Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä

Eduskunnan päätöksen mukaisesti säädetään:

1 luku. Yleiset säännökset

1 § Soveltamisala

Tätä lakia sovelletaan toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on:

1) rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta;

2) syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta;

3) rikosasian käsittelemisestä tuomioistuimessa;

4) rikosoikeudellisen seuraamuksen täytäntöönpanemisesta;

5) yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1–4 kohdassa tarkoitetun toiminnan yhteydessä.

Sen lisäksi, mitä 1 momentissa säädetään, tätä lakia sovelletaan:

1) Puolustusvoimien suorittamaan ja Puolustusvoimien lukuun suoritettavaan henkilötietojen käsittelyyn, jos tietoja käsitellään puolustusvoimista annetun lain (551/2007) 2 §:n 1 momentin 1 ja 2 kohdassa, 3 kohdan a alakohdassa sekä 4 ja 5 kohdassa säädettyjen tehtävien hoitamiseksi, sekä Puolustusvoimien pääesikunnan suorittamaan henkilötietojen käsittelyyn turvallisuusselvityslain (726/2014) 9 §:n 3 momentissa tarkoitettujen tehtävien hoitamiseksi;

2) poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa poliisilain (872/2011) 1 luvun 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen, sekä turvallisuusselvityslain 9 §:n 1 momentissa tarkoitetuissa tehtävissä;

3) Rajavartiolaitoksen suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa rajavartiolain (578/2005) 3 §:n 2 ja 3 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen.

Edellä 2 momentissa tarkoitettuun henkilötietojen käsittelyyn ei kuitenkaan sovelleta 54 §:ää keskinäisestä avunannosta toisen EU:n jäsenvaltion kanssa.

Tätä lakia sovelletaan kuitenkin vain sellaiseen 1 ja 2 momentissa tarkoitettuun henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista tai jossa käsiteltävät tiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri tai sen osa.

Tällä lailla pannaan täytäntöön luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, jäljempänä rikosasioiden tietosuojadirektiivi.

2 § Suhde muuhun lainsäädäntöön

Jos muussa laissa on tästä laista poikkeavia säännöksiä, niitä sovelletaan tämän lain asemesta.

Oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään.

3 § Määritelmät

Tässä laissa tarkoitetaan:

1) henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (rekisteröity) välittömästi tai välillisesti liittyviä tietoja;

2) käsittelyllä tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista sekä muuta toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin;

3) käsittelyn rajoittamisella tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä;

4) rekisterillä jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, riippumatta siitä, onko tietojoukko keskitetty, hajautettu taikka toiminnallisin tai maantieteellisin perustein jaettu;

5) toimivaltaisella viranomaisella viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, paljastamisen, selvittämisen tai syyteharkintaan saattamisen, syyteharkinnan tai muun rikoksesta syyttämiseen liittyvän toiminnan, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, samoin kuin Puolustusvoimia, poliisia ja Rajavartiolaitosta näiden hoitaessa 1 §:n 2 momentissa tarkoitettuja tehtäviä;

6) rekisterinpitäjällä toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot tai jonka tehtäväksi rekisterinpito on lailla säädetty;

7) henkilötietojen käsittelijällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;

8) vastaanottajalla luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja;

9) henkilötietojen tietoturvaloukkauksella tietoturvallisuuden loukkausta, josta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai oikeudeton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin;

10) asianmukaisilla suojatoimenpiteillä sellaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan henkilötietojen käsittelyn lainmukaisuus, kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin kohdistuvat riskit;

11) profiloinnilla henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön henkilökohtaisia ominaisuuksia;

12) geneettisillä tiedoilla henkilötietoja, jotka koskevat sellaisia luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta, ja jotka on saatu kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla tai muutoin;

13) biometrisillä tiedoilla luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa;

14) terveyttä koskevilla tiedoilla luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, jotka ilmaisevat hänen terveydentilansa;

15) kolmannella maalla muuta valtiota kuin Euroopan unionin (EU) jäsenvaltiota, Euroopan talousalueeseen kuuluvaa valtiota tai Sveitsiä;

16) kansainvälisellä järjestöllä sellaista järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, sekä muuta elintä, joka on perustettu kahden tai useamman valtion välisellä sopimuksella tai tällaisen sopimuksen perusteella.

