Sisällysluettelo

Tietosuojalaki

Ks. muutosehdotukset HE 31/2023 ja HE 62/2023.

Eduskunnan päätöksen mukaisesti säädetään:

Yleiset säännökset

Lain tarkoitus

Tällä lailla täsmennetään ja täydennetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja sen kansallista soveltamista.

Soveltamisala

Tätä lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tätä lakia ja tietosuoja-asetusta sovelletaan lisäksi, lukuun ottamatta asetuksen 56 artiklaa ja VII lukua, sellaiseen henkilötietojen käsittelyyn, jota suoritetaan mainitun 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä.

Tätä lakia ei sovelleta eduskunnan valtiopäivätoimintaan.

Tätä lakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa (1054/2018).

Sovellettava laki

Henkilötietojen käsittelyyn, joka tapahtuu Euroopan unionin alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikkaan liittyvän toiminnan yhteydessä, sovelletaan Suomen lakia, jos rekisterinpitäjän toimipaikka sijaitsee Suomessa.

Jos henkilötietojen käsittelyyn sovelletaan vieraan valtion lakia ja sen nojalla poiketaan tietosuoja-asetuksen 89 artiklan 2 kohdan mukaisesti rekisteröidyn suojaksi säädetyistä oikeuksista, jäljempänä 31 §:ssä rekisteröidyn suojaksi säädettyjä suojatoimia on kuitenkin noudatettava lainvalinnasta riippumatta.

Käsittelyn oikeusperuste eräissä tapauksissa

Käsittelyn lainmukaisuus

Henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti, jos:

1) kysymys on henkilön asemaa, tehtäviä sekä niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden;

2) käsittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi;

3) käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten ja se on oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden; tai

4) henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden.

Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja

Kun henkilötietoja käsitellään tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitetun suostumuksen perusteella ja kyseessä on tietosuoja-asetuksen 4 artiklan 25 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias.

Erityisiä henkilötietoryhmiä koskeva käsittely

Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta:

1) vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi;

2) tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä;

3) ammattiliittoon kuulumista koskevaan tiedon käsittelyyn, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla;

4) kun terveydenhuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja käsittelee tässä toiminnassa saamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja;

5) kun sosiaalihuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja tai myöntäessään etuuksia käsittelee tässä toiminnassa saamiaan tai tuottamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn palvelun tai etuuden myöntämisen kannalta välttämättömiä tietoja;

6) terveyttä koskevien ja geneettisten tietojen käsittelyyn antidopingtyössä ja vammaisurheilun yhteydessä siltä osin kuin näiden tietojen käsittely on välttämätöntä antidopingtyön tai vammaisten ja pitkäaikaissairaiden urheilun mahdollistamiseksi;

7) tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävään tietojen käsittelyyn;

8) tutkimus- ja kulttuuriperintöaineistojen käsittelyyn yleishyödyllisessä arkistointitarkoituksessa geneettisiä tietoja lukuun ottamatta.

Käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat:

1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty;

2) toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista;

3) tietosuojavastaavan nimittäminen;

4) rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin;

5) henkilötietojen pseudonymisointi;

6) henkilötietojen salaaminen;

7) toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

8) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi;

9) erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tämän lain noudattaminen siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen;

10) tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen;

11) muut tekniset, menettelylliset ja organisatoriset toimenpiteet.

Rikostuomioihin ja rikkomuksiin liittyvä käsittely

Tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos:

1) käsittely on tarpeen oikeusvaateen selvittämiseksi, laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; tai

2) tietoja käsitellään 6 §:n 1 momentin 1, 2 tai 7 kohdassa säädetyssä tarkoituksessa.

Mitä 6 §:n 2 momentissa säädetään toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, sovelletaan myös käsiteltäessä tämän pykälän 1 momentissa tarkoitettuja henkilötietoja.

Valvontaviranomainen

Tietosuojavaltuutettu

Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu.

Tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton.

Ks. L henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä 1054/2018 45 ja 46 §.

Tietosuojavaltuutetun toimisto

Tietosuojavaltuutetulla on toimisto, jossa on vähintään kaksi apulaistietosuojavaltuutettua sekä tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä ja muuta henkilöstöä.

Tietosuojavaltuutettu nimittää toimiston virkamiehet ja ottaa palvelukseen toimiston muun henkilöstön.

Tietosuojavaltuutettu hyväksyy toimiston työjärjestyksen.

Kelpoisuusvaatimukset ja nimitysperusteet

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun kelpoisuusvaatimuksena on muu oikeustieteen ylempi korkeakoulututkinto kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinto, hyvä perehtyneisyys henkilötietojen suojaa koskeviin asioihin sekä käytännössä osoitettu johtamistaito. Lisäksi edellytetään kykyä hoitaa kansainvälisiä tehtäviä.

Nimittäminen ja toimikausi

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittää valtioneuvosto viideksi vuodeksi kerrallaan.

Tietosuojavaltuutetuksi ja apulaistietosuojavaltuutetuksi nimitetty vapautuu hoitamasta muuta virkaa siksi ajaksi, jona hän toimii tietosuojavaltuutettuna tai apulaistietosuojavaltuutettuna.

Asiantuntijalautakunta

Tietosuojavaltuutetun toimistossa on asiantuntijalautakunta, johon kuuluu puheenjohtaja, varapuheenjohtaja ja kolme muuta jäsentä. Kullakin heistä on henkilökohtainen varajäsen.

Valtioneuvosto asettaa lautakunnan kolmen vuoden toimikaudeksi.

Lautakunnan puheenjohtajan ja varapuheenjohtajan on oltava oikeustieteen muun ylemmän korkeakoulututkinnon kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinnon suorittanut henkilö, jolla on hyvä perehtyneisyys henkilötietojen suojaa koskeviin asioihin ja muu tehtävän hoidon edellyttämä pätevyys. Lautakunnan muulta jäseneltä edellytetään perehtyneisyyttä henkilötietojen suojaa koskeviin asioihin ja tehtävän hoidon edellyttämää muuta pätevyyttä.

Lautakunnan jäseneen sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävästään palkkio. Oikeusministeriö vahvistaa palkkioiden määrät.

Ks. RikosL 39/1889 40 luku.

Selvitys sidonnaisuuksista

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun on annettava valtion virkamieslain (750/1994) 8 a §:ssä tarkoitettu selvitys sidonnaisuuksistaan.

Tietosuojavaltuutetun tehtävät ja toimivaltuudet

Tietosuojavaltuutetun tehtävistä ja toimivaltuuksista säädetään tietosuoja-asetuksen 55–59 artiklassa. Tietosuojavaltuutetulla on myös muita tässä tai muussa laissa säädettyjä tehtäviä ja toimivaltuuksia. Tietosuojavaltuutettu voi panna vireille kieltotoimenpiteitä koskevista edustajakanteista annetussa laissa (1101/2022) tarkoitetun edustajakanteen. (20.12.2022/1112)

Tietosuojavaltuutettu ei valvo valtioneuvoston oikeuskanslerin eikä eduskunnan oikeusasiamiehen toimintaa.

Tietosuojavaltuutettu edustaa Suomea Euroopan tietosuojaneuvostossa.

Tietosuojavaltuutettu akkreditoi tietosuoja-asetuksen 43 artiklassa tarkoitetun sertifiointielimen.

Tietosuojavaltuutettu laatii vuosittain tietosuoja-asetuksen 59 artiklassa tarkoitetun toimintakertomuksen, joka toimitetaan eduskunnalle ja valtioneuvostolle. Toimintakertomus on pidettävä yleisesti saatavilla.

Tietosuojavaltuutetun päätöksenteko

Tietosuojavaltuutettu ratkaisee asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä.

Apulaistietosuojavaltuutetun tehtävät ja toimivaltuudet

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun välisestä tehtävien jaosta määrätään tietosuojavaltuutetun toimiston työjärjestyksessä.

Apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla.

Asiantuntijalautakunnan tehtävät ja asioiden käsittely

Asiantuntijalautakunnan tehtävänä on tietosuojavaltuutetun pyynnöstä antaa lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä.

Lautakunta voi kuulla ulkopuolisia asiantuntijoita.

Lautakunnan sihteerinä toimii tietosuojavaltuutetun toimiston esittelijä.

Tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeus

Sen lisäksi, mitä tietosuoja-asetuksen 58 artiklan 1 kohdassa säädetään valvontaviranomaisen tiedonsaanti- ja tarkastusoikeudesta, tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot.

Pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saa toimittaa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja kyseessä olevassa tapauksessa on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena hallinnollinen seuraamusmaksu tai rikoslaissa (39/1889) säädetty rangaistus.

Ks. 24 §.

(27.11.2020/902) Yhteistyö kolmansien maiden valvontaviranomaisten kanssa

Sen lisäksi, mitä tietosuoja-asetuksen 61 artiklassa säädetään Euroopan unionin jäsenvaltioiden valvontaviranomaisten keskinäisestä avunannosta, tietosuojavaltuutetulla on oikeus ryhtyä tarvittaviin toimenpiteisiin tehokkaan yhteistyön varmistamiseksi yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä tehdyn yleissopimuksen määräysten noudattamista valvovien viranomaisten kanssa. Tietosuojavaltuutetulla on oikeus luovuttaa salassapitosäännösten estämättä kyseisille valvontaviranomaisille henkilötietoja tai muita tietoja valvontatehtävän suorittamiseksi, jos ne ovat välttämättömiä rekisteröidyn oikeuksien turvaamiseksi tai jos rekisteröity on antanut henkilötietojen luovuttamiseen nimenomaisen suostumuksen.

Asiantuntijoiden käyttö

Tietosuojavaltuutettu voi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja.

Tietosuojavaltuutettu voi käyttää toimivaltaansa kuuluvan tarkastuksen suorittamisessa apunaan ulkopuolisia asiantuntijoita. Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tällaisia tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa.

Ks. RikosL 39/1889 40 luku.

Virka-apu

Tietosuojavaltuutetulla on oikeus tehtäviensä suorittamiseksi saada pyynnöstä poliisilta virka-apua.

Ks. virka-avusta PoliisiL 872/2011 9 luku 1 §.

Oikeusturva ja seuraamukset

Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi

Rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä.

Tietosuojavaltuutettu voi keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa.

Uhkasakko

Tietosuojavaltuutettu voi asettaa tietosuoja-asetuksen 58 artiklan 2 kohdan c–g ja j alakohdassa tarkoitetun päätöksen ja tämän lain 18 §:n 1 momenttiin perustuvan tietojen luovuttamista koskevan määräyksen tehosteeksi uhkasakon. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990).

Uhkasakkoa ei saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksen tehosteeksi silloin, kun henkilöä on aihetta epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa.

Komission päätökset

Jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko tietosuoja-asetuksen 45 artiklassa tarkoitettu Euroopan komission päätös tietosuojan tason riittävyydestä tietosuoja-asetuksen mukainen, tietosuojavaltuutettu voi hakemuksella saattaa ennakkoratkaisun pyytämistä koskevan asian Helsingin hallinto-oikeuden ratkaistavaksi.

2 momentti on kumottu L:lla 16.2.2023/239.

Hallinnollinen seuraamusmaksu

Tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. Apulaistietosuojavaltuutetun ollessa estynyt voi hänen sijaisenaan seuraamuskollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Kollegio on päätösvaltainen kolmijäsenisenä.

Kollegion päätös tehdään esittelystä. Päätökseksi tulee se kanta, jota enemmistö on kannattanut. Äänten mennessä tasan päätökseksi tulee se kanta, joka on lievempi sille, johon seuraamus kohdistuu.

Seuraamusmaksu voidaan määrätä myös tietosuoja-asetuksen 10 artiklan rikkomisesta noudattaen, mitä tietosuoja-asetuksen 83 artiklan 5 kohdassa ja tässä laissa säädetään.

Seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille.

Seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, kymmenen vuoden määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.

Seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Seuraamusmaksu vanhenee viiden vuoden kuluttua sen määräämispäivästä.

Muutoksenhaku

Muutoksenhausta hallintotuomioistuimeen säädetään oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019). (27.11.2020/869)

2 momentti on kumottu L:lla 27.11.2020/869.

Tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.

Rangaistussäännökset

Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Rangaistus viestintäsalaisuuden loukkauksesta ja törkeästä viestintäsalaisuuden loukkauksesta säädetään rikoslain 38 luvun 3 ja 4 §:ssä sekä rangaistus tietomurrosta ja törkeästä tietomurrosta 38 luvun 8 ja 8 a §:ssä. Rangaistus tämän lain 35 §:ssä säädetyn vaitiolovelvollisuuden ja 36 §:ssä säädetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.

Rikoslain 38 luvun 10 §:n 3 momentissa säädetään syyttäjän velvollisuudesta kuulla tietosuojavaltuutettua ennen tämän pykälän 1 momentissa mainittuja rikoksia koskevan syytteen nostamista samoin kuin tuomioistuimen velvollisuudesta varata tällaista asiaa käsitellessään tietosuojavaltuutetulle tilaisuus tulla kuulluksi.

Tietojenkäsittelyn erityistilanteet

Henkilötietojen käsittely journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten

Sananvapauden ja tiedonvälityksen vapauden turvaamiseksi henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta tietosuoja-asetuksen 5 artiklan 1 kohdan c–e alakohtaa, 6 ja 7 artiklaa, 9 ja 10 artiklaa, 11 artiklan 2 kohtaa, 12–22 artiklaa, 30 artiklaa, 34 artiklan 1–3 kohtaa, 35 ja 36 artiklaa, 56 artiklaa, 58 artiklan 2 kohdan f alakohtaa, 60–63 artiklaa ja 65–67 artiklaa.

Tietosuoja-asetuksen 27 artiklaa ei sovelleta sellaiseen henkilötietojen käsittelyyn, joka liittyy sananvapauden käyttämisestä joukkoviestinnässä annetussa laissa (460/2003) säädettyyn toimintaan. Tietosuoja-asetuksen 44–50 artiklaa ei sovelleta, jos soveltaminen loukkaisi oikeutta sananvapauteen tai tiedonvälityksen vapauteen.

Sananvapauden ja tiedonvälityksen vapauden turvaamiseksi henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten sovelletaan tietosuoja-asetuksen 5 artiklan 1 kohdan a ja b alakohtaa ja 2 kohtaa, 24–26 artiklaa, 31 artiklaa, 39 ja 40 artiklaa, 42 artiklaa, 57 ja 58 artiklaa, 64 artiklaa ja 70 artiklaa ainoastaan soveltuvin osin.

Julkisuusperiaate

Oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään.

Henkilötunnuksen käsittely

Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:

1) laissa säädetyn tehtävän suorittamiseksi;

2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai

3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

Henkilötunnusta saa käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa.

Sen lisäksi, mitä henkilötunnuksen käsittelystä 1 ja 2 momentissa säädetään, henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä.

Henkilötunnusta ei tule merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

Ks. esim. L luottolaitostoiminnasta 610/2014 15 luku 18 a §.

Henkilötietojen käsittely työsuhteen yhteydessä

Työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta säädetään yksityisyyden suojasta työelämässä annetussa laissa (759/2004).

Tieteellisiä ja historiallisia tutkimustarkoituksia sekä tilastollisia tarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet

Käsiteltäessä henkilötietoja tieteellistä tai historiallista tutkimustarkoitusta varten voidaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista tarvittaessa poiketa edellyttäen, että:

1) käsittely perustuu asianmukaiseen tutkimussuunnitelmaan;

2) tutkimuksella on vastuuhenkilö tai siitä vastaava ryhmä; ja

3) henkilötietoja käytetään ja luovutetaan vain historiallista tai tieteellistä tutkimusta taikka muuta yhteensopivaa tarkoitusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille.

