Tietosuojalaki

Eduskunnan päätöksen mukaisesti säädetään:

1 luku. Yleiset säännökset

1 § Lain tarkoitus

Tällä lailla täsmennetään ja täydennetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja sen kansallista soveltamista.

2 § Soveltamisala

Tätä lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tätä lakia ja tietosuoja-asetusta sovelletaan lisäksi, lukuun ottamatta asetuksen 56 artiklaa ja VII lukua, sellaiseen henkilötietojen käsittelyyn, jota suoritetaan mainitun 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä.

Tätä lakia ei sovelleta eduskunnan valtiopäivätoimintaan.

Tätä lakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa (1054/2018).

3 § Sovellettava laki

Henkilötietojen käsittelyyn, joka tapahtuu Euroopan unionin alueella sijaitsevaan rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikkaan liittyvän toiminnan yhteydessä, sovelletaan Suomen lakia, jos rekisterinpitäjän toimipaikka sijaitsee Suomessa.

Jos henkilötietojen käsittelyyn sovelletaan vieraan valtion lakia ja sen nojalla poiketaan tietosuoja-asetuksen 89 artiklan 2 kohdan mukaisesti rekisteröidyn suojaksi säädetyistä oikeuksista, jäljempänä 31 §:ssä rekisteröidyn suojaksi säädettyjä suojatoimia on kuitenkin noudatettava lainvalinnasta riippumatta.

2 luku. Käsittelyn oikeusperuste eräissä tapauksissa

4 § Käsittelyn lainmukaisuus

Henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti, jos:

1) kysymys on henkilön asemaa, tehtäviä sekä niiden hoitoa julkisyhteisössä, elinkeinoelämässä, järjestötoiminnassa tai muussa vastaavassa toiminnassa kuvaavista tiedoista siltä osin kuin käsittelyn tavoite on yleisen edun mukainen ja käsittely on oikeasuhtaista sillä tavoiteltuun oikeutettuun päämäärään nähden;

2) käsittely on tarpeen ja oikeasuhtaista viranomaisen toiminnassa yleisen edun mukaisen tehtävän suorittamiseksi;

3) käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten ja se on oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen nähden; tai

4) henkilötietoja sisältävien tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietoihin liittyvien henkilötietojen käsittely arkistointitarkoituksessa on tarpeen ja oikeasuhtaista sillä tavoiteltuun yleisen edun mukaiseen tavoitteeseen ja rekisteröidyn oikeuksiin nähden.

5 § Tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettava ikäraja

Kun henkilötietoja käsitellään tietosuoja-asetuksen 6 artiklan 1 kohdan a alakohdassa tarkoitetun suostumuksen perusteella ja kyseessä on tietosuoja-asetuksen 4 artiklan 25 kohdassa tarkoitettujen tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle, lapsen henkilötietojen käsittely on lainmukaista, jos lapsi on vähintään 13-vuotias.

6 § Erityisiä henkilötietoryhmiä koskeva käsittely

Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta:

1) vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi;

2) tietojen käsittelyyn, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä;

3) ammattiliittoon kuulumista koskevaan tiedon käsittelyyn, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla;

4) kun terveydenhuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja käsittelee tässä toiminnassa saamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja;

5) kun sosiaalihuollon palveluntarjoaja järjestäessään tai tuottaessaan palveluja tai myöntäessään etuuksia käsittelee tässä toiminnassa saamiaan tai tuottamiaan tietoja henkilön terveydentilasta tai vammaisuudesta taikka hänen saamastaan terveydenhuollon ja kuntoutuksen palvelusta taikka muita rekisteröidyn palvelun tai etuuden myöntämisen kannalta välttämättömiä tietoja;

6) terveyttä koskevien ja geneettisten tietojen käsittelyyn antidopingtyössä ja vammaisurheilun yhteydessä siltä osin kuin näiden tietojen käsittely on välttämätöntä antidopingtyön tai vammaisten ja pitkäaikaissairaiden urheilun mahdollistamiseksi;

7) tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävään tietojen käsittelyyn;

8) tutkimus- ja kulttuuriperintöaineistojen käsittelyyn yleishyödyllisessä arkistointitarkoituksessa geneettisiä tietoja lukuun ottamatta.

