471/1987

Annettu Helsingissä 30 päivänä huhtikuuta 1987

Henkilörekisterilaki

Eduskunnan päätöksen mukaisesti säädetään:

1 luku

Yleisiä säännöksiä

1 §
Lain soveltamisala

Henkilötietoja kerättäessä, talletettaessa, käytettäessä ja luovutettaessa on henkilön yksityisyyden sekä hänen etujensa ja oikeuksiensa suojelemiseksi, valtion turvallisuuden varmistamiseksi samoin kuin hyvän rekisteritavan toteuttamiseksi noudatettava, mitä tässä laissa säädetään, jollei laissa ole toisin säädetty.

Tämä laki ei koske henkilötietojen keräämistä, tallettamista tai käyttöä yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin.

Tämä laki ei aiheuta muutosta oikeuteen julkaista painokirjoituksia.

2 §
Määritelmät

Tässä laissa tarkoitetaan:

1) henkilötiedolla sellaista henkilön taikka henkilön ominaisuuksien tai elinolosuhteiden kuvausta, joka voidaan tunnistaa tiettyä luonnollista yksityistä henkilöä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskevaksi;

2) henkilörekisterillä henkilötietoja sisältävää tietojoukkoa, jota käsitellään automaattisen tietojenkäsittelyn avulla, sekä sellaista luetteloa, kortistoa tai muuta näihin verrattavalla tavalla järjestettyä henkilötietoja sisältävää tietojoukkoa, josta tiettyä henkilöä koskevat tiedot voidaan löytää helposti ja kohtuuttomitta kustannuksitta;

3) rekisterinpitäjällä henkilöä, yhteisöä tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä;

4) rekisteröidyllä henkilöä, jota henkilötieto koskee;

5) henkilötietojen käytöllä henkilörekisteriin merkittäviksi kerättyjen tai siihen talletettujen henkilötietojen käyttämistä rekisterinpitäjän omassa toiminnassa;

6) henkilöluottotiedoilla henkilön taloudellisen aseman, sitoumusten hoitokyvyn tai luotettavuuden arvioimisessa käytettäviksi tarkoitettuja henkilötietoja;

7) luottotietotoiminnalla elinkeinona harjoitettavaa henkilöluottotietojen keräämistä ja tallettamista edelleen luovutusta varten;

8) massaluovutuksella koko henkilörekisterin tai suurehkoa määrää rekisteröityjä koskevien henkilötietojen luovuttamista ja henkilötietojen luovuttamista automaattiseen tietojenkäsittelyyn soveltuvassa muodossa tai siten, että luovutuksensaaja voi käyttää henkilörekisteriä teknisen käyttöyhteyden avulla; sekä

9) arkaluonteisella otannalla sellaista henkilötietoja sisältävää tietojoukkoa, joka valintaperusteidensa ja käyttötarkoituksensa vuoksi on omiaan vaarantamaan rekisteröidyn yksityisyyden suojaa.

3 §
Rekisterinpitäjänhuolellisuusvelvoite

Rekisterinpitäjän on henkilötietoja kerättäessä, talletettaessa, käytettäessä ja luovutettaessa noudatettava huolellisuutta ja hyvää rekisteritapaa sekä toimittava muutoinkin niin, ettei rekisteröidyn yksityisyyden suojaa taikka hänen etujaan tai oikeuksiaan perusteettomasti loukata ja ettei valtion turvallisuutta vaaranneta. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä on luovuttanut henkilötietoja.

2 luku

Henkilötietojen kerääminen ja tallettaminen

4 §
Henkilörekisterin käytön määrittely

Henkilörekisterin käytön tulee olla asiallisesti perusteltu rekisterinpitäjän toiminnan ja hallinnon kannalta. Henkilörekisterin käyttötarkoitus sekä se, mistä talletettavat henkilötiedot säännönmukaisesti hankitaan (säännönmukaiset tietolähteet) ja mihin talletettuja henkilötietoja säännönmukaisesti luovutetaan (säännönmukainen tietojen luovutus), on määriteltävä ennen rekisteriin talletettaviksi aiottujen henkilötietojen keräämistä tai, jos henkilötiedot sisältyvät rekisterinpitäjän tavanomaisen toiminnan seurauksena syntyneisiin asiakirjoihin, ennen henkilötietojen järjestämistä henkilörekisteriksi.

Rekisterin käyttötarkoitus tulee määritellä siten, että siitä ilmenee, minkälaisten rekisterinpitäjän tehtävien hoitamiseksi henkilörekisteriä pidetään. Samaan henkilörekisteriin luetaan kuuluviksi teknisesti erikseen pidetyt henkilörekisterit, jos niitä käytetään saman tehtävän hoitamiseksi.

Henkilörekisterin käyttötarkoitus sekä säännönmukaiset tietojensiirrot voidaan myöhemmin määritellä uudelleen, jos se on muuttuneiden olosuhteiden vuoksi tarpeen eikä näin määritelty käyttötarkoitus olennaisesti poikkea alkuperäisestä käyttötarkoituksesta.

5 §
Henkilötietojen tallettaminen henkilörekisteriin

Henkilörekisteriin merkittäviksi saa kerätä ja rekisteriin tallettaa ilman rekisteröidyn suostumusta tai tietosuojalautakunnan lupaa tietoja vain sellaisista henkilöistä, joilla asiakas- tai palvelussuhteen, jäsenyyden tai muun niihin verrattavan suhteen vuoksi on asiallinen yhteys rekisterinpitäjän toimintaan, jollei rekisterin pitäminen johdu rekisterinpitäjälle säädetystä taikka lain tai asetuksen nojalla määrätystä tehtävästä (yhteysvaatimus).

Henkilörekisteriin saa tallettaa vain sellaisia henkilötietoja, jotka rekisterin käyttötarkoituksen kannalta ovat tarpeellisia (tarpeellisuusvaatimus). Asetuksella voidaan säätää tarkemmin, mitä henkilötietoja tietynlaisiin henkilörekistereihin saa tallettaa.

Konserni tai muu taloudellinen yhteenliittymä saa 1 momentin estämättä kerätä ja tallettaa yhteiseen henkilörekisteriin henkilötietoja yhteenliittymään kuuluvien yksiköiden asiakkaista tai työntekijöistä, jollei salassapitosäännöksistä muuta johdu.

Luottotietotoimintaa sekä suoramainontaa, puhelinmyyntiä ja muuta suoramarkkinointia, osoitepalvelua, mielipide- ja markkinatutkimusta sekä tieteellistä tutkimusta ja tilastointia varten saa 1 momentin estämättä kerätä ja tallettaa henkilötietoja henkilörekisteriin. Tällaisten henkilörekisterien käytöstä sekä niihin talletettavista tiedoista säädetään tarkemmin asetuksella.

6 §
Arkaluonteisten tietojen rekisteröintikielto

Henkilörekisteriin merkittäviksi ei saa kerätä eikä rekisteriin tallettaa arkaluonteisia tietoja.

Arkaluonteisina tietoina pidetään henkilötietoja, jotka on tarkoitettu kuvaamaan:

1) rotua tai etnistä alkuperää;

2) henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta;

3) rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta;

4) henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä tai niihin verrattavia toimia;

5) henkilön seksuaalista käyttäytymistä; taikka

6) henkilön saamia sosiaalipalveluja, toimeentulotukea, sosiaaliavustuksia ja niihin liittyviä sosiaalihuollon palveluja.

7 §
Poikkeukset arkaluonteisten tietojen rekisteröintikiellosta

Mitä 6 §:ssä on säädetty, ei estä tietojen keräämistä ja tallettamista henkilörekisteriin, jos tietosuojalautakunta on antanut siihen luvan tai rekisteröity suostumuksensa taikka jos kysymys on:

1) henkilörekisteristä, josta on säädetty laissa tai asetuksessa tai jonka perustaminen johtuu välittömästi rekisterinpitäjälle säädetystä taikka lain tai asetuksen nojalla määrätystä tehtävästä;

2) sosiaalihuollon viranomaisen pitämästä henkilörekisteristä, joka sisältää kyseisen viranomaisen toiminnassaan saamia tietoja rekisteröidyn saamasta sosiaalihuollosta ja sen perusteista;

3) terveydenhuollon viranomaisen tai laitoksen pitämästä henkilörekisteristä, joka sisältää näiden toiminnassaan saamia tietoja rekisteröidyn terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja;

4) lääkärin, hammaslääkärin ja muun terveydenhuollon ammattikoulutuksen saaneen henkilön pitämästä henkilörekisteristä, joka sisältää hänen ammattitoiminnassaan saamiaan tietoja rekisteröidyn terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä taikka muita rekisteröidyn hoidon kannalta välttämättömiä tietoja;

5) kunnallisen viranomaisen viranhaltijoistaan pitämästä nimikirjasta, joka sisältää ne tiedot, jotka nimikirja-asetuksen (215/64) mukaan voidaan merkitä valtion virkamiehistä pidettävään nimikirjaan;

6) vakuutusyhtiön pitämästä henkilörekisteristä, joka sisältää vakuutustoiminnassa saatuja tietoja vakuutetun terveydentilasta, sairaudesta tai vammaisuudesta taikka häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista; tai

7) sellaisesta yksilöityä tieteellistä tutkimusta varten tarkoitetusta henkilörekisteristä kuin asetuksella tarkemmin säädetään.

8 §
Tietolähteiden kirjaaminen

Rekisterinpitäjän on henkilötietoja henkilörekisteriin talletettaessa säilytettävä selvitys siitä, mistä talletettava tieto on peräisin, jos sen hankinnassa on käytetty muita kuin 4 §:n mukaisesti määriteltyjä säännönmukaisia tietolähteitä.

3 luku

Henkilötietojen tarkastaminen ja korjaaminen

9 §
Tietojen paikkansapitävyyden varmistaminen

Rekisterinpitäjän on käyttämällä luotettavia tietolähteitä sekä muutoinkin huolehdittava siitä, ettei henkilörekisteriin merkitä virheellisiä, epätäydellisiä tai vanhentuneita tietoja. Rekisterinpitäjän velvollisuutta arvioitaessa on otettava huomioon henkilörekisterin käyttötarkoitus sekä rekisterin käytön merkitys rekisteröidyn yksityisyyden suojalle sekä hänen eduilleen ja oikeuksilleen.

10 §
Rekisteriselosteen laatiminen

Rekisterinpitäjän on laadittava automaattisen tietojenkäsittelyn avulla ylläpidettävästä henkilörekisteristä rekisteriseloste, josta ilmenee rekisterin käyttötarkoitus sekä rekisterin tietosisältö. Rekisteriseloste on pidettävä jokaisen nähtävänä rekisterinpitäjän toimipaikassa.

Rekisteriseloste on laadittava ennen henkilörekisteriin talletettaviksi aiottujen tietojen keräämistä tai, jos henkilötiedot sisältyvät rekisterinpitäjän tavanomaisen toiminnan seurauksena syntyneisiin asiakirjoihin, ennen henkilötietojen järjestämistä henkilörekisteriksi.

Rekisterinpitäjän on annettava pyynnöstä tieto sellaisenkin henkilörekisterin käyttötarkoituksesta ja tietojen laadusta, josta ei ole laadittava rekisteriselostetta.

