får med stöd av 30 § i Försvarsmaktens personuppgiftslag utöver vad som föreskrivs i 29 § till en myndighet eller en sammanslutning som tillsatts för att sköta ett offentligt uppdrag lämna ut uppgifter som är nödvändiga för fullgörandet av ett enskilt uppdrag, om det är uppenbart att utlämnandet av uppgiften inte orsakar väsentlig olägenhet för de intressen för vilkas skyddande sekretess har föreskrivits. 

Utöver ovannämnda bestämmelser ingår bestämmelser om utlämnande av information också i 92 § och 93 § i lagen om militär disciplin och brottsbekämpning inom försvarsmakten. Enligt lagens 92 § har de tjänstemän som förebygger och avslöjar brott inom försvarsmakten rätt att av en myndighet samt av en sammanslutning och person som har anförtrotts en offentlig uppgift, avgiftsfritt och trots sekretessbestämmelserna få de uppgifter och handlingar som behövs för att ett uppdrag enligt 86 § 1 mom. ska kunna utföras, om inte lämnande av sådana uppgifter eller handlingar till huvudstaben eller användningen av uppgifterna som bevis har förbjudits eller begränsats i lag. Dessutom föreskrivs i lagens 93 § om rätt att få uppgifter av en privatperson. De tjänstemän som förebygger och avslöjar brott inom försvarsmakten har rätt att av ett teleföretag och en sammanslutningsabonnent få kontaktuppgifter om en sådan teleanslutning som inte nämns i en offentlig katalog, eller uppgifter som specificerar en teleanslutning, en e-postadress, en annan teleadress eller teleterminalutrustning, om uppgifterna behövs i ett enskilt fall för att ett uppdrag enligt 86 § 1 mom. ska kunna utföras. Försvarsmakten har också med stöd av det som ovan anförts en omfattande allmän rätt att få information för att sköta sina uppgifter. Den kan begränsas genom uttryckliga bestämmelser om detta. Liksom när det gäller polisen har det ansetts att det i lagen om elektronisk kommunikation ingår en sådan uttrycklig begränsning i fråga om innehållet i meddelanden och förmedlingsuppgifter. 

2.2.4  Personuppgifter och tillämplig dataskyddslagstiftning

Eftersom den information som utbyts delvis till sin karaktär också kan vara personuppgifter är det nödvändigt att bedöma också den dataskyddslagstiftning som gäller för olika myndigheter, Utgångspunkten är att på myndigheternas verksamhet tillämpas allmänna dataskyddsförordningen (EU) 2016/679 och den nationella lagstiftning som kompletterar den, såsom dataskyddslagen (1050/2018). Det bör dock beaktas att i polisens verksamhet utom den allmänna dataskyddsförordningen också tillämpas lagen om behandling av personuppgifter i brottmål vid förebyggande, avslöjande och utredning samt förande till åtalsprövning av vissa brott. Lagen om behandling av personuppgifter i polisens verksamhet tillämpas vid genomförande av grundläggande uppgifter som avses i 1 kap. 1 § i polislagen, om inte annat föreskrivs annanstans i lag.  

Dessutom tillämpas lagen om behandling av personuppgifter i brottmål på Försvarsmakten till den del som det är fråga om övervakning av landområde, vattenområde och luftrummet samt för tryggande av territoriell integritet samt handräckning för tryggande av allmän ordning och säkerhet, förhindrande och avbrytande av terrorism samt annat tryggande av samhället. Lagen om behandling av personuppgifter i brottmål tillämpas på Försvarsmakten också vid förebyggande, avslöjande och utredning av brottmål. För detta finns en separat lag om behandling av personuppgifter inom Försvarsmakten, som tillämpas vid sidan av lagen om behandling av personuppgifter i brottmål med några undantag.  

Utöver ovannämnda bestämmelser kan också Europaparlamentets och rådets direktiv om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (2002/58/EG), dvs. dataskyddsdirektivet för elektronisk kommunikation, tillämpas. Direktivet har satts i kraft genom lagen om tjänster inom elektronisk kommunikation. Bestämmelserna tillämpas i synnerhet på förmedlingsuppgifter. 

2.2.5  Utvärdering av lagstiftningen om myndigheternas informationsutbyte

De myndigheter som lagförslaget gäller har i sin verksamhet omfattande rättigheter att få information. Utbytet av information mellan myndigheterna begränsas i praktiken av begränsande bestämmelser som tryggar konfidentialiteten i kommunikation och å andra sidan brandmursbestämmelserna mellan brottsbekämpning och underrättelseverksamhet, Begränsningarna gällande samarbetet mellan myndigheterna finns alltså av grundade orsaker som är förknippade med skyddet av grundläggande rättigheter enligt grundlagen. I praktiken kan exempelvis polisen och försvarsmakten vid behov ha åtkomst också till de uppgifter som Transport- och kommunikationsverket har tillgång till på grund av sina lagstadgade uppgifter, men I situationer som utvecklas snabbt kan detta göra det svårare att förhindra kränkningar av informationssäkerheten eftersom dessa situationer kan gå snabbt förbi. I normala situationer är de begränsningar som gäller informationsutbytet från grundlagsrättsligt perspektiv fortfarande befogade.  

2.4.1  NIS-direktivet

Om betydande kränkningar av informationssäkerheten har utfärdats Europaparlamentets och rådets direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, dvs. det så kallade NIS-direktivet. I direktivet föreskrivs bland annat om säkerhets- och informationskrav på leverantörer av centrala tjänster och leverantörer av digitala tjänster. I bilaga II till NIS-direktivet har identifierats de sektorer och delområden inom sektorer som anses vara centrala leverantörer av tjänster i situationer med kränkningar av informationssäkerheten. Dessa aktörer har med tanke på direktivet ansetts vara sådana som tillhandahåller tjänster som är viktiga för att upprätthålla kritisk samhällelig och/eller ekonomisk verksamhet, tillhandahåller tjänster som är beroende av nätverks- och informationssystem eller om en incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten. 

Enligt direktivet ska de behöriga myndigheterna för de olika sektorerna samarbeta med enheter som reagerar på och utreder kränkningar av informationssäkerheten (CSIRT). I Finland är CSIRT-aktören Transport- och kommunikationsverkets Cybersäkerhetscenter. och behöriga myndigheter är Energiverket, Finansinspektionen, Valvira, NTM-centralen, jord- och skogsbruksministeriet samt Transport- och kommunikationsverket. På leverantörer av kritiska tjänster och digitala tjänster ställs säkerhetskrav och betydande informationssäkerhetsstörningar ska anmälas utan onödiga dröjsmål till den behöriga myndigheten. Vid bedömningen av hur betydande störningen är bör beaktas det antal som påverkas av störningen i tjänsten, hur länge störningen räcker samt hur stort geografiskt område störningen påverkar.  

EU-rådet och parlamentet har i maj 2022 nått preliminärt samförstånd om ett nytt cybersäkerhetsdirektiv (NIS2-direktivet), som kommer att ersätta det gällande NIS-direktivet. 

2.4.2  Direktivet om integritet och elektronisk kommunikation

I direktivet om integritet och elektronisk kommunikation (2002/58/EY, ePrivacy-direktivet) föreskrivs om behandling av personuppgifter och integritetsskydd inom elektronisk kommunikation. Enligt direktivet är kommunikation som sker genom tjänster för elektronisk kommunikation och trafikuppgifterna i samband med den konfidentiella. Det ska särskilt förbjudas att andra personer utan användarens samtycke avlyssnar, uppfångat med tekniskt hjälpmedel, lagrar eller med andra metoder fångar upp eller övervakar kommunikationen och därmed förbundna uppgifter, utom när de har laglig rätt att göra detta i enlighet med artikel 15.1. Enligt denna punkt får medlemsstaterna får genom lagstiftning vidta åtgärder för att begränsa omfattningen av de rättigheter och skyldigheter som anges i artikel 5, artikel 6, artikel 8.1, 8.2, 8.3 och 8.4 och artikel 9 i direktivet när en sådan begränsning i ett demokratiskt samhälle är nödvändig, lämplig och proportionell för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem enligt artikel 13.1 i direktiv 95/46/EG. 