Käsiteltäessä henkilötietoja 1 momentissa tarkoitetussa tilanteessa rekisterinpitäjän ja henkilötietojen käsittelijän on toteutettava asianmukaiset ja erityiset toimenpiteet rekisteröidyn oikeuksien suojaamiseksi. Näitä toimenpiteitä ovat:

1) toimenpiteet, joilla on jälkeenpäin mahdollista varmistaa ja todentaa kenen toimesta henkilötietoja on tallennettu, muutettu tai siirretty;

2) toimenpiteet, joilla parannetaan henkilötietoja käsittelevän henkilöstön osaamista;

3) tietosuojavastaavan nimittäminen;

4) rekisterinpitäjän ja käsittelijän sisäiset toimenpiteet, joilla estetään pääsy henkilötietoihin;

5) henkilötietojen pseudonymisointi;

6) henkilötietojen salaaminen;

7) toimenpiteet, joilla käsittelyjärjestelmien ja henkilötietojen käsittelyyn liittyvien palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus taataan, mukaan lukien kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa;

8) menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi;

9) erityiset menettelysäännöt, joilla varmistetaan tietosuoja-asetuksen ja tämän lain noudattaminen siirrettäessä henkilötietoja tai käsiteltäessä henkilötietoja muuhun tarkoitukseen;

10) tietosuoja-asetuksen 35 artiklan mukainen tietosuojaa koskevan vaikutustenarvioinnin laatiminen;

11) muut tekniset, menettelylliset ja organisatoriset toimenpiteet.

7 § Rikostuomioihin ja rikkomuksiin liittyvä käsittely

Tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikkomuksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos:

1) käsittely on tarpeen oikeusvaateen selvittämiseksi, laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; tai

2) tietoja käsitellään 6 §:n 1 momentin 1, 2 tai 7 kohdassa säädetyssä tarkoituksessa.

Mitä 6 §:n 2 momentissa säädetään toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, sovelletaan myös käsiteltäessä tämän pykälän 1 momentissa tarkoitettuja henkilötietoja.

3 luku. Valvontaviranomainen

8 § Tietosuojavaltuutettu

Tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu.

Tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton.

9 § Tietosuojavaltuutetun toimisto

Tietosuojavaltuutetulla on toimisto, jossa on vähintään kaksi apulaistietosuojavaltuutettua sekä tarpeellinen määrä tietosuojavaltuutetun tehtäväalaan perehtyneitä esittelijöitä ja muuta henkilöstöä.

Tietosuojavaltuutettu nimittää toimiston virkamiehet ja ottaa palvelukseen toimiston muun henkilöstön.

Tietosuojavaltuutettu hyväksyy toimiston työjärjestyksen.

10 § Kelpoisuusvaatimukset ja nimitysperusteet

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun kelpoisuusvaatimuksena on muu oikeustieteen ylempi korkeakoulututkinto kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinto, hyvä perehtyneisyys henkilötietojen suojaa koskeviin asioihin sekä käytännössä osoitettu johtamistaito. Lisäksi edellytetään kykyä hoitaa kansainvälisiä tehtäviä.

11 § Nimittäminen ja toimikausi

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun nimittää valtioneuvosto viideksi vuodeksi kerrallaan.

Tietosuojavaltuutetuksi ja apulaistietosuojavaltuutetuksi nimitetty vapautuu hoitamasta muuta virkaa siksi ajaksi, jona hän toimii tietosuojavaltuutettuna tai apulaistietosuojavaltuutettuna.

12 § Asiantuntijalautakunta

Tietosuojavaltuutetun toimistossa on asiantuntijalautakunta, johon kuuluu puheenjohtaja, varapuheenjohtaja ja kolme muuta jäsentä. Kullakin heistä on henkilökohtainen varajäsen.

Valtioneuvosto asettaa lautakunnan kolmen vuoden toimikaudeksi.