Asetuksella voidaan säätää, että 1 momentissa tarkoitetut tiedot annetaan vain tietosuojavaltuutetulle, jos rekisteriselosteen nähtävillä pito saattaa vaarantaa valtion turvallisuutta taikka suhteita toiseen valtioon tai kansainväliseen järjestöön taikka haitata rikosten ehkäisemistä tai selvittämistä.

11 §
Rekisteröidyn tarkastusoikeus

Jokaisella on salassapitosäännösten estämättä oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu tai ettei rekisterissä ole häntä koskevia tietoja. Rekisterinpitäjän on samalla ilmoitettava rekisteröidylle rekisterin säännönmukaiset tietolähteet sekä mihin rekisterin tietoja käytetään ja säännönmukaisesti luovutetaan. Rekisterinpitäjä saa periä tietojen antamisesta korvauksen vain, jos siitä, kun asianomainen edellisen kerran sai tarkastettavakseen rekisterin tiedot, on kulunut vähemmän kuin yksi vuosi. Perittävän korvauksen tulee olla kohtuullinen eikä se saa ylittää tiedon antamisesta aiheutuvia välittömiä kustannuksia.

Sen, joka haluaa tarkastaa itseään koskevat tiedot 1 momentissa tarkoitetulla tavalla, on esitettävä tätä tarkoittava pyyntö henkilökohtaisesti rekisterinpitäjän luona tai omakätisesti allekirjoitetulla kirjeellä. Asetuksella säädetään tarkemmin terveydenhuollon henkilörekistereiden tarkastusoikeuden toteuttamisesta.

12 §
Tarkastusoikeuden rajoitukset

Edellä 11 §:ssä tarkoitettua tarkastusoikeutta ei ole:

1) jos tiedon antaminen saattaisi vahingoittaa valtion turvallisuutta taikka suhteita toiseen val-tioon tai kansainväliseen järjestöön, haitata rikosten ehkäisemistä tai selvittämistä taikka olla vastoin muuta erittäin tärkeää yleistä etua;

2) jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jos tiedon antaminen saattaisi olla vastoin muuta erittäin tärkeää yksityistä etua;

3) jos rekisterissä olevia henkilötietoja käytetään yksinomaan tilastollisesti tutkimus- tai suunnittelutoimintaa varten; taikka

4) työnantajan työntekijöistään muutoin kuin automaattisen tietojenkäsittelyn avulla ylläpitämään henkilörekisteriin sisältyviin palkkauksen perusteena oleviin henkilöarviointeihin, jos tällaisesta palkkauksen perusteesta on asianomaisessa työ- tai virkaehtosopimuksessa, tai jos sellaista ei ole, asianomaisen työntekijän kanssa sovittu, samoin kuin työnantajan vastaavalla tavalla työntekijän valintaa varten ylläpitämään henkilörekisteriin, joka hävitetään heti kun se ei ole tarpeen työnantajan lakisääteisten velvoitteiden hoitamiseksi.

Jos vain osa rekisteröityä koskevista tiedoista on sellaisia, että ne 1 momentin 1 ja 2 kohdan mukaan jäävät tarkastusoikeuden ulkopuolelle, on rekisteröidyllä oikeus saada tietää muut hänestä talletetut tiedot.

Asetuksella voidaan säätää, että tarkastusoikeuden ulkopuolelle jäävät sellaiset henkilörekisterit, joissa olevista itseään koskevista tiedoista rekisteröity saa tiedon laissa tai asetuksessa säädetyn menettelyn johdosta tai rekisterinpitäjän toimin.

13 §
Luottotietorekistereitä koskeva tarkastusoikeus

Luottotietotoimintaa harjoittavan rekisterinpitäjän on ilmoitettava rekisteröidylle tätä koskevan ensimmäisen merkinnän tekemisestä luottotietorekisteriin.

Luottotietotoimintaa harjoittavan rekisterinpitäjän on rekisteröidyn pyynnöstä ilmoitettava, kenelle tai mihin tätä koskevia henkilöluottotietoja on kuuden viimeisen kuukauden aikana luovutettu sekä keneltä tai mistä rekisteröityä koskevat tiedot ovat peräisin. Tarkastusoikeudesta on muutoin voimassa, mitä 11 §:ssä säädetään.

14 §
Tarkastusoikeuden toteuttaminen

Rekisterinpitäjän on ilman aiheetonta viivytystä varattava rekisteröidylle tilaisuus tutustua 11 §:ssä tarkoitettuihin tietoihin tai annettava tiedot pyydettäessä kirjallisesti. Jos rekisterinpitäjä kieltäytyy antamasta tietoja, hänen on annettava pyynnöstä tästä kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi tarkastusoikeus on evätty.

Tarkastusoikeuden epäämisen veroisena pidetään sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle.

15 §
Virheen oikaisu

Rekisterinpitäjän on huolehdittava siitä, että henkilörekisterissä oleva, rekisterin käyttötarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto ilman aiheetonta viivytystä oikaistaan, poistetaan tai täydennetään (virheen oikaisu), jos on ilmeistä, että tällainen tieto vaarantaa rekisteröidyn yksityisyyden suojaa taikka hänen etujaan tai oikeuksiaan. Rekisteröidyn perustellusta vaatimuksesta virhe on aina oikaistava.

Jollei rekisterinpitäjä hyväksy vaatimusta virheen oikaisusta, on hänen annettava asiasta pyynnöstä kirjallinen todistus. Todistuksessa on mainittava myös ne syyt, joiden vuoksi vaatimusta ei ole hyväksytty.

Rekisterinpitäjän on ilmoitettava virheen oikaisusta sille, jolle hän on säännönmukaisessa tietojensiirrossa luovuttanut tai jolta hän on siinä saanut virheellisen henkilötiedon, jos virhe saattaa loukata rekisteröidyn etuja tai oikeuksia. Rekisteröidyn perustellusta vaatimuksesta on virheen oikaisusta aina ilmoitettava sille, jolle rekisterinpitäjä tietää todennäköisesti luovuttaneensa tai jolta hän tietää todennäköisesti saaneensa virheellisen henkilötiedon, sekä rekisteröidyn ilmoittamalle tiedon antajalle tai luovutuksensaajalle.