Käsiteltäessä henkilötietoja tilastollisia tarkoituksia varten voidaan tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista tarvittaessa poiketa edellyttäen, että:

1) tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman henkilötietojen käsittelyä;

2) kyseisen tilaston tuottamisella on asiallinen yhteys rekisterinpitäjän toimintaan; ja

3) tietoja ei luovuteta tai aseteta saataville siten, että tietty henkilö on niistä tunnistettavissa, ellei tietoja luovuteta julkista tilastoa varten.

Käsiteltäessä tietosuoja-asetuksen 9 artiklan 1 kohdassa ja 10 artiklassa tarkoitettuja henkilötietoja 1 tai 2 momentissa säädetyssä tarkoituksessa poikkeaminen tietosuoja-asetuksen 15, 16, 18 ja 21 artiklassa säädetyistä rekisteröidyn oikeuksista edellyttää sen lisäksi, mitä 1 ja 2 momentissa säädetään, että laaditaan tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskeva vaikutustenarviointi tai noudatetaan tietosuoja-asetuksen 40 artiklan mukaisia käytännesääntöjä, joissa on otettu asianmukaisesti huomioon edellä tarkoitettu rekisteröidyn oikeuksista poikkeaminen. Vaikutustenarviointi tulee toimittaa kirjallisesti tiedoksi tietosuojavaltuutetulle ennen käsittelyyn ryhtymistä.

Yleisen edun mukaisia arkistointitarkoituksia varten tapahtuvaa henkilötietojen käsittelyä koskevat poikkeukset ja suojatoimet

Käsiteltäessä henkilötietoja yleisen edun mukaisia arkistointitarkoituksia varten 4 §:n 4 kohdan tai tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohdan nojalla voidaan tietosuoja-asetuksen 15, 16 ja 18–21 artiklassa tarkoitetuista rekisteröidyn oikeuksista poiketa tietosuoja-asetuksen 89 artiklan 3 kohdassa säädetyin edellytyksin.

Rajoitukset rekisterinpitäjän velvollisuuteen toimittaa tietoja rekisteröidylle

Tietosuoja-asetuksen 13 ja 14 artiklan mukaisesta velvollisuudesta toimittaa tiedot rekisteröidylle voidaan poiketa, jos se on välttämätöntä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi, rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai julkiseen talouteen liittyvän valvontatehtävän vuoksi.

Tietosuoja-asetuksen 14 artiklan 1–4 kohdasta voidaan poiketa myös, jos tiedon toimittaminen aiheuttaa olennaista vahinkoa tai haittaa rekisteröidylle eikä talletettavia tietoja käytetä rekisteröityä koskevaan päätöksentekoon.

Jos rekisteröidylle ei toimiteta 1 tai 2 momentin perusteella tietoa, rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näihin toimenpiteisiin kuuluu tietosuoja-asetuksen 14 artiklan 1 ja 2 kohdassa tarkoitettujen tietojen pitäminen kaikkien saatavilla, ellei tämä vaaranna tietojen toimittamista koskevan rajoituksen tarkoitusta.

Rajoitukset rekisteröidyn oikeuteen tutustua hänestä kerättyihin tietoihin

Rekisteröidyllä ei ole tietosuoja-asetuksen 15 artiklassa tarkoitettua oikeutta tutustua hänestä kerättyihin tietoihin, jos:

1) tiedon antaminen saattaisi vahingoittaa kansallista turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä;

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka rekisteröidyn tai jonkun muun oikeuksille; tai

3) henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi.

Jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 1 momentin mukaan jäävät tietosuoja-asetuksen 15 artiklassa tarkoitetun oikeuden ulkopuolelle, rekisteröidyllä on oikeus saada tietää muut häntä koskevat tiedot.

Rekisteröidylle on ilmoitettava rajoituksen syyt, ellei tämä vaaranna rajoituksen tarkoitusta.

Jos rekisteröidyllä ei ole oikeutta tutustua hänestä kerättyihin tietoihin, tietosuoja-asetuksen 15 artiklan 1 kohdassa tarkoitetut tiedot on annettava tietosuojavaltuutetulle rekisteröidyn pyynnöstä.

Erinäiset säännökset

Vaitiolovelvollisuus

Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista, taloudellisesta asemasta taikka toisen liikesalaisuudesta, ei saa oikeudettomasti ilmaista sivulliselle näin saamiaan tietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi.

Ilmoittajan henkilöllisyyden suojaaminen

Kun luonnollinen henkilö on tehnyt tietosuojavaltuutetulle ilmoituksen sen valvontaan kuuluvien säännösten epäillystä rikkomisesta, ilmoittajan henkilöllisyys on pidettävä salassa, jos henkilöllisyyden paljastamisesta voidaan olosuhteiden perusteella arvioida aiheutuvan haittaa ilmoittajalle.

Voimaantulo

Tämä laki tulee voimaan 1 päivänä tammikuuta 2019.

Tällä lailla kumotaan henkilötietolaki (523/1999) sekä tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki (389/1994).

Siirtymäsäännökset

Tietosuojalautakunnan myöntämien lupien voimassaolo päättyy tämän lain tullessa voimaan. Tietosuojalautakunnassa ennen tämän lain voimaantuloa vireille tulleet asiat raukeavat lain voimaan tullessa.

Tämän lain voimaan tullessa vireillä olevaan tietosuojavaltuutetulle tehtävää ilmoitusta koskevaan asiaan sovelletaan henkilötietolain 36 ja 37 §:n säännöksiä ilmoitusvelvollisuudesta ja ilmoituksen tekemisestä.

Tämän lain voimaan tullessa vireillä olevassa tarkastusoikeuden toteuttamista ja henkilötietojen korjaamista koskevassa asiassa ei sovelleta sellaisia tietosuoja-asetuksen 12 ja 15–18 artiklan säännöksiä, joissa asetetaan rekisterinpitäjälle laajempia velvollisuuksia kuin tämän lain voimaan tullessa voimassa olleet säännökset edellyttävät, jos mainittujen tietosuoja-asetuksen säännösten soveltaminen olisi rekisterinpitäjän kannalta kohtuutonta.

Haettaessa muutosta ennen tämän lain voimaantuloa tehtyyn tietosuojalautakunnan ja tietosuojavaltuutetun päätökseen sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä. Ylimääräiseen muutoksenhakuun sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä kuitenkin vain, jos se on pantu vireille ennen tämän lain voimaantuloa.

Jos vahinkoa aiheuttanut teko on tehty ennen tämän lain voimaantuloa, velvollisuuteen korvata vahinko sovelletaan tämän lain voimaan tullessa voimassa olleita säännöksiä.

HE 9/2018, HaVM 13/2018, EV 108/2018, Euroopan parlamentin ja neuvoston asetus (EU) N:o 679/2016 (32016R0679); EUVL L 119, 4.5.2016, s. 1

Muutossäädösten voimaantulo ja soveltaminen:

27.11.2020/869:

Tämä laki tulee voimaan 1 päivänä joulukuuta 2020.

HE 109/2020, LaVM 10/2020, EV 136/2020

27.11.2020/902:

Tämä laki tulee voimaan 10 päivänä joulukuuta 2020.

HE 30/2020, HaVM 16/2020, EV 125/2020

20.12.2022/1112:

Tämä laki tulee voimaan 25 päivänä kesäkuuta 2023.

HE 111/2022, LaVM 20/2022, EV 204/2022, Euroopan parlamentin ja neuvoston direktiivi (EU) 2020/1828 (32020L1828) ; EUVL L 409, 4.12.2020, s.1

16.2.2023/239:

Tämä laki tulee voimaan 1 päivänä maaliskuuta 2023.

HE 93/2022, LaVM 25/2022, EV 252/2022