I rättspraxis gällande unionens domstols tolkning av ePrivacy-direktivet har kommunikationens konfidentialitet betonats som en del av respekten för privatlivet enligt artikel 7 samt skyddet av privatlivet enligt artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Enligt rättspraxis kan man endast med mål som gäller bekämpning av allvarlig brottslighet eller förebyggande av allvarliga hot mot den allmänna säkerheten motivera att myndigheterna med stöd av den nationella lagstiftningen ges rätt till sådana trafik- eller lokaliseringsuppgifter, som utgör en helhet som kan göra det möjligt att dra detaljerade slutsatser om privatlivet i fråga om en användare av elektronisk kommunikation. Dessutom begränsas en behörig myndighets rätt att få information till det som är absolut nödvändigt (dom 5.4.2022 Comissioner of an Garda Síochána m.fl C-140/20 110 punkten dom 21.12.2016, Tele2 Sverige och Watson m.fl., C-203/15 och C-698/15, EU: C:2016:970, 99 och 118 punkten, dom 2.10.2018, Ministerio Fiscal, C-207/16, EU:C:2018:788, 54 punkten, dom 2.3.2021, Prokuratuur, C-746/18, EU:C:2021:152, 35 punkten). För att säkerställa de ovannämnda förutsättningarna har det ansetts vara väsentligt att myndigheternas rätt att få information förutsätter ett oberoende förvaltnings-organs, såsom en domstols, förhandsövervakning. (dom 6.10.2020, La Quadrature du Net m.fl., C-511/18, C-512/18 och C-520/18, EU:C:2020:791, 189 punkten och Prokuratuur, 51 punkten). 

2.4.3  Allmänna dataskyddsförordningen

I EU:s allmänna dataskyddsförordning (EU) 2016/679 (nedan dataskyddsförordningen) föreskrivs om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Förordningen tillämpas på behandling av personuppgifter, som är delvis eller helt automatisk samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register. Territoriellt tilllämpas förordningen på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs av en personuppgiftsansvarig eller en personuppgiftshandläggare som är etablerad i unionen. Dessutom tillämpas förordningen på behandling av personuppgifter som avser registrerade som befinner sig i unionen även om den personuppgiftsansvarige eller personuppgiftshandläggaren inte är etablerad i unionen, om behandlingen har anknytning till övervakning av registrerades beteende så länge beteendet sker inom unionen. Utbyte av uppgifter, som anses vara personuppgifter, mellan myndigheter anses således i princip höra till förordningens tillämpningsområde.  

Enligt artikel 5 i förordningen ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade och de ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och de får inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning). Behandlingen är enligt artikel 6 i förordningen laglig bland annat om den är nödvändig för att fullgöra en rättslig förpliktelse som åligger den personuppgiftsansvarige eller för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person. Dessutom uppfylls laglighetskravet om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Då behandlingen sker för att utföra en uppgift av allmänt intresse ska grunden för behandlingen föreskrivas antingen i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. 

Väsentligt när det gäller informationsutbytet mellan myndigheter i situationer med allvar-liga kränkningar av informationssäkerheten är att uppgifter behandlas för något annat ändamål än det ursprungliga. Enligt artikel 6.4 ska om en behandling sker för andra ändamål än det ändamål för vilket personuppgifterna samlades in för det första beaktas de mål som avses i artikel 23.1 och dessutom beaktas att behandling som sker för ett annat ändamål är förenlig med det ändamål för vilket personuppgifterna ursprungligen samlades in. Omständigheter som ska beaktas är kopplingarna mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen. det sammanhang inom vilket personuppgifterna har samlats in, särskilt förhållandet mellan de registrerade och den personuppgiftsansvarige, om särskilda kategorier av personuppgifter behandlas eller huruvida personuppgifter om fällande domar i brottmål och överträdelser behandlas, eventuella konsekvenser för registrerade av den planerade fortsatta behandlingen och lämpliga skyddsåtgärder. 

Enligt artikel 23.1 i förordningen är det möjligt att i unionsrätten eller i en medlemsstats nationella rätt som den personuppgiftsansvarige eller personuppgiftshandläggaren omfattas av införa en lagstiftningsåtgärd som begränsar tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i förordningen, såsom den ändamålsbegränsning och tillämpningsområdet för de rättigheter och skyldigheter som avses i artikel 5, om en sådan begränsning sker med respekt för de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bland annat den nationella säkerheten, försvaret, den allmänna säkerheten eller förebyggande, utredning eller avslöjande av brott. I punkt 2 i artikeln uppräknas omständigheter som vid behov bör beaktas vid ovannämnda lagstiftningsåtgärder. 

2.4.4  Dataskyddsdirektivet för brottsbekämpning

Utom den allmänna dataskyddsförordningen bör med tanke på propositionen beaktas Europaparlamentets och rådets direktiv om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (EU) 2016/680. dvs. dataskyddsdirektivet för brottsbekämpning. Direktivet och den allmänna dataskyddsförordningen utgör tillsammans det så kallade dataskyddspaketet, som består av EU:s gällande dataskyddslagstiftning tillsammans med ePrivacy-direktivet. Dataskyddsdirektivet för brottsbekämpning har nationellt satts i kraft genom lagen om be-handling av personuppgifter i brottmål. 

Syftet med dataskyddsdirektivet för brottsbekämpning är att säkerställa skyddet av personuppgifter inom direktivets tillämpningsområde samt underlätta uppgifternas fria rörlighet mellan medlemsstaternas polis- och rättsmyndigheter. I dataskyddsdirektivet för brottsbekämpning ingår utom allmänna bestämmelser också bestämmelser om allmänna principer, registeransvariga, handläggare av personuppgifter, överföring av personuppgifter till tredje land eller till internationella organisationer, tillsynsmyndigheter, samarbete, rättsskyddsmetoder, ansvar samt påföljder. 

4.2.1  Konsekvenser för myndigheternas verksamhet

Propositionens centrala direkta konsekvenser gäller myndigheternas inbördes förhållanden, förfaringssätt samt administrativa förfaranden vid betydande kränkningar av informationssäkerheten och hot om sådana. Helhetsinverkan på myndigheternas verksamhet bedöms vara liten, eftersom de föreslagna bestämmelserna om informationsutbyte mellan myndigheterna torde komma att tillämpas endast i undantagssituationer, ifall inte antalet sådana situationer ökar märkbart. I propositionen föreslås att möjligheterna till samarbete mellan myndigheterna förbättras genom att informationsutbytet effektiveras. Förslaget kan anses underlätta och förtydliga växelverkan mellan myndigheterna och försnabba verksamheten i dessa situationer. En tydlig rätt till informationsutbyte mellan myndigheterna försnabbar myndigheternas möjligheter att reagera på betydande kränkningar av informationssäkerheten.  

Under beredningen genomfördes en övning i informationsutbyte mellan myndigheterna enligt förslaget, där det utvärderas hur väl förslaget kan tillämpas i praktiken. Som ett resultat av övningen konstaterades att det i praktiken kan visa sig vara svårt att bedöma om tröskelvärdet för utbyte av information överskrids, i synnerhet som helhetsbilden av kränkningen av informationssäkerheten och av hur betydande den är ofta kan bildas först genom utbyte av uppgifter. Dessa kan dock inte utbytas innan förutsättningarna bedömts, vilket baserar sig på en kombination av uppgifter. Detta kan medföra utmaningar med tanke på tillämpningen av förslaget.  