4 luku

Henkilötiedon käyttö ja luovutus

16 §
Tarkoitussidonnaisuus

Henkilörekisterissä olevia henkilötietoja saa käyttää vain siihen tarkoitukseen, joka on määritelty ennen tietojen keräämistä, jollei tämän tai muun lain säännöksestä muuta johdu. Henkilörekisterissä olevia tietoja saa kuitenkin käyttää tilastollisesti rekisterinpitäjän tutkimus- ja suunnittelutoiminnassa.

17 §
Luovutuksensaajan selontekovelvollisuus

Joka pyytää käytettäväkseen henkilörekisteriin talletettuja tietoja, on velvollinen antamaan rekisterinpitäjälle selvityksen siitä, mihin pyydettyjä tietoja on tarkoitus käyttää sekä miten tarvittava henkilötietojen suojaus aiotaan järjestää.

18 §
Tiedon luovuttaminen henkilörekistereistä

Henkilörekisterissä olevia tai sitä varten kerättyjä henkilötietoja ei saa luovuttaa, ellei 2 tai 3 momentista muuta johdu tai ellei tietoja luovuteta:

1) rekisteröidyn suostumuksella tai rekisteröidyn toimeksiannosta;

2) lain tai asetuksen taikka niiden nojalla annetun määräyksen mukaisesti;

3) sellaisissa olosuhteissa, joissa henkilötiedon luovuttaminen kuuluu tavanomaisena osana sellaisen toiminnan harjoittamiseen; luovuttamisen edellytyksenä on tällöin kuitenkin, että rekisteröidyn voidaan olettaa tietävän henkilötietojen tällaisesta luovuttamisesta ja että kysymys ei ole arkaluonteisista tiedoista; tai

4) tieteellistä tutkimusta tai tilastointia varten.

Suoramainontaa, puhelinmyyntiä ja muuta suoramarkkinointia sekä osoitepalvelua varten saa muusta kuin arkaluonteisia tietoja sisältävästä henkilörekisteristä luovuttaa henkilötietoja, jollei rekisteröity ole kieltänyt tiedon luovuttamista ja jos on ilmeistä, että rekisteröity tietää henkilötietojen tällaisesta luovuttamisesta. Luovutettavista tiedoista säädetään tarkemmin asetuksella.

Henkilöluottotiedon saa luovuttaa ainoastaan luottotietotoimintaa harjoittavalle rekisterinpitäjälle sekä sille, joka tarvitsee tietoa luoton myöntämistä tai luoton valvontaa varten taikka muuhun tähän verrattavaan tarkoitukseen.

Henkilötietojen luovuttamisena ei pidetä henkilötietojen antamista rekisterinpitäjän toimeksiannosta tapahtuvaa maksupalvelua, tietojenkäsittelyä, postitusta tai muita niihin verrattavia tehtäviä varten taikka henkilötietojen siirtämistä 5§:n 3 momentissa tarkoitettuun yhteiseen rekisteriin taikka sellaisten tietojen luovuttamista, joiden avulla rekisteröity ei ole tunnistettavissa.

19 §
Henkilötietojen massaluovutus ja arkaluonteinen otanta

Henkilörekisterissä olevia tai sitä varten kerättyjä henkilötietoja saa massaluovutuksena tai arkaluonteisena otantana luovuttaa vain:

1) jos rekisteröity on antanut siihen suostumuksensa tai jos se tapahtuu rekisteröidyn toimeksiannosta;

2) jos tietojen tällainen luovuttaminen tapahtuu 18 §:n 3 momentin taikka muun lain tai asetuksen taikka tietosuojalautakunnan antaman luvan mukaisesti; tai

3) jos luovutuksensaajalla on tämän lain mukainen oikeus tallettaa luovutettavat henkilötiedot henkilörekisteriin eikä henkilötietojen luovutus ja käyttö vaaranna rekisteröidyn yksityisyyden suojaa tai hänen etujaan tai oikeuksiaan taikka valtion turvallisuutta.

Henkilötunnuksen saa 1 momentissa tarkoitetuissa tapauksissa luovuttaa vain, jos luovutuksensaajalla on se jo käytettävissään tai jos hänellä on oikeus saada se rekisteröidyltä itseltään tai väestörekisteristä taikka jos luovutus tapahtuu tieteellistä tutkimusta tai tilastointia tai luottotietotoimintaa varten.

20 §
Henkilörekisterien yhdistäminen

Henkilörekistereitä saa yhdistää vain:

1) jos rekisteröity on antanut siihen suostumuksensa tai tietosuojalautakunta luvan;

2) jos yhdistäminen johtuu välittömästi laissa säädetystä tehtävästä ja rekisterinpitäjällä on tätä tarkoitusta varten oikeus saada ja käyttää yhdisteltäviä tietoja;

3) jos yhdistäminen tapahtuu osoitetietojen tavanomaiseksi päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi; tai

4) jos on ilmeistä, että yhdistäminen ei vaaranna rekisteröidyn yksityisyyden suojaa tai hänen etujaan tai oikeuksiaan.

Henkilörekisterien yhdistämisenä ei pidetä samalle rekisterinpitäjälle kuuluvan kahden tai useamman teknisesti erikseen pidetyn henkilörekisterin muodostamista yhdeksi rekisteriksi, jos rekisterit liittyvät saman rekisterinpitäjän ja rekisteröidyn välisen suhteen hallinnointiin ja muodostettava uusi rekisteri täyttää 4-7 §:ssä säädetyt vaatimukset.

21 §
Luovutettujen tietojen käyttö

Se, jolle henkilötietoja on luovutettu, ei saa käyttää saamiaan henkilötietoja muuhun kuin niitä luovutettaessa määriteltyihin käyttötarkoituksiin. Sama koskee sitä, joka on saanut henkilötiedon rekisterinpitäjän toimeksiannosta suoritettavaa tehtävää varten.

22 §
Tiedon luovuttaminen ulkomaille

Henkilörekisterissä olevia tai sitä varten kerättyjä henkilötietoja saa massaluovutuksena tai arkaluonteisena otantana luovuttaa ilman tietosuojalautakunnan lupaa taikka rekisteröidyn suostumusta tai toimeksiantoa vain sellaiseen maahan, jonka lainsäädäntö vastaa tämän lain säännöksiä. Näistä maista säädetään tarkemmin asetuksella.

Lupa voidaan myöntää, jos on ilmeistä, että luovutus ei luovutettavien henkilötietojen määrä, laatu ja käyttötarkoitus sekä suoritettavat suojaustoimet huomioon ottaen vaaranna rekisteröidyn yksityisyyden suojaa tai loukkaa hänen etujaan tai oikeuksiaan taikka vaaranna valtion turvallisuutta.

Henkilötietoja saa luovuttaa rekisterinpitäjän toimeksiannosta tapahtuvaa tietojenkäsittelyä ja postitusta varten toiseen valtioon, jos henkilötietojen luovutus ja käyttö ei vaaranna rekisteröidyn yksityisyyden suojaa tai hänen etujaan tai oikeuksiaan taikka valtion turvallisuutta.

23 §
Oikeus kieltää tiedon käyttö tai luovutus

Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käyttämästä tai luovuttamasta häntä itseään koskevia tietoja suoramainontaan, puhelinmyyntiin ja muuhun suoramarkkinointiin, osoitepalveluun sekä markkina- ja mielipidetutkimukseen.

24 §
Henkilörekisterin käytöstä ilmoittaminen tietyissä tapauksissa

Sen, joka on hankkinut rekisteröidyn henkilöluottotietoja käytettäviksi rekisteröityä koskevaa päätöksentekoa varten, on ilmoitettava rekisteröidylle luottotietojen käytöstä päätöksenteossa sekä siitä, mistä rekisteristä luottotiedot ovat peräisin, jos luoton epääminen tai muu rekisteröidylle kielteinen päätös pääasiallisesti johtuu saaduista luottotiedoista.

Suoramainoksessa, puhelinmyynnissä ja muussa suoramarkkinoinnissa sekä markkina- ja mielipidetutkimuksen kyselyssä, jota varten henkilön nimi- ja osoitetiedot on hankittu henkilörekisteristä, on ilmoitettava tiedonhankinnassa käytetyn henkilörekisterin nimi, rekisterinpitäjä ja tämän osoite.

25 §
Tietojen luovuttamisen kirjaaminen

Rekisterinpitäjän on, jollei 2 momentista muuta johdu, henkilötietoja 19 §:n 1 momentin 3 kohdan nojalla luovutettaessa säilytettävä tieto siitä:

1) minkälaisia tietoja on luovutettu;

2) kenelle tiedot on luovutettu;

3) mihin tarkoitukseen tiedot on luovutettu käytettäviksi; sekä

4) milloin tiedot on luovutettu.

Tietojen säilyttäminen ei ole tarpeen 1 momentissa tarkoitetulla tavalla, kun tietoja luovutetaan 4 §:n mukaisesti määriteltynä säännönmukaisena tietojen luovutuksena. Tiedot luovutuksesta on kuitenkin aina säilytettävä, kun kysymys on sellaisesta henkilörekisteristä, jota ylläpidetään elinkeinona harjoitettavaa henkilötietojen edelleen luovutusta varten.

5 luku

Henkilörekisterin suojaaminen, arkistointi ja hävittäminen

26 §
Henkilörekisterin suojaaminen

Rekisterinpitäjän on huolehdittava siitä, että henkilörekisteri ja sen tiedot on asianmukaisesti suojattu luvatonta käsittelyä, käyttöä, tuhoamista ja muuttamista sekä anastusta vastaan. Sama velvollisuus on sillä, joka itsenäisenä elinkeinon- tai toiminnanharjoittajana toimii rekisterinpitäjän lukuun tai jolle rekisterinpitäjä on luovuttanut henkilötietoja massaluovutuksena tai arkaluonteisena otantana.

27 §
Henkilörekisterin hävittäminen
Jos henkilörekisteri ei ole enää rekisterinpitäjän toiminnan kannalta tarpeellinen, rekisteri on hävitettävä, jollei siihen talletettuja tietoja ole erikseen säädetty tai määrätty säilytettäviksi tai jollei sitä siirretä arkistoitavaksi siten kuin asetuksella tarkemmin säädetään.
28 §
Arkistoon siirretyt henkilörekisterit
Arkistoviranomaisten haltuun siirrettyjen henkilörekistereiden käytöstä ja suojaamisesta sekä niissä olevien tietojen luovuttamisesta on voimassa, mitä erikseen on säädetty. Arkistoviranomaisen on kuitenkin henkilötietoja yksityisistä henkilörekistereistä luovutettaessa otettava huomioon, mitä tässä laissa on henkilötietojen luovuttamisesta säädetty, jollei se henkilörekisteriin talletettujen tietojen ikä ja laatu huomioon ottaen ole rekisteröityjen yksityisyyden suojan vuoksi ilmeisen tarpeetonta.

6 luku

Valvonta ja pakkokeinot sekä poikkeusluvat

29 §
Tietosuojaviranomaiset

Tietosuojavaltuutettu valvoo henkilötietojen keräämistä, tallettamista, käyttöä ja luovuttamista tämän lain tavoitteiden toteuttamiseksi.

Tietosuojalautakunta käyttää päätösvaltaa tietosuoja-asioissa siten kuin tässä laissa säädetään.

Tietosuojavaltuutetun toimistosta sekä tietosuojalautakunnan kokoonpanosta ja asian käsittelystä lautakunnassa säädetään tietosuojalautakunnasta ja tietosuojavaltuutetusta annetussa laissa (474/87).

30 §
Ilmoitusvelvollisuus

Rekisterinpitäjän on tehtävä ilmoitus tietosuojavaltuutetulle:

1) henkilörekisteristä, jonka tietoja on tarkoitus käyttää suoramainontaan, puhelinmyyntiin tai muuhun suoramarkkinointiin taikka osoitepalveluun taikka mielipide- tai markkinatutkimukseen, jos rekisteri sisältää tietoja sellaisista henkilöistä, joilla ei ole 5 §:n 1 momentissa tarkoitettua asiakas- tai palvelussuhdetta, jäsenyyteen perustuvaa tai muuta siihen verrattavaa suhdetta rekisterinpitäjään;

2) henkilörekisteristä, jota ylläpidetään automaattisen tietojenkäsittelyn avulla ja johon kerätään tietoja 19 §:n 1 momentin 3 kohdan nojalla, jollei kysymys ole tavanomaisena pidettävästä osoitetietojen päivityksestä tai tieteellistä tutkimusta varten ylläpidetystä henkilörekisteristä;

3) henkilötietojen luovuttamisesta toiseen valtioon automaattista tietojenkäsittelyä varten tai henkilörekisterissä olevien henkilötietojen luovuttamisesta huomattavassa määrin käytettäviksi toisessa valtiossa, jollei luovuttamiseen ole haettu 22 §:ssä tarkoitettua lupaa; sekä

4) edellä 1 ja 2 kohdassa tarkoitetun henkilörekisterin olennaisesta muuttamisesta.

Joka harjoittaa luottotietotoimintaa taikka elinkeinona harjoittaa perimistoimintaa tai markkinointi- tai mielipidetutkimusta taikka hoitaa toisen lukuun henkilöstön valintaan ja soveltuvuuden arviointiin liittyviä tehtäviä tai tietojenkäsittelytehtäviä ja tässä toiminnassa käyttää tai käsittelee henkilörekistereitä ja niissä olevia tietoja, on velvollinen tekemään ilmoituksen toiminnastaan tietosuojavaltuutetulle.

Ilmoitus on tehtävä riittävän ajoissa, kuitenkin viimeistään kuukausi ennen henkilörekisteriin talletettaviksi aiottujen henkilötietojen keräämistä taikka toiminnan aloittamista taikka muuhun ilmoitusvelvollisuuden aiheuttavaan toimenpiteeseen ryhtymistä. Jos henkilörekisteri, josta aikaisemmin ei ole ollut velvollisuutta tehdä ilmoitusta, muutetaan sellaiseksi, että siitä on tehtävä ilmoitus, ilmoitus on tehtävä kuukausi ennen muutetun rekisterin käyttöönottoa.

Asetuksella voidaan säätää sellaisia poikkeuksia ilmoitusvelvollisuudesta, jotka eivät vaaranna mahdollisuuksia ohjata rekisteritoimintaa tämän lain tavoitteiden toteuttamiseksi.

31 §
Rekisterinpitäjän tietojenantovelvollisuus

Rekisterinpitäjä on velvollinen salassapitosäännösten estämättä antamaan tietosuojavaltuutetulle tämän pyytämät henkilötietojen keräämisen, tallettamisen, tarkastamisen, käytön ja luovuttamisen lainmukaisuuden valvontaa varten tarpeelliset tiedot henkilörekisteristä ja sen käytöstä.

Rekisterinpitäjät ovat velvollisia antamaan tietosuojavaltuutetulle henkilörekistereitä koskevia selvityksiä siten kuin asetuksella tarkemmin säädetään.

32 §
Tietosuojaviranomaisen tarkastusoikeus

Tietosuojavaltuutetulla on oikeus tarkastaa henkilörekistereitä ja käyttää tarkastuksessa tietosuojalautakunnan hyväksymiä asiantuntijoita.

Tarkastuksen toimittamista varten tietosuojavaltuutetulla ja asiantuntijalla on oikeus päästä sellaisiin rekisterinpitäjän tai hänen toimeksiannostaan toimivan hallussa oleviin huoneistoihin, joissa henkilötietoja käsitellään tai henkilörekistereitä pidetään, sekä saada käytettävikseen tarkastuksen toimittamisessa tarvittavat tiedot ja laitteet.

Tarkastus on toimitettava niin, että siitä ei aiheudu rekisterinpitäjälle tarpeettomasti haittaa ja kustannuksia.

33 §
Yleiset ohjeet

Tietosuojavaltuutettu voi antaa tarkempia ohjeita siitä, milloin henkilötietoja voidaan 19 §:n nojalla luovuttaa ja henkilörekistereitä 20 §:n nojalla yhdistää ilman tietosuojalautakunnan lupaa, sekä siitä, miten henkilörekisterit on suojattava ulkopuoliselta käytöltä.

34 §
Rekisterikohtainen ohjaus

Havaitessaan henkilötietojen keräämisen tai tallettamisen taikka henkilörekisterissä olevien tietojen käytön tai luovuttamisen olevan lainvastaista, tietosuojavaltuutetun on pyrittävä saamaan asianomainen vapaaehtoisesti muuttamaan menettelyään. Tarvittaessa tietosuojavaltuutetun on saatettava asia tietosuojalautakunnan käsiteltäväksi taikka ilmoitettava se syytteeseenpanoa varten.

35 §
Velvoittaminen ja kieltäminen

Tietosuojavaltuutettu voi rekisteröidyn hakemuksesta antaa rekisterinpitäjälle määräyksen rekisteröidyn tarkastusoikeuden toteuttamisesta ja rekisterissä olevan virheen oikaisusta. Määräys raukeaa, jos rekisterinpitäjä asetetussa määräajassa ilmoittaa kirjallisesti tai suullisesti tietosuoja-valtuutetun toimistoon vastustavansa määräyksen antamista. Edellä tarkoitetun määräajan tulee olla vähintään kahdeksan päivää määräyksen tiedoksi saamisesta.

Jos joku kerää ja tallettaa tietoja henkilörekisteriin, käyttää henkilörekisteriä tai luovuttaa siitä henkilötietoja tai ryhtyy muuhun toimenpiteeseen vastoin tämän lain tai sen nojalla annettuja säännöksiä tai määräyksiä taikka laiminlyö sanottujen säännösten ja määräysten mukaisen velvollisuutensa taikka jos tietosuojavaltuutetun antama määräys on rauennut 1 momentissa tarkoitetussa tapauksessa, tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta velvoittaa asianomaisen määräajassa oikaisemaan sen, mitä oikeudettomasti on tehty tai laiminlyöty. Rekisteröity voi saattaa hakemuksella tietosuojalautakunnan käsiteltäväksi tarkastusoikeuden toteuttamista tai virheen oikaisua koskevan asian, jos tietosuojavaltuutettu on päättänyt olla antamatta rekisterinpitäjälle määräystä taikka on kieltäytynyt saattamasta asiaa tietosuojalautakunnan käsiteltäväksi.

Tietosuojalautakunta voi kieltää lainvastaisen henkilötietojen keräämisen, tallettamisen, käytön ja luovuttamisen. Jos lainvastaiset toimet tai laiminlyönnit huomattavasti vaarantavat rekisteröidyn yksityisyyden suojaa tai hänen etujaan tai oikeuksiaan taikka vaarantavat valtion turvallisuutta, tietosuojalautakunta voi määrätä rekisteritoiminnan lopetettavaksi, jollei rekisteristä ole laissa säädetty.

36 §
Uhkasakko

Tietosuojavaltuutettu voi asettaa 31 §:n mukaisen tietojenantovelvollisuuden ja 35 §:n nojalla antamansa määräyksen tehosteeksi uhkasakon. Tietosuojalautakunta voi asettaa velvoittamis- tai kieltopäätöksen tehosteeksi uhkasakon. Uhkasakon määrää maksettavaksi tietosuojalautakunta.

37 §
Poikkeusluvat

Tietosuojalautakunta voi antaa 5, 7, 19 ja 20§:ssä taikka yleisten asiakirjain julkisuudesta annetun lain 18 a§:ssä tarkoitetun luvan taikka luvan poiketa tämän lain tai sen nojalla annetun asetuksen säännöksistä, jos tähän on painava syy ja rekisteröidyn yksityisyyden sekä hänen etujensa ja oikeuksiensa ja valtion turvallisuuden vaarantuminen voidaan estää.

Lupa voidaan antaa määräajaksi tai toistaiseksi ja siihen on liitettävä rekisteröidyn yksityisyyden suojan sekä hänen etujensa ja oikeuksiensa samoin kuin valtion turvallisuuden suojaamiseksi tarpeelliset määräykset.

Tietosuojalautakunta voi tietosuojavaltuutetun tai luvan saajan hakemuksesta muuttaa tai täydentää 2 momentissa tarkoitettuja määräyksiä, jos se muuttuneiden olosuhteiden vuoksi on tarpeen. Lupa voidaan peruuttaa, milloin syytä siihen harkitaan olevan.

7 luku

Muutoksenhaku

38 §
Valitusoikeus

Tietosuojalautakunnan 22 tai 35-37§:n nojalla tekemään päätökseen haetaan muutosta valittamalla korkeimpaan hallinto-oikeuteen noudattaen, mitä muutoksenhausta hallintoasioissa annetussa laissa (154/50) on säädetty. Tietosuojavaltuutettu voi hakea muutosta tietosuojalautakunnan 22 tai 37§:n nojalla tekemään päätökseen.

39 §
Päätöksen noudattaminen

Tietosuojalautakunnan 35 ja 36 §:n nojalla tekemässä päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.

8 luku

Erinäisiä säännöksiä

40 §
Tietosuoja postilähetyksissä

Rekisterinpitäjä ei postilähetyksissä saa näkyvästi käyttää henkilön henkilötunnusta taikka vastaanottajan henkilökohtaisia oloja koskevia tai 24 §:n 2 momentissa tarkoitettuja tietoja.

41 §
Vaitiolovelvollisuus

Joka henkilötietoja kerättäessä, talletettaessa, käytettäessä tai luovutettaessa on saanut tietää jotakin toisen henkilökohtaisista oloista tai taloudellisesta asemasta, ei saa tämän lain vastaisesti sivulliselle ilmaista näin saamiaan tietoja.

42 §
Vahingonkorvausvelvollisuus

Rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen vahingon, joka rekisteröidylle on aiheutunut virheellisen tiedon käytöstä tai luovutuksesta taikka siitä, että tiedon käyttö tai luovutus on ollut lainvastaista. Korvaus on tällöin suoritettava myös kärsimyksistä, jollei niitä ole pidettävä vähäisinä. Muutoin vahingonkorvausvelvollisuudesta on voimassa, mitä vahingonkorvauslain (412/74) 2 luvun 2 ja 3 §:ssä, 3 luvun 4 ja 6 §:ssä sekä 4, 6 ja 7 luvussa säädetään.