Lautakunnan puheenjohtajan ja varapuheenjohtajan on oltava oikeustieteen muun ylemmän korkeakoulututkinnon kuin kansainvälisen ja vertailevan oikeustieteen maisterin tutkinnon suorittanut henkilö, jolla on hyvä perehtyneisyys henkilötietojen suojaa koskeviin asioihin ja muu tehtävän hoidon edellyttämä pätevyys. Lautakunnan muulta jäseneltä edellytetään perehtyneisyyttä henkilötietojen suojaa koskeviin asioihin ja tehtävän hoidon edellyttämää muuta pätevyyttä.

Lautakunnan jäseneen sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen hoitaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974). Lautakunnan jäsenille ja varajäsenille maksetaan tehtävästään palkkio. Oikeusministeriö vahvistaa palkkioiden määrät.

13 § Selvitys sidonnaisuuksista

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun on annettava valtion virkamieslain (750/1994) 8 a §:ssä tarkoitettu selvitys sidonnaisuuksistaan.

14 § Tietosuojavaltuutetun tehtävät ja toimivaltuudet

Tietosuojavaltuutetun   tehtävistä   ja   toimivaltuuksista   säädetään tietosuoja-asetuksen 55–59 artiklassa. Tietosuojavaltuutetulla on myös muita tässä tai muussa laissa säädettyjä tehtäviä ja toimivaltuuksia.

Tietosuojavaltuutettu ei valvo valtioneuvoston oikeuskanslerin eikä eduskunnan oikeusasiamiehen toimintaa.

Tietosuojavaltuutettu edustaa Suomea Euroopan tietosuojaneuvostossa.

Tietosuojavaltuutettu akkreditoi tietosuoja-asetuksen 43 artiklassa tarkoitetun sertifiointielimen.

Tietosuojavaltuutettu laatii vuosittain tietosuoja-asetuksen 59 artiklassa tarkoitetun toimintakertomuksen, joka toimitetaan eduskunnalle ja valtioneuvostolle. Toimintakertomus on pidettävä yleisesti saatavilla.

15 § Tietosuojavaltuutetun päätöksenteko

Tietosuojavaltuutettu ratkaisee asiat esittelystä, jollei hän yksittäistapauksessa toisin päätä.

16 § Apulaistietosuojavaltuutetun tehtävät ja toimivaltuudet

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun välisestä tehtävien jaosta määrätään tietosuojavaltuutetun toimiston työjärjestyksessä.

Apulaistietosuojavaltuutetulla on tehtäviensä hoidossa samat toimivaltuudet kuin tietosuojavaltuutetulla.

17 § Asiantuntijalautakunnan tehtävät ja asioiden käsittely

Asiantuntijalautakunnan tehtävänä on tietosuojavaltuutetun pyynnöstä antaa lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä merkittävistä kysymyksistä.

Lautakunta voi kuulla ulkopuolisia asiantuntijoita.

Lautakunnan sihteerinä toimii tietosuojavaltuutetun toimiston esittelijä.

18 § Tietosuojavaltuutetun tiedonsaanti- ja tarkastusoikeus

Sen lisäksi, mitä tietosuoja-asetuksen 58 artiklan 1 kohdassa säädetään valvontaviranomaisen tiedonsaanti- ja tarkastusoikeudesta, tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot.

Pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saa toimittaa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja kyseessä olevassa tapauksessa on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena hallinnollinen seuraamusmaksu tai rikoslaissa (39/1889) säädetty rangaistus.

19 § Asiantuntijoiden käyttö

Tietosuojavaltuutettu voi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja.

Tietosuojavaltuutettu voi käyttää toimivaltaansa kuuluvan tarkastuksen suorittamisessa apunaan ulkopuolisia asiantuntijoita. Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tällaisia tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa.

20 § Virka-apu

Tietosuojavaltuutetulla on oikeus tehtäviensä suorittamiseksi saada pyynnöstä poliisilta virka-apua.

4 luku. Oikeusturva ja seuraamukset

21 § Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi

Rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä.

Tietosuojavaltuutettu voi keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa.