Förslaget påverkar inte direkt myndigheternas uppgifter sådana som de nu är enligt lagstiftningen. En ändring som i någon mån påverkar myndigheternas uppgifter ansluter sig till handräckning som lämnas av Försvarsmakten, polisen och skyddspolisen till Transport- och kommunikationsverket. För polisen och Försvarsmakten är denna uppgift endast i någon mån ny, eftersom verket har kunnat få handräckning av dessa myndigheter också hittills. I praktiken har inte Transport- och kommunikationsverket begärt handräckning av andra myndigheter i samband med kränkningar av informationssäkerheten. Konsekvenserna kommer antagligen därför att bli rätt små. Avsikten är att det normala samarbetet mellan myndigheterna ska fortsätta på samma sätt som hittills.  

Det kan antas att utnyttjandet av specialkunnande från ett vidare myndighetsfält förbättrar hanteringen och analysen av kränkningar av informationssäkerheten och hot om sådana, vilket å andra sidan ger den aktör som är föremål för kränkningen bättre förutsättningar att skaffa de tjänster som behövs för att rätta till situationen. När det gäller informationssäkerheten är också personalens kompetens viktig, vilket framförallt i vissa speciella situationer som kräver tekniskt kunnande kan finnas endast hos några personer i Finland eller t.o.m. i hela världen.  

I förslaget ingår två ändringar som gäller beslutsprocesserna, vilkas syfte är att lätta på det administrativa förfarandet i Transport- och kommunikationsverket. Förslagen om underlättande av det administrativa förfarandet gäller att kommunikationsministeriet inte längre ska besluta om handräckning som ges av Transport- och kommunikationsverket eller om information som verket lämnar ut till utländska myndigheter som är behöriga att utreda kränkningar av informationssäkerheten.  

Förslaget syftar till att vid betydande kränkningar av informationssäkerheten eller hot om sådana trygga bland annat de funktioner som påverkar den offentliga maktens beslutsförmåga och myndigheternas verksamhetsförutsättningar. Förbättrandet av samarbetet mellan myndigheterna vid förebyggandet av att hot uppfylls och å andra sidan kränkningar som redan ägt rum kan antas inverka positivt på den offentliga maktens beslutsförmågan också vid allvarliga kränkningar av informationssäkerheten. Konsekvenserna bedöms vara motsvarande också på annan myndighetsverksamhet.  

Förslaget om kommunikationsförmedlares rätt att lämna ut förmedlingsuppgifter och uppgifter om meddelanden till Transport- och kommunikationsverket förbättrar verkets förutsättningar att utreda och förebygga kränkningar av informationssäkerheten samt gör det möjligt att göra upp en mera heltäckande lägesbild. Bestämmelsen påverkar således också den dagliga verksamheten. På basis av en synpunkt som framförts i ett utlåtande är det möjligt att en kommunikationsförmedlares tröskel för att lämna ut information stiger, eftersom myndigheten kanske kan börja utreda om rätten att behandla uppgifter enligt lagen om elektronisk kommunikation har uppfyllts i fråga om denna uppgift. Detta kan vara en utmaning särskilt för små och medelstora företag. 

4.2.2  Ekonomiska konsekvenser

Förslaget bedöms ha endast små ekonomiska konsekvenser. Att Transport- och kommunikationsverket får större möjligheter att begära handräckning av polisen, skyddspolisen och Försvarsmakten kan om de används i någon mån medföra kostnader för den offentliga ekonomin, men det skulle också då enligt bedömningen vara fråga om endast mindre kostnader av engångsnatur. Handräckningen skulle vara experthjälp eller utrustningshjälp och kostnaderna begränsar sig då i praktiken till dessa funktioner. Den som begär handräckning svarar för kostnaderna för handräckningen inom ramen för de nuvarande anslagen. Mängden handräckning väntas inte öka i någon betydande grad på grund av förslaget.  

4.2.3  Konsekvenser för företagen

På bestämmelserna om informationsutbyte enligt förslaget tillämpas vid kränkningar av informationssäkerheten som drabbar funktioner som är centrala för samhällets verksamhet. Många sådana funktioner sköts av privata aktörer. Förbättrande av myndigheternas förmåga att ingripa och samarbetet vid förebyggande, utredning och i någon mån också eliminering av verkningarna begränsar för sin del uppkomsten av menliga kostnader. När det gäller eliminering av verkningarna är den inverkan som myndigheternas verksamhet har på företagen i någon mån begränsad, eftersom det ofta är aktören själv som har ansvaret för dessa. Myndigheterna kan dock stöda företag i sådana situationer. Ett mera omfattande informationsutbyte mellan myndigheterna förbättrar kunskapen om läget, vilket för det lättare för dem att agera bättre också i förhållande till företag som drabbats av intrånget.  

Förslaget bedöms ha konsekvenser för företagen närmast i de situationer då en betydande kränkning av informationssäkerheten eller ett allvarligt hot om en sådan drabbar ett företag vars verksamhet är central för samhällets verksamhet. Enligt de synpunkter som framfördes i remissyttrandena kan konsekvenserna variera kraftigt beroende på vilken bransch det är fråga om. Näringslivets centralförbund har konstaterat att konsekvenserna sannolikt skulle vara betydande särskilt för telekommunikations- och finanssektorn samt inom andra kritiska sektorer. Å andra sidan är samarbetet inom dessa sektorer på grund av den omfattande lagstiftning som gäller dessa sektorer redan nu ganska regelbundet och välfungerande. 

Vid kränkningar av informationssäkerheten kan myndigheternas förbättrade verksamhetsförutsättningar från företagens perspektiv bedömas vara i huvudsak positiva, och då kan man i bästa fall förhindra att ett hot om kränkning av informationssäkerheten realiseras och myndigheterna kan stöda företagen vid elimineringen av verkningarna av kränkningen av informationssäkerheten. Det är svårt att bedöma de kostnader som orsakas av kränkningar av informationssäkerheten, men utöver det som ovan nämnts kan t.ex. sabotageprogram som används för utpressning orsaka företagen förluster på miljontals euro ifall den lösen som krävs betalas ut eller verksamheten avbryts. Konsekvenserna för företagen av sabotageprogram som förstör data kan vara ännu mer förlamande för verksamheten särskilt om företagets verksamhet till stor del består av informationssystemens verksamhet och data som finns i informationssystemen. Syftet med förslaget är att minska de skadliga verkningarna av kränkningar av informationssäkerheten genom att förbättra myndigheternas förmåga och samarbete så att de kan ingripa i betydande kränkningar av informationssäkerheten som har skadliga verkningar och förebygga hot om sådana. 

Helhetskostnaderna för dataskyddsproblem och de funktionsstörningar de orsakar har bedömts bland annat i Förbättring av informationssäkerheten och dataskyddet inom kritiska sektorer i samhället. Arbetsgruppens slutrapport (Kommunikationsministeriets publikation 2021:1, sid 52–54). Om informationssäkerheten och dataskyddet brister inom kritiska sektorer förorsakar det många slag av kostnader, eftersom det utöver kostnaderna på företagsnivå orsakas kostnader för samhället också i större omfattning, exempelvis genom ömsesidigt beroende. De små och medelstora företagens totala kostnader för dataintrång var i USA 2015 cirka 50 000 dollar. Däremot var de totala kostnaderna i stora företag, som sysselsätter mer än 1500 personer, cirka 620 000 dollar. Då man går från konsekvenserna på företagsnivå till störningar i verksamheten i de sektorer som är kritiska på samhällsekonomisk nivå kan kostnadsverkningarna stiga till en storleksklass på tiotals miljoner eller miljarder (Ronikonmäki, Niko-Matti – Sirviö, Tom Henrik: Taloustieteellisiä näkökulmia kyberturvallisuuteen. Kansantaloudellinen aikakausikirja – 117 vsk 2/2021, s. 268). Jämfört med år 2015 har verksamheten dessutom ytterligare utvidgats och blivit mer yrkesmässig och därför kan kostnadsverkningarna nu vara redan betydligt större. Det är överhuvudtaget svårt att få exakt helhetsstatistik över kränkningar av informationssäkerheten eftersom många företag t.ex. för att skydda sitt rykte inte anmäler till myndigheterna om kränkningarna.  

