Hallituksen esitys eduskunnalle laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä sekä eräiksi siihen liittyviksi laeiksi ( HE 31/2018 vp ): Asia on saapunut hallintovaliokuntaan mietinnön antamista varten. Asia on lisäksi lähetetty perustuslakivaliokuntaan ja lakivaliokuntaan lausunnon antamista varten. 

Asiasta on annettu seuraavat lausunnot: 

perustuslakivaliokunta PeVL 26/2018 vp

lakivaliokunta LaVL 10/2018 vp

Valiokunta on kuullut: 

• lainsäädäntöneuvos Timo Makkonen - oikeusministeriö
• lainsäädäntöneuvos Tanja Jaatinen - oikeusministeriö
• esittelijäneuvos Mikko Eteläpää - Eduskunnan oikeusasiamiehen kanslia
• ylitarkastaja, rikostarkastaja Jari Nyström - sisäministeriö
• ylitarkastaja Suvi Pato-Oja - sisäministeriö
• hallitussihteeri Perttu Wasenius - puolustusministeriö
• budjettineuvos Kirsti Vallinheimo - valtiovarainministeriö
• käräjätuomari Jussi Leskinen - Helsingin käräjäoikeus
• ylituomari Liisa Heikkilä - Helsingin hallinto-oikeus
• valtionsyyttäjä Johanna Hervonen - Valtakunnansyyttäjänvirasto
• rekisteripäällikkö Teemu Mikkola - Oikeusrekisterikeskus
• tietosuojavaltuutettu Reijo Aarnio - tietosuojavaltuutetun toimisto
• tiedonhallintapäällikkö Jari Råman - Poliisihallitus
• ylitarkastaja Antti Wahlroos - suojelupoliisi
• tulliylitarkastaja Juha Vilkko - Tulli
• professori Sakari Melander
• professori Olli Mäenpää

Valiokunta on saanut kirjallisen lausunnon: 

• Itä-Suomen hovioikeus
• korkein hallinto-oikeus
• Rikosseuraamuslaitos
• Puolustusvoimat
• Ahvenanmaan maakunnan hallitus
• Suomen Asianajajaliitto

Esityksessä ehdotetaan säädettäväksi laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä. Lailla pantaisiin täytäntöön niin sanottu rikosasioiden tietosuojadirektiivi. 

Ehdotettua lakia sovellettaisiin poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöönpanemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. Lakia sovellettaisiin myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Tältä osin kyse on kansallisesta ratkaisusta. 

Ehdotettu laki olisi edellä mainituissa tilanteissa sovellettava yleislaki, jonka sääntelystä voidaan erityislainsäädännössä poiketa.  

Ehdotetussa laissa säädettäisiin käyttötarkoitussidonnaisuudesta ja muista henkilötietojen käsittelyn yleisistä periaatteista, rekisterinpitäjän ja henkilötietojen käsittelijän vastuusta, tarkastusoikeudesta ja muista rekisteröidyn oikeuksista, tietoturvallisuusvaatimuksista, tietosuojavastaavan nimeämisestä ja tehtävistä, vaatimuksista siirrettäessä henkilötietoja kolmansiin maihin, lain noudattamisen valvonnasta sekä käytettävissä olevista oikeussuojakeinoista ja seuraamuksista. 

Lain noudattamista valvoisi tietosuojavaltuutettu. 

Ehdotettuun lakiin liittyen esityksessä ehdotetaan lisäksi muutettaviksi rikosrekisterilakia, rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annettua lakia, oikeushallinnon valtakunnallisesta tietojärjestelmästä annettua lakia, sakon täytäntöönpanosta annettua lakia ja henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annettua lakia.  

Hallituksen esitys liittyy vuoden 2018 ensimmäiseen lisätalousarvioesitykseen, mutta ei ole tarkoitettu käsiteltäväksi sen yhteydessä.  

Lait ovat tarkoitetut tulemaan voimaan 6 päivänä toukokuuta 2018 tai mahdollisimman pian sen jälkeen. 

Ehdotuksen lähtökohdat

Hallituksen esityksen tarkoituksena on panna kansallisesti täytäntöön Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (jäljempänä rikosasioiden tietosuojadirektiivi, poliisidirektiivi tai direktiivi). 

Direktiivin täytäntöön panemiseksi ehdotetaan lakia henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1. lakiehdotus, jäljempänä myös rikosasioiden tietosuojalaki). Laki on luonteeltaan yleislaki, jota sovelletaan, jollei muualla lainsäädännössä säädetä toisin. Lakia soveltavilla toimivaltaisilla viranomaisilla on myös hallinnonalakohtaista erityissääntelyä. 

Rikosasioiden tietosuojalakia sovelletaan poliisin, syyttäjien, yleisten tuomioistuinten, Rikosseuraamuslaitoksen, Tullin, Rajavartiolaitoksen ja muiden toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kysymys on rikoksen ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta, rikokseen liittyvästä syyttäjän toiminnasta, rikosasian käsittelemisestä tuomioistuimessa, rikosoikeudellisen seuraamuksen täytäntöön panemisesta taikka yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä. 

Rikosasioiden tietosuojalakia sovelletaan myös Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä. Direktiivi ei tätä edellytä, joten tältä osin kyse on kansallisesta ratkaisusta. 

Ehdotettu laki sisältää säännökset henkilötietojen käsittelyn yleisistä periaatteista lain sovelta-misalalla. Näihin periaatteisiin kuuluvat muun muassa lainmukaisuusvaatimus, käyttötarkoitussidonnaisuuden periaate, tarpeellisuusvaatimus ja virheettömyysvaatimus. Laissa on myös erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyä ja henkilötunnuksen käsittelyä koskevia erityissäännöksiä. Lisäksi laissa säädetään rekisterinpitäjän ja henkilötietojen käsittelijän vastuusta, tarkastusoikeudesta ja muista rekisteröidyn oikeuksista, tietoturvallisuusvaatimuksista, tietosuojavastaavan nimeämisestä ja tehtävistä, vaatimuksista siirrettäessä henkilötietoja kolmansiin maihin, lain noudattamisen valvonnasta sekä käytettävissä olevista oikeussuojakeinoista ja seuraamuksista. Lain noudattamista valvovana erityisviranomaisena toimii tietosuojavaltuutettu. 

Samanaikaisesti direktiivin kanssa on annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (jäljempänä tietosuoja-asetus). Säädökset muodostavat keskeisen osan EU:n tietosuojalainsäädännön uudistusta, jolla pyritään nykyaikaistamaan ja yhdenmukaistamaan henkilötietojen suojaa koskeva sääntely unionissa. 

Tietosuoja-asetus koskee lähtökohtaisesti lähes kaikkea henkilötietojen käsittelyä yksityisellä ja julkisella sektorilla, mutta sen soveltamisalan ulkopuolelle on rajattu käsillä olevassa direktiivissä tarkoitettu henkilötietojen käsittely rikosasioissa. Asetusta täydentävästä ja täsmentävästä kansallisesta lainsäädännöstä on annettu hallituksen esitys ( HE 9/2018 vp ), josta hallintovaliokunta on antanut mietinnön HaVM 13/2018 vp . Rikosasioiden tietosuojalain piiriin kuuluvat viranomaiset soveltavat siten tietosuoja-asetusta ja sitä täydentävää tietosuojalakia silloin, kun kyse on henkilötietojen käsittelystä muulla kuin direktiivin soveltamisalalla. 

Hallintovaliokunnan käsittelyssä on noussut esille useita sellaisia kysymyksiä, jotka ovat tulleet esille myös tietosuojalakia koskevan hallituksen esityksen yhteydessä ( HE 9/2018 vp ). Näitä ovat esimerkiksi kysymys rekisteröidyn oikeussuojakeinoista, viivästysvalituksesta, komission tietosuojaa koskevan päätöksen lainmukaisuuden selvittämisestä ja seuraamuksista. Hallintovaliokunta pitää lainsäädännön selkeyden ja johdonmukaisuuden vuoksi perusteltuna, että kansalliset lainsäädäntöratkaisut ovat näiden kysymysten osalta mahdollisimman yhtenäisiä. Mainittujen lakien välillä on myös perusteltuja eroavaisuuksia. Merkitystä on muun muassa sillä, että toisin kuin tietosuoja-asetus ja tietosuojalaki, joita sovelletaan sekä julkisella että yksityisellä sektorilla, ehdotettu rikosasioiden tietosuojalaki on lähtökohtaisesti organisatoriselta soveltamisalaltaan viranomaisiin rajautuva. 

Perustuslakivaliokunta on antanut esityksestä lausunnon PeVL 26/2018 vp . Valiokunnalla ei ole ollut huomauttamista hallituksen esitykseen sisältyvien lakiehdotusten perusratkaisuista. Perustuslakivaliokunnan mukaan lain soveltamisalan laajennus kansallisen turvallisuuden ylläpitämiseen täyttää henkilötietojen turvaamista koskevan perustuslaillisen velvoitteen myös tältä osin. Valiokunta on katsonut, että hallituksen esitykseen sisältyvässä lakiehdotuksessa on asianmukaiset ja yksityiskohtaiset säännökset henkilötietojen käsittelyn yleisistä edellytyksistä ja periaatteista, rekisteröidyn oikeuksista, valvonnasta ja esimerkiksi tietoturvasta. Valiokunta on kiinnittänyt kuitenkin huomiota eräisiin säännösehdotuksiin. 

Perustuslakivaliokunnan lausunnon mukaan lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä, 1. lakiehdotus kuitenkin vain, mikäli valiokunnan sen 48 ja 61 §:stä tekemät valtiosääntöoikeudelliset huomautukset otetaan asianmukaisesti huomioon. 

Lakivaliokunnan lausunnossa ( LaVL 10/2018 vp ) on oikeusturvaan ja seuraamuksiin liittyvien kysymysten lisäksi käsitelty erityisesti sääntelyn soveltumista tuomioistuinten toimintaan. 

Hallituksen esityksen ja saamansa selvityksen perusteella hallintovaliokunta puoltaa hallituksen esitykseen sisältyvien lakiehdotusten hyväksymistä tästä mietinnöstä ilmenevin huomautuksin ja muutosehdotuksin. 

Suhde tietosuojalakiin

Perustuslakivaliokunta on tietosuojalakia koskevassa lausunnossaan PeVL 14/2018 vp kiinnittänyt huomiota siihen, että tietosuojalakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettavassa laissa. Valiokunnan mielestä henkilötietolakia ei voi kumota ennen mainitun lain voimaantuloa kokonaisuudessaan, sillä perustuslain 10 §:n mukaan henkilötietojen suojasta säädetään tarkemmin lailla. Valiokunnan mielestä on selvää, että perustuslain 10 §:n 1 momentin sääntelyvarauksella ilmaistaan lailla säätämisen lisäksi se lähtökohta, että henkilötietojen suojaa koskeva perusoikeus selvästi edellyttää tuekseen tavallista lainsäädäntöä (ks. myös PeVM 25/1994 vp , s. 5/II—6/I). Perustuslakivaliokunta on edellyttänyt, että hallintovaliokunnan on siirtymäsäännöksin varmistettava, että henkilötietojen suojaa koskevan yleislainsäädännön soveltamisala on kattavaa myös ennen poliisidirektiivin toimeenpanoon liittyvän lain voimaantuloa, mikäli tietosuojalakiehdotus hyväksytään ennen sitä. Tällainen muutos on edellytyksenä sille, että ehdotus tietosuojalaiksi voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Käsillä olevassa hallituksen esityksessä ehdotetut lait on alun perin tarkoitettu tulemaan voimaan 6.5.2018. Esitykseen sisältyvät lakiehdotukset on kuitenkin laadittu lakiteknisesti siitä näkökulmasta, että ne tulevat voimaan samanaikaisesti tietosuojalakia koskevassa hallituksen esityksessä HE 9/2018 vp ehdotettujen lakien kanssa. Hallintovaliokunta on antanut hallituksen esityksestä HE 9/2018 vp mietinnön HaVM 13/2018 vp . Hallintovaliokunta toteaa, että suunniteltu etenemisjärjestys on käsillä olevassa tilanteessa mahdollinen, jolloin perustuslakivaliokunnan mainitsemaa ongelmaa ei synny. Mietinnössä HaVM 13/2018 vp ei sen vuoksi ole ehdotettu siirtymäsääntelyä. Hallintovaliokunta toteaa, että lait tulee saattaa voimaan samanaikaisesti, jolloin mitään siirtymäsäännöksiä ei tarvita. 

Henkilötietojen suojan kannalta keskeiset sääntelykohteet

Perustuslakivaliokunta on arvioinut EU:n tietosuoja-asetuksen soveltamisen alkamisen merkitystä henkilötietojen suojalle lausunnossaan PeVL 14/2018 vp . Valiokunta katsoi, että tietosuoja-asetuksen soveltamisen alkamisen johdosta on perusteltua tarkistaa aiempaa valiokunnan kantaa henkilötietojen suojan kannalta tärkeistä sääntelykohteista. Valiokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. 

Perustuslakivaliokunnan mielestä oli kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä korkeampi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely ( PeVL 14/2018 vp , s. 5). Valiokunta viittasi arkaluonteisten tietojen muodostaman riskin lisäksi nimenomaisesti siihen, että valiokunta on pitänyt henkilötietojen käsittelyä koskevassa valtiosääntöisessä arviossa merkityksellisenä myös käsittelyn tarkoitusta yksilöön kohdistuvan julkisen vallan käytön mahdollistajana (ks. PeVL 1/2018 vp ). 

Perustuslakivaliokunnan mielestä perustuslain 10 §:ssä turvatut oikeudet saavat erityistä merkitystä korostuneen perusoikeusherkissä sääntelykonteksteissa. Valiokunta on esimerkiksi jo ennen perusoikeusuudistusta esittänyt sittemmin vakiintuneen luonnehdinnan, jonka mukaan "poliisilaki on tyypillisesti sellainen säädös, joka voi herkästi joutua ristiriitaan kansalaisten perusoikeuksien, varsinkin klassisten vapausoikeuksien kanssa" ( PeVL 15/1994 vp , PeVL 67/2010 vp ). 

Perustuslakivaliokunta katsoi osana perustuslain 10 §:n tulkintakäytäntöön kohdistuvaa tarkistusta, että toisin kuin suoraan sovellettava tietosuoja-asetus, poliisidirektiivi ei sisällä sellaista yksityiskohtaista sääntelyä, joka muodostaisi riittävän säännöspohjan perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta ( PeVL 14/2018 vp , s. 7). Merkityksellistä on myös, että nyt arvioitavan hallituksen esityksen mukaan, siltä osin kuin lakia sovelletaan Puolustusvoimien, poliisin ja Rajavartiolaitoksen käsitellessä henkilötietoja kansallisen turvallisuuden ylläpitämisen yhteydessä, on kyse tietosuoja-asetuksen ja mainitun poliisidirektiivin EU-oikeuden soveltamisalaan kiinnittyvän soveltamisalan johdosta osin kansallisesta ratkaisusta eikä ehdotetun sääntelyn taustalle ole siten kaikilta osin osoitettavissa EU-sääntelyä. 

Perustuslakivaliokunnan mielestä henkilötietojen käsittelyä koskevaa sääntelyä on sanotun johdosta tällaisissa perusoikeusherkissä sääntelykonteksteissa edelleen arvioitava valiokunnan aiemman sääntelyn lakitasoisuutta, täsmällisyyttä ja kattavuutta korostaneen käytännön pohjalta (ks. myös PeVL 14/2018 vp , s. 7). Merkityksellistä tässä suhteessa on, että käsillä olevaan esitykseen sisältyvä ehdotus laiksi henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä olisi soveltamisalallaan yleislakina sovellettavaksi tuleva laki, jota on tarkoitus täydentää eri hallinnonaloja koskevalla erityslainsäädännöllä. 

Perustuslakivaliokunta on kiinnittänyt huomiota myös henkilötietojen käsittelyä koskevan sääntelyn raskauteen ja monimutkaisuuteen (ks. esim. PeVL 31/2017 vp , PeVL 71/2014 vp ). Perustuslakivaliokunta muistuttaa tämän johdosta, että henkilötietojen suojaan liittyvät sääntelyn kattavuuden, täsmällisyyden ja tarkkarajaisuuden vaatimukset voidaan joiltain osin täyttää myös tietosuoja-asetuksen soveltamisalan ulkopuolella kansalliseen oikeuteen sisältyvällä yleislailla (ks. myös PeVL 14/2018 vp , PeVL 31/2017 vp , PeVL 5/2017 vp , PeVL 38/2016 vp ). 

Kansallinen liikkumavara ja kotirauhan suoja

Perustuslakivaliokunta on lausunnossaan katsonut, että kansallisen liikkumavaran laajuutta ei ole hallituksen esityksessä selostettu kaikilta osin riittävän seikkaperäisesti. Perustuslakivaliokunta katsoo erityisesti jäävän epäselväksi, edellyttääkö rikosasioiden tietosuojadirektiivin 47 artiklan 1 ja 4 kohdassa säädetty sitä, että ehdotetun lain noudattamista valvovalla viranomaisella tulee olla rajoittamaton kotirauhan piiriin ulottuva tarkastustoimivaltuus. 

Tietosuojavaltuutetun tarkastusoikeudesta säädettäisiin rikosasioiden tietosuojalain 48 §:ssä. Perustuslakivaliokunnan lausunnon mukaan tarkastustoimivaltuus on asianmukaisesti sidottu välttämättömyyteen. Perustuslakivaliokunta on kiinnittänyt kuitenkin huomiota siihen, että lakiehdotuksen 60 §:ssä viitataan myös yksin sakkouhkaisiin rikoksiin. Lausunnon mukaan hallintovaliokunnan on syytä tarkkaan selvittää kotirauhan piiriin ulottuvien toimenpiteiden tarpeellisuus. Mikäli kotirauhan piiriin ulottuva tarkastustoimivaltuus ei ole kaikilta osin direktiivin edellyttämä, on toimivaltuuden käyttö sidottava vain vankeusuhkaisiin rikoslain säännöksiin. Tällaisen muutoksen tekeminen on silloin edellytyksenä sille, että 1. lakiehdotus voidaan käsitellä tavallisen lain säätämisjärjestyksessä. 

Hallintovaliokunta toteaa, että direktiivin kansallisen implementoinnin periaatteita ja kansallista liikkumavaraa on olennaisilta osiltaan selostettu esityksen perusteluissa yleisellä tasolla. Esityksessä todetaan rikosasioiden tietosuojadirektiivissä säädetyn, ettei sen kansallinen täytäntöönpano saisi johtaa henkilötietojen suojan tason heikentymiseen. Direktiivi ei myöskään estä jäsenvaltioita säätämästä direktiivissä edellytettyä korkeammasta rekisteröidyn oikeuksien suojan tasosta. Käsillä olevassa esityksessä onkin otettu huomioon voimassa olevan henkilötietolain ( 523/1999 ) sääntely ja eräiltä osin pyritty turvaamaan rekisteröidyn oikeuksia direktiivin edellyttämää vähimmäistasoa paremmin, muun muassa ottamalla lakiin säännökset henkilötunnuksen käsittelemisestä, vaikka direktiivissä ei kyseisestä asiasta säännöksiä olekaan. 

Yleisten implementointiperiaatteiden mukaisesti direktiivin säännökset on implementoitava tehokkaasti ja vilpittömän yhteistyön periaatteen mukaisesti. Direktiivi velvoittaa saavutettavaan tulokseen nähden jokaista jäsenvaltiota, jolle se on osoitettu, mutta jättää kansallisten viranomaisten valittavaksi muodon ja keinot. 

Direktiivin 47 artiklan 1 kohdan mukaan kunkin jäsenvaltion on säädettävä laissa, että sen valvontaviranomaisella on tehokkaat tutkintavaltuudet. Näihin valtuuksiin on sisällyttävä vähintään valtuudet saada rekisterinpitäjältä ja henkilötietojen käsittelijältä pääsy kaikkiin käsiteltävänä oleviin henkilötietoihin ja kaikkiin tietoihin, jotka ovat tarpeen valvontaviranomaisen tehtävien suorittamisessa. Johdantokappaleessa 82 todetaan, että toimitiloihin pääsyä koskevia tutkintavaltuuksia olisi käytettävä jäsenvaltion lainsäädännön erityisvaatimusten mukaisesti, jollainen voi esimerkiksi olla ennakkoluvan saamista koskeva vaatimus. Vaikka kohta viittaa toimivaltuuksien "käyttämiseen" (engl. "exercise") eikä niistä säätämiseen, voitaneen kohdan viittauksen jäsenvaltion lainsäädäntöön katsoa tarkoittavan, että toimivaltuuksien säätämisessä on ainakin jonkin verran kansallista liikkumavaraa. 

Rikosasioiden tietosuojadirektiivi mahdollistaa sen, että henkilötietojen käsittelijä — ja tietyin edellytyksin jopa rekisterinpitäjä — on yksityinen taho. Tästä syystä hallintovaliokunta pitää perusteltuna, että tietosuojavaltuutetun tarkastusoikeus ulottuu myös kotirauhan suojan piiriin kuuluviin tiloihin. Direktiivi ei sen johdantokappaleessa 82 todettu huomioon ottaen kuitenkaan hallintovaliokunnan käsityksen mukaan ole esteenä sille, että tämän toimivaltuuden käyttö rajataan perustuslakivaliokunnan esittämällä tavalla vain vankeusuhkaisiin rikoslain säännöksiin. Hallintovaliokunta ehdottaa näin ollen mainitun 48 §:n muuttamista yksityiskohtaisissa perusteluissa tarkemmin esitetyllä tavalla. 

Vaitiolovelvollisuus ja suhde julkisuuslakiin

Ehdotetun rikosasioiden tietosuojalain 61 §:n mukaan henkilötietojen käsittelyyn osallistunut henkilö ei saa oikeudettomasti ilmaista sivulliselle näin tietoonsa saamiaan henkilötietoja eikä käyttää niitä omaksi tai toisen hyödyksi tai toisen vahingoksi. Lakiehdotuksen 2 §:n 2 momentin mukaan oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen sovelletaan, mitä viranomaisen toiminnan julkisuudesta ( 621/1999 , jäljempänä julkisuuslaki) säädetään. Perustuslakivaliokunta on lausunnossaan todennut, että ehdotetusta 61 §:n sääntelystä johtuen kaikki lain soveltamisalaan kuuluva henkilötietojen käsittely ja siinä käsitellyt tiedot olisivat lakiehdotuksen 2 §:n 2 momentista huolimatta vaitiolovelvollisuuden piirissä. Tämä ei esityksen perusteluiden mukaan ole ollut tarkoitus. 

Perustuslakivaliokunnan mielestä sääntelyä on täsmennettävä sille perusteluissa esitetyn tarkoituksen mukaisesti siten, että siitä käy selkeästi ilmi vaitiolovelvollisuuden suhde lakiehdotuksen 2 §:ssä viitattuun julkisuusperiaatetta toteuttavaan sääntelyyn. Tällaisen täsmennyksen tekeminen on edellytyksenä 1. lakiehdotuksen käsittelemiseksi tavallisen lain säätämisjärjestyksessä. 

Julkisuuslain 23 §:n 1 momentissa säädetyn mukaisesti viranomaisen palveluksessa oleva samoin kuin luottamustehtävää hoitava ei saa paljastaa asiakirjan salassa pidettävää sisältöä tai tietoa, joka asiakirjaan merkittynä olisi salassa pidettävä, eikä muutakaan viranomaisessa toimiessaan tietoonsa saamaa seikkaa, josta lailla on säädetty vaitiolovelvollisuus. Pykälän 2 momentissa vastaava vaitiolovelvollisuus ulotetaan myös viranomaiseen toimeksiantosuhteessa olevaan sekä tämän palveluksessa oleviin. Hallintovaliokunnan näkemyksen mukaan perustuslakivaliokunnan kannanotto huomioon ottaen julkisuuslain vaitiolovelvollisuussääntely on riittävää, eikä muuta aineellista lainsäädäntöä asiassa tarvita. Hallintovaliokunta ehdottaa näin ollen hallituksen esityksessä ehdotetun 61 §:n muuttamista informatiiviseksi viittaukseksi julkisuuslakiin yksityiskohtaisista perusteluista tarkemmin ilmenevin tavoin. Valiokunnan lakiehdotuksessa säännös on lain 62 §. 

Hallintovaliokunta tähdentää tässä yhteydessä vielä myös yleisemmin sitä hallituksen esityksessä todettua seikkaa, että ehdotetulla rikosasioiden tietosuojalailla ei ole tarkoitus muuttaa julkisuuslainsäädännön ja henkilötietojen suojaa koskevan lainsäädännön keskinäissuhdetta nykyisestä. 

Rekisteröidyn oikeudet

Rekisteröidyn oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi ja muutoksenhaku

Direktiivin 52 artiklan mukaan jokaisella rekisteröidyllä on oltava oikeus tehdä valitus valvontaviranomaiselle, jos hän katsoo häneen liittyvässä henkilötietojen käsittelyssä rikotun direktiivin nojalla annettuja säännöksiä. Valvontaviranomaisen on ilmoitettava rekisteröidylle valituksen etenemisestä ja ratkaisusta. Direktiivin 53 artiklan mukaan luonnollisilla henkilöillä ja oikeushenkilöillä on oltava oikeus käyttää tehokkaita oikeussuojakeinoja valvontaviranomaisen oikeudellisesti sitovia heitä koskevia päätöksiä vastaan, sanotun kuitenkaan rajoittamatta muita hallinnollisia muutoksenhakukeinoja tai muita kuin oikeudellisia oikeussuojakeinoja. Jokaisella rekisteröidyllä on oltava oikeus tehokkaisiin oikeussuojakeinoihin, jos valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut sen etenemisestä kolmen kuukauden kuluessa. Jäsenvaltioiden on lisäksi 54 artiklan mukaan säädettävä, että rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos hän katsoo oikeuksiaan rikotun sen takia, ettei hänen henkilötietojensa käsittelyssä ole noudatettu lakia. 

Direktiivin mainittujen säännösten täytäntöön panemiseksi rikosasioiden tietosuojalain 56 §:ssä ehdotetaan, että rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi (toimenpidepyyntö), jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä tai muuta henkilötietojen käsittelyä koskevaa lakia. Tietosuojavaltuutetun päätökseen saa lain 58 §:n mukaan hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa ( 586/1996 ) säädetään. Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen. 

Säännösehdotukset vastaavat ehdotetun tietosuojalain säännöksiä. Lakivaliokunta on viitannut tietosuojalaista antamaansa lausuntoon ( LaVL 5/2018 vp ), jossa se on arvioinut tietosuojalain sääntelyä muun muassa siltä kannalta, onko hyväksyttävää, ettei esityksessä ole ehdotettu oikaisuvaatimusmahdollisuutta. Lakivaliokunta on myös arvioinut valitusluvan edellyttämistä haettaessa muutosta hallinto-oikeuden päätökseen samoin kuin viranomaisen valitusoikeutta. Lakivaliokunta päätyi pitämään tietosuojalakiehdotuksessa esitettyä sääntelyä näiltä osin asianmukaisena, ja se on katsonut, että sama pätee myös nyt käsillä olevaan lakiehdotukseen. Myöskään hallintovaliokunnalla ei ole ehdotettuun sääntelyyn huomauttamista. 

Rekisteröidyn oikeus saattaa asia muun kuin tietosuojavaltuutetun käsiteltäväksi

Direktiivin 54 artiklassa säädetään rekisteröidyn oikeudesta tehokkaisiin oikeussuojakeinoihin rekisterinpitäjää tai henkilötietojen käsittelijää vastaan tämän oikeuden kuitenkaan rajoittamatta muun muassa 52 artiklaan perustuvaa oikeutta tehdä valitus valvontaviranomaiselle. Ehdotettuun rikosasioiden tietosuojalakiin ei sisälly erityisiä säännöksiä rekisteröidyn oikeudesta valittaa välittömästi tuomioistuimeen tilanteessa, jossa rekisterinpitäjä rajoittaa rekisteröidyn tarkastusoikeutta tai ei hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai niiden käsittelyn rajoittamisesta. Rekisteröity voi saattaa tällaisen asian tietosuojavaltuutetun käsiteltäväksi, mistä päätöksestä voi valittaa hallintotuomioistuimeen. 

Rikosasioiden tietosuojalain 26 §:n mukaan rekisterinpitäjän on edellä mainituissa tilanteissa ilmoitettava rekisteröidylle kirjallisella todistuksella kieltäytymisestä ja sen perusteista. Perustuslakivaliokunta toteaa käsityksenään, että viranomaisen asianosaisen vaatimuksen hylkäämisestä laatima todistus muodostanee hallintolain tarkoittaman hallintopäätöksen. Perustuslakivaliokunta toteaa edelleen, että hallintovaliokunnan on syytä täsmentää sääntelyä, mikäli tarkoituksena on, että asiassa ei tehdä valituskelpoista hallintopäätöstä. 

Lakivaliokunta on käsitellyt olennaisilta osin samaa kysymystä omassa lausunnossaan ( LaVL 10/2018 vp ). Lakivaliokunta on viitannut tietosuojalaista antamaansa lausuntoon ( LaVL 5/2018 vp ) ja katsonut myös nyt käsillä olevassa yhteydessä, että käytännössä rekisteröidylle on luontevampi oikeussuojakeino kääntyä tietosuojavaltuutetun kuin tuomioistuimen puoleen. Tietosuojavaltuutetun päätöksestä saa myös valittaa hallinto-oikeuteen ja edelleen valitusluvalla korkeimpaan hallinto-oikeuteen, joten tuomioistuinkäsittely on tietosuojavaltuutetunkin puoleen käännyttäessä käytettävissä, jos rekisteröity ei tyydy valtuutetun päätökseen. Toisaalta lakivaliokunnan mielestä ei ole estettä sille, etteikö rekisteröity voisi valittaa viranomaisen rekisterinpitäjänä tekemästä hallintopäätöksestä hallinto-oikeuteen ilman kääntymistä ensin tietosuojavaltuutetun puoleen. Valiokunnan käsityksen mukaan viranomaisen tekemä hallintopäätös voi koskea myös henkilötietojen käsittelyä, ja tarvittaessa rekisteröity voi pyytää asiasta hallintopäätöksen, josta valituksen voi tehdä. Lakivaliokunnan näkemyksen mukaan direktiivi ei tältä osin edellytä erityisiä kansallisia säännöksiä. 

Voimassa olevan henkilötietolain 28 §:ssä on ehdotettua sääntelyä vastaavat säännökset rekisteröidylle annettavasta todistuksesta tilanteissa, joissa rekisterinpitäjä epää rekisteröidyn tekemän vaatimuksen. Saadun selvityksen mukaan rekisterinpitäjänä toimivat viranomaiset, kuten poliisi, eivät pääsääntöisesti ole pitäneet tällaisen todistuksen antamista valituskelpoisena hallintopäätöksenä. Eräät viranomaiset ovat kuitenkin joskus tehneet epäämispäätöksestä myös valituskelpoisia päätöksiä valitusosoituksineen. 

Selvyyden vuoksi hallintovaliokunta toteaa, että viranomainen voi rekisteröidyn pyynnöstä antaa edellä tarkoitetussa epäämisasiassa hallintopäätöksen. Tällaisen päätöksen valituskelpoisuus määräytyy yleislainsäädännön nojalla, eikä nimenomaista sääntelyä asiasta tarvita. Lakiehdotuksessa tarkoitetun todistuksen tarkoituksena on ennen kaikkea toimia tarpeellisena tieto- ja asiakirjapohjana tietosuojavaltuutetun valvontatoimenpiteiden käynnistämiselle. Hallintovaliokunta katsoo lakivaliokunnan tavoin, että käytännössä rekisteröidyn on kuitenkin luontevampaa kääntyä ensi vaiheessa tietosuojavaltuutetun kuin tuomioistuimen puoleen. 

Toisiinsa liittyvät menettelyt

Rikosasioiden tietosuojalain 57 §:n 1 momentin ensimmäisen virkkeen mukaan tietosuojavaltuutettu tutkii toimenpidepyynnössä tarkoitetun asian, jollei asia ole vireillä tuomioistuimessa. Selvityksen mukaan säännös koskee tilanteita, joissa henkilötietojen käsittelyn rikkominen on samanaikaisesti vireillä valvontaviranomaisella ja tuomioistuimessa. Kyse voi olla esimerkiksi siitä, että rekisteröity vaatii vahingonkorvausta kanteella tuomioistuimessa, koska valvontaviranomaisella ei ole toimivaltuuksia määrätä tällaisia korvauksia. Tällöin kyse olisi samasta rekisteröidystä, samasta rekisterinpitäjästä tai henkilötietojen käsittelijästä ja samasta rikkomuksesta. 

Vastaava tilanne on ollut esillä myös tietosuojalain käsittelyn yhteydessä. Hallintovaliokunta on tietosuojalakia koskevassa mietinnössään ehdottanut lakivaliokunnan lausuntoon LaVL 5/2018 vp viitaten, että tietosuojavaltuutetulle säädetään mahdollisuus keskeyttää sillä vireillä olevan asian käsittely, jos asia on vireillä tuomioistuimessa ( HaVM 13/2018 vp ). Asian keskeyttäminen ei merkitse asian käsittelyn lopettamista, vaan tietosuojavaltuutettu voi jatkaa käsittelyä myöhemmin. 

Lakivaliokunta on kiinnittänyt rikosasioiden tietosuojalakia koskevassa lausunnossaan huomiota siihen, että mainitusta lain 57 §:n säännöksestä saa sellaisen kuvan, että tietosuojavaltuutettu ei ota toimenpidepyyntöä käsiteltäväksi eikä käsittele sitä, jos asia on samanaikaisesti vireillä tuomioistuimessa. Lakivaliokunnan mielestä on perusteltua, että säännös kirjoitetaan yhdenmukaisesti tietosuojalakiehdotuksen kanssa, minkä vuoksi se on esittänyt hallintovaliokunnalle säännöksen muuttamista. Hallintovaliokunta toteaa, että säännöstä on tarpeen selkeyttää, ja pitää aiheellisena, että sääntely on tältä osin yhdenmukaista tietosuojalain kanssa. Hallintovaliokunta ehdottaa yksityiskohtaisissa perusteluissa säännöksen muuttamista. 

Viivästysvalitus

Direktiivin 53 artiklan 2 kohdan mukaan rekisteröidyllä on oikeus tehokkaisiin oikeussuojakeinoihin, jos valvontaviranomainen ei ole käsitellyt valitusta tai ilmoittanut rekisteröidylle kolmen kuukauden kuluessa valituksen etenemisestä tai ratkaisusta. Rikosasioiden tietosuojalain 57 §:n 1 momentin mukaan tietosuojavaltuutetun on ilmoitettava kohtuullisen ajan kuluessa asian käsittelyn etenemisestä, jos asian käsittely viivästyy. Ehdotettuun lakiin ei kuitenkaan sisälly nimenomaisia säännöksiä direktiivin tarkoittamista rekisteröidyn oikeussuojakeinoista. 

Direktiiviä vastaava säännös sisältyy myös tietosuoja-asetukseen, mutta myöskään sitä täydentävään tietosuojalakiehdotukseen ei sisältynyt erityisiä säännöksiä oikeussuojakeinoista ( HE 9/2018 vp ). Tietosuojalakia koskevaa ehdotusta käsiteltäessä on tarkasteltu tarvetta antaa erityisiä säännöksiä viivästysvalituksesta. Lakivaliokunta tuolloin katsoi, ettei asemaltaan itsenäisen valvontaviranomaisen toiminnan valvonta asetuksen tarkoittamalla tavalla kuulu luontevasti tuomioistuimille. Lakivaliokunta ei myöskään pitänyt tarkoituksenmukaisena ottaa käyttöön eri-tyistä viivästysvalitusta pelkästään tietosuoja-asetuksen tarkoittamia asioita varten. Lisäksi valiokunta katsoi, että jo nykyinen kantelumahdollisuus ylimmille laillisuusvalvojille on tehokas ja tässä yhteydessä riittävä oikeussuojakeino. Saamansa selvityksen perusteella lakivaliokunta päätyi puoltamaan hallituksen esityksessä ehdotettua ratkaisua olla sisällyttämättä viivästysvalitusta koskevia säännöksiä kansalliseen lainsäädäntöön ( LaVL 5/2018 vp ). Hallintovaliokunta ar--vioi esille tuotuja näkökohtia samoin ja piti hallituksen esityksen mukaista ratkaisua perusteltuna ( HaVM 13/2018 vp ). 

Hallintovaliokunta katsoo lakivaliokunnan tavoin, että tietosuojalain yhteydessä todettu soveltuu myös rikosasioiden tietosuojadirektiivin kansalliseen täytäntöönpanoon. Hallintovaliokunta ei näin ollen ehdota viivästysvalituksesta säädettävän myöskään tässä yhteydessä. 

Komission päätös tietosuojatason riittävyydestä

Ehdotetun rikosasioiden tietosuojalain 57 §:n 2 momentin mukaan, jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko 41 §:n 1 momentin 3 kohdassa tarkoitettu komission päätös tietosuojan tason riittävyydestä rikosasioiden direktiivin mukainen, valtuutettu voi hakemuksella saattaa asian Helsingin hallinto-oikeuden ratkaistavaksi. Viitatussa pykälässä mahdollistetaan henkilötietojen siirto kolmanteen maahan tai kansainväliselle järjestölle, jos komissio on päättänyt, että kyseinen kolmas maa tai kansainvälinen järjestö tarjoaa riittävän tietosuojan tason. 

Ehdotetun 57 §:n 2 momentin taustalla on unionin tuomioistuimen ratkaisu asiassa Schrems (C-362/14), jossa tuomioistuin on katsonut, että kansallisen lainsäätäjän asiana on säätää oikeussuojakeinoista, joiden avulla kansallinen valvontaviranomainen voi esittää perusteltuina pitämänsä perusteet kansallisissa tuomioistuimissa, jotta nämä voivat tarvittaessa pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta komission päätöksen pätevyyden tutkimiseksi, jos ne valvontaviranomaisen tavoin epäilevät komission päätöksen unionin lainsäädännön mukaisuutta. Tavoitteena on siten tässä yhteydessä mahdollistaa se, että kansallinen valvontaviranomainen voi saattaa Helsingin hallinto-oikeuden ratkaistavaksi kysymyksen siitä, onko komission päätöksen direktiivinmukaisuudesta tarpeen pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta. Hakemuksen hyväksyminen tarkoittaa tällöin käytännössä ennakkoratkaisupyynnön tekemistä ja hakemuksen hylkääminen sitä, että ennakkoratkaisua ei pyydetä. 

Vastaava säännös sisältyy myös tietosuoja-asetuksen täydentämiseksi esitettyyn tietosuojalakiin ( HE 9/2018 vp ). Hallintovaliokunta on ehdottanut esityksestä antamassaan mietinnössä tietosuojalain säännöksen sanamuotoa täsmennettäväksi ( HaVM 13/2018 vp ). 

Vastaavalla tavalla kuin tietosuojalaki, myöskään ehdotettu rikosasioiden tietosuojalaki ei sisällä erityisiä menettelyä koskevia säännöksiä nyt tarkoitetun hakemusasian käsittelystä hallinto-oikeudessa. Selvyyden vuoksi on syytä todeta, että siihen soveltuu hallintolainkäyttölain 72 §, joka koskee "muuta hallintolainkäytössä käsiteltävää asiaa kuin valitusta, ylimääräistä muutoksenhakua tai hallintoriita-asiaa". Tällainen asia pannaan vireille toimittamalla vireillepanoa koskeva asiakirja sille viranomaiselle, jonka toimivaltaan asian ratkaiseminen kuuluu. Lisäksi sovellettavaksi tulee hallintolainkäyttölain 73 §, jonka mukaan menettelystä on muuten soveltuvin osin voimassa, mitä kyseisessä laissa säädetään valituksesta. Valituksen käsittelyä koskevat hallintolainkäyttölain säännökset ovat joustavia, joten hallintovaliokunta katsoo niiden mahdollistavan nyt käsiteltävänä olevan hakemusasian erityispiirteiden huomioon ottamisen asian käsittelyssä. 

Rikosasioiden tietosuojalain 57 §:n 2 momentti ei sisällä erityissäännöstä muutoksenhausta Helsingin hallinto-oikeuden päätökseen. Selvityksen mukaan tarkoituksena on ollut, että sovellettavaksi tulisi muutoksenhakua koskeva 58 §:n 2 momentti. Lakivaliokunta on kuitenkin esittänyt, että 57 §:n 2 momentissa tarkoitettujen komission päätösten osalta lakiin otettaisiin erityissäännös muutoksenhausta Helsingin hallinto-oikeuden päätökseen vastaavalla tavalla kuin on tehty tietosuojalaissa. Tätä voidaan hallintovaliokunnan mielestä pitää perusteltuna, koska valitusoikeus 57 §:n 2 momentissa tarkoitetusta Helsingin hallinto-oikeuden päätöksestä on lähtökohtaisesti viranomaisella eli tietosuojavaltuutetulla, kun taas 58 §:n 2 momentissa se on lähtökohtaisesti rekisteröidyllä, minkä vuoksi 58 §:n 2 momentissa on erikseen säädetty, että "myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen". Hallintovaliokunta ehdottaa säännöksen muuttamista ja uuden pykälän lisäämistä yksityiskohtaisissa perusteluissa tarkemmin esitetyin tavoin. 

Hallintovaliokunta toteaa, että tietosuojalain yhteydessä esitetyt huomiot valitusoikeuteen liittyvistä kysymyksistä pätevät myös nyt puheena olevaa säännösehdotukseen. Esimerkiksi kysymys siitä, onko rekisteröidyllä, jonka asian käsittelyn yhteydessä epäselvyys komission päätöksen direktiivinmukaisuudesta on syntynyt, valitusoikeus Helsingin hallinto-oikeuden päätökseen, edellyttää sen arvioimista, katsotaanko hallinto-oikeuden päätöksen hallintolainkäyttölain 6 §:n 1 momentissa tarkoitetulla tavalla "välittömästi" vaikuttavan rekisteröidyn oikeuteen, velvollisuuteen tai etuun. Lakivaliokunta on arvioinut tietosuojalakia koskevassa lausunnossaan tähän liittyviä näkökohtia ( LaVL 5/2018 vp ). Sen mukaan on lähtökohtaisesti mahdollista katsoa, ettei hallinto-oikeuden ennakkoratkaisun pyytämistä koskeva päätös koske rekisteröityä "välittömästi", jolloin valitusoikeutta ei ole. Toisaalta mahdollista on, että joissakin tapauksissa hallinto-oikeus harkitsee päätöksen vaikuttavan rekisteröidyn oikeuteen hallintolainkäyttölaissa tarkoitetulla tavalla "välittömästi", jolloin tällä olisi valitusoikeus. 

Itsekriminointisuoja

Itsekriminointisuojan keskeisenä sisältönä on oikeus olla rikosasiassa todistamatta itseään vastaan ja oikeus olla myötävaikuttamatta oman syyllisyyden toteamiseen. Suoja kuuluu perustuslain 21 §:ssä turvatun oikeudenmukaisen oikeudenkäynnin takeisiin (ks. PeVL 39/2014 vp , s. 4/I ja HE 309/1993 vp , s. 74/II). Myös Euroopan ihmisoikeustuomioistuimen ratkaisukäytännössä itsekriminointisuojan on katsottu kuuluvan Euroopan ihmisoikeussopimuksen 6 artiklan 1 kohdassa turvatun oikeudenmukaisen oikeudenkäynnin ydinalueelle (esim. Saunders v. Yhdistynyt kuningaskunta, 17.12.1996). Itsekriminointisuojan keskeisimmät soveltamistapaukset ovat oikeuskäytännössä koskeneet rikoksen esitutkintaa ja rikosoikeudenkäyntiä, mutta joissain tilanteissa itsekriminointisuojan on katsottu ulottuvan myös muihin tilanteisiin, joissa kyse ei ole rikosoikeudellisista seuraamuksista. Itsekriminointisuojaa on käsitelty myös tietosuojalain yhteydessä ( HaVM 13/2018 vp , LaVL 5/2018 vp ). 

Lakivaliokunta on kiinnittänyt rikosasioiden tietosuojalakia koskevassa lausunnossaan huomiota ehdotetun lain säännöksiin velvollisuudesta ilmoittaa tietoturvaloukkauksesta (33 ja 34 §). Valiokunnan käsityksen mukaan ilmoitusvelvollisuuteen sovellettavia seuraamussäännöksiä on tällöin tulkittava itsekriminointisuojan kanssa yhteensopivasti ottaen huomioon muun muassa Euroopan ihmisoikeustuomioistuimen oikeuskäytäntö. Viime kädessä asian arvioiminen jää tuomioistuimen ratkaistavaksi. 

Lakivaliokunta on kiinnittänyt huomiota myös ehdotetun lain 52 §:ään, joka sisältää säännökset uhkasakosta. Pykälän 1 momentin mukaan tietosuojavaltuutettu voi asettaa eräiden päätösten sekä 47 §:ään perustuvan tiedonsaantioikeuden tehosteeksi uhkasakon. Pykälän 2 momentin mukaan uhkasakkoa ei kuitenkaan saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksen tehosteeksi silloin, kun henkilöä on syytä epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa. Jälkimmäisessä momentissa on kyse itsekriminointisuojasta. 

Uhkasakon määräämättä jättämisen kynnys on lain 52 §:n 2 momentissa liitetty ilmaisuun "on syytä epäillä". Sen sijaan tietosuojalain osalta on vastaavassa sääntely-yhteydessä esitetty kynnykseksi "on aihetta epäillä" ( HE 9/2018 vp , 1. lakiehdotuksen 22 §). Lakivaliokunta lausunnossaan toteaa, että uhkasakon määräämättä jättämisen kynnyksestä ei ole muodostunut vakiintunutta linjaa, vaan lainsäädäntöratkaisut vaihtelevat. Sanamuodon valinnassa merkitystä voidaan antaa sille, minkä viranomaisen tekemästä arviosta asiassa katsotaan olevan kyse, sekä sille, kytketäänkö itsekriminointisuoja ainoastaan niihin tilanteisiin, joissa esitutkintaviranomainen on jo tehnyt päätöksen esitutkinnan käynnistämisestä ("on syytä epäillä"), vai tulisiko itsekriminointisuoja ulottaa myös niihin tilanteisiin, joissa valvontaviranomainen arvioi, että tapaus saattaa myöhemmin johtaa rikosoikeudellisiin seuraamuksiin ("on aihetta epäillä"). 

Lakivaliokunta katsoi tietosuojalakiehdotusta koskevassa lausunnossaan ( LaVL 5/2018 vp ), että ilmaisua "on aihetta epäillä" puoltaa se, että se antaa tietojenantovelvolliselle luonnolliselle henkilölle suojaa laaja-alaisemmin, joten se olisi paremmin sopusoinnussa itsekriminointisuojan kanssa. Itsekriminointisuojan kytkeminen ilmaisuun "on syytä epäillä" voi sitoa itsekriminointisuojan liian tiukasti muodollisen esitutkinnan aloittamiseen. Lakivaliokunta ei kuitenkaan nähnyt estettä sille, etteikö säännöksessä voitaisi käyttää myös ilmaisua "on syytä epäillä". Valiokunta kuitenkin huomautti, että jos näin tehdään, säännös ei kuitenkaan sääntele tyhjentävästi itsekriminointisuojan merkitystä, vaan suojan ala voi tapauskohtaisesti ulottua säännöstä laajemmalle. 

Lakivaliokunta ei ole ottanut kantaa siihen, kumpi ilmaisu säännöksessä tulisi sen mielestä olla, vaan on jättänyt sen hallintovaliokunnan harkintaan. Lakivaliokunnan mukaan tärkeää kuitenkin olisi, että tietosuojalaissa ja nyt käsillä olevassa lakiehdotuksessa käytetyt ilmaisut olisivat yhtenevät. Hallintovaliokunta on tietosuojalain osalta päätynyt puoltamaan ilmaisua "on aihetta epäillä" ( HaVM 13/2018 vp ). Hallintovaliokunta toteaa kyseisen ilmaisun olevan paremmin sopusoinnussa itsekriminointisuojan kanssa, minkä vuoksi valiokunta ehdottaa sen käyttämistä myös nyt käsiteltävänä olevan rikosasioiden tietosuojalain 52 §:n 2 momentissa. Näin myös laeissa käytetyt ilmaisut olisivat tältä osin yhtenevät. 

Seuraamukset

Direktiivin 57 artiklan mukaan jäsenvaltioiden on vahvistettava säännöt tietosuojasäännösten rikkomisen johdosta määrättävistä tehokkaista, oikeasuhtaisista ja varoittavista seuraamuksista. 

Direktiivi ei sisällä säännöksiä hallinnollisesta seuraamusmaksusta, vaan seuraamusjärjestelmän osalta se jättää jäsenvaltioille tietosuoja-asetusta laajemman liikkumavaran. Direktiivin täytäntöön panemiseksi ei ehdoteta hallinnollisen seuraamusmaksun käyttöönottamista ehdotetun ri-kosasioiden tietosuojalain soveltamisalalla. Lainvastaisen menettelyn osalta tietosuojavaltuutettu voi kuitenkin antaa esimerkiksi huomautuksen tai asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen henkilötietojen käsittelylle. Tietosuojavaltuutettu voisi asettaa oikeudellisesti velvoittavan päätöksensä tehosteeksi uhkasakon. Lisäksi esityksessä ehdotetaan tietosuojavaltuutetulle direktiivin minimivaatimusta laajempia toimivaltuuksia, mikä osaltaan mahdollistaa laajan keinovalikoiman puuttua lainvastaiseen henkilötietojen käsittelyyn. Lisäksi rekisterinpitäjää koskee ankara korvausvastuu lain vastaisen henkilötietojen käsittelyn aiheuttamista vahingoista (1. lakiehdotuksen 59 §). Lakivaliokunnalla ei ole ollut huomauttamista esitettyyn sääntelytapaan ( LaVL 10/2018 vp ). 

Hallituksen esityksessä ehdotettuun rikosasioiden tietosuojalain 60 §:ään on sisällytetty viittaussäännökset sääntelykokonaisuuden kannalta merkityksellisiin rikoslain säännöksiin. Viittaussäännöksen mukaan rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Kyseinen rangaistussäännös on uusi, ja sitä koskeva ehdotus sisältyy hallituksen esitykseen yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi ( HE 9/2018 vp ). Kyseisessä hallituksen esityksessä on ehdotettu, että säädetään uusi rangaistussäännös tietosuojarikoksesta, joka korvaa aiemman rikoslain 38 luvun 9 §:ssä säädetyn henkilötietorikoksen. Rangaistussääntelyä on arvioitu hallintovaliokunnan kyseisestä esityksestä antamassa mietinnössä HaVM 13/2018 vp . 

Mainitun 60 §:n kolmannessa virkkeessä viitataan rikoslain säännöksiin ehdotetun lain 61 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta. Lakivaliokunta on lausunnossaan katsonut, että viittauksen tulee koskea myös 55 §:ssä säädettyä ilmoittajan henkilöllisyyden salassa pitämistä. Lisäksi 2.—5. lakiehdotukseen on perusteltua sisällyttää informatiivinen viittaus tietosuojarikosta koskevaan rikoslain 38 luvun 9 §:ään. Kyseisissä laeissa on esimerkiksi henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista, siirtämistä ja käsittelyn turvallisuutta koskevia säännöksiä, joiden rikkominen voi olla rangaistavaa uuden tietosuojarikosta koskevan säännöksen mukaan. Tällainen informatiivinen viittaussäännös rikoslain 38 luvun 9 §:ään sisältyy hallituksen esityksen 6. lakiehdotuksen 37 §:n 2 momenttiin. Siltä osin lakivaliokunta on esittänyt säännöksen tarkistamista. Hallintovaliokunta pitää lakivaliokunnan esityksiä aiheellisina ja ehdottaa lakiehdotuksia täsmennettäviksi yksityiskohtaisissa perusteluissa tarkemmin esitetyllä tavalla. Valiokunnan lakiehdotuksessa edellä mainitut 60 ja 61 § ovat lain 61 ja 62 §. 

Henkilötietojen siirrot kolmansiin maihin ja kansainvälisille järjestöille

Ehdotetun rikosasioiden tietosuojalain 7 lukuun otettaisiin säännökset niistä yleisistä edellytyksistä, joiden vallitessa toimivaltainen viranomainen saa siirtää henkilötietoja kolmanteen maahan. Ehdotetut säännökset vastaavat rikosasioiden tietosuojadirektiivin V luvussa säädettyä.  

Siirron olisi ensinnäkin oltava tarpeen ehdotetun lain soveltamisalasäännöksessä lueteltuja tarkoituksia varten, esimerkiksi rikoksen selvittämiseksi tai rangaistuksen täytäntöön panemiseksi. Komission olisi lisäksi tullut todeta kyseisen maan tietosuojan tason olevan riittävä. Jos komissio ei ole tehnyt kyseistä maata koskevaa päätöstä tietosuojan riittävästä tasosta, voidaan henkilötietoja siirtää kyseiseen maahan edellyttäen, että henkilötietojen suojatoimista on muutoin asianmukaisesti huolehdittu. Poikkeuksellisesti henkilötietoja voitaisiin ehdotetun 43 §:n nojalla siirtää kolmanteen maahan, vaikka henkilötietojen suojasta kyseisessä maassa ei ole riittävää varmuutta, jos siirto on välttämätön esimerkiksi yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan, kuten terroriteon, estämiseksi. Koska mainittuun pykälään otettavissa edellytyksissä on kyse poikkeuksista henkilötietojen siirtämistä koskeviin edellytyksiin, muistuttaa hallintovaliokunta siitä, että näitä edellytyksiä tulee tulkita supistavasti. Hallintovaliokunta muistuttaa niin ikään siitä lain 41 §:n 1 momenttiinkin kirjatusta lähtökohdasta, että henkilötietoja saa siirtää kolmanteen maahan tai kansainväliselle järjestölle vain, jos kaikkia muitakin ehdotetussa laissa säädettyjä henkilötietojen käsittelyyn sovellettavia säännöksiä noudatetaan. Tällaiset säännökset koskevat muun muassa käyttötarkoitussidonnaisuutta. 

Rikosasioiden tietosuojadirektiivin 61 artiklan mukaan henkilötietojen siirtoa kolmansiin maihin tai kansainvälisille järjestöille edellyttävät kansainväliset sopimukset, joita jäsenvaltiot ovat tehneet ennen direktiivin voimaan tuloa ja jotka ovat unionissa kyseisenä päivänä voimassa olleen oikeuden mukaisia, ovat edelleen voimassa, kunnes niitä muutetaan tai ne korvataan tai kumotaan. Hallintovaliokunnan käsityksen mukaan direktiivin ja sen kansallisen täytäntöönpanolain säännöksiä ei kuitenkaan ole tarkoitus ollut jättää kokonaan huomiotta siirrettäessä henkilötietoja kolmanteen maahan, erityisesti kun otetaan huomioon henkilötietojen suojan merkitys perusoikeutena. Hallintovaliokunnan käsityksen mukaan direktiivin 61 artiklaa on tulkittava niin, että voimassa olevia sopimuksia voidaan edelleen soveltaa, mutta direktiivin täytäntöönpanolain säännöksiä muun muassa henkilötietojen siirrosta kolmansiin maihin on sovellettava samanaikaisesti täydentävästi. 

48 §. Oikeus tehdä tarkastuksia.

Pykälän 2 momentissa säädetään tietosuojavaltuutetun oikeudesta tehdä tarkastuksia kotirauhan piiriin kuuluvissa tiloissa. Yleisperusteluissa todetun mukaisesti hallintovaliokunta ehdottaa, että tietosuojavaltuutetun toimivaltuuden käyttö rajataan tältä osin vankeusuhkaisiin rikoslain säännöksiin. 

52 §. Uhkasakko.

Pykälän 2 momentin mukaan uhkasakkoa ei saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksen tehosteeksi, jos henkilöä on syytä epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa. Momentissa on kyse itsekriminointisuojasta. Hallintovaliokunta ehdottaa yleisperustelujen mukaisesti, että uhkasakon määräämättä jättämisen kynnys "on syytä epäillä" muutetaan muotoon "on aihetta epäillä". 

57 §. Toimenpidepyynnön käsitteleminen.

Pykälän 1 momentti koskee tilanteita, joissa henkilötietojen käsittelyn rikkominen on samanaikaisesti vireillä tietosuojavaltuutetulla ja tuomioistuimessa. Yleisperusteluissa todetuista syistä hallintovaliokunta ehdottaa momentin ensimmäisen virkkeen muuttamista vastaamaan tietosuojalakiin ehdotetun vastaavan säännöksen sanamuotoa ( HaVM 13/2018 vp ). 

Pykälän 2 momentti liittyy tilanteisiin, joissa tietosuojavaltuutettu pitää sillä vireillä olevassa asiassa tarpeellisena selvittää, onko komission päätös tietosuojan tason riittävyydestä rikosasioiden tietosuojadirektiivin mukainen. Valiokunta katsoo, että 2 momentissa tarkoitetusta sääntelystä on lakiteknisesti selkeämpää säätää omassa pykälässään vastaavalla tavalla kuin tietosuojalaissa on ehdotettu ( HaVM 13/2018 vp ). Tämän vuoksi valiokunta ehdottaa, että 2 momentti poistetaan ja siinä oleva sääntely sisällytetään lakiin otettavaan uuteen 58 §:ään.  

58 §. Komission päätökset. (Uusi)

Edellä 57 §:n yhteydessä todetun mukaisesti valiokunta ehdottaa lakiin otettavaksi uuden 58 §:n. Ehdotetun pykälän 1 momentin perusteella tietosuojavaltuutettu voisi saattaa Helsingin hallinto-oikeuden ratkaistavaksi kysymyksen siitä, onko komission päätöksen direktiivinmukaisuudesta tarpeen pyytää ennakkoratkaisua Euroopan unionin tuomioistuimelta. Säännös vastaa hallituksen esityksessä ehdotetun 57 §:n 2 momentin sääntelyä pienin täsmennyksin. Valiokunta on yleisperusteluissa pitänyt perusteltuna, että lakiin lisätään myös erityissäännös muutoksenhausta hallinto-oikeuden päätökseen. Valiokunta ehdottaa sen sisällyttämistä pykälän 2 momentiksi. Lisäksi valiokunta pitää tarkoituksenmukaisena, että pykälä otsikoidaan samalla tavoin kuin tietosuojalaissa vastaavassa säännöksessä on ehdotettu. 

Hallintovaliokunnan ehdottamasta uudesta pykälästä seuraa, että jäljempänä olevien pykälien numerointi muuttuu. 

61 (60) §. Rangaistussäännökset.

Hallintovaliokunta on yleisperusteluissa todennut, että pykälän kolmannessa virkkeessä on aiheellista viitata myös 55 §:ssä säädettyyn ilmoittajan henkilöllisyyden salassa pitämiseen. Vaitiolovelvollisuutta koskevan säännöksen sanamuodossa on samalla tarpeen ottaa huomioon perustuslakivaliokunnan 61 §:ään tehtäväksi edellyttämät muutokset. Lisäksi viittaus 61 §:ään tulee valiokunnan edellä ehdottaman uuden pykälän vuoksi muuttaa viittaukseksi 62 §:ään. 

62 (61) §. Vaitiolovelvollisuus.

Yleisperusteluissa todetun mukaisesti hallintovaliokunta ehdottaa, että pykälässä ehdotettu sääntely korvataan informatiivisella viittauksella julkisuuslakiin seuraavasti: "Vaitiolovelvollisuudesta ja tietojen hyväksikäyttökiellosta säädetään viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 23 §:ssä." 

64 (63) §. Siirtymäsäännökset.

Ehdotetun pykälän mukaan ennen 6 päivää toukokuuta 2016 luodut automatisoidut käsittelyjärjestelmät on saatettava 19 §:n mukaisiksi viimeistään 6 päivänä toukokuuta 2023. Säännös perustuu rikosasioiden tietosuojadirektiivin 63 artiklan 2 kohtaan. Ehdotetussa laissa käytetään direktiivin mahdollistamaa liikkumavaraa. Hallintovaliokunta toteaa, ettei direktiivi mahdollista siirtymäaikaa muiden vaatimusten kuin lokitusvaatimuksen osalta. 

Direktiivin mukaan jäsenvaltio voi poikkeuksellisissa olosuhteissa saattaa tietyn automatisoidun käsittelyjärjestelmän direktiivin 25 artiklassa säädetyn mukaiseksi tietyn lisämääräajan kuluessa ehdotetun määräajan 6.5.2023 jälkeenkin, jos muuten aiheutuisi vakavia vaikeuksia automatisoidun järjestelmän toiminnalle. Tämä määräaika ei direktiivin mukaan saa kuitenkaan olla pidemmällä kuin 6.5.2026. 

Hallintovaliokunnan näkemyksen mukaan tässä vaiheessa ei ole perusteltua säätää siitä, että määräaika olisi ehdotettua päivämäärää myöhemmin, sillä tämä on direktiivin mukaan mahdollista vain poikkeuksellisissa tilanteissa. Myöhemmän määräajan käyttäminen edellyttää myös ilmoitusta komissiolle vakavien vaikeuksien ja sen määräajan perusteista. Valiokunta katsoo, että mikäli tällaisia vakavia vaikeuksia olisi jonkin käsittelyjärjestelmän osalta olemassa lähestyttäessä vuoden 2023 määräaikaa, voidaan tarvetta direktiivin 63 artiklan 3 kohdan mukaisen liikkumavaran käytölle tarvittaessa arvioida tuolloin uudestaan. 

11 a §. (Uusi).

Hallintovaliokunta ehdottaa lakivaliokunnan lausunnon mukaisesti lakiin lisättäväksi informatiivisen viittauksen tietosuojarikosta koskevaan rikoslain 38 luvun 9 §:ään. 

Ehdotetun muutoksen vuoksi myös lain nimikettä ja johtolausetta on tarpeen tarkistaa. 

4 §. Suhde muihin lakeihin ja kansainvälisiin velvoitteisiin.

Hallintovaliokunta ehdottaa, että pykälään lisätään uusi 4 momentti, joka sisältää lakivaliokunnan lausunnon mukaisesti informatiivisen viittauksen tietosuojarikosta koskevaan rikoslain 38 luvun 9 §:ään. 

Ehdotetun muutoksen vuoksi myös lain johtolausetta on tarpeen tarkistaa. 

19 a §. Rangaistussäännökset. (Uusi).

Hallintovaliokunta ehdottaa lakivaliokunnan lausunnon mukaisesti lakiin lisättäväksi informatiivisen viittauksen tietosuojarikosta koskevaan rikoslain 38 luvun 9 §:ään. Ehdotettu pykälä lisättäisiin lain 5 lukuun. 

Ehdotetun muutoksen vuoksi myös lain johtolausetta on tarpeen tarkistaa. 

53 a §. Rangaistusäännökset. (Uusi).

Hallintovaliokunta ehdottaa lakivaliokunnan lausunnon mukaisesti lakiin lisättäväksi informatiivisen viittauksen tietosuojarikosta koskevaan rikoslain 38 luvun 9 §:ään. 

Ehdotetun muutoksen vuoksi myös lain johtolausetta on tarpeen tarkistaa. 

37 §. Rangaistussäännökset.

Hallintovaliokunta ehdottaa säännöksen sanamuotoa tarkistettavaksi lakivaliokunnan lausunnossa esitetyllä tavalla.  

Hallintovaliokunnan päätösehdotus:

Eduskunta hyväksyy muutettuna hallituksen esitykseen HE 31/2018 vp sisältyvät 1.—6. lakiehdotuksen. (Valiokunnan muutosehdotukset) 

1. 

Laki 

henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä 

Eduskunnan päätöksen mukaisesti säädetään: 

1 luku 

Yleiset säännökset 

1 § 

Soveltamisala  

Tätä lakia sovelletaan toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on:  

1) rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta; 

2) syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta; 

3) rikosasian käsittelemisestä tuomioistuimessa; 

4) rikosoikeudellisen seuraamuksen täytäntöönpanemisesta;  

5) yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1—4 kohdassa tarkoitetun toiminnan yhteydessä. 

Sen lisäksi, mitä 1 momentissa säädetään, tätä lakia sovelletaan: 

1) Puolustusvoimien suorittamaan ja Puolustusvoimien lukuun suoritettavaan henkilötietojen käsittelyyn, kun tietoja käsitellään puolustusvoimista annetun lain (551/2007) 2 §:n 1 momentin 1 kohdassa, 2 kohdan a alakohdassa sekä 3 ja 4 kohdassa säädettyjen tehtävien hoitamiseksi;  

2) poliisin suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa poliisilain (872/2011) 1 §:n 1 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen;  

3) Rajavartiolaitoksen suorittamaan henkilötietojen käsittelyyn, kun tietoja käsitellään sellaisessa rajavartiolain (578/2005) 3 §:n 2 ja 3 momentissa tarkoitetussa tehtävässä, joka liittyy kansallisen turvallisuuden suojaamiseen. 

Edellä 2 momentissa tarkoitettuun henkilötietojen käsittelyyn ei kuitenkaan sovelleta 10 §:n 2 momenttia henkilötietojen siirtämisestä Euroopan unionissa sijaitsevalle vastaanottajalle, 54 §:ää keskinäisestä avunannosta toisen EU:n jäsenvaltion kanssa eikä 7 lukua henkilötietojen siirrosta kolmansiin maihin ja kansainvälisille järjestöille. 

Tätä lakia sovelletaan kuitenkin vain sellaiseen 1 ja 2 momentissa tarkoitettuun henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista tai jossa käsiteltävät tiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri tai sen osa. 

Tällä lailla pannaan täytäntöön luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta annettu Euroopan parlamentin ja neuvoston direktiivi 2016/680/EU, jäljempänä rikosasioiden tietosuojadirektiivi. 

2 § 

Suhde muuhun lainsäädäntöön 

Jos muussa laissa on tästä laista poikkeavia säännöksiä, niitä sovelletaan tämän lain asemesta. 

Oikeuteen saada tieto ja muuhun henkilötietojen luovuttamiseen viranomaisen henkilörekisteristä sovelletaan, mitä viranomaisten toiminnan julkisuudesta säädetään.  

3 § 

Määritelmät  

Tässä laissa tarkoitetaan:  

1) henkilötiedoilla kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön ( rekisteröity ) välittömästi tai välillisesti liittyviä tietoja;  

2) käsittelyllä tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista sekä muuta toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin;  

3) käsittelyn rajoittamisella tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä;  

4) rekisterillä jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, riippumatta siitä, onko tietojoukko keskitetty, hajautettu taikka toiminnallisin tai maantieteellisin perustein jaettu;  

5) toimivaltaisella viranomaisella viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, paljastamisen, selvittämisen tai syyteharkintaan saattamisen, syyteharkinnan tai muun rikoksesta syyttämiseen liittyvän toiminnan, rikosoikeudellisiin seuraamuksiin tuomitsemisen tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy, samoin kuin Puolustusvoimia, poliisia ja Rajavartiolaitosta näiden hoitaessa 1 §:n 2 momentissa tarkoitettuja tehtäviä;  

6) rekisterinpitäjällä toimivaltaista viranomaista, joka yksin tai yhdessä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot tai jonka tehtäväksi rekisterinpito on lailla säädetty;  

7) henkilötietojen käsittelijällä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun;  

8) vastaanottajalla luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja;  

9) henkilötietojen tietoturvaloukkauksella tietoturvallisuuden loukkausta, josta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai oikeudeton tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai pääsy tietoihin;  

10) asianmukaisilla suojatoimenpiteillä sellaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan henkilötietojen käsittelyn lainmukaisuus, kun otetaan huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä rekisteröityjen oikeuksiin kohdistuvat riskit; 

11) profiloinnilla henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön henkilökohtaisia ominaisuuksia; 

12) geneettisillä tiedoilla henkilötietoja, jotka koskevat sellaisia luonnollisen henkilön perittyjä tai hankittuja geneettisiä ominaisuuksia, joista selviää yksilöllistä tietoa kyseisen luonnollisen henkilön fysiologiasta tai terveydentilasta, ja jotka on saatu kyseisen luonnollisen henkilön biologisesta näytteestä analysoimalla tai muutoin;  

13) biometrisillä tiedoilla luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, joiden perusteella kyseinen luonnollinen henkilö voidaan tunnistaa tai kyseisen henkilön tunnistaminen voidaan varmistaa;  

14) terveyttä koskevilla tiedoilla luonnollisen henkilön fyysiseen tai psyykkiseen terveyteen liittyviä henkilötietoja, jotka ilmaisevat hänen terveydentilansa;  

15) kolmannella maalla muuta valtiota kuin Euroopan unionin (EU) jäsenvaltiota, Euroopan talousalueeseen kuuluvaa valtiota tai Sveitsiä; 

16) kansainvälisellä järjestöllä sellaista järjestöä ja sen alaisia elimiä, joihin sovelletaan kansainvälistä julkisoikeutta, sekä muuta elintä, joka on perustettu kahden tai useamman valtion välisellä sopimuksella tai tällaisen sopimuksen perusteella. 

Mitä tässä laissa säädetään toimivaltaisesta viranomaisesta, sovelletaan myös 1 momentin 5 kohdassa tarkoitettua tehtävää hoitavaan yksityiseen. 

Mitä tässä laissa säädetään EU:n jäsenvaltiosta, sovelletaan myös Euroopan talousalueeseen kuuluviin valtioihin ja Sveitsiin. 

2 luku 

Henkilötietojen käsittelyä koskevat periaatteet 

4 §  

Lainmukaisuusvaatimus 

Henkilötietoja saa käsitellä vain, jos se on tarpeen laissa toimivaltaiselle viranomaiselle säädetyn, 1 §:n 1 tai 2 momentin alaan kuuluvan tehtävän suorittamiseksi.  

Henkilötietoja on käsiteltävä asianmukaisesti ja huolellisesti. 

5 § 

Käyttötarkoitussidonnaisuus 

Rekisterinpitäjä saa kerätä henkilötietoja vain tiettyjä nimenomaisia ja oikeutettuja tarkoituksia varten, eikä se saa käsitellä niitä kyseisten tarkoitusten kanssa yhteensopimattomalla tavalla.  

Edellä 1 §:n 1 tai 2 momentissa säädettyä tarkoitusta varten kerättyjä henkilötietoja saa käsitellä muuhun kuin kyseisessä momentissa säädettyyn tarkoitukseen vain, jos käsittelystä säädetään laissa.  

Henkilötietoja saa käsitellä 1 §:n 1 tai 2 momentissa säädettyyn tarkoitukseen myös yleisen edun mukaista arkistointia taikka tieteellistä, tilastollista tai historiallista tarkoitusta varten edellyttäen, että rekisteröidyn oikeuksia koskevat asianmukaiset suojatoimenpiteet on toteutettu.  

6 § 

Tarpeellisuusvaatimus 

Käsiteltävien henkilötietojen on oltava käsittelyn tarkoituksen kannalta asianmukaisia ja tarpeellisia, eivätkä ne saa olla liian laajoja niihin tarkoituksiin, joita varten niitä käsitellään. Tarpeettomat henkilötiedot on poistettava ilman aiheetonta viivytystä. 

Henkilötiedot saa säilyttää muodossa, josta rekisteröity on tunnistettavissa, vain niin kauan, kuin on tarpeen henkilötietojen käsittelyn tarkoituksen kannalta. 

Henkilötietojen säilyttämisen tarpeellisuutta on arvioitava vähintään viiden vuoden välein, jollei henkilötietojen säilytysajoista muualla toisin säädetä. 

7 § 

Virheettömyysvaatimus  

Käsiteltävien henkilötietojen on oltava täsmällisiä ja käsittelyn tarkoitus huomioon ottaen päivitettyjä. Rekisterinpitäjän on huolehdittava siitä, että kaikki kohtuulliset toimenpiteet on toteutettu sen varmistamiseksi, että käsittelyn tarkoituksiin nähden virheelliset tiedot poistetaan tai oikaistaan viipymättä. 

8 § 

Eräiden henkilötietojen erottaminen toisistaan  

Rekisterinpitäjän on erotettava tarvittaessa ja mahdollisuuksien mukaan selvästi toisistaan henkilötiedot, jotka koskevat käsiteltävän asian kannalta eri asemassa olevia rekisteröityjä.  

Tosiseikkoihin perustuvien henkilötietojen erottamiseksi henkilökohtaisiin arvioihin perustuvista henkilötiedoista on toteutettava kaikki kohtuulliset toimenpiteet. 

9 § 

Siirrettävien tai saataville asetettavien henkilötietojen laadun varmentaminen  

Toimivaltaisen viranomaisen on toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, ettei virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja siirretä eikä aseteta saataville.  

Kaikkiin henkilötietojen siirtoihin on mahdollisuuksien mukaan lisättävä sellaiset tiedot, joiden avulla vastaanottava toimivaltainen viranomainen voi arvioida henkilötietojen paikkansapitävyyttä, täydellisyyttä, luotettavuutta ja ajantasaisuutta. 

Jos ilmenee, että on siirretty virheellisiä henkilötietoja tai että henkilötietoja on siirretty lainvastaisesti, on asiasta viipymättä ilmoitettava vastaanottajalle. Vastaanottajan on asiasta tiedon saatuaan oikaistava tai poistettava henkilötiedot tai rajoitettava niiden käsittelyä. 

10 § 

Ilmoittamisvelvollisuus käsittelyn erityisistä edellytyksistä  

Jos henkilötietojen käsittelyyn liittyy laissa säädettyjä erityisiä edellytyksiä, toimivaltaisen viranomaisen on henkilötietojen luovutuksen tai siirron yhteydessä ilmoitettava henkilötietojen vastaanottajalle kyseisistä edellytyksistä sekä velvollisuudesta noudattaa niitä. 

Kun toimivaltainen viranomainen siirtää henkilötietoja EU:ssa sijaitsevalle vastaanottajalle, se ei saa asettaa henkilötietojen käsittelylle tiukempia edellytyksiä kuin mitä sovelletaan kansallisesti samankaltaisiin tiedonsiirtoihin.  

11 § 

Erityisiä henkilötietoryhmiä koskeva käsittely 

Erityisiin henkilötietoryhmiin kuuluvia tietoja ovat henkilötiedot, joista ilmenee etninen alkuperä, poliittisia mielipiteitä, uskonnollinen tai filosofinen vakaumus taikka ammattiliiton jäsenyys, sekä geneettiset tiedot, luonnollisen henkilön yksiselitteiseen tunnistamiseen tarkoitetut biometriset tiedot sekä terveyttä taikka luonnollisen henkilön seksuaalista käyttäytymistä ja seksuaalista suuntautumista koskevat tiedot. 

Edellä 1 momentissa tarkoitettujen henkilötietojen käsittely on sallittu vain, jos se on välttämätöntä, rekisteröidyn oikeuksien turvaamisen edellyttämät suojatoimet on toteutettu ja jos: 

1) käsittelystä säädetään laissa; 

2) kyse on rikosasian käsittelystä syyttäjäntoimessa tai tuomioistuimessa; 

3) rekisteröidyn tai toisen luonnollisen henkilön elintärkeän edun suojaaminen edellyttää sitä; tai 

4) käsittely koskee tietoja, jotka rekisteröity on nimenomaisesti saattanut julkisiksi. 

Sellainen profilointi, joka johtaa erityisiin henkilötietoryhmiin perustuvaan luonnollisten henkilöiden syrjintään, on kielletty. 

12 § 

Henkilötunnuksen käsittely 

Henkilötunnusta saa käsitellä vain, jos rekisteröidyn yksiselitteinen yksilöiminen on tärkeää: 

1) toimivaltaisen viranomaisen laissa säädetyn tehtävän suorittamiseksi; 

2) rekisteröidyn tai rekisterinpitäjän oikeuksien tai velvollisuuksien toteuttamiseksi; tai 

3) 5 §:n 3 momentin mukaista historiallista tai tieteellistä tutkimusta taikka tilastointia varten. 

Henkilötunnusta ei saa tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. 

13 § 

Automatisoidut yksittäispäätökset  

Jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä.  

3 luku 

Rekisterinpitäjä ja henkilötietojen käsittelijä 

14 § 

Rekisterinpitäjän vastuu  

Rekisterinpitäjä vastaa siitä, että henkilötietoja käsitellään lainmukaisesti. Sen on lisäksi kyettävä osoittamaan, että henkilötietoja on käsitelty 2 luvun mukaisesti.  

Rekisterinpitäjän on toteutettava tarvittavat 1 momentissa säädetyn vastuun edellyttämät tekniset ja organisatoriset toimenpiteet. Toimenpiteiden toteuttamisessa on otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin kohdistuvat riskit. 

15 § 

Sisäänrakennettu ja oletusarvoinen tietosuoja 

Rekisterinpitäjän tulee sekä henkilötietojen käsittelytapoja määrittäessään että henkilötietojen käsittelyn yhteydessä toteuttaa asianmukaiset tekniset ja organisatoriset suojatoimenpiteet käsittelyn lainmukaisuuden ja rekisteröidyn oikeuksien suojelemisen varmistamiseksi. Toimenpiteiden toteuttamisessa on otettava huomioon käytettävissä olevat tekniset ratkaisut, toimenpiteiden toteuttamiskustannukset sekä käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset samoin kuin ne riskit, jotka käsittely henkilön oikeuksille aiheuttaa.  

Rekisterinpitäjän tulee toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että oletusarvoisesti käsitellään vain kunkin erityisen käsittelytarkoituksen kannalta tarpeellisia henkilötietoja. 

16 § 

Yhteisrekisterinpitäjät  

Jos kaksi tai useampi rekisterinpitäjä määrittää yhdessä käsittelyn tarkoitukset ja keinot, niiden on sovittava keskinäisestä vastuunjaostaan tämän lain mukaisten velvollisuuksien hoitamisessa, jollei vastuunjaosta ole säädetty laissa. 

Edellä 1 momentissa tarkoitettujen rekisterinpitäjien on nimettävä keskuudestaan yhteyspisteenä toimiva rekisterinpitäjä, johon rekisteröity voi olla yhteydessä oikeuksiensa käyttöä koskevissa asioissa. Rekisteröity voi kuitenkin käyttää tämän lain mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään. 

17 §  

Henkilötietojen käsittelijä  

Henkilötietoja rekisterinpitäjän lukuun käsittelevän on annettava rekisterinpitäjälle asianmukaiset selvitykset ja sitoumukset sekä muutoinkin riittävät takeet niistä organisatorisista ja teknisistä toimenpiteistä, joilla se varmistaa, että henkilötietoja käsitellään tässä laissa säädettyjen vaatimusten mukaisesti. 

Henkilötietojen käsittelijä tai sen palveluksessa oleva ei saa käsitellä henkilötietoja muutoin kuin rekisterinpitäjän ohjeiden mukaisesti, eikä siirtää henkilötietojen käsittelyä toiselle käsittelijälle ilman rekisterinpitäjän kirjallista lupaa. 

Henkilötietojen käsittelijän suorittamasta henkilötietojen käsittelystä on tehtävä kirjallinen sopimus tai annettava kirjallinen määräys, josta ilmenevät käsiteltävät henkilötiedot, käsittelyn kesto, luonne ja tarkoitus, käsiteltävät henkilötietoryhmät ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet. Edellä tarkoitetussa kirjallisessa asiakirjassa on lisäksi määrättävä, että henkilötietojen käsittelijä: 

1) toimii ainoastaan rekisterinpitäjän ohjeiden mukaisesti; 

2) varmistaa, että henkilötietoja käsittelevät luonnolliset henkilöt ovat sitoutuneet noudattamaan salassapitovelvollisuutta tai että heitä sitoo lakisääteinen salassapitovelvollisuus; 

3) avustaa rekisterinpitäjää kaikin tarkoituksenmukaisin tavoin, jotta voidaan varmistaa, että rekisteröidyn oikeuksia koskevia säännöksiä noudatetaan; 

4) rekisterinpitäjän valinnan mukaan poistaa taikka palauttaa tietojenkäsittelypalveluiden tarjoamisen päätyttyä kaikki henkilötiedot rekisterinpitäjälle ja poistaa olemassa olevat jäljennökset, paitsi jos laissa toisin säädetään; 

5) saattaa rekisterinpitäjän saataville kaikki tiedot, jotka ovat tarpeen tämän pykälän noudattamisen osoittamiseksi; 

6) täyttää tässä pykälässä tarkoitetut toisen käsittelijän käyttöä koskevat edellytykset. 

18 §  

Seloste käsittelytoimista  

Rekisterinpitäjän on ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä kirjallista selostetta, jossa on seuraavat tiedot: 

1) rekisterinpitäjän ja tarvittaessa yhteisrekisterinpitäjän sekä 38 §:ssä tarkoitetun tietosuojavastaavan nimi ja yhteystiedot; 

2) henkilötietojen käsittelyn tarkoitukset ja oikeudellinen peruste; 

3) kuvaus rekisteröityjen ryhmästä tai ryhmistä ja käsiteltävistä henkilötietoryhmistä;  

4) vastaanottajien ryhmät, joille henkilötietoja on luovutettu tai luovutetaan; 

5) kolmanteen maahan tai kansainväliselle järjestölle suoritettujen henkilötietojen siirtojen ryhmät; 

6) mahdollisuuksien mukaan eri henkilötietoryhmien poistamisen suunnitellut määräajat; 

7) mahdollinen profiloinnin käyttö; 

8) mahdollisuuksien mukaan yleinen kuvaus tietojärjestelmistä ja niiden suojauksen periaatteista sekä yleinen kuvaus 31 §:ssä tarkoitetuista teknisistä ja organisatorisista turvatoimista. 

Henkilötietojen käsittelijän on ylläpidettävä kaikesta rekisterinpitäjän lukuun suoritettavasta henkilötietojen käsittelystä kirjallista selostetta, jossa on seuraavat tiedot: 

1) henkilötietojen käsittelijän tai käsittelijöiden sekä tietosuojavastaavan nimi ja yhteystiedot;  

2) kunkin rekisterinpitäjän, jonka lukuun käsittelijä toimii, nimi ja yhteystiedot; 

3) kunkin rekisterinpitäjän lukuun suoritettujen käsittelyiden ryhmät; 

4) jos rekisterinpitäjä on nimenomaisesti niin ohjeistanut, mahdolliset tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle; 

5) mahdollisuuksien mukaan yleinen kuvaus 31 §:ssä tarkoitetuista teknisistä ja organisatorisista suojatoimenpiteistä. 

19 § 

Lokitiedot  

Rekisterinpitäjän ja henkilötietojen käsittelijän on huolehdittava lokitietojen säilyttämisestä automaattisessa tietojenkäsittelyjärjestelmässään suoritetusta henkilötietojen keräämisestä, muuttamisesta, kyselystä, luovuttamisesta, siirtämisestä, yhdistämisestä ja poistamisesta. Kyselyjä ja luovutuksia koskevien lokitietojen avulla on pystyttävä selvittämään kyselyn ja luovutuksen peruste, toteutuspäivä ja -aika sekä mahdollisuuksien mukaan henkilötietoja hakeneen tai niitä luovuttaneen henkilön tiedot ja näiden henkilötietojen vastaanottajien henkilöllisyys.  

Lokitietoja saa käyttää ainoastaan käsittelyn lainmukaisuuden tarkistamiseen, sisäiseen valvontaan, henkilötietojen eheyden ja turvallisuuden varmistamiseen sekä rikosoikeudellisiin menettelyihin. 

20 § 

Tietosuojaa koskeva vaikutustenarviointi  

Rekisterinpitäjän on ennen henkilötietojen käsittelyn aloittamista arvioitava suunniteltujen käsittelytoimien vaikutukset henkilötietojen suojaan. 

Rekisterinpitäjän on tehtävä kirjallinen vaikutustenarviointi, jos suunniteltu henkilötietojen käsittely saattaa aiheuttaa merkittävän riskin luonnollisen henkilön oikeuksien toteutumisen kannalta. Vaikutustenarvioon on sisällytettävä yleinen kuvaus suunnitelluista käsittelytoimista, arvio rekisteröidyn oikeuksiin kohdistuvista riskeistä ja toimet niiden vähentämiseksi sekä toimet, joilla henkilötietojen suoja varmistetaan.  

21 § 

Tietosuojaviranomaisen ennakkokuuleminen  

Rekisterinpitäjän tai henkilötietojen käsittelijän on kuultava tietosuojavaltuutettua ennen henkilötietojen käsittelyä, jos: 

1) 20 §:n 2 momentissa tarkoitetun kirjallisen vaikutusarvioinnin mukaan suunnitelluista suojatoimenpiteistä huolimatta käsittely aiheuttaa merkittävän riskin rekisteröidyn oikeuksille; tai 

2) tietojen käsittely erityisesti uusien tekniikoiden, mekanismien tai menettelyjen käyttämisen johdosta aiheuttaa merkittävän riskin rekisteröityjen oikeuksien kannalta. 

Rekisterinpitäjän on toimitettava tietosuojavaltuutetulle 20 §:n 2 momentissa tarkoitettu vaikutustenarviointi ja pyynnöstä muut sellaiset tiedot, joiden avulla tietosuojavaltuutettu voi arvioida henkilötietojen käsittelyn lainmukaisuutta. 

Jos tietosuojavaltuutettu katsoo, että 1 momentissa tarkoitettu käsittely muodostuisi tämän lain vastaiseksi, tietosuojavaltuutetun tulee antaa kuuden viikon kuluessa kuulemispyynnön vastaanottamisesta rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle ohjausta käsittelyn saattamiseksi lainmukaiseksi. Määräaikaa voidaan jatkaa kuukaudella, jos suunnitellun käsittelyn monimutkaisuus sitä edellyttää. Tietosuojavaltuutetun on ilmoitettava rekisterinpitäjälle ja mahdolliselle henkilötietojen käsittelijälle määräajan jatkamisesta sekä viivästymisen syistä kuukauden kuluessa kuulemispyynnön vastaanottamisesta. 

