Ulkoasiainministeriö E-KIRJELMÄ UM2007-00847 HAL-07 Kaukoranta Päivi,Repo Timo 10.04.2007 JULKINEN Suuri valiokunta Ulkoasiainvaliokunta Viite Asia Sopimus turvaluokiteltujen tietojen suojaamisesta Euroopan unionin ja Amerikan yhdysvaltojen välillä U/E-tunnus: EUTORI-numero: Ohessa lähetetään perustuslain 97 :n mukaisesti selvitys Euroopan unionin ja Amerikan yhdysvaltojen välillä tehtävästä turvaluokiteltujen tietojen suojaamista koskevasta sopimuksesta. Ulkoasiainneuvos Timo Repo
LIITTEET UM2007-00850 Perusmuistio Sopimus turvaluokiteltujen tietojen suojaamisesta Euroopan unionin ja Amerikan yhdysvaltojen välillä (7 sivua) 2(3)
3(3) Asiasanat Hoitaa Tiedoksi asiakirjaturvallisuus, Yhdysvallat UM EUE, KTM, LVM, MMM, OPM, PLM, SM, TH, TPK, VM, VNEUS, YM, OM Lomakepohja: Eduskuntakirjelmä
Ulkoasiainministeriö PERUSMUISTIO UM2007-00850 HAL-07 Kaukoranta Päivi,Repo Timo 10.04.2007 JULKINEN Asia EU; Sopimus turvaluokiteltujen tietojen suojaamisesta Euroopan unionin ja Amerikan yhdysvaltojen välillä Kokous Liitteet Viite EUTORI/Eurodoc nro: U-tunnus / E-tunnus: Käsittelyn tarkoitus ja käsittelyvaihe: Asiakirjat: Sopimuksen tekemistä koskevan päätöksen hyväksyminen Coreperissa/neuvostossa. Neuvoston turvallisuuskomitea on antanut asiasta myönteisen lausunnon 29.3.2007 ja sopimusluonnos on käsitelty UTP-neuvosten työryhmässä 29.3.2007. Sopimusluonnos (29.3.2007) turvaluokiteltujen tietojen suojaamisesta Euroopan unionin ja Amerikan yhdysvaltojen välillä EU:n oikeuden mukainen oikeusperusta/päätöksentekomenettely: Käsittelijä(t): SEU 24 ja 38 artikla; neuvosto tekee päätöksen sopimuksen hyväksymisestä yksimielisesti puheenjohtajavaltion suosituksesta. Timo Repo, UM, p. 160 56487 Päivi Kaukoranta, UM, p.160 55715 Kaija Suvanto, UM, p. 160 55711 Suomen kanta/ohje: Sopimus on Suomen hyväksyttävissä. Suomi yhtyy siihen arvioon, että sopimusluonnos noudattaa yleistä mallisopimusta ottaen huomioon myös muiden kolmansien valtioiden kanssa tehdyt sopimukset sekä neuvoston turvallisuuskomitean ohjeet. Sopimus ei sisällä määräyksiä, jotka vaatisivat SEU 24(5) artiklassa tarkoitettujen valtiosäännön edellyttämien menettelyjen noudattamista.
2(7) Pääasiallinen sisältö: Tausta Yleisiä säännöksiä arkaluonteisten asiakirjojen käsittelystä sisältyy Euroopan parlamentin ja neuvoston avoimuusasetuksen (1049/2001) 9 artiklaan. Neuvoston turvallisuussäännöt on vahvistettu neuvoston päätöksellä (264/2001). Päätös on soveltamisalaltaan laaja: siinä säädetään mm. asiakirjojen turvaluokittelusta, niiden käsittelystä, fyysisestä turvallisuudesta, henkilöstön luotettavuusselvitysmenettelystä ja EU:n turvaluokiteltujen tietojen luovuttamista kolmansille valtioille ja kansainvälisille järjestöille. Päätöksen mukaan neuvosto voi tehdä kolmansien valtioiden ja järjestöjen kanssa sopimuksia turvaluokiteltujen tietojen vaihtoa koskevista turvamenettelyistä, kun tietojenvaihtoon on pysyvä tai pitkäaikainen tarve. Neuvosto päätti 4.12.2003 valtuuttaa puheenjohtajavaltion SEU 24 ja 38 artiklan nojalla neuvottelemaan turvaluokiteltujen tietojen suojaamista koskevista sopimuksista Amerikan Yhdysvaltojen, Bosnia ja Hertsegovinan, Bulgarian, Islannin, Kanadan, Norjan, Romanian, Turkin, Ukrainan, Venäjän federaation sekä entisen Jugoslavian tasavallan Makedonian kanssa mallisopimuksen pohjalta. Unioni on tehnyt tällaisia sopimuksia tähän mennessä Bosnia ja Hertsegovinan, Bulgarian, Islannin, Kroatian, Makedonian, Norjan, Romanian ja Ukrainan kanssa (ks. UTP 3/2006 vp). Osa sopimuksista on menettänyt käytännössä merkityksensä vastapuolen liityttyä Euroopan unioniin. Puheenjohtajavaltio on neuvotellut korkean edustajan avustamana sopimuksesta teknisellä tasolla USA:n edustajien kanssa. Komissio on osallistunut neuvotteluihin. USA:n puolelta on ilmoitettu 23.3.2007, että sopimusluonnos on hyväksyttävissä. Sopimusluonnos noudattaa yleistä mallisopimusta ottaen huomioon myös muiden kolmansien valtioiden kanssa tehdyt sopimukset sekä neuvoston turvallisuuskomitean ohjeet. Sopimuksen sisältö Yleistä Luonnos EU:n ja USA:n väliseksi sopimukseksi turvaluokiteltujen tietojen suojaamisesta vastaa sisällöltään EU:n aiemmin tekemiä tietoturvasopimuksia kolmansien valtioiden kanssa. Sopimus koskee Yhdysvaltain hallituksen ja Euroopan unionin välillä vaihdetun tiedon suojaamista. Sopimus ei vaikuta Suomen velvoitteisiin suojata EU:n turvaluokiteltua tietoa neuvoston turvallisuussääntöjen mukaisesti eikä se koske Suomen kansallisen turvaluokitellun tiedon käsittelyä. Sopimusluonnos ei aseta EU:lle velvoitteita luovuttaa USA:lle turvaluokiteltua tietoa sen alkuperästä riippumatta. Sopimusluonnos ei oikeuta EU:n toimielimiä luovuttamaan USA:lle jäsenvaltion luokiteltuun tietoon perustuvaa EU:n turvaluokiteltua tietoa ilman kyseisen jäsenvaltion lupaa. Vastaavasti sopimus ei anna EU:n toimielimille oikeutta luovuttaa USA:n turvaluokiteltua tietoa jäsenvaltioille ilman USA:n lupaa. Sopimus ei vaikuta myöskään siihen, millä edellytyksillä jäsenvaltiot luovuttavat turvaluokiteltua tietoa USA:lle.
3(7) Sopimusluonnoksen tarkoituksena on luoda sopimuspuolten välillä sitova sääntely, jonka puitteissa ne voivat halutessaan luovuttaa toisilleen turvaluokiteltua tietoa turvaamalla tällaisen tiedon asianmukainen suojelu. Sopimuksen yksityiskohtainen sisältö 1 artikla. Soveltamisala. Sopimusta sovelletaan turvaluokiteltuihin tietoihin, joita sopimuspuolet toimittavat toisilleen tai vaihtavat keskenään. Sopimuspuolet suojaavat toiselta sopimuspuolelta saatuja turvaluokiteltuja tietoja sopimuksen määräysten ja omien lainsäädäntöjensä mukaisesti. 2 artikla. Määritelmät. Tässä sopimuksessa EU:lla tarkoitetaan Euroopan unionin neuvostoa, sen korkeana edustajana toimivaa pääsihteeriä ja neuvoston pääsihteeristöä sekä Euroopan komissiota. Sopimuksessa turvaluokitellulla tiedolla tarkoitetaan tietoja ja aineistoa, jonka ilmaiseminen ulkopuolisille voisi vahingoittaa USA:n tai EU:n tai sen jäsenvaltioiden etuja, jotka vaativat suojaamista USA:n hallituksen tai EU:n turvallisuusetujen vuoksi, ja jotka on varustettu turvaluokitusta koskevalla merkinnällä. Tieto voi olla suullisessa, kuvallisessa, sähköisessä, magneettisessa tai asiakirjamuodossa taikka aineistomuodossa, ml. varusteet ja teknologia. 3 artikla. Turvaluokat. Sopimuksessa määritellään EU:n ja USA:n käyttämien turvaluokitustasojen vastaavuudet. Toisen sopimuspuolen turvaluokiteltua tietoa on suojattava vastaanottavassa sopimuspuolessa vähintään vastaavalla tavalla kuin luovuttavassa sopimuspuolessa. 4 artikla. Turvaluokitellun tiedon suojaaminen. Sopimuspuolilla tulee olla turvajärjestelmät ja turvallisuustoimenpiteet, jotka perustuvat sen lainsäädännössä määriteltyihin periaatteisiin ja minimivaatimuksiin, samantasoisen suojan takaamiseksi turvaluokitellulle tiedolle. Sopimuspuolet antavat toisille pyynnöstä tietoja näistä järjestelyistä. Vastaanottava sopimuspuoli antaa turvaluokitelluille tiedoille vähintään saman suojan kuin luovuttava sopimuspuoli. Vastaanottava sopimuspuoli ei saa käyttää turvaluokiteltua tietoa eikä sallia sitä käytettävän ilman luovuttavan sopimuspuolen lupaa mihinkään muuhun tarkoitukseen kuin mihin se on luovutettu. Vastaanottava sopimuspuoli ei siirrä tietoja edelleen ilman luovuttavan sopimuspuolen lupaa ja se noudattaa edelleenluovutukselle mahdollisesti asetettuja rajoituksia. Vastaanottava sopimuspuoli takaa, että turvaluokitellun tiedon omistajan oikeuksia samoin kuin immateriaalioikeuksia (patentit, tekijänoikeudet, liikesalaisuudet) suojataan asianmukaisesti. Turvaluokiteltuun tietoon on pääsy vain turvallisuustarkastetuilla henkilöillä, joilla on virallisten tehtäviensä puolesta tarve saada tieto. Tietoa käsitteleville henkilöille on ilmoitettava tiedon suojaamista koskevasta velvollisuudesta. 5 artikla. Henkilöiden luotettavuuden selvittäminen. Sopimuksen mukaan turvallisuusluokkaan luottamuksellinen tai sitä ylempään luokkaan kuuluvia tietoja voivat käsitellä ainoastaan henkilöt, joiden luotettavuus on asianmukaisesti tarkastettu. Tällainen tarkastus perustuu kansallisen turvallisuusviranomaisen (NSA) tekemään turvallisuusselvitykseen. 6 artikla. Tiedon luovuttaminen. Sopimuspuolet suojaavat turvaluokiteltua tietoa, joka on annettu sen haltuun. Siihen asti suojaamisesta vastaa luovuttava sopimuspuoli. 7 artikla. Tilojen turvallisuus. Sopimuspuolet varmistavat niiden tilojen turvallisuuden, joissa turvaluokiteltuja tietoja säilytetään.
4(7) 8 artikla. Turvaluokitellun tiedon luovuttaminen sopimusosapuolille (contractor). Sopimuspuoli voi luovuttaa hallussaan olevia turvaluokiteltuja tietoja sopimusosapuolille tiedon luovuttaneen sopimuspuolen suostumuksella. Sopimuspuolen tulee tällaisessa tapauksessa varmistaa, että tiedon saajalla on kyky suojata tietoja ja sen luotettavuus on selvitetty. Tässä sopimusosapuolilla ei tarkoiteta EU:n tai USA:n hallituksen palveluksessa olevia henkilöitä. 9 artikla. Tiedon välittäminen. Turvallisuusluokiteltuja tietoja välitetään sopimuspuolten sopimalla tavalla. Sopimuksessa määrätään, mihin kirjeenvaihto sopimusta sovellettaessa osoitetaan. Sopimuksessa määritellään, minkälaisia kanavia pitkin ja missä muodossa eri turvaluokkiin kuuluvia tietoja voidaan välittää. 10 artikla. Vierailu sopimuspuolten laitoksiin. Tarvittaessa sopimuspuolet vahvistavat henkilöstölle yhteisesti sovittuja kanavia pitkin turvaselvityksen toisen sopimuspuolen laitoksiin vierailemista varten. 11 artikla. Vastavuoroiset vierailut. Sopimuspuolet voivat tarkastaa sopimuksen täytäntöönpanoa vastavuoroisilla vierailuilla. 12 artikla. Valvonta. Sopimuksessa nimetään tahot, jotka valvovat sopimuksen täytäntöönpanoa. EU:n puolella nämä ovat neuvoston pääsihteeri sekä turvallisuusasioista vastaava komission jäsen. 13 artikla. Tekninen turvallisuusjärjestely. Sopimuspuolten asianomaiset viranomaiset sopivat teknisestä turvallisuusjärjestelystä, jossa määritellään tietoja vaihdettaessa noudatettavista turvallisuusstandardeista. EU:ssa järjestelyä valmistelee neuvoston turvallisuusyksikkö ja komission turvallisuustoimisto. EU:n puolelta tällaisen järjestelyn hyväksyy neuvoston turvallisuuskomitea. 14 artikla. Turvaluokituksen alentaminen tai poistaminen. Sopimuspuolet sopivat siitä, että turvaluokittelua alennetaan tai se poistetaan heti, kun kyseinen tieto ei vaadi enää alkuperäistä luokittelua. Turvaluokituksen alentaminen tai poistaminen on tiedon luovuttaneen sopimuspuolen vapaassa harkinnassa. Vastaanottanut sopimuspuoli ei saa alentaa tai poistaa turvaluokitusta ilman tiedon luovuttaneen sopimuspuolen lupaa. 15 artikla. Katoaminen tai tiedon suojan loukkaaminen. Sopimuspuoli tutkii todetut tai epäillyt tiedon katoamistapaukset tai tiedon suojan loukkaukset ja ilmoittaa toiselle sopimuspuolelle, mihin toimenpiteisiin se on ryhtynyt. 16 artikla. Riitojenratkaisu. Sopimusta koskevat riitaisuudet ratkaistaan sopimuspuolten välisillä neuvotteluilla. 17 artikla. Kulut. Sopimuspuolet vastaavat sopimuksen täytäntöönpanosta johtuvista kuluistaan. 18 artikla. Kyky suojata tietoja. Ennen kuin sopimuspuolet vaihtavat turvaluokiteltuja tietoja, sopimuksessa määritellyt turvallisuusviranomaiset arvioivat, onko vastaanottava sopimuspuoli kykenevä suojaamaan tietoja teknisessä turvallisuusjärjestelyssä määritellyllä tavalla. 19 artikla. Muut sopimukset. Sopimuksella ei vaikuteta muihin EU:n ja USA:n välisiin sopimuksiin eikä myöskään USA:n ja EU:n jäsenvaltioiden välisiin sopimuksiin. Sopimus
Kansallinen käsittely: Eduskuntakäsittely: 5(7) ei estä sopimuspuolia tekemästä muita tietoturvasopimuksia, edellyttäen että ne eivät ole ristiriidassa tämän sopimuksen määräysten kanssa. 20 artikla. Voimaantulo, muuttaminen ja irtisanominen. Sopimus tulee voimaan viimeisestä allekirjoituksesta lukien. Sopimuspuolet ilmoittavat toisilleen omien lainsäädäntöjensä muutoksista, jotka voivat vaikuttaa sopimuksen soveltamisalaan kuuluvan turvaluokitellun tiedon suojaamiseen. Sopimuspuolet voivat muuttaa sopimusta kirjallisesti. Sopimuspuolet voivat irtisanoa sopimuksen 90 päivän irtisanomisajalla. Sopimuksen todistusvoimaisena kielenä on englanti. Sopimuksen tekemistä koskeva neuvoston päätös Sopimus hyväksytään neuvoston päätöksellä, johon liitetään sopimuksen teksti. Neuvoston puheenjohtaja valtuutetaan nimeämään henkilö, joka on oikeutettu allekirjoittamaan sopimuksen unionin puolesta. Päätös julkaistaan EU:n virallisessa lehdessä. Kansainvälisten tietoturvasopimusten käsittelystä Euroopan unionissa Euroopan unioni on tehnyt kansainvälisiä tietoturvasopimuksia SEU 24 ja 38 artiklan nojalla. SEU 24(5) artiklan mukaan tällaiset sopimukset eivät sido jäsenvaltioita, jonka edustaja ilmoittaa neuvostossa, että kyseisen jäsenvaltion on noudatettava valtiosääntönsä edellyttämiä menettelyjä. Jäsenvaltiot ovat katsoneet, että tällaiset sopimukset eivät kosketa jäsenvaltioiden toimivaltaa sillä tavalla, että olisi tarvetta noudattaa kansallisten valtiosääntöjen edellyttämiä menettelyjä. Näin ollen sopimukset tulevat määräystensä mukaisesti voimaan allekirjoituksesta lukien. EU:n tietoturvasopimusten käsittelystä kansallisesti vastaa ulkoasiainministeriö kansallisena tietoturvallisuusviranomaisena. EU:n tietoturvallisuussopimuksia on käsitelty yleisesti Suomen kansainvälistä sopimuspolitiikkaa ja kehityssuuntia koskevassa selvityksessä (UTP 3/2006 vp). Käsittely Euroopan parlamentissa: - Kansallinen lainsäädäntö, ml. Ahvenanmaan asema: Suomessa kansainvälisiä tietoturvasopimuksia koskevia säännöksiä sisältyy lakiin kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) ja henkilöstöturvallisuuteen liittyvistä turvallisuusselvityksistä säädetään turvallisuusselvityksistä annetussa laissa (177/2002). Suomella ja USA:lla on sopimus sotilastiedon turvallisuudesta (SopS 95/1991) mutta ei yleistä tietoturvasopimusta. EU:n ja USA:n välisessä tietoturvasopimuksessa määrätään aineelliselta luonteeltaan sellaisista asioista, joista kansallisesti Suomessa säädettäisiin lailla (vrt. Suomen kahdenvälisiä tietoturvasopimuksia koskevat hallituksen esitykset). EU-USA-sopimuksen sopimuspuolena EU on kuitenkin määritelty siten, että se tarkoittaa EU:n neuvostoa, sen korkeaa edustajana toimivaa pääsihteeriä, neuvoston pääsihteeristöä ja Euroopan komissiota. EU:lla ei siten tässä sopimuksessa tarkoiteta jäsenvaltioita. Sopimuksen
6(7) soveltaminen rajoittuu sanottujen EU:n elinten luovuttamien EU:n turvaluokiteltujen asiakirjojen käsittelyyn USA:ssa ja USA:n EU:lle luovuttamien asiakirjojen käsittelyyn EU:ssa. Sopimus ei koske suomalaisen turvaluokitellun tiedon käsittelyä eikä sillä ole muutoinkaan vaikutusta Suomen kansalliseen lainsäädäntöön eikä Suomen kansainvälisiin velvoitteisiin. Sopimus ei - kuten aiemmatkaan vastaavat tietoturvasopimukset - sisällä määräyksiä, jotka edellyttäisivät, että Suomi turvautuisi SEU 24(5) artiklassa tarkoitettuun mahdollisuuteen noudattaa oman valtiosääntönsä edellyttämiä menettelyitä. Sopimus ei valtioneuvoston käsityksen mukaan sisällä PeL 96 :ssä tarkoitettuja määräyksiä, jotka kuuluisivat perustuslain mukaan eduskunnan toimivaltaan. Koska sopimuksen aineelliset määräykset ovat samantyyppisiä kuin Suomen kahdenvälisissä tietoturvasopimuksissa, valtioneuvosto pitää kuitenkin asianmukaisena antaa asiasta tietoja eduskunnalle PeL 97 :n nojalla. Taloudelliset vaikutukset: Ehdotuksella ei ole taloudellisia vaikutuksia. Muut mahdolliset asiaan vaikuttavat tekijät:
7(7) Asiasanat Hoitaa Tiedoksi asiakirjaturvallisuus, Yhdysvallat UM EUE, KTM, LVM, MMM, OPM, PLM, SM, TH, TPK, VM, VNEUS, YM, OM Lomakepohja: Perusmuistio, EU-ohje