Förmedlingsuppgifter och uppgifter om meddelandens innehåll som utlämnas till Transport- och kommunikationsverket omfattas av tystnadsplikt, i vilken nu föreslås ett undantag. Tystnadsplikten har ansetts vara central för skyddet av konfidentiell kommunikation och verksamhet. I den situation som avses i förslaget kan uppgifter som gäller kränkningar av informationssäkerheten eller hot om sådana utlämnas mellan polisen, skyddspolisen, Försvarsmakten och Transport- och kommunikationsverket i större omfattning än tidigare i sådana allvarliga situationer som avses i förslaget, där samhällets säkerhet kan äventyras. Förslaget anger i sig begränsningar när det gäller konfidentialiteten för den information som lämnats ut till myndigheterna och t.ex. uppgifter om offer för kränkningar av informationssäkerheten kan i många fall vara känslig särskilt på grund av risken att den skadar deras rykte. Då man beaktar hur exceptionella sådana situationer är och å andra sidan hur allvarliga de är kan man bedöma att förslaget inte i betydande grad påverkar företagens förtroende för verksamheten vid myndigheternas och särskilt Cybersäkerhetscentret, till vilka frivilliga anmälningar görs. I sig inverkar inte förslaget allmänt på tystnadsplikten när det gäller information, dvs. information som är sekretessbelagd är det också hos den mottagande myndigheten. 

4.2.4  Konsekvenser för medborgarnas ställning i samhället

Det kan bedömas att förslagets konsekvenser påverkar också medborgarnas ställning och särskilt skyddet av privatlivet. Kränkningar av informationssäkerheten i sig kan utom på företag ha omfattande verkningar också för vanliga medborgare och hushåll, vilkas upp-gifter exempelvis har varit en del av något större informationssystem, som har drabbats av en kränkning av informationssäkerheten. Då är risken att känsliga uppgifter som finns i systemet läcks ut i offentligheten eller att de missbrukas på något annat sätt. Genom effektivering av myndigheternas verksamhet i allvarliga situationer förbättras möjligheterna att utreda kränkningar av informationssäkerheten. gripa de skyldiga och i bästa fall förebygga dessa, ifall ett allvarligt hot mot informationssäkerheten kan observeras i ett tillräckligt tidigt skede. Förslaget förbättrar indirekt medborgarnas och hushållens ställning genom att förbättra myndigheterna funktionsförmåga när det gäller att ingripa i och utreda sådana betydande kränkningar av informationssäkerheten, vilka kan medföra allvarliga olägenheter för medborgarna och hushållen i samhället.  

Förslaget möjliggör för kommunikationsförmedlare en mera omfattande rätt än tidigare att lämna ut förmedlingsuppgifter och uppgifter om meddelandens innehåll till Transport- och kommunikationsverket. Detta påverkar medborgarnas skydd för privatlivet och skyddet av konfidentiell kommunikation. Meddelandens innehåll är kärnan i kommunikationens konfidentialitet. Ändringens inverkan i detta avseende är om man ser till helheten inte särskilt betydande eftersom Cybersäkerhetscentret också för närvarande har rätt att begära uppgifter om kränkningar av informationssäkerheten och å andra sidan t.ex. meddelanden som innehåller sabotageprogram inte är den mest centrala kärnan i konfidentiell kommunikation. Därför bedöms konsekvenserna i detta avseende som helhet ändå vara små. Som helhet förbättrar ändå förslaget indirekt kommunikationens konfidentialitet genom förebyggande av kränkningar av informationssäkerheten. 

4.2.5  Konsekvenser för brottsbekämpning och säkerhet

Förslaget bedöms ha konsekvenser som förbättrar den nationella säkerheten och främjar bekämpningen av cyberbrottsligheten, På basis av de erfarenheter man hittills fått av samarbete ingår i informationsutbytet vissa utmaningar, som i de allvarligaste situationerna som kräver snabba åtgärder kan försvara helhetsmässig hantering och observation av situationen mellan myndigheterna. Genom tydligare bestämmelser underlättas myndigheternas samarbete i dessa situationer. Då säkerhetssituationen i samhället förändras måste eventuella allvarliga säkerhetssituationer förutses och syftet med förslaget är att svara på dessa utmaningar.  

Eftersom samhällets verksamhet också i nuläget i betydande grad bygger på nätförbindelser och informationssystem och de innehåller också en betydande mängd information om både privatpersoner och sammanslutningar, har deras funktion en kritisk ställning i samhällets verksamhet. Särskilt datatrafikförbindelserna och eldistributionen är funktioner som i stor omfattning påverkar många olika funktioner. Kränkningar av informationssäkerheten som riktas mot elnätens funktion kunde ha mycket betydande verkningar för hela samhället eftersom nästan allt från sjukhus till hushåll fungerar med elektricitet eller t.ex. mot trafikstyrningssystemen. Störningar av data- eller kommunikationsnäts funktion skulle likaså ha omfattande konsekvenser då allt flera funktioner är anslutna till nätet. Många industrisektorer, myndigheternas funktioner, sjuk- och hälsovårdens system bygger ofta på system som är kopplade till nätet. Om dessa systems funktion förhindras skulle de ha betydande skadeverkningar för denna aktörs verksamhet och i värsta fall äventyra samhällets säkerhet också i större omfattning.  

Av denna orsak är det viktigt att reagera på kränkningar av informationssäkerheten och minimera konsekvenserna av dem med alla tänkbara metoder, Samarbetet vid allvarliga hot mot informationssäkerheten står i direkt relation till brottsbekämpningen, eftersom eventuella brott ännu kan förhindras i en hotsituation. Det är dock svårt att ta fast brottslingar i cyberbrott t.ex. av den orsaken att det är svårt att spåra brottslingarna, men också därför att cyberbrott går över de statliga gränserna och förövaren därför i praktiken kan finnas var som helst i världen. Klarare bestämmelser underlättar i dessa situationer myndigheternas samarbete. Brottsbekämpningen kan i någon mån underlättas också av bestämmelserna om informationsutbyte i undantagssituationer till den del som de uppgifter som polisen får kan utnyttjas vid utredningen av brottet och påförandet av ansvaret för brottet.  

Enligt myndigheternas bedömning förbättrar förslaget om kommunikationsförmedlares frivilliga utlämnande av uppgifter upprätthållandet av den nationella lägesbilden av cybersäkerheten samt utredningen av kränkningar av informationssäkerheten och distributionen av information om dem samt därigenom förebyggandet av kränkningar av informationssäkerheten. Det förbättrar också indirekt informationssäkerheten för kommunikationsnät, tjänster och därmed anslutna informationssystem, vilket bidrar till att trygga också skyddet av privatlivet för användare av kommunikationstjänster. 

5.2.1  Sverige

5.2.2  Norge

5.2.3  Tyskland

5.2.4  Storbritannien

5.2.5  Frankrike

11.2.1  Konfidentiell kommunikation

Kärnfrågan avseende de grundläggande fri- och rättigheterna i propositionen gäller skyddet för privatlivet enligt 10 § i grundlagen, särskilt skyddet för förtroliga meddelanden enligt dess 2 mom. Enligt artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna har var och en rätt till respekt för sina kommunikationer, och artikel 8 i stadgan gäller rätten till skydd av personuppgifter. Dessutom ska personuppgifter behandlas för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Skyddet för förtroliga meddelanden garanteras också i artikel 8 i Europakonventionen (FördrS 63/1999), enligt vilken var och en har rätt till skydd för sin korrespondens. Offentliga myndigheter får inte ingripa i denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten eller landets ekonomiska välstånd, till förebyggande av oordning eller brott, till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter. Grundlagsutskottet har slagit fast att skyddet för privatlivet enligt 10 § i grundlagen bygger på att den enskilde har rätt att leva sitt eget liv utan godtycklig eller ogrundad inblandning av myndigheter och utomstående (GrUU 53/2005 rd, s. 2, GrUU 36/2002 rd, s. 5/II, och GrUU 9/2004 rd, s. 5/II). 

I 10 § 4 mom. i grundlagen ingår särskilda begränsningsklausuler där den som stiftar vanlig lag bemyndigas att begränsa en grundläggande fri- eller rättighet, men samtidigt uppställs ytterligare kriterier som inskränker lagstiftarens prövningsrätt. Syftet med sådana kvalificerade lagförbehållen är att så noggrant och strikt som möjligt bestämma vilka möjligheter till inskränkningar lagstiftaren i samband med en vanlig lag har för att det inte genom grundlag medges en vidare befogenhet att inskränka en grundläggande fri- och rättighet än vad som är absolut nödvändigt (GrUB 25/1994 rd, s. 6). I lagförbehållet i 10 § 4 mom. i grundlagen nämns delvis samma villkor som i de allmänna villkoren för begränsning av grundläggande fri- och rättigheter. Dessa är kravet på bestämmelser i lag och begränsningens nödvändighet. De allmänna begränsningsvillkoren tillämpas som komplement till lagförbehållet. I förslaget är det fråga om en sådan nödvändig begränsning som avses i 10 § 4 mom. i grundlagen för att garantera individens eller samhällets säkerhet men också på grund av ett allvarligt hot mot den nationella säkerheten. 

Propositionen innebär ett förslag till undantag från sekretessbestämmelserna och inskränkningarna när det gäller att lämna ut information. Polisen, skyddspolisen, Försvarsmakten och Transport- och kommunikationsverket ska trots dessa få lämna ut upp-gifter till varandra vid betydande kränkningar av informationssäkerheten eller vid allvarliga hot om sådana. Utlämnandet av information ska i praktiken gälla i synnerhet utlämnande av uppgifter som gäller kommunikation. Begränsningar i utlämnandet av dessa uppgifter finns särskilt i den lagstiftning som gäller Transport- och kommunikationsverket. Utlämnandet ska också gälla uppgifter som betraktas som personuppgifter. Förslaget utvidgar således de lägen där uppgifter kan lämnas ut i enskilda situationer.  

Allmänt taget begränsar förslaget i första hand skyddet för förtroliga meddelanden vid informationsutbyte. Grunden för informationsutbytet är å andra sidan bland annat skyddet för konfidentiell kommunikation, vilket innebär att det skyddet indirekt främjas genom begränsningar i enskilda fall. Den inverkan på de grundläggande fri- och rättigheterna som skyddet för förtroliga meddelanden har blir således en indirekt följd av de åtgärder som myndigheterna vidtar när de utreder och förebygger kränkningar av informationssäkerheten och undanröjer deras verkningar. 

I anslutning till skyddet för förtroliga meddelanden har grundlagsutskottet påpekat att identifieringsuppgifter, som senare börjat kallas förmedlingsuppgifter, inte omfattas av kärnområdet i den grundläggande fri- och rättigheten för sekretess i fråga om konfidentiella meddelanden och därför ansett det möjligt att rätten att få identifieringsuppgifter inte binds till vissa typer av brott, om bestämmelserna i övrigt uppfyller de allmänna kraven på begränsningar av de grundläggande fri- och rättigheterna (GrUU 7/1997 rd, s. 2/I, och GrUU 26/2001 rd, s. 3/II). I förslaget är det utöver förmedlingsuppgifter också fråga om exempelvis sådana uppgifter om innehållet i ett meddelande där det finns särskilda sekretessplikter och begränsningar som gäller deras utlämnande.  

Grundlagsutskottet har ansett att olika åtgärder för att garantera informationssäkerheten är godtagbara med avseende på grundlagen, inklusive ingrepp i innehållet i förtroliga meddelanden under vissa förutsättningar som gäller allvarlig brottsmisstanke, när regleringen garanterar dem som kommunikationen gäller fungerande och säkra datanät och på så sätt skapar förutsättningar för yttrandefrihet och skydd för förtroliga meddelanden på nätet. De omständigheter som på detta sätt syftar till att främja och tillgodose de grund-läggande fri- och rättigheterna har ansetts vara godtagbara och vägande skäl för begränsningar i konfidentiell kommunikation på nätet. Med avseende på proportionalitet har åtgärderna ansetts vara motiverade, om de är nödvändiga för att trygga nät- eller kommunikationstjänsterna eller kommunikationsmöjligheterna för den som tar emot meddelandet. Dessutom har kommunikations om gäller sabotageprogram inte ansetts höra till kärnområdet för skyddet av förtroliga meddelanden, eftersom det inte är fråga om ett sådant meddelande till eller från en person där förtroligheten i fråga om innehållet kan anses stå i centrum för det grundlagsfästa skyddet för förtroliga meddelanden (GrUU 9/2004 rd, s. 4). Utifrån detta kan också informationsutbyte mellan myndigheter på det sätt som nu föreslås anses vara möjligt. 

Avsikten är att med stöd av förslaget göra det möjligt att i lägen där informationssäkerheten kränks eller allvarligt hotar att kränkas lämna ut förmedlingsuppgifter och uppgifter om innehållet i meddelanden, men också andra nödvändiga uppgifter, mellan myndigheter. Med tanke på skyddet för förtroliga meddelanden och privatlivet innehåller förslaget därför flera inskränkningar. Utbytet ska vara möjligt endast om det med avseende på konsekvenserna för samhällets kärnfunktioner är fråga om en särskilt betydande kränkning av informationssäkerheten som i praktiken alltid uppfyller rekvisitet för åtminstone ett av de informationssäkerhetsbrott som räknas upp i 316 § 2 mom. i lagen om tjänster inom elektronisk kommunikation eller för exempelvis spioneribrott. I fråga om hot om en kränkning av informationssäkerheten redogörs det i motiveringen ovan för sådana exceptionellt allvarliga hotsituationer där verkningarna motsvarar en kränkning av informationssäkerheten enligt förslaget om hotet realiseras. Dessutom har betydelsen av sannolikheten för att hotet realiseras understrukits. Tolkningen av vad som är ett hot ska enligt förslaget vara restriktiv eftersom analysen då blir mer osäker. Utlämnandet av uppgifter är knutet till nödvändighetskriteriet på det sätt som grundlagsutskottets tolkningspraxis förutsätter. Grundlagsutskottet har fäst uppmärksamhet vid att om det inte går att i lagen på ett uttömmande sätt specificera innehållet i de uppgifter som lämnas ut, ska det i lagstiftningen ingå ett krav på att uppgifterna är nödvändiga för ett visst syfte (GrUU 62/2010 rd, s. 4/1 och de utlåtanden som nämns där). Enligt förslaget är ett sådant syfte att utreda, förebygga eller undanröja verkningarna av betydande kränkningar av informationssäkerheten.  

Förslaget är i sig inte direkt knutet till rekvisitet för vissa brott, även om något av rekvisiten för ett informations- eller kommunikationsbrott eller exempelvis spioneribrott i praktiken uppfylls i situationer med betydande kränkningar av informationssäkerheten. Att knyta tillämpningen av bestämmelsen till vissa rekvisit skulle vara svårt särskilt när det gäller att reagera på hot. 

11.2.2  Sekretess samt begränsningar när det gäller att lämna ut uppgifter

Grundlagsutskottet har understrukit att det vid en särskiljning mellan behövlighet respektive nödvändighet att få eller lämna ut uppgifter är fråga inte bara om omfattningen av innehållet i uppgifterna utan också om att de intressen som berättigar till sådant informationsutbyte som går före sekretessbestämmelserna åsidosätter de grunder och intressen som skyddas av sekretessen. Ju mer generella bestämmelserna om rätten till information är, desto större är risken för att sådana intressen kan åsidosättas per automatik. Utlämnandet av uppgifter bör enligt utskottet bindas till nödvändighetskravet (GrUU 35/2018 rd, s. 27). Avsikten med förslaget är att skydda samhällets förmåga att fungera och de kritiska samhällsfunktionerna mot allvarliga kränkningar av informationssäkerheten, som i värsta fall kan ha allvarliga konsekvenser för samhället. Med tanke på samhällets säkerhet kan det således anses att intressena i dessa enskilda situationer överskrider de sekretessintressen som skyddas genom sekretessbestämmelserna. Om en kränkning av informationssäkerheten realiseras fullt ut är det dessutom möjligt att konsekvenserna för skyddet för förtroliga meddelanden är betydligt skadligare och berör flera personer än ett informationsutbyte mellan myndigheter i ett enskilt fall. Detta kan vara fallet till exempel i samband med omfattande dataintrång. 

11.2.3  Förhållande till underrättelseverksamhet och brottsbekämpning

Eftersom sådan information i Transport- och kommunikationsverket besittning som är sekretessbelagd och åtnjuter skydd för förtroliga meddelanden, vid ömsesidigt informationsutbyte kan lämnas ut till skyddspolisen och Försvarsmakten och vid behov också mellan dessa, behöver förslagets granskas i förhållande till underrättelseverksamheten och tillhörande frågor om de grundläggande fri- och rättigheterna, särskilt med avseende på konfidentiell kommunikation. Det är i sig fråga om informationsutbyte i en väl avgränsad situation som gäller ett enskilt fall och inte om en bred kanal för generellt informationsutbyte. Grundlagsutskottet har i fråga om detta bestämt att en ändring av grundlagen inte möjliggör en allmän, oriktad och heltäckande övervakning av datatrafiken i underrättelseverksamheten (GrUB 4/2018 rd, s. 8). Också EU-domstolen har i sin praxis slagit fast att informationsinhämtning ska vara tillräckligt riktad och specificerad. Enligt EU-domstolen kräver skyddet av den grundläggande rätten till respekt för privatlivet under alla omständigheter att undantag från och begränsningar av skyddet för personuppgifter ska inskränkas till vad som är strängt nödvändigt (dom digital Rights Ireland m.fl., punkt 52 och där angiven rättspraxis). Också grundlagsutskottet har fört fram sin ståndpunkt om inriktning och avgränsning när det gäller underrättelseverksamhet (GrUB 4/2018 rd, s. 7–8). Förslaget anses inte stå i strid med dessa specialvillkor för inriktning och avgränsning av informationsinhämtningen. 

Grundlagsutskottet har i samband med den ändring av grundlagens 10 § som gäller underrättelselagarna framfört de viktigaste grunder som måste beaktas vid bedömningen av sådan militär verksamhet eller annan verksamhet som allvarligt hotar den nationella säkerheten enligt 10 § 4 mom. i grundlagen som utgör grund för begränsning av hemligheten i fråga om förtroliga meddelanden. Utskottet har lyft fram starka rättssäkerhetsgarantier, bred och effektiv tillsyn över utövningen av befogenheterna till underrättelseinhämtning och lämpligt avgränsad tillämpning. Det rör sig om en exceptionell begränsningsgrund som inte bygger på att verksamheten ska  

vara brottslig och som således blir tillämplig också i fall där det inte går att peka på någon konkret och specificerad misstanke om brott varken i informationsinhämtningsfasen eller i övrigt (GrUB 4/2018 rd, s. 8).  

Även om det inte i sig är fråga om en metod för inhämtande av information inom underrättelseverksamheten, kan den information som utbytts i en sådan situation som avses i förslaget vara sådan att underrättelsemyndigheten i andra situationer ansöker om tillstånd hos domstolen för att få den. Transport- och kommunikationsverkets uppgift innebär att verket har tillgång till och i vissa situationer innehar sådana uppgifter som underrättelsemyndigheter och inte heller brottsbekämpande myndigheter har direkt tillgång till utan tillstånd av domstol. Förslaget som helhet gäller avgränsade och i lag angivna fall, och de innebär inte att regleringen skulle utgöra något betydande undantag från de principer som gäller för underrättelseinhämtning. Avsikten har varit att noggrant avgränsa informationens användningsändamål på så sätt att den kan användas bara för att utreda, förebygga och undanröja verkningarna av kränkningar av informationssäkerheten. Informationen kan således också användas särskilt för förebyggande verksamhet i enlighet med myndigheternas lagstadgade uppgifter också i andra situationer än de som lett till att in-formationen lämnats ut. I fråga om garantierna för rättsmedel fyller avgränsningen av informationens användningsändamål en viktig funktion. Med tanke på helheten är det dock ändamålsenligt att information om allvarliga situationer kan användas för att främja den nationella säkerheten, och därför ska informationen kunna användas för att rikta in underrättelseverksamheten, och då garanteras rättssäkerheten dels av domstol, dels genom förebyggande åtgärder. 

När information lämnas ut till polisen och Försvarsmakten måste man utöver underrättelseverksamheten också granska hur informationsutbytet förhåller sig till brottsbekämpningen, för det första med avseende på att det i fråga om informationsutbyte har föreskrivits om en särskild s.k. brandvägg mellan underrättelseverksamheten och brottsbekämpningen. Med brandmur avses att uppgifter som inhämtats genom underrättelsebefogenheter inte får överföras till en förundersökningsmyndighet utan att de lagstadgade kriterierna är uppfyllda. Utlämnande av sådana uppgifter för brottsbekämpning är möjligt efter prövning i fråga om vissa allvarliga brott, men samtidigt obligatoriskt i fråga om särskilt allvarliga brott. Ett nyckelelement som styr prövningen är hur utlämnandet av uppgifter påverkar den nationella säkerheten. Grundlagsutskottet har ansett det vara viktigt att säkerställa att bestämmelserna om utbyte av information som erhållits genom befogenheter till underrättelseinhämtning inte öppnar upp för möjligheter att kringgå bestämmelserna om hemliga metoder för inhämtande av information i polislagen och om användning av hemliga tvångsmedel i tvångsmedelslagen, där tröskeln för tillämpning i praktiken är högre (GrUU 35/2018 rd, s. 21–22). Eftersom myndigheterna i de situationer som avses i förslaget inbördes kan lämna ut uppgifter till varandra, finns det en möjlighet att information som erhållits genom en metod för underrättelseinhämtning i samband med informationsutbytet också får lämnas ut till en förundersökningsmyndighet.  