4 luku 

Rekisteröidyn oikeudet 

22 § 

Tietosuojaseloste ja ilmoitusvelvollisuus 

Rekisterinpitäjän on ylläpidettävä sen vastuulle kuuluvasta henkilötietojen käsittelystä kirjallista selostetta, joka on asetettava julkisesti saataville ja jossa on ainakin seuraavat tiedot: 

1) rekisterinpitäjän ja tietosuojavastaavan yhteystiedot sekä, jos rekisterinpitäjä katsoo sen tarpeelliseksi, tietosuojavastaavan nimi; 

2) yhteisrekisterinpitäjien yhteyspisteenä toimivan rekisterinpitäjän nimi ja yhteystiedot sekä tieto siitä, että rekisteröity voi käyttää tämän lain mukaisia oikeuksiaan suhteessa kuhunkin rekisterinpitäjään; 

3) henkilötietojen käsittelyn tarkoitukset ja oikeusperuste; 

4) henkilötietojen säilytysaika, tai jos sitä ei ole määritelty, säilytysajan määrittämiskriteerit; 

5) mahdolliset henkilötietojen säännönmukaiset vastaanottajat tai vastaanottajaryhmät; 

6) tieto siitä, että rekisteröidyllä on oikeus pyytää rekisterinpitäjältä pääsy häntä itseään koskeviin henkilötietoihin sekä oikeus pyytää kyseisten henkilötietojen oikaisemista, poistamista tai niiden käsittelyn rajoittamista;  

7) tieto siitä, että rekisteröidyllä on oikeus tehdä 56 §:ssä tarkoitettu toimenpidepyyntö tietosuojavaltuutetulle, ja valtuutetun yhteystiedot. 

Rekisterinpitäjän on annettava rekisteröidylle 1 momentissa tarkoitettu seloste ja muut tarpeelliset tiedot tässä luvussa säädettyjen rekisteröidyn oikeuksien käyttämiseksi, jos näiden tietojen antaminen on yksittäistapauksessa tarpeen mainittujen oikeuksien käyttämisen mahdollistamiseksi. Rekisterinpitäjä voi jättää tiedot antamatta kokonaan tai osittain, jos se on välttämätöntä 28 §:ssä mainituilla perusteilla. 

23 § 

Rekisteröidyn tarkastusoikeus  

Jokaisella on oikeus saada rekisterinpitäjältä tieto siitä, käsitelläänkö häntä koskevia henkilötietoja. Jos kyseisiä tietoja käsitellään, rekisteröidyllä on oikeus saada rekisterinpitäjältä seuraavat tiedot: 

1) käsiteltävät henkilötiedot ja kaikki tietojen alkuperästä käytettävissä olevat tiedot; 

2) käsittelyn tarkoitukset ja oikeusperuste; 

3) käsittelyn kohteena olevat henkilötietoryhmät; 

4) vastaanottajat tai vastaanottajaryhmät, joille rekisteröidyn henkilötietoja on luovutettu; 

5) henkilötietojen säilytysaika, tai jos sitä ei ole määritelty, säilytysajan määrittämiskriteerit; 

6) rekisteröidyn oikeus vaatia rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista, poistamista tai niiden käsittelyn rajoittamista;  

7) rekisteröidyn oikeus tehdä 56 §:ssä tarkoitettu toimenpidepyyntö tietosuojavaltuutetulle ja valtuutetun yhteystiedot. 

Se, joka haluaa tarkastaa itseään koskevat tiedot 1 momentissa tarkoitetulla tavalla, voi esittää tätä tarkoittavan pyynnön rekisterinpitäjälle omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla tai henkilökohtaisesti rekisterinpitäjän luona. 

24 § 

Tarkastusoikeuden rajoitukset  

Rekisteröidyn tarkastusoikeutta voidaan kokonaan tai osittain lykätä tai rajoittaa tai se voidaan evätä siltä osin, kuin se on välttämätöntä 28 §:ssä mainituilla perusteilla. Jos rekisteröidyn tarkastusoikeutta lykätään, rajoitetaan tai se evätään, rekisterinpitäjän on ilman aiheetonta viivytystä ilmoitettava siitä rekisteröidylle kirjallisella todistuksella. Myös lykkäämisen, rajoittamisen ja epäämisen perustelut on ilmoitettava, paitsi jos niiden ilmoittaminen vaarantaisi epäämisen tai rajoittamisen tarkoituksen. Tarkastusoikeuden epäämisenä pidetään myös sitä, että rekisterinpitäjä ei ole kolmen kuukauden kuluessa pyynnön esittämisestä antanut kirjallista vastausta rekisteröidylle. 

Rekisterinpitäjän on ilmoitettava rekisteröidylle tämän oikeudesta tehdä toimenpidepyyntö tietosuojavaltuutetulle tarkastusoikeuden lykkäämisen, rajoittamisen tai epäämisen johdosta sekä oikeudesta käyttää tarkastusoikeutta 29 §:n mukaisesti tietosuojavaltuutetun välityksellä.  

Rekisterinpitäjän on säilytettävä tieto niistä perusteista, joihin tarkastusoikeuden epääminen tai rajoittaminen perustuu. 

25 § 

Henkilötietojen oikaiseminen, poistaminen ja käsittelyn rajoittaminen  

Rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä oikaistava tai täydennettävä rekisteröityä koskeva, käsittelyn tarkoituksen kannalta virheellinen tai puutteellinen henkilötieto. 

Rekisterinpitäjän on oma-aloitteisesti tai rekisteröidyn vaatimuksesta ilman aiheetonta viivytystä poistettava rekisteröityä koskevat henkilötiedot, jos niiden käsittely on vastoin 4 tai 5 §:n, 6 §:n 1 tai 2 momentin taikka 7 tai 11 §:n säännöksiä. Poistamisen sijasta rekisterinpitäjän on kuitenkin rajoitettava käsittelyä, jos: 

1) rekisteröity kiistää tietojen paikkansapitävyyden eikä niiden paikkansapitävyyttä tai virheellisyyttä voida todentaa; tai 

2) henkilötiedot on säilytettävä todistelua varten. 

Jos käsittelyä on rajoitettu 2 momentin 1 kohdan nojalla, rekisterinpitäjän on ennen rajoituksen poistamista ilmoitettava siitä rekisteröidylle.  

26 § 

Rekisteröidyn vaatimuksen epääminen  

Jollei rekisterinpitäjä hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai niiden käsittelyn rajoittamisesta, rekisterinpitäjän on ilmoitettava rekisteröidylle kirjallisella todistuksella kieltäytymisestä ja sen perusteista. Tiedot kieltäytymisen perusteista voidaan kokonaan tai osittain jättää antamatta siltä osin kuin se on välttämätöntä 28 §:ssä mainituilla perusteilla. 

Rekisterinpitäjän on ilmoitettava rekisteröidylle tämän oikeudesta tehdä toimenpidepyyntö tietosuojavaltuutetulle 1 momentissa tarkoitetun kieltäytymisen johdosta sekä oikeudesta käyttää 25 §:ssä tarkoitettuja oikeuksia 29 §:n mukaisesti tietosuojavaltuutetun välityksellä. 

27 § 

Rekisterinpitäjän velvollisuus ilmoittaa oikaisemisesta, poistamisesta tai käsittelyn rajoittamisesta  

Rekisterinpitäjän on ilmoitettava virheellisten henkilötietojen oikaisemisesta sille viranomaiselle, jolta virheelliset henkilötiedot ovat peräisin. 

Jos henkilötietoja on oikaistu tai poistettu taikka niiden käsittelyä on rajoitettu 25 §:n nojalla, rekisterinpitäjän on ilmoitettava asiasta niille vastaanottajille, joille rekisterinpitäjä on luovuttanut kyseisiä tietoja. Vastaanottajan on oikaistava tai poistettava sillä olevat kyseiset henkilötiedot taikka rajoitettava niiden käsittelyä. 

28 § 

Rekisteröidyn oikeuksien rajoittaminen 

Rekisteröidyn oikeuksia voidaan rajoittaa 22 §:n 2 momentissa, 24 §:n 1 momentissa, 26 §:n 1 momentissa ja 35 §:ssä tarkoitetulla tavalla, jos se rekisteröidyn oikeudet huomioon ottaen on oikeasuhtaista ja välttämätöntä: 

1) rikosten ennalta estämiselle, paljastamiselle, selvittämiselle tai rikoksiin liittyville syytetoimille taikka rikosoikeudellisten seuraamusten täytäntöönpanolle aiheutuvan haitan välttämiseksi;  

2) viranomaisen muun tutkinnan, selvityksen tai vastaavan menettelyn turvaamiseksi; 

3) yleisen turvallisuuden suojelemiseksi; 

4) kansallisen turvallisuuden suojelemiseksi; tai  

5) muiden henkilöiden oikeuksien suojelemiseksi. 

29 § 

Oikeuksien käyttäminen tietosuojavaltuutetun välityksellä  

Rekisteröidyllä on oikeus pyytää tietosuojavaltuutettua tarkastamaan henkilötietojen ja niiden käsittelyn lainmukaisuus, jos tämän tai muun lain nojalla rekisteröidyn tarkastusoikeutta on lykätty, rajoitettu tai evätty tai jos rekisterinpitäjä ei hyväksy rekisteröidyn vaatimusta henkilötietojen oikaisemisesta, täydentämisestä, poistamisesta tai niiden käsittelyn rajoittamisesta. 

Jos rekisteröity käyttää 1 momentissa tarkoitettua oikeuttaan, tietosuojavaltuutetun on kohtuullisen ajan kuluessa ilmoitettava rekisteröidylle toimenpiteistä, joihin se on ryhtynyt. Tietosuojavaltuutetun on myös ilmoitettava rekisteröidylle hänen oikeudestaan tehdä tietosuojavaltuutetulle 56 §:ssä tarkoitettu toimenpidepyyntö.  

30 § 

Rekisteröidyn oikeuksien käytön edistäminen ja toimenpiteiden maksuttomuus  

Rekisterinpitäjän on edistettävä rekisteröityjen mahdollisuuksia käyttää tässä luvussa tarkoitettuja oikeuksia. Kaikki rekisteröidylle annettavat ilmoitukset ja henkilötietojen käsittelyä koskevat tiedot on annettava tiiviisti esitetyssä, ymmärrettävässä ja helposti saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. 

Rekisteröidylle tämän lain mukaisesti annettavat ilmoitukset ja tiedot sekä rekisteröidyn tämän lain mukaisesti tekemien pyyntöjen käsitteleminen ovat rekisteröidylle maksuttomia. Jos rekisteröidyn pyynnöt ovat niiden toistuvuudesta tai muusta syystä ilmeisen kohtuuttomia tai perusteettomia, rekisterinpitäjä voi kuitenkin periä toimenpiteestä maksun. Maksun määrän perusteista säädetään valtion maksuperustelaissa (150/1992). 

Jos rekisterinpitäjä perii maksun 2 momentin nojalla, sen on tarvittaessa osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus. 

5 luku 

Tietoturvallisuus  

31 § 

Henkilötietojen suojaaminen  

Rekisterinpitäjän ja henkilötietojen käsittelijän tulee teknisin ja organisatorisin toimenpitein huolehtia henkilötietojen riittävästä suojaamisesta ottaen huomioon käsittelystä rekisteröidyn oikeuksille aiheutuva riski. Henkilötiedot on erityisesti suojattava oikeudettomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta ja vahingoittumiselta. Toimenpiteitä suunniteltaessa ja toteutettaessa tulee ottaa huomioon: 

1) uusin tekniikka; 

2) toimenpiteiden toteuttamiskustannukset; 

3) käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset;  

4) luonnollisen henkilön oikeuksiin kohdistuvat todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit. 

32 § 

Henkilötietojen suojaaminen automatisoidussa käsittelyssä  

Sen lisäksi, mitä 31 §:ssä säädetään, automatisoidun käsittelyn osalta rekisterinpitäjän tai henkilötietojen käsittelijän on toteutettava riskien arvioinnin pohjalta toimenpiteet, joiden tarkoituksena on: 

1) evätä asiattomilta pääsy käsittelyyn käytettäviin laitteisiin; 

2) estää tietovälineiden luvaton lukeminen, jäljentäminen, muuttaminen ja poistaminen; 

3) estää henkilötietojen luvaton syöttäminen järjestelmään sekä järjestelmään tallennettujen henkilötietojen luvaton tarkastelu, muuttaminen ja poistaminen; 

4) estää asiattomia käyttämästä automatisoituja käsittelyjärjestelmiä tiedonsiirtolaitteiden avulla; 

5) varmistaa, että automatisoidun käsittelyjärjestelmän käyttöön oikeutetut henkilöt pääsevät ainoastaan käyttöoikeuksiensa piiriin kuuluviin henkilötietoihin; 

6) varmistaa, että on mahdollista tarkastaa ja todeta, mille tahoille henkilötietoja on siirretty tai asetettu saataville tai voidaan siirtää tai asettaa saataville tiedonsiirtolaitteiden avulla; 

7) varmistaa, että jälkikäteen on mahdollista tarkistaa ja todeta, mitä henkilötietoja on syötetty automatisoituihin käsittelyjärjestelmiin, milloin niitä on syötetty ja kuka niitä on syöttänyt; 

8) estää henkilötietojen oikeudeton lukeminen, jäljentäminen, muuttaminen ja poistaminen tietoja siirrettäessä tai tietovälineitä kuljetettaessa; 

9) varmistaa, että käytetyt järjestelmät voidaan häiriön tapahtuessa palauttaa entiselleen;  

10) varmistaa, että järjestelmä toimii, havaituista toimintojen virheistä ilmoitetaan ja järjestelmän toimintahäiriö ei voi vahingoittaa tallennettuja henkilötietoja.  

33 § 

Henkilötietojen käsittelijän velvollisuus ilmoittaa tietoturvaloukkauksesta  

Henkilötietojen käsittelijän on henkilötietojen tietoturvaloukkauksesta tiedon saatuaan ilman aiheetonta viivytystä ilmoitettava loukkauksesta rekisterinpitäjälle. 

34 § 

Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle  

Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle, paitsi jos loukkauksesta ei todennäköisesti aiheudu vaaraa rekisteröidyn oikeuksille. 

Rekisterinpitäjän on tehtävä 1 momentissa tarkoitettu ilmoitus ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa saatuaan tietoturvaloukkauksen tietoonsa. Jos ilmoitus tietosuojavaltuutetulle tehdään tätä myöhemmin, ilmoituksessa on kerrottava viivytyksen syyt. 

Rekisterinpitäjän on säilytettävä tiedot tietoturvaloukkauksista ja niihin liittyvistä seikoista, niiden vaikutuksista ja toteutetuista korjaavista toimenpiteistä. 

35 § 

Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta rekisteröidylle  

Rekisterinpitäjän on ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle, jos tietoturvaloukkaus todennäköisesti aiheuttaa merkittävän riskin rekisteröidyn oikeuksille. Ilmoittamisvelvollisuutta ei kuitenkaan ole, jos:  

1) rekisterinpitäjä on toteuttanut loukkauksen kohteena oleviin henkilötietoihin niiden väärinkäyttöä tehokkaasti estäviä asianmukaisia teknisiä ja organisatorisia suojatoimenpiteitä; tai 

2) rekisterinpitäjä on loukkauksen jälkeen ryhtynyt toimenpiteisiin sen varmistamiseksi, ettei loukkaus todennäköisesti aiheuta riskiä rekisteröidyn oikeuksien toteutumiselle. 

Rekisterinpitäjä voi rekisteröidylle tehtävän ilmoituksen sijasta tiedottaa tietoturvaloukkauksesta julkisella ilmoituksella, jos ilmoituksen tekeminen rekisteröidyille vaatisi kohtuutonta vaivaa.  

Rekisteröidylle ilmoittamista voidaan lykätä tai rajoittaa tai se voidaan jättää tekemättä, jos 28 §:n mukaiset edellytykset täyttyvät. 

36 § 

Rekisterinpitäjän velvollisuus ilmoittaa tietoturvaloukkauksesta toiselle rekisterinpitäjälle  

Rekisterinpitäjän on ilman aiheetonta viivytystä ilmoitettava henkilötietojen tietoturvaloukkauksesta sellaiselle Suomessa tai toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjälle, jonka toimittamiin tai jolle toimitettuihin tietoihin loukkaus kohdistuu. 

37 § 

Tietoturvaloukkauksesta annettavan ilmoituksen sisältö  

Edellä 34 §:ssä tarkoitetussa ilmoituksessa tietosuojavaltuutetulle ja 36 §:ssä tarkoitetussa ilmoituksessa Suomessa tai toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjälle on kuvattava henkilötietojen tietoturvaloukkaus. Kuvaukseen on mahdollisuuksien mukaan sisällytettävä tiedot asianomaisten rekisteröityjen ryhmistä, rekisteröityjen arvioidusta lukumäärästä, henkilötietotyyppien ryhmistä ja henkilötietojen arvioidusta lukumäärästä. 

Edellä 35 §:ssä tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava tietoturvaloukkauksen luonne.  

Edellä 1 ja 2 momentissa tarkoitetuista ilmoituksista on lisäksi käytävä ilmi: 

1) tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa; 

2) tietoturvaloukkauksen todennäköiset seuraukset; 

3) toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai joita se on ehdottanut tietoturvaloukkauksen johdosta ja tarvittaessa toimenpiteet sen haittavaikutusten lieventämiseksi. 

Tietosuojavaltuutetulle ja Suomessa tai toisessa EU:n jäsenvaltiossa sijaitsevalle rekisterinpitäjälle annettavat tiedot voidaan toimittaa vaiheittain siltä osin kuin niitä ei ole mahdollista toimittaa samanaikaisesti. 

6 luku 

Tietosuojavastaava  

38 § 

Tietosuojavastaavan nimeäminen  

Rekisterinpitäjän on nimettävä tietosuojavastaava. Tietosuojavastaavalla on oltava riittävä asiantuntemus henkilötietojen käsittelyä koskevasta lainsäädännöstä ja alan käytänteistä sekä valmiudet hoitaa 40 §:ssä tarkoitetut tehtävät. Yksi tietosuojavastaava voidaan nimetä useaa toimivaltaista viranomaista varten, jos se on perusteltua viranomaisten organisaatiorakenne ja koko huomioon ottaen. 

Rekisterinpitäjän on ilmoitettava tietosuojavastaavan yhteystiedot tietosuojavaltuutetulle.  

39 § 

Tietosuojavastaavan asema  

Rekisterinpitäjän on otettava tietosuojavastaava asianmukaisesti ja riittävän ajoissa mukaan kaikkien henkilötietojen suojaa koskevien kysymysten käsittelyyn. 

Rekisterinpitäjän on turvattava tietosuojavastaavan toimintaedellytykset tälle 40 §:ssä säädettyjen tehtävien hoitamiseksi sekä annettava pääsy henkilötietoihin ja käsittelytoimiin. 

40 § 

Tietosuojavastaavan tehtävät  

Tietosuojavastaavan tehtävänä on: 

1) neuvoa rekisterinpitäjää ja henkilötietoja sen palveluksessa käsitteleviä henkilötietojen suojaa koskevissa asioissa; 

2) valvoa henkilötietojen käsittelyä koskevan sääntelyn ja rekisterinpitäjän henkilötietojen käsittelyyn liittyvien menettelytapojen noudattamista; 

3) antaa pyydettäessä neuvoja tietosuojaa koskevasta vaikutustenarvioinnista ja valvoa, että se toteutetaan 20 §:ssä säädetyn mukaisesti;  

4) tehdä yhteistyötä tietosuojavaltuutetun kanssa ja toimia sen yhteyspisteenä henkilötietojen käsittelyyn liittyvissä kysymyksissä. 

Tietosuojavastaavan tehtävät eivät ulotu tuomioistuinten lainkäyttötoimintaan eikä valtioneuvoston oikeuskanslerin ja eduskunnan oikeusasiamiehen laillisuusvalvontaan. 

7 luku 

Henkilötietojen siirrot kolmansiin maihin ja kansainvälisille järjestöille 

41 § 

Henkilötietojen siirtoja koskevat yleiset periaatteet  

Toimivaltainen viranomainen saa siirtää henkilötietoja kolmanteen maahan tai kansainväliselle järjestölle vain, jos tässä laissa tarkoitettuun henkilötietojen käsittelyyn sovellettavia muita säännöksiä noudatetaan ja: 

1) siirto on tarpeen 1 §:n 1 momentissa mainittua tarkoitusta varten; 

2) henkilötiedot siirretään kolmannen maan rekisterinpitäjälle tai kansainväliselle järjestölle, joka on toimivaltainen käsittelemään henkilötietoja 1 §:n 1 momentissa mainitussa tarkoituksessa; ja 

3) tietosuojan riittävyydestä on rikosasioiden tietosuojadirektiivin 36 artiklassa tarkoitettu Euroopan komission ( komissio ) voimassa oleva päätös tai jollei tällaista päätöstä ole tehty, asianmukaiset suojatoimet ovat olemassa tämän lain 42 §:n mukaisesti, tai jos 43 §:ssä säädetyt erityistilanteita koskevat poikkeukset tulevat sovellettaviksi. 

Jos henkilötiedot on saatu toisesta EU:n jäsenvaltiosta, siirron edellytyksenä on lisäksi, että kyseinen jäsenvaltio on antanut siirrolle luvan. Siirto, joka tehdään ilman tällaista lupaa, on sallittu vain, jos se on välttämätön jonkin valtion yleiseen turvallisuuteen tai EU:n jäsenvaltion olennaisiin etuihin kohdistuvan välittömän ja vakavan uhan estämiseksi, eikä lupaa voida saada ajoissa. Siirrosta on ilmoitettava viipymättä ennakkoluvan antamisesta vastaavalle viranomaiselle. 

Jos henkilötiedot siirretään edelleen muuhun kolmanteen maahan tai muulle kansainväliselle järjestölle, alkuperäisen siirron toteuttanut toimivaltainen viranomainen voi antaa luvan edelleen siirtämiselle noudattaen 1 ja 2 momenttia ja ottaen asianmukaisesti huomioon rikoksen vakavuuden, henkilötietojen alkuperäisen siirron tarkoituksen ja henkilötietojen suojan tason siinä kolmannessa maassa tai kansainvälisessä järjestössä, johon tai jolle tiedot siirretään edelleen sekä muut merkittävät seikat. 

42 § 

Siirto asianmukaisten suojatoimien perusteella  

Jos komissio ei ole tehnyt 41 §:n 1 momentin 3 kohdassa tarkoitettua päätöstä, henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle, jos muut 41 §:ssä säädetyt edellytykset täyttyvät, ja:  

1) oikeudellisesti sitovassa asiakirjassa määrätään asianmukaisista henkilötietojen suojatoimista; tai 

2) rekisterinpitäjä kaikkia henkilötietojen siirtämiseen liittyviä seikkoja arvioituaan katsoo, että henkilötietojen suojaamiseksi on toteutettu asianmukaiset suojatoimet. 

Rekisterinpitäjän on ilmoitettava tietosuojavaltuutetulle 1 momentin 2 kohdan perusteella tehtyjen siirtojen sarjat. Siirroista on säilytettävä seuraavat tiedot ja ne on asetettava pyynnöstä tietosuojavaltuutetun saataville:  

1) siirtojen päivämäärät ja ajankohdat;  

2) vastaanottava toimivaltainen viranomainen; 

3) siirtojen perusteet; 

4) ja siirretyt henkilötiedot.  

43 § 

Erityistilanteita koskevat poikkeukset  

Jos komissio ei ole tehnyt 41 §:n 1 momentin 3 kohdassa tarkoitettua päätöstä eivätkä 42 §:ssä säädetyt tiedonsiirron edellytykset täyty, henkilötietoja voidaan siirtää kolmanteen maahan tai kansainväliselle järjestölle vain, jos siirto on välttämätön: 

1) rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi; 

2) rekisteröidyn oikeutettujen ja merkitykseltään painavien etujen turvaamiseksi; 

3) EU:n jäsenvaltion tai kolmannen maan yleiseen turvallisuuteen kohdistuvan välittömän ja vakavan uhkan estämiseksi; tai 

4) yksittäistapauksessa 1 §:n 1 momentissa mainittuja tarkoituksia varten tai niihin liittyvien oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi. 

Henkilötietoja ei kuitenkaan saa siirtää 1 momentin 4 kohdan nojalla, jos asianomaisen rekisteröidyn oikeuksia on pidettävä siirtoa puoltavaa yleistä etua painavampana.  

Siirroista, jotka perustuvat 1 momenttiin, on säilytettävä seuraavat tiedot ja ne on asetettava pyynnöstä tietosuojavaltuutetun saataville;  

1) siirron päivämäärä ja ajankohta; 

2) vastaanottava toimivaltainen viranomainen; 

3) siirron peruste; 

4) siirretyt henkilötiedot. 

44 § 

Henkilötietojen siirto kolmansiin maihin yksityisille ja muille vastaanottajille  

Sen estämättä, mitä 41 §:n 1 momentin 2 kohdassa säädetään, toimivaltainen viranomainen voi yksittäisessä tapauksessa siirtää henkilötietoja suoraan kolmansiin maihin sijoittautuneille yksityisille ja muille vastaanottajille, jos tämän lain muita säännöksiä noudatetaan ja:  

1) siirto on välttämätön, jotta siirron toteuttava toimivaltainen viranomainen voi hoitaa sille säädetyt 1 §:n 1 momentissa tarkoitetut tehtävänsä; 

2) tietoja siirtävä toimivaltainen viranomainen katsoo, että asianomaisen rekisteröidyn oikeudet eivät syrjäytä yleistä etua, jonka perusteella siirto käsiteltävänä olevassa tapauksessa on tarpeen; 

3) tietoja siirtävä toimivaltainen viranomainen katsoo, että siirto kolmannen maan toimivaltaiselle viranomaiselle olisi asian kiireellisyydestä tai muusta syystä tehoton tai epätarkoituksenmukainen;  

4) kolmannen maan viranomaiselle, joka on toimivaltainen 1 §:n 1 momentin mukaisissa tarkoituksissa, ilmoitetaan siirrosta ilman aiheetonta viivästystä, jollei se olisi tehotonta tai epätarkoituksenmukaista;  

5) tietoja siirtävä toimivaltainen viranomainen ilmoittaa vastaanottajalle, mitä tiettyä tarkoitusta tai tiettyjä tarkoituksia varten tämä saa käsitellä henkilötietoja, että käsittelyn on oltava välttämätöntä näitä tarkoituksia varten, ja että tietoja ei saa käsitellä muita tarkoituksia varten; ja 

6) siirto ei ole vastoin Suomen kansainvälisiä sopimusvelvoitteita.  

Tiedot siirtävän toimivaltaisen viranomaisen on säilytettävä tiedot 1 momentin nojalla tehtävästä siirrosta ja ilmoitettava siirrosta tietosuojavaltuutetulle. 

8 luku 

Valvontaviranomainen 

45 § 

Tietosuojavaltuutettu  

Tämän lain noudattamista valvoo tietosuojalain ( / ) 8 §:ssä tarkoitettu tietosuojavaltuutettu.  

Tämän lain säännöksiä valvonnasta ei sovelleta tuomioistuimeen, valtioneuvoston oikeuskansleriin eikä eduskunnan oikeusasiamieheen. 

Tietosuojavaltuutettu on itsenäinen ja riippumaton hoitaessaan tässä laissa säädettyjä tehtäviään. 

46 § 

Tehtävät  

Tietosuojavaltuutetun tehtäviin kuuluu tämän lain noudattamisen valvomisen lisäksi: 

1) edistää yleistä tietoisuutta henkilötietojen käsittelyyn liittyvistä riskeistä, lainsäädännöstä, suojatoimista ja oikeuksista; 

2) edistää rekisterinpitäjien ja henkilötietojen käsittelijöiden tietoisuutta niille tämän lain mukaan kuuluvista velvollisuuksista; 

3) antaa pyynnöstä rekisteröidyille tietoja heille tämän lain nojalla kuuluvien oikeuksien käyttämisestä; 

4) antaa neuvontaa 21 §:ssä tarkoitetussa ennakkokuulemisessa; 

5) tehdä selvityksiä tämän lain noudattamisesta; 

6) tarkistaa 29 §:n mukaisesti käsittelyn lainmukaisuus; 

7) käsitellä rekisteröidyn ja 56 §:ssä tarkoitetun yhteisön tekemiä toimenpidepyyntöjä;  

8) seurata henkilötietojen suojaan vaikuttavaa teknologista ja muuta kehitystä. 

Tietosuojavaltuutetun tehtävänä on lisäksi osallistua luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (yleinen tietosuoja-asetus) 68 artiklassa tarkoitetun tietosuojaneuvoston toimintaan. Tietosuojavaltuutettu ei kuitenkaan vie tietosuojaneuvoston käsiteltäväksi asiaa, jossa on kyse henkilötietojen käsittelystä 1 §:n 2 momentissa tarkoitetun toiminnan yhteydessä.  

Tietosuojavaltuutetun toimenpiteet ovat rekisteröidylle ja tietosuojavastaavalle maksuttomia. Jos rekisteröidyn tai tietosuojavastaavan pyynnöt kuitenkin ovat pyyntöjen toistuvuudesta tai muusta syystä ilmeisen kohtuuttomia tai perusteettomia, valtuutettu voi periä toimenpiteistä maksun tai jättää pyynnön kohteena olevan asian tutkimatta. Maksun määrän perusteista säädetään valtion maksuperustelaissa. 

Jos tietosuojavaltuutettu 3 momentissa tarkoitetulla tavalla perii maksun tai jättää asian tutkimatta, sen on tarvittaessa osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus. 

47 §  

Tiedonsaantioikeus  

Tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta 22 §:ssä tarkoitettu seloste käsittelytoimista, 19 §:ssä tarkoitetut lokitiedot sekä muut tehtäviensä hoidon kannalta tarpeelliset tiedot. 

Tietosuojavaltuutetulla on oikeus saada rekisterinpitäjältä ja henkilötietojen käsittelijältä selvitys seikoista, jotka ovat tarpeen valtuutetun tehtävien hoitamiseksi. 

48 § 

Oikeus tehdä tarkastuksia  

Tietosuojavaltuutettu voi tehdä tarkastuksen rekisterinpitäjän tai henkilötietojen käsittelijän tiloissa, jos tarkastus on tarpeen tämän lain noudattamisen valvomiseksi.  

Pysyväisluonteiseen asumiseen käytetyssä tilassa tarkastuksen saa toimittaa vain, jos se on välttämätöntä tarkastuksen kohteena olevien seikkojen selvittämiseksi ja kyseessä olevassa tapauksessa on olemassa perusteltu ja yksilöity syy epäillä henkilötietojen käsittelyä koskevia säännöksiä rikotun tai rikottavan tavalla, josta voi olla seuraamuksena rikoslaissa (39/1889) säädetty vankeusrangaistus. 

Tarkastuksessa noudatetaan, mitä hallintolain (434/2003) 39 §:ssä säädetään. 

49 §  

Virka-apu 

Tietosuojavaltuutetulla on oikeus tehtäviensä suorittamiseksi saada pyynnöstä poliisilta virka-apua. 

50 §  

Asiantuntijoiden käyttö 

Tietosuojavaltuutettu voi kuulla ulkopuolisia asiantuntijoita sekä pyytää näiltä lausuntoja. 

Tietosuojavaltuutettu voi 48 §:ssä tarkoitetun tarkastuksen yhteydessä käyttää apunaan ulkopuolista asiantuntijaa. Tietosuojavaltuutettu voi nimetä asiantuntijaksi suostumuksensa tehtävään antaneen henkilön, jolla on tietosuojavaltuutetun tehtävän hoitamisen kannalta merkityksellistä asiantuntemusta.  

Asiantuntijaan sovelletaan rikosoikeudellista virkavastuuta koskevia säännöksiä hänen suorittaessaan tässä laissa tarkoitettuja tehtäviä. Vahingonkorvausvastuusta säädetään vahingonkorvauslaissa (412/1974).  

51 §  

Toimenpiteet  

Tietosuojavaltuutettu voi tämän lain soveltamisalaan kuuluvassa asiassa: 

1) antaa rekisterinpitäjälle ohjausta 21 §:ssä tarkoitetussa ennakkokuulemismenettelyssä;  

2) ilmoittaa rekisterinpitäjälle tai henkilötietojen käsittelijälle tämän lain väitetystä rikkomisesta; 

3) varoittaa rekisterinpitäjää tai henkilötietojen käsittelijää siitä, että aiotut käsittelytoimet voivat olla tämän lain vastaisia; 

4) antaa huomautuksen rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos tämä on käsitellyt henkilötietoja lainvastaisesti; 

5) määrätä rekisterinpitäjä tai henkilötietojen käsittelijä noudattamaan rekisteröidyn pyyntöjä, jotka koskevat rekisteröidyn tähän lakiin perustuvien oikeuksien käyttöä; 

6) määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle; 

7) asettaa väliaikaisen tai pysyvän kiellon tai muun rajoituksen käsittelylle; 

8) määrätä tiedonsiirtojen keskeyttämisestä kolmannessa maassa olevalle vastaanottajalle tai kansainväliselle järjestölle; 

9) määrätä henkilötietojen oikaisemisesta, poistamisesta ja käsittelyn rajoittamisesta sekä niihin liittyvistä muista toimenpiteistä 25 §:n perusteella;  

10) määrätä rekisterinpitäjän tai henkilötietojen käsittelijän saattamaan käsittelytoimet tämän lain säännösten mukaisiksi, tarvittaessa määrätyllä tavalla ja kohtuullisen määräajan kuluessa. 

52 §  

Uhkasakko 

Tietosuojavaltuutettu voi asettaa 51 §:n 5—10 kohdassa tarkoitetun päätöksen ja 47 §:ään perustuvaan tietojen luovuttamista koskevan määräyksen tehosteeksi uhkasakon. Uhkasakon asettamisesta ja tuomitsemisesta maksettavaksi säädetään uhkasakkolaissa (1113/1990). 

Uhkasakkoa ei saa asettaa luonnolliselle henkilölle 1 momentissa tarkoitetun tietojen luovuttamista koskevan määräyksen tehosteeksi, jos henkilöä on aihetta epäillä rikoksesta ja tiedot koskevat rikosepäilyn kohteena olevaa asiaa. 

53 § 

Tietosuojavaltuutetun kuuleminen 

Tietosuojavaltuutettu voi omasta aloitteestaan tai pyynnöstä antaa lausuntoja 1 §:ssä tarkoitettuun henkilötietojen käsittelyyn liittyvistä kysymyksistä. 

Tietosuojavaltuutetulle on varattava tilaisuus tulla kuulluksi valmisteltaessa 1 §:ssä tarkoitettua henkilötietojen käsittelyä koskevia lainsäädännöllisiä tai hallinnollisia uudistuksia. 

54 § 

Keskinäinen avunanto  

Tietosuojavaltuutetun on salassapitosäännösten estämättä annettava maksutta toisen EU:n jäsenvaltion vastaavalle valvontaviranomaiselle tämän valvontatehtävässään välttämättä tarvitsemat henkilötiedot sekä muut tarpeelliset tiedot, ja tarvittaessa muutoinkin avustettava tätä valvonnan toteuttamisessa. Tietosuojavaltuutetun on ryhdyttävä muihinkin tarvittaviin toimenpiteisiin tehokkaan keskinäisen yhteistyön varmistamiseksi.  

Tietosuojavaltuutetun on vastattava 1 momentissa tarkoitetun valvontaviranomaisen esittämään pyyntöön ilman aiheetonta viivytystä ja joka tapauksessa viimeistään kuukauden kuluttua pyynnön vastaanottamisesta.  

9 luku 

Oikeusturva  

55 § 

Lain rikkomista koskeva ilmoitusmenettely 

Toimivaltaisella viranomaisella on oltava menettelytavat, joita noudattamalla sille voidaan luottamuksellisesti ilmoittaa tämän lain epäillystä rikkomisesta. Ilmoitusmenettelyn tulee sisältää asianmukaiset ja riittävät toimenpiteet, joilla järjestetään ilmoitusten asianmukainen käsittely. Ilmoitusmenettelyn tulee lisäksi sisältää ohjeet, joilla turvataan ilmoituksen tekijän henkilöllisyyden suoja. 

Toimivaltaisen viranomaisen on säilytettävä 1 momentissa tarkoitettua ilmoitusta koskevat tarpeelliset tiedot. Tiedot on poistettava viiden vuoden kuluttua ilmoituksen tekemisestä, jollei tietojen edelleen säilyttäminen ole tarpeen rikostutkinnan, vireillä olevan oikeudenkäynnin, viranomaistutkinnan taikka ilmoituksen tekijän tai ilmoituksen kohteena olevan henkilön oikeuksien turvaamiseksi. Tietojen edelleen säilyttämisen tarpeellisuus on tutkittava viimeistään kolmen vuoden kuluttua edellisestä tarkistamisesta. Tarkistamisesta on tehtävä merkintä.  

Kun luonnollinen henkilö on tehnyt toimivaltaiselle viranomaiselle 1 momentissa tarkoitetun ilmoituksen, ilmoittajan henkilöllisyys on pidettävä salassa, jos henkilöllisyyden paljastamisesta voidaan olosuhteiden perusteella arvioida aiheutuvan haittaa ilmoittajalle.  

56 § 

Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi  

Rekisteröidyllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi (toimenpidepyyntö), jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tätä tai muuta henkilötietojen käsittelyä koskevaa lakia. Asian voi rekisteröidyn suostumuksella saattaa tietosuojavaltuutetun käsiteltäväksi myös yleishyödyllinen henkilötietojen suojaa edistävä yhteisö. 

57 §  

Toimenpidepyynnön käsitteleminen 

Tietosuojavaltuutettu voi keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa. Valtuutetun on kohtuullisen ajan kuluessa ilmoitettava asian vireillepanijalle asian käsittelemisen etenemisestä, jos asian käsittely viivästyy tarvittavasta lisäselvityksestä tai muusta syystä johtuen. 

Jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko 41 §:n 1 momentin 3 kohdassa tarkoitettu komission päätös tietosuojan tason riittävyydestä rikosasioiden tietosuojadirektiivin mukainen, valtuutettu voi hakemuksella saattaa asian Helsingin hallinto-oikeuden ratkaistavaksi. 

58 § (Uusi) 

Komission päätökset 

Jos tietosuojavaltuutettu katsoo sillä vireillä olevassa asiassa tarpeelliseksi selvittää, onko 41 §:n 1 momentin 3 kohdassa tarkoitettu komission päätös tietosuojan tason riittävyydestä rikosasioiden tietosuojadirektiivin mukainen, valtuutettu voi hakemuksella saattaa ennakkoratkaisun pyytämistä koskevan asian Helsingin hallinto-oikeuden ratkaistavaksi. 

Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. 

59 § 

Muutoksenhaku  

Tietosuojavaltuutetun päätökseen saa hakea muutosta valittamalla hallinto-oikeuteen siten kuin hallintolainkäyttölaissa (586/1996) säädetään.  

Hallinto-oikeuden päätökseen saa hakea muutosta valittamalla vain, jos korkein hallinto-oikeus myöntää valitusluvan. Myös tietosuojavaltuutettu saa hakea muutosta hallinto-oikeuden päätökseen. 

Tietosuojavaltuutetun päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää. 

10 luku 

Erinäiset säännökset 

60 § 

Vahingonkorvaus  

Rekisterinpitäjä on velvollinen korvaamaan sen taloudellisen ja muun vahingon, joka on aiheutunut rekisteröidylle tai muulle henkilölle tämän lain vastaisesta henkilötietojen käsittelystä. 

Muutoin oikeudesta saada korvaus vahingosta säädetään vahingonkorvauslaissa. 

61 § 

Rangaistussäännökset 

Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä. Rangaistus viestintäsalaisuuden loukkauksesta säädetään mainitun lain 3 §:ssä ja törkeästä viestintäsalaisuuden loukkauksesta 4 §:ssä sekä tietomurrosta 8 §:ssä ja törkeästä tietomurrosta 8 a §:ssä. Rangaistus tämän lain 55 §:n 3 momentissa säädetyn salassapitovelvollisuuden ja 62 §:ssä tarkoitetun vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava mainitun lain 40 luvun 5 §:n mukaan tai siitä muualla laissa säädetä ankarampaa rangaistusta.  

62 §  

Vaitiolovelvollisuus 

Vaitiolovelvollisuudesta ja tietojen hyväksikäyttökiellosta säädetään viranomaisten toiminnan julkisuudesta annetun lain (621/1999) 23 §:ssä.  

11 luku 

Voimaantulo ja siirtymäsäännökset 

63 § 

Voimaantulo 

Tämä laki tulee voimaan päivänä kuuta 20 . 

64 §  

Siirtymäsäännökset  

Ennen 6 päivää toukokuuta 2016 luodut automatisoidut käsittelyjärjestelmät on saatettava 19 §:n mukaisiksi viimeistään 6 päivänä toukokuuta 2023. 

2. 

Laki 

rikosrekisterilain 1 ja 6 §:n muuttamisesta 

Eduskunnan päätöksen mukaisesti 

muutetaan rikosrekisterilain (770/1993) 1 §:n 1 momentti ja 6 §:n 8 momentti, sellaisina kuin ne ovat, 1 §:n 1 momentti laissa 1093/1999 ja 6 §:n 8 momentti laissa 215/2012, sekä 

lisätään lakiin uusi 11 a § seuraavasti: 

1 §  

Rikosrekisterin rekisterinpitäjä on Oikeusrekisterikeskus. 

6 § 

Sillä jolla on oikeus kirjoittaa oikeushenkilön nimi, on oikeus pyynnöstä saada 5 §:n 1 momentissa tarkoitettu oikeushenkilöä koskeva ote rikosrekisteristä. 

11 a § (Uusi) 

Rangaistus tietosuojarikoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

3. 

Laki 

rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti  

muutetaan rikosrekisteritietojen säilyttämisestä ja luovuttamisesta Suomen ja muiden Euroopan unionin jäsenvaltioiden välillä annetun lain (214/2012) 4 §:n 3 momentti sekä 8 ja 13 § ja 

lisätään 4 §:ään uusi 4 momentti seuraavasti: 

4 §  

Suhde muihin lakeihin ja kansainvälisiin velvoitteisiin 

Jollei tässä tai muussa laissa toisin säädetä, henkilötietojen salassapitoon, luovuttamiseen ja suojaamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sekä muuhun henkilötietojen käsittelyyn henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia ( / ). 

Rangaistus tietosuojarikoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä. (Uusi 4 mom.) 

8 §  

Säilytysrekisterin käyttötarkoitus 

Säilytysrekisterin rekisterinpitäjä on Oikeusrekisterikeskus. Säilytysrekisteriä pidetään tietojen säilyttämistä varten niiden edelleen luovuttamiseksi toisiin jäsenvaltioihin ja Suomen viranomaisille sekä rikosrekisteriotteelle merkitsemiseksi siten kuin tässä laissa säädetään. 

13 §  

Tarkastusoikeus 

Henkilön oikeudesta tarkastaa häntä koskevat rekisteritiedot säädetään erikseen. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

4. 

Laki 

oikeushallinnon valtakunnallisesta tietojärjestelmästä annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 

kumotaan oikeushallinnon valtakunnallisesta tietojärjestelmästä annetun lain (372/2010) 18 §:n 2 momentti, 

muutetaan 2 §:n 1 momentti, 7 §:n 1 momentin ja 3 momentin 3 kohdan ruotsinkielinen sanamuoto, 10 §:n 2 momentti ja 19 §, sekä 

lisätään lakiin uusi 19 a § seuraavasti: 

2 § 

Suhde muuhun lainsäädäntöön 

Sen lisäksi, mitä tässä laissa säädetään, tietojen luovuttamisesta oikeushallinnon valtakunnallisesta tietojärjestelmästä ja siihen talletettujen tietojen julkisuudesta säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sekä henkilötietojen käsittelystä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, tietosuojalaissa ( / ) sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa ( / ). 

10 § 

Tietojärjestelmään talletettavat henkilötiedot 

Asiaan osallisesta luonnollisesta henkilöstä saa ratkaisu- ja päätösilmoitusjärjestelmään tallettaa vain sellaisia tietosuoja-asetuksen 9 artiklassa ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain 11 §:ssä tarkoitettuja erityisiin henkilötietoryhmiin kuuluvia tietoja, jotka on talletettava tuomioistuimen diaari- tai muuhun asiakirjarekisteriin tai jotka ilmenevät oikeushallinnon viranomaisen ratkaisusta ja jotka ovat tarpeellisia tuomion täytäntöön panemiseksi, merkinnän tekemiseksi viranomaisen rekisteriin tai muiden oikeushallinnon viranomaisten laissa säädettyjen tehtävien hoitamiseksi. 

5 luku 

Erinäiset säännökset 

19 § 

Tarkastusoikeuden toteuttaminen ja tietojen korjaaminen 

Rekisteröidyn tarkastusoikeudesta ja oikeudesta saada itseään koskevat tiedot oikaistua tai täydennettyä säädetään erikseen. 

19 a § (Uusi) 

Rangaistussäännökset 

Rangaistus tietosuojarikoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

5. 

Laki 

sakon täytäntöönpanosta annetun lain muuttamisesta  

Eduskunnan päätöksen mukaisesti 

kumotaan sakon täytäntöönpanosta annetun lain (672/2002) 49 §, 

muutetaan 46 ja 48 § sekä 50 §:n 1 momentin ruotsinkielinen sanamuoto, ja 

lisätään lakiin uusi 53 a § seuraavasti: 

46 §  

Sakkorekisterin käyttötarkoitus ja rekisterin tietojen käsittely 

Oikeusrekisterikeskus (rekisterinpitäjä) ylläpitää sakkorekisteriä, jota pidetään ja käytetään tässä laissa säädetyssä järjestyksessä täytäntöön pantavien asioiden täytäntöönpanoa varten. 

Sakkorekisterin tietojen käsittelyyn oikeutettuja ovat Oikeusrekisterikeskuksen virkamiehet siltä osin kuin se on tarpeen heidän virkatehtäviensä suorittamiseksi. 

Sen lisäksi mitä tässä tai muussa laissa säädetään, oikeudesta saada tieto viranomaisen julkisista asiakirjoista sekä viranomaisen vaitiolovelvollisuudesta, asiakirjojen salassapidosta ja muista tietojen saantia koskevista yleisten ja yksityisten etujen suojaamiseksi välttämättömistä rajoituksista säädetään viranomaisten toiminnan julkisuudesta annetussa laissa (621/1999) sekä muusta henkilötietojen käsittelystä luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (yleinen tietosuoja-asetus), tietosuojalaissa ( / ) sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa ( / ). 

48 § 

Rekisterinpitäjän tiedonsaantioikeus 

Rekisterinpitäjällä on sakkorekisterin ylläpitämiseksi ja lainmukaisten täytäntöönpanotehtävien hoitamista varten oikeus saada luonnollisen henkilön nimeä, henkilötunnusta, osoitetta ja kuolemaa koskevat ja muut vastaavat täytäntöönpanoa varten tarvittavat henkilön tavoittamiseen liittyvät tiedot väestötietojärjestelmästä ja oikeushenkilöä koskevat vastaavat tiedot asianomaisilta rekisteriviranomaisilta. 

53 a § (Uusi) 

Rangaistussäännökset 

Rangaistus tietosuojarikoksesta säädetään rikoslain (39/1889) 38 luvun 9 §:ssä. 

Tämä laki tulee voimaan päivänä kuuta 20 . 

6. 

Laki 

henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain muuttamisesta 

Eduskunnan päätöksen mukaisesti 

muutetaan henkilötietojen käsittelystä Rikosseuraamuslaitoksessa annetun lain (1069/2015) 1 §:n 1 momentti, 11 §:n, 24 §:n 2 momentin ja 28 §:n 3 momentin ruotsinkielinen sanamuoto, 30 ja 31 §, 32 §:n ruotsinkielinen sanamuoto, 33 §:n 1 momentti, 34 §:n 3 momentin ruotsinkielinen sanamuoto ja 37 §:n 2 momentti, sellaisena kuin niistä on 31 § osaksi laissa 17/2016, seuraavasti: 

1 § 

Lain soveltamisala 

Tässä laissa säädetään rangaistusten täytäntöönpanon sekä muiden Rikosseuraamuslaitokselle kuuluvien tehtävien suorittamiseksi tarpeellisten henkilörekisterien pitämisestä ja muusta henkilötietojen käsittelystä. Jollei tässä laissa toisin säädetä, henkilötietojen salassapitoon ja luovuttamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sekä muuhun henkilötietojen käsittelyyn luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, tietosuojalakia ( / ) sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettu lakia ( / ). 

30 § 

Tietojen käsittelystä ilmoittaminen 

Rekisterinpitäjän on ilmoitettava rekisteröidylle tietojen käsittelystä sen mukaan kuin tietosuoja-asetuksessa ja tietosuojalaissa säädetään. Tiedonantovelvollisuudesta voidaan kuitenkin poiketa, jos se on välttämätöntä Rikosseuraamuslaitoksen yksikön järjestyksen ja turvallisuuden vuoksi. 

31 § 

Tarkastusoikeuden rajoitukset 

Sen lisäksi, mitä tietosuoja-asetuksessa, tietosuojalaissa sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa säädetään, rekisteröidyn tarkastusoikeutta voidaan rajoittaa, jos tarkastusoikeuden toteuttamisesta voi todennäköisin syin seurata vakava uhka Rikosseuraamuslaitoksen yksikön järjestykselle ja turvallisuudelle taikka Rikosseuraamuslaitoksen henkilöstöön kuuluvan tai jonkun muun turvallisuudelle. Rekisteröidyllä ei ole tarkastusoikeutta turvallisuustietorekisterin tietoihin eikä valvonta- ja toimintarekisterin sisältämiin tämän lain 7 §:n 1 momentin 10 kohdassa tarkoitettuihin asianomistajan tietoihin. 

33 § 

Virheelliseksi todetun tiedon säilyttäminen 

Sen estämättä, mitä tietosuoja-asetuksessa, tietosuojalaissa sekä henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa säädetään rekisterissä olevan virheellisen tiedon korjaamisesta, virheelliseksi todettu tieto saadaan säilyttää korjatun tiedon yhteydessä, jos se on tarpeen rekisteröidyn, muun asianosaisen tai Rikosseuraamuslaitoksen henkilöstöön kuuluvan oikeuksien turvaamiseksi. Tällaista tietoa saadaan käyttää vain mainitussa tarkoituksessa. 

37 § 

Rangaistussäännökset 

Rangaistus tietosuojarikoksesta säädetään rikoslain 38 luvun 9 §:ssä sekä tietomurrosta ja törkeästä tietomurrosta rikoslain 38 luvun 8 ja 8 a §:ssä.  

Tämä laki tulee voimaan päivänä kuuta 20 . 

Helsingissä 25.10.2018 

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

puheenjohtaja Juho Eerola /ps

varapuheenjohtaja Timo V. Korhonen /kesk

jäsen Anders Adlercreutz /r

jäsen Pertti Hakanen /kesk

jäsen Mika Kari /sd

jäsen Kari Kulmala /sin

jäsen Antti Kurvinen /kesk

jäsen Sirpa Paatero /sd

jäsen Olli-Poika Parviainen /vihr

jäsen Veera Ruoho /kok

jäsen Joona Räsänen /sd

jäsen Matti Semi /vas

jäsen Mari-Leena Talvitie /kok

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Minna-Liisa Rinne