Seurattu SDK 813/2014 saakka.

22.4.1999/523

Henkilötietolaki

Katso tekijänoikeudellinen huomautus käyttöehdoissa.

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleiset säännökset

1 §
Lain tarkoitus

Tämän lain tarkoituksena on toteuttaa yksityiselämän suojaa ja muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistää hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

2 §
Soveltamisala

Henkilötietoja käsiteltäessä on noudatettava, mitä tässä laissa säädetään, jollei muualla laissa toisin säädetä.

Tätä lakia sovelletaan henkilötietojen automaattiseen käsittelyyn. Myös muuhun henkilötietojen käsittelyyn sovelletaan tätä lakia silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa.

Tämä laki ei koske henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiinsa.

4 momentti on kumottu L:lla 3.12.2010/1049.

Henkilötietojen käsittelyä toimituksellisia sekä taiteellisen tai kirjallisen ilmaisun tarkoituksia varten koskevat soveltuvin osin ainoastaan 1–4 ja 32 §, 39 §:n 3 momentti, 40 §:n 1 ja 3 momentti, 42 §, 44 §:n 2 kohta, 45–47 §, 48 §:n 2 momentti sekä 50 ja 51 §, jollei 17 §:stä muuta johdu.

3 §
Määritelmät

Tässä laissa tarkoitetaan:

1) henkilötiedolla kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi;

2) henkilötietojen käsittelyllä henkilötietojen keräämistä, tallettamista, järjestämistä, käyttöä, siirtämistä, luovuttamista, säilyttämistä, muuttamista, yhdistämistä, suojaamista, poistamista, tuhoamista sekä muita henkilötietoihin kohdistuvia toimenpiteitä;

3) henkilörekisterillä käyttötarkoituksensa vuoksi yhteenkuuluvista merkinnöistä muodostuvaa henkilötietoja sisältävää tietojoukkoa, jota käsitellään osin tai kokonaan automaattisen tietojenkäsittelyn avulla taikka joka on järjestetty kortistoksi, luetteloksi tai muulla näihin verrattavalla tavalla siten, että tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta;

4) rekisterinpitäjällä yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty;

5) rekisteröidyllä henkilöä, jota henkilötieto koskee;

6) sivullisella muuta henkilöä, yhteisöä, laitosta tai säätiötä kuin rekisteröityä, rekisterinpitäjää, henkilötietojen käsittelijää tai henkilötietoja kahden viimeksi mainitun lukuun käsittelevää;

7) suostumuksella kaikenlaista vapaaehtoista, yksilöityä ja tietoista tahdon ilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. (11.5.2007/528)

8 kohta on kumottu L:lla 11.5.2007/528.

9 kohta on kumottu L:lla 11.5.2007/528.

4 §
Suomen lain soveltaminen

Tätä lakia sovelletaan sellaiseen henkilötietojen käsittelyyn, jossa rekisterinpitäjän toimipaikka on Suomen alueella tai muutoin Suomen oikeudenkäytön piirissä.

Tätä lakia sovelletaan myös silloin, kun rekisterinpitäjällä ei ole toimipaikkaa Euroopan unionin jäsenvaltioiden alueella, mutta rekisterinpitäjä käyttää henkilötietojen käsittelyssä Suomessa sijaitsevia laitteita muuhunkin tarkoitukseen kuin vain tietojen siirtoon tämän alueen kautta. Rekisterinpitäjän on tällöin nimettävä Suomessa oleva edustaja.

2 luku

Henkilötietojen käsittelyä koskevat yleiset periaatteet

5 §
Huolellisuusvelvoite

Rekisterinpitäjän tulee käsitellä henkilötietoja laillisesti, noudattaa huolellisuutta ja hyvää tietojenkäsittelytapaa sekä toimia muutoinkin niin, ettei rekisteröidyn yksityiselämän suojaa ja muita yksityisyyden suojan turvaavia perusoikeuksia rajoiteta ilman laissa säädettyä perustetta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun.

6 §
Henkilötietojen käsittelyn suunnittelu

Henkilötietojen käsittelyn tulee olla asiallisesti perusteltua rekisterinpitäjän toiminnan kannalta. Henkilötietojen käsittelyn tarkoitukset sekä se, mistä henkilötiedot säännönmukaisesti hankitaan ja mihin niitä säännönmukaisesti luovutetaan, on määriteltävä ennen henkilötietojen keräämistä tai muodostamista henkilörekisteriksi. Henkilötietojen käsittelyn tarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilötietoja käsitellään.

7 §
Käyttötarkoitussidonnaisuus

Henkilötietoja saa käyttää tai muutoin käsitellä vain tavalla, joka ei ole yhteensopimaton 6 §:ssä tarkoitettujen käsittelyn tarkoitusten kanssa. Myöhempää henkilötietojen käsittelyä historiallista tutkimusta taikka tieteellistä tai tilastotarkoitusta varten ei pidetä yhteensopimattomana alkuperäisten käsittelyn tarkoitusten kanssa.

8 §
Käsittelyn yleiset edellytykset

Henkilötietoja saa käsitellä ainoastaan:

1) rekisteröidyn yksiselitteisesti antamalla suostumuksella;

2) rekisteröidyn toimeksiannosta tai sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

3) jos käsittely yksittäistapauksessa on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;

4) jos käsittelystä säädetään laissa tai jos käsittely johtuu rekisterinpitäjälle laissa säädetystä tai sen nojalla määrätystä tehtävästä tai velvoitteesta;

5) jos rekisteröidyllä on asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus);

6) jos kysymys on konsernin tai muun taloudellisen yhteenliittymän asiakkaita tai työntekijöitä koskevista tiedoista ja näitä tietoja käsitellään kyseisen yhteenliittymän sisällä;

7) jos käsittely on tarpeen rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä tai muita niihin verrattavia tehtäviä varten;

8) jos kysymys on henkilön asemaa, tehtäviä ja niiden hoitoa julkisyhteisössä tai elinkeinoelämässä kuvaavista yleisesti saatavilla olevista tiedoista ja näitä tietoja käsitellään rekisterinpitäjän tai tiedot saavan sivullisen oikeuksien ja etujen turvaamiseksi; tai

9) jos tietosuojalautakunta on antanut käsittelyyn 43 §:n 1 momentissa tarkoitetun luvan.

Henkilötietojen luovuttaminen voi tapahtua 1 momentin 5 kohdan nojalla vain, jos henkilötiedon luovuttaminen kuuluu tavanomaisena osana kysymyksessä olevan toiminnan harjoittamiseen edellyttäen, että tarkoitus, johon tiedot luovutetaan, ei ole yhteensopimaton henkilötietojen käsittelyn tarkoituksen kanssa ja että rekisteröidyn voidaan olettaa tietävän henkilötietojen tällaisesta luovuttamisesta.

Arkaluonteisten henkilötietojen ja henkilötunnuksen käsittelystä säädetään 3 luvussa. Henkilötietojen käsittelystä erityisiä tarkoituksia varten säädetään 4 luvussa.

Oikeudesta saada tieto ja muusta henkilötietojen luovuttamisesta viranomaisen henkilörekisteristä on voimassa, mitä viranomaisten asiakirjojen julkisuudesta säädetään.

9 §
Tietojen laatua koskevat periaatteet

Käsiteltävien henkilötietojen tulee olla määritellyn henkilötietojen käsittelyn tarkoituksen kannalta tarpeellisia (tarpeellisuusvaatimus).

Rekisterinpitäjän on huolehdittava siitä, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja käsitellä (virheettömyysvaatimus). Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys rekisteröidyn yksityisyyden suojalle.

10 §
Rekisteriseloste

Rekisterinpitäjän on laadittava henkilörekisteristä rekisteriseloste, josta ilmenee:

1) rekisterinpitäjän ja tarvittaessa tämän edustajan nimi ja yhteystiedot;

2) henkilötietojen käsittelyn tarkoitus;

3) kuvaus rekisteröityjen ryhmästä tai ryhmistä ja näihin liittyvistä tiedoista tai tietoryhmistä;

4) mihin tietoja säännönmukaisesti luovutetaan ja siirretäänkö tietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle; sekä

5) kuvaus rekisterin suojauksen periaatteista.

Rekisterinpitäjän on pidettävä rekisteriseloste jokaisen saatavilla. Tästä velvollisuudesta voidaan poiketa, jos se on välttämätöntä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi, rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai julkiseen talouteen liittyvän valvontatehtävän vuoksi.

3 luku

Arkaluonteiset tiedot ja henkilötunnus

11 §
Arkaluonteisten tietojen käsittelykielto

Arkaluonteisten henkilötietojen käsittely on kielletty. Arkaluonteisina tietoina pidetään henkilötietoja, jotka kuvaavat tai on tarkoitettu kuvaamaan:

1) rotua tai etnistä alkuperää;

2) henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista;

3) rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta;

4) henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia;

5) henkilön seksuaalista suuntautumista tai käyttäytymistä; taikka

6) henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluja, tukitoimia ja muita sosiaalihuollon etuuksia.

12 §
Poikkeukset arkaluonteisten tietojen käsittelykiellosta

Mitä 11 §:ssä säädetään, ei estä:

1) tietojen käsittelyä, johon rekisteröity on antanut nimenomaisen suostumuksensa;

2) sellaisen henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista koskevan tiedon käsittelyä, jonka rekisteröity on itse saattanut julkiseksi;

3) tietojen käsittelyä, joka on tarpeen rekisteröidyn tai jonkun toisen henkilön elintärkeän edun suojaamiseksi, jos rekisteröity on estynyt antamasta suostumustaan;

4) tietojen käsittelyä, joka on tarpeen oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi;

5) tietojen käsittelyä, josta säädetään laissa tai joka johtuu välittömästi rekisterinpitäjälle laissa säädetystä tehtävästä;

6) tietojen käsittelyä historiallista tai tieteellistä tutkimusta taikka tilastointia varten;

7) uskonnollista, poliittista tai yhteiskunnallista vakaumusta koskevien tietojen käsittelyä tällaista vakaumusta edustavien yhdistysten ja muiden yhteisöjen toiminnassa, jos tiedot koskevat näiden yhdistysten tai yhteisöjen jäseniä taikka henkilöitä, joilla on niihin säännölliset, yhdistysten ja yhteisöjen tarkoituksiin liittyvät yhteydet, eikä tietoja luovuteta sivullisille ilman rekisteröidyn suostumusta;

8) ammattiliittoon kuulumista koskevien tietojen käsittelyä ammattiyhdistysten ja niiden muodostaman liiton toiminnassa, jos tiedot koskevat näiden järjestöjen jäseniä taikka henkilöitä, joilla on järjestöihin säännölliset, järjestöjen tarkoituksiin liittyvät yhteydet, eikä tietoja luovuteta sivullisille ilman rekisteröidyn suostumusta;

9) ammattiliittoon kuulumista koskevan tiedon käsittelyä, joka on tarpeen rekisterinpitäjän erityisten oikeuksien ja velvoitteiden noudattamiseksi työoikeuden alalla;

10) terveydenhuollon toimintayksikköä tai terveydenhuollon ammattihenkilöä käsittelemästä näiden tässä toiminnassa saamia tietoja rekisteröidyn terveydentilasta, sairaudesta tai vammaisuudesta tai häneen kohdistetuista hoitotoimenpiteistä taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja;

11) vakuutuslaitosta käsittelemästä vakuutustoiminnassa saatuja tietoja vakuutetun ja korvauksenhakijan terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista taikka sellaisia tietoja vakuutetun, korvauksenhakijan tai vahingon aiheuttajan rikollisesta teosta, rangaistuksesta tai muusta rikoksen seuraamuksesta, jotka ovat tarpeen vakuutuslaitoksen vastuun selvittämiseksi;

12) sosiaalihuollon viranomaista tai muuta sosiaalihuollon etuuksia myöntävää viranomaista, laitosta tai yksityisten sosiaalipalvelujen tuottajaa käsittelemästä kyseisen viranomaisen, laitoksen tai palvelujen tuottajan toiminnassaan saamia tietoja rekisteröidyn sosiaalihuollon tarpeesta tai hänen saamistaan sosiaalihuollon palveluista, tukitoimista tai hänelle myönnetyistä muista sosiaalihuollon etuuksista taikka muita rekisteröidyn huollon kannalta välttämättömiä tietoja; tai

13) tietojen käsittelyä, johon tietosuojalautakunta on antanut 43 §:n 2 momentissa tarkoitetun luvan.

Arkaluonteiset tiedot on poistettava rekisteristä välittömästi sen jälkeen, kun käsittelylle ei ole 1 momentissa mainittua perustetta. Perustetta ja käsittelyn tarvetta on arvioitava vähintään viiden vuoden välein, jollei laista tai 1 momentin 13 kohdassa tarkoitetusta tietosuojalautakunnan luvasta muuta johdu.

13 §
Henkilötunnuksen käsittely

Henkilötunnusta saa käsitellä rekisteröidyn yksiselitteisesti antamalla suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää:

1) laissa säädetyn tehtävän suorittamiseksi;

2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai

3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten.

Henkilötunnusta saa käsitellä luotonannossa tai saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa tai virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa. (30.4.2010/294)

Sen lisäksi, mitä henkilötunnuksen käsittelystä 1 ja 2 momentissa säädetään, henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä.

Rekisterinpitäjän on huolehdittava siitä, että henkilötunnusta ei merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

4 luku

Henkilötietojen käsittely erityisiä tarkoituksia varten

14 §
Tutkimus

Historiallista tai tieteellistä tutkimusta varten saa henkilötietoja käsitellä muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla, jos:

1) tutkimusta ei voi suorittaa ilman henkilön yksilöintiä koskevia tietoja ja jos rekisteröityjen suostumusta ei tietojen suuren määrän, tietojen iän tai muun sellaisen syyn vuoksi ole mahdollista hankkia;

2) henkilörekisterin käyttö perustuu asianmukaiseen tutkimussuunnitelmaan ja tutkimuksella on vastuullinen johtaja tai siitä vastaava ryhmä;

3) henkilörekisteriä käytetään ja siitä luovutetaan henkilötietoja vain historiallista tai tieteellistä tutkimusta varten sekä muutoinkin toimitaan niin, että tiettyä henkilöä koskevat tiedot eivät paljastu ulkopuolisille; sekä

4) henkilörekisteri hävitetään tai siirretään arkistoitavaksi tai sen tiedot muutetaan sellaiseen muotoon, ettei tiedon kohde ole niistä tunnistettavissa, kun henkilötiedot eivät enää ole tarpeen tutkimuksen suorittamiseksi tai sen tulosten asianmukaisuuden varmistamiseksi.

Mitä 1 momentin 3 kohdassa säädetään, ei sovelleta, jos siinä tarkoitettu menettely henkilörekisteriin talletettujen tietojen ikä ja laatu huomioon ottaen on rekisteröityjen yksityisyyden suojan vuoksi ilmeisen tarpeetonta.

Mitä 1 momentissa säädetään, sovelletaan täydentävästi silloin, kun henkilötietojen käsittely perustuu 8 §:n 1 momenttiin.

15 §
Tilasto

Tilastotarkoituksia varten saa henkilötietoja käsitellä muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla, jos:

1) tilastoa ei voida tuottaa tai sen tarkoituksena olevaa tiedontarvetta toteuttaa ilman henkilötietojen käsittelyä;

2) tilaston tuottaminen kuuluu rekisterinpitäjän toimialaan; sekä

3) tilastorekisteriä käytetään vain tilastollisiin tarkoituksiin eikä siitä luovuteta tietoja siten, että tietty henkilö on niistä tunnistettavissa, ellei tietoja luovuteta julkista tilastoa varten.

16 §
Viranomaisen suunnittelu- ja selvitystehtävät

Suunnittelua ja selvitystä varten viranomainen voi muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa henkilötietoja viranomaisen henkilörekisteriin noudattaen soveltuvin osin, mitä 14 §:ssä säädetään.

17 §
Henkilömatrikkeli

Henkilömatrikkelia varten pidettävään henkilörekisteriin saa muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa rekisteröidystä ja tämän aviopuolisosta sekä rekisteröidyn lapsista ja vanhemmista rekisterin tarkoituksen kannalta tarpeelliset yksilöintitiedot, tiedon henkilömatrikkelin perusteena olevasta rekisteröityjä yhdistävästä tekijästä ja tähän liittyvät tiedot sekä yhteystiedot yhteydenottoa varten, jollei rekisteröity ole kieltänyt itseään koskevien tietojen keräämistä ja tallettamista.

Henkilömatrikkelilla tarkoitetaan julkaisua, jossa rekisteröityjä yhdistävänä tekijänä on tietty ammatti tai koulutus, työ- tai muun yhteisön jäsenyys taikka asema tai saavutukset kulttuurin, urheilun, talouselämän tai muulla yhteiskuntaelämän alalla tai muu näihin rinnastettava seikka.

Edellä 1 momentissa tarkoitettua henkilömatrikkelirekisteriä varten saa henkilörekisteristä luovuttaa ne tiedot, jotka rekisterinpitäjällä on 1 momentin mukaan oikeus kerätä ja tallettaa tällaiseen rekisteriin, jollei rekisteröity ole kieltänyt tietojen luovuttamista.

18 §
Sukututkimus

Sukututkimusta varten pidettävään henkilörekisteriin saa muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa sukuun kuuluvasta henkilöstä ja tämän aviopuolisosta rekisterin tarkoituksen kannalta tarpeelliset yksilöintitiedot samoin kuin muut sukututkimuksen kannalta tarpeelliset henkilötiedot sekä yhteystiedot yhteydenottoa varten, jollei rekisteröity ole kieltänyt itseään koskevien tietojen keräämistä ja tallettamista.

Edellä 1 momentissa tarkoitettua sukututkimusrekisteriä varten saa henkilörekisteristä luovuttaa ne tiedot, jotka rekisterinpitäjällä on 1 momentin mukaan oikeus kerätä ja tallettaa tällaiseen rekisteriin, jollei rekisteröity ole kieltänyt tietojen luovuttamista.

19 §
Suoramarkkinointi ja muut osoitteelliset lähetykset

Suoramainontaan, etämyyntiin tai muuhun suoramarkkinointiin, mielipide- tai markkinatutkimukseen taikka muihin näihin rinnastettaviin osoitteellisiin lähetyksiin käytettävään henkilörekisteriin saa muilla kuin 8 §:n 1 momentissa säädetyillä perusteilla kerätä ja tallettaa henkilötietoja, jollei rekisteröity ole kieltänyt henkilötietojen tällaista keräämistä ja tallettamista, jos:

1) henkilörekisteriä käytetään ennakolta yksilöityyn ja kestoltaan lyhytaikaiseen markkinointitoimeen tai muuhun tässä momentissa tarkoitettuun toimeen eikä se tietosisältönsä vuoksi vaaranna rekisteröidyn yksityisyyden suojaa;

2) henkilörekisteri sisältää tiedot vain rekisteröidyn nimestä, arvosta tai ammatista, iästä, sukupuolesta ja äidinkielestä, yhden häneen liitettävän tunnistetiedon sekä yhteystiedot yhteydenottoa varten; tai

3) henkilörekisteri sisältää tietoja, jotka koskevat rekisteröidyn tehtäviä ja asemaa elinkeinoelämässä tai julkisessa tehtävässä ja sitä käytetään hänen työtehtäviinsä liittyvän informaation lähettämiseen.

Edellä 1 momentissa mainittua tarkoitusta varten saa henkilörekisteristä luovuttaa tai luovutuksessa otantaperusteena käyttää 1 momentin 2 kohdassa tarkoitettuja tietoja, jollei rekisteröity ole kieltänyt tiedon luovuttamista ja jos on ilmeistä, että rekisteröity tietää tietojen tällaisesta luovuttamisesta.

20-21 §

20-21 § on kumottu L:lla 11.5.2007/528.

5 luku

Henkilötietojen siirto Euroopan unionin ulkopuolelle

22 §
Yleiset edellytykset

Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle ainoastaan, jos kyseisessä maassa taataan tietosuojan riittävä taso.

Tietosuojan tason riittävyys on arvioitava ottaen huomioon tietojen luonne, suunnitellun käsittelyn tarkoitus ja kestoaika, alkuperämaa ja lopullinen kohde, asianomaisessa maassa voimassa olevat yleiset ja alakohtaiset oikeussäännöt sekä käytännesäännöt ja noudatettavat turvatoimet.

22 a § (24.11.2000/986)
Komission päätökset

Henkilötietoja voidaan siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin Euroopan yhteisöjen komissio on yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta annetun Euroopan parlamentin ja neuvoston direktiivin 95/46/EY, jäljempänä henkilötietodirektiivi, 3 artiklan ja 25 artiklan 6 kohdan mukaisesti todennut, että kyseisessä maassa taataan tietosuojan riittävä taso.

Henkilötietoja ei voida siirtää Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle siltä osin kuin komissio on henkilötietodirektiivin 3 artiklan ja 25 artiklan 4 kohdan mukaisesti todennut, että kyseisessä maassa ei taata tietosuojan riittävää tasoa.

23 §
Poikkeusperusteet

Silloin kun siirto ei ole mahdollinen 22 tai 22 a §:n nojalla, voidaan henkilötietoja kuitenkin siirtää, jos: (24.11.2000/986)

1) rekisteröity on antanut yksiselitteisen suostumuksensa siirtoon;

2) siirto on tarpeen rekisteröidyn toimeksiannosta tai rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanemiseksi tai sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;

3) siirto on tarpeen rekisterinpitäjän ja sivullisen välisen rekisteröidyn edun mukaisen sopimuksen tekemiseksi tai täytäntöönpanemiseksi;

4) siirto on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi;

5) siirto on tarpeen tai lain vaatima tärkeän yleisen edun turvaamiseksi tai oikeusvaateen laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi;

6) siirto tehdään rekisteristä, josta yleinen tai erityisin perustein tapahtuva tiedonsaanti on nimenomaisesti säädetty; (24.11.2000/986)

7) rekisterinpitäjä antaa sopimuslausekkein tai muulla tavoin riittävät takeet henkilöiden yksityisyyden ja oikeuksien suojasta, eikä komissio ole henkilötietodirektiivin 3 artiklan ja 26 artiklan 3 kohdan mukaisesti todennut takeita riittämättömiksi; tai (24.11.2000/986)

8) siirto tapahtuu henkilötietodirektiivin 26 artiklan 4 kohdassa tarkoitettuja komission hyväksymiä mallisopimuslausekkeita käyttäen. (24.11.2000/986)

6 luku

Rekisteröidyn oikeudet

24 §
Informointi tietojen käsittelystä

Rekisterinpitäjän on henkilötietoja kerätessään huolehdittava siitä, että rekisteröity voi saada tiedon rekisterinpitäjästä ja tarvittaessa tämän edustajasta, henkilötietojen käsittelyn tarkoituksesta sekä siitä, mihin tietoja säännönmukaisesti luovutetaan, samoin kuin ne tiedot, jotka ovat tarpeen rekisteröidyn oikeuksien käyttämiseksi asianomaisessa henkilötietojen käsittelyssä. Tiedot on annettava henkilötietoja kerättäessä ja talletettaessa tai, jos tiedot hankitaan muualta kuin rekisteröidyltä itseltään ja tietoja on tarkoitus luovuttaa, viimeistään silloin kun tietoja ensi kerran luovutetaan.

Edellä 1 momentissa säädetystä tiedonantovelvollisuudesta voidaan poiketa:

1) jos rekisteröity on jo saanut nämä tiedot;

2) jos se on välttämätöntä valtion turvallisuuden, puolustuksen tai yleisen järjestyksen ja turvallisuuden vuoksi, rikosten ehkäisemiseksi tai selvittämiseksi taikka verotukseen tai julkiseen talouteen liittyvän valvontatehtävän vuoksi; tai

3) kerättäessä tietoja muualta kuin rekisteröidyltä itseltään, jos tietojen antaminen rekisteröidylle on mahdotonta tai vaatii kohtuutonta vaivaa taikka aiheuttaa rekisteröidylle tai tietojenkäsittelyn tarkoitukselle olennaista vahinkoa tai haittaa eikä talletettavia tietoja käytetä rekisteröityä koskevaan päätöksentekoon taikka jos tietojen keräämisestä, tallettamisesta tai luovuttamisesta on nimenomaisesti säädetty.

25 §
Informointi tietojen käsittelystä tietyissä tapauksissa

1 momentti on kumottu L:lla 11.5.2007/528.

2 momentti on kumottu L:lla 11.5.2007/528.

Suoramainoksessa, etämyynnissä ja muussa suoramarkkinoinnissa sekä markkina- ja mielipidetutkimuksen kyselyssä ja muussa näihin rinnastettavassa osoitteellisessa lähetyksessä, jota varten henkilön nimi- ja yhteystiedot on hankittu henkilörekisteristä, on ilmoitettava tiedonhankinnassa käytetyn henkilörekisterin nimi, rekisterinpitäjä ja tämän yhteystiedot. Puhelinmyynnissä vastaavat tiedot on annettava pyynnöstä.

26 §
Tarkastusoikeus

Jokaisella on salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu tai, ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä, mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan. Silloin kun on kysymys 31 §:ssä tarkoitetusta automatisoidusta päätöksestä, rekisteröidyllä on oikeus saada tieto myös tietojen automaattiseen käsittelyyn liittyvistä toimintaperiaatteista.

2 momentti on kumottu L:lla 11.5.2007/528.

Rekisterinpitäjä saa periä tietojen antamisesta korvauksen vain, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Perittävän korvauksen tulee olla kohtuullinen eikä se saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia.

27 §
Tarkastusoikeuden rajoitukset

Edellä 26 §:ssä tarkoitettua tarkastusoikeutta ei ole, jos:

1) tiedon antaminen saattaisi vahingoittaa valtion turvallisuutta, puolustusta tai yleistä järjestystä ja turvallisuutta taikka haitata rikosten ehkäisemistä tai selvittämistä;

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

3) rekisterissä olevia henkilötietoja käytetään yksinomaan historiallista tai tieteellistä tutkimusta taikka tilastointia varten; tai

4) rekisterissä olevia henkilötietoja käytetään valvonta- ja tarkastustehtävissä ja tiedon antamatta jättäminen on välttämätöntä Suomen tai Euroopan unionin tärkeän taloudellisen tai rahoituksellisen edun turvaamiseksi.

Jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 1 momentin mukaan jäävät tarkastusoikeuden ulkopuolelle, rekisteröidyllä on oikeus saada tietää muut hänestä talletetut tiedot.

28 §
Tarkastusoikeuden toteuttaminen

Sen, joka haluaa tarkastaa itseään koskevat tiedot 26 §:ssä tarkoitetulla tavalla, on esitettävä tätä tarkoittava pyyntö rekisterinpitäjälle omakätisesti allekirjoitetussa tai sitä vastaavalla tavalla varmennetussa asiakirjassa tai henkilökohtaisesti rekisterinpitäjän luona.

Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua 26 §:ssä tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. Tiedot on annettava ymmärrettävässä muodossa. Jos rekisterinpitäjä kieltäytyy antamasta tietoja, hänen on annettava tästä kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi tarkastusoikeus on evätty. Tarkastusoikeuden epäämisen veroisena pidetään sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Sen, joka haluaa tietää, mitä häntä koskevia tietoja on talletettu terveydenhuollon viranomaisen tai laitoksen, lääkärin tai hammaslääkärin taikka muun terveydenhuollon ammattihenkilön pitämään, terveydentilaa tai sairautta koskevia henkilötietoja sisältävään rekisteriin, tulee tehdä pyyntö tarkastusoikeutensa käyttämisestä lääkärille tai muulle terveydenhuollon ammattihenkilölle, joka huolehtii tietojen hankkimisesta rekisteröidyn suostumuksella ja antaa tälle tiedon rekisterissä olevista merkinnöistä. Menettelystä tarkastusoikeuden toteuttamisessa tai sen epäämisessä on voimassa, mitä 2 momentissa säädetään.

29 §
Tiedon korjaaminen

Rekisterinpitäjän on ilman aiheetonta viivytystä oma-aloitteisesti tai rekisteröidyn vaatimuksesta oikaistava, poistettava tai täydennettävä rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto. Rekisterinpitäjän on myös estettävä tällaisen tiedon leviäminen, jos tieto voi vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan.

Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta tiedon korjaamisesta, hänen on annettava asiasta kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty. Rekisteröity voi saattaa asian tietosuojavaltuutetun käsiteltäväksi.

Rekisterinpitäjän on ilmoitettava tiedon korjaamisesta sille, jolle rekisterinpitäjä on luovuttanut tai jolta rekisterinpitäjä on saanut virheellisen henkilötiedon. Ilmoitusvelvollisuutta ei kuitenkaan ole, jos ilmoittaminen on mahdotonta tai vaatii kohtuutonta vaivaa.

30 §
Kielto-oikeus

Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta samoin kuin henkilömatrikkelia ja sukututkimusta varten.

31 §
Automatisoitu päätös

Sellaisen rekisteröidyn tiettyjen ominaisuuksien arviointiin tarkoitetun päätöksen tekeminen, joka tapahtuu ainoastaan automatisoidun tietojenkäsittelyn perusteella ja josta aiheutuu rekisteröidylle oikeudellisia vaikutuksia tai joka muuten vaikuttaa häneen merkittävällä tavalla, on sallittu vain, jos:

1) siitä on laissa säädetty; tai

2) päätös tehdään sopimuksen tekemisen tai täytäntöönpanon yhteydessä edellytyksellä, että rekisteröidyn oikeuksien suojaaminen varmistetaan tai että päätöksellä täytetään rekisteröidyn sopimuksen tekemistä tai täytäntöönpanoa koskeva pyyntö.

7 luku

Tietoturvallisuus ja tietojen säilytys

32 §
Tietojen suojaaminen

Rekisterinpitäjän on toteutettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset mahdollisuudet, toimenpiteiden aiheuttamat kustannukset, käsiteltävien tietojen laatu, määrä ja ikä sekä käsittelyn merkitys yksityisyyden suojan kannalta.

Sen, joka itsenäisenä elinkeinonharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä luovuttaa tietoja teknisen käyttöyhteyden avulla, on ennen tietojen käsittelyyn ryhtymistä annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoin riittävät takeet henkilötietojen suojaamisesta 1 momentissa tarkoitetulla tavalla. (11.5.2007/528)

33 §
Vaitiolovelvollisuus

Joka henkilötietojen käsittelyyn liittyviä toimenpiteitä suorittaessaan on saanut tietää jotakin toisen henkilön ominaisuuksista, henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa tämän lain vastaisesti sivulliselle ilmaista näin saamiaan tietoja.

34 §
Henkilörekisterin hävittäminen

Henkilörekisteri, joka ei ole enää rekisterinpitäjän toiminnan kannalta tarpeellinen, on hävitettävä, jollei siihen talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäviksi tai jollei rekisteriä siirretä 35 §:ssä tarkoitetulla tavalla arkistoon.

35 §
Henkilötietojen siirto arkistoon

Arkistolaitokseen tai siihen verrattavaan arkistoon siirrettyjen henkilörekistereiden käytöstä ja suojaamisesta sekä niissä olevien tietojen luovuttamisesta on voimassa, mitä erikseen säädetään. Arkistolaitoksen tai siihen verrattavan arkiston on kuitenkin henkilötietoja yksityisistä henkilörekistereistä luovutettaessa otettava huomioon, mitä tässä laissa säädetään henkilötietojen käsittelystä ja luovuttamisesta, jollei se henkilörekisteriin talletettujen tietojen ikä ja laatu huomioon ottaen ole rekisteröityjen yksityisyyden suojan vuoksi ilmeisen tarpeetonta.

Henkilörekisteri, joka on tieteellisen tutkimuksen kannalta tai muusta syystä merkityksellinen, voidaan siirtää korkeakoulun taikka tutkimustyötä lakisääteisenä tehtävänä suorittavan laitoksen tai viranomaisen arkistoon, jos kansallisarkisto on antanut siihen luvan. Kansallisarkisto voi antaa yhteisölle, säätiölle ja laitokselle luvan siirtää arkistoonsa omassa toiminnassa syntyneitä henkilörekistereitä, jotka täyttävät edellä mainitut vaatimukset. Kansallisarkiston on päätöksessään määrättävä, miten rekistereiden suojaus on järjestettävä sekä miten henkilötietojen käyttöä on valvottava.

Kansallisarkiston on ennen 2 momentissa tarkoitetun luvan antamista varattava tietosuojavaltuutetulle tilaisuus lausunnon antamiseen.

8 luku

Ilmoitus tietosuojavaltuutetulle

36 §
Ilmoitusvelvollisuus

Rekisterinpitäjän on ilmoitettava henkilötietojen automaattisesta käsittelystä tietosuojavaltuutetulle lähettämällä tälle rekisteriseloste.

Lisäksi rekisterinpitäjän on ilmoitettava tietosuojavaltuutetulle:

1) henkilötietojen siirrosta Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle, jos tietoja siirretään 22 §:n nojalla tai 23 §:n 6 tai 7 kohdassa tarkoitetuilla perusteilla eikä siirrosta ole laissa säädetty; sekä

2) 31 §:ssä tarkoitetun automatisoidun päätöksentekojärjestelmän käyttöönotosta.

Joka harjoittaa elinkeinona perimistoimintaa tai markkina- tai mielipidetutkimusta taikka hoitaa toisen lukuun henkilöstön valintaan ja soveltuvuuden arviointiin liittyviä tehtäviä tai tietojenkäsittelytehtäviä ja tässä toiminnassa käyttää tai käsittelee henkilörekistereitä ja niissä olevia tietoja, on velvollinen tekemään ilmoituksen toiminnastaan tietosuojavaltuutetulle. Velvollisuudesta tehdä ilmoitus luottotietotoiminnan harjoittamisesta säädetään luottotietolaissa (527/2007). (11.5.2007/528)

Edellä 1 momentissa tarkoitettua ilmoitusvelvollisuutta ei ole, jos henkilötietojen käsittely perustuu 8 §:n 1 momentin 1–3 kohtaan, 4 kohtaan, jos käsittelystä säädetään laissa, 5 kohdassa tarkoitettuun asiakas- tai palvelussuhteeseen tai jäsenyyteen tai 6 tai 9 kohtaan taikka 12 §:n 1–4 kohtaan, 5 kohtaan, jos käsittelystä säädetään laissa, tai 7–10, 12 tai 13 kohtaan taikka 13–18 tai 20 §:ään. Ilmoitusvelvollisuudesta voidaan lisäksi poiketa, sen mukaan kuin asetuksella säädetään, jos on ilmeistä, ettei henkilötietojen käsittely loukkaa rekisteröidyn yksityisyyden suojaa taikka hänen oikeuksiaan tai vapauksiaan.

20 § on kumottu L:lla 528/2007. Ks. L tietosuojalautakunnasta ja tietosuojavaltuutetusta 389/1994 5 § ja LuottotietoL 527/2007 7 luku.

37 §
Ilmoituksen tekeminen

Edellä 36 §:n 2 momentin 1 kohdassa tarkoitetusta ilmoituksesta tulee käydä ilmi rekisteriselosteeseen sisältyvien tietojen lisäksi, mitä tietotyyppejä siirretään ja miten siirto tapahtuu.

Edellä 36 §:n 2 momentin 2 kohdassa tarkoitetusta ilmoituksesta tulee käydä ilmi rekisteriselosteeseen sisältyvien tietojen lisäksi järjestelmässä käytetty logiikka.

Edellä 36 §:n 3 momentissa tarkoitetusta ilmoituksesta tulee käydä ilmi elinkeinonharjoittajan nimi, toimiala, kotipaikka ja yhteystiedot, toiminnassa käytettävät henkilörekisterit ja niiden sisältämät tietotyypit, tietojen mahdollinen luovuttaminen rekisteristä ja talletettujen tietojen säilytysaika, miten henkilörekistereiden suojaus on järjestetty ja miten niiden käyttöä valvotaan.

Ilmoitus on tehtävä riittävän ajoissa, kuitenkin viimeistään 30 päivää ennen henkilörekisteriin talletettaviksi aiottujen henkilötietojen keräämistä ja tallettamista tai muuhun ilmoitusvelvollisuuden aiheuttavaan toimenpiteeseen ryhtymistä.

9 luku

Henkilötietojen käsittelyn ohjaus ja valvonta

38 §
Tietosuojaviranomaiset

Tietosuojavaltuutettu antaa henkilötietojen käsittelyä koskevaa ohjausta ja neuvontaa sekä valvoo henkilötietojen käsittelyä tämän lain tavoitteiden toteuttamiseksi ja käyttää päätösvaltaa siten kuin tässä laissa säädetään.

Tietosuojalautakunta käsittelee henkilötietojen käsittelyyn liittyviä lain soveltamisalan kannalta periaatteellisesti tärkeitä kysymyksiä ja käyttää päätösvaltaa tietosuoja-asioissa siten kuin tässä laissa säädetään.

Tietosuojaviranomaiset voivat käyttää tässä luvussa tarkoitettuja toimivaltuuksia silloinkin, kun henkilötietojen käsittelyyn ei 4 §:n mukaisesti sovelleta tätä lakia. Tietosuojaviranomaiset toimivat yhteistyössä muiden Euroopan unionin jäsenvaltioiden tietosuojaviranomaisten kanssa ja antavat tarvittaessa virka-apua.

39 §
Tietosuojaviranomaisten tiedonsaanti- ja tarkastusoikeus

Tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada tiedot käsiteltävistä henkilötiedoista sekä kaikki tiedot, jotka ovat tarpeen henkilötietojen käsittelyn lainmukaisuuden valvonnassa. Tietosuojalautakunnalla on vastaava oikeus sen käsiteltävissä asioissa.

Tietosuojavaltuutetulla on oikeus tarkastaa henkilörekistereitä ja käyttää tarkastuksessa asiantuntijoita. Tarkastuksen toimittamista varten tietosuojavaltuutetulla ja asiantuntijalla on oikeus päästä sellaisiin rekisterinpitäjän ja hänen toimeksiannostaan toimivan hallussa oleviin huoneistoihin, joissa henkilötietoja käsitellään tai henkilörekistereitä pidetään, sekä saada käytettäväkseen tarkastuksen toimittamisessa tarvittavat tiedot ja laitteet. Kotirauhan piiriin kuuluvassa tilassa tarkastuksen saa toimittaa vain, jos esillä olevassa tapauksessa on olemassa yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan. Tarkastus on toimitettava niin, että siitä ei aiheudu rekisterinpitäjälle tarpeettomasti haittaa ja kustannuksia.

Edellä 2 §:n 5 momentissa tarkoitetun käsittelyn osalta tietosuojavaltuutettu valvoo 32 §:ssä säädetyn tietojen suojaamisvelvollisuuden noudattamista. Tietosuojavaltuutetulla on oikeus tässä tarkoituksessa saada tarpeellisia tietoja rekistereiden suojaamisesta.

40 §
Tietosuojavaltuutetun toimenpiteet

Tietosuojavaltuutetun on edistettävä hyvää tietojenkäsittelytapaa sekä ohjein ja neuvoin pyrittävä siihen, että lainvastaista menettelyä ei jatketa tai uusita. Tarvittaessa tietosuojavaltuutetun on saatettava asia tietosuojalautakunnan päätettäväksi taikka ilmoitettava se syytteeseen panoa varten.

Tietosuojavaltuutetun on ratkaistava asia, jonka rekisteröity on saattanut 28 ja 29 §:n nojalla hänen käsiteltäväkseen. Tietosuojavaltuutettu voi antaa rekisterinpitäjälle määräyksen rekisteröidyn tarkastusoikeuden toteuttamisesta tai tiedon korjaamisesta.

Tietosuojavaltuutettu voi antaa tarkempia ohjeita siitä, miten henkilötiedot on suojattava henkilötietojen laittomalta käsittelyltä.

41 §
Tietosuojavaltuutetun kuuleminen

Asianomaisen viranomaisen on varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi valmisteltaessa lainsäädännöllisiä tai hallinnollisia uudistuksia, jotka koskevat henkilöiden oikeuksien ja vapauksien suojaamista henkilötietojen käsittelyssä.

Syyttäjän on ennen tämän lain vastaista menettelyä koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi. (13.5.2011/457)

42 §
Toimialakohtaiset käytännesäännöt

Rekisterinpitäjät tai näitä edustavat yhteisöt voivat laatia toimialakohtaisia käytännesääntöjä tämän lain soveltamiseksi ja hyvän tietojenkäsittelytavan edistämiseksi sekä toimittaa laatimansa ehdotukset tietosuojavaltuutetulle. Tietosuojavaltuutettu voi tarkastaa, että käytännesäännöt ovat tämän lain ja muiden henkilötietojen käsittelyyn vaikuttavien säännösten mukaisia.

43 §
Tietosuojalautakunnan lupatoimivalta

Tietosuojalautakunta voi antaa 8 §:n 1 momentin 9 kohdassa tarkoitetun luvan henkilötietojen käsittelyyn, jos käsittely on tarpeen rekisteröidyn elintärkeän edun suojaamiseksi muussa kuin yksittäistapauksessa taikka yleistä etua koskevan tehtävän suorittamiseksi tai sellaisen julkisen vallan käyttämiseksi, joka kuuluu rekisterinpitäjälle tai sivulliselle, jolle tiedot luovutetaan. Lupa voidaan myöntää myös rekisterinpitäjän tai tiedot saavan sivullisen oikeutetun edun toteuttamiseksi edellyttäen, ettei tietojen tällainen käsittely vaaranna henkilön yksityisyyden suojaa ja oikeuksia.

Tietosuojalautakunta voi antaa 12 §:n 13 kohdassa tarkoitetun luvan arkaluonteisten henkilötietojen käsittelyyn tärkeää yleistä etua koskevasta syystä.

Lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojaamiseksi tarpeelliset määräykset. Määräyksiä voidaan tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää, jos se muuttuneiden olosuhteiden vuoksi on tarpeen.

44 §
Tietosuojalautakunnan määräykset

Tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta:

1) kieltää tämän lain tai sen nojalla annettujen säännösten ja määräysten vastaisen henkilötietojen käsittelyn;

2) velvoittaa muissa kuin 40 §:n 2 momentissa tarkoitetuissa asioissa asianomaisen määräajassa oikaisemaan sen, mitä on oikeudettomasti tehty tai laiminlyöty;

3) määrätä rekisteritoiminnan lopetettavaksi, jos lainvastaiset toimet tai laiminlyönnit huomattavasti vaarantavat rekisteröidyn yksityisyyden suojaa tai hänen etujaan tai oikeuksiaan, jollei rekisteristä ole laissa säädetty; sekä

4) peruuttaa 43 §:ssä tarkoitetun luvan, kun edellytyksiä luvan myöntämiselle ei enää ole tai kun rekisterinpitäjä toimii luvan tai siihen liitettyjen määräysten vastaisesti.

45 §
Muutoksenhaku

Tietosuojavaltuutetun 40 §:n 2 momentin ja tietosuojalautakunnan 43 ja 44 §:n nojalla tekemään päätökseen haetaan muutosta valittamalla noudattaen, mitä hallintolainkäyttölaissa (586/1996) säädetään. Tietosuojavaltuutettu voi hakea muutosta tietosuojalautakunnan 43 §:n nojalla tekemään päätökseen.

Tietosuojalautakunnan päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.

46 §
Uhkasakko

Tietosuojavaltuutettu voi asettaa 39 §:n 1 ja 3 momentin mukaisen tietojenantovelvollisuuden ja 40 §:n 2 momentin nojalla tekemänsä päätöksen ja tietosuojalautakunta 39 §:n 1 momentin mukaisen tietojenantovelvollisuuden ja 44 §:n nojalla tekemänsä päätöksen tehosteeksi uhkasakon siten kuin uhkasakkolaissa (1113/1990) säädetään.

10 luku

Erinäiset säännökset

47 §
Vahingonkorvausvelvollisuus

Rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä.

Vahingonkorvauksesta on muutoin voimassa, mitä vahingonkorvauslain (412/1974) 2 luvun 2 ja 3 §:ssä, 3 luvun 4 ja 6 §:ssä sekä 4, 6 ja 7 luvussa säädetään.

48 §
Rangaistussäännökset

Rangaistus henkilörekisteririkoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä ja henkilörekisteriin kohdistuvasta tietomurrosta rikoslain 38 luvun 8 §:ssä. Rangaistus 33 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.

Joka tahallaan tai törkeästä huolimattomuudesta tämän lain vastaisesti

1) laiminlyö noudattaa, mitä henkilötietojen käsittelyn tarkoitusten määrittelystä, rekisteriselosteen laatimisesta, tietojen käsittelystä, informoimisesta, henkilörekisterissä olevan tiedon korjaamisesta, rekisteröidyn kielto-oikeudesta tai ilmoituksen tekemisestä tietosuojavaltuutetulle säädetään,

2) antaa tietosuojaviranomaiselle henkilötietojen käsittelyä koskevassa asiassa väärän tai harhaanjohtavan tiedon,

3) rikkoo henkilötietojen suojaamisesta ja henkilörekisterin hävittämisestä annettuja säännöksiä ja määräyksiä taikka

4) rikkoo tietosuojalautakunnan 43 §:n 3 momentin nojalla antamaa lainvoimaista määräystä

ja siten vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan, on tuomittava, jollei teosta ole muualla laissa säädetty ankarampaa rangaistusta, henkilörekisteririkkomuksesta sakkoon.

49 §
Tarkemmat säännökset

Tarkemmat säännökset tämän lain täytäntöönpanosta annetaan asetuksella.

11 luku

Voimaantulo- ja siirtymäsäännökset

50 §
Voimaantulo

Tämä laki tulee voimaan 1 päivänä kesäkuuta 1999.

Tällä lailla kumotaan 30 päivänä huhtikuuta 1987 annettu henkilörekisterilaki (471/1987) siihen myöhemmin tehtyine muutoksineen. Kumotun lain massaluovutuksen ja arkaluonteisen otannan määritelmiä koskevia säännöksiä sovelletaan kuitenkin edelleen, siltä osin kuin muussa lainsäädännössä viitataan niihin, 24 päivään lokakuuta 2001.

Ennen tämän lain voimaantuloa voidaan ryhtyä sen täytäntöönpanon edellyttämiin toimiin.

51 §
Siirtymäsäännökset

Henkilötietojen käsittely, johon on ryhdytty ennen tämän lain voimaantuloa, on saatettava tämän lain vaatimuksia vastaavaksi viimeistään 24 päivänä lokakuuta 2001.

Jos muussa lainsäädännössä viitataan tällä lailla kumottuun henkilörekisterilakiin tai sen säännöksiin, viittauksen on katsottava tarkoittavan tätä lakia tai sen vastaavia säännöksiä.

HE 96/1998, HaVM 26/1998, EV 278/1998

Muutossäädösten voimaantulo ja soveltaminen:

24.11.2000/986:

Tämä laki tulee voimaan 1 päivänä joulukuuta 2000.

HE 137/2000, HaVM 16/2000, EV 144/2000, Euroopan parlamentin ja neuvoston direktiivi 95/46/EY (31995L0046); EYVL N:o L 281, 23.11.1995, s. 31

11.5.2007/528:

Tämä laki tulee voimaan 1 päivänä marraskuuta 2007.

2 mom. on kumottu L:lla 18.7.2008/512.

HE 241/2006, LaVM 32/2006, EV 315/2006

18.7.2008/512:

Tämä laki tulee voimaan 1 päivänä syyskuuta 2008.

HE 19/2008, TyVM 3/2008, EV 63/2008

30.4.2010/294:

Tämä laki tulee voimaan 1 päivänä toukokuuta 2010.

HE 169/2009, TaVM 4/2010, EV 38/2010, Euroopan parlamentin ja neuvoston direktiivi 2007/64/EY (32007L0064) EUVL N:o L 319, 5.12.2007, s.1

3.12.2010/1049:

Tämä laki tulee voimaan 1 päivänä tammikuuta 2011.

HE 202/2010, HaVM 20/2010, EV 196/2010

13.5.2011/457:

Tämä laki tulee voimaan 17 päivänä toukokuuta 2011.

HE 286/2010, LaVM 34/2010, EV 311/2010

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.