1.1  Bakgrund

Regeringspropositionen baserar sig på två helheter utifrån vilka regeringen för riksdagen föreslår ändringar i lagen om säkerhetsutredning av olyckor och vissa andra händelser (525/2011), nedan lagen om säkerhetsutredning av olyckor. Den ena helheten hänför sig till genomförandet av en skrivning i regeringsprogrammet och den andra till det nationella genomförandet av ändringarna i direktivet om grundläggande principer för utredning av olyckor i sjötransportsektorn och om ändring av rådets direktiv 1999/35/EG och Europaparlamentets och rådets direktiv 2002/59/EG, nedan direktivet om utredning av olyckor i sjötransportsektorn. 

I regeringsprogrammet av den 20 juni 2023 för statsminister Petteri Orpos regering finns (s. 189) en skrivning om stärkande av den nationella säkerheten och samhällets kristålighet och enligt vilken möjligheten att utöka Olycksutredningscentralens verksamhetsområde med säkerhetsutredning av allvarliga störningar i cybersäkerheten ska utredas. Regeringen bereder vid behov författningsändringar i fråga om lagen om säkerhetsutredning av olyckor och gör andra behövliga justeringar i den.  

Europeiska kommissionen lade den 1 juni 2023 fram ett så kallat sjöfartspaket där det föreslogs en översyn av fem rättsakter i syfte att modernisera Europeiska unionens regler om sjösäkerhet och förhindra förorening från fartyg och för att säkerställa att Europeiska unionen har de verktyg som behövs för att främja ren och modern sjöfart. Ett förslag i sjöfartspaketet gällde en ändring av direktivet om utredning av olyckor i sjötransportsektorn (kommissionens förslag COM(2023) 270 final). Direktivet har ursprungligen genomförts nationellt genom lagen om säkerhetsutredning av olyckor. De övriga förslagen i sjötransportpaketet gällde 1) direktiv 2009/21/EG om fullgörande av flaggstatsförpliktelser (COM(2023) 272 final), 2) direktiv 2009/16/EG om hamnstatskontroll (COM(2023) 271 final), 3) direktiv 2005/35/EG om föroreningar förorsakade av fartyg och om införande av sanktioner, inbegripet straffrättsliga sanktioner, för föroreningsbrott (COM(2023) 273 final), och 4) förordning om Europeiska sjösäkerhetsbyrån och om upphävande av förordning (EG) nr 1406/2002 (COM(2023) 269 final).  

De ändringar i direktivet om utredning av olyckor i sjötransportsektorn som Europaparlamentet och rådet godkänt trädde i kraft den 26 december 2024 ((EU) 2024/3017). Ändringarna i direktivet ska genomföras nationellt senast den 27 juni 2027. I regeringspropositionen föreslås det att ändringarna i direktivet genomförs nationellt genom en ändring av lagen om säkerhetsutredning av olyckor till den del det nationella genomförandet av direktivet förutsätter att bestämmelser utfärdas genom lag.  

1.2  Beredning

4.1  De viktigaste förslagen

Det föreslås att lagen om säkerhetsutredning av olyckor ändras så att Olycksutredningscentralen i fortsättningen enligt den lagen ges behörighet att göra säkerhetsutredningar av synnerligen allvarliga cybersäkerhetsincidenter. Den term som föreslås bli använd kan anses anknyta till cybersäkerheten, om än mer exakt med tanke på den sakliga inriktningen (synnerligen allvarliga incidenter). När det gäller utredning av synnerligen allvarliga cybersäkerhetsincidenter anses det i propositionen motiverat att göra en åtskillnad i förhållande till utredning av olyckor och tillbud, vilket till exempel innebär att bestämmelserna om rätt att få information om utredningarna är separata. När det gäller synnerligen allvarliga cybersäkerhetsincidenter föreslås det att Olycksutredningscentralen ska få information i regel via de anmälningsskyldigheter som föreskrivs i lagen, varvid händelsen tydligt kan tolkas som ett synnerligen allvarlig cybersäkerhetsincident. I praktiken är det möjligt att när Olycksutredningscentralen utreder en olycka eller ett tillbud kan en omständighet som hänför sig till cybersäkerheten upptäckas vara orsak till olyckan eller tillbudet. I ett sådant fall är det dock primärt fråga om utredning av olyckan eller tillbudet och det är då konsekvent att Olycksutredningscentralen har de befogenheter som är avsedda för utredning av olyckor och tillbud. 

Det föreslås dessutom att lagen om säkerhetsutredning av olyckor ändras så att ändringarna i direktivet om utredning av olyckor i sjötransportsektorn genomförs nationellt på behörigt sätt till den del ändringarna förutsätter att bestämmelser utfärdas genom lag. Ändringarna i direktivet gäller bestämmelser om bland annat fartyg som är föremål för utredning, tidsfristen för inledande av utredning, rapportering av en utredning och konfidentialitet för uppgifter som hänför sig till en utredning. De nämnda helheterna kan anses vara de viktigaste med tanke på innehållet i propositionen. Dessutom föreslås i propositionen vissa andra mer begränsade ändringar i lagen om säkerhetsutredning av olyckor. 

4.2  De huvudsakliga konsekvenserna

5.1  Handlingsalternativen och deras konsekvenser

Skrivningen i regeringsprogrammet och det nationella genomförandet av ändringarna i direktivet om utredning av olyckor i sjötransportsektorn förutsätter reglering på lagnivå. Det finns inget motiverat alternativ till att genomföra dessa ändringar någon annanstans än i lagen om säkerhetsutredning av olyckor, eftersom syftet med lagen om säkerhetsutredning av olyckor är att reglera den säkerhetsutredning som Olycksutredningscentralen utför, och ändringarna har ett nära samband med Olycksutredningscentralens uppgifter och verksamhet. Propositionen innehåller också andra särskilda förslag som direkt gäller ändring av vissa bestämmelser i lagen om säkerhetsutredning av olyckor. 

Bestämmelserna om utredning av så kallade exceptionella händelser i lagen om säkerhetsutredning av olyckor kan i sig också tillämpas på utredning av fenomen som cybersäkerhetsincidenter, om utredningströskeln enligt lagen kan anses överskridas och statsrådet fattar beslut om att inleda en utredning. Utredning av en exceptionell händelse har dock i samband med beredningen bedömts vara en relativt sett onödigt exceptionell mekanism förenad med långsamt beslutsfattande om utredningen, vilket är en faktor som försvagar utförandet av utredningen. Olycksutredningscentralens beslutsfattande om att en utredning ska inledas är betydligt snabbare än statsrådets beslutsfattande, och detta kan ha en betydande inverkan på hur utredningen lyckas. Dessutom finns det då tillgång till föregripande utredningsbefogenheter för att göra en tillförlitlig bedömning av om en utredning ska inledas. Även om det sällan förekommer utredningar av sådana synnerligen allvarliga cybersäkerhetsincidenter som avses i den nu föreslagna lagen, är det dock med tanke på lagstiftningens exakthet och utredningens effektivitet motiverat att uttryckligen föreskriva att utredningen av sådana incidenter hör till Olycksutredningscentralens behörighet.  

5.2  Handlingsmodeller som används eller planeras i andra medlemsstater

De ändringar som följer av ändringen av direktivet om utredning av olyckor i sjötransportsektorn och som till sitt innehåll är av sådan art att de ska genomföras nationellt genom en författning ger knappt något nationellt handlingsutrymme, det vill säga att bestämmelserna i direktivet till dessa delar till stor del som sådana ska genomföras genom en nationell författning. Då är det sannolikt att de bestämmelser i direktivet som medför lagstiftningsbehov i andra medlemsstater i Europeiska unionen på motsvarande sätt genomförs nationellt genom någon författning. Med stöd av vad som anförts ovan har det i samband med beredningen av regeringspropositionen inte ansetts nödvändigt eller ändamålsenligt att följa det nationella genomförandet av ändringarna i direktivet i andra medlemsstater. 

7.1  Lagen om ändring av lagen om säkerhetsutredning av olyckor och vissa andra händelser

2 §.Olyckor, tillbud och synnerligen allvarliga cybersäkerhetsincidenter som ska utredas. Det föreslås att paragrafens rubrik ändras, eftersom det föreslås att säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter tas in i tillämpningsområdet för lagen om säkerhetsutredning av olyckor. I 1 mom. 4 punkten föreslås det att kortformen sjöolycksdirektivet ändras till direktivet om utredning av olyckor i sjötransportsektorn, eftersom detta bättre beskriver innehållet i och syftet med det direktiv som avses. 

Det föreslås att strukturen i fråga om 2–4 mom. i den gällande paragrafen ändras så att det som regleras i 2 och 4 mom. slås samman till ett nytt 2 mom. Med stöd av det föreslagna 2 mom. kan Olycksutredningscentralen utreda synnerligen allvarliga cybersäkerhetsincidenter. Det innebär att Olycksutredningscentralen inte har någon ovillkorlig skyldighet att göra en sådan utredning, utan utredningen utförs efter prövning. I det föreslagna nya 3 mom. beaktas exceptionella händelser som ett nytt delområde i en temautredning, eftersom det också i fråga om dem kan finnas behov av att göra en temautredning. Synnerligen allvarliga cybersäkerhetsincidenter förekommer och utreds enligt bedömningen så sällan att temautredningen inte är tillämplig i fråga om dem. Grunden till den föreslagna ändringen av strukturen är förbättring av lagens läsbarhet. 

2 a §.Synnerligen allvarlig cybersäkerhetsincident. I den föreslagna nya 2 a § definieras vad som avses med synnerligen allvarlig cybersäkerhetsincident. Det har ansetts motiverat att binda definitionen till begreppen i cybersäkerhetslagen (124/2025). I 11 § i cybersäkerhetslagen avses med en betydande incident en incident som har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller betydande ekonomiska förluster för den berörda aktören, samt en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada. Med synnerligen allvarlig cybersäkerhetsincident avses enligt förslaget en sådan betydande incident enligt 11 § i cybersäkerhetslagen som har exceptionellt allvarliga eller omfattande skadliga konsekvenser för 1) det allmännas beslutsförmåga eller myndigheternas verksamhetsförutsättningar, 2) den nationella säkerheten eller försvaret, 3) nödvändiga tjänster inom social- och hälsovården eller räddningsväsendet, 4) energi-, vatten-, livsmedels- eller läkemedelsförsörjningen eller andra nödvändiga nyttigheter, 5) nödvändiga betalnings- och värdepapperstjänster, 6) samhällets kritiska trafik- och kommunikationstjänster, 7) informations- och kommunikationstekniska tjänster eller informationsmaterial som upprätthåller de funktioner som avses i 1–6 punkten, 8) kritiska aktörer som har identifierats med stöd av lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (310/2025), eller 9) skyddet av personuppgifter. 

På en skala kan man således skilja mellan incident, betydande incident och synnerligen allvarlig cybersäkerhetsincident. Ett fall som i sak uppfyller kriterierna för en synnerligen allvarlig cybersäkerhetsincident kan anses vara det dataintrång som drabbade Helsingfors stad 2024, i fråga om vilket statsrådet med stöd av 32 § i lagen om säkerhetsutredning av olyckor beslutade att inleda en utredning av en exceptionell händelse. Fallet utreddes också av Centralkriminalpolisen. I dataintrånget fick angriparen tillgång till en stor mängd olika uppgifter, som också innehöll personuppgifter. I rapporten om utredningen räknas det upp ett flertal orsaker till att dataintrånget kunde inträffa (Olycksutredningscentralen P2024–01). 

En synnerligen allvarlig cybersäkerhetsincident kan på motsvarande sätt drabba till exempel ett patientdatasystem eller ett vattentjänstsystem. Ett patientdatasystem kan bli föremål för synnerligen avancerade cyberattacker. En attack kan dölja kritisk information, såsom patienthistorik, medicinering och laboratorieresultat och förhindra tillträde till systemet vid alla sjukhus och hälsovårdscentraler. Ambulansernas och den prehospitala akutsjukvårdens system skulle inte kunna hämta patientuppgifter, vilket skulle leda till felbehandling och fördröjningar i nödsituationer. Situationen kan eskalera, om angriparna hotar att publicera känsliga hälsouppgifter. 

En uppdatering som görs i vattentjänstsystemets programvara för automation kan innehålla ett allvarligt programmeringsfel. Felet skulle kunna ändra doseringen av kemikalier vid vattenreningsverken så att vattnet inte längre uppfyller säkerhetsstandarderna. Den förorenade vattendistributionen kan omfatta både ett stort antal hushåll och till exempel sjukhus och andra inrättningar. Man kan bli tvungen att stänga vattentjänstsystemet och ordna åtgärder för vattenförsörjning i kris även under en längre tid. I samband med händelsen kan det visa sig att reservsystemen inte har testats ordentligt. 

Det som kan anses väsentligt är överlag hur allvarlig en cybersäkerhetsincident är, med hänsyn till att den på ett betydande sätt äventyrar samhällets funktioner eller strategiska uppgifter. När det gäller utövandet av den rätt att få information som hänför sig till Olycksutredningscentralens befogenheter är det således fråga om att befogenheterna uttryckligen ska användas för utredning av sådana cybersäkerhetsincidenter som kan anses vara synnerligen allvarliga.  

5 §.Utredningens innehåll. Det föreslås att 2 mom. ändras så att det till momentet fogas att det i utredningen särskilt ska klarläggas om säkerheten i tillräcklig utsträckning har beaktats i såväl den verksamhet som har lett till en olycka som den verksamhet som har lett till en synnerligen allvarlig cybersäkerhetsincident. Enligt förslaget fogas system och programvara till momentets förteckning över sådant som ska utredas, eftersom dessa i allmänhet är föremål för utredning. Ett system kan till exempel vara ett informationssystem, som till exempel i lagen om informationshantering inom den offentliga förvaltningen (906/2019) definieras som ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling. Också ett kommunikationsnät kan anses vara ett system, som består av sammankopplade ledningar och av anordningar och som är avsett för överföring eller distribution av meddelanden via ledning, med radiovågor, optiskt eller på något annat elektromagnetiskt sätt (lagen om tjänster inom elektronisk kommunikation (917/2014)). Programvara kan uppfattas som en helhet bestående av två eller flera program som till exempel kan vara fast programvara, systemprogramvara eller tillämpningsprogramvara. Till programvara kan förutom program också höra filer och dokumentation som hänför sig till användningen av programvaran. 

8 a §.Expertregistret för säkerhetsutredningar. Paragrafen är ny i lagen. Med stöd av lagen kan Olycksutredningscentralen vid säkerhetsutredningar ta hjälp av utomstående experter, och för att säkerställa att deras personuppgifter behandlas på behörigt sätt är det motiverat att i lagen föreskriva om ett expertregister. I den föreslagna paragrafen föreskrivs det om registrets användningsändamål, personuppgiftsansvarige, registrets informationsinnehåll och om avförande av uppgifter ur registret. 

Bestämmelserna i 1 mom. i den föreslagna paragrafen definierar användningsändamålet med expertregistret. Expertregistret för säkerhetsutredningar används för skötseln av uppgifter enligt lagen om säkerhetsutredning av olyckor. De uppgifter som förts in i registret används enligt förslaget för att upprätthålla beredskapen att inleda en utredning och för att säkerställa kompetensen hos utredarna. 

Enligt det föreslagna 2 mom. är Olycksutredningscentralen personuppgiftsansvarig för expertregistret. 

Enligt 3 mom. i den föreslagna paragrafen får följande uppgifter föras in i registret: 1) namn och födelsetid, 2) kontaktuppgifter, 3) avlagda utbildningar, 4) kompetens och språkkunskaper, 5) erfarenhet av tidigare utredningar vid Olycksutredningscentralen, och 6) uppgifter om organisationskortets giltighet. Insamlingen av dessa uppgifter kan anses vara motiverad och sedvanlig med tanke på användningsändamålet med expertregistret. 

Enligt 4 mom. i den föreslagna paragrafen ska uppgifter om en expert avföras ur registret senast före utgången av följande kalenderår när samarbetet med experten har upphört. Bestämmelsen motsvarar de funktionella behoven, och samarbetet kan anses ha upphört både ur expertens och Olycksutredningscentralens synvinkel. 

9 §.Centralens organisation. Det föreslås att det till 1 mom. fogas en bestämmelse vars syfte är att precisera vad som i lagen avses med utredare. Enligt bestämmelsen avses med utredare en tjänsteman vid Olycksutredningscentralen eller en expert vid Olycksutredningscentralen som har förordnats till en utredning, eller en expert vid Olycksutredningscentralen som har utsetts till medlem av en utredningskommission. 

11 §.Experter vid Olycksutredningscentralen. Det föreslås att bestämmelsen i 1 mom. kompletteras så att där anges att utomstående experter som anlitas av Olycksutredningscentralen står under ledning och tillsyn av en tjänsteman vid Olycksutredningscentralen. Syftet med detta tillägg är att genom bestämmelser stärka principen att Olycksutredningscentralens utredningar leds av tjänstemän vid Olycksutredningscentralen. 

14 §.Jäv. I 1 mom. 2 och 4 punkten föreslås ändringar som beror på att utredningen av synnerligen allvarliga cybersäkerhetsincidenter tas in i lagen. I den föreslagna bestämmelsen beaktas också säkerhetsutredningar som gäller tillbud. Enligt förslaget är personer i fortsättningen således jäviga, om de eller någon närstående kan bli ställd till svars för olyckan, den synnerligen allvarliga cybersäkerhetsincidenten eller för skada som har uppkommit genom dem, eller om deras eller någon närståendes verksamhet kan bli föremål för utredning i en säkerhetsutredning som görs med anledning av en olycka, en synnerligen allvarlig cybersäkerhetsincident eller ett tillbud. 

16 §.Anmälningsplikt vid en olycka. Det föreslås att paragrafens rubrik preciseras så att skillnaden mellan anmälningsplikten i fråga om olyckor och i fråga om synnerligen allvarliga cybersäkerhetsincidenter framgår tydligare. Det föreslagna 1 mom. motsvarar den gällande lagen. Till förteckningen över anmälningspliktiga aktörer i 2 mom. fogas enligt förslaget välfärdsområdena och Säkerhets- och utvecklingscentret för läkemedelsområdet. Det har bedömts att tillägget är motiverat för att förtydliga tillämpningen av lagen. Det föreslagna 3 mom. motsvarar den gällande lagen. 

Det föreslås att 4 mom. ska innehålla en bestämmelse, enligt vilken Olycksutredningscentralen, om det under en säkerhetsutredning av en sjöolycka blir känt eller misstänks att ett brott har begåtts enligt artiklarna 3, 3 a, 3 b eller 3 c i Internationella sjöfartsorganisationen IMO:s konvention om bekämpande av brott mot sjöfartens säkerhet av den 10 mars 1988, i uppdaterad version, omedelbart ska underrätta sjösäkerhetsmyndigheterna i den eller de berörda medlemsstaterna i Europeiska unionen och i varje berört tredjeland. Genom bestämmelsen genomförs artikel 5.9 i direktivet om utredning av olyckor i sjötransportsektorn. Bestämmelserna i direktivet ger till denna del inget nationellt handlingsutrymme och genomförandet av dem förutsätter att bestämmelsen tas in i lagen. 

IMO:s konvention har genomförts nationellt genom en förordning (117/1999). Artiklarna 3, 3 a, 3 b och 3 c i IMO:s konvention i uppdaterad version, som det hänvisas till ovan, innehåller relativt många brottsrekvisit, som räknas upp till exempel i regeringens proposition till riksdagen om godkännande och sättande i kraft av 2005 års protokoll till konventionen för bekämpande av brott mot sjöfartens säkerhet och av 2005 års protokoll till protokollet om bekämpande av brott mot säkerheten för fasta plattformar belägna på kontinentalsockeln (RP 100/2019 rd, s. 46–49). Den ursprungliga artikel 3 i konventionen förklaras till exempel i regeringens proposition till riksdagen om godkännande av vissa bestämmelser i konventionen för bekämpande av brott mot sjöfartens säkerhet (RP 106/1998 rd, s. 3–4). 

Bemyndigandet att utfärda förordning i 4 mom. i den gällande lagen blir enligt förslaget 5 mom. 

16 a §.Anmälningsplikt i fråga om synnerligen allvarliga cybersäkerhetsincidenter. Enligt det föreslagna nya 16 a § 1 mom. ska en tillsynsmyndighet som avses i 26 § i cybersäkerhetslagen (124/2025) oberoende av bestämmelserna om sekretess underrätta Olycksutredningscentralen om en sådan cybersäkerhetsincident som myndigheten har kännedom om och som enligt lagen om säkerhetsutredning av olyckor kan anses vara synnerligen allvarlig. 

De tillsynsmyndigheter som avses i 26 § i cybersäkerhetslagen är Transport- och kommunikationsverket, Energimyndigheten, Säkerhets- och kemikalieverket, Tillstånds- och tillsynsverket, Tillstånds- och tillsynsverket för social- och hälsovården, Livskraftscentralen, Livsmedelsverket samt Säkerhets- och utvecklingscentret för läkemedelsområdet. Anmälningsplikten för tillsynsmyndigheter kan i praktiken anses vara det effektivaste och säkraste sättet att ge Olycksutredningscentralen möjlighet att få information om synnerligen allvarliga cybersäkerhetsincidenter så att centralen vid behov kan utföra en säkerhetsutredning. 

Enligt det föreslagna 2 mom. har Transport- och kommunikationsverket oberoende av bestämmelserna om sekretess i egenskap av tillsynsmyndighet enligt 18 h § i lagen om informationshantering inom den offentliga förvaltningen (906/2019) anmälningsskyldighet till Olycksutredningscentralen när verket av en aktör inom den offentliga förvaltningen får en anmälan om en sådan cybersäkerhetsincident som kan anses vara synnerligen allvarlig på det sätt som avses i 2 a § i denna lag. 

Enligt det föreslagna 3 mom. har Finansinspektionen oberoende av bestämmelserna om sekretess anmälningsplikt till Olycksutredningscentralen när den av en finansiell entitet får en anmälan som avses i artikel 19 i den så kallade DORA-förordningen ((EU) 2022/2554) om en sådan allvarlig incident som enligt lagen om säkerhetsutredning av olyckor kan betraktas som en synnerligen allvarlig cybersäkerhetsincident. Bestämmelser om Finansinspektionens tillsynsuppgift finns i 50 p § i lagen om Finansinspektionen (878/2008). 

16 b §.Anmälningsplikt när en skada till följd av en sjöolycka leder till döden. Om det är uppenbart att en skada som en person har fått i en sjöolycka som omfattas av tillämpningsområdet för artikel 2 i direktivet om utredning av olyckor i sjötransportsektorn har lett till personens död inom 30 dagar från den dag då olyckan inträffade och sådan information om sjöolyckan finns att tillgå, ska den som i enlighet med lagen om utredande av dödsorsak (459/1973) verkställer en rättsmedicinsk utredning av dödsorsaken utan dröjsmål underrätta Olycksutredningscentralen om saken. Den föreslagna paragrafen är ny i lagen och genom den genomförs artikel 3.11 i direktivet om utredning av olyckor i sjötransportsektorn, enligt vilken en personskada med dödlig utgång definieras som en skada som en person ådragit sig vid en olycka och som har till följd att personen i fråga avlider inom 30 dagar efter dagen för olyckan, om den relaterade informationen finns tillgänglig. Genom paragrafen genomförs samtidigt underrättelseskyldigheten enligt artikel 6 i direktivet. Bestämmelsen i direktivet innebär i praktiken att när en person som skadats i en sjöolycka avlider inom 30 dagar från den dag då olyckan inträffade till följd av den skada personen fått i olyckan är det fråga om en mycket allvarlig sjöolycka, vilket inverkar på säkerhetsutredningen. Enligt 7 § 1 mom. i lagen om utredande av dödsorsak ska polisen för utredande av dödsorsak verkställa undersökning då döden förorsakats av ett olycksfall, eller då det är anledning att befara, att döden föranletts av ett olycksfall, dvs. det görs en rättsmedicinsk utredning av dödsorsaken. Enligt 7 § 2 mom. i den lagen ska läkares bistånd vid behov anlitas vid undersökningen. Den läkare som anlitas kan vara välfärdsområdets läkare, en annan läkare eller en läkare vid Institutet för hälsa och välfärd. Institutet för hälsa och välfärd ansvarar för rättsmedicinska obduktioner. Det är motiverat att dessa myndigheter sinsemellan kommer överens om vem som ska göra anmälan. I lagstiftningen om utredande av dödsorsak förskrivs det också att om det vid en medicinsk utredning av dödsorsaken framgår omständigheter som avses i 7 § lagen om utredande av dödsorsak, ska den läkare som utför obduktionen omedelbart föra saken till polisens kännedom och avbryta den medicinska utredningen av dödsorsaken. I praktiken innebär det att om det är känt att ett dödsfall orsakats av en sjöolycka eller det finns anledning att misstänka att sjöolyckan har kunnat orsaka dödsfallet, ska polisen göra en utredning. 

17 §.Inledande av utredning av en olycka. Det föreslås att paragrafens rubrik ändras så att den förmedlar skillnaden i förhållande till rubriken för den föreslagna 17 a § där det är fråga om inledande av utredning av en synnerligen allvarlig cybersäkerhetsincident. Det föreslås att hänvisningen till sjöolycksdirektivet i 3 mom. ändras till en hänvisning till direktivet om utredning av olyckor i sjötransportsektorn, eftersom det är en kortform som bättre beskriver innehållet i och syftet med direktivet i fråga. Enligt förslaget ändras i 3 mom. termen ro-rofartyg till ro-ro-passagerarfartyg på grund av att definitionen i artikel 3 i direktivet om utredning av olyckor i sjötransportsektorn har ändrats. 

Det föreslås att ett nytt 4 mom. fogas till paragrafen. Enligt momentet ska säkerhetsutredningen av en sjöolycka inledas utan dröjsmål efter en sjöolycka eller ett tillbud till sjöss och senast två månader efter olyckan eller tillbudet. Genom paragrafen genomförs artikel 5.8 i direktivet om utredning av olyckor i sjötransportsektorn. Bestämmelserna i direktivet ger till denna del inget nationellt handlingsutrymme och genomförandet av dem förutsätter att bestämmelsen tas in i lagen. 

Det föreslås att det till paragrafen fogas ett nytt 5 mom., som innehåller en bestämmelse som motsvarar 18 § 3 mom. i den gällande lagen, enligt vilken en annan myndighet eller aktör som inlett en säkerhetsutredning ska lämna sitt insamlade utredningsmaterial till Olycksutredningscentralen för användning när centralen har inlett en utredning. Det föreslås att bestämmelsen i 18 § 3 mom. upphävs. Grunden till ändringen är att bestämmelsen till sitt saksammanhang passar bättre i 17 § än i 18 §, som handlar om att inleda och göra ett klarläggande. 

17 a §.Inledande av utredning av en synnerligen allvarlig cybersäkerhetsincident. Enligt 1 mom. i den föreslagna nya 17 a § ska Olycksutredningscentralen när utredningen av en synnerligen allvarlig cybersäkerhetsincident inleds beakta behoven av ändamålsenligt utförande av åtgärder för hantering av cybersäkerhetsincidenten före utredningen. Enligt 2 mom. ska polisen och Olycksutredningscentralen förhandla om hur säkerhetsutredningen genomförs, om också polisen gör en utredning som hänför sig till en synnerligen allvarlig cybersäkerhetsincident. Syftet med bestämmelsen är att säkerställa att det i ett så tidigt skede som möjligt förs en diskussion mellan polisen och Olycksutredningscentralen om samordningen av utredningsåtgärderna. 

Beträffande de föreslagna bestämmelserna får Olycksutredningscentralen information om en synnerligen allvarlig cybersäkerhetsincident i och med anmälningsplikten enligt 16 a §. Då har de aktiva åtgärderna för hantering av incidenten sannolikt redan inletts. För att hanteringsåtgärderna ska kunna säkerställas före eventuella utredningsåtgärder, ska Olycksutredningscentralens utredning inledas först när det kan bedömas att situationen har stabiliserats tillräckligt. I praktiken innebär detta att det behövs en dialog mellan den aktör som utför hanteringsåtgärderna och Olycksutredningscentralen. För att en säkerhetsutredning ska lyckas är det å sin sida mest fördelaktigt att säkerhetsutredningen kan inledas i ett så tidigt skede som möjligt. 

18 §.Klarläggande. Det föreslås att paragrafen ändras så att den tydligare anger vilka utredande åtgärder Olycksutredningscentralen får utföra innan centralen eventuellt inleder en egentlig säkerhetsutredning. I samband med detta föreslås det att paragrafens rubrik ändras från preliminär utredning till klarläggande. 

I det föreslagna 1 mom. föreskrivs det att Olycksutredningscentralen kan börja klarlägga en händelse som avses i 2 § redan innan beslutet om inledande av en utredning fattas. Syftet med klarläggandet är att säkra förutsättningarna för en utredning enligt 19 § i lagen, och utifrån det bedöms det om en händelse uppfyller förutsättningarna för inledande av säkerhetsutredning. Dessa förutsättningar hänvisar till bestämmelserna i 1 och 2 § eller alternativt i 17 eller 17 a §. I fråga om klarläggandet av en synnerligen allvarlig cybersäkerhetsincident föreslås det att det i momentet föreskrivs att Olycksutredningscentralen i samband med klarläggandet ska beakta behoven av ändamålsenligt utförande av åtgärder för hantering av cybersäkerhetsincidenten. Det här motsvarar bestämmelserna i den föreslagna 17 a § och således ska det också när det är fråga om ett klargörande säkerställas att tillräckliga åtgärder för hantering av incidenten har vidtagits. 

Enligt det föreslagna 2 mom. ska på klarläggandet tillämpas vad som i 19 § i lagen föreskrivs om säkrande av förutsättningarna för en utredning, i 20 eller 20 a § om rätt att få uppgifter, i 22 § om inspektionsrätt och i 23 § om hörande. Detta innebär att en utredare enligt lagen har tillgång till de befogenheter som används vid en säkerhetsutredning. Möjligheten att utöva tillräckliga befogenheter är en förutsättning för att ett klarläggande ska kunna göras i ärendet. Eftersom behörigheten gäller dem som är utredare enligt lagen, är det inte motiverat att i momentet särskilt föreskriva om användningen av behörigheten när det gäller experter vid Olycksutredningscentralen, såsom i 2 mom. i den gällande lagen. 

Bestämmelserna i det gällande 3 mom., enligt vilket en annan myndighet eller aktör som inlett en säkerhetsutredning ska lämna sitt utredningsmaterial till Olycksutredningscentralen för användning när centralen har inlett en utredning, flyttas enligt förslaget till 17 § 5 mom. Genom det föreslagna nya 3 mom. genomförs artikel 5.2 i direktivet om utredning av olyckor i sjötransportsektorn. Enligt den föreslagna bestämmelsen ska Olycksutredningscentralen, om det är fråga om en mycket allvarlig sjöolycka som gäller ett fiskefartyg vars längd underskrider 15 meter, utan dröjsmål och senast två månader efter att den mycket allvarliga sjöolyckan inträffade göra en preliminär bedömning för att avgöra om en säkerhetsutredning ska genomföras eller inte. Om Olycksutredningscentralen beslutar att inte genomföra en sådan säkerhetsutredning, ska skälen till beslutet utan dröjsmål och senast två månader efter att den mycket allvarliga sjöolyckan inträffade registreras i och anmälas till Europeiska databasen för sjöolycksutredningar (Emcip) i enlighet med artikel 17.3. i direktivet om utredning av sjöolyckor. Bestämmelserna i direktivet ger till denna del inget nationellt handlingsutrymme och genomförandet av dem förutsätter att bestämmelserna tas in i lagen. 

19 §.Säkrande av förutsättningarna för en utredning. Det föreslås att 1 mom. ändras så att också synnerligen allvarliga cybersäkerhetsincidenter nämns i momentet. Det bör noteras att behörigheten enligt bestämmelsen begränsas av begränsningarna av inspektionsrätten i 22 § 2 mom. som bland annat hänför sig till rätten att få tillträde till utrymmen som används för permanent boende. 

På motsvarande sätt föreslås det att inspektionsrätten utvidgas så att den också omfattar system och programvara, eftersom i synnerhet utredningen av cybersäkerhetsincidenter ofta berör sådana. Dessutom förtydligas bestämmelserna i momentet genom en hänvisning till Olycksutredningscentralens utredare. 

I det föreslagna 2 mom. beaktas också som en ny faktor säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter, och det föreslås att Olycksutredningscentralen också i samband med en sådan utredning får behörighet att spärra av en plats som hänför sig till en synnerligen allvarlig cybersäkerhetsincident. Storleken på det utrymme som spärras av kan variera beroende vad som anses nödvändigt med tanke på säkerhetsutredningen. När det gäller den praktiska verksamheten bör det beaktas att enligt 42 § 1 mom. i lagen om säkerhetsutredning av olyckor vidtas utredningsåtgärder, i den omfattning Olycksutredningscentralen anser samarbete vara ändamålsenligt för en säkerhetsutredning, i samarbete med en myndighet som i samma ärende utför förundersökning eller utredning av dödsorsak. Avspärrning av en plats kan således utföras också med stöd av en annan myndighets behörighet. 

I det föreslagna 3 mom. beaktas synnerligen allvarliga cybersäkerhetsincidenter, och till de föremål och annat material som nämns i momentet fogas termen anläggningar, vilket förtydligar det att utredningsmyndigheten i samband med utredningen av en synnerligen allvarlig cybersäkerhetsincident också kan bestämma om hantering av anläggningar. Enligt förslaget stryks uttrycket ”om inte tvingande skäl föreligger”, eftersom det med tanke på genomförandet av en säkerhetsutredning är viktigt att Olycksutredningscentralen eller utredningskommissionens chef kan besluta hur föremål, anläggningar och annat material eventuellt förstörs, förs bort eller flyttas. Bestämmelserna utesluter dock inte att en åtgärd som vidtagits utan tillstånd kan vara berättigad som en nödtillståndshandling i enlighet med 4 kap. 5 § i strafflagen (39/1889). 

Den skyldighet att förteckna som nämns i momentet preciseras så att Olycksutredningscentralen och utredningskommissionens chef i fortsättningen ska se till att materialet förtecknas i den omfattning det är nödvändigt och i praktiken möjligt. Den nuvarande formuleringen är tämligen tvingande, även om det material som hänför sig till en säkerhetsutredning inte alltid kan förtecknas på ett uttömmande sätt på grund av mängden material eller problem med tillgången till materialet. Det att materialet ska förtecknas till den del som med tanke på utredningen kan anses nödvändig och i praktiken möjlig, reglerar i tillräcklig utsträckning vad som kan anses ändamålsenligt i samband med en säkerhetsutredning. 

Enligt det nya 4 mom. ska det i fråga om 1–3 mom. beaktas vad som i 17 a och 18 § i denna lag föreskrivs om ändamålsenligt utförande av hanteringsåtgärder och om polisens utredning i förhållande till säkerhetsutredningen i fråga om synnerligen allvarliga cybersäkerhetsincidenter. 

Det gällande 4 mom. i paragrafen blir 5 mom. 

20 §.Rätt att få uppgifter för säkerhetsutredning av olyckor och tillbud. Det föreslås att paragrafens rubrik ändras så att det av den framgår att rätten att få uppgifter i fråga om utredning av olyckor och tillbud bestäms i enlighet med vad som föreskrivs i den paragrafen. Bestämmelser om rätten att få uppgifter för säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter finns i den föreslagna 20 a §. Dessutom föreslås det att 4 mom. upphävs som onödigt, eftersom bestämmelser om informationsöverföring via tekniska gränssnitt för närvarande finns i lagen om informationshantering inom den offentliga förvaltningen (906/2019). 

20 a §.Rätt att få uppgifter för säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter. Den föreslagna paragrafen är ny i lagen och i den föreskrivs det om utredarens rätt att få uppgifter för säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter. Det är motiverat att särskilja rätten att få uppgifter i fråga om utredning av synnerligen allvarliga cybersäkerhetsincidenter från rätten att få uppgifter i fråga om säkerhetsutredning av olyckor och tillbud (20 §), eftersom de uppgifter som behövs vid utredning av synnerligen allvarliga cybersäkerhetsincidenter skiljer sig avsevärt från de uppgifter som behövs vid utredning av olyckor och tillbud. Synnerligen allvarlig cybersäkerhetsincident definieras i den föreslagna 2 a §. 

Enligt det föreslagna 1 mom. har en utredare oberoende av bestämmelserna om sekretess rätt att av de tillsynsmyndigheter som avses i 26 § i cybersäkerhetslagen avgiftsfritt få den information som är nödvändig för säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter om de uppgifter som avses i 11–13 § och 28 § 1 och 2 mom. i cybersäkerhetslagen. I 11 § i cybersäkerhetslagen finns bestämmelser om skyldigheten för aktörer som är förpliktade med stöd av cybersäkerhetslagen att lämna en incidentanmälan till tillsynsmyndigheten, i 12 § i den lagen bestämmelser om aktörers skyldighet att lämna en delrapport om en incident och i 13 § bestämmelser om aktörers skyldighet att lämna en slutrapport om en incident. Anmälan, delrapporten och slutrapporten kan anses vara viktiga informationskällor med tanke på en säkerhetsutredning. Därmed är det är motiverat att utredaren har rätt att få uppgifter i fråga om dessa. 

Enligt 28 § i cybersäkerhetslagen har tillsynsmyndigheten trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av en aktör få information om hanteringen av cybersäkerhetsrisker, handlingsmodellen för riskhantering, hanteringsåtgärderna och betydande incidenter samt annan information som direkt anknyter till ovannämnda information och som är nödvändig för tillsynen över fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker och över anmälan om och rapporteringen av betydande incidenter. Enligt 28 § 2 mom. i cybersäkerhetslagen har tillsynsmyndigheten trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information rätt att av en aktör få förmedlingsuppgifter, lokaliseringsuppgifter och information om meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando, om det är nödvändigt för tillsynen över fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker eller över anmälan och rapporteringen av betydande incidenter. På motsvarande sätt föreslås det således att Olycksutredningscentralen trots sekretessbestämmelserna ska ha rätt att av tillsynsmyndigheter för säkerhetsutredning som centralen utför få de av ovannämnda uppgifter som anses nödvändiga med tanke på utredningen. 

Enligt det föreslagna 1 mom. ska utredaren också ha rätt att av tillsynsmyndigheten få sådana uppgifter som är nödvändiga för utredningen av en synnerligen allvarlig cybersäkerhetsincident. Den här typen av rätt att få uppgifter är motiverad, eftersom den säkerställer rätten att få uppgifter för en säkerhetsutredning i situationer där de uppgifter som kan erhållas med stöd av 11–13 § och 28 § 1 och 2 mom. i cybersäkerhetslagen inte är tillräckliga, utan det för utredningen också behövs annan information som en tillsynsmyndighet har. 

Dessutom har utredaren med stöd av 1 mom. oberoende av bestämmelserna om sekretess rätt att av den tillsynsmyndighet som avses i 18 h § i lagen om informationshantering inom den offentliga förvaltningen avgiftsfritt få den information som är nödvändig för säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter om uppgifter i anmälningar som gjorts till tillsynsmyndigheten med stöd av 18 d § och om uppgifter som avses i 18 i § 1 och 2 mom. i den lagen. Enligt 18 d § ska myndigheten senast inom 24 timmar från upptäckten av en betydande incident lämna tillsynsmyndigheten en första anmälan om incidenten och däreftersenast inom 72 timmar från upptäckten av den betydande incidenten lämna tillsynsmyndigheten en uppföljande anmälan om incidenten. Myndigheten ska inom en månad från det att den uppföljande anmälan lämnades in lämna tillsynsmyndigheten en slutrapport om den betydande incidenten. Slutrapporten ska innehålla 1) en detaljerad beskrivning av incidenten, dess allvarlighetsgrad och konsekvenser, 2) en redogörelse för den typ av hot eller grundorsak som sannolikt har utlöst incidenten, 3) en redogörelse för tillämpade och pågående åtgärder för att begränsa konsekvenserna av incidenten, och 4) en redogörelse för eventuella gränsöverskridande konsekvenser. Enligt 18 i § 1 mom. har tillsynsmyndigheten rätt att få information om hanteringen av cybersäkerhetsrisker, handlingsmodellen för riskhantering, hanteringsåtgärderna och betydande incidenter samt annan information som direkt anknyter till ovannämnda information. Enligt 18 i § 2 mom. har tillsynsmyndigheten rätt att få förmedlingsuppgifter, lokaliseringsuppgifter och information om meddelanden som innehåller ett skadligt datorprogram eller ett skadligt kommando. 

Enligt det föreslagna 1 mom. har utredaren oberoende av bestämmelserna om sekretess också rätt att få uppgifter av Finansinspektionen om sådana i artikel 19 i Europeiska unionens förordning ((EU) 2022/2554) om digital operativ motståndskraft för finanssektorn avsedda rapporter och anmälningar som lämnats till Finansinspektionen. Enligt artikel 19 i EU-förordningen ska finansiella entiteter vid tillämpning av första stycket i artikel 19, efter att ha samlat in och analyserat all relevant information, utarbeta den första anmälan och de rapporter som avses i artikel 19.4 med hjälp av de mallar som avses i artikel 20 och överlämna dem till den behöriga myndigheten. Om det visar sig vara tekniskt omöjligt att överföra den första anmälan med hjälp av mallen ska finansiella entiteter anmäla till den behöriga myndigheten på annat vis. Den första anmälan och de rapporter som avses i artikel 19 ska innehålla all information som är nödvändig för att den behöriga myndigheten ska kunna fastställa betydelsen av den allvarliga nätverks- och informationssystemrelaterade incidenten och bedöma eventuella gränsöverskridande konsekvenser. 

Enligt det föreslagna 2 mom. har en utredare dessutom oberoende av bestämmelserna om sekretess rätt att avgiftsfritt för utredningen av en synnerligen allvarlig cybersäkerhetsincident få nödvändiga uppgifter 1) av en i 1 mom. avsedd aktör, eller någon som agerar för aktörens räkning och som åt aktören utför ett uppdrag som anknyter till cybersäkerhet, när uppgifterna inte kan fås av en tillsynsmyndighet som avses i 1 mom., samt 2) ur polisens polis- och förundersökningshandlingar. Denna rätt att få uppgifter är motiverad, eftersom det också genom den säkerställs att det finns tillgång till tillräckliga uppgifter för en säkerhetsutredning när det inte är en tillsynsmyndighet som har uppgifterna. Med handling avses när det gäller polis- och förundersökningshandlingar en sådan handling som avses i 5 § i lagen om offentlighet i myndigheternas verksamhet (621/1999, offentlighetslagen). 

I 3 § i cybersäkerhetslagen föreskrivs det om allmänna utgångspunkter för vad som i cybersäkerhetslagen avses med aktörer. Närmare definitioner finns i bilagorna till cybersäkerhetslagen, där olika samhällsaktörer benämns som aktörer (till exempel aktörer inom transport och trafik, digital infrastruktur, energisektorn, hälso- och sjukvård, vattentjänster och avfallshantering). Eftersom det är möjligt att dessa aktörer för utförandet av funktioner som anknyter till cybersäkerhet anlitar en utomstående aktör, är det motiverat att föreskriva att rätten att få uppgifter också gäller uppgifter som innehas av en aktör som utför ett uppdrag som anknyter till cybersäkerhet åt en aktör som avses i 3 § i cybersäkerhetslagen. I sådana uppdrag kan det också vara fråga om behandling av personuppgifter där en aktör som avses i 3 § i cybersäkerhetslagen i egenskap av personuppgiftsansvarig har lagt ut behandlingen av personuppgifter till ett personuppgiftsbiträde som är i ett uppdragsförhållande och som agerar för den personuppgiftsansvariges räkning. Enligt förslaget ska rätten att få uppgifter också gälla personuppgifter och direkt omfatta personuppgiftsbiträden som agerar för den personuppgiftsansvariges räkning. 

Rätten att få uppgifter kan i vissa situationer också gälla den som utför ett uppdrag för en myndighet. Enligt 14 § 1 mom. i offentlighetslagen fattas beslut om utlämnande av uppgifter ur en handling som har upprättats i samband med ett uppdrag som givits av en myndighet eller som har inkommit med anledning av ett uppdrag som utförs för en annan myndighets räkning hos den myndighet som givit uppdraget, om inte något annat följer av uppdraget. Den föreslagna bestämmelsen är en specialbestämmelse i förhållande till huvudregeln enligt offentlighetslagen. Således kan också den som utför ett uppdrag för en myndighet lämna ut uppgifterna direkt till Olycksutredningscentralen. 

Enligt den föreslagna 2 mom. 2 punkten har en utredare rätt att få nödvändiga uppgifter ur polisens polis- och förundersökningshandlingar. Sådant material kan ha avsevärd betydelse för en säkerhetsutredning när en händelse och orsakerna till den också utreds vid polis- och förundersökning. Motsvarande rätt att få uppgifter gäller också för utredning av olyckor enligt 20 § i lagen om säkerhetsutredning av olyckor. I praktiken har till exempel polisens undersökningsledare inom ramen för nödvändighetskravet för utlämnande av uppgifter prövningsrätt i fråga om vilka uppgifter som ska lämnas till en säkerhetsutredning. Allt polisens utredningsmaterial är inte sådant att det har betydelse för en säkerhetsutredning och dessutom kan polisens utredning innehålla till exempel användning av hemliga tvångsmedel som indirekt kan framgå av utredningsrapporten. Uppgifter i en förundersökning kan också komma från en inhemsk myndighet eller en myndighet i ett annat land som har ställt upp begränsningar för utlämnande av uppgifterna till andra myndigheter eller för något annat användningsändamål. Det är också möjligt att informationen har erhållits med stöd av ett beslut av en utländsk domstol när rättshjälp har begärts eller mottagits. 

21 §.Rätt att få uppgifter av teleföretag. Det föreslås att 1 mom. ändras så att utredare i fortsättningen ska ha rätt att få de uppgifter som avses i paragrafen avgiftsfritt. I 1 mom. justeras också föråldrade författningshänvisningar genom att det görs en hänvisning till lagen om tjänster inom elektronisk kommunikation (917/2014). I samband med detta föreslås det att termen ”paikkatieto” på finska ersätts med termen ”sijaintitieto”. Detta föranleder ingen ändring på svenska, eftersom båda termerna motsvaras av termen lokaliseringsuppgift. Det föreslås också att termen identifieringsuppgift (tunnistamistieto) ersätts med termen förmedlingsuppgift (välitystieto). 

Dessutom föreslås det att 3 mom. upphävs som onödigt, eftersom bestämmelser om informationsöverföring via tekniska gränssnitt för närvarande finns i lagen om informationshantering inom den offentliga förvaltningen (906/2019). 

22 §.Inspektionsrätt. Enligt 1 mom. i den gällande paragrafen har en utredare rätt att omhänderta och inspektera föremål och dokument, om detta är nödvändigt för att genomföra en säkerhetsutredning. Utredaren får utföra test med föremålen och lösgöra delar från dem samt ta prov, om det är nödvändigt för utredningarna. I fråga om säkerhetsutredning föreslås det att det till 1 mom. fogas rätt att utöver föremål och dokument granska system och programvara, eftersom utredningen av cybersäkerhetsincidenter ofta berör sådana. Som det även konstateras i specialmotiveringen till 5 § 2 mom. kan ett system exempelvis vara ett informationssystem, som till exempel i lagen om informationshantering inom den offentliga förvaltningen (906/2019) definieras som ett helhetsarrangemang som består av databehandlingsutrustning, programvara och annan databehandling. Också ett kommunikationsnät kan anses vara ett system, som består av sammankopplade ledningar och av anordningar och som är avsett för överföring eller distribution av meddelanden via ledning, med radiovågor, optiskt eller på något annat elektromagnetiskt sätt (lagen om tjänster inom elektronisk kommunikation (917/2014)). Programvara kan uppfattas som en helhet bestående av två eller flera program, och som till exempel kan vara fast programvara, systemprogramvara eller tillämpningsprogramvara. Till programvara kan förutom program också höra filer och dokumentation som hänför sig till användningen av programvaran. 

Till momentet fogas också en bestämmelse om att åtgärderna ska vidtas så att de orsakar så liten skada som möjligt för den verksamhet som är föremål för utredningen, och de får inte äventyra kontinuiteten i funktioner som är vitala för människors liv och hälsa eller i samhällets kritiska funktioner. 

Även om det i 22 § 2 mom. i den gällande lagen föreskrivs om utredarens rätt att få tillträde till utrymmen som används för permanent boende om det är nödvändigt för att förebygga olyckor och tillbud eller för att erhålla upplysningar som är nödvändiga för att förhindra skador till följd av olyckor, föreslås det inte i fråga om säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter att inspektionsrätten ska omfatta utrymmen som används för permanent boende. Sådana rättigheter kan inte anses nödvändiga vid säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter, och en sådan behörighet torde inte heller vara motiverad med tanke på 10 § 3 mom. i grundlagen. 

23 §.Hörande. Det föreslås att paragrafen ändras så att det framgår att hörande och samtal grundar sig på frivillighet för den person som ska höras eller som det ska föras ett samtal med. Utgångspunkten i den gällande lagen är utifrån bestämmelserna och förarbetena till lagen att hörandet inte är frivilligt för den som ska höras. Enligt 3 mom. i den gällande paragrafen ska den som hörs informeras om sina rättigheter och sin ställning vid hörandet. Bestämmelsen har fått sin form under riksdagsbehandlingen av lagen om säkerhetsutredning av olyckor (FvUB 40/2010 rd). Förvaltningsutskottet ändrade i sitt betänkande den föreslagna bestämmelsen om frivillighet när det gäller hörande i regeringspropositionen (RP 204/2010 rd) så att hörande enligt utskottet inte ska vara frivilligt för den som ska höras. 

Syftet med och utgångspunkterna för säkerhetsutredning är utifrån de praktiska erfarenheterna av säkerhetsutredningar emellertid sådana att regeringen anser det motiverat att föreslå att hörande och samtal i fortsättningen ska bygga på att man inte kan förplikta någon att delta i dem. Också internationell praxis inom säkerhetsutredningar motiverar en sådan modell. 

Enligt det föreslagna 1 mom. får en utredare höra den som varit närvarande vid ett tillbud eller inblandad i en olycka. En utredare får dessutom höra också andra personer som kan antas kunna ge uppgifter som behövs i utredningen. En ändring i förhållande till det gällande 1 mom. är att det preciseras att hörandet också kan gälla en person som varit närvarande vid ett tillbud. Dessutom föreslås det att bestämmelserna struktureras tydligare så att den första bestämmelsen gäller dem som varit närvarande vid ett tillbud eller inblandade i en olycka och den senare gäller personer som inte direkt har en koppling till tillbudet eller olyckan men kan antas kunna ge uppgifter som behövs i utredningen. 

Det föreslagna 2 mom. motsvarar den gällande lagen. 

Enligt det föreslagna 3 mom. får en utredare preliminärt samtala med en person som avses i 1 mom. Bestämmelsen motsvarar, med vissa ändringar i ordalydelsen, 4 mom. i den gällande paragrafen, som fogades till lagen om säkerhetsutredning av olyckor genom lag 187/2019. Genom ett preliminärt samtal kan man klargöra om en person behöver höras för en utredning. Med hjälp av det preliminära samtalet kan man också dra slutsatser om huruvida ett tillbud är sådant eller en olycka är sådan att en egentlig säkerhetsutredning bör inledas. 

Enligt det föreslagna 4 mom. kan en person inte förpliktas att delta i ett hörande eller samtal. Med bestämmelsen uttrycks det att ingen mot sin vilja behöver bli hörd eller delta i ett samtal. I samband med hörande och samtal ska det informeras om syftet med säkerhetsutredningen och om de begränsningar som gäller vidareutlämnande av information som personen röjer. Syftet med en säkerhetsutredning uppges i 1 § i lagen, enligt vilken syftet med säkerhetsutredningar är att öka den allmänna säkerheten, att förebygga olyckor och tillbud och att förhindra skador till följd av olyckor. När det gäller hörande och samtal är det viktigt att också konstatera att säkerhetsutredningar inte görs för att klarlägga rättsligt ansvar, vilket också framgår av 1 §. Enligt bestämmelserna i 39 § i den gällande lagen kan Olycksutredningscentralen oberoende av bestämmelserna om sekretess lämna ut uppgifter som har erhållits i en säkerhetsutredning till förundersöknings- och åklagarmyndigheten endast om uppgifterna är nödvändiga för att reda ut ett brott för vilket det i lag föreskrivna strängaste straffet är fängelse i minst två år. Olycksutredningscentralen får dock inte till förundersöknings- eller åklagarmyndigheten lämna ut uppgifter som avses i 21 § och inte heller uppgifter som till väsentliga delar har inhämtats hos personer som i egenskap av vittne i förundersökning eller rättegång är skyldiga eller berättigade att vägra vittna om saken i fråga, om inte den som har rätt att vägra vittna samtycker till att uppgiften lämnas ut. Bestämmelserna tryggar skyddet mot självinkriminering, vars betydelse vid säkerhetsutredning ökar eftersom det ofta kan vara fråga om händelser som kan leda till att åtal väcks och straff utdöms. 

27 §.Utredningsrapport. Enligt det gällande 1 mom. ska det över varje säkerhetsutredning sammanställas en offentlig rapport i en omfattning som är lämplig i förhållande till olyckans allvarlighetsgrad. Det föreslås att det till momentet fogas bestämmelser om att en utredningsrapport också ska sammanställas i fråga om synnerligen allvarliga cybersäkerhetsincidenter. Utredningen av en synnerligen allvarlig cybersäkerhetsincident kan förutsätta till exempel behandling av sådana uppgifter om skyddsarrangemang för data- och kommunikationssystem som är sekretessbelagda med stöd av 24 § 1 mom. 7 punkten i offentlighetslagen. Förslaget om sammanställande av en offentlig utredningsrapport motsvarar nuvarande praxis och avsikten med förslaget är inte att ändra nuläget. Även i 2 mom. i paragrafen föreslås ändringar som beror på att synnerligen allvarliga cybersäkerhetsincidenter ska utreds med stöd av lagen. Utredningsrapporten ska då enligt förslaget innehålla en redogörelse för den synnerligen allvarliga cybersäkerhetsincidentens förlopp, faktorer som har lett till incidenten och följderna av den samt säkerhetsrekommendationer till aktörer. När det gäller säkerhetsrekommendationerna föreslås det att det till momentet förutom olyckor och synnerligen allvarliga cybersäkerhetsincidenter också fogas tillbud, eftersom rekommendationerna på samma sätt kan anses ha betydelse för att ett tillbud inte ska uppkomma. Utredningsrapporten får inte heller vid synnerligen allvarliga cybersäkerhetsincidenter innehålla identitetsuppgifter om enskilda personer som har varit inblandade i störningen i fråga eller som har hörts i samband med utredningen. 

I 3 mom. i paragrafen beaktas också synnerligen allvarliga cybersäkerhetsincidenter, eftersom även sådana kan ha samband med järnvägstrafiken. 

27 a §.Sammanfattande rapport. Enligt den föreslagna bestämmelsen kan Olycksutredningscentralen besluta att publicera endast en sammanfattande rapport om en säkerhetsutredning eller ett klarläggande, om det utifrån slutsatserna inte finns några rekommendationer som förbättrar den allmänna säkerheten, eller om en säkerhetsutredning inte inleds på grundval av klarläggandet. Genom bestämmelsen genomförs nationellt artikel 14.1 i direktivet om utredning av olyckor i sjötransportsektorn, men bestämmelsen föreslås förutom utredning av olyckor och tillbud till sjöss gälla också sådan utredning av andra olyckor eller tillbud som genomförs antingen som klarläggande eller som säkerhetsutredning. Bestämmelserna i direktivet ger till denna del inget nationellt handlingsutrymme och genomförandet av dem förutsätter att bestämmelsen tas in i lagen. Bestämmelsen som sådan ger Olycksutredningscentralen prövningsrätt när det gäller hur centralen från fall till fall bedömer huruvida rapporteringen om en säkerhetsutredning inverkar på förebyggandet av sjöolyckor eller tillbud till sjöss i framtiden. 

28 §.Yttranden av myndigheter och inblandade. I 1 mom. ska enligt förslaget också beaktas begäran om utlåtande när det gäller utkast till utredningsrapport om en synnerligen allvarlig cybersäkerhetsincident. Det föreslås att det till bestämmelsen fogas att det också alltid ska begäras utlåtande om utkastet av polisen. Tillägget gäller också utkast till utredningsrapporter om utredningen av olyckor och tillbud. Antalet personer som kan anses vara inblandade i en synnerligen allvarlig cybersäkerhetsincident kan variera väldigt mycket. Att begära utlåtande separat av alla aktörer som kan anses vara inblandade kan vara besvärligt och delvis även omöjligt. Dessutom bör man beakta sådana detaljer som eventuellt kommer fram i utlåtandena som klassificeras som känsliga och hemliga. Detta motiverar att begäran om utlåtande görs till allmänheten genom en separat kungörelse och att utlåtandena mottas antingen per post eller per e-post. 

Flera myndigheter har en viktig roll när det gäller att säkerställa informationssäkerheten. Därför är det ändamålsenligt att inhämta utlåtanden genom en riktad myndighetsspecifik begäran om utlåtande. Till 1 mom. föreslås det dessutom att det fogas en bestämmelse, enligt vilken Olycksutredningscentralen kan begära utlåtande också av andra som deltagit i en utredning, om det behövs för utarbetandet av utredningsrapporten. Syftet med detta är att säkerställa att man får heltäckande synpunkter på utkastet till utredningsrapport. 

29 §.Avslutande av utredningen. Det föreslås att det till paragrafen fogas ett nytt 2 mom., genom vilket artikel 17.2a i direktivet om utredning av olyckor i sjötransportsektorn genomförs. Enligt den föreslagna bestämmelsen ska Olycksutredningscentralen oberoende av bestämmelserna om sekretess anmäla alla sjöolyckor och tillbud till sjöss till Europeiska databasen för sjöolycksutredningar. Enligt direktivet ska uppgifterna anmälas i enlighet med formatet i bilaga II till direktivet om utredning av olyckor i sjötransportsektorn. Enligt förslaget ska Olycksutredningscentralen oberoende av bestämmelserna om sekretess tillhandahålla de uppgifter som är resultat av en säkerhetsutredning av en sjöolycka till Europeiska databasen för sjöolycksutredningar. Enligt direktivet ska detta göras i enlighet med Emcip-systemet. För fiskefartyg vars längd underskrider 15 meter behöver en anmälan göras endast i fråga om mycket allvarliga sjöolyckor. Om Olycksutredningscentralen inte utreder en mycket allvarlig sjöolycka där fiskefartyg vars längd underskrider 15 meter är involverade, ska Olycksutredningscentralen rapportera skälen för detta till Europeiska databasen för sjöolycksutredningar. Bestämmelserna i direktivet ger till denna del inget nationellt handlingsutrymme och genomförandet av dem förutsätter att bestämmelserna tas in i lagen. 

38 §.Information om hur en utredning framskrider. Det föreslås att ett nytt 5 mom. fogas till paragrafen. Genom momentet genomförs artikel 14.2 i direktivet om utredning av olyckor i sjötransportsektorn, men genom det föreskrivs också annars om ett allmänt krav på preliminär utredningsrapport. Enligt bestämmelsen ska Olycksutredningscentralen, om centralen inte kan utarbeta en i 27 § avsedd utredningsrapport om en säkerhetsutredning inom 12 månader från den dag då olyckan, tillbudet eller den synnerligen allvarliga cybersäkerhetsincidenten inträffade, publicera en preliminär utredningsrapport inom 12 månader från det datum då olyckan, tillbudet eller den synnerligen allvarliga cybersäkerhetsincidenten inträffade. Bestämmelserna i direktivet ger till de delar som gäller sjöolyckor inget nationellt handlingsutrymme och genomförandet av dem förutsätter att bestämmelserna tas in i lagen. Det kan anses motiverat att informera om hur utredningen framskrider med en preliminär utredningsrapport, om en säkerhetsutredning tar en längre tid och utredningen är av allmänt intresse. 

Det föreslås att 6 mom. ska innehålla en bestämmelse, enligt vilken Olycksutredningscentralen ska sända en kopia av en sådan preliminär utredningsrapport som gäller utredningen av en sjöolycka till kommissionen. Genom paragrafen genomförs nationellt artikel 14.3 i direktivet om utredning av olyckor i sjötransportsektorn. 

39 §.Utlämnande av sekretessbelagd information. Det föreslås att det till 1 mom. fogas bestämmelser genom vilka ändringarna i artikel 9.1 i direktivet om utredning av olyckor inom sjötransportsektorn genomförs. Samtidigt är avsikten också att bestämmelserna ska gälla allmänt även för andra uppgifter än sådana som tagits fram vid säkerhetsutredning av sjöolyckor. Detta kan anses motiverat för att förutsättningarna för utlämnande av uppgifter ska vara enhetliga och på samma sätt preciserade i fråga om alla slags säkerhetsutredningar av olyckor. Enligt förslaget preciseras ordalydelsen i momentet så att Olycksutredningscentralen med stöd av momentet kan lämna ut uppgifter på begäran eller på eget initiativ. 

Enligt förslaget betraktas följande uppgifter som sådana för utredningen nödvändiga uppgifter som Olycksutredningscentralen oberoende av bestämmelserna om sekretess kan lämna ut till andra som med stöd av lag utför en säkerhetsutredning av en olycka: 1) utlåtanden som en säkerhetsutredningsmyndighet för utredningen har samlat in av enskilda personer, 2) uppgifter av vilka identiteten för personer som har lagt fram bevis i samband med säkerhetsutredningen framgår, 3) uppgifter som har samlats in av en säkerhetsutredningsmyndighet och som är särskilt känsliga eller personliga, 4) sådana anteckningar, skisser och utlåtanden av dem som utfört utredningen som producerats under en säkerhetsutredning, åsikter som framförts under analyseringen av uppgifterna samt annat material, 5) sådana uppgifter och bevis som utredare från andra medlemsstater i Europeiska unionen eller tredjeländer har lämnat i enlighet med internationella standarder och rekommenderade förfaranden, om en säkerhetsutredningsmyndighet i den andra medlemsstaten eller tredjelandet begär det, 6) utkast till delrapporter, sammanfattande rapporter eller slutrapporter, 7) all kommunikation mellan personer som varit delaktiga i ett fartygs verksamhet, 8) fartygstrafikservicens skriftliga eller elektroniska upptagningar och transkriberingar av dem, inklusive redogörelser och resultat som utarbetats för internt bruk. 

Utlämnandet av uppgifter begränsas enligt förslaget uttryckligen till säkerhetsutredning av olyckor. Enligt 3 § i lagen om säkerhetsutredning av olyckor ska bestämmelserna om utredning av olyckor i lagen om säkerhetsutredning av olyckor tillämpas på utredning av tillbud, utredning av exceptionella händelser och temautredningar. Bestämmelserna i 39 § om utlämnande av sekretessbelagd information ger således inte rätt att lämna ut sådana sekretessbelagda uppgifter för en säkerhetsutredning som Olycksutredningscentralen har fått för utredningen av en synnerligen allvarlig cybersäkerhetsincident. 

Enligt förslaget flyttas 2–4 mom. i den gällande paragrafen så att de blir 3–5 mom. i paragrafen. 

Som 2 mom. föreslås en bestämmelse, enligt vilken Olycksutredningscentralen dessutom får lämna ut uppgifter som avses i 1 mom. till en myndighet, om det är nödvändigt för att trygga ett viktigt allmänt intresse. Detta motsvarar i materiellt hänseende vad som föreskrivs i 1 mom. i den gällande paragrafen, men med hänsyn till rådande lagstiftningspraxis i fråga om bestämmelser om utlämnande av uppgifter föreslås det att bestämmelserna omstruktureras. 

Enligt artikel 9.2 i direktivet ska VDR- och S-VDR-registreringar från en säkerhetsutredning inte offentliggöras eller användas för andra ändamål än för säkerhetsutrednings- eller fartygssäkerhetssyften, såvida inte sådana uppgifter är anonymiserade eller offentliggörs via säkra förfaranden. Med tanke på bestämmelserna bör man beakta artikel 5.1 f i Europeiska unionens allmänna dataskyddsförordning ((EU) 2016/679), enligt vilken personuppgifter ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet). Dessutom föreskrivs det i 14 § i lagen om informationshantering inom den offentliga förvaltningen (906/2019) om informationsöverföring i datanät. Enligt den bestämmelsen ska informationen överföras i ett krypterat eller på annat sätt skyddat format, om en myndighet överför sekretessbelagd information i det allmänna datanätet. Dessutom ska överföringen ordnas så att mottagaren verifieras eller identifieras på ett tillräckligt informationssäkert sätt, innan mottagaren kommer åt att behandla den överförda sekretessbelagda informationen. När gällande bestämmelser redan ställer krav på att uppgifter ska lämnas ut via säkra förfaranden, torde det inte vara motiverat att separat i lagen om säkerhetsutredning av olyckor nationellt genomföra bestämmelserna i artikel 9.2 i direktivet om utredning av olyckor inom sjötransportsektorn. 

Enligt artikel 9.3 i direktivet får för de ändamål som avses i punkt 1 endast data som är absolut nödvändiga offentliggöras. Denna bestämmelse kan anses ha genomförts genom 39 § 1 mom. i den gällande lagen. Artikel 9.4 i direktivet ger nationellt handlingsutrymme genom att medlemsstaterna enligt den får besluta att begränsa de fall där ett offentliggörande som avses i punkt 3 får göras, med beaktande av unionsrätten. 

41 §.Bistående av utredningsmyndigheter i andra stater. Det föreslås att det till paragrafen fogas nya 2 och 3 mom., genom vilka artikel 7.1a i direktivet om utredning av olyckor i sjötransportsektorn genomförs. Ordalydelsen i den punkten i direktivet ger nationellt handlingsutrymme i det avseendet att tillgång till information som är relevant för säkerhetsutredningen för utredare som genomför en säkerhetsutredning i en medlemsstat eller medlemsstater i Europeiska unionen ska ske i den mån det är praktiskt möjligt, och i det avseendet att det i enlighet med nationell rätt kan fastställas i vilken mån det är nödvändigt att ge tillgång till information som statliga inspektörer, kustbevakare, operatörer inom sjötrafikinformationstjänster, lotsar och annan sjöfartspersonal förfogar över. 

Enligt det föreslagna 2 mom. ska Olycksutredningscentralen oberoende av bestämmelserna om sekretess, på begäran till en annan medlemsstat i Europeiska unionen som utför en säkerhetsutredning av en sjöolycka lämna ut de uppgifter som är nödvändiga för säkerhetsutredningen. 

I det föreslagna 3 mom. föreskrivs det om de uppgifter som ska lämnas ut till en utredare i en annan medlemsstat i Europeiska unionen som utför en säkerhetsutredning. Enligt bestämmelsen ska Transport- och kommunikationsverket, Gränsbevakningsväsendet, den som tillhandahåller fartygstrafikservice enligt lagen om fartygstrafikservice (623/2005) och sådana lotsningsbolag som avses i lotsningslagen (561/2023) oberoende av bestämmelserna om sekretess på begäran till en utredare i en annan medlemsstat i Europeiska unionen som utför en säkerhetsutredning av en sjöolycka lämna ut de uppgifter som är nödvändiga för sjösäkerhetsutredningen och som direkt hänför sig till orsakerna till en sjöolycka. 

Bestämmelsen i det föreslagna 3 mom. avgränsar de uppgifter som ska lämnas ut uttryckligen till sådana uppgifter som direkt hänför sig till orsakerna till en sjöolycka och som är nödvändiga för en säkerhetsutredning av en sjöolycka, vilket innebär att till exempel uppgifter om de i bestämmelsen nämnda aktörernas tekniska och taktiska metoder inte omfattas av rätten att få uppgifter. En aktör som lämnar ut uppgifter ska också från fall till fall överväga vilka uppgifter som kan anses vara nödvändiga uppgifter som direkt hänför sig till orsakerna till en sjöolycka. 

44 §.Organisationskort som utfärdas av Olycksutredningscentralen. Det föreslås att termen identitetskort i den gällande lagen ändras till organisationskort. Den föreslagna termen förmedlar i praktiken bättre det att en person som har kortet är verksam som en del av Olycksutredningscentralens organisation. Den föreslagna ändringen ändrar inte rättsläget i fråga om kortet. 

46 §.Vite. Det föreslås att 1 mom. ändras så att bestämmelsen också beaktar den föreslagna nya 20 a §. Dessutom föreslås det att Olycksutredningscentralen i fråga om utredning av synnerligen allvarliga cybersäkerhetsincidenter ska ha behörighet att förelägga vite också för att centralen ska få tillgång till programvara för utredningen och tillträde till system som varit föremål för cybersäkerhetsincidenten. Enligt förslaget ersätts hänvisningen till viteslagen med en bestämmelse om att åläggandet kan förenas med vite. 

7.2  Lagen om ändring av 17 § i cybersäkerhetslagen

17 §.Hantering av incidentanmälningar. Det föreslås att ett nytt 7 mom. fogas till paragrafen. Enligt momentet finns bestämmelser om tillsynsmyndighetens skyldighet att underrätta Olycksutredningscentralen om synnerligen allvarliga cybersäkerhetsincidenter i 16 a § i lagen om säkerhetsutredning av olyckor och vissa andra händelser (525/2011). Det är fråga om en informativ hänvisning till lagen om säkerhetsutredning av olyckor. 

10.1  Skyddet för personuppgifter och nationellt handlingsutrymme

De föreslagna bestämmelserna kan i fråga om lagförslag 1 anses vara av betydelse med tanke på skyddet för personuppgifter enligt 10 § i grundlagen. Det föreslås att det till lagen om säkerhetsutredning av olyckor fogas bestämmelser om ett expertregister och i lagen föreslås bestämmelser om sådana nya rättigheter att få uppgifter där rätten att få uppgifter också kan utsträckas till personuppgifter. I lagen föreslås dessutom bestämmelser om rätten att lämna ut sekretessbelagda uppgifter. 

Vid grundlagsutskottets bedömning av bestämmelserna om myndigheternas rätt att få och skyldighet att lämna ut information trots sekretess med avseende på skyddet för privatlivet och personuppgifter i 10 § 1 mom. i grundlagen har utskottet fäst uppmärksamhet vid bland annat vad och vem rätten att få information gäller och hur rätten är kopplad till nödvändighetskriteriet. Myndigheternas rätt att få och att lämna ut information har enligt utskottet kunnat gälla "behövliga uppgifter" för ett visst syfte, om lagen avses ge en uttömmande förteckning över innehållet i uppgifterna. Om innehållet däremot inte anges i form av en förteckning, ska det i lagstiftningen ingå ett krav på att "uppgifterna är nödvändiga" för ett visst syfte (till exempel GrUU 13/2023 rd, s. 4 och GrUU 92/2022 rd, s. 6–7). 

Grundlagsutskottet har ansett att grundlagen inte tillåter en generös och ospecificerad rätt att få uppgifter, inte ens om den är förenad med nödvändighetskriteriet (se till exempel GrUU 96/2022 rd, s. 4 och GrUU 4/2021 rd, s. 4). Vid bedömningen av exaktheten hos och innehållet i bestämmelserna om utlämnande av uppgifter har särskild betydelse fästs vid arten av de uppgifter som lämnas ut som känsliga uppgifter (se till exempel GrUU 96/2022 rd, s. 4 och GrUU 15/2018 rd). 

Grundlagsutskottet har konstaterat att det i princip räcker med att bestämmelserna om skydd av och behandling av personuppgifter är harmoniserade med Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan den allmänna dataskyddsförordningen. Enligt utskottets uppfattning gör de detaljerade bestämmelserna i förordningen det också möjligt att i fråga om myndighetsverksamhet lagstifta betydligt mer generellt om skydd för och behandling av personuppgifter jämfört med vår nuvarande nationella regleringsmodell (GrUU 14/2018 rd, s. 4). Utskottet har vidare lagt vikt vid att det i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas (se till exempel GrUU 1/2018 rd och GrUU 25/2005 rd). Grundlagsutskottet har framhållit att det i regeringspropositioner särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna finns anledning att tydligt klargöra ramarna för det nationella handlingsutrymmet (se till exempel GrUU 17/2019 rd, s. 2–3, GrUU 29/2018 rd, s. 3, GrUU 26/2018 rd, s. 4, GrUU 14/2018 rd, s. 7, GrUU 1/2018 rd, s. 3, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2 och GrUU 44/2016 rd, s. 4). 

Enligt artikel 6.2 i den allmänna dataskyddsförordningen får medlemsstaterna behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i den förordningen med hänsyn till behandling för att efterleva artikel 6.1 c och e i den förordningen genom att närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Enligt artikel 6.3 i förordningen ska syftet med behandlingen fastställas i den rättsliga grunden för behandlingen i fråga. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling. Medlemsstatens nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. 

När det gäller expertregistret för säkerhetsutredningar i den föreslagna 8 a § kan det konstateras att de personuppgifter som behandlas behövs med tanke på upprätthållandet av beredskapen att inleda en säkerhetsutredning och säkerställandet av kompetensen hos dem som utför utredningen. Bestämmelsen kan då anses ha ett godtagbart och proportionellt syfte som en begränsning i anslutning till de grundläggande fri- och rättigheterna i 10 § i grundlagen. Förteckningen över de uppgifter som ska samlas in ska vara exakt och noggrant avgränsad och de uppgifter som förs in i registret ska inte innehålla känsliga personuppgifter. De föreslagna registerbestämmelserna kan bedömas vara möjliga att föreskriva inom ramen för det nationella handlingsutrymmet enligt den allmänna dataskyddsförordningen. Enligt artikel 6.1 c i den allmänna dataskyddsförordningen är behandlingen av personuppgifter laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. I fråga om den föreslagna 8 a § behövs registerföringen och behandlingen av de personuppgifter som förs in i registret uttryckligen för att Olycksutredningscentralen ska kunna fullgöra sin lagstadgade skyldighet. Lagen om säkerhetsutredning av olyckor förutsätter att Olycksutredningscentralen har beredskap att undersöka sådana händelser som avses i lagen. För att fullgöra denna lagstadgade skyldighet ska Olycksutredningscentralen ha tillgång till de personuppgifter som avses i den föreslagna 8 a § så att centralen kan säkerställa beredskapen att inleda en säkerhetsutredning och kompetensen hos dem som utför utredningen. I 8 a § föreslås också bestämmelser om specificering av den personuppgiftsansvarige och bevaringstiden för uppgifterna. Artikel 4.7 i den allmänna dataskyddsförordningen gör det möjligt att nationellt specificera vem som är personuppgiftsansvarig. Det föreslås att Olycksutredningscentralen ska vara personuppgiftsansvarig för expertregistret inom ramen för det handlingsutrymme som anges i artikeln. Avsikten är att registret ska inrättas som stöd för utförandet av Olycksutredningscentralens lagstadgade uppgifter. 

I 8 a § föreslås dessutom, inom ramen för det handlingsutrymme som den allmänna dataskyddsförordningen medger, bestämmelser om bevaringstiden, enligt vilka uppgifter om en sakkunnig ska avföras ur registret senast före utgången av följande kalenderår när samarbetet med experten har upphört. Enligt artikel 5.1 e i dataskyddsförordningen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Enligt skäl 39 till förordningen bör personuppgifterna vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det ses till att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Den föreslagna bevaringstiden har bedömts motsvara Olycksutredningscentralens funktionella behov. 

I fråga om det föreslagna 20 a § 1 mom. är rätten att få information för säkerhetsutredning bunden till nödvändiga uppgifter när det är fråga om sådana uppgifter som fås av en i 26 § i cybersäkerhetslagen avsedd tillsynsmyndighet och som avses i 11–13 § och 28 § 1 och 2 mom. i cybersäkerhetslagen, av den tillsynsmyndighet som avses i 18 h § i lagen om informationshantering inom den offentliga förvaltningen om uppgifter i anmälningar som gjorts till tillsynsmyndigheten med stöd av 18 d § och om uppgifter som avses i 18 i § 1 och 2 mom. i den lagen samt av Finansinspektionen uppgifter om sådana i artikel 19 i Europeiska unionens förordning ((EU) 2022/2554) om digital operativ motståndskraft för finanssektorn avsedda rapporter och anmälningar som lämnats till Finansinspektionen.  

Rätten att få uppgifter enligt 20 a § 2 mom. är bunden till nödvändighetskravet också när det är fråga om att få information om sådana andra uppgifter som tillsynsmyndigheten har och som är nödvändiga för utredningen av en synnerligen allvarlig cybersäkerhetsincident eller när det är fråga om uppgifter som fås av en aktör som avses i 1 mom. eller av en den som för aktörens räkning utför ett uppdrag som anknyter till cybersäkerheten, samt om uppgifter i polisens polis- och förundersökningshandlingar. Rätten att få uppgifter av en aktör som avses i 1 mom. eller av den som agerar för aktörens räkning är särskilt bunden till att uppgifterna inte kan fås av den tillsynsmyndighet som avses i 1 mom. Detta understryker nödvändigheten av rätten att få uppgifter. 

Grundlagsutskottet har i fråga om förslaget till cybersäkerhetslag (GrUU 62/2024 rd, s. 4) med tanke på rätten att få information enligt 28 § i cybersäkerhetslagen konstaterat att meddelanden som innehåller ett skadligt datorprogram eller kommando inte åtnjuter skydd enligt 10 § 2 mom. i grundlagen och bestämmelser om detta behöver inte bedömas utifrån de särskilda eller allmänna förutsättningarna för inskränkning av de grundläggande fri- och rättigheterna enligt 10 § 4 mom. Behandlingen av lokaliseringsuppgifter omfattas däremot av det skydd för privatlivet som tryggas i 10 § i grundlagen. Förmedlingsuppgifter om kommunikation omfattas däremot av skyddet för hemligheten i fråga om förtroliga meddelanden enligt 10 § 2 mom. i grundlagen. Enligt grundlagsutskottet är rätten enligt cybersäkerhetslagen att få information om förmedlingsuppgifter mycket begränsad. Myndigheten har rätt att få information, om det är nödvändigt för tillsynen över fullgörandet av den skyldighet som gäller hantering av cybersäkerhetsrisker eller över anmälan och rapporteringen av betydande incidenter.  

Syftet med bestämmelserna i den föreslagna 20 a § för att utreda synnerligen allvarliga cybersäkerhetsincidenter kan på det sättet anses vara en godtagbar och proportionerlig grund samt innehållet i bestämmelserna, som är bundet till rätten att få information enligt den lagstiftning som det hänvisas till där, exakt och noggrant avgränsat så att det uppfyller dessa villkor för begränsning av de grundläggande fri- och rättigheterna. Den föreslagna rätten att få uppgifter är med andra ord inte så generös eller ospecificerad att den strider mot grundlagsutskottets tolkningspraxis i fråga om 10 § i grundlagen. De föreslagna bestämmelserna är också till alla delar bundna till nödvändighetskriteriet, vilket innebär att de också till denna del uppfyller de förutsättningar som grundlagsutskottet har formulerat i sin utlåtandepraxis. Eftersom behandlingen av personuppgifter är en del av den lagstadgade säkerhetsutredning som Olycksutredningscentralens utför, är den rättsliga grunden för behandlingen av personuppgifter i den föreslagna lagstiftningen artikel 6.1 c i den allmänna dataskyddsförordningen.  

Bestämmelser om utlämnande av uppgifter föreslås i 39 och 41 §. I fråga om den föreslagna 39 § kan det konstateras att ändringarna i artikel 9 i direktivet om utredning av olyckor i sjötransportsektorn förutsätter att bestämmelserna om utlämnande av uppgifter preciseras. Ändringen av direktivet lämnar till den delen inget nationellt handlingsutrymme. För att säkerställa en enhetlig tillämpning av lagen föreslås det att dessa bestämmelser utsträcks till att gälla också annat utlämnande av uppgifter vid utredning av olyckor än sådant som hänför sig till utredning av sjöolyckor. Det bör noteras att det inte föreslås att bestämmelserna ändras i fråga om till vem uppgifter får lämnas ut. Uppgifter får lämnas vidare till andra som med stöd av lag utför en säkerhetsutredning, om det är nödvändigt för att genomföra en säkerhetsutredning, samt till myndigheter, om det är nödvändigt för att säkra ett viktigt allmänt intresse. De föreslagna bestämmelserna kan anses motiverade, inte bara i fråga om det nationella genomförandet av de ändringsbehov som följer av direktivet om utredning av olyckor i sjötransportsektorn, utan också i fråga om att de föreslagna bestämmelserna också allmänt ska gälla annat utlämnande av uppgifter i anslutning till utredning av olyckor, i och med att bestämmelserna preciserar förutsättningarna för utlämnande av uppgifter och samtidigt grundar sig på nödvändighetskriteriet på det sätt som grundlagsutskottet förutsätter. Bestämmelserna i den föreslagna 39 § kan anses överensstämma med behandlingsgrunden enligt artikel 6.1 e i den allmänna dataskyddsförordningen. 

I fråga om den föreslagna 41 § kan det konstateras att ett effektivt nationellt genomförande av artikel 7.1 a i direktivet om utredning av olyckor i sjötransportsektorn förutsätter bestämmelser om de föreslagna rättigheterna att lämna ut uppgifter. I fråga om det föreslagna 41 § 2 mom. ingår nationellt handlingsutrymme i att utlämnandet av uppgifter grundar sig på praktiska möjligheter att lämna ut uppgifter. Det kan dock betonas att direktivet förutsätter att berörda medlemsstater med väsentligt intressen under en säkerhetsutredning ska bistå den eller de medlemsstater som utreder sjösäkerheten med tillgång till information som är relevant för säkerhetsutredningen. Den huvudregel som följer av direktivet verkar alltså förutsätta att de praktiska tillvägagångssätten ska utvecklas så att det i praktiken är möjligt att lämna ut uppgifter. Direktivet om utredning av olyckor i sjötransportsektorn innehåller nationellt handlingsutrymme till den del att det utöver de aktörer som avses i 41 § 3 mom. också är möjligt att nationellt föreskriva att andra aktörer ska omfattas av utlämnande av uppgifter. I propositionen föreslås det dock inte att ett sådant handlingsutrymme ska utnyttjas, eftersom de uppgifter som de aktörer som föreslås i momentet förvaltar kan anses göra det möjligt att få den information som avses i direktivet.  

Rätten att lämna ut uppgifter enligt 41 § är bunden till nödvändighetskravet och till den del att Olycksutredningscentralen får lämna ut uppgifter om en säkerhetsutredning till en annan medlemsstat i Europeiska unionen (det föreslagna 2 mom.), också till den del att en aktör som avses i det föreslagna 41 § 3 mom. i en säkerhetsutredning får lämna ut uppgifter i anslutning till orsakerna till en sjöolycka. 

I fråga om det föreslagna 41 § 2 mom. är bestämmelserna om rätten att få information på sätt och vis indirekta och dess praktiska innehåll är beroende av vilka befogenheter Olycksutredningscentralen har för att utföra en säkerhetsutredning. De föreslagna bestämmelserna är således inte innehållsmässigt så generösa eller ospecificerade att de står i strid med de förutsättningar som det i grundlagsutskottets tolkningspraxis ställs för utlämnande av uppgifter. I fråga om det föreslagna 41 § 3 mom. är nödvändigheten av att lämna ut uppgifter bunden till uppgifter som direkt hänför sig till orsakerna till en sjöolycka. En sådan avgränsning kan med beaktande av sammanhanget anses vara tillräckligt exakt och noga avgränsad. Rätten att lämna ut uppgifter kan med andra ord inte anses vara så generös och ospecificerad att den blir problematisk med avseende på grundlagsutskottets tolkningspraxis i fråga om 10 § i grundlagen. Bestämmelserna i den föreslagna 41 § kan anses överensstämma med behandlingsgrunden enligt artikel 6.1 c i den allmänna dataskyddsförordningen. 

De ovan beskrivna föreslagna bestämmelserna har tillkommit i överensstämmelse med artikel 6.2 och 6.3 i den allmänna dataskyddsförordningen med beaktande av de omständigheter som det enligt det handlingsutrymme som den allmänna dataskyddsförordningen medger är möjligt att införa i den nationella lagstiftningen. Syftet med propositionen är att nationellt genomföra de ändringar som gjorts i direktivet om utredning av olyckor i sjötransportsektorn, men också i övrigt trygga förutsättningarna för säkerhetsutredningar med tanke på behandlingen av personuppgifter. Lagförslaget uppfyller således också de krav på allmänt intresse och proportionalitet som ingår i artikel 6.3 i den allmänna dataskyddsförordningen. 

10.2  Myndigheternas befogenheter för att säkra förutsättningarna för utredning

Det föreslås att den gällande 19 § i lagen om säkerhetsutredning av olyckor ändras så att Olycksutredningscentralen i fortsättningen utöver till olycksplatsen ska ha behörighet att få tillträde till en plats som hänför sig till en synnerligen allvarlig cybersäkerhetsincident och i anslutning till den undersöka föremål, anläggningar, system, programvara och konstruktioner. En plats som hänför sig till en synnerligen allvarlig cybersäkerhetsincident kan också spärras av, om det är nödvändigt med tanke på säkerhetsutredningen. Dessutom kan det förbjudas utan tillstånd av Olycksutredningscentralen eller utredningskommissionens chef att förstöra, föra bort eller flytta föremål, anläggningar och annat material som kan ha betydelse vid utredning av en synnerligen allvarlig cybersäkerhetsincident. Förelägganden och förbud ska återkallas genast när de inte längre är nödvändiga på grund av utredningen. 

Grundlagsutskottet har vid stiftandet av lagen om säkerhetsutredning av olyckor konstaterat (GrUU 62/2010 rd, s. 6) att bestämmelsen om avspärrning av olycksplatsen i viss mån begränsar den rörelsefrihet som tryggas i 9 § 1 mom. i grundlagen och att begränsningen är knuten till nödvändighetskravet. I proportionalitetshänseende ansåg grundlagsutskottet det också vara relevant att ett förordnande ska återkallas genast när det inte längre är nödvändigt. Bestämmelserna i den gällande 19 § är enligt grundlagsutskottet inte problematiska konstitutionellt sett. 

Enligt regeringens uppfattning påverkar utvidgningen av befogenheterna enligt 19 § till att omfatta säkerhetsutredning av synnerligen allvarliga cybersäkerhetsincidenter inte grundlagsutskottets tidigare utlåtande om saken och den föreslagna regleringen är således inte problematisk med tanke på grundlagen. 

10.3  Egendomsskyddet

I fråga om den gällande 22 § i lagen om säkerhetsutredning av olyckor föreslås det att rätten för den som utför en utredning att omhänderta och inspektera föremål och dokument utvidgas till att gälla också system och programvara. Grundlagsutskottet har när lagen om säkerhetsutredning av olyckor stiftades bedömt 22 § med avseende på 15 § i grundlagen (GrUU 62/2010 rd, s. 6). Grundlagsutskottet ansåg att det ur proportionalitetssynpunkt är helt korrekt att bestämmelsen begränsar rätten till situationer där åtgärderna är nödvändiga för utredningen. Eftersom man med stöd av 45 § 3 mom. i lagen som säkerhetsutredning har rätt att få full ersättning av statens medel för de skador som uppstått under utredningen, är bestämmelserna är således inget konstitutionellt problem. I paragrafen föreslås en bestämmelse om att åtgärderna ska vidtas så att de orsakar så liten skada som möjligt för den verksamhet som är föremål för utredningen, och de inte får äventyra kontinuiteten i funktioner som är vitala för människors liv och hälsa eller i samhällets kritiska funktioner. Den föreslagna bestämmelsen betonar kraven på nödvändighet och proportionalitet avseende åtgärderna, samtidigt som den också fastställer en viss gräns för vilka konsekvenser utredningsåtgärderna inte får ha. 

Utvidgningen av befogenheten till att gälla system och programvara utvidgar enligt regeringens uppfattning inte ingripandet i det egendomsskydd som garanteras i 15 § i grundlagen på ett sådant sätt att det ska anses vara problematiskt med tanke på grundlagen. 

Enligt regeringens uppfattning kan de föreslagna lagarna på de grunder som anges ovan stiftas i vanlig lagstiftningsordning.