Både i lagen om militär underrättelseverksamhet och i polislagens 5 a kap. om civil underrättelseinhämtning finns bestämmelser om utlämnande till en förundersökningsmyndighet av information som inhämtats genom en metod för underrättelseinhämtning. Underrättelsemyndigheterna har rätt att anmäla endast sådana genom en metod för underrättelseinhämtning avslöjade brott där det föreskrivna strängaste straffet är fängelse i minst tre år. Allvarliga brott som kan förhindras ska utan dröjsmål anmälas till förundersökningsmyndigheten, och rätt att anmäla föreligger för brott där det föreskrivna strängaste straffet är fängelse i två år. Ett villkor för fakultativ anmälan av brott är att anmälan bedöms vara av synnerlig vikt för utredningen av ett brott för vilket det föreskrivna strängaste straffet är fängelse i minst tre år. I de situationer som avses i förslaget uppfylls ofta strafflagens rekvisit för exempelvis grov systemstörning och grovt dataintrång, och då är det möjligt att lämna ut information även utan undantagsbestämmelser också i fråga om information som lämnas ut för förundersökning. Samma läge föreligger exempelvis i fråga om spioneribrott, röjande av statshemlighet och olovlig underrättelseverksamhet, och i fråga om dessa är utlämnande av information för brottsbekämpning enligt lag delvis till och med obligatoriskt. I dessa delar står förslaget inte i strid med grundlagsutskottets ståndpunkt ovan. I fråga om ringare brott kan det i vissa situationer uppkomma ett läge där förundersökningsmyndigheten får kännedom om information om ett sådant brott via underrättelseverksamheten. Straffet för exempelvis systemstörning eller dataintrång är fängelse i högst två år. Med andra ord överskrids inte den ovan relaterade tröskeln för utlämnande av information, såvida inte brottet fortfarande går att förhindra. I dessa fall kan en betydande kränkning av informationssäkerheten enligt förslaget komma i fråga när åtgärder som utgör ringare brott genomförs på flera ställen samtidigt, varvid effekten kan flerdubblas. Också här måste det avvägas huruvida det är fråga om en grov gärningsform av brotten, vilket i så fall medger utlämnande av information för brottsbekämpning. Utifrån detta kan det anses att förslaget inte i dessa delar medför något betydande undantag från inskränkningarna när det gäller att lämna ut uppgifter.  

En annan aspekt i fråga om brottsbekämpning gäller utlämnande av sådan information för brottsbekämpning som Transport- och kommunikationsverket fått. Transport- och kommunikationsverket har till uppgift att säkerställa konfidentialitet vid kommunikationen exempelvis genom sitt Cybersäkerhetscenter. Verket får information genom sin egen verksamhet och genom frivilliga anmälningar till Cybersäkerhetscentret, och på detta sätt får det kännedom också om information som myndigheterna för brottsbekämpning och underrättelseverksamhet måste ansöka om tillstånd hos domstol för att få, vilket beror på att rättssäkerheten måste tillgodoses. Det är delvis därför som det har föreskrivits särskilda sekretessplikter och inskränkningar för utlämnande av information som verket disponerar över. Meddelandets innehåll, förmedlingsuppgifter och lokaliseringsuppgifter får i princip lämnas ut till andra myndigheter endast när myndigheten själv har råkat ut för eller hotas av en kränkning av informationssäkerheten. Förslaget utgör ett undantag från denna princip i lägen där myndigheterna lämnar ut information sinsemellan. Utifrån det som sägs ovan kan det slås fast att den nytta som undantaget medför med avseende på konfidentialitet vid kommunikationen stor i förhållande till orsakad olägenhet. Samtidigt bör det påpekas att syftet med inskränkning av informationens användningsändamål är att säkerställa att rättsmedel är tillgängliga även i fortsättningen. 

11.2.4  Bedömning av villkoren för inskränkning av de grundläggande fri- och rättigheterna

Sett till de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna och begränsningsvillkoret i 10 § 4 mom. i grundlagen uppfyller förslaget kravet på bestämmelser i lag. När det gäller exakthet och noggrann avgränsning är det på det hela taget en utmaning att i alla delar begränsa informationsutbytet om kränkningar av informationssäkerheten. Begreppet kränkning eller allvarligt hot om kränkning av informationssäkerheten är omfattande och täcker in många olika gärningsformer. Dessutom utvecklas tillvägagångssätten hela tiden i takt med att tekniken utvecklas. Men också föremålet för kränkningen eller hotet spelar en viss roll. Kränkningen kan riktas mot en enskild aktör eller med större omfång mot flera tusen privatpersoner och därmed vara betydande på det sätt som avses i förslaget. En mycket stor krets av privatpersoner, företag, organisationer eller myndigheter kan bli föremål för dessa kränkningar. Denna mångfald innebär att det ytterst svårt att i detalj avgränsa regleringen när man vill att myndigheterna ska kunna vidta åtgärder i alla dessa situationer.  

Begreppen nationell säkerhet, försvaret och det allmännas beslutsförmåga är omfattande till sitt innehåll och i viss mån ospecificerade. Den mångfald av situationer som framgår av föregående stycke innebär vidare att det inte heller varit möjligt att ge en uttömmande förteckning över de uppgifter som kan utbytas. Därför har strävan varit att göra andra avgränsningar utifrån vilka förslaget kan anses uppfylla kravet på exakthet och noggrann avgränsning. Även om konsekvenserna av en kränkning av informationssäkerheten eller ett hot om en sådan kränkning i vissa delar är vagt definierade, medför tillämpningen av förslaget i praktiken inga andra rättigheter än sådana som gäller nödvändigt informationsutbyte. Förslaget skiljer sig i detta avseende avsevärt från exempelvis det som står i beredskapslagen, eftersom förslagets rättsverkningar är betydligt mer begränsade. Dessutom upphör heller inte sekretessen när myndigheterna utbyter information. I förslaget har informationsutbytet begränsats till vissa myndigheter, informationen har inskränkts till att gälla endast nödvändiga uppgifter och uppgifterna får användas bara för att utreda, förebygga eller undanröja verkningarna av kränkningar av informationssäkerheten. Dessutom krävs det att konsekvenserna är allvarliga. I fråga om allvarliga hot ska tolkningen dessutom vara restriktiv och det ska beaktas hur sannolikt det är att konsekvenserna realiseras, och då ska sannolikheten vara stor. I dessa delar kan det bedömas att kravet på exakthet och noggrann avgränsning på det hela taget blir uppfyllt. 

I fråga om personuppgifter har grundlagsutskottet i sin praxis i förhållande till tidigare kriterier för informationsutbyte preciserat att sekretessbelagda personuppgifter inte får lämnas ut ens med stöd av nödvändighetskriteriet, om rätten att få uppgifter annars har definierats på ett vagt och ospecificerat sätt (GrUU 19/2012 rd, s. 3–4, och de utlåtanden som nämns där). Informationsutbyte i enlighet med förslaget har till denna del knutits till nödvändighetskriteriet, och samtidigt anges det också vilka myndigheter som får utbyta information med varandra. Därför kan förslaget inte i detta avseende anses vara konstitutionellt problematiskt. 

Med avseende på hur godtagbart det är att inskränka skyddet för förtroliga meddelanden anses det vara av särskild betydelse om det finns ett väsentligt behov av att trygga centrala samhällsfunktioner. Också i 10 § 4 mom. i grundlagen förutsätts det att begränsningar i meddelandehemligheten ska vara nödvändiga bland annat vid utredning av brott som äventyrar individens eller samhällets säkerhet eller hemfriden eller för att inhämta information om sådan annan verksamhet som allvarligt hotar den nationella säkerheten. Allvarliga kränkningar av informationssäkerheten kan ha långtgående och komplexa konsekvenser för olika sektorer och på så sätt för både individens eller samhällets säkerhet och den nationella säkerheten. Kränkningar av informationssäkerheten kan försvaga skyddet för privatlivet, och samtidigt kan de också beroende på vem som utsätts för kränkningen också få konsekvenser som gäller liv och hälsa. Ur denna synvinkel har förslaget ansetts ha godtagbara grunder som uppfyller nödvändighetskravet för att be-gränsa skyddet för förtroliga meddelanden.  

Med avseende på proportionalitetskravet kan rätt att lämna ut uppgifter komma i fråga endast i enskilda fall. Det anges också vad informationen får användas till, och användningsändamålet är avgränsat. Avgränsningen har ansetts står i rätt proportion till att väsentliga samhällsfunktioner ska säkerställas. Dessutom har ribban satts relativt högt när det gäller att tillämpa bestämmelserna, vilket understryker nödvändigheten i de berörda och mycket allvarliga säkerhetshotande situationerna. Då är det nödvändigt att tillämpa exceptionella rättigheter till informationsutbyte.  

