Угода між Україною та Фінляндською Республікою про взаємну охорону інформації з обмеженим доступом

Україна та Фінляндська Республіка (далі - "Сторони"),

з метою захисту інформації з обмеженим доступом, що стосується, зокрема, закордонних справ, оборони, безпеки, правоохоронних, наукових, промислових і технологічних питань, обмін якою здійснюється між Сторонами, або державними чи приватними юридичними особами, або особами, які обробляють інформацію з обмеженим доступом, що перебувають під юрисдикцією Сторін,

домовилися про таке:

Мета цієї Угоди полягає у забезпеченні охорони інформації з обмеженим доступом, обмін якою здійснюється або яка створюється у процесі співробітництва між Сторонами.

Для цілей цієї Угоди терміни вживаються у такому значенні:

a) "інформація з обмеженим доступом " - будь-яка інформація, документ чи матеріал будь-якої форми, які мають ступінь обмеження доступу та які позначаються відповідно до національного законодавства, а також будь-яка інформація, документ чи матеріал, які були створені на підставі такої інформації з обмеженим доступом та відповідно позначені;

b) "контракт з обмеженим доступом " - контракт або субконтракт, що містить або стосується інформації з обмеженим доступом;

c) "Сторона-джерело" - Сторона, що надає інформацію з обмеженим доступом Стороні-одержувачу;

d) "Сторона-одержувач" - Сторона, а також будь-яка державна чи приватна юридична особа або фізична особа, яка перебуває під юрисдикцією Сторони, що отримує інформацією з обмеженим доступом від Сторони-джерела;

e) "компетентний орган безпеки " - національний орган безпеки або спеціально призначений державний орган, уповноважений згідно з національним законодавством Сторін, який є відповідальним за виконання цієї Угоди;

f) "порушення правил безпеки" - дія або бездіяльність, що суперечить національному законодавству, яка може призвести до втрати або розголошення інформації з обмеженим доступом;

g) "допуск" - рішення компетентного органу безпеки, яке підтверджує, що відповідно до національного законодавства фізична особа отримала право на доступ до інформації з обмеженим доступом та її обробку;

h) "дозвіл на провадження діяльності, пов'язаної з інформацією з обмеженим доступом" - рішення компетентного органу безпеки, яке підтверджує, що відповідно до національного законодавства установа отримала право на доступ та обробку інформації з обмеженим доступом;

i) "підрядник" - фізична або юридична особа, яка має право виконувати контракти.

1. Компетентні органи безпеки, визначені Сторонами відповідальними за загальне виконання цієї Угоди, є:

2. Сторони інформують одна одну про будь-який компетентний орган безпеки або інший компетентний орган, що відповідає за виконання положень цієї Угоди.

3. Сторони інформують одна одну про будь-які подальші зміни щодо компетентних органів безпеки.

1. Будь-яка інформація з обмеженим доступом, надана згідно з цією Угодою, має бути позначена відповідним грифом обмеження доступу згідно національним законодавством.

2. Грифи обмеження доступу співвідносяться наступним чином:

3. Сторона-одержувач повинна гарантувати, що грифи обмеження доступу не будуть змінені або скасовані, за винятком випадків, коли Сторона-джерело надала на це письмовий дозвіл.

1. Сторони вживають всіх належних заходів відповідно до їх національного законодавства з метою охорони інформації з обмеженим доступом, що стосується цієї Угоди. Вони повинні забезпечити такій інформації принаймні такий же рівень охорони, як і власній інформації відповідного ступеня обмеження доступу.

2. Сторони не надають доступ до інформації з обмеженим доступом третій стороні без попередньої письмової згоди Сторони-джерела.

3. Доступ до інформації з обмеженим доступом надається лише особам за принципом "необхідного знання" і яким відповідно до національного законодавства надано допуск, у разі такої потреби, та яких уповноважено мати доступ до такої інформації, а також яких поінформовано щодо зобов’язань стосовно охорони інформації з обмеженим доступом. Для осіб, належним чином уповноважених за посадою відповідно до національного законодавства, допуск не вимагається.

5. Інформація з обмеженим доступом використовується виключно з тією метою, з якою вона була надана.

1. За запитом компетентний орган безпеки Сторони-одержувача повинен повідомити компетентний орган безпеки Сторони-джерела про те, чи запропонований підрядник, який бере участь у переговорах з укладення або виконання контракту з обмеженим доступом, отримав дозвіл на провадження діяльності, пов’язаної з інформацією з обмеженим доступом, або допуск, які відповідають ступеню обмеження доступу, що вимагається. Якщо підрядник не має такого дозвільного документа, компетентний орган безпеки Сторони-джерела може здійснити запит на проведення перевірки підрядника компетентним органом безпеки Сторони-одержувача.

2. У разі проведення відкритого тендеру компетентний орган безпеки Сторони-одержувача може надати компетентному органу безпеки Сторони-джерела відповідний сертифікат про наявність дозволу на провадження діяльності, пов’язаної з інформацією з обмеженим доступом, або допуску без офіційного запиту.

4. Для забезпечення належного безпекового нагляду та контролю контракт з обмеженим доступом повинен містити інструкцію з безпеки та перелік відповідних положень з безпеки, визначених у Додатку 1 до цієї Угоди. Копія такого переліку надсилається компетентному органу безпеки Сторони, під юрисдикцією якої буде виконуватися договір.

5. Представники компетентних органів безпеки Сторін можуть здійснювати візити один до одного з метою проведення аналізу ефективності заходів, що вживаються підрядником для охорони інформації з обмеженим доступом, пов’язаної з виконанням контрактів з обмеженим доступом.

1. Обмін інформацією з обмеженим доступом здійснюється між Стороною-джерелом і Стороною-одержувачем міжурядовими, дипломатичними та офіційними каналами або іншим чином, узгодженим компетентними органами безпеки.

2. Обмін інформацією з обмеженим доступом в електронному вигляді здійснюється між Стороною-джерелом і Стороною-одержувачем лише за допомогою захищених засобів зв’язку, узгоджених між компетентними органами.

1. Всі переклади та відтворення інформації з обмеженим доступом позначаються відповідним грифом обмеження доступу та мають бути захищені як оригінальна інформація з обмеженим доступом. Переклад та відтворення обмежуються мінімально необхідною для службових цілей кількістю.

2. Всі переклади повинні містити відповідну позначку мовою перекладу, яка вказує, що вони містять інформацію з обмеженим доступом Сторони-джерела.

3. Інформація з обмеженим доступом із ступенем "Особливої важливості" або див. зображення перекладається або відтворюється лише за письмовим погодженням Сторони-джерела.

4. Інформація з обмеженим доступом із ступенем "Особливої важливості" або див. зображення повертається Стороні-джерелу, якщо інше не узгоджено Сторонами.

5. Інформація з обмеженим доступом із ступенем "Цілком таємно" або SALAINEN/HEMLIG чи нижче знищується тоді, коли вона більше не потрібна Стороні-одержувачу, відповідно до її національного законодавства.

6. Якщо кризова ситуація унеможливлює охорону інформації з обмеженим доступом, наданої в рамках цієї Угоди, така інформація з обмеженим доступом повинна бути негайно знищена. Сторона-одержувач повинна якнайшвидше повідомити компетентний орган безпеки Сторони-джерела про знищення такої інформації з обмеженим доступом.

1. Візит, що передбачає доступ до інформації з обмеженим доступом із ступенем "Таємно" або LUOTTAMUKSELLINEN/KONFIDENTIELL чи вище, потребує попереднього письмового погодження компетентного органу безпеки приймаючої Сторони. Відвідувачам надається дозвіл лише якщо вони:

а) уповноважені компетентним органом безпеки направляючої Сторони для проведення відповідного візиту або візитів, та

б) мають відповідний допуск.

2. Відповідний компетентний орган безпеки Сторони, що запитує, повинен повідомити компетентний орган безпеки приймаючої Сторони про запланований візит та переконатись, що остання отримає запит про візит щонайменше за 14 днів до його початку. У невідкладних випадках компетентні органи безпеки можуть домовитися про більш стислий термін. Запит на візит повинен містити інформацію, зазначену в Додатку 2 до цієї Угоди.

3. Термін дії дозволів на повторювані візити не повинен перевищувати дванадцяти (12) місяців.

1. Для реалізації цієї Угоди компетентні органи безпеки повідомляють один одного про своє відповідне національне законодавство щодо охорони інформації з обмеженим доступом, а також про будь-які подальші зміни у ньому.

2. Для забезпечення тісної співпраці з реалізації цієї Угоди компетентні органи безпеки проводять консультації один з одним. За запитом вони надають один одному інформацію про свої стандарти національної безпеки, процедури та практику у сфері охорони інформації з обмеженим доступом. Для цього компетентні органи безпеки можуть відвідувати один одного.

3. За запитом компетентні органи безпеки відповідно до національного законодавства надають один одному допомогу у проведенні процедур перевірки у зв’язку з наданням дозволу на провадження діяльності, пов’язаної з інформацією з обмеженим доступом, та допуску.

4. Компетентні органи безпеки вчасно інформують один одного про зміни у відповідних дозволах на провадження діяльності, пов’язаної з інформацією з обмеженим доступом, та допусках.

1. Кожна Сторона негайно повідомляє іншу Сторону про будь-які виявлені порушення правил безпеки інформації з обмеженим доступом або підозри щодо їх скоєння.

2. Сторона згідно з юрисдикцією невідкладно проводить розслідування інциденту. Інша Сторона, у разі необхідності, надає сприяння у розслідуванні.

3. Сторона згідно з юрисдикцією вживає всіх можливих заходів відповідно до національного законодавства для обмеження наслідків порушення правил безпеки та запобігання подальшим порушенням. Інша Сторона інформується про результати розслідування та про вжиті заходи.

Кожна Сторона самостійно несе витрати, що виникають у зв’язку з виконанням зобов’язань за цією Угодою.

Будь-який спір між Сторонами щодо тлумачення або застосування цієї Угоди вирішується шляхом консультацій між Сторонами.

1. Сторони повідомляють одна одну про завершення внутрішньодержавних процедур, необхідних для набрання чинності цією Угодою. Ця Угода набирає чинності в перший день другого місяця після отримання останнього письмового повідомлення.

2. Ця Угода укладається на невизначений термін. До Угоди можуть бути внесені зміни шляхом взаємної письмової згоди Сторін. Будь-яка зі Сторін може запропонувати внесення змін до цієї Угоди в будь-який час. Якщо одна Сторона пропонує це зробити, Сторони починають консультації щодо внесення змін до Угоди.

3. Кожна Сторона може припинити дію цієї Угоди шляхом письмового повідомлення, переданого іншій Стороні дипломатичними каналами за шість (6) місяців. Якщо Угода припиняється, будь-яка раніше надана інформація з обмеженим доступом та будь-яка інформація, що стосується Угоди, обробляється відповідно до положень цієї Угоди протягом часу, необхідного для охорони інформації з обмеженим доступом.

4. Після набрання чинності цією Угодою Сторона, на території якої укладається Угода, негайно вживає заходів для того, щоб ця Угода була зареєстрована Секретаріатом Організації Об’єднаних Націй відповідно до статті 102 Статуту ООН. Інша Сторона повідомляється про реєстрацію та реєстраційний номер Угоди у Збірнику договорів ООН одразу після його присвоєння Секретаріатом ООН.

На посвідчення чого належним чином уповноважені представники Сторін підписали цю Угоду в м. Київ 12 вересня 2019 року, у двох примірниках, кожний українською, фінською та англійською мовами, при цьому усі тексти є автентичними. У випадку виникнення розбіжностей стосовно тлумачення, текст англійською мовою має переважну силу.

Контракти з обмеженим доступом, зазначені у статті 6цієї Угоди, повинні містити положення з безпеки, принаймні щодо:

1) найвищого ступеня обмеження доступу інформації, що застосовується;

2) контактних даних відповідних органів безпеки, відповідальних за виконання контракту;

3) законодавства, що стосується охорони інформації з обмеженим доступом:

4) процедур та вимог щодо доступу до інформації з обмеженим доступом;

5) обробки та зберігання інформації з обмеженим доступом;

6) транспортування та передачі засобами електронного зв'язку інформації з обмеженим доступом;

7) позначення грифом обмеження доступу інформації з обмеженим доступом;

8) охорони інформації з обмеженим доступом після завершення контракту з обмеженим доступом;

9) знищення або повернення інформації з обмеженим доступом;

10) оприлюднення інформації про контракт.

Запити на візит, зазначені у статті 9цієї Угоди, повинні містити таку інформацію:

1) прізвище, ім'я, місце та дату народження і громадянство, посаду відвідувача, а також детальну інформацію щодо роботодавця, якого  представляє відвідувач, опис проекту, в якому бере участь відвідувач, номер  паспорта або ідентифікаційний номер іншого документа відвідувача;

2) підтвердження наявності у відвідувача допуску відповідно до мети візиту;

3) мета візиту або візитів, включаючи найвищий ступінь обмеження доступу до інформації;

4) очікувана дата та тривалість запитуваного візиту або візитів. У випадку повторюваних візитів, по можливості, зазначається загальний період, який охоплює візити;

5) назва, адреса, інша контактна інформація та контактна особа підприємства або об’єкта, який планується відвідати, та будь-яка інша інформація, що буде корисною при визначенні обґрунтованості візиту або візитів;

6) дата, підпис та штамп/печатка компетентного органу безпеки, що направляє відвідувача.