Eduskunnan päätöksen mukaisesti
kumotaan turvallisuusselvityslain (726/2014) 7 §:n 4 momentti ja 56 §,
muutetaan 2 §:n 1 momentin 6 kohta, 9 §:n 4 momentti, 46 §:n 3 momentti, 48 §:n otsikko ja 1, 2 ja 4 momentti, 49 §, 50 §:n 3 momentti, 51 §:n otsikko, 60 ja 61 § ja 62 §:n 1 momentti sekä
lisätään 2 §:ään uusi 3 momentti, 48 §:ään, sellaisena kuin se on osaksi laissa 949/2017, uusi 6 momentti, lakiin uusi 48 a § ja 50 §:ään, sellaisena kuin se on osaksi laissa 931/2016, uusi 5 momentti seuraavasti:
2 §
Lain soveltamisala ja sen suhde muuhun lainsäädäntöön
Tässä laissa säädetään:
Muuttamaton osa säädöstekstistä on jätetty pois
6) henkilörekisterien tietojen yhdistämisestä selvityksen kohteen nuhteettomuuden ja luotettavuuden seuraamiseksi ja sen johdosta suoritettavista toimenpiteistä.
Muuttamaton osa säädöstekstistä on jätetty pois
Suojelupoliisin ja pääesikunnan suorittamasta henkilötietojen käsittelystä säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa (1054/2018). Muiden viranomaisten suorittamasta henkilötietojen käsittelystä säädetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus) ja tietosuojalaissa (1050/2018).
9 §
Toimivaltaiset viranomaiset
Muuttamaton osa säädöstekstistä on jätetty pois
Liikenne- ja viestintävirasto laatii yritysturvallisuusselvityksen osana tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden tasoa koskevan selvityksen.
Muuttamaton osa säädöstekstistä on jätetty pois
46 §
Yritysturvallisuusselvitystodistuksen antaminen
Muuttamaton osa säädöstekstistä on jätetty pois
Jos yritysturvallisuusselvitys on koskenut yksinomaan tietojärjestelmien tai tietoliikennejärjestelyjen turvallisuutta, selvityksen laatinut Liikenne- ja viestintävirasto voi antaa selvityksen perusteella todistuksen.
Muuttamaton osa säädöstekstistä on jätetty pois
48 §
Turvallisuusselvitysrekisteri, rekisterin käyttötarkoitus ja tietojen tallettaminen rekisteriin
Turvallisuusselvitysten tekemiseksi, tarpeettomien turvallisuusselvitysten välttämiseksi, tietojen välittämiseksi toimivaltaisten viranomaisten välillä sekä selvityksen kohteiden luotettavuuden ja nuhteettomuuden seurannan toteuttamiseksi pidetään turvallisuusselvitysrekisteriä.
Suojelupoliisin ja pääesikunnan on viivytyksettä talletettava turvallisuusselvitysrekisteriin tieto sille tehdystä turvallisuusselvitystä koskevasta hakemuksesta, selvityksen kohteen nimestä ja muista yksilöintitiedoista, selvityksen laajuudesta sekä tiedot selvitysmenettelyn lopputuloksesta tai turvallisuusselvitystodistuksesta ja sen voimassaolosta ja peruuttamisesta sekä tieto henkilöturvallisuusselvityksen kohteen työnantajasta, jos se on saatavissa. Kansallisen turvallisuusviranomaisen on talletettava tieto antamastaan kansainvälisessä tietoturvallisuusvelvoitteessa edellytetystä henkilöturvallisuusselvitystodistuksesta ja yritysturvallisuustodistuksesta.
Muuttamaton osa säädöstekstistä on jätetty pois
Liikenne- ja viestintävirasto voi tallettaa turvallisuusselvitysrekisteriin tiedot:
1) viranomaisten tietojärjestelmien ja tietoliikennejärjestelyjen tietoturvallisuuden arvioinnista annetun lain mukaan antamistaan todistuksista ja niihin merkityistä tiedoista;
2) tietoturvallisuuden arviointilaitoksista annetun lain mukaisesti hyväksytyistä arviointilaitoksista;
3) hyväksytyn arviointilaitoksen antamista todistuksista siten kuin tietoturvallisuuden arviointilaitoksista annetussa laissa säädetään.
Muuttamaton osa säädöstekstistä on jätetty pois
Kansallinen turvallisuusviranomainen ja Liikenne- ja viestintävirasto ovat velvollisia huolehtimaan turvallisuusselvitysrekisteriin tallettamiensa tietojen osalta siitä, että tiedot vastaavat viranomaisen ratkaisuja ja sen omiin rekistereihin tekemiä merkintöjä, ja että merkinnät on tehty suojelupoliisin asettamien teknisten vaatimusten mukaisesti.
48 a §
Rekisterinpitäjät
Turvallisuusselvitysrekisterin yhteisrekisterinpitäjiä ovat suojelupoliisi ja pääesikunta. Pääesikunta vastaa rekisterinpitäjän tehtävistä, jos käsiteltävät henkilötiedot koskevat selvityksen kohdetta, joka toimii tai jonka on tarkoitus toimia Puolustusvoimissa tai hoitaa Puolustusvoimien antamaa tehtävää taikka jos turvallisuusselvitys liittyy Puolustusvoimien toimintaan tai hankintoihin. Suojelupoliisi vastaa rekisterinpitäjän tehtävistä, jos käsiteltävät henkilötiedot koskevat muita selvityksen kohteita, sekä henkilötietojen luovuttamiseen turvallisuusselvitysrekisteristä ja turvallisuusselvitysrekisterin ylläpitoon ja tietoturvallisuuteen liittyvistä tehtävistä.
49 §
Turvallisuusselvitysrekisterin tietojen poistaminen
Siitä poiketen, mitä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 6 §:n 3 momentissa säädetään, turvallisuusselvitysrekisteriin talletetut tiedot poistetaan viimeistään kolmen vuoden kuluttua vastaavan uuden turvallisuusselvityksen laatimisesta tai turvallisuusselvityksen tai turvallisuusselvitystodistuksen voimassaolon päättymisestä taikka siitä, kun se tehtävä, jota varten turvallisuusselvitys on laadittu, on päättynyt tai kun turvallisuusselvitystodistus on peruutettu.
50 §
Tietojen luovuttaminen turvallisuusselvitysrekisteristä
Muuttamaton osa säädöstekstistä on jätetty pois
Suojelupoliisi voi salassapitosäännöksistä riippumatta antaa teknisen käyttöyhteyden avulla keskusrikospoliisille turvallisuusselvityksen hakemista koskevat tiedot niiden yhdistämiseksi henkilötietojen käsittelystä poliisitoimessa annetun lain 7 §:n 2 momentissa tarkoitettuja henkilöryhmiä koskeviin tietoihin tämän lain 25 §:n 2 momentissa tarkoitettujen ilmoitusten tekemistä ja sitä koskevaa harkintaa varten. Keskusrikospoliisin on hävitettävä yhdistämisen kautta saadut tiedot välittömästi sen jälkeen, kun tarve ilmoituksen tekemiseen on arvioitu tai ilmoitus on lähetetty suojelupoliisille.
Muuttamaton osa säädöstekstistä on jätetty pois
Henkilötietojen luovuttamiseen kansalliselle turvallisuusviranomaiselle sovelletaan, mitä kansainvälisistä tietoturvallisuusvelvoitteista annetussa laissa säädetään.
51 §
Nuhteettomuuden ja luotettavuuden seuranta henkilörekisterien tietojen yhdistämisen avulla
Muuttamaton osa säädöstekstistä on jätetty pois
60 §
Turvallisuusselvityksen maksullisuus
Toimivaltaisten viranomaisten tämän lain nojalla tekemistä turvallisuusselvityksistä ja Liikenne- ja viestintäviraston asiantuntijatehtävien suorittamisesta yritysturvallisuusselvitystä laadittaessa peritään hakijalta maksu noudattaen, mitä valtion maksuperustelaissa (150/1992) säädetään. Yritysturvallisuusselvityksen laatimiseen liittyvistä kustannuksista vastaa kuitenkin selvityksen kohde, jos selvitys on laadittu viranomaisen hakemuksesta.
61 §
Viittaus rangaistussäännöksiin
Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Rangaistus viestintäsalaisuuden loukkauksesta säädetään mainitun luvun 3 §:ssä ja törkeästä viestintäsalaisuuden loukkauksesta 4 §:ssä sekä tietomurrosta 8 §:ssä ja törkeästä tietomurrosta 8 a §:ssä. Rangaistus tämän lain 59 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava mainitun lain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta. Edellä tarkoitettuna salassapitovelvollisuuden rikkomisena pidetään myös tämän lain 40 §:ssä tarkoitetun sitoumuksen rikkomista.
62 §
Muutoksenhaku
Toimivaltaisen viranomaisen tämän lain nojalla tekemään päätökseen saa hakea muutosta valittamalla hallintotuomioistuimeen. Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019).
Muuttamaton osa säädöstekstistä on jätetty pois
Voimaantulopykälä tai –säännös alkaa
Tämä laki tulee voimaan päivänä kuuta 20 .