1.1  Tausta

Hallituksen esityksen taustalla on kaksi asiakokonaisuutta, joiden pohjalta hallitus ehdottaa eduskunnalle turvallisuustutkintalain (525/2011) muuttamista. Toinen asiakokonaisuus liittyy hallitusohjelmassa olevan kirjauksen toteuttamiseen ja toinen meriliikennealan onnettomuuksien tutkinnan perusperiaatteista annetun direktiivin (2009/18/EY; merionnettomuustutkintadirektiivi) muutosten kansalliseen täytäntöönpanoon. 

Pääministeri Petteri Orpon hallituksen ohjelmassa (20.6.2023) on (s. 178) kansallista turvallisuutta ja yhteiskunnan kriisinkestävyyttä vahvistavana kirjauksena, että selvitetään mahdollisuus lisätä Onnettomuustutkintakeskuksen toimialaan kyberturvallisuuteen kohdistuneiden vakavien häiriöiden turvallisuustutkinta. Hallitus valmistelee tarvittaessa säädösmuutokset turvallisuustutkintalakiin ja tekee siihen muut tarvittavat tarkistukset.  

Euroopan komissio antoi 1.6.2023 niin sanotun meriliikennepaketin, jossa ehdotettiin viiden säädöksen tarkistamista meriturvallisuutta ja aluksista aiheutuvien päästöjen ehkäisemistä koskevien Euroopan unionin sääntöjen nykyaikaistamiseksi ja sen varmistamiseksi, että Euroopan unionilla on tarvittavat välineet, joilla voidaan edistää puhdasta ja modernia merenkulkua. Meriliikennepaketin yksi ehdotus koski merionnettomuustutkintadirektiivin muuttamista (komission ehdotus COM(2023) 270 final). Mainittu direktiivi on kansallisesti pantu alun perin täytäntöön turvallisuustutkintalailla. Meriliikennepaketin muut ehdotukset koskivat 1) lippuvaltiota koskevien vaatimusten noudattamisesta annettua direktiiviä 2009/21/EY (COM(2023) 272 final); 2) satamavaltioiden suorittamasta valvonnasta annettua direktiiviä 2009/16/EY (COM(2023) 271 final); 3) alusten aiheuttamasta ympäristön pilaantumisesta ja säännösten rikkomisista määrättävistä seuraamuksista annettua direktiiviä 2005/35/EY (COM(2023) 273 final); sekä 4) Euroopan meriturvallisuusviraston perustamisesta annettua asetusta (EY) N:o 1406/2002 (COM(2023) 269 final).  

Euroopan parlamentin ja neuvoston hyväksymät merionnettomuustutkintadirektiivin muutokset tulivat voimaan 26.12.2024 ((EU) 2024/3017). Direktiivin muutokset tulee panna kansallisesti täytäntöön 27.6.2027 mennessä. Hallituksen esityksellä ehdotetaan direktiivin muutokset pantavaksi kansallisesti täytäntöön turvallisuustutkintalain muuttamisella siltä osin, kuin direktiivin kansallinen täytäntöönpano edellyttää lailla säätämistä.  

1.2  Valmistelu

4.1  Keskeiset ehdotukset

Turvallisuustutkintalakia ehdotetaan muutettavaksi siten, että se vastaisuudessa mahdollistaisi Onnettomuustutkintakeskukselle toimivallan suorittaa kyberturvallisuuteen kohdistuneiden erittäin vakavien kyberturvallisuuspoikkeamien turvallisuustutkintaa. Käytettäväksi ehdotettavaa termiä voidaan pitää kyberturvallisuuteen liittyvänä, joskin asiallisen kohdentumisensa kannalta tarkempana (erittäin vakavat poikkeamat). Erittäin vakavien kyberturvallisuuspoikkeamien tutkinnan osalta esityksessä katsotaan perustelluksi erottelu suhteessa onnettomuuksien ja vaaratilanteiden tutkintaan, jolloin esimerkiksi tutkintojen tiedonsaantioikeutta koskevat säännökset olisivat erilliset. Erittäin vakavien kyberturvallisuuspoikkeamien osalta Onnettomuustutkintakeskus saisi tiedon pääsääntöisesti lakiin säädettävien ilmoitusvelvollisuuksien kautta, jolloin tapahtuma olisi selkeästi tulkittavissa erittäin vakavaksi kyberturvallisuuspoikkeamaksi. Käytännössä on mahdollista, että Onnettomuustutkintakeskuksen tutkiessa onnettomuutta tai vaaratilannetta, tällaisen syyksi voi paljastua kyberturvallisuuteen liittyvä seikka. Tällöin tutkinnassa on kuitenkin primääristi kyse onnettomuuden tai vaaratilanteen tutkinnasta, jolloin on johdonmukaista, että Onnettomuustutkintakeskuksella on käytettävissään onnettomuuksien ja vaaratilanteiden tutkintaan tarkoitetut toimivaltuudet. 

Turvallisuustutkintalakia ehdotetaan lisäksi muutettavaksi siten, että merionnettomuustutkintadirektiivin muutokset tulisivat asianmukaisesti kansallisesti täytäntöön pannuiksi siltä osin kuin muutokset edellyttävät lailla säätämistä. Direktiivin muutokset kohdistuvat sääntelyyn, joka koskee muun muassa tutkinnan piirissä olevia aluksia, tutkinnan aloittamisen aikarajaa, tutkinnan raportointia ja tutkintaan liittyvän tiedon luottamuksellisuutta. Edellä mainittuja kokonaisuuksia voidaan pitää esityksen sisällön kannalta keskeisimpinä, joiden lisäksi hallituksen esityksessä ehdotetaan erinäisiä muita rajatumpia muutoksia turvallisuustutkintalakiin. 

4.2  Pääasialliset vaikutukset

5.1  Vaihtoehdot ja niiden vaikutukset

Hallitusohjelmakirjaus ja merionnettomuustutkintadirektiivin muutosten kansallinen täytäntöönpano edellyttävät toteutukseltaan lain tasolla olevaa sääntelyä. Näiden muutosten toteuttamiselle muualla kuin turvallisuustutkintalaissa ei ole nähtävissä perusteltua vaihtoehtoa, koska turvallisuustutkintalain tarkoituksena on säännellä Onnettomuustutkintakeskuksen suorittamaa turvallisuustutkintaa, ja mainitut muutokset liittyvät kiinteästi Onnettomuustutkintakeskuksen tehtäviin ja toimintaan. Hallituksen esitys sisältää myös muita erinäisiä ehdotuksia, jotka suoraan kohdistuvat turvallisuustutkintalain tiettyjen säännösten muuttamiseen. 

Turvallisuustutkintalaissa olevaa sääntelyä niin kutsutun poikkeuksellisen tapahtuman tutkinnasta voidaan sinänsä soveltaa myös kyberturvallisuuspoikkeamien kaltaisten ilmiöiden tutkintaan, jos lain mukaisen tutkintakynnyksen voidaan katsoa ylittyvän ja valtioneuvosto tekee päätöksen tutkinnan aloittamisesta. Poikkeuksellisen tapahtuman tutkinnan on valmistelun yhteydessä arvioitu olevan kuitenkin suhteessa turhankin poikkeuksellinen mekanismi, johon liittyy tutkinnan suorittamisen kannalta heikentävänä tekijänä tutkinnasta tehtävän päätöksenteon hitaus. Tutkintapäätöksen tekeminen Onnettomuustutkintakeskuksen toimesta on huomattavasti nopeampaa verrattuna päätöksentekoon valtioneuvostossa ja tämä voi vaikuttaa merkittävästi tutkinnan onnistumiseen. Lisäksi tällöin olisi käytettävissä ennakollisia selvitystoimivaltuuksia luotettavan arvion tekemiseksi siitä, käynnistetäänkö tutkinta. Vaikka nyt ehdotetun lain mukaisia erittäin vakavien kyberturvallisuuspoikkeamien tutkintoja olisi harvoin, olisi kuitenkin sääntelyn tarkkuuden ja tutkinnan tehokkuuden kannalta perusteltua nimenomaisesti säätää mainitunlaisten poikkeamien tutkinta Onnettomuustutkintakeskuksen toimivaltaan kuuluvaksi.  

5.2  Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot

Merionnettomuustutkintadirektiivin muuttamisesta johtuvat sellaiset muutokset, jotka ovat sisällöltään sen laatuisia, että ne tulee panna kansallisesti täytäntöön säädöksellä, eivät juurikaan sisällä kansallista liikkumavaraa eli direktiivin sääntely tulee näiltä osin pitkälti melko sellaisenaan panna täytäntöön kansallisella säädöksellä. Tällöin on todennäköistä, että muissa Euroopan unionin jäsenvaltioissa säätämistarpeita omaavat direktiivin säännökset pannaan vastaavasti kansallisesti täytäntöön jollakin säädöksellä. Edellä kuvatun perusteella hallituksen esityksen valmistelun yhteydessä ei ole katsottu tarpeelliseksi eikä tarkoituksenmukaiseksi seurata direktiivin muutosten kansallista täytäntöönpanoa muissa jäsenvaltioissa. 

7.1  Turvallisuustutkintalaki

2 §.Tutkittavat onnettomuudet, vaaratilanteet ja erittäin vakavat kyberturvallisuuspoikkeamat. Pykälän otsikko ehdotetaan muutettavaksi, koska turvallisuustutkintalain alaan ehdotetaan otettavaksi erittäin vakavien kyberturvallisuuspoikkeamien turvallisuustutkinta. Pykälän 1 momentin 4 kohdassa direktiivistä käytetty lyhennemuoto merionnettomuusdirektiivi ehdotetaan muutettavaksi muotoon merionnettomuustutkintadirektiivi, koska jälkimmäinen kuvaa paremmin direktiivin sisältöä ja tarkoitusta. 

Voimassa olevan pykälän 2–4 momenttien jäsennystä ehdotetaan muutettavaksi niin, että 2 ja 4 momentissa säännellyt asiat yhdistettäisiin uuteen 2 momenttiin. Ehdotetun 2 momentin nojalla Onnettomuustutkintakeskus voisi ottaa tutkittavakseen erittäin vakavan kyberturvallisuuspoikkeaman. Tällöin Onnettomuustutkintakeskuksella ei olisi ehdotonta velvollisuutta mainitun tutkintaan, vaan tutkinnan suorittaminen olisi harkinnanvaraista. Ehdotetussa uudessa 3 momentissa huomioitaisiin uutena teematutkinnan osa-alueena poikkeukselliset tapahtumat, koska myös sellaisten osalta saattaa olla tarve teematutkinnan suorittamiseen. Erittäin vakavia kyberturvallisuuspoikkeamia esiintyisi ja tutkittaisiin arvion mukaan niin harvoin, ettei teematutkinnalla olisi niiden suhteen sovellettavuutta. Ehdotetun jäsentelyn muutoksen perusteena olisi lain luettavuuden kehittäminen. 

2 a §.Erittäin vakava kyberturvallisuuspoikkeama. Ehdotetussa uudessa 2 a §:ssä määriteltäisiin sitä, mitä erittäin vakavalla kyberturvallisuuspoikkeamalla tarkoitettaisiin. Määritelmä on katsottu perustelluksi sitoa kyberturvallisuuslain (124/2025) käsitteistöön. Kyberturvallisuuslain 11 §:ssä merkittävällä poikkeamalla tarkoitetaan poikkeamaa, joka on aiheuttanut tai voi aiheuttaa vakavan palvelujen toimintahäiriön tai huomattavia taloudellisia tappioita asianomaiselle toimijalle, sekä poikkeamaa, joka on vaikuttanut tai voi vaikuttaa muihin luonnollisiin henkilöihin tai oikeushenkilöihin aiheuttamalla huomattavaa aineellista tai aineetonta vahinkoa. Erittäin vakavalla kyberturvallisuuspoikkeamalla tarkoitettaisiin kyberturvallisuuslain 11 §:n mukaista merkittävää poikkeamaa, jolla on poikkeuksellisen vakavia tai laajamittaisia haitallisia vaikutuksia: 1) julkisen vallan päätöksentekokykyyn tai viranomaisten toimintaedellytyksiin; 2) kansalliseen turvallisuuteen tai maanpuolustukseen; 3) välttämättömiin sosiaali- ja terveydenhuollon tai pelastustoimen palveluihin; 4) energia-, vesi-, elintarvike- tai lääkehuoltoon, taikka muihin välttämättömiin hyödykkeisiin; 5) välttämättömiin maksu- ja arvopaperipalveluihin; 6) yhteiskunnan kriittisiin liikenne- ja viestintäpalveluihin; 7) 1–6 kohdassa tarkoitettuja toimintoja ylläpitäviin tieto- ja viestintäteknisiin palveluihin tai tietoaineistoihin; 8) yhteiskunnan kriittisen infrastruktuurin suojaamisesta ja häiriönsietokyvyn parantamisesta annetun lain (310/2025) nojalla määritettyihin kriittisiin toimijoihin; tai 9) henkilötietojen suojaan. 

Asteikollisesti voitaisiin siis erottaa toisistaan poikkeama, merkittävä poikkeama ja erittäin vakava kyberturvallisuuspoikkeama. Asiallisesti erittäin vakavan kyberturvallisuuspoikkeaman tunnusmerkit täyttävänä tapauksena voi pitää vuonna 2024 tapahtunutta Helsingin kaupungin tietomurtoa, jonka osalta valtioneuvosto päätti turvallisuustutkintalain 32 §:n nojalla käynnistää poikkeuksellisen tapahtuman tutkinnan. Kyseistä tapausta tutki myös Keskusrikospoliisi. Tietomurrossa hyökkääjä pääsi laajasti käsiksi erilaisiin tietoihin, jotka sisälsivät myös henkilötietoja. Tutkintaselostuksessa listataan useita syitä sille, miksi tietomurto pääsi tapahtumaan (Onnettomuustutkintakeskus P2024-01). 

Erittäin vakava kyberturvallisuuspoikkeama voisi vastaavasti kohdistua esimerkiksi potilastietojärjestelmään, tai vesihuoltojärjestelmään. Potilastietojärjestelmä voi joutua kohteeksi erittäin kehittyneelle kyberhyökkäykselle. Hyökkäys saattaisi salata kriittiset tiedot, kuten potilashistoriat, lääkitykset ja laboratoriotulokset, ja estää pääsyn järjestelmään kaikissa sairaaloissa ja terveyskeskuksissa. Ambulanssien ja ensihoidon järjestelmät eivät pystyisi hakemaan potilastietoja, mikä johtaisi hoitovirheisiin ja viivästyksiin hätätilanteissa. Tilanne voisi eskaloitua, jos hyökkääjät uhkaisivat julkaista arkaluonteisia terveystietoja. 

Vesihuoltojärjestelmän automaatio-ohjelmistoon tehtävä päivitys saattaisi sisältää vakavan ohjelmointivirheen. Virhe voisi muuttaa vedenpuhdistuslaitosten kemikaalien annostusta niin, että vesi ei enää täyttäisi turvallisuusstandardeja. Saastuneen vedenjakelun piirissä saattaisi olla paitsi suuri määrä kotitalouksia, myös esimerkiksi sairaaloita ja muita laitoksia. Vesihuoltojärjestelmä voitaisiin joutua sulkemaan ja järjestämään hätävesihuoltoa pitkäaikaisestikin. Tapahtuneeseen liittyen saattaisi paljastua, että varajärjestelmät eivät olleet kunnolla testattuja. 

Olennaisena voidaan kaikkiaan pitää kyberturvallisuuspoikkeaman vakavuutta sen kannalta, että se merkittävällä tavalla vaarantaa yhteiskunnan toimintoja tai strategisia tehtäviä. Onnettomuustutkintakeskuksen toimivaltuuksiin liittyvien tiedonsaantioikeuksien käytön kannalta on siis kysymys siitä, että toimivaltaa tulisi käyttää nimenomaan sellaisten kyberturvallisuuspoikkeamien tutkintaan, joita voidaan pitää erittäin vakavina. 

5 §.Tutkinnan sisältö. Pykälän 2 momenttia ehdotetaan muutettavaksi siten, että siihen lisättäisiin tutkinnassa erityisesti selvitettävän, onko turvallisuus otettu riittävästi huomioon onnettomuuden ohella myös erittäin vakavaan kyberturvallisuuspoikkeamaan johtaneessa toiminnassa. Momentissa mainittuun tutkittavien kohteiden luetteloon lisättäisiin järjestelmä ja ohjelmisto, mainittujen tyypillisesti kuuluessa tutkinnan kohteisiin. Järjestelmä voi olla esimerkiksi tietojärjestelmä, joka esimerkiksi julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019) määritellään tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaksi kokonaisjärjestelyksi. Myös viestintäverkkoa voidaan pitää järjestelmänä, johon kuuluu toisiinsa liitettyjä johtimia sekä laitteita, ja joka on tarkoitettu viestien siirtoon tai jakeluun johtimella, radioaalloilla, optisesti tai muulla sähkömagneettisella tavalla (laki sähköisen viestinnän palveluista (917/2014)). Ohjelmiston voi käsittää olevan kahdesta tai useammasta ohjelmasta muodostuva kokonaisuus, joka voi olla esimerkiksi laiteohjelmisto, varusohjelmisto, tai sovellusohjelmisto. Ohjelmien lisäksi ohjelmistoon voidaan lukea tiedostot ja dokumentaatio, joka liittyy ohjelmiston käyttöön. 

8 a §.Turvallisuustutkinnan asiantuntijarekisteri. Pykälä olisi laissa uusi. Lain nojalla Onnettomuustutkintakeskus voi käyttää turvallisuustutkinnassa apuna ulkopuolisia asiantuntijoita, joiden henkilötietojen asianmukaisen käsittelyn varmistamiseksi olisi perusteltua säätää laissa asiantuntijarekisteristä. Pykälässä säädettäisiin rekisterin käyttötarkoituksesta, rekisterinpitäjästä, rekisterin tietosisällöstä, sekä rekisteriin tallennettujen tietojen poistamisesta. 

Ehdotetun pykälän 1 momentin säännökset määrittelisivät asiantuntijarekisterin käyttötarkoitusta. Turvallisuustutkinnan asiantuntijarekisteriä pidettäisiin turvallisuustutkintalain mukaisten tehtävien hoitamista varten. Rekisteriin tallennettuja tietoja käytettäisiin tutkinnan käynnistämisvalmiuden ylläpitämiseen ja tutkintaa tekevien osaamisen varmistamiseen. 

Ehdotetun pykälän 2 momentin mukaan asiantuntijarekisterin rekisterinpitäjä olisi Onnettomuustutkintakeskus.  

Ehdotetun pykälän 3 momentin mukaan rekisteriin saisi tallettaa seuraavat tiedot: 1) nimi ja syntymäaika; 2) yhteystiedot; 3) suoritetut koulutukset; 4) osaaminen ja kielitaito; 5) kokemus Onnettomuustutkintakeskuksen aiemmista tutkinnoista; sekä 6) tiedot organisaatiokortin voimassaolosta. Mainittujen tietojen keräämistä voidaan pitää asiantuntijarekisterin käyttötarkoituksen kannalta perusteltuna ja tavanomaisena. 

Ehdotetun pykälän 4 momentin mukaan tiedot asiantuntijasta tulisi poistaa rekisteristä viimeistään seuraavan kalenterivuoden loppuun mennessä, kun yhteistyö asiantuntijan kanssa on päättynyt. Säännös vastaisi toiminnallisia tarpeita ja yhteistyö voitaisiin katsoa päättyneeksi sekä asiantuntijan että Onnettomuustutkintakeskuksen puolelta. 

9 §.Onnettomuustutkintakeskuksen organisaatio. Pykälän 1 momenttiin ehdotetaan lisättäväksi säännös, jonka tarkoituksena olisi tarkentaa sitä, mitä laissa tarkoitetaan tutkintaa tekevällä. Säännöksen mukaan tutkintaa tekevällä tarkoitettaisiin Onnettomuustutkintakeskuksen virkamiestä tai Onnettomuustutkintakeskuksen asiantuntijaa, joka on määrätty tutkintaan, tai Onnettomuustutkintakeskuksen asiantuntijaa, joka on nimetty tutkintaryhmän jäseneksi. 

11 §.Onnettomuustutkintakeskuksen asiantuntija. Pykälän 1 momentin säännöstä ehdotetaan täydennettäväksi siten, että siinä ilmaistaisiin Onnettomuustutkintakeskuksen käyttämien ulkopuolisten asiantuntijoiden toimivan Onnettomuustutkintakeskuksen virkamiehen ohjauksessa ja valvonnan alaisena. Tämän lisäyksen tarkoituksena olisi säännösperusteisesti vahventaa sitä lähtökohtaa, että Onnettomuustutkintakeskuksen tutkinnan johto on Onnettomuustutkintakeskuksen virkamiehellä. 

14 §.Esteellisyys. Pykälän 1 momentin 2 ja 4 kohtiin ehdotetaan tehtäväksi muutokset, jotka johtuvat erittäin vakavan kyberturvallisuuspoikkeaman tutkinnan lisäämisestä lakiin. Säännöksessä huomioitaisiin myös vaaratilanteisiin kohdistuva turvallisuustutkinta. Henkilö olisi vastaisuudessa näin ollen esteellinen, jos hän tai hänen läheisensä voisi joutua onnettomuudesta, erittäin vakavasta kyberturvallisuuspoikkeamasta, tai niistä aiheutuneesta vahingosta vastuuseen; taikka jos hänen tai hänen läheisensä toiminta voisi tulla tutkittavaksi onnettomuuden, erittäin vakavan kyberturvallisuuspoikkeaman, tai vaaratilanteen johdosta tehtävässä turvallisuustutkinnassa. 

16 §.Ilmoitusvelvollisuus onnettomuudesta. Pykälän otsikkoa ehdotetaan täsmennettäväksi, jotta ilmoitusvelvollisuuden ero onnettomuuksien ja erittäin vakavien kyberturvallisuuspoikkeamien välillä muodostuisi selkeämmäksi. Pykälän 1 momentti olisi kuten voimassa olevassa laissa. Pykälän 2 momentissa olevaan listaukseen ilmoitusvelvollisista tahoista ehdotetaan lisättäväksi hyvinvointialue ja Lääkealan turvallisuus- ja kehittämiskeskus (Fimea). Lisäystarve on katsottu perustelluksi lain soveltamisen selkeyttämiseksi. Pykälän 3 momentti olisi kuten voimassa olevassa laissa. 

Pykälään ehdotetaan 4 momentiksi säännöstä siitä, että jos merionnettomuuden turvallisuustutkinnan aikana tulisi ilmi tai epäiltäisiin, että on tehty merenkulun turvallisuuteen kohdistuvien laittomien tekojen ehkäisemisestä 10 päivänä maaliskuuta 1988 tehdyn kansainvälinen merenkulkujärjestö IMO:n yleissopimuksen ajantasaistetun toisinnon 3, 3 a, 3 b tai 3 c artiklassa tarkoitettu rikos, Onnettomuustutkintakeskuksen olisi välittömästi ilmoitettava asiasta Euroopan unionin jäsenvaltion tai jäsenvaltioiden ja mahdollisten asianomaisten kolmansien maiden merenkulun turvallisuudesta vastaaville viranomaisille. Säännöksellä pantaisiin täytäntöön merionnettomuustutkintadirektiivin 5 artiklan 9 kohta. Direktiivin sääntely ei tältä osin sisällä kansallista liikkumavaraa ja sen täytäntöönpano edellyttää säännöksen tuomista lakiin. 

IMO:n yleissopimus on saatettu kansallisesti voimaan asetuksella (117/1999). Edellä viitatut IMO:n yleissopimuksen ajantasaistetun toisinnon 3, 3 a, 3 b ja 3 c artiklat sisältävät varsin monta rikostunnusmerkistöä, joita on listattu esimerkiksi hallituksen esityksessä eduskunnalle merenkulun turvallisuuteen kohdistuvien laittomien tekojen ehkäisemistä koskevaan yleissopimukseen liittyvän vuoden 2005 pöytäkirjan ja mannerjalustalla sijaitsevien kiinteiden lauttojen turvallisuuteen kohdistuvien laittomien tekojen ehkäisemistä koskevaan pöytäkirjaan liittyvän vuoden 2005 pöytäkirjan hyväksymiseksi ja voimaansaattamiseksi (HE 100/2019 vp, s. 46–49). Sopimuksen alkuperäistä 3 artiklaa selostetaan esimerkiksi hallituksen esityksessä eduskunnalle merenkulun turvallisuuteen kohdistuvien laittomien tekojen ehkäisemistä koskevan yleissopimuksen eräiden määräysten hyväksymisestä (HE 106/1998 vp, s. 3–4). 

Pykälän 4 momentissa voimassa olevassa laissa oleva asetuksenantovaltuus siirtyisi pykälän 5 momentiksi. 

16 a §.Ilmoitusvelvollisuus erittäin vakavasta kyberturvallisuuspoikkeamasta. Ehdotetun uuden 16 a §:n 1 momentin mukaan kyberturvallisuuslain (124/2025) 26 §:ssä tarkoitetun valvovan viranomaisen olisi salassapitosäännösten estämättä ilmoitettava Onnettomuustutkintakeskukselle sellaisesta tiedossaan olevasta kyberturvallisuuspoikkeamasta, jota turvallisuustutkintalain mukaisesti voitaisiin pitää erittäin vakavana.  

Kyberturvallisuuslain 26 §:ssä tarkoitettuja valvovia viranomaisia ovat Liikenne- ja viestintävirasto, Energiavirasto, Turvallisuus- ja kemikaalivirasto, Lupa- ja valvontavirasto, Sosiaali- ja terveysalan lupa- ja valvontavirasto, Elinvoimakeskus, Ruokavirasto, sekä Lääkealan turvallisuus- ja kehittämiskeskus. Valvovien viranomaisten ilmoitusvelvollisuutta voidaan pitää käytännössä tehokkaimpana ja varmimpana keinona siihen, että Onnettomuustutkintakeskuksella on mahdollisuus saada tietoa erittäin vakavista kyberturvallisuuspoikkeamista ja tarvittaessa tällöin suorittaa turvallisuustutkintaa. 

Ehdotetun 2 momentin mukaan ilmoitusvelvollisuus Onnettomuustutkintakeskukselle olisi salassapitosäännösten estämättä julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 18 h §:n mukaisesti valvovana viranomaisena toimivalla Liikenne- ja viestintävirastolla silloin, kun se saisi julkishallinnon toimialan toimijalta ilmoituksen sellaisesta kyberturvallisuuspoikkeamasta, jota tämän lain 2 a §:ssä tarkoitetulla tavalla voidaan pitää erittäin vakavana. 

Ehdotetun 3 momentin mukaan Finanssivalvonnalla olisi salassapitosäännösten estämättä ilmoitusvelvollisuus Onnettomuustutkintakeskukselle silloin, kun se saa niin kutsutun DORA-asetuksen ((EU) 2022/2554) 19 artiklassa tarkoitetun ilmoituksen finanssiyhteisöltä sellaisesta laajavaikutteisesta poikkeamasta, jota turvallisuustutkintalain mukaisesti voidaan pitää erittäin vakavana kyberturvallisuuspoikkeamana. Finanssivalvonnan valvojatehtävästä säädetään Finanssivalvonnasta annetun lain (878/2008) 50 p §:ssä.  

16 b §.Ilmoitusvelvollisuus merionnettomuudessa aiheutuneen vamman johtaessa kuolemaan. Jos olisi ilmeistä, että henkilön merionnettomuustutkintadirektiivin 2 artiklan soveltamisalan piiriin kuuluvassa merionnettomuudessa saama vamma on johtanut tämän kuolemaan 30 päivän kuluessa onnettomuuspäivästä ja tällainen tieto merionnettomuudesta olisi saatavilla, olisi sen, joka kuolemansyyn selvittämisestä annetun lain (459/1973) mukaisesti suorittaa henkilön oikeuslääketieteellistä kuolemansyyn selvittämistä, ilmoitettava asiasta viipymättä Onnettomuustutkintakeskukselle. Pykälä olisi laissa uusi ja sillä pantaisiin täytäntöön merionnettomuustutkintadirektiivin 3 artiklan 11 kohta, jonka määritelmän mukaan kuolemaan johtavalla vammalla tarkoitetaan henkilön onnettomuudessa saamaa vammaa, joka johtaa kuolemaan 30 päivän kuluessa onnettomuuspäivästä, jos asiaan liittyvät tiedot ovat saatavilla. Pykälä toteuttaisi samalla direktiivin 6 artiklan ilmoitusvelvollisuutta. Direktiivin säännös tarkoittaa käytännössä sitä, että merionnettomuudessa vammautuneen henkilön menehtyessä kyseisessä onnettomuudessa saamaansa vammaan 30 päivän kuluessa onnettomuuspäivästä, puhuttaisiin hyvin vakavasta merionnettomuudesta, mikä vaikuttaa turvallisuustutkintaan. Kuolemansyyn selvittämisestä annetun lain 7 §:n 1 momentin mukaan kuolemansyyn selvittämiseksi on poliisin suoritettava tutkinta, kun kuoleman on aiheuttanut tapaturma, tai kun on aihetta epäillä kuoleman johtuneen siitä, eli asiassa suoritetaan oikeuslääketieteellinen kuolemansyyn selvittäminen. Lain 7 §:n 2 momentin mukaan poliisin on tutkinnassa tarvittaessa käytettävä lääkäriä apuna. Apuna toimiva lääkäri voi olla hyvinvointialueen lääkäri, muu lääkäri tai Terveyden ja hyvinvoinnin laitoksen lääkäri. Terveyden ja hyvinvoinnin laitos vastaa oikeuslääketieteellisistä ruumiinavauksista. Näiden viranomaisten on perusteltua sopia keskenään, kuka ilmoituksen tekee. Kuolemansyyn selvittämistä koskevassa lainsäädännössä myös säädetään, että mikäli lääketieteellisessä kuolemansyyn selvittämisessä ilmenee lain 7 §:ssä tarkoitettuja seikkoja, on suorittajalääkärin välittömästi saatettava asia poliisin tietoon ja keskeytettävä lääketieteellinen kuolemansyyn selvittäminen. Käytännössä siis, jos tiedossa on, että kuolema on aiheutunut merionnettomuudesta tai on aihetta epäillä, että merionnettomuus on voinut aiheuttaa kuoleman, suorittaa poliisi asiassa tutkinnan. 

17 §.Tutkinnan aloittaminen onnettomuudesta. Pykälän otsikkoa ehdotetaan muutettavaksi, jotta se ilmaisisi eron suhteessa ehdotetun 17 a §:n otsikointiin, jossa olisi kyse tutkinnan aloittamisesta erittäin vakavasta kyberturvallisuuspoikkeamasta. Pykälän 3 momentin viittaus merionnettomuusdirektiiviin ehdotetaan muutettavaksi viittaukseksi merionnettomuustutkintadirektiiviin, joka on kyseisen direktiivin sisältöä ja tarkoitusta paremmin kuvaava lyhennemuoto. Pykälän 3 momentin termi ro-ro-alus muutettaisiin ro-ro-matkustaja-alukseksi merionnettomuustutkintadirektiivin 3 artiklassa olevan määritelmän muuttumisen takia. 

Pykälään ehdotetaan lisättäväksi uusi 4 momentti, jonka mukaan merionnettomuuden turvallisuustutkinta olisi aloitettava viipymättä merionnettomuuden tai merellä sattuneen vaaratilanteen jälkeen ja viimeistään kahden kuukauden kuluttua onnettomuudesta tai vaaratilanteesta. Säännöksellä pantaisiin täytäntöön merionnettomuustutkintadirektiivin 5 artiklan 8 kohta. Direktiivin sääntely ei tältä osin sisällä kansallista liikkumavaraa ja sen täytäntöönpano edellyttää säännöksen tuomista lakiin.  

Pykälään ehdotetaan lisättäväksi uusi 5 momentti, jossa olisi voimassa olevan lain 18 §:n 3 momenttia vastaava säännös siitä, että turvallisuustutkinnan aloittaneen muun viranomaisen tai toimijan on luovutettava keräämänsä tutkinta-aineisto Onnettomuustutkintakeskuksen käyttöön keskuksen aloitettua tutkinnan. Lain 18 §:n 3 momentissa oleva säännös ehdotetaan kumottavaksi. Muutoksen perusteena on, että säännös sopii asiayhteydeltään paremmin 17 §:ään kuin 18 §:ään, jossa säännellään selvityksen käynnistämisestä ja tekemisestä. 

17 a §.Tutkinnan aloittaminen erittäin vakavasta kyberturvallisuuspoikkeamasta. Ehdotetun uuden 17 a §:n 1 momentin mukaan erittäin vakavan kyberturvallisuuspoikkeaman tutkinnan aloittamisessa Onnettomuustutkintakeskuksen tulisi huomioida tarpeet kyberturvallisuuspoikkeaman hallintatoimenpiteiden asianmukaiselle suorittamiselle ennen tutkintaa. Pykälän 2 momentin mukaan Onnettomuustutkintakeskuksen ja poliisin tulisi neuvotella turvallisuustutkinnan suorittamisesta, jos myös poliisi suorittaisi erittäin vakavaan kyberturvallisuuspoikkeamaan liittyvää tutkintaa. Säännöksellä pyritään varmistamaan sitä, että poliisin ja Onnettomuustutkintakeskuksen välillä käytäisiin mahdollisimman varhaisessa vaiheessa keskustelu tutkintatoimenpiteiden yhteensovittamisesta. 

Ehdotetun sääntelyn osalta Onnettomuustutkintakeskus saisi tiedon erittäin vakavasta kyberturvallisuuspoikkeamasta lain 16 a §:n ilmoitusvelvollisuuden kautta. Tällöin poikkeaman aktiiviset hallintatoimenpiteet ovat todennäköisesti jo käynnistyneet. Jotta hallintatoimenpiteiden suorittaminen saataisiin turvattua ennen mahdollisia tutkintatoimenpiteitä, tulisi Onnettomuustutkintakeskuksen suorittama tutkinta aloittaa vasta kun voidaan arvioida tilanteen stabiloituneen tarpeeksi. Käytännössä tämän toteaminen tarkoittaisi vuoropuhelua hallintatoimenpiteitä suorittavan tahon ja Onnettomuustutkintakeskuksen välillä. Turvallisuustutkinnan onnistumisen kannalta on sinänsä suotuisinta, että turvallisuustutkinta kyetään käynnistämään mahdollisimman varhaisessa vaiheessa. 

18 §.Selvitys. Pykälää ehdotetaan muutettavaksi siten, että se ilmentäisi selkeämmin mitä tutkinnallisia toimenpiteitä Onnettomuustutkintakeskus voi suorittaa ennen kuin se mahdollisesti aloittaa varsinaisen turvallisuustutkinnan. Tähän liittyen pykälän otsikko ehdotetaan muutettavaksi alustavasta tutkinnasta muotoon selvitys. 

Pykälän 1 momentissa säädettäisiin siitä, että Onnettomuustutkintakeskus voisi käynnistää selvityksen 2 §:ssä tarkoitetusta tapahtumasta jo ennen tutkinnan aloittamista koskevan päätöksen tekemistä. Selvityksen tarkoituksena olisi turvata lain 19 §:n mukaiset tutkinnan edellytykset ja sen perusteella arvioitaisiin, täyttäisikö tapahtuma turvallisuustutkinnan käynnistämisen edellytykset. Näillä edellytyksillä viitataan siihen, mitä lain 1 ja 2 §:ssä sekä vaihtoehtoisesti 17 tai 17 a §:ssä säädetään. Erittäin vakavaa kyberturvallisuuspoikkeamaa koskevan selvityksen osalta momentissa säädettäisiin, että selvityksen yhteydessä Onnettomuustutkintakeskuksen tulee huomioida tarpeet kyberturvallisuuspoikkeaman hallintatoimenpiteiden asianmukaiselle suorittamiselle. Tämä vastaisi ehdotetussa 17 a §:ssä olevaa sääntelyä ja tällöin myös selvityksen osalta tulisi varmistautua siitä, että riittävät poikkeaman hallintatoimenpiteet on saatu suoritettua. 

Pykälän 2 momentissa säädettäisiin siitä, että selvityksen tekemiseen sovellettaisiin, mitä lain 19 §:ssä säädetään tutkintaedellytysten turvaamisesta, 20 §:ssä tai 20 a §:ssä tiedonsaantioikeudesta, 22 §:ssä tarkastusoikeudesta ja 23 §:ssä kuulemisesta. Tämä tarkoittaisi sitä, että lain mukaan tutkintaa tekevällä olisi käytössään ne toimivaltuudet, joita käytetään turvallisuustutkinnassa. Riittävien toimivaltuuksien käytön mahdollisuus on edellytys sille, että asiassa voidaan tehdä selvitys. Koska toimivaltuudet koskisivat lain nojalla tutkintaa tekeviä, momentissa ei olisi perusteltua kohdistaa toimivaltuuksien käyttöä erikseen Onnettomuustutkintakeskuksen asiantuntijaan, kuten voimassa olevan lain 2 momentissa säädetään. 

Pykälän voimassa oleva 3 momentin sääntely, jonka mukaan turvallisuustutkinnan aloittaneen muun viranomaisen tai toimijan on luovutettava keräämänsä tutkinta-aineisto Onnettomuustutkintakeskuksen käyttöön keskuksen aloitettua tutkinnan, ehdotetaan siirrettäväksi 17 §:n 5 momentiksi. Ehdotetulla uudella pykälän 3 momentilla pantaisiin täytäntöön merionnettomuustutkintadirektiivin 5 artiklan 2 kohta. Ehdotetun säännöksen mukaan, jos kyseessä olisi alle 15 metrin pituiselle kalastusalukselle tapahtuva hyvin vakava merionnettomuus, Onnettomuustutkintakeskuksen olisi viipymättä ja viimeistään kahden kuukauden kuluttua hyvin vakavasta merionnettomuudesta suoritettava alustava arviointi sen määrittämiseksi, suoritetaanko turvallisuustutkinta. Jos Onnettomuustutkintakeskus päättäisi olla suorittamatta tällaista turvallisuustutkintaa, päätöksen perustelut olisi viipymättä ja viimeistään kahden kuukauden kuluttua hyvin vakavasta merionnettomuudesta kirjattava ja ilmoitettava merionnettomuuksia koskevaan eurooppalaiseen tietojärjestelmään (EMCIP) merionnettomuustutkintadirektiivin 17 artiklan 3 kohdan mukaisesti. Direktiivin sääntely ei tältä osin sisällä kansallista liikkumavaraa ja sen täytäntöönpano edellyttää säännösten tuomista lakiin. 

19 §.Tutkintaedellytysten turvaaminen. Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että siinä mainittaisiin myös erittäin vakava kyberturvallisuuspoikkeama. Huomattavaa on, että säännöksen toimivaltaa rajaavat lain 22 §:n 2 momentissa säädetyt tarkastusoikeuden rajoitukset, jotka liittyvät muun muassa oikeuteen päästä pysyväisluonteiseen asumiseen käytettäviin tiloihin. 

Vastaavasti tutkintaoikeutta laajennettaisiin siten, että se kattaisi myös järjestelmät ja ohjelmistot, koska varsinkin kyberturvallisuuspoikkeamien tutkinta kohdistuu tyypillisesti sellaisiin. Lisäksi momentin sääntely suoraviivaistettaisiin viittaamalla Onnettomuustutkintakeskuksen tutkintaa tekeviin. 

Ehdotetussa pykälän 2 momentissa huomioitaisiin niin ikään uutena tekijänä erittäin vakavan kyberturvallisuuspoikkeaman turvallisuustutkinta ja ehdotetaan, että myös tällaisen tutkinnan suorittamisen yhteydessä Onnettomuustutkintakeskus saisi toimivallan eristää sellainen paikka, joka liittyy erittäin vakavaan kyberturvallisuuspoikkeamaan. Eristettävien tilojen laajuus saattaisi vaihdella riippuen siitä, mitä turvallisuustutkinnan suorittamisen kannalta katsottaisiin välttämättömäksi. Käytännön toiminnan kannalta huomioitavaa on, että turvallisuustutkintalain 42 §:n 1 momentin mukaan tutkintatoimia tehdään yhteistoiminnassa samassa asiassa esitutkintaa tai kuolemansyyn tutkintaa tekevän viranomaisen kanssa siinä laajuudessa kuin Onnettomuustutkintakeskus katsoo yhteistoiminnan olevan tarkoituksenmukaista turvallisuustutkinnan kannalta. Paikan eristäminen voi siis tapahtua myös muun viranomaisen toimivaltuuden nojalla. 

Ehdotetussa pykälän 3 momentissa huomioitaisiin erittäin vakava kyberturvallisuuspoikkeama ja lisättäisiin momentissa mainittuihin esineisiin ja muuhun aineistoon termi laitteet, joka selventäisi sitä, että erittäin vakavan kyberturvallisuuspoikkeaman tutkinnan yhteydessä tutkintaviranomainen voisi määrätä myös laitteiden käsittelystä. Momentista poistettaisiin ilmaisu ”ilman pakottavaa syytä”, koska turvallisuustutkinnan toteuttamisen kannalta on tärkeää, että on Onnettomuustutkintakeskuksen tai tutkintaryhmän johtajan päätettävissä, miten esineitä, laitteita tai muuta aineistoa mahdollisesti hävitetään, viedään pois, tai liikutetaan. Sääntely ei kuitenkaan sulje pois sitä, että jokin ilman lupaa tehty toimenpide saattaa olla rikoslain (39/1889) 4 luvun 5 §:n mukaisena pakkotilatekona oikeutettu. 

Momentissa olevaa luettelointivelvoitetta täsmennettäisiin siten, että vastaisuudessa Onnettomuustutkintakeskuksen ja tutkintaryhmän johtajan tulisi huolehtia, että aineisto luetteloidaan siinä laajuudessa kuin se on välttämätöntä ja käytännössä mahdollista. Säännöksen nykyinen sanamuoto on varsin ehdoton, vaikka käytännössä turvallisuustutkintaan liittyvää aineistoa ei kaikissa tapauksissa kyetä sen määrän tai saavutettavuuteen liittyvien ongelmien takia tyhjentävästi luetteloimaan. Luettelointi sen osalta, mitä voidaan pitää tutkinnan kannalta välttämättömänä ja käytännössä mahdollisena sääntelisi tarvittavissa määrin sen, mikä turvallisuustutkinnan yhteydessä voidaan katsoa tarkoituksenmukaiseksi. 

Uuden 4 momentin mukaan 1–3 momentissa olevan osalta olisi otettava huomioon, mitä lain 17 a §:ssä ja 18 §:ssä säädetään hallintatoimien asianmukaisesta suorittamisesta ja poliisin tutkinnasta suhteessa turvallisuustutkintaan erittäin vakavien kyberturvallisuuspoikkeamien osalta. 

Pykälän voimassa oleva 4 momentti siirtyisi 5 momentiksi. 

20 §.Tiedonsaantioikeus onnettomuuksien ja vaaratilanteiden turvallisuustutkintaa varten. Pykälän otsikko ehdotetaan muutettavaksi, jotta siitä ilmenisi, että onnettomuuksien ja vaaratilanteiden tutkintaa koskevat tiedonsaantioikeudet määräytyvät kyseisessä pykälässä säädetyn mukaisesti. Tiedonsaantioikeudesta erittäin vakavien kyberturvallisuuspoikkeamien tutkinnan osalta säädettäisiin lain 20 a §:ssä. Lisäksi pykälän 4 momentti ehdotetaan kumottavaksi tarpeettomana, koska tietojen luovutustavasta teknisen rajapinnan avulla säädetään nykyisin julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019). 

20 a §.Tiedonsaantioikeus erittäin vakavien kyberturvallisuuspoikkeamien turvallisuustutkintaa varten. Pykälä olisi laissa uusi ja siinä säädettäisiin tutkintaa tekevän tiedonsaantioikeudesta erittäin vakavien kyberturvallisuuspoikkeamien turvallisuustutkintaa varten. Erittäin vakavien kyberturvallisuuspoikkeamien tutkintaan liittyvän tiedonsaantioikeuden eriyttäminen onnettomuuksien ja vaaratilanteiden turvallisuustutkinnan tiedonsaantioikeuksista (20 §) olisi perusteltua, koska erittäin vakavien kyberturvallisuuspoikkeamien tutkinnassa tarvittaisiin huomattavasti erilaisempia tietoja kuin onnettomuuksien ja vaaratilanteiden tutkinnassa. Erittäin vakava kyberturvallisuuspoikkeama määriteltäisiin ehdotetussa lain 2 a §:ssä. 

Ehdotetun 1 momentin mukaan tutkintaa tekevällä olisi salassapitosäännösten estämättä oikeus saada maksutta erittäin vakavien kyberturvallisuuspoikkeamien turvallisuustutkintaa varten välttämättömät tiedot kyberturvallisuuslain 26 §:ssä tarkoitetulta valvovalta viranomaiselta kyberturvallisuuslain 11–13 §:ssä ja 28 §:n 1 ja 2 momentissa tarkoitetuista tiedoista. Kyberturvallisuuslain 11 §:ssä säädetään kyberturvallisuuslain nojalla velvoitetun toimijan velvoitteesta toimittaa valvovalle viranomaiselle poikkeamailmoitus, lain 12 §:ssä toimijan velvollisuudesta toimittaa poikkeamaa koskeva väliraportti ja lain 13 §:ssä säädetään toimijan velvollisuudesta toimittaa valvovalle viranomaiselle poikkeamaa koskeva loppuraportti. Ilmoitusta, väliraporttia ja loppuraporttia voidaan pitää turvallisuustutkinnan kannalta tärkeinä tietolähteinä, jolloin on perusteltua, että tutkintaa tekevällä olisi niitä koskeva tiedonsaantioikeus. 

Kyberturvallisuuslain 28 §:n 1 momentin mukaan valvovalla viranomaisella on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada toimijalta kyberturvallisuutta koskevien riskien hallintaa, riskienhallinnan toimintamallia, hallintatoimenpiteitä ja merkittävää poikkeamaa koskevat tiedot sekä muut edellä mainittuihin tietoihin välittömästi liittyvät tiedot, jotka ovat välttämättömiä kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen ja merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvontaa varten. Kyberturvallisuuslain 28 §:n 2 momentin mukaan valvovalla viranomaisella on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus saada toimijalta välitystieto, sijaintitieto sekä tieto haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä, jos se on välttämätöntä kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen tai merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvomista varten. Vastaavasti Onnettomuustutkintakeskuksella olisi siis salassapitosäännösten estämättä oikeus saada valvovalta viranomaiselta turvallisuustutkintaansa varten edellä mainituista tiedoista ne tiedot, jotka katsotaan tutkinnan kannalta välttämättömiksi. 

Ehdotetun 1 momentin mukaan tutkintaa tekevällä olisi lisäksi oikeus saada valvovalta viranomaiselta sellaisia tietoja, jotka olisivat välttämättömiä erittäin vakavan kyberturvallisuuspoikkeaman tutkinnassa. Tällainen tiedonsaantioikeus olisi perusteltu, koska se varmistaisi turvallisuustutkinnan tiedonsaantia tapauksissa, joissa kyberturvallisuuslain 11–13 §:ien ja 28 §:n 1 ja 2 momenttien nojalla saatavat tiedot eivät olisi riittäviä, vaan tutkinnan suorittamiseksi tarvittaisiin myös muuta valvovan viranomaisen hallussa olevaa tietoa. 

Lisäksi 1 momentin nojalla tutkintaa tekevällä olisi oikeus saada salassapitosäännösten estämättä ja maksutta erittäin vakavien kyberturvallisuuspoikkeamien turvallisuustutkintaa varten välttämättömät tiedot julkisen hallinnon tiedonhallinnasta annetun lain 18 h §:ssä tarkoitetulta valvovalta viranomaiselta tälle kyseisen lain 18 d §:n nojalla tehtyihin ilmoituksiin sisältyvistä tiedoista ja 18 i §:n 1 ja 2 momenteissa tarkoitetuista tiedoista. Kyseisen 18 d §:n mukaan viranomaisen on toimitettava valvovalle viranomaiselle merkittävää poikkeamaa koskeva ensi-ilmoitus 24 tunnin kuluttua merkittävän poikkeaman havaitsemisesta ja sen jälkeen poikkeamaa koskeva jatkoilmoitus 72 tunnin kuluttua merkittävän poikkeaman havaitsemisesta. Viranomaisen on annettava valvovalle viranomaiselle merkittävää poikkeamaa koskeva loppuraportti kuukauden kuluessa jatkoilmoituksen toimittamisesta. Loppuraportin on sisällettävä: 1) yksityiskohtainen kuvaus poikkeamasta, sen vakavuudesta ja vaikutuksista; 2) selvitys poikkeaman todennäköisesti aiheuttaneen uhkan tai juurisyyn tyypistä; 3) selvitys toteutetuista ja meneillään olevista toimenpiteistä poikkeaman vaikutusten lieventämiseksi; ja 4) selvitys mahdollisista rajat ylittävistä vaikutuksista. Kyseisen 18 i §:n 1 momentin mukaan valvovalla viranomaisella on oikeus saada kyberturvallisuutta koskevien riskien hallintaa, riskienhallinnan toimintamallia, hallintatoimenpiteitä ja merkittävää poikkeamaa koskevat tiedot sekä muut edellä mainittuihin tietoihin välittömästi liittyvät tiedot. Kyseisen 18 i §:n 2 momentin mukaan valvovalla viranomaisella on oikeus saada välitystieto, sijaintitieto sekä tieto haitallisen tietokoneohjelman tai käskyn sisältävästä viestistä. 

Ehdotetun 1 momentin nojalla tutkintaa tekevällä olisi salassapitosäännösten estämättä ja maksutta tiedonsaantioikeus myös Finanssivalvonnalta sille toimitetuista finanssialan digitaalisesta häiriönsietokyvystä annetun Euroopan unionin asetuksen ((EU) 2022/2554) 19 artiklassa tarkoitetuista ilmoituksista ja raporteista. EU-asetuksen 19 artiklan mukaan 19 artiklan ensimmäistä alakohtaa sovellettaessa finanssiyhteisöjen on kaikkien asiaankuuluvien tietojen keräämisen ja analysoinnin jälkeen laadittava kyseisen 19 artiklan 4 kohdassa tarkoitetut alustava ilmoitus ja raportit 20 artiklassa tarkoitettuja malleja käyttäen ja toimitettava ne toimivaltaiselle viranomaiselle. Jos tekninen mahdottomuus estää alustavan ilmoituksen toimittamisen mallia käyttäen, finanssiyhteisöjen on ilmoitettava siitä toimivaltaiselle viranomaiselle vaihtoehtoisin keinoin. Asetuksen 19 artiklan kohdassa tarkoitetuissa alustavassa ilmoituksessa ja raporteissa on esitettävä kaikki tiedot, jotka toimivaltainen viranomainen tarvitsee voidakseen määrittää laajavaikutteisen verkko- ja tietojärjestelmään liittyvän poikkeaman merkityksen ja arvioida mahdollisia rajatylittäviä vaikutuksia. 

Ehdotetun 2 momentin mukaan tutkintaa tekevällä olisi lisäksi salassapitosäännösten estämättä oikeus saada maksutta erittäin vakavan kyberturvallisuuspoikkeaman tutkimiseksi välttämättömät tiedot: 1) edellä 1 momentissa tarkoitetulta toimijalta tai sen lukuun toimivalta taholta, joka toteuttaa toimijalle kyberturvallisuuteen liittyvää toimeksiantoa, silloin kun tieto ei ole saatavissa 1 momentissa tarkoitetulta valvovalta viranomaiselta; sekä 2) poliisin poliisi- ja esitutkinta-asiakirjoista. Mainitut tiedonsaantioikeudet olisivat perusteltuja, koska myös niillä varmistettaisiin turvallisuustutkinnassa tarvittavien tietojen riittävyyttä silloin, kun tiedot eivät ole valvovalla viranomaisella. Asiakirjalla poliisin poliisi- ja esitutkinta-asiakirjojen osalta tarkoitettaisiin viranomaisten toiminnan julkisuudesta annetun lain (621/1999, julkisuuslaki) 5 §:ssä tarkoitettua asiakirjaa. 

Kyberturvallisuuslain 3 §:ssä säädetään yleiset lähtökohdat sille, mitä kyberturvallisuuslaissa tarkoitetaan toimijalla. Tarkempi määrittely tapahtuu kyberturvallisuuslain liitteissä, joissa toimijoiksi mainitaan laajasti erilaisia yhteiskunnan toimijoita (kuten liikennetoimijat, digitaalisen infrastruktuurin toimijat, energia-alan toimijat, terveysalan toimijat, vesihuollon toimijat ja jätehuollon toimijat). Koska on mahdollista, että kyseiset toimijat käyttävät kyberturvallisuuteen liittyvien toimintojen toteutuksessa ulkopuolista tahoa, on perusteltua säätää tiedonsaantioikeus koskemaan myös sellaisen tahon hallussa olevia tietoja, joka toteuttaa kyberturvallisuuslain 3 §:ssä tarkoitetulle toimijalle kyberturvallisuuteen liittyvää toimeksiantoa. Tällaisissa toimeksiannoissa saattaa olla kyse myös henkilötietojen käsittelystä, joissa kyberturvallisuuslain 3 §:ssä tarkoitettu toimija on rekisterinpitäjän ominaisuudessa ulkoistanut henkilötietojen käsittelyä toimeksiantosuhteessa olevalle henkilötietojen käsittelijälle, joka toimii rekisterinpitäjän lukuun. Tiedonsaantioikeus koskisi myös henkilötietoja ja ulottuisi suoraan myös rekisterinpitäjän lukuun toimivaan henkilötietojen käsittelijään. 

Tiedonsaantioikeus saattaisi joissakin tilanteissa kohdistua myös viranomaisen toimeksiantotehtävää suorittavaan. Julkisuuslain 14 §:n 1 momentin mukaan tiedon antamisesta asiakirjasta, joka on laadittu viranomaisen toimeksiantotehtävää suoritettaessa tai annettu toisen viranomaisen lukuun suoritettavaa tehtävää varten, päättää tehtävän antanut viranomainen, jollei toimeksiannosta muuta johdu. Ehdotettu säännös olisi erityissäännös suhteessa julkisuuslaissa säädettyyn pääsääntöön. Näin ollen myös viranomaiselle toimeksiantotehtävää suorittava voisi luovuttaa tiedot suoraan Onnettomuustutkintakeskukselle. 

Ehdotetun 2 momentin 2 kohdan mukaan tutkintaa tekevällä olisi oikeus saada välttämättömiä tietoja poliisin poliisi- ja esitutkinnan aineistoista. Tällaisilla aineistoilla voi olla olennaista merkitystä turvallisuustutkinnan kannalta, kun myös poliisi- ja esitutkinnassa selvitetään tapahtunutta ja siihen johtaneita syitä. Vastaavanlainen tiedonsaantioikeus on olemassa turvallisuustutkintalain 20 §:ssä onnettomuuksien tutkintaa varten. Käytännössä esimerkiksi poliisin tutkinnanjohtajalla olisi tietojen luovuttamiseen liittyvän välttämättömyysvaatimuksen puitteissa harkintavalta sen suhteen, mitä tietoja turvallisuustutkintaan on aihetta antaa. Kaikki poliisin tutkintamateriaali ei ole sellaista, että sillä olisi merkitystä turvallisuustutkinnassa ja lisäksi poliisin tutkinta saattaa sisältää esimerkiksi salaisten pakkokeinojen käyttöä, joka saattaisi olla epäsuorasti pääteltävissä tutkintaselostuksesta. Esitutkinnassa oleva tieto voi olla peräisin myös kotimaiselta tai jonkun toisen maan viranomaiselta, joka on asettanut rajoituksia tiedon luovuttamiselle muulle viranomaiselle tai muuhun käyttöön. Tieto on voitu saada myös ulkomaisen tuomioistuimen päätöksen perusteella oikeusapua pyydettäessä tai saadessa. 

21 §.Oikeus saada tietoja teleyrityksiltä. Pykälän 1 momenttia ehdotetaan muutettavaksi siten, että tutkintaa tekevällä olisi vastaisuudessa oikeus saada pykälässä tarkoitetut tiedot maksutta. Pykälän 1 momentissa tarkistettaisiin myös vanhentuneet säädösviittaukset viittaamalla sähköisen viestinnän palveluista annettuun lakiin (917/2014). Tähän liittyen termi paikkatieto ehdotetaan korvattavaksi termillä sijaintitieto ja termi tunnistamistieto termillä välitystieto. 

Lisäksi pykälän 3 momentti ehdotetaan kumottavaksi tarpeettomana, koska tietojen luovutustavasta teknisen rajapinnan avulla säädetään nykyisin julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019). 

22 §.Tarkastusoikeus. Pykälän voimassa olevan 1 momentin mukaan tutkintaa tekevällä on oikeus ottaa haltuun ja tarkastaa esineitä ja asiakirjoja, jos se on välttämätöntä turvallisuustutkinnan toimittamiseksi. Tutkintaa tekevä saa tehdä tarkastettaville esineille kokeita ja irrottaa esineistä osia sekä ottaa näytteitä, jos se on tutkimusten vuoksi välttämätöntä. Turvallisuustutkintaa varten 1 momenttiin ehdotetaan lisättäväksi esineiden ja asiakirjojen ohella oikeus tarkastaa järjestelmiä ja ohjelmistoja, koska varsinkin kyberturvallisuuspoikkeamien tutkinta kohdistuu tyypillisesti sellaisiin. Kuten edellä 5 §:n 2 momentin säännöskohtaisissa perusteluissa on todettu, järjestelmä voi olla esimerkiksi tietojärjestelmä, joka esimerkiksi julkisen hallinnon tiedonhallinnasta annetussa laissa (906/2019) määritellään tietojenkäsittelylaitteista, ohjelmistoista ja muusta tietojenkäsittelystä koostuvaksi kokonaisjärjestelyksi. Myös viestintäverkkoa voidaan pitää järjestelmänä, johon kuuluu toisiinsa liitettyjä johtimia sekä laitteita, ja joka on tarkoitettu viestien siirtoon tai jakeluun johtimella, radioaalloilla, optisesti tai muulla sähkömagneettisella tavalla (laki sähköisen viestinnän palveluista (917/2014)). Ohjelmiston voi käsittää olevan kahdesta tai useammasta ohjelmasta muodostuva kokonaisuus, joka voi olla esimerkiksi laiteohjelmisto, varusohjelmisto, tai sovellusohjelmisto. Ohjelmien lisäksi ohjelmistoon voidaan lukea tiedostot ja dokumentaatio, joka liittyy ohjelmiston käyttöön.  

Momenttiin lisättäisiin myös säännös siitä, että toimenpiteet olisi suoritettava aiheuttaen mahdollisimman vähän haittaa tutkinnan kohteena olevalle toiminnalle, eivätkä ne saisi vaarantaa ihmisten hengelle ja terveydelle elintärkeiden toimintojen tai yhteiskunnan kriittisten toimintojen jatkuvuutta. 

Vaikka voimassa olevan lain 22 §:n 2 momentissa säädetään tutkintaa tekevän oikeudesta päästä pysyväisluonteiseen asumiseen käytettyyn tilaan, jos se on välttämätöntä onnettomuuksien ja vaaratilanteiden ehkäisemisen taikka onnettomuuksista aiheutuvien vahinkojen torjumisen kannalta välttämättömien tietojen hankkimiseksi, niin erittäin vakavan kyberturvallisuuspoikkeaman turvallisuustutkinnan osalta ei ehdoteta, että tarkastusoikeus ulotettaisiin pysyväisluonteiseen asumiseen käytettävään tilaan. Tällaista oikeutta ei voida erittäin vakavien kyberturvallisuuspoikkeamien turvallisuustutkinnassa pitää välttämättömänä, eikä mainittu toimivalta vaikuttaisi olevan myöskään perustuslain 10 §:n 3 momentin kannalta perusteltavissa. 

23 §.Kuuleminen. Pykälää ehdotetaan muutettavaksi siten, että se ilmaisisi kuulemisen ja puhuttelun perustuvan kuultavan tai puhutettavan henkilön vapaaehtoisuuteen. Voimassa olevan lain lähtökohta on sääntelyn ja sitä koskevien lain esitöiden perusteella, että kuuleminen ei ole kuultavalle vapaaehtoista. Voimassa olevan 3 momentin mukaan kuultavalle on kerrottava hänen oikeuksistaan ja asemastaan kuulemisessa. Säännös on saanut muotonsa turvallisuustutkintalain eduskuntakäsittelyn aikana (HaVM 40/2010 vp). Hallintovaliokunta muutti mietinnössään hallituksen esityksen (HE 204/2010 vp) ehdotuksena ollutta, vapaaehtoisuuteen liittyvää kuulemissäännöstä, niin, että valiokunnan mukaan kuulemisen ei tule olla kuultavalle vapaaehtoista.  

Turvallisuustutkinnan tarkoitus ja lähtökohdat ovat turvallisuustutkinnasta saatujen käytännön kokemusten perusteella kuitenkin sellaisia, että hallitus katsoo perustelluksi ehdottaa kuulemisen ja puhuttelemisen perustuvan vastaisuudessa siihen, että niihin ei voida velvoittaa. Myös turvallisuustutkinnan kansainväliset käytännöt perustelevat tällaista mallia. 

Ehdotetun 1 momentin mukaan tutkintaa tekevä voisi kuulla vaaratilanteessa ollutta tai onnettomuuteen osallista. Tutkintaa tekevä voisi lisäksi kuulla myös muuta sellaista henkilöä, jolta voitaisiin olettaa saatavan tutkinnassa tarvittavia tietoja. Muutoksena voimassa olevaan 1 momenttiin olisi sen tarkentaminen, että kuuleminen voitaisiin kohdistaa myös vaaratilanteessa olleeseen henkilöön. Lisäksi säännökset jäsennettäisiin selkeämmin niin, että ensimmäinen säännös kohdistuisi vaaratilanteissa olleisiin ja onnettomuuteen osallisiin ja jälkimmäinen niihin vaaratilanteeseen tai onnettomuuteen suoraan liittymättömiin henkilöihin, joilta voitaisiin olettaa saatavan tutkinnassa tarvittavia tietoja. 

Ehdotettu 2 momentti olisi kuten voimassa olevassa laissa. 

Ehdotetun 3 momentin mukaan tutkintaa tekevä voisi alustavasti puhutella 1 momentissa tarkoitettua henkilöä. Säännös vastaisi tietyin sanamuodon muutoksin voimassa olevan pykälän 4 momenttia, joka lisättiin turvallisuustutkintalakiin lailla 187/2019. Alustavan puhuttelun avulla voidaan selvittää, onko henkilön kuuleminen tutkinnan kannalta tarpeellista. Alustavan puhuttelun avulla voidaan tehdä sinänsä päätelmiä myös jo siitä, onko vaaratilanne tai tapahtunut onnettomuus sellainen, että varsinainen turvallisuustutkinta tulisi aloittaa. 

Ehdotetun 4 momentin mukaan kuulemiseen tai puhuttelemiseen ei voitaisi velvoittaa. Säännöksellä ilmaistaisiin se, että kenenkään ei tarvitsisi joutua kuultavaksi tai puhuteltavaksi vastoin tahtoaan. Kuulemisen ja puhuttelemisen yhteydessä olisi kerrottava turvallisuustutkinnan tarkoitus ja henkilön ilmaiseman tiedon edelleen luovuttamista koskevat rajoitukset. Turvallisuustutkinnan tarkoitus ilmaistaan lain 1 §:ssä, jonka mukaan turvallisuustutkinnan tarkoituksena on yleisen turvallisuuden lisääminen, onnettomuuksien ja vaaratilanteiden ehkäiseminen sekä onnettomuuksista aiheutuvien vahinkojen torjuminen. Kuulemisen ja puhuttelemisen kannalta tärkeää olisi todeta myös se 1 §:stä ilmenevä seikka, että turvallisuustutkintaa ei tehdä oikeudellisen vastuun kohdentamiseksi. Voimassa olevan lain 39 §:n säännösten mukaan Onnettomuustutkintakeskus voi luovuttaa turvallisuustutkinnassa saatuja tietoja salassapitosäännösten estämättä esitutkinta- ja syyttäjäviranomaiselle vain, jos tieto on välttämätön sellaisen rikoksen selvittämiseksi, josta laissa säädetty ankarin rangaistus on vähintään kaksi vuotta vankeutta. Onnettomuustutkintakeskus ei kuitenkaan saa luovuttaa esitutkinta- ja syyttäjäviranomaiselle 21 §:ssä tarkoitettua tietoa eikä tietoa, joka on olennaisin osin saatu henkilöltä, joka on esitutkinnassa tai oikeudenkäynnissä todistajana velvollinen tai oikeutettu kieltäytymään todistamasta siitä seikasta, jollei kieltäytymään oikeutettu anna luovuttamiseen suostumustaan. Sääntely suojaa henkilön itsekriminointisuojaa, jonka merkitystä turvallisuustutkinnassa lisää se, että useinkin kyse voi olla tapahtumista, jotka saattavat johtaa syytteeseen asettamiseen ja rangaistukseen tuomitsemiseen. 

27 §.Tutkintaselostus. Voimassa olevan 1 momentin mukaan turvallisuustutkinnasta laaditaan julkinen tutkintaselostus onnettomuuden vakavuuteen nähden sopivassa laajuudessa. Momenttiin ehdotetaan lisättäväksi sääntely tutkintaselostuksen laatimisesta myös erittäin vakavasta kyberturvallisuuspoikkeamasta. Erittäin vakavan kyberturvallisuuspoikkeaman tutkinta saattaa edellyttää esimerkiksi sellaisten tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevien tietojen käsittelyä, jotka ovat salassa pidettäviä julkisuuslain 24 §:n 1 momentin 7 kohdan perusteella. Ehdotus julkisen tutkintaselostuksen laatimisesta vastaisi nykyisin noudatettavaa käytäntöä, eikä ehdotuksella olisi tarkoitus muuttaa nykytilaa. Edelleen pykälän 2 momenttiin ehdotetaan tehtäväksi muutokset johtuen erittäin vakavien kyberturvallisuuspoikkeamien tutkinnasta lain nojalla. Tutkintaselostus sisältäisi tällöin selostuksen erittäin vakavan kyberturvallisuuspoikkeaman kulusta, siihen johtaneista tekijöistä ja sen seurauksista, sekä toimijoille osoitetut turvallisuussuositukset. Turvallisuussuosituksiin liittyen momenttiin ehdotetaan lisättäväksi onnettomuuksien ja erittäin vakavien kyberturvallisuuspoikkeamien lisäksi myös vaaratilanteet, koska suosituksilla voidaan ajatella yhtäläisesti olevan merkitystä myös sen kannalta, ettei vaaratilanteita pääse kehittymään. Myöskään erittäin vakavaa kyberturvallisuuspoikkeamaa koskevaan tutkintaselostukseen ei sisällytettäisi tietoja kyseiseen häiriöön osallisen tai tutkinnassa kuullun yksityishenkilön henkilöllisyydestä. 

Pykälän 3 momentissa huomioitaisiin niin ikään erittäin vakava kyberturvallisuuspoikkeama, koska sellainen saattaa liittyä myös rautatieliikenteeseen. 

27 a §.Yhteenvetoraportti. Ehdotetun säännöksen mukaan Onnettomuustutkintakeskus voisi päättää julkaista turvallisuustutkinnasta tai selvityksestä pelkän yhteenvetoraportin, jos johtopäätösten perusteella ei ole löydettävissä yleistä turvallisuutta lisääviä suosituksia, tai jos selvityksen perusteella ei aloitettaisi turvallisuustutkintaa. Säännöksellä pantaisiin kansallisesti täytäntöön merionnettomuustutkintadirektiivin 14 artiklan 1 kohta, mutta säännös koskisi merellä tapahtuneisiin onnettomuuksiin ja vaaratilanteiseen liittyvän tutkinnan lisäksi myös muihin onnettomuuksiin tai vaaratilanteisiin liittyvää tutkintaa, jota suoritettaisiin joko selvityksenä tai turvallisuustutkintana. Direktiivin sääntely ei tältä osin sisällä kansallista liikkumavaraa ja sen täytäntöönpano edellyttää säännöksen tuomista lakiin. Säännös sinänsä mahdollistaisi Onnettomuustutkintakeskukselle harkintavaltaa sen osalta, miten se tapauskohtaisesti katsoisi turvallisuustutkinnasta raportoinnin vaikuttavan vastaisuudessa merionnettomuuksien tai merellä sattuvien vaaratilanteiden ehkäisemiseen. 

28 §.Viranomaisten ja osallisten lausunnot. Pykälän 1 momentissa ehdotetaan huomioitavaksi lausuntojen pyytäminen myös erittäin vakavan kyberturvallisuuspoikkeaman tutkintaselostuksen luonnoksesta. Säännökseen ehdotetaan lisättäväksi, että luonnoksesta tulisi aina pyytää myös poliisin lausunto. Lisäys koskisi myös onnettomuuksien ja vaaratilanteiden tutkintaa koskevia tutkintaselostusluonnoksia. Erittäin vakavaan kyberturvallisuuspoikkeamaan osallisiksi katsottavien määrä voi vaihdella erittäin paljon. Lausuntojen pyytäminen erikseen jokaiselta tällaiselta osalliseksi katsottavalta taholta saattaisi olla hankalaa sekä osin mahdotontakin. Lisäksi tulisi huomioida lausunnoissa mahdollisesti esiin tulevat arkaluonteisiksi ja salaisiksi luokiteltavat yksityiskohdat. Tämä perustelisi lausuntojen pyytämistä suurelta yleisöltä erillisellä kuulutuksella ja lausuntojen saamista joko postitse tai sähköpostin välityksellä. 

Useilla viranomaisilla on tärkeä rooli tietoturvallisuuden varmistajana, jolloin lausunnon hankkiminen olisi tarkoituksenmukaisinta hoitaa kohdennetulla viranomaiskohtaisella lausuntopyynnöllä. Pykälän 1 momenttiin ehdotetaan lisättäväksi säännös, jonka mukaan Onnettomuustutkintakeskus voisi pyytää lausunnon myös muilta tutkinnassa mukana olleilta tahoilta, jos se olisi tarpeellista selostuksen laatimisen kannalta. Tällä on tarkoitus varmistaa, että tutkintaselostuksen luonnoksesta saadaan näkemyksiä kattavasti. 

29 §.Tutkinnan päättyminen. Pykälään ehdotetaan lisättäväksi uusi 2 momentti, jolla pantaisiin täytäntöön merionnettomuustutkintadirektiivin 17 artiklan 2 a kohta. Ehdotetun säännöksen mukaan Onnettomuustutkintakeskuksen olisi ilmoitettava kaikki merionnettomuudet ja merellä sattuneet vaaratilanteet salassapitosäännösten estämättä merionnettomuuksia koskevaan eurooppalaiseen tietojärjestelmään. Direktiivin mukaan tiedot tulee ilmoittaa merionnettomuustutkintadirektiivin liitteessä II esitetyssä muodossa. Onnettomuustutkintakeskuksen olisi suoritetusta merionnettomuuden turvallisuustutkinnasta toimitettava sen tuloksena saadut tiedot salassapitosäännösten estämättä merionnettomuuksia koskevaan eurooppalaiseen tietojärjestelmään. Direktiivin mukaan tämän tulee tapahtua tietokantamallin mukaisesti. Jos osallisena olisi alle 15 metrin pituinen kalastusalus, ilmoitus olisi tehtävä ainoastaan hyvin vakavasta merionnettomuudesta. Jos Onnettomuustutkintakeskus ei suorittaisi tutkintaa sellaisesta hyvin vakavasta merionnettomuudesta, jossa on osallisena alle 15 metrin pituinen kalastusalus, olisi Onnettomuustutkintakeskuksen ilmoitettava tutkinnan tekemättä jättämisen perustelut merionnettomuuksia koskevaan eurooppalaiseen tietojärjestelmään. Direktiivin sääntely ei tältä osin sisällä kansallista liikkumavaraa ja sen täytäntöönpano edellyttää säännösten tuomista lakiin.  

38 §.Tutkinnan kulusta tiedottaminen. Pykälään ehdotetaan lisättäväksi uusi 5 momentti, jolla pantaisiin täytäntöön merionnettomuustutkintadirektiivin 14 artiklan 2 kohta, mutta jolla myös muutoin säädettäisiin yleinen alustavaa tutkintaselostusta koskeva vaatimus. Säännöksen mukaan, jos Onnettomuustutkintakeskus ei pystyisi laatimaan turvallisuustutkinnasta 27 §:ssä tarkoitettua tutkintaselostusta 12 kuukauden kuluessa päivästä, jona onnettomuus, vaaratilanne tai erittäin vakava kyberturvallisuuspoikkeama on tapahtunut, olisi sen julkaistava alustava tutkintaselostus 12 kuukauden kuluessa onnettomuuden, vaaratilanteen tai erittäin vakavan kyberturvallisuuspoikkeaman tapahtumapäivämäärästä. Direktiivin sääntely ei merionnettomuuksia koskevilta osin sisällä kansallista liikkumavaraa ja sen täytäntöönpano edellyttää säännösten tuomista lakiin. Tutkinnan kulusta tiedottamista mainitunlaisella alustavalla tutkintaselostuksella voidaan pitää perusteltuna, jos turvallisuustutkinta kestää pitempään ja tutkintaan kohdistuu yleistä mielenkiintoa. 

Pykälän 6 momentiksi ehdotetaan säännöstä, jonka mukaan Onnettomuustutkintakeskuksen olisi lähetettävä komissiolle jäljennös sellaisesta alustavasta tutkintaselostuksesta, joka liittyy merionnettomuuden tutkintaan. Säännöksellä pantaisiin kansallisesti täytäntöön merionnettomuustutkintadirektiivin 14 artiklan 3 kohta. 

39 §.Salassa pidettävän tiedon luovuttaminen. Pykälään 1 momenttiin ehdotetaan lisättäväksi sääntely, jolla pantaisiin täytäntöön merionnettomuustutkintadirektiivin 9 artiklan 1 kohtaan tehdyt muutokset. Samalla olisi kuitenkin tarkoitus, että säännökset koskisivat yleisesti muutakin kuin merionnettomuuksien turvallisuustutkinnassa tuotettua tietoa. Tätä voidaan pitää perusteltuna sen kannalta, että tiedon luovuttamisen edellytykset olisivat yhtenäiset ja samalla tavalla tarkennetut kaikenlaisen onnettomuuksien turvallisuustutkinnan osalta. Momentin sanamuotoa täsmennettäisiin siten, että sen nojalla Onnettomuustutkintakeskus voisi luovuttaa tietoa pyynnöstä tai oma-aloitteisesti.  

Ehdotetun mukaan tietoina, joita Onnettomuustutkintakeskus voisi salassapitosäännösten estämättä luovuttaa muille onnettomuuksien turvallisuustutkintaa lain mukaan suorittaville välttämättöminä tietoina tutkinnan suorittamiseksi, pidettäisiin seuraavia: 1) turvallisuustutkintaviranomaisen tutkintaa varten keräämät lausunnot yksityishenkilöiltä; 2) tiedot, joista ilmenee turvallisuustutkinnan yhteydessä todisteita esittäneiden henkilöiden henkilöllisyys; 3) turvallisuustutkintaviranomaisen keräämät tiedot, jotka ovat luonteeltaan erityisen arkaluontoisia tai henkilökohtaisia, mukaan lukien yksittäisten henkilöiden terveyttä koskevat tiedot; 4) turvallisuustutkinnan kuluessa tuotettu aineisto, kuten muistiinpanot, luonnokset ja tutkintaa suorittaneiden laatimat lausunnot, ja tietojen analysoinnin aikana ilmaistut mielipiteet; 5) sellaiset tiedot ja todisteet, joita muiden Euroopan unionin jäsenvaltioiden tai kolmansien maiden tutkijat ovat toimittaneet kansainvälisten standardien ja suositeltujen menettelytapojen mukaisesti, jos kyseinen toisen jäsenvaltion tai kolmannen maan turvallisuustutkintaviranomainen tätä pyytää; 6) väliraporttien, yhteenvetoraporttien tai loppuraporttien luonnokset; 7) kaikki viestintä aluksen toimintaan osallistuneiden henkilöiden välillä; 8) alusliikennepalvelujen kirjalliset tai sähköiset tallenteet ja niiden litteroinnit, mukaan lukien sisäiseen käyttöön laaditut selostukset ja tulokset. 

Tiedon luovuttaminen rajattaisiin nimenomaisesti onnettomuuksien turvallisuustutkintaan. Turvallisuustutkintalain 3 §:n mukaan vaaratilanteen ja poikkeuksellisen tapahtuman sekä teematutkintaan sovelletaan, mitä turvallisuustutkintalaissa säädetään onnettomuuden tutkinnasta. Lain 39 §:ssä salassa pidettävän tiedon luovuttamista koskevilla säännöksillä ei näin ollen annettaisi oikeutta luovuttaa sellaista turvallisuustutkintaa varten saatua salassa pidettävää tietoa, jonka Onnettomuustutkintakeskus olisi saanut erittäin vakavan kyberturvallisuuspoikkeaman tutkintaa varten. 

Voimassa olevan pykälän 2–4 momentit siirtyisivät ehdotetun mukaan pykälän momenteiksi 3–5.  

Pykälän 2 momentiksi ehdotetaan säännöstä, jonka mukaan Onnettomuustutkintakeskus voisi lisäksi luovuttaa viranomaiselle 1 momentissa tarkoitettuja tietoja, jos se on välttämätöntä tärkeän yleisen edun turvaamiseksi. Tämä vastaisi aineellisesti voimassa olevan pykälän 1 momentissa olevaa, mutta tiedonluovutussäännöksiin liittyvän vallitsevan lainsäädäntökäytännön kannalta sääntely ehdotetaan jäsennettäväksi uudestaan. 

Direktiivin 9 artiklan 2 kohdan mukaan turvallisuustutkinnan VDR- ja S-VDR-tallenteita ei saa asettaa saataville eikä käyttää muihin kuin turvallisuustutkintaan tai alusten turvallisuuteen liittyviin tarkoituksiin, paitsi jos tällaiset tallenteet anonymisoidaan tai luovutetaan suojattuja menettelyjä noudattaen. Sääntelyn kannalta on huomioitavissa Euroopan unionin yleisen tietosuoja-asetuksen ((EU) 2016/679) 5 artiklan 1 kohdan f alakohta, jonka mukaan henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia (”eheys ja luottamuksellisuus”). Lisäksi julkisen hallinnon tiedonhallinnasta annetun lain (906/2019) 14 §:ssä säädetään tietojen siirtämisestä tietoverkossa, jolloin viranomaisen on toteutettava tietojensiirto yleisessä tietoverkossa salattua tai muuten suojattua tiedonsiirtoyhteyttä tai -tapaa käyttämällä, jos siirrettävät tiedot ovat salassa pidettäviä. Lisäksi tietojensiirto on järjestettävä siten, että vastaanottaja varmistetaan tai tunnistetaan riittävän tietoturvallisella tavalla ennen kuin vastaanottaja pääsee käsittelemään siirrettyjä salassa pidettäviä tietoja. Kun voimassa oleva sääntely jo asettaa vaatimukset tietojen luovuttamiselle suojattuja menettelyjä noudattaen, ei merionnettomuustutkintadirektiivin 9 artiklan 2 kohdan sääntelyn kansallinen täytäntöönpano erikseen turvallisuustutkintalaissa vaikuttaisi perustellulta. 

Direktiivin 9 artiklan 3 kohdan mukaan 1 kohdassa lueteltuihin tarkoituksiin saa luovuttaa ainoastaan tietoja, jotka ovat ehdottoman välttämättömiä. Tämän säännöksen voidaan katsoa olevan pantu täytäntöön voimassa olevan lain 39 §:n 1 momentilla. Direktiivin 9 artiklan 4 kohta sallii kansallista liikkumavaraa siten, että sen mukaan jäsenvaltiot voivat päättää rajoittaa tapauksia, joissa 3 kohdassa tarkoitettu luovuttaminen voidaan tehdä, unionin oikeutta noudattaen. 

41 §.Onnettomuustutkintakeskuksen apu toisen valtion tutkintaviranomaiselle. Pykälään ehdotetaan lisättäväksi uusi 2 ja 3 momentti, joilla pantaisiin täytäntöön merionnettomuustutkintadirektiivin 7 artiklan 1 a kohta. Direktiivin kyseisen kohdan sanamuoto antaa kansallista liikkumavaraa siinä suhteessa, että toisen Euroopan unionin jäsenvaltion tai jäsenvaltioiden turvallisuustutkintaa suorittavien tiedonsaanti turvallisuustutkinnan kannalta merkityksellisistä tiedoista tapahtuisi niissä puitteissa, joissa tietoihin pääsy olisi käytännössä mahdollista; sekä siinä suhteessa, että kansallisen lainsäädännön puitteissa voidaan määrittää, missä määrin on tarpeellista sallia pääsy tietoihin, joita hallinnoivat katsastajat, merivartioston virkamiehet, alusliikennepalvelujen tarjoajat, luotsit ja muu merenkulkuhenkilöstö. 

Ehdotetun 2 momentin mukaan Onnettomuustutkintakeskuksen olisi salassapitosäännösten estämättä pyynnöstä luovutettava merionnettomuuden turvallisuustutkintaa suorittavalle toiselle Euroopan unionin jäsenvaltiolle turvallisuustutkinnan kannalta välttämättömät tiedot. 

Ehdotetussa 3 momentissa säädettäisiin Euroopan unionin toisen jäsenvaltion merionnettomuuden turvallisuustutkintaa suorittavalle tutkijalle luovutettavista tiedoista. Säännöksen mukaan Liikenne- ja viestintäviraston, Rajavartiolaitoksen, alusliikennepalvelulaissa (623/2005) tarkoitetun alusliikennepalvelun tarjoajan ja luotsauslaissa (561/2023) tarkoitetun luotsausyhtiön olisi salassapitosäännösten estämättä pyynnöstä luovutettava merionnettomuuden turvallisuustutkintaa suorittavalle Euroopan unionin jäsenvaltion tutkijalle meriturvallisuustutkinnan kannalta välittömästi merionnettomuuden tapahtumasyihin liittyvät välttämättömät tiedot. 

Ehdotettu 3 momentin säännös rajaa luovutettavat tiedot nimenomaisesti välittömästi merionnettomuuden tapahtumasyihin liittyviin meriturvallisuustutkinnan kannalta välttämättömiin tietoihin, jolloin esimerkiksi säännöksessä mainittujen toimijoiden teknisiä ja taktisia menetelmiä koskevat tiedot eivät lukeudu tiedonsaantioikeuden piiriin. Tietoja luovuttava taho myös tapauskohtaisesti harkitsisi sitä, mitä voidaan pitää välittömästi merionnettomuuden tapahtumasyihin liittyvinä välttämättöminä tietoina. 

44 §.Onnettomuustutkintakeskuksen organisaatiokortti. Voimassa olevan lain termi henkilökortti ehdotetaan muutettavaksi termiksi organisaatiokortti. Ehdotettu termi ilmentäisi käytännössä paremmin sitä, että kortin omaava henkilö toimii osana Onnettomuustutkintakeskuksen organisaatiota. Ehdotettu muutos ei muuttaisi korttiin liittyvää oikeustilaa. 

46 §.Uhkasakko. Pykälän 1 momenttia ehdotetaan muutettavaksi niin, että siinä huomioitaisiin myös uusi 20 a §. Lisäksi erittäin vakavien kyberturvallisuuspoikkeamien tutkinnan kannalta Onnettomuustutkintakeskuksella tulisi olla toimivalta määrätä uhkasakko myös sen osalta, että se saa tutkintaan ohjelmistot sekä pääsyn kyberturvallisuuspoikkeaman kohteena olleeseen järjestelmään. Viittaus uhkasakkolakiin ehdotetaan korvattavaksi säännöksellä siitä, että velvoitteen tehosteeksi voidaan asettaa uhkasakko. 

7.2  Kyberturvallisuuslaki

17 §.Poikkeamailmoitusten käsittely. Pykälään ehdotetaan lisättäväksi uusi 7 momentti, jonka mukaan valvovan viranomaisen velvollisuudesta ilmoittaa salassapitosäännösten estämättä erittäin vakavista kyberturvallisuuspoikkeamista Onnettomuustutkintakeskukselle säädetään turvallisuustutkintalain (525/2011) 16 a §:ssä. Kyseessä olisi informatiivinen viittaus turvallisuustutkintalakiin. 

10.1  Henkilötietojen suoja ja kansallinen liikkumavara

Ehdotetun sääntelyn voidaan 1. lakiehdotuksen osalta katsoa olevan merkityksellistä perustuslain 10 §:ssä säädetyn henkilötietojen suojan kannalta. Turvallisuustutkintalakiin lisättäisiin asiantuntijarekisteriä koskevat säännökset, ja laissa säädettäisiin sellaisista uusista tiedonsaantioikeuksista, joissa oikeus saada tietoja voisi ulottua myös henkilötietoihin. Lisäksi lakiin ehdotetaan säädettäväksi salassa pidettävien tietojen luovutusoikeuksia koskevia säännöksiä. 

Perustuslakivaliokunta on viranomaisten tietojen saamista ja luovuttamista salassapitovelvollisuuden estämättä koskevaa sääntelyä perustuslain 10 §:n 1 momentissa säädetyn yksityiselämän ja henkilötietojen suojan kannalta arvioidessaan kiinnittänyt huomiota muun muassa siihen, mihin ja ketä koskeviin tietoihin tiedonsaantioikeus ulottuu ja miten tiedonsaantioikeus sidotaan tietojen välttämättömyyteen. Viranomaisen tietojensaantioikeus ja tietojenluovuttamismahdollisuus ovat valiokunnan mukaan voineet liittyä jonkin tarkoituksen kannalta ”tarpeellisiin tietoihin”, jos tarkoitetut tietosisällöt on pyritty luettelemaan laissa tyhjentävästi. Jos taas tietosisältöjä ei ole samalla tavoin luetteloitu, sääntelyyn on pitänyt sisällyttää vaatimus ”tietojen välttämättömyydestä” jonkin tarkoituksen kannalta (esim. PeVL 13/2023 vp, s. 4; PeVL 92/2022 vp, s. 6–7). 

Perustuslakivaliokunta ei kuitenkaan ole pitänyt hyvin väljiä ja yksilöimättömiä tietojensaantioikeuksia perustuslain kannalta mahdollisina edes silloin, kun ne on sidottu välttämättömyyskriteeriin (ks. esim. PeVL 96/2022 vp, s. 4; PeVL 4/2021 vp, s. 4). Tiedonluovutussäännösten täsmällisyyden ja sisällön arvioinnissa on annettu erityistä merkitystä luovutettavien tietojen luonteelle arkaluonteisina tietoina (ks. esim. PeVL 96/2022 vp s. 4; PeVL 15/2018 vp). 

Perustuslakivaliokunta on todennut, että on lähtökohtaisesti riittävää, että henkilötietojen suojaa ja käsittelyä koskeva sääntely on yhteensopivaa Euroopan unionin yleisen tietosuoja-asetuksen ((EU) 2016/679) kanssa. Valiokunnan käsityksen mukaan tietosuoja-asetuksen yksityiskohtainen sääntely mahdollistaa myös viranomaistoiminnan sääntelyn osalta nykyistä kansallista sääntelymallia huomattavasti yleisemmän, henkilötietojen suojaa ja käsittelyn perusteita sääntelevän lakitasoisen sääntelyn (PeVL 14/2018 vp, s. 4). Valiokunta on korostanut kuitenkin edelleen, että siltä osin kuin Euroopan unionin lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (ks. esim. PeVL 1/2018 vp; PeVL 25/2005 vp). Perustuslakivaliokunta on painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (ks. esim. PeVL 17/2019 vp, s. 2–3; PeVL 29/2018 vp, s. 3; PeVL 26/2018 vp, s. 4; PeVL 14/2018 vp, s. 7; PeVL 1/2018 vp, s. 3; PeVL 26/2017 vp, s. 42; PeVL 2/2017 vp, s. 2; PeVL 44/2016 vp, s. 4). 

Tietosuoja-asetuksen 6 artiklan 2 kohdan mukaan jäsenvaltiot voivat pitää voimassa tai ottaa käyttöön yksityiskohtaisempia säännöksiä asetuksessa vahvistettujen sääntöjen soveltamisen mukauttamiseksi sellaisessa käsittelyssä, joka tehdään 1 kohdan c ja e alakohdan noudattamiseksi määrittämällä täsmällisemmin tietojenkäsittely- ja muita toimenpiteitä koskevat erityiset vaatimukset, joilla varmistetaan laillinen ja asianmukainen tietojenkäsittely. Tietosuoja-asetuksen 6 artiklan 3 kohdan mukaan käsittelyn tarkoitus määritellään kyseisessä käsittelyn oikeusperusteessa. Käsittelyn oikeusperuste voi sisältää erityisiä säännöksiä, joilla mukautetaan asetuksen sääntöjen soveltamista, muun muassa: yleisiä edellytyksiä, jotka koskevat rekisterinpitäjän suorittaman tietojenkäsittelyn lainmukaisuutta; käsiteltävien tietojen tyyppiä; asianomaisia rekisteröityjä yhteisöjä joille ja tarkoituksia joihin henkilötietoja voidaan luovuttaa; käyttötarkoitussidonnaisuutta; säilytysaikoja; sekä käsittelytoimia ja -menettelyjä, mukaan lukien laillisen ja asianmukaisen tietojenkäsittelyn varmistamiseen tarkoitetut toimenpiteet (ns. suojatoimet). Jäsenvaltion lainsäädännön on täytettävä yleisen edun mukainen tavoite ja oltava oikeasuhteinen sillä tavoiteltuun oikeutettuun päämäärään nähden. 

Ehdotetun 8 a §:n turvallisuustutkinnan asiantuntijarekisterin osalta voidaan todeta, että käsiteltävät henkilötiedot ovat tarpeellisia turvallisuustutkinnan käynnistämisvalmiuden ylläpitämisen ja tutkintaa tekevien osaamisen varmistamisen kannalta, jolloin sääntelyllä voidaan katsoa olevan hyväksyttävä ja oikeasuhtainen tarkoitus perustuslain 10 §:ään liittyvänä perusoikeusrajoituksena. Kerättävien tietojen listaus olisi täsmällinen ja tarkkarajainen ja rekisteriin tallennettavat tiedot eivät sisältäisi arkaluonteisia henkilötietoja. Ehdotettu rekisterisääntely voidaan arvioida olevan mahdollista säätää Euroopan unionin yleisen tietosuoja-asetuksen kansallisen liikkumavaran puitteissa. Yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan mukaan henkilötietojen käsittelyä voidaan pitää lainmukaisena, jos käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi. Ehdotetun 8 a §:n osalta rekisterin pitäminen ja sinne tallennettavien henkilötietojen käsittely olisi nimenomaisesti tarpeen Onnettomuustutkintakeskuksen lakisääteisen velvoitteen noudattamisen takia. Turvallisuustutkintalaki edellyttää Onnettomuustutkintakeskuksella olevan valmiudet tutkia laissa tarkoitettuja tapahtumia, jolloin tällaisen lakisääteisen velvoitteen täyttämiseksi Onnettomuustutkintakeskuksella tulisi olla käytettävissään ehdotetussa 8 a §:ssä tarkoitetut henkilötiedot turvallisuustutkinnan käynnistämisvalmiuden ja tutkintaa tekevien osaamisen varmistamiseksi. Ehdotetussa 8 a §:ssä ehdotetaan myös rekisterinpitäjän määrittämistä ja tietojen säilytysaikaa koskevaa sääntelyä. Tietosuoja-asetuksen 4 artiklan 7 kohta mahdollistaa rekisterinpitäjän määrittämisen kansallisesti. Asiantuntijarekisterin rekisterinpitäjäksi ehdotetaan mainitun säännöksen liikkumavaran puitteissa Onnettomuustutkintakeskusta, jonka lakisääteisten tehtävien suorittamisen tueksi rekisteri on tarkoitus perustaa. 

Lisäksi 8 a §:ssä ehdotetaan tietosuoja-asetuksen mahdollistaman liikkumavaran puitteissa säilytysaikaa koskevaa sääntelyä, jonka mukaan asiantuntijaa koskevat tiedot tulee poistaa rekisteristä viimeistään seuraavan kalenterivuoden loppuun mennessä, kun yhteistyö asiantuntijan kanssa on päättynyt. Tietosuoja-asetuksen 5 artiklan 1 kohdan e alakohdan mukaan henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Tietosuoja-asetuksen johdanto-osan 39 kohdan mukaan henkilötietojen olisi oltava riittäviä ja olennaisia ja rajoituttava siihen, mikä on välttämätöntä niiden käsittelyn tarkoitusten kannalta. Tämä edellyttää erityisesti sitä, että henkilötietojen säilytysaika on mahdollisimman lyhyt. Ehdotetun säilytysajan on arvioitu vastaavan Onnettomuustutkintakeskuksen toiminnallisia tarpeita. 

Ehdotetun 20 a §:n 1 momentin osalta tiedonsaantioikeus olisi sidottu turvallisuustutkinnan kannalta välttämättömiin tietoihin silloin, kun kyse olisi kyberturvallisuuslain 26 §:ssä tarkoitetulta valvovalta viranomaiselta saatavista kyberturvallisuuslain 11–13 §:ssä ja 28 §:n 1 ja 2 momentissa tarkoitetuista tiedoista, julkisen hallinnon tiedonhallinnasta annetun lain 18 h §:ssä tarkoitetulta valvovalta viranomaiselta sille mainitun lain 18 d §:n nojalla tehtyihin ilmoituksiin sisältyvistä tiedoista ja 18 i §:n 1 ja 2 momentissa tarkoitetuista tiedoista, sekä Finanssivalvonnalta sille toimitetuista finanssialan digitaalisesta häiriönsietokyvystä annetun Euroopan unionin asetuksen ((EU) 2022/2554) 19 artiklassa tarkoitetuista ilmoituksista ja raporteista.  

Tiedonsaantioikeus olisi 20 a §:n 2 momentissa sidottu välttämättömyysvaatimukseen myös silloin, kun kyse olisi tiedon saannista sellaisista muista valvovalla viranomaisella olevista tiedoista, jotka olisivat välttämättömiä erittäin vakavan kyberturvallisuuspoikkeaman tutkinnassa, tai kun kyse olisi 1 momentissa tarkoitetulta toimijalta tai sen lukuun toimivalta taholta, joka toteuttaa toimijalle kyberturvallisuuteen liittyvää toimeksiantoa, saatavista tiedoista; sekä tiedoista poliisin poliisi- ja esitutkinta-asiakirjoista. Tiedonsaantioikeus 1 momentissa tarkoitetulta toimijalta tai sen lukuun toimivalta taholta olisi erikseen sidottu siihen, ettei tieto olisi saatavissa 1 momentissa tarkoitetulta valvovalta viranomaiselta. Tämä korostaa mainitun tiedonsaantioikeuden välttämättömyyttä. 

Perustuslakivaliokunta on kyberturvallisuuslakiesitystä koskien todennut (PeVL 62/2024 vp, s. 4–5), ettei kyberturvallisuuslain 28 §:n tiedonsaantioikeuden kannalta haitallisen tietokoneohjelman tai käskyn sisältämä viesti nauti perustuslain 10 §:n 2 momentin mukaista suojaa, eikä sitä koskevaa sääntelyä tarvitse arvioida perustuslain 10 §:n 4 momentin mukaisten erityisten tai perusoikeuksien yleisten rajoitusedellytysten valossa. Sijaintitiedon käsitteleminen sen sijaan kuuluu perustuslain 10 §:ssä turvattuun yksityiselämän suojan piiriin. Viestinnän välitystiedot puolestaan kuuluvat perustuslain 10 §:n 2 momentin luottamuksellisen viestin salaisuuden suojan piiriin. Perustuslakivaliokunnan mukaan kyberturvallisuuslain välitystietoihin kohdistuva tiedonsaantioikeus on varsin rajattu. Viranomaisella on oikeus saada tieto, jos se on välttämätöntä kyberturvallisuutta koskevan riskienhallintavelvoitteen noudattamisen tai merkittävistä poikkeamista ilmoittamisen ja raportoinnin valvomista varten.  

Ehdotetun 20 a §:n sääntelyn tarkoitusta erittäin vakavien kyberturvallisuuspoikkeamien tutkimiseksi voidaan pitää sillä tavalla hyväksyttävänä ja oikeasuhtaisena perusteena sekä sääntelyn sisältöä säännöksessä viitatun lainsäädännön tiedonsaantioikeuksiin sidottuna täsmällisenä ja tarkkarajaisena, että se täyttää perusoikeuksien kyseiset rajoitusedellytykset. Ehdotettu tiedonsaantioikeus ei toisin sanoen olisi sillä tavoin väljä tai yksilöimätön, että se olisi ristiriidassa perustuslakivaliokunnan perustuslain 10 §:ää koskevan tulkintakäytännön kanssa. Ehdotettu sääntely on myös kaikilta osin sidottu välttämättömyyskriteeriin, jolloin se tältäkin osin täyttää perustuslakivaliokunnan lausuntokäytännössään muotoilemat edellytykset. Henkilötietojen käsittelyn ollessa osa Onnettomuustutkintakeskuksen suorittamaa lakisääteistä turvallisuustutkintaa, on ehdotetun sääntelyn henkilötietojen käsittelyn oikeusperusteena tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta.  

Tietojen luovuttamista koskevaa sääntelyä ehdotetaan 39 ja 41 §:ssä. Ehdotetun 39 §:n osalta voidaan todeta, että merionnettomuustutkintadirektiivin 9 artiklan muutokset edellyttävät tiedonluovutusta koskevan sääntelyn täsmentämistä. Direktiivin muutos ei tältä osin sisällä kansallista liikkumavaraa. Tämä sääntely ehdotetaan lain yhtenäisen soveltamisen varmistamiseksi ulotettavaksi myös muuhun kuin merionnettomuuksien tutkintaan liittyvään tiedonluovutukseen onnettomuuksien tutkinnassa. Huomattavaa on, ettei sääntelyä ehdoteta muutettavaksi sen osalta mille taholle tietoja voitaisiin luovuttaa. Tietoja voitaisiin luovuttaa edelleen muille turvallisuustutkintaa lain mukaan suorittaville, jos se olisi välttämätöntä turvallisuustutkinnan suorittamiseksi, sekä viranomaiselle, jos se olisi välttämätöntä tärkeän yleisen edun turvaamiseksi. Ehdotettua sääntelyä voidaan paitsi sen osalta, että sillä pantaisiin kansallisesti täytäntöön merionnettomuustutkintadirektiivistä johtuvat muutostarpeet, myös sen osalta, että ehdotettu sääntely koskisi myös yleisesti muuta onnettomuuksien tutkintaan liittyvää tiedonluovutusta, pitää perusteltuna sääntelyn tarkentaessa tiedonluovutuksen edellytyksiä ja samalla perustuessa perustuslakivaliokunnan edellyttämällä tavalla välttämättömyyskriteeriin. Ehdotetun 39 §:n sääntelyn voidaan katsoa olevan tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan käsittelyperusteen mukainen. 

Ehdotetun 41 §:n osalta voidaan todeta, että merionnettomuustutkintadirektiivin 7 artiklan 1 a kohdan tehokas kansallinen täytäntöönpano edellyttää ehdotetuista tiedonluovutusoikeuksista säätämistä. Ehdotetun 41 §:n 2 momentin osalta kansallista liikkumavaraa sisältyy siihen, että tiedonluovutus perustuu käytännön mahdollisuuksiin luovuttaa tietoa. Voidaan kuitenkin painottaa sitä, että direktiivi edellyttää, että jäsenvaltioiden, joita asia merkittävässä määrin koskee, on turvallisuustutkinnan aikana avustettava meriturvallisuustutkintaa suorittavaa jäsenvaltiota tai suorittavia jäsenvaltioita sallimalla pääsy turvallisuustutkinnan kannalta merkityksellisiin tietoihin. Direktiivistä johtuva pääsääntö vaikuttaa siis edellyttävän käytännön toimintatapojen kehittämistä siten, että tietojen luovuttaminen on käytännössä mahdollista. Merionnettomuustutkintadirektiivi sisältää kansallista liikkumavaraa sen osalta, että 41 §:n 3 momentissa tarkoitettujen tahojen lisäksi kansallisesti on mahdollisuus säätää myös muita tahoja tiedonluovutuksen piiriin. Esityksessä ei kuitenkaan ehdoteta tällaisen liikkumavaran käyttöä, koska voidaan katsoa momentissa ehdotettujen tahojen hallinnoimilla tiedoilla saavutettavan direktiivillä tavoiteltu tiedonsaanti.  

Tiedonluovutusoikeus olisi 41 §:ssä sidottu välttämättömyysvaatimukseen sekä sen osalta, että Onnettomuustutkintakeskus voisi luovuttaa turvallisuustutkintaa koskevia tietoja toiselle Euroopan unionin jäsenvaltiolle (ehdotettu 2 momentti), myös sen osalta, että 41 §:n ehdotetussa 3 momentissa tarkoitettu taho voisi luovuttaa turvallisuustutkinnassa merionnettomuuden tapahtumasyihin liittyviä tietoja. 

Ehdotetun 41 §:n 2 momentin osalta tiedonsaantioikeuden sääntely on tietyllä tapaa välillinen ja sen käytännön sisältö on riippuvainen siitä, mitä toimivaltuuksia Onnettomuustutkintakeskuksella on turvallisuustutkinnan suorittamiseksi. Ehdotettu sääntely ei tätä kautta ole sisällöllisesti sillä tavoin väljä tai yksilöimätön, että se olisi ristiriidassa perustuslakivaliokunnan tulkintakäytännössä tietojenluovutukselle asetettujen edellytysten kanssa. Ehdotetun 41 §:n 3 momentin osalta tietojenluovutuksen välttämättömyys on sidottu tietoihin, jotka liittyvät välittömästi merionnettomuuden tapahtumasyihin. Tällaista rajausta voidaan pitää asiayhteys huomioon ottaen riittävän täsmällisenä ja tarkkarajaisena. Tiedonluovutusoikeutta ei toisin sanoen voi pitää sillä tavoin väljänä ja yksilöimättömänä, että se muodostuisi ongelmalliseksi perustuslakivaliokunnan perustuslain 10 §:ää koskevan tulkintakäytännön suhteen. Ehdotetun 41 §:n sääntelyn voidaan katsoa olevan tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan käsittelyperusteen mukainen. 

Edellä selostettu ehdotettu sääntely on toteutettu tietosuoja-asetuksen 6 artiklan 2 ja 3 kohdan mukaisesti huomioiden ne seikat, joista tietosuoja-asetuksen mahdollistaman liikkumavaran puitteissa mukaan voidaan kansallisesti säätää. Esityksen tavoitteena on panna kansallisesti täytäntöön Euroopan unionin merionnettomuustutkintadirektiiviin tehdyt muutokset, mutta muutoinkin turvata turvallisuustutkinnan suorittamisen edellytyksiä henkilötietojen käsittelyn osalta. Lakiehdotus täyttää siten myös tietosuoja-asetuksen 6 artiklan 3 kohdan mukaiset vaatimukset sääntelyn yleisen edun mukaisuudesta ja oikeasuhtaisuudesta. 

10.2  Viranomaisen toimivaltuudet tutkintaedellytysten turvaamiseksi

Turvallisuustutkintalain voimassa olevaa 19 §:n sääntelyä tutkintaedellytysten turvaamisesta ehdotetaan muutettavaksi siten, että Onnettomuustutkintakeskuksella olisi vastaisuudessa toimivalta onnettomuuspaikan lisäksi päästä paikkaan, joka liittyy erittäin vakavaan kyberturvallisuuspoikkeamaan ja tutkia siihen liittyen esineitä, laitteita, järjestelmiä, ohjelmistoja ja rakenteita. Erittäin vakavaan kyberturvallisuuspoikkeamaan liittyvä paikka voitaisiin niin ikään eristää, jos se olisi turvallisuustutkinnan kannalta välttämätöntä. Lisäksi voitaisiin kieltää ilman Onnettomuustutkintakeskuksen tai tutkintaryhmän johtajan lupaa hävittää, viedä pois, tai liikutella esineitä, laitteita ja muuta aineistoa, joilla saattaa olla merkitystä erittäin vakavan kyberturvallisuuspoikkeaman tutkinnassa. Määräykset ja kiellot olisi peruutettava heti, kun määräys tai kielto ei ole enää tutkinnan vuoksi välttämätön. 

Perustuslakivaliokunta on turvallisuustutkintalakia säädettäessä todennut (PeVL 62/2010 vp, s. 7), että onnettomuuspaikan eristämistä koskevalla säännöksellä rajoitetaan vähäisessä määrin perustuslain 9 §:n 1 momentissa suojattua liikkumisvapautta, rajoituksen ollessa sidottu välttämättömyysvaatimukseen. Oikeasuhtaisuuden kannalta perustuslakivaliokunta piti lisäksi merkityksellisenä, että määräys on peruutettava heti, kun se ei ole enää tutkinnan kannalta välttämätön. Voimassa olevan 19 §:n sääntely ei perustuslakivaliokunnan mukaan muodostu perustuslain kannalta ongelmalliseksi. 

Hallituksen käsityksen mukaan 19 §:n toimivaltuuksien ulottaminen erittäin vakavien kyberturvallisuuspoikkeamien turvallisuustutkintaan ei vaikuta perustuslakivaliokunnan siitä aiemmin lausumaan ja ehdotettu sääntely ei näin ollen olisi ongelmallinen perustuslain kannalta. 

10.3  Omaisuudensuoja

Turvallisuustutkintalain voimassa olevan 22 §:n osalta tutkintaa tekevän oikeutta ottaa haltuun ja tarkastaa esineitä ja asiakirjoja ehdotetaan laajennettavaksi koskemaan myös järjestelmiä ja ohjelmistoja. Perustuslakivaliokunta on turvallisuustutkintalakia säädettäessä arvioinut 22 §:ää perustuslain 15 §:n kannalta (PeVL 62/2010 vp, s. 6). Perustuslakivaliokunta piti sääntelyn oikeasuhtaisuuden kannalta asianmukaisena, että oikeus on säännöksessä rajattu tutkinnan kannalta välttämättömiin tilanteisiin. Kun tutkinnasta aiheutuneista vahingoista lain 45 §:n 3 momentin nojalla lisäksi on oikeus saada valtion varoista täysi korvaus, perustuslakivaliokunnan mukaan sääntely ei muodostu perustuslain kannalta ongelmalliseksi. Pykälään ehdotetaan lisättäväksi säännös siitä, että toimenpiteet olisi suoritettava aiheuttaen mahdollisimman vähän haittaa tutkinnan kohteena olevalle toiminnalle, eivätkä ne saisi vaarantaa ihmisten hengelle ja terveydelle elintärkeiden toimintojen tai yhteiskunnan kriittisten toimintojen jatkuvuutta. Lisättävä säännös korostaisi toimenpiteiden välttämättömyys- ja oikeasuhtaisuusvaatimuksia, samalla kun se asettaisi myös tietyn rajan sen osalta, mitä vaikutuksia tutkintatoimenpiteillä ei saisi olla. 

Hallituksen käsityksen mukaan toimivaltuuden laajentaminen koskemaan järjestelmiä ja ohjelmistoja ei sillä tavalla laajenna puuttumista perustuslain 15 §:n takaamaan omaisuudensuojaan, että sitä olisi pidettävä perustuslain kannalta ongelmallisena. 

Hallituksen käsityksen mukaan ehdotetut lait voidaan edellä mainituilla perusteilla säätää tavallisessa lainsäätämisjärjestyksessä.