43 §
Henkilörekisteririkos

Joka tämän lain tai sen nojalla annettujen säännösten tai määräysten vastaisesti

1) tallettaa henkilörekisteriin arkaluonteisia tietoja;

2) antamalla rekisteröidylle väärän tai harhaanjohtavan tiedon estää tai yrittää estää rekisteröityä käyttämästä hänelle kuuluvaa henkilörekisterin tarkastusoikeutta;

3) käyttää henkilörekisteriä tai sen tietoja muuhun kuin lain mukaisesti määriteltyihin käyttötarkoituksiin;

4) luovuttaa henkilörekisteristä henkilötietoja; taikka

5) yhdistää henkilörekistereitä

ja siten loukkaa rekisteröidyn yksityisyyden suojaa taikka aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, on tuomittava henkilörekisteririkoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.

44 §
Henkilörekisteririkkomus

Joka tahallaan tai törkeästä huolimattomuudesta tämän lain tai sen nojalla annettujen säännösten tai määräysten vastaisesti

1) laiminlyö tietolähteen tai tietojen luovuttamista koskevan kirjaamisvelvollisuuden;

2) laiminlyö noudattaa, mitä henkilörekisterin käyttötarkoituksen määrittelystä, rekisteriselosteen laatimisesta ja nähtävillä pitämisestä, tietojen ilmoittamisesta rekisteröidylle, henkilörekisterissä havaitun virheen oikaisusta tai tietojen ilmoittamisesta tietosuojavaltuutetulle on säädetty;

3) antaa tietosuojaviranomaiselle henkilörekisteriä koskevassa asiassa väärän tai harhaanjohtavan tiedon; taikka

4) rikkoo henkilörekisterin suojaamisesta ja hävittämisestä annettuja määräyksiä

ja siten vaarantaa rekisteröidyn yksityisyyden suojaa tai hänen oikeuksiaan, on tuomittava, jollei rikkomuksesta ole muualla laissa säädetty ankarampaa rangaistusta, henkilörekisteririkkomuksesta sakkoon.

Henkilörekisteririkkomuksesta on tuomittava myös se, joka törkeästä huolimattomuudesta syyllistyy 43 §:ssä tarkoitettuun tekoon.

45 §
Henkilörekisteriintunkeutuminen

Joka käyttämällä hänelle kuulumatonta käyttäjätunnusta tai muulla petollisella toimella läpäisee tunnistuskontrollin tai vastaavan turvajärjestelyn ja siten oikeudettomasti tunkeutuu automaattisen tietojenkäsittelyn avulla ylläpidettyyn henkilörekisteriin, on tuomittava henkilörekisteriin tunkeutumisesta sakkoon tai vankeuteen enintään kuudeksi kuukaudeksi.

46 §
Henkilörekisteriä koskevan salassapitovelvollisuuden rikkominen

Joka 41 §:n vastaisesti ilmaisee sivulliselle henkilörekisteriin talletettuja tai sitä varten kerättyjä henkilötietoja, on tuomittava henkilörekisteriä koskevan salassapitovelvollisuuden rikkomisesta sakkoon tai vankeuteen enintään kuudeksi kuukaudeksi.

47 §
Tietosuojavaltuutetun kuuleminen

Virallisen syyttäjän on ennen 43-46§:ssä tarkoitettua tekoa koskevan syytteen nostamista kuultava tietosuojavaltuutettua. Tuomioistuimen on tällaista asiaa käsitellessään varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi.

48 §
Asetuksenantovaltuus

Tarkemmat säännökset tämän lain täytäntöönpanosta annetaan asetuksella.

9 luku

Voimaantulo- ja siirtymäsäännökset

49 §
Voimaantulo

Tämä laki tulee voimaan 1 päivänä tammikuuta 1988.

Ennen tämän lain voimaantuloa annetussa asetuksessa olevia säännöksiä henkilötietojen keräämisestä, tallettamisesta, käytöstä ja luovuttamisesta noudatetaan kuitenkin tämän lain vastaavien säännösten sijasta.

Tämän lain 42 §:n säännöksiä on sovellettava sellaisiin vahinkoihin, jotka ovat sattuneet lain voimaantulon jälkeen.

50 §
Siirtymäsäännökset

Henkilörekisteri, joka on otettu käyttöön ennen tämän lain voimaantuloa, on saatettava tämän lain mukaiseen kuntoon vuoden kuluessa lain voimaantulosta, jollei jäljempänä ole toisin säädetty. Jos tällaisen henkilörekisterin pitäminen edellyttää tämän lain mukaista lupaa, lupahakemus on tehtävä kuuden kuukauden kuluessa lain voimaantulosta.

Lain 30 §:n 1 momentin 3 kohdassa ja 2 momentissa tarkoitettu ilmoitus on tehtävä kuuden kuukauden kuluessa lain voimaantulosta ja lain 30 §:n 1 momentin 1 ja 2 kohdassa tarkoitettu ilmoitus vuoden kuluessa lain voimaantulosta.

Luottotietotoimintaa harjoittavan rekisterinpitäjän on tehtävä 13§:n 1 momentissa tarkoitettu ilmoitus rekisterissä olevista henkilötiedoista kahden vuoden kuluessa lain voimaantulosta. Jos luottotietotoimintaa varten aikaisemmin manuaalisesti ylläpidetty henkilörekisteri järjestetään automaattisen tietojenkäsittelyn avulla ylläpidettäväksi, saadaan ilmoitus tehdä yksinomaan automaattisen tietojenkäsittelyn avulla ylläpidettyyn rekisteriin otetuista henkilötiedoista, jollei aikaisemman rekisterin perusteella luovuteta henkilöluottotietoja.

Hallituksen esitys 49/86
Lakivaliok. miet. 10/86
Suuren valiok. miet. 254/86

Helsingissä 30 päivänä huhtikuuta 1987

Tasavallan Presidentti
Mauno Koivisto

Oikeusministeri
Christoffer Taxell

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.