22 § Uhkasakko

Tietosuojavaltuutettu voi asettaa tietosuoja-asetuksen 58 artiklan 2 kohdan c–g ja j alakohdassa tarkoitetun päätöksen ja tämän lain 18 §:n 1 momenttiin perustuvan tietojen luovuttamista koskevan määräyksen tehosteeksi uhkasakon. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990).

Uhkasakkoa ei saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksen tehosteeksi silloin, kun henkilöä on aihetta epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa.

23 § Komission päätökset

Jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko tietosuoja-asetuksen 45 artiklassa tarkoitettu Euroopan komission päätös tietosuojan tason riittävyydestä tietosuoja-asetuksen mukainen, tietosuojavaltuutettu voi hakemuksella saattaa ennakkoratkaisun pyytämistä koskevan asian Helsingin hallinto-oikeuden ratkaistavaksi.

Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan.

24 § Hallinnollinen seuraamusmaksu

Tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen sakon (hallinnollinen seuraamusmaksu) määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. Apulaistietosuojavaltuutetun ollessa estynyt voi hänen sijaisenaan seuraamuskollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Kollegio on päätösvaltainen kolmijäsenisenä.

Kollegion päätös tehdään esittelystä. Päätökseksi tulee se kanta, jota enemmistö on kannattanut. Äänten mennessä tasan päätökseksi tulee se kanta, joka on lievempi sille, johon seuraamus kohdistuu.

Seuraamusmaksu voidaan määrätä myös tietosuoja-asetuksen 10 artiklan rikkomisesta noudattaen, mitä tietosuoja-asetuksen 83 artiklan 5 kohdassa ja tässä laissa säädetään.

Seuraamusmaksua ei voida määrätä valtion viranomaisille, valtion liikelaitoksille, kunnallisille viranomaisille, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille.

Seuraamusmaksua ei saa määrätä, jos on kulunut yli kymmenen vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, kymmenen vuoden määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.

Seuraamusmaksun täytäntöönpanosta säädetään sakon täytäntöönpanosta annetussa laissa (672/2002). Seuraamusmaksu vanhenee viiden vuoden kuluttua sen määräämispäivästä.

25 § Muutoksenhaku

Tietosuojavaltuutetun ja apulaistietosuojavaltuutetun päätökseen sekä 24 §:n 1 momentissa säädettyyn päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään.

Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen.

Tietosuojavaltuutetun tai apulaistietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.

26 § Rangaistussäännökset

Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Rangaistus viestintäsalaisuuden loukkauksesta ja törkeästä viestintäsalaisuuden loukkauksesta säädetään rikoslain 38 luvun 3 ja 4 §:ssä sekä rangaistus tietomurrosta ja törkeästä tietomurrosta 38 luvun 8 ja 8 a §:ssä. Rangaistus tämän lain 35 §:ssä säädetyn vaitiolovelvollisuuden ja 36 §:ssä säädetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.

Rikoslain 38 luvun 10 §:n 3 momentissa säädetään syyttäjän velvollisuudesta kuulla tietosuojavaltuutettua ennen tämän pykälän 1 momentissa mainittuja rikoksia koskevan syytteen nostamista samoin kuin tuomioistuimen velvollisuudesta varata tällaista asiaa käsitellessään tietosuojavaltuutetulle tilaisuus tulla kuulluksi.

5 luku. Tietojenkäsittelyn erityistilanteet

27 § Henkilötietojen käsittely journalistisen, akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten

Sananvapauden ja tiedonvälityksen vapauden turvaamiseksi henkilötietojen käsittelyyn ainoastaan journalistisia tarkoituksia varten tai akateemisen, taiteellisen tai kirjallisen ilmaisun tarkoituksia varten ei sovelleta tietosuoja-asetuksen 5 artiklan 1 kohdan c–e alakohtaa, 6 ja 7 artiklaa, 9 ja 10 artiklaa, 11 artiklan 2 kohtaa, 12–22 artiklaa, 30 artiklaa, 34 artiklan 1–3 kohtaa, 35 ja 36 artiklaa, 56 artiklaa, 58 artiklan 2 kohdan f alakohtaa, 60–63 artiklaa ja 65–67 artiklaa.