Finlex

Lainkirjoittajan opas

Kansallisten säädösten valmistelua koskevat ohjeet

Voit linkittää suoraan otsikkoon kopioimalla osoitteen selaimen osoitepalkista.

12.5 Henkilötietolaki

12.5.1 Henkilötietolaki yleislakina

Henkilötietojen suoja kuuluu osana perustuslain 10 §:n 1 momentilla turvattuun yksityiselämän suojaan, ja henkilötietojen suojasta on säädettävä lailla. Henkilötietojen suojaa toteutetaan henkilötietolailla (523/1999). Seikoista, joista jo säädetään henkilötietolaissa, ei ole tarpeen eikä asianmukaista ottaa säännöksiä erityislakeihin. Edellä tässä oppaassa tähdennetään yleislaeista poikkeamatta jättämisen tärkeyttä ylipäänsä (jakso 12.1) sekä pidättyväisyyttä yleislakeihin viittaamisessa (jakso 12.2).

Henkilötietolain säännösten yleisyystaso ei liioin ole riittävä peruste säätää erityissäännöksin henkilötietolaissa jo säädetyistä seikoista. Erityisen haitallisina voidaan pitää säännöksiä, joissa toistetaan henkilötietolain velvoitteita näitä konkreettisemmassa muodossa. Tällaisen säännöksen ottamisella erityislakiin luodaan helposti se virheellinen käsitys, että kyseinen oikeussääntö ei ole aikaisemmin sisältynyt voimassa olevaan oikeuteen. Yhtenäinen käytäntö tietojenkäsittelyssä voidaan saada aikaan esimerkiksi ministeriön informaatio-ohjauksen tai rekisterinpitäjälle kuuluvan ohjausvallan kautta.

12.5.2 Henkilötietolain soveltamisala

Henkilötietolakia sovelletaan henkilörekisteriin talletettujen tai talletettavien henkilötietojen käsittelyyn. Käsite henkilötietojen käsittely on laaja, ja henkilötietolain 3 §:n 2 kohdan mukaan se kattaa muun muassa tietojen luovuttamisen. Laki koskee sekä viranomaisten että yksityisten yhteisöjen ja säätiöiden ylläpitämiä henkilörekistereitä.

Laissa säädetään henkilötietojen käsittelyn yleisistä periaatteista: käsittelyn yleisistä edellytyksistä, arkaluonteisten tietojen ja henkilötunnuksen käsittelystä sekä henkilötietojen siirrosta ulkomaille, rekisteröidyn oikeuksista, tietoturvallisuudesta ja henkilötietojen säilyttämisestä, ilmoitusmenettelystä sekä henkilötietojen käsittelyn ohjauksesta ja valvonnasta.

Henkilötietojen luovuttaminen viranomaisen henkilörekisteristä määräytyy viranomaisten toiminnan julkisuudesta annetun lain (621/1999) mukaan. Mainittua lakia käsitellään jaksossa 12.4.

12.5.3 Erityissäännösten tarpeesta

Henkilötietojen käsittelystä tarvitaan erityissäännöksiä, niiltä osin kuin

  • on tarkoitus poiketa henkilötietolaissa säädetystä
  • rekisterinpidon laillisuus jäisi henkilötietolain mukaan arvioituna tulkinnanvaraiseksi ja kysymys on valtakunnallisesta tietojärjestelmästä, johon kerätään ja talletetaan henkilötietolain 11 §:ssä tarkoitettuja arkaluonteisia henkilötietoja
  • on tarkoitus sallia salassa pidettävien henkilötietojen luovuttaminen
  • henkilörekisteriin talletettuja tietoja on tarkoitus luovuttaa teknisen käyttöyhteyden avulla tai pitää saatavilla yleisessä tietoverkossa taikka
  • henkilörekistereitä on tarkoitus yhdistää (erityisesti valvontatarkoituksessa).

Erityissäännösten valmistelussa on vältettävä ylisääntelyä: tietyn erityissäännöksen säätäminen suhteessa henkilötietolakiin ei vielä sinänsä synnytä tarvetta laatia erityissäännöksiä kaikista henkilötietolaissa säännellyistä asioista. Erityissääntely tulee rajoittaa vain välttämättömimpään.

12.5.4 Henkilörekisterin rekisterinpitäjä ja henkilörekisterin käyttötarkoitus

Henkilötietojen suojassa keskeisessä merkityksessä on niin sanottu käyttötarkoitussidonnaisuusperiaate, jonka mukaan henkilötietoja saa käyttää vain siihen tarkoitukseen, jota varten ne on kerätty.

Käyttötarkoitussidonnaisuusvaatimuksesta seuraa, että jos henkilörekisteristä on tarpeen säätää erityislaissa (esimerkiksi valtakunnallinen arkaluonteisia henkilötietoja sisältävä henkilörekisteri), samassa yhteydessä on määriteltävä rekisterin käyttötarkoitus samoin kuin rekisterinpitäjä.

Rikosrekisteriä pitää Oikeusrekisterikeskus siten kuin tässä laissa säädetään.

Rikosrekisteriin kerätään, talletetaan ja siitä luovutetaan tietoja, jotka tarvitaan rikosoikeudellisten seuraamusten määräämistä ja täytäntöönpanoa varten.

12.5.5 Rekisterin tietosisältö

Erityisesti viranomaisten henkilörekistereiden tietosisältö tulee jättää yleislain varaan silloin, kun rekistereihin ei kerätä arkaluonteisia henkilötietoja tai henkilötietolaissa säädetystä tarpeellisuusvaatimuksesta poikkeavia tietoja. Eri asemassa saattavat olla yleiseen käyttöön tarkoitetut henkilörekisterit, joiden tiedot ovat julkisia tai laajasti saatavissa olevia.

12.5.6 Henkilörekistereiden yhdistäminen

Henkilötietolaissa ei ole erityissäännöksiä henkilörekistereiden yhdistämisestä. Jos eri rekistereissä olevia henkilötietoja yhdistetään valvontatarkoituksessa, on tarpeen säätää siitä, milloin yhdistämisen perusteella saadut tiedot on viimeistään hävitettävä, samoin kuin kiellosta luovuttaa edelleen yhdistämällä saatuja tietoja 1.

Valvontatehtävän täytäntöönpanoa varten Eläketurvakeskuksella on oikeus yhdistää ja käsitellä 1 momentissa tarkoitettuja henkilötietoja. Yhdistettyjä tietoja voidaan säilyttää viisi vuotta. Niitä voidaan kuitenkin säilyttää enintään valvontakäsittelyn päättymiseen saakka. Yhdistettyjä tietoja ei saa luovuttaa edelleen.

12.5.7 Henkilötietojen luovuttaminen henkilörekisteristä

Sallittaessa salassa pidettävien arkaluonteisten henkilötietojen luovuttaminen tai oikeutettaessa joku saamaan niitä tulee osoittaa, mihin ja ketä koskeviin tietoihin velvollisuus luovuttaa tietoja tai oikeus saada niitä ulottuu sekä miten luovutusvelvollisuus tai tiedonsaantioikeus sidotaan tietojen saamisen välttämättömyyteen. Viranomaisen tietojenluovutusmahdollisuus ja tietojensaantioikeus ovat perustuslakivaliokunnan mukaan voineet liittyä tietyn tarkoituksen kannalta tarpeellisiin tietoihin, jos tietosisällöt on lueteltu laissa tyhjentävästi. Jos taas tietosisältöjä ei ole tällä tavoin lueteltu, sääntelyyn on pitänyt sisällyttää vaatimus tietojen välttämättömyydestä tietyn tarkoituksen kannalta. 2

Seurantajärjestelmään kerättävät henkilötiedot ovat salassa pidettäviä. Tiedot tulee säilyttää terveydenhuollon laitteen turvallisuuden edellyttämän ajan. Henkilötietoja voidaan luovuttaa Sosiaali- ja terveysalan lupa- ja valvontavirastolle sen pyynnöstä, jos tiedot ovat tarpeen laitteen turvallisuuden varmistamiseksi. Tietoja ei saa luovuttaa markkinointitarkoituksiin.

 

Työnantajalla on oikeus saada eläkelaitokselta salassapitosäännösten ja muiden tiedonsaantia koskevien rajoitusten estämättä talous- ja henkilöstöhallintoaan ja yrityksen työeläkevakuutusmaksun tarkastamista varten välttämättömät tiedot tämän lain mukaan myönnetystä eläkkeestä ja sen muodosta sekä myönnetyn eläkkeen alkamis- ja päättymispäivästä.

12.5.8 Henkilötietojen säilyttäminen ja arkistointi

Jos kysymys on arkaluonteisia tietoja koskevasta henkilörekisteristä, saatetaan tarvita säännökset siitä, kuinka kauan tietoja saa henkilörekisterissä säilyttää. 3 Muissa tapauksissa säilytysaika voidaan yleensä jättää henkilötietolain säännösten varaan.

Sakkorekisterin sisältämät tiedot poistetaan vuoden kuluttua siitä, kun niitä koskevan tässä laissa tarkoitetun seuraamuksen täytäntöönpano on päättynyt.

12.5.9 Erityissäännösten valmistelusta ja muotoilusta

Jos on poikettava henkilötietolaissa säädetyistä yleisistä tietosuojaperiaatteista, on varmistettava, että säännökset täyttävät yleiset perusoikeuksien rajoittamiskriteerit. 4 Säännöksiä valmisteltaessa on otettava huomioon myös ne Euroopan unionin lainsäädännössä säädetyt ja kansainvälisissä sopimuksissa määrätyt velvoitteet, jotka rajoittavat lainsäätäjän harkintavaltaa, kuten Euroopan neuvoston tietosuojasopimus 5, ja Euroopan unionin henkilötietodirektiivi 6.

Henkilötietodirektiivin 8 artiklan 4 ja 5 kohdan perusteella annetuista kansallisista säännöksistä on ilmoitettava komissiolle lain tultua hyväksytyksi. Ilmoitus tehdään ulkoasiainministeriön kautta, ja se on hyvä lähettää tiedoksi myös oikeusministeriön lainvalmisteluosastolle.

Lainvalmistelussa on huolehdittava, että henkilötietolain suhde ehdotettaviin säännöksiin ilmaistaan annettavissa säännöksissä selkeästi. Jos kysymys on laista, jossa säädettäisiin tietystä henkilörekisteristä, on paikallaan ottaa yleinen lakien välistä suhdetta kuvaava säännös säädöksen alkuun. Käsite henkilötietojen käsittely kattaa myös tietojen luovuttamisen. Jos kysymys on viranomaisen henkilörekisteristä, yleiseen viittaussäännökseen on siksi otettava maininta myös julkisuuslain soveltamisesta.

Tässä laissa säädetään rangaistusten täytäntöönpanotehtävien sekä muiden Rikosseuraamuslaitokselle kuuluvien tehtävien suorittamiseksi tarpeellisten henkilörekisterien pitämisestä ja muusta henkilötietojen käsittelystä. Jollei tässä laissa toisin säädetä, henkilötietojen salassa pitämiseen luovuttamiseen sovelletaan viranomaisten toiminnan julkisuudesta annettua lakia (621/1999) sekä muuhun henkilötietojen käsittelyyn henkilötietolakia (523/1999).

Yleinen toissijaisuutta osoittava viittaus ei riitä silloin, kun lakiin on tarkoitus ottaa säännöksiä, joita on noudatettava henkilötietolaissa jo säädetyn lisäksi (esimerkiksi lisärajoituksia rekisteröidyn oikeuksille).

Sen lisäksi, mitä henkilötietolaissa (523/1999) säädetään, rekisteröidyn tarkastusoikeutta voidaan rajoittaa, jos tarkastusoikeuden toteuttamisesta voi todennäköisin syin seurata vakava uhka rangaistuslaitoksen järjestykselle ja turvallisuudelle taikka Rikosseuraamuslaitoksen, henkilöstön tai muun henkilön turvallisuudelle. Rekisteröidyllä ei ole oikeutta tarkastaa turvallisuustietorekisterissä tai järjestystietorekisterissä olevia tietoja.

Alaviitteet:

Seuraava jakso:

Sisällysluettelo Sulje