När det gäller tillräckliga garantier för rättssäkerheten gäller rättsmedlen i praktiken de myndighetsfunktioner med stöd av vilka information de facto samlas in. Dessa är således i synnerhet befogenheter som gäller underrättelseverksamhet och tvångsmedel inom de hemliga metoder för inhämtande av information som används i samband med behandling av personuppgifter, underrättelseverksamhet och brottsbekämpning. Enligt förslaget avses sådan information inte inbegripa möjlighet att använda den erhållna informationen för tillräknande, utan för detta ändamål ska sedvanliga metoder användas. Genom förslaget skapas inte något egentligt nytt sätt för myndigheterna att inhämta information för att sköta andra lagstadgade uppgifter, utan informationen används endast i samband med utredning av kränkningar av informationssäkerheten. Dessutom finns det till den del det är fråga om personuppgifter rättsmedel i anslutning till dataskyddet. Rättsmedlen anses till dessa delar vara tillräckliga.  

Propositionen anses ligga i linje med förpliktelserna i fråga om de mänskliga rättigheterna. I detta sammanhang är Europakonventionen av särskild betydelse, såsom dess innehåll ser ut i ljuset av Europadomstolens rättspraxis. Enligt Europadomstolens rättspraxis krävs det alltid att en inskränkning av förtrolig kommunikation motiveras av ett vägande samhälleligt behov, att ingripandet och det godtagbara mål som eftersträvas står i rätt proportion till varandra och att det finns relevanta och tillräckliga skäl för inskränkningen. Dessutom måste inskränkningarna vara tillåtna enligt lag. Europadomstolens rättspraxis understryker kvaliteten på lagstiftningen, såsom exakthet, och reglering som tryggar förutsägbarheten i myndigheternas verksamhet och förhindrar maktmissbruk. Förslaget anses uppfylla dessa krav. 

11.2.5  Dataskydd vid informationsutbyte mellan myndigheter

Enligt 10 § 1 mom. i grundlagen är vars och ens privatliv, heder och hemfrid tryggade. Närmare bestämmelser om skydd för personuppgifter utfärdas genom lag. Grundlagsutskottet har ansett att skyddet för personuppgifter i första hand bör tillgodoses med stöd av EU:s allmänna dataskyddsförordning och den nationella lagstiftningen och vara avgränsad till vad som är nödvändigt inom ramen för det handlingsutrymme som dataskyddsförordningen medger (GrUU 14/2018 rd, s. 4–5).  

Med stöd av den föreslagna 319 a § utbyts också uppgifter som anses vara personuppgifter. Myndigheternas rätt att behandla dessa uppgifter kommer nu att utvidgas uttryckligen i fråga om utlämnandet. I övrigt har de redan nu rätt att behandla uppgifterna i fråga. I förslaget är det således fråga om sådan behandling av uppgifter som avses i artikel 4 i dataskyddsförordningen och 3 § 1 mom. 2 punkten i dataskyddslagen avseende brottmål, eftersom myndigheterna lämnar ut och sammanför uppgifter som de innehar, såsom förmedlingsuppgifter. På verksamheten hos de myndigheter som avses i förslaget eller på någon del av verksamheten tillämpas för sin del olika dataskyddsbestämmelser, vilket framgår av avsnitt 2.2.4 om nuläget. I de situationer som avses i förslaget är det således möjligt att personuppgifter vid informationsutbyte används för andra ändamål än det ursprungliga, i synnerhet om uppgifter överförs från brottsbekämpningsmyndigheterna till Transport- och kommunikationsverket eller vice versa.  

Förmedlingsuppgifterna omfattas i sig av den nationella regleringen för genomförande av direktivet om integritet och elektronisk kommunikation. Sådan reglering finns särskilt i lagen om tjänster inom elektronisk kommunikation. Särskilt viktig är direktivartikel 15.1, enligt vilken medlemsstaterna genom lagstiftning får vidta åtgärder för att begränsa vissa rättigheter och skyldigheter enligt direktivet. En sådan begränsning ska vara nödvändig, lämplig och proportionell i ett demokratiskt samhälle för att skydda nationell säkerhet (dvs. statens säkerhet), försvaret och allmän säkerhet samt för förebyggande, undersökning, avslöjande av och åtal för brott eller vid obehörig användning av ett elektroniskt kommunikationssystem. En bedömning enligt dessa kriterier har ansetts vara analog med en bedömning enligt ovan av rätten att begränsa grundläggande fri- och rättigheter och samtidigt även med en bedömning av bestämmelserna om integritetsskydd. 

Bestämmelsen möjliggör i sig utbyte av all nödvändig information, vilket inte kategoriskt utesluter möjligheten till utbyte av personuppgifter som hör till de särskilda kategorier av personuppgifter som avses i dataskyddslagen (1050/2018). Den föreslagna avgränsningen, dvs. att de uppgifter som lämnas ut ska vara nödvändiga för att utreda, förebygga eller undanröja verkningarna av en kränkning av informationssäkerheten, begränsar dock i praktiken sådant informationsutbyte främst till teoretisk nivå. Sådana uppgifter saknar betydelse för utredning av kränkningar av informationssäkerheten, och när information där sådana uppgifter eventuellt ingår behandlas med stöd av andra kriterier exempelvis i samband med behandling av material som gäller dataintrång, behöver de inte lämnas ut till en annan myndighet, utan de ska enligt bestämmelsen raderas såsom onödiga, om inte något annat följer av annan lag. 

Enligt de allmänna principerna för behandling av personuppgifter i artikel 5 i dataskyddsförordningen är särskilt kraven på laglighet, korrekthet och öppenhet väsentliga. Dessutom ska personuppgifter samlas in för särskilda, uttryckligt angivna ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Bestämmelser om undantag från användningsändamålet för personuppgifter finns i artikel 6.4 i dataskyddsförordningen. Avvikelsen får enligt artikeln grunda sig på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1. I skäl 50 till förordningen slås det fast att om behandlingen grundar sig på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte. Under alla omständigheter bör tillämpningen av principerna i förordningen, särskilt informationen till den registrerade om dessa andra ändamål och om dennes rättigheter, inbegripet rätten att göra invändningar, säkerställas.  

I förslaget används det nationella handlingsutrymme som artikel 23 medger på så sätt att den föreslagna lagstiftningsåtgärden innebär en ändamålsbegränsning enligt artikel 5. De förslag som syftar till att säkerställa den nationella säkerheten och samtidigt också möjliggöra förebyggande av brott har ansetts vara nödvändiga och stå i rätt proportion till det eftersträvade skyddsintresset. Det anses finnas vägande samhälleliga skäl för att göra undantag från ändamålet när det gäller att skydda kritiska samhällsfunktioner. Samtidigt har kravet på proportionalitet uppfyllts när en avgränsning gjorts till nödvändiga uppgifter till nödvändiga, men också genom en relativt hög tröskel för tillämpning av undantagsbestämmelsen, dvs. bara i situationer med allvarliga konsekvenser. 

Utlämnande av uppgifter enligt förslaget kan i vissa situationer också ske direkt med stöd av 16 § 3 mom. i offentlighetslagen. Det är inte alltid fråga om undantag från ändamålsbegränsningen för personuppgifter, utan behandlingen kan ske med stöd av den ursprungliga behandlingsgrunden eller en behandlingsgrund som är förenlig med den. Kriteriet för behandling av personuppgifter är då utförande av en uppgift av allmänt intresse och som ett led i den personuppgiftsansvariges myndighetsutövning. I annat fall utgörs grunden för behandlingen av den föreslagna lagstiftningen, och målet av allmänt intresse enligt artikel 6.3 är att säkerställa den allmänna säkerheten vid kränkningar av informationssäkerheten. Bestämmelsen om utlämnande av information anses stå i rätt proportion till det eftersträvade målet, med beaktande av de begränsningar som nämns ovan.