Viimeksi julkaistu 3.7.2025 18.12

Eduskunnan vastaus EV 55/2023 vp HE 62/2023 vp  Hallituksen esitys eduskunnalle tietosuojalain ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain muuttamisesta

HE 62/2023 vp
HaVM 9/2023 vp

Asia

Hallituksen esitys eduskunnalle tietosuojalain ja henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain muuttamisesta (HE 62/2023 vp). 

Valiokuntakäsittely

Valiokunnan mietintö: Hallintovaliokunta (HaVM 9/2023 vp). 

Päätös

Eduskunta on hyväksynyt seuraavat lait: 

Laki tietosuojalain muuttamisesta  

Eduskunnan päätöksen mukaisesti  
muutetaan tietosuojalain (1050/2018) 7 §, 21 §:n otsikko, 24 §:n 1 momentin suomenkielinen sanamuoto ja 29 § sekä 
lisätään 15 §:ään uusi 2 momentti ja 21 §:ään uusi 3 ja 4 momentti seuraavasti: 
7 § 
Rikostuomioihin ja rikoksiin liittyvä käsittely 
Tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos: 
1) käsittely on tarpeen oikeusvaateen selvittämiseksi, laatimiseksi, esittämiseksi, puolustamiseksi tai ratkaisemiseksi; tai 
2) tietoja käsitellään 6 §:n 1 momentin 1, 2 tai 7 kohdassa säädetyssä tarkoituksessa. 
Mitä 6 §:n 2 momentissa säädetään toimenpiteistä rekisteröidyn oikeuksien suojaamiseksi, sovelletaan myös käsiteltäessä tämän pykälän 1 momentissa tarkoitettuja henkilötietoja. 
15 § 
Tietosuojavaltuutetun päätöksenteko 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tietosuojavaltuutettu voi siirtää ratkaisuvaltaa esittelijöinä toimiville virkamiehille työjärjestyksellä tarkemmin määrättävissä asioissa, joissa lain soveltamiskäytäntö on vakiintunut ja joissa asian ratkaiseminen ei asian oikeudellisesta luonteesta tai sisällöstä johtuen edellytä esittelyä tietosuojavaltuutetulle. Tietosuojavaltuutetulla on kuitenkin yksittäistapauksessa oikeus ottaa ratkaistavakseen asia, joka muutoin olisi esittelijän ratkaistava. 
21 § 
Oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi ja passiivisuusvalitus 
 Muuttamaton osa säädöstekstistä on jätetty pois 
Tietosuojavaltuutetun on käsiteltävä tietosuoja-asetuksen 77 artiklan nojalla vireille tullut kanteluasia kolmen kuukauden kuluessa sen vireilletulosta tai, jos asia ei ole käsiteltävissä tässä ajassa, ilmoitettava rekisteröidylle tässä ajassa arvio päätöksen antamisajankohdasta. 
Jos tietosuojavaltuutettu laiminlyö 3 momentissa tarkoitetun kolmen kuukauden määräajan noudattamisen, rekisteröidyllä on oikeus tehdä valitus hallinto-oikeudelle. Valitus on tehtävä ennen kuin tietosuojavaltuutettu on käsitellyt asian tai on antanut arvion päätöksen antamisajankohdasta. Valituksen katsotaan tässä tapauksessa kohdistuvan tutkimatta jättämistä koskevaan päätökseen. 
24 § 
Hallinnollinen seuraamusmaksu 
Tietosuoja-asetuksen 83 artiklassa säädetyn hallinnollisen seuraamusmaksun määrää tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama seuraamuskollegio. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. Apulaistietosuojavaltuutetun ollessa estynyt voi hänen sijaisenaan seuraamuskollegiossa toimia tietosuojavaltuutetun toimiston työjärjestyksessä määrätty esittelijä. Kollegio on päätösvaltainen kolmijäsenisenä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
29 § 
Henkilötunnuksen käsittely 
Henkilötunnusta saa käsitellä rekisteröidyn suostumuksella tai, jos käsittelystä säädetään laissa. Lisäksi henkilötunnusta saa käsitellä, jos rekisteröidyn ja hänen henkilötietojensa yksiselitteinen erottaminen muista rekisteröidyistä ja heidän henkilötiedoistaan (yksilöiminen) on tärkeää: 
1) laissa säädetyn tehtävän suorittamiseksi; 
2) rekisteröidyn tai rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamiseksi; tai 
3) historiallista tai tieteellistä tutkimusta taikka tilastointia varten. 
Henkilötunnusta saa käsitellä rekisteröidyn yksiselitteiseksi yksilöimiseksi luotonannossa ja saatavan perimisessä, vakuutus-, luottolaitos-, maksupalvelu-, vuokraus- ja lainaustoiminnassa, luottotietotoiminnassa, terveydenhuollossa, sosiaalihuollossa ja muun sosiaaliturvan toteuttamisessa sekä virka-, työ- ja muita palvelussuhteita ja niihin liittyviä etuja koskevissa asioissa. 
Sen lisäksi, mitä henkilötunnuksen käsittelystä 1 ja 2 momentissa säädetään, henkilötunnuksen saa luovuttaa osoitetietojen päivittämiseksi tai moninkertaisten postilähetysten välttämiseksi suoritettavaa tietojenkäsittelyä varten, jos henkilötunnus jo on luovutuksensaajan käytettävissä. 
Henkilötunnusta ei tule tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. 
Rekisteröidyn henkilöllisyyden selvittämiseen hänen ilmoittamiensa tai toimittamiensa tietojen taikka esittämiensä asiakirjojen avulla (tunnistaminen) ei saa käyttää yksinomaan henkilötunnusta tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmää. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
Tämän lain 21 §:n 3 ja 4 momenttia ei sovelleta lain voimaan tullessa tietosuojavaltuutetun käsiteltävinä oleviin asioihin.  
 Lakiehdotus päättyy 

Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain muuttamisesta  

Eduskunnan päätöksen mukaisesti  
muutetaan henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetun lain (1054/2018) 12 §, 13 §:n 1 momentti ja 57 § seuraavasti: 
12 § 
Henkilötunnuksen käsittely 
Henkilötunnusta saa käsitellä, jos rekisteröidyn ja hänen henkilötietojensa yksiselitteinen erottaminen muista rekisteröidyistä ja heidän henkilötiedoistaan (yksilöiminen) on tärkeää: 
1) toimivaltaisen viranomaisen laissa säädetyn tehtävän suorittamiseksi; 
2) rekisteröidyn tai rekisterinpitäjän oikeuksien tai velvollisuuksien toteuttamiseksi; tai 
3) 5 §:n 3 momentin mukaista historiallista tai tieteellistä tutkimusta taikka tilastointia varten. 
Henkilötunnusta ei saa tarpeettomasti merkitä rekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin. 
Rekisteröidyn henkilöllisyyden selvittämiseen hänen ilmoittamiensa tai toimittamiensa tietojen taikka esittämiensä asiakirjojen avulla (tunnistaminen) ei saa käyttää yksinomaan henkilötunnusta tai henkilötunnuksen ja rekisteröidyn nimen yhdistelmää. 
13 § 
Automatisoidut yksittäispäätökset 
Jollei laissa toisin säädetä, päätöstä ei saa tehdä pelkästään automatisoidun henkilötietojen käsittelyn, kuten profiloinnin perusteella, jos päätöksellä on rekisteröityä koskevia kielteisiä oikeusvaikutuksia tai se on muutoin hänen kannaltaan merkittävä. 
 Muuttamaton osa säädöstekstistä on jätetty pois 
57 § 
Toimenpidepyynnön käsitteleminen ja passiivisuusvalitus 
Tietosuojavaltuutetun on käsiteltävä 56 §:n nojalla vireille tullut asia kolmen kuukauden kuluessa sen vireilletulosta tai, jos asia ei ole käsiteltävissä tässä ajassa, ilmoