U 68/2008 vp Valtioneuvoston kirjelmä Eduskunnalle luonnoksesta neuvoston päätökseksi turvallisuussäännöistä EU:n turvaluokiteltujen tietojen suojaamiseksi (neuvoston turvallisuussäännöt) Perustuslain 96 :n 2 momentin mukaisesti lähetetään eduskunnalle 8 päivänä lokakuuta 2008 tehty luonnos neuvoston päätökseksi turvallisuussäännöistä EU:n turvaluokiteltujen tietojen suojaamiseksi sekä luonnoksesta laadittu muistio. Helsingissä 27 päivänä marraskuuta 2008 Ulkoasiainministeri Alexander Stubb Lainsäädäntöneuvos Kaija Suvanto 294327
2 U 68/2008 vp ULKOASIAINMINISTERIÖ MUISTIO EU/2008/1477 LUONNOS NEUVOSTON PÄÄTÖKSEKSI TURVALLISUUSSÄÄNNÖISTÄ EU:N TUR- VALUOKITELTUJEN TIETOJEN SUOJAAMISEKSI (NEUVOSTON TURVALLISUUS- SÄÄNNÖT; 13823/08, ADD.1) 1 Ehdotuksen tausta EU:n jäsenvaltioiden kesken on esiintynyt erilaisia tulkintoja siitä, miten neuvoston 19 päivänä maaliskuuta 2001 tehty päätös neuvoston turvallisuussääntöjen vahvistamisesta (2001/264/EY; neuvoston turvallisuussäännöt) ja komission päätös 29 päivänä marraskuuta 2001 komission sisäisten menettelysääntöjen muuttamisesta (2001/844/EY; komission turvallisuussäännöt) sitovat jäsenvaltioita. Osa jäsenvaltioista, mukaan lukien Suomi, on saattanut säädösten sisältämät velvoitteet voimaan osana kansallista lainsäädäntöään. Osa taas pitää niitä jäsenvaltioita koskevien säännösten osalta lähinnä ohjeellisina. Mainittujen säädösten oikeusperustoja on pidetty ongelmallisina. Neuvoston päätös on tehty SEY 207.3 artiklan nojalla, jonka mukaan neuvosto täsmentää työjärjestyksessään edellytykset yleisön tutustumiseksi neuvoston asiakirjoihin. Päätös sisältää kuitenkin myös jäsenvaltioihin kohdistuvia velvoitteita. Lisäksi ongelmia on aiheuttanut se, miten turvallisuussäännöt saataisiin ulotettua tehokkaasti koskemaan kaikkia EU:n virastoja ja laitoksia. Neuvoston turvallisuussäännöt koskevat 2 artiklan 1 kohdan mukaan neuvostoa ja sen hajautettuja erillisvirastoja. Tilanteen selkeyttämiseksi Coreper hyväksyi 5.12.2007 mandaatin (doc. 14762/07), jonka mukaan EU:ssa tulisi valmistella yhtenäinen ja kattava järjestelmä turvallisuusluokitellun tiedon suojaamiseksi EU:ssa ottaen huomioon saatu kokemus kuluneilta seitsemältä vuodelta ja hyvä kansainvälinen käytäntö. 2 Ehdotuksen tavoite Työn tavoitteena on saada aikaan yhteiset ja yhtenäiset vähimmäisturvallisuusvaatimukset (Common Minimum Security Standards), jotka muodostuisivat jäsenvaltioiden välisestä sopimuksesta, uudistettavista neuvoston ja komission turvallisuussäännöistä sekä tarvittavista poliittisista julistuksista. Jäsenvaltioiden välisestä sopimuksesta ja sitä koskevista neuvotteluista on erikseen tiedotettu eduskunnalle E-kirjeellä (E 69/2008 vp). Oikeusperustaongelmaan on pyritty löytämään ratkaisu uudessa järjestelyssä velvoittamalla jäsenvaltiot noudattamaan turvallisuussääntöjä jäsenvaltioiden välisen sopimuksen viittaussäännösten kautta. Jäsenvaltiot kunnioittaisivat neuvoston turvallisuussääntöjä kansallisen lainsäädäntönsä mukaisesti. Neuvoston päätösehdotuksen tavoitteena on yksinkertaistaa voimassa olevia turvallisuussääntöjä, tehdä niistä käyttäjäystävällisemmät sekä poistaa niissä olevat epätarkkuudet. Samalla pyritään parantamaan turvallisuuden riskien hallintaa. Nykyiset neuvoston ja komission turvallisuussäännöt on molemmat tarkoitus säilyttää, koska turvallisuussääntöjen yhdistäminen ei ole neuvoston sihteeristön käsityksen mukaan mahdollista muun muassa niiden eri oikeusperustojen ja soveltamisalan takia. Molemmat turvallisuussäännöt on kuitenkin tarkoitus uudistaa sopimuksen rinnalla. EU:n virastojen ja laitosten tulisi puolestaan varmistaa, että ne noudattavat neuvoston turvallisuussääntöjä soveltuvin osin esimerkiksi viittaamalla omissa turvallisuussäännöissä neuvoston tai komission turvallisuussääntöihin. Neuvoston turvallisuuskomitea on ehdottanut, että neuvosto ja komissio antaisivat päätöksen hyväksymisen yhteydessä julistuksen, jolla ne vahvistaisivat halunsa ryhtyä kaikkiin mahdollisiin toimenpiteisiin helpottaakseen virastojen ja laitosten työtä turvallisuussääntöjen hyväksymisessä ja soveltamisessa. Komissiolla on toistaiseksi varauma julistukseen. Vastaavanlainen julistus on ehdotettu annettavaksi myös kriisinhallintaope-
U 68/2008 vp 3 raatioiden ja niihin kuuluvan henkilöstön osalta. Uusien turvallisuussääntöjen voimaantullessa vanhat turvallisuussäännöt kumoutuvat. 3 Ehdotuksen pääasiallinen sisältö Neuvoston sihteeristö on laatinut 8 päivänä lokakuuta 2008 ehdotuksen Euroopan unionin neuvoston päätökseksi EU:n turvallisuusluokitellun tiedon suojaamista koskeviksi turvallisuussäännöiksi (13823/08, ADD. 1). Päätöksen on tarkoitus korvata voimassa oleva päätös neuvoston turvallisuussääntöjen vahvistamisesta (2001/264/EY). Päätöksen oikeusperustaksi esitetään EY:n perustamissopimuksen 207 artiklan 3 kohtaa. Päätöksessä on 16 artiklaa, kuusi liitettä ja neljä lisäystä. Päätös sisältää säännökset soveltamisalasta ja tarkoituksesta, määritelmistä ja turvallisuusluokittelusta (1-3 artikla), täytäntöönpanon toteuttamisesta ja neuvoston turvallisuusorganisaatiosta (4-5 artikla), EUCI:n käsittelystä sekä sen suojelun vähimmäisvaatimuksista (6-14 artikla) ja loppumääräykset (15-16 artikla). Liitteet koskevat henkilöturvallisuutta (liite I), fyysistä turvallisuutta (liite II), tietoturvaa (liite III), INFOSEC (liite IV), yritysturvallisuutta (liite V) ja turvallisuusluokitellun tiedon vaihtamista kolmansien valtioiden ja kansainvälisten järjestöjen kanssa (liite VI). Lisäykset puolestaan sisältävät taulukon turvallisuusluokitusmerkintöjen vastaavuudesta, kansallisten turvallisuusviranomaisten yhteystiedot, käytännön luokitteluohjeen sekä luettelon lyhenteistä. Suomen- ja ruotsinkielisen ehdotuksen terminologia ei vastaa kaikilta osin Suomessa vakiintunutta terminologiaa, miltä osin ehdotuksiin tullaan esittämään kielikorjauksia. 1 artikla: Tarkoitus ja soveltamisala. Päätöksen tarkoituksena on luoda turvallisuuden vähimmäisedellytykset, joita neuvosto, neuvoston sihteeristö ja jäsenvaltiot kunnioittavat kansallisen lainsäädäntönsä mukaisesti siten, että EU:n turvallisuusluokiteltua tietoa suojataan yhteisesti. 2 artikla: Määritelmät. Artikla sisältää seuraavat keskeiset määritelmät: EU:n turvallisuusluokiteltu tieto (EUCI) (a kohta), tieto (b kohta), aineisto (c kohta), asiakirja (d kohta) ja sensitiivinen viestintä- ja tietojärjestelmä (e kohta). Määritelmiä sisältyy myös päätöksen liitteisiin. Määritelmät vastaavat voimasa olevien turvallisuussääntöjen sisältämiä määritelmiä. 3 artikla: Turvallisuusluokitukset ja merkinnät. EU:n turvallisuusluokiteltu tieto luokitellaan neljään luokkaan TRES SECRET UE, SECRET UE, CONFIDENTIEL UE ja RESTREINT UE. Luokkien määritelmät vastaavat aiemman neuvoston päätöksen määritelmiä. EU:n turvallisuusluokiteltu tieto on merkittävä näiden luokkien mukaisesti. 4 artikla: Täytäntöönpanovastuu. Neuvostolla on vastuu päätöksen yhdenmukaisesta soveltamisesta. Neuvoston pääsihteerin tehtävänä on varmistaa, että neuvoston sihteeristö ja henkilöstö noudattavat turvallisuussääntöjä. Jäsenvaltiot vastaavat puolestaan siitä, että jäsenvaltioiden pysyvien EU:ssa olevien edustustojen jäsenet sekä neuvoston tai sen valmisteluelinten kokouksiin tai muihin neuvoston toimiin osallistuvat kansallisten valtuuskuntien jäsenet (a kohta); muu jäsenvaltioiden kansallisiin hallintoihin kuuluvat henkilöt mukaan lukien lähetetyt työntekijät riippumatta siitä, ovatko he palveluksessa jäsenvaltioiden alueella vai ulkomailla (b kohta); muut EUCI:iin pääsyyn tehtäviensä perusteella jäsenvaltioiden asianmukaisesti oikeuttamat henkilöt (c kohta) ja jäsenvaltioiden ulkopuoliset toimeksisaajat siitä riippumatta, toimivatko he jäsenvaltioiden alueella vai ulkomailla (d kohta) noudattavat turvallisuussääntöjä. 5 artikla: Turvajärjestelyt neuvostossa. Artiklassa säädetään neuvoston ja neuvoston pääsihteerin turvallisuusjärjestelmään liittyvistä tehtävistä. Neuvoston tehtävänä on hyväksyä turvallisuussopimukset kolmansien maiden ja kansainvälisten järjestöjen kanssa turvallisuusluokitellun tiedon suojaamisesta ja vaihtamisesta (a kohta), päätökset EUCI:n luovuttamisesta kolmansille valtioille ja kansainvälisille järjestöille (b kohta), vuosittainen jäsenvaltioiden turvallisuusjärjestelmiä, kolmansia maita ja kansainvälisiä järjestöjä koskeva tarkastusohjelma (c kohta) sekä poliittiset suuntaviivat (d kohta). Neuvoston pääsihteerin tehtäviin kuuluu neuvoston turvallisuuspolitiikan täytäntöön-
4 U 68/2008 vp pano (a kohta), neuvoston toimiin liittyvien turvallisuusluokitellun tiedon suojaamista koskevien asioiden koordinointi yhdessä jäsenvaltioiden kansallisten turvallisuusviranomaisten (NSA) kanssa (b kohta), oikeuttaminen pääsyyn CONFIDENTIEL UE - turvallisuusluokkaan tai sitä ylempään luokkaan luokiteltuun tietoon (c kohta), tutkimusten määrääminen neuvoston hallussa olevan tai neuvostosta peräisin olevan EUCI:n luvattomasta paljastumisesta tai katoamisesta (d kohta), säännöllinen turvallisuusjärjestelyjen tarkastaminen neuvoston sihteeristössä (e kohta) EU:n virastoissa, kriisinhallintaoperaatioissa ja koskien EU:n erityisedustajaa ja joukkojen jäseniä (f kohta) sekä jäsenvaltioissa yhdessä kyseisen maan NSA:n kanssa sopien (g kohta). Lisäksi neuvoston pääsihteeri koordinoi turvallisuustoimenpiteitä jäsenvaltioiden toimivaltaisten viranomaisten kanssa ja tarvittaessa kolmansien maiden tai kansainvälisten järjestöjen kanssa (h kohta). Turvallisuuskomitean turvallisuusvirkamies avustaa pääsihteeriä tai korkeaa edustajaa tämän tehtävissä. Jäsenvaltioiden velvollisuutena on nimittää kansallinen turvallisuusviranomainen (NSA), joka on vastuussa EUCI:n turvallisuusjärjestelyistä. NSA:n on varmistettava EUCI:n käsittelyn turvallisuus muun muassa säännöllisin tarkastuksin, henkilöiden turvallisuusselvityksillä ja turvallisuusohjelmilla. Lisäksi NSA:n on kerättävä tietoa ja tiedotettava tietoturvallisuuden uhista ja niiden torjunnasta sekä vastattava turvallisuusselvityspyyntöihin. Turvallisuuskomitea koostuu jäsenvaltioiden turvallisuusviranomaisista ja kokoukseen osallistuu myös komission edustaja. Kokousta johtaa neuvoston pääsihteeri taikka tämän määräämä edustaja. Komitea kokoontuu neuvoston aloitteesta taikka pääsihteerin tai NSA:n pyynnöstä. EU:n virastojen edustajia voidaan kutsua kokouksiin, kun niitä koskevia kysymyksiä käsitellään. Turvallisuuskomitean (CSC) tehtävänä on antaa neuvostolle näkemyksensä tai suositus koskien neuvoston toimiin liittyvän turvallisuusluokitellun tiedon suojaamista tai sensitiivisiä viestintä- ja tietojärjestelmiä. Turvallisuuskomitea hyväksyy asiakirjat, jotka täydentävät neuvoston turvallisuussääntöjen perusperiaatteita ja vähimmäisedellytyksiä tai neuvoston hyväksymiä suuntaviivoja. Komitea toimii myös sensitiivisten viestintä- ja tietojärjestelmien hyväksyjänä (Security Accreditation Authority, SAA) sekä jäsenvaltioiden että turvallisuuskomitean osalta. Turvallisuuskomitea voi käyttää asiantuntija-apua. 6 artikla: Turvallisuusluokiteltujen tietojen käsittely. Turvallisuusluokiteltua tietoa on luotava, käsiteltävä, siirrettävä, varastoitava, tuhottava, luokittelua alennettava tai luokitus poistettava neuvoston turvallisuussääntöjen mukaisesti. Neuvoston on käsiteltävä jäsenvaltion sille luovuttamaa kansallisesti turvallisuusluokiteltua tietoa samojen edellytysten mukaisesti kuin mitä sovellettaisiin vastaavantasoisen EUCI:n käsittelyyn EU:ssa. Luokittelujen vastaavuudet on esitetty I lisäyksessä. 7 artikla: Perusperiaatteet ja vähimmäisvaatimukset sekä niiden täytäntöönpano. Turvallisuusluokitellun tiedon suojaamista koskevista perusperiaatteista ja vähimmäisvaatimuksista säädetään 8-14 artiklassa. Liitteissä I-VI säädetään niiden täytäntöönpanosta. 8 artikla: Henkilöstön luotettavuus. Henkilöturvallisuuden menetelmin pyritään varmistumaan yksilön luotettavuudesta ennen kuin hänelle voidaan myöntää oikeus saada EU:n turvallisuusluokiteltua tietoa. Tiedonsaantitarve perustuu ns. need-to-know - periaatteeseen, jossa oikeus EU:n turvallisuusluokiteltuun tietoon on yhteydessä henkilön tehtäviin. Jäsenmaiden henkilöstön (määritelty 4 artiklan 3 kohdassa) tulee olla asianmukaisesti turvallisuustarkastettu kansallisen lainsäädännön mukaisesti, ennen kuin heille voidaan myöntää oikeus EU:n turvaluokiteltuun tietoon luokkaan CONFI- DENTIEL UE (EU LUOTTAMUKSELLI- NEN) ja sitä korkeampiin luokkiin. Kaikille henkilöille on kerrottava heidän vastuunsa koskien neuvoston päätöstä, jonka lisäksi heille on annettava koulutusta keskeisistä turvallisuusmääräyksistä ennen kuin lopullinen oikeus EUCI -tietoon myönnetään. Tarkemmat menettelyt ja vaatimukset on esitetty liitteessä I. 9 artikla: Fyysinen turvallisuus. Fyysisen turvallisuuden keinovalikoimaa käytetään EU:n luokitellun tiedon suojaamiseen siten,
U 68/2008 vp 5 etteivät asiattomat pääse siihen käsiksi. Neuvosto ja jäsenmaat toteuttavat kukin tahoillaan fyysisen turvallisuuden ohjelman, jonka avulla varmistutaan siitä, että tämän säännöstön vähimmäisvaatimukset täyttyvät. Tilat, jossa EU:n luokiteltua tietoa käsitellään, luokitellaan niiden antaman suojan mukaisesti. Tarkemmat määritelmät on tuotu esille liitteessä II. 10 artikla: Tietoturvallisuus. Tietoturvallisuuden keinoilla estetään ja tunnistetaan tiedon tarkoitukseton paljastuminen sekä pyritään rajoittamaan paljastumisen seurauksia ja estämään sen jatkuminen. EU:n luokitellun tiedon turvallisuudesta täytyy huolehtia koko sen elinajan. Se täytyy olla oikein luokiteltu ja luokittelumerkinnän tulee olla luokittelua vastaava kuitenkin niin, että mikäli luokitteluperuste muuttuu, myös luokittelu muuttuu samassa suhteessa. Luokittelua ei tule muuttaa ilman alkuperäisen luokittelijan hyväksyntää. Kun tieto on luokiteltu tasolle TLL III, CONFIDENTIEL U.E. (EU LUOTTA- MUKSELLINEN) tai korkeammalle, sen rekisteröinnistä ja seurannasta on huolehdittava. TRES SECRET U.E. (EU ERITTÄIN SALAINEN) -luokan tieto täytyy rekisteröidä erillisiin rekistereihin. EU:n luokitellun tiedon käsittelytilat ja käyttöolosuhteet on tarkastettava riittävin väliajoin. Mahdolliset EU:n luokitellun tiedon paljastumisen seuraukset minimoidaan. Tarkoituksettomasta paljastumisesta vastuussa olevat henkilöt vastaavat teostaan maan oikeusjärjestelmän mukaisesti. Nämä säännöt otetaan käyttöön liitteen III vaatimusten mukaisesti. 11 artikla: Tiedon turvaaminen arkaluonteisten tietojen viestintä- ja tietojärjestelmissä. Tiedon varmistamisella tarkoitetaan tilaa, jossa voidaan luottaa siihen, että järjestelmät, joissa tietoa siirretään, ovat tiedon salassa pysymisen kannalta turvallisia. Tämä koskee myös tiedon käsittelijöiden tiedon salassa pysymiselle aiheuttamaa uhkaa. Uhka määritetään riskianalyysin keinoin. EU:n luokiteltua tietoa siirtävät tietojärjestelmät akkreditoidaan tietylle turvallisuustasolle ennen niiden käyttöönottoa. Tällöin otetaan huomioon myös sähkömagneettisen hajasäteilyn tuoma uhka. Tiedon luottamuksellisuusluokkaa TLL II, SECRET U.E. (EU SALAINEN) edustavat järjestelmät akkreditoidaan erikseen neuvoston vaatimustason mukaisesti. Alempaa turvallisuusluokkatasoa edustava viestintä vaatii kansallisten turvallisuusviranomaisten hyväksynnän. Turvallisuusviranomaisrakenteen tulee vastata edellä esitettyjä vaatimuksia. Toimenpiteet perustuvat liitteessä IV esitettyihin vaatimuksiin. 12 artikla: Yritysturvallisuus. Yritysturvallisuuden keinovalikoimaa käytetään EU:n turvallisuusluokitellun tiedon suojaamiseen siten, etteivät asiattomat pääse siihen käsiksi niissä tapauksissa, joissa EU:n luokiteltua tietoa joudutaan luovuttamaan yrityksille, olivatpa nämä pääsopijapuolia tai alihankkijoita. Kansalliset turvallisuusviranomaiset varmistavat, että maidensa yritykset toimivat vähimmäisvaatimusten mukaisesti. Mikäli hankkeen turvallisuusluokka on vähintään CONFIDENTIEL U.E, yhteisöstä pyydetään turvallisuustodistus (FSC, Facility Security Clearance). Vaatimukset on esitetty liitteessä V. 13 artikla: Turvallisuusluokiteltujen tietojen vaihto kolmansien valtioiden ja kansainvälisten järjestöjen kanssa. Turvallisuusluokitellun tiedon vaihtamisesta EU:n ja kolmansien maiden taikka kansainvälisten järjestöjen kanssa sovitaan neuvoston EU:n puolesta unionisopimuksen 24 artiklan nojalla tekemällä sopimuksella. Pääsihteeri voi myös tehdä hallinnollisia järjestelyjä, jos luovutettavan turvallisuusluokitellun tiedon taso ei ylitä KÄYTTÖ RAJOITETTU - luokkaa. Jos kyse on EUCI:n luovuttamisesta kriisinhallintaoperaatioiden yhteistyössä, luovutus voidaan järjestää osallistumispuitesopimuksessa, ad hoc osallistumissopimuksessa tai ad hoc hallinnollisessa järjestelyssä. Jos kyse on äkillisestä EUCI:n luovuttamisesta, EUCI luovutetaan turvallisuussääntöjen perusperiaatteiden ja vähimmäisedellytysten mukaisesti. Tarkemmat määräykset kustakin menettelystä on VI liitteessä. Kolmannesta valtiosta tai kansainvälisestä järjestöstä saatavalle tiedolle on annettava samantasoinen suoja kuin vastaavaan EU:n turvallisuusluokkaan kuuluvalle tiedolle. Sopimuksien ja järjestelyjen perusteella kolmansille maille tai kansainvälisille järjestöille luovutettavan tiedon suoja ei saa olla EU:n turvallisuussäännöissä säädettyä suojaa alhaisempi. Tiedon luovuttamisesta päätetään
6 U 68/2008 vp tapauskohtaisesti. Jos tiedon alkuperäinen lähettäjä ei ole neuvosto, sihteeristön on ensin pyrittävä saamaan lähettäjän suostumus tiedon luovutukseen. Jos lähettäjää ei pystytä varmistamaan, neuvosto päättää tiedon luovuttamisesta. Kun on kyse tiedosta, joka luovutetaan olemassa olevan turvallisuussopimuksen nojalla, neuvosto voi valtuuttaa pääsihteerin tekemään edellä mainitun luovuttamispäätöksen. Tämä voi edelleen delegoida päätöksen neuvoston sihteeristön vanhemmalle virkamiehelle. Jos kyse on kolmannesta maasta tai kansainvälisestä järjestöstä, jonka kanssa EU ei ole tehnyt tietoturvallisuussopimusta, päätöksen tekee Coreper. Neuvoston sihteeristö, yhteistyössä komission kanssa, tekee vierailuja arvioidakseen toisen sopimuspuolen turvallisuusjärjestelyjä. Vierailuista raportoidaan turvallisuuskomitealle, joka päättää arvioinnin johdosta suoritettavista toimenpiteistä. Neuvoston sihteeristön keskusrekisteri kirjaa kolmansille valtioille tai kansainvälisille järjestöille luovutetut tai niiltä vastaanotetut asiakirjat. 14 artikla: Syvyyssuuntaisen turvallisuusperiaatteen täytäntöönpano. Liitteissä I-VI olevat toimenpiteet on pantava täytäntöön yhdistelmänä, jotta EUCI:a voidaan turvata yhteismitallisesti suhteessa tietoturvaloukkaukseen. Hätätilanteita varten on luotava valmiussuunnitelmat EUCI:n suojaamiseksi ja tuhoamiseksi. Tietojärjestelmät ovat osa suunnitelmaa. 15 artikla: Aiempien päätösten korvaaminen. Päätöksellä korvataan neuvoston päätös 2001/264/EY siihen myöhemmin tehtyine muutoksineen. 16 artikla: Voimaantulo. Päätös tulee voimaan julkaisuhetkenä. 4 Asian käsittely Euroopan unionin toimielimissä Neuvoston turvallisuussääntöjä käsitellään neuvoston turvallisuussääntöjä koskevassa päätöksessä perustetussa turvallisuuskomiteassa (CSC). Asian käsittely aloitettiin 23.10.2008. Coreper käsitteli 29.10.2008 turvallisuuskomitean raportin, joka koski EU:n tietoturvallisuussopimusta koskevan työn tuloksia ja uusittavia turvallisuussääntöjä. Raportti hyväksyttiin Coreperissa keskustelutta. Turvallisuussääntöjen käsittely jatkuu koko syksyn ja tavoitteena on saada turvallisuuskomitean työ valmiiksi keväällä 2009. Turvallisuuskomitea antaa neuvostolle suosituksen turvallisuussäännöistä ja neuvosto hyväksyy lopulliset turvallisuussäännöt perustamissopimuksen 207 artiklan 3 kappaleen ja neuvoston työjärjestystä koskevan neuvoston päätöksen 2006/683/EY 24 artiklan perusteella. 5 Ehdotuksen vaikutukset Suomessa Ehdotuksen taloudellisia vaikutuksia on vaikeata arvioida tässä vaiheessa. Neuvoston päätös selkeyttää osaltaan turvallisuusviranomaisten velvoitteita, vastuita ja käytänteitä sekä edesauttaa viranomaisten tehtävien hoitamista. Turvallisuuden yhtenäisten vähimmäisedellytysten tehokas täytäntöönpano helpottaa myös yritysten asemaa EU:n alueella tapahtuvissa hankkeissa. Suomessa on säädetty laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004). Laki katsottiin tarpeelliseksi muun ohella sen vuoksi, että erityissuojattavaa tietoaineistoa koskevien kansainvälisten sopimusten ja sellaisen muun Suomea koskevan velvoitteen, jota Suomen on noudatettava ja joka koskee erityissuojattavan aineiston suojaamiseksi tarvittavia toimenpiteitä täytäntöön panemiseksi, on tarve poiketa asiakirjajulkisuuteen ja -turvallisuuteen perustuvista kansallisista järjestelyistä, jotka perustuvat pääosin viranomaisten toiminnan julkisuudesta annettuun lakiin (621/1999), jäljempänä julkisuuslaki ja sen nojalla annettuihin säännöksiin. Kansainvälisistä tietoturvallisuusvelvoitteista annetun lain 2 :n 1 kohdan perusteluissa muuna Suomea koskevana velvoitteena on mainittu voimassa olevat neuvoston turvallisuussäännöt (neuvoston päätös 2001/844/EY). Lakia kansainvälisistä tietoturvallisuusvelvoitteista sovelletaan erityissuojattaviin tietoaineistoihin. Näillä tarkoitetaan salassa pidettäviä asiakirjoja ja materiaaleja, jotka on toimitettu Suomen viranomaiselle ja joiden lähettäjä on kansainvälisen, Suomea sitovan sopimuksen tai muun kansainvälisen velvoitteen mukaisesti tehnyt niihin turvallisuus-
U 68/2008 vp 7 luokkaa koskevan merkinnän. Lakia voidaan soveltaa vain, jos kansainvälinen sopimus on saatettu Suomessa voimaan perustuslaissa säädetyllä tavalla tai jos kysymys on Suomea muutoin sitovasta kansainvälisestä velvoitteesta. Uusien neuvoston turvallisuussääntöjen tultua hyväksytyksi myös siihen sovelletaan mainittua laki sikäli, kun kyse on jäsenvaltioita koskevista velvoitteista. Vastaavasti edellä mainitun EU:n tietoturvasopimuksen tullessa hyväksytyksi ja voimaansaatetuksi Suomessa myös siihen sovellettaisiin mainittua lakia Laki kansainvälisistä tietoturvallisuusvelvoitteita ei sisällä julkisuuslain mukaista vahinkoedellytyslauseketta, mikä merkitsee, ettei erityissuojattavan tietoaineiston salassapito ole riippuvainen niistä seurauksista, joita tiedon antamisesta olisi suojattavalle edulle. Lain suojaama tietoaineisto on pidettävä salassa (6 1 mom.). Salassapitovelvollisuus koskee myös elinkeinonharjoittajaa tämän ollessa osapuolena turvallisuusluokitellussa sopimuksessa, esim. myyjänä hankintasopimuksessa. Erityissuojattavaa tietoaineistoa saa käyttää ja luovuttaa vain siihen tarkoitukseen, jota varten se on annettu, jollei se, joka on määritellyt aineiston turvallisuusluokan, ole antanut muuhun suostumustaan (6 2 mom.). Neuvoston turvallisuussääntöjä koskevan päätöksen mukaan turvallisuussäännöt eivät syrjäytä EU:n avoimuusasetuksen 1049/2001 säännöksiä. EU:n turvallisuussäännöt eivät sisällä ehdotonta salassapitovelvollisuutta, eikä tätä myöskään edellytetä EU:ssa valmistellussa jäsenvaltioiden hallitusten välisessä tietoturvallisuussopimuksessa. Lain 6 :ää on tarkoitus tarkistaa sopivassa yhteydessä ilmeisesti jo ennen kuin EU:n tietoturvallisuussopimuksen ja neuvoston turvallisuussääntöjen hyväksyminen tulee ajankohtaiseksi. Turvallisuusselvityksistä annetun lain (177/2002) 9 :ssä on säännökset kansainväliseen velvoitteeseen perustuvasta turvallisuusselvityksestä. Turvallisuusselvityslain kokonaistarkistusta varten on asetettu oikeusministeriön työryhmä. Työryhmälle annettuun tehtävään kuuluu turvallisuusselvityslain kehittäminen siten, että se vastaa Suomea sitovia velvoitteita ja kansainvälisesti yleisesti sovellettavia käytäntöjä. Julkisuuslain nojalla annettavan valtionhallinnon tietoturvallisuutta koskevan asetuksen valmistelu on vireillä. Asetus pohjautuu pitkälti kansainvälisesti yleisesti sovellettuihin käytäntöihin. Asetus on tarkoitus antaa ensi vuoden alussa. 6 Valtioneuvoston kanta Valtioneuvosto pitää ehdotettua päätöstä tarpeellisena ja kannattaa sen tekemistä, jotta neuvoston turvallisuussäännöt saataisiin ajantasaistettua ja yksinkertaistettua vastaamaan seitsemän vuoden aikana kehittynyttä kansainvälistä käytäntöä. Valtioneuvosto pitää tärkeänä, että neuvoston ja sen rinnalla komission turvallisuussääntöjen uudistaminen yhdessä jäsenvaltioiden välisen EU:n turvallisuusluokitellun tiedon luovuttamista koskevan sopimuksen kanssa ratkaisisi epätyydyttävän tilanteen, joka on johtanut voimassa olevien turvallisuussääntöjen erilaiseen soveltamiseen eri jäsenvaltioissa. Valtioneuvoston käsityksen mukaan tämä järjestely ratkaisisi myös oikeusperustaongelman edellyttäen, että neuvoston päätökseen ei tule sisältymään jäsenvaltioita suoraan sitovia velvoitteita. Valtioneuvosto katsoo, että turvallisuussääntöjen uudistamisen lähtökohtana tulisi olla yhtenäisten, yksinkertaisten ja selkeiden EU:n turvallisuusluokiteltuja tietoja koskevien vähimmäisvaatimusten luominen ja käyttöönotto EU:ssa ja sen jäsenvaltioissa. Valtioneuvosto katsoo, että päätöksessä tulee ottaa asianmukaisella tavalla huomioon luovuttajan suostumus -periaate (originator consent). Valtioneuvoston kantana on, että kyseistä periaatetta olisi lähtökohtaisesti noudatettava luovutuksissa.