Mitä tässä laissa säädetään toimivaltaisesta viranomaisesta, sovelletaan myös 1 momentin 5 kohdassa tarkoitettua tehtävää hoitavaan yksityiseen.

Mitä tässä laissa säädetään EU:n jäsenvaltiosta, sovelletaan myös Euroopan talousalueeseen kuuluviin valtioihin ja Sveitsiin.

2 luku. Henkilötietojen käsittelyä koskevat periaatteet

4 § Lainmukaisuusvaatimus

Henkilötietoja saa käsitellä vain, jos se on tarpeen laissa toimivaltaiselle viranomaiselle säädetyn, 1 §:n 1 tai 2 momentin alaan kuuluvan tehtävän suorittamiseksi.

Henkilötietoja on käsiteltävä asianmukaisesti ja huolellisesti.

5 § Käyttötarkoitussidonnaisuus

Rekisterinpitäjä saa kerätä henkilötietoja vain tiettyjä nimenomaisia ja oikeutettuja tarkoituksia varten, eikä se saa käsitellä niitä kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla.

Edellä 1 §:n 1 tai 2 momentissa säädettyä tarkoitusta varten kerättyjä henkilötietoja saa käsitellä muuhun kuin kyseisessä momentissa säädettyyn tarkoitukseen vain, jos käsittelystä säädetään laissa.

Henkilötietoja saa käsitellä 1 §:n 1 tai 2 momentissa säädettyyn tarkoitukseen myös yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista tarkoitusta varten edellyttäen, että rekisteröidyn oikeuksia koskevat asianmukaiset suojatoimenpiteet on toteutettu.

6 § Tarpeellisuusvaatimus

Käsiteltävien henkilötietojen on oltava käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Tarpeettomat henkilötiedot on poistettava ilman aiheetonta viivytystä.

Henkilötiedot saa säilyttää muodossa, josta rekisteröity on tunnistettavissa, vain niin kauan kuin on tarpeen henkilötietojen käsittelyn tarkoituksen kannalta.

Henkilötietojen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädetä.

7 § Virheettömyysvaatimus

Käsiteltävien henkilötietojen on oltava täsmällisiä ja käsittelyn tarkoitus huomioon ottaen päivitettyjä. Rekisterinpitäjän on huolehdittava siitä, että kaikki kohtuulliset toimenpiteet on toteutettu sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä.

8 § Eräiden henkilötietojen erottaminen toisistaan

Rekisterinpitäjän on erotettava tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.

Tosiseikkoihin perustuvien henkilötietojen erottamiseksi henkilökohtaisiin arvioihin perustuvista henkilötiedoista on toteutettava kaikki kohtuulliset toimenpiteet.

9 § Siirrettävien tai saataville asetettavien henkilötietojen laadun varmentaminen

Toimivaltaisen viranomaisen on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja siirretä eikä aseteta saataville.

Kaikkiin henkilötietojen siirtoihin on mahdollisuuksien mukaan lisättävä sellaiset tiedot, joiden avulla vastaanottava toimivaltainen viranomainen voi arvioida henkilötietojen paikkansapitävyyttä, täydellisyyttä, luotettavuutta ja ajantasaisuutta.

Jos ilmenee, että on siirretty virheellisiä henkilötietoja tai että henkilötietoja on siirretty lainvastaisesti, on asiasta viipymättä ilmoitettava vastaanottajalle. Vastaanottajan on asiasta tiedon saatuaan oikaistava tai poistettava henkilötiedot tai rajoitettava niiden käsittelyä.

10 § Ilmoittamisvelvollisuus käsittelyn erityisistä edellytyksistä

Jos henkilötietojen käsittelyyn liittyy laissa säädettyjä erityisiä edellytyksiä, toimivaltaisen viranomaisen on henkilötietojen luovutuksen tai siirron yhteydessä ilmoitettava henkilötietojen vastaanottajalle kyseisistä edellytyksistä sekä velvollisuudesta noudattaa niitä.

Kun toimivaltainen viranomainen siirtää henkilötietoja EU:ssa sijaitsevalle vastaanottajalle, se ei saa asettaa henkilötietojen käsittelylle tiukempia edellytyksiä kuin mitä sovelletaan kansallisesti samankaltaisiin tiedonsiirtoihin.

11 § Erityisiä henkilötietoryhmiä koskeva käsittely

Erityisiin henkilötietoryhmiin kuuluvia tietoja ovat henkilötiedot, joista ilmenee etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys, sekä geneettiset tiedot, luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitetut biometriset tiedot sekä terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevat tiedot.

Edellä 1 momentissa tarkoitettujen henkilötietojen käsittely on sallittu vain, jos se on välttämätöntä, rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu ja jos:

1) käsittelystä säädetään laissa;

2) kyse on rikosasian käsittelystä syyttäjäntoimessa tai tuomioistuimessa;

3) rekisteröidyn tai toisen luonnollisen henkilön elintärkeän edun suojaaminen edellyttää sitä; tai

4) käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi.

Sellainen profilointi, joka johtaa erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään, on kielletty.

12 § Henkilötunnuksen käsittely

Henkilötunnusta saa käsitellä, jos rekisteröidyn ja hänen henkilötietojensa yksiselitteinen erottaminen muista rekisteröidyistä ja heidän henkilötiedoistaan (yksilöiminen) on tärkeää:

1) toimivaltaisen viranomaisen laissa säädetyn tehtävän suorittamiseksi;

2) rekisteröidyn tai rekisterinpitäjän oikeuksien tai velvollisuuksien toteuttamiseksi; tai

3) 5 §:n 3 momentin mukaista historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

Henkilötunnusta ei saa tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

Rekisteröidyn henkilöllisyyden selvittämiseen hänen ilmoittamiensa tai toimittamiensa tietojen taikka esittämiensä asiakirjojen avulla (tunnistaminen) ei saa käyttää yksinomaan henkilötunnusta tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmää.

13 § Automatisoidut yksittäispäätökset

Jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn, kuten profiloinnin perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä.

Edellä 1 momentissa säädetystä poiketen toimivaltainen viranomainen voi ratkaista hallintoasian pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos asia ratkaistaan hallintolain (434/2003) 8 b luvussa tarkoitetulla tavalla automaattisesti.

3 luku. Rekisterinpitäjä ja henkilötietojen käsittelijä

14 § Rekisterinpitäjän vastuu

Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Sen on lisäksi kyettävä osoittamaan, että henkilötietoja on käsitelty 2 luvun mukaisesti.

Rekisterinpitäjän on toteutettava tarvittavat 1 momentissa säädetyn vastuun edellyttämät tekniset ja organisatoriset toimenpiteet. Toimenpiteiden toteuttamisessa on otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin kohdistuvat riskit.

15 § Sisäänrakennettu ja oletusarvoinen tietosuoja

Rekisterinpitäjän tulee sekä henkilötietojen käsittelytapoja määrittäessään että henkilötietojen käsittelyn yhteydessä toteuttaa asianmukaiset tekniset ja organisatoriset suojatoimenpiteet käsittelyn lainmukaisuuden ja rekisteröidyn oikeuksien suojelemisen varmistamiseksi. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset ratkaisut, toimenpiteiden toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset samoin kuin ne riskit, jotka käsittely henkilön oikeuksille aiheuttaa.

Rekisterinpitäjän tulee toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että oletusarvoisesti käsitellään vain kunkin erityisen käsittelytarkoituksen kannalta tarpeellisia henkilötietoja.

16 § Yhteisrekisterinpitäjät

Jos kaksi tai useampi rekisterinpitäjä määrittää yhdessä käsittelyn tarkoitukset ja keinot, niiden on sovittava keskinäisestä vastuunjaostaan tämän lain mukaisten velvollisuuksien hoitamisessa, jollei vastuunjaosta ole säädetty laissa.

Edellä 1 momentissa tarkoitettujen rekisterinpitäjien on nimettävä keskuudestaan yhteyspisteenä toimiva rekisterinpitäjä, johon rekisteröity voi olla yhteydessä oikeuksiensa käyttöä koskevissa asioissa. Rekisteröity voi kuitenkin käyttää tämän lain mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään.

17 § Henkilötietojen käsittelijä

Henkilötietoja rekisterinpitäjän lukuun käsittelevän on annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoinkin riittävät takeet niistä organisatorisista ja teknisistä toimenpiteistä, joilla se varmistaa, että henkilötietoja käsitellään tässä laissa säädettyjen vaatimusten mukaisesti.

Henkilötietojen käsittelijä tai sen palveluksessa oleva ei saa käsitellä henkilötietoja muutoin kuin rekisterinpitäjän ohjeiden mukaisesti, eikä siirtää henkilötietojen käsittelyä toiselle käsittelijälle ilman rekisterinpitäjän kirjallista lupaa.

Henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä on tehtävä kirjallinen sopimus tai annettava kirjallinen määräys, josta ilmenevät käsiteltävät henkilötiedot, käsittelyn kesto, luonne ja tarkoitus, käsiteltävät henkilötietoryhmät ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Edellä tarkoitetussa kirjallisessa asiakirjassa on lisäksi määrättävä, että henkilötietojen käsittelijä:

1) toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti;

2) varmistaa, että henkilötietoja käsittelevät luonnolliset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä sitoo lakisääteinen salassapitovelvollisuus;

3) avustaa rekisterinpitäjää kaikin tarkoituksenmukaisin tavoin, jotta voidaan varmistaa, että rekisteröidyn oikeuksia koskevia säännöksiä noudatetaan;

4) rekisterinpitäjän valinnan mukaan poistaa taikka palauttaa tietojenkäsittelypalveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos laissa toisin säädetään;

5) saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tämän pykälän noudattamisen osoittamiseksi;

6) täyttää tässä pykälässä tarkoitetut toisen käsittelijän käyttöä koskevat edellytykset.

18 § Seloste käsittelytoimista

Rekisterinpitäjän on ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä kirjallista selostetta, jossa on seuraavat tiedot:

1) rekisterinpitäjän ja tarvittaessa yhteisrekisterinpitäjän sekä 38 §:ssä tarkoitetun tietosuojavastaavan nimi ja yhteystiedot;

2) henkilötietojen käsittelyn tarkoitukset ja oikeudellinen peruste;

3) kuvaus rekisteröityjen ryhmästä tai ryhmistä ja käsiteltävistä henkilötietoryhmistä;

4) vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan;

5) kolmanteen maahan tai kansainväliselle järjestölle suoritettujen henkilötietojen siirtojen ryhmät;

6) mahdollisuuksien mukaan eri henkilötietoryhmien poistamisen suunnitellut määräajat;

7) mahdollinen profiloinnin käyttö;

8) mahdollisuuksien mukaan yleinen kuvaus tietojärjestelmistä ja niiden suojauksen periaatteista sekä yleinen kuvaus 31 §:ssä tarkoitetuista teknisistä ja organisatorisista turvatoimista.

Henkilötietojen käsittelijän on ylläpidettävä kaikesta rekisterinpitäjän lukuun suoritettavasta henkilötietojen käsittelystä kirjallista selostetta, jossa on seuraavat tiedot:

1) henkilötietojen käsittelijän tai käsittelijöiden sekä tietosuojavastaavan nimi ja yhteystiedot;

2) kunkin rekisterinpitäjän, jonka lukuun käsittelijä toimii, nimi ja yhteystiedot;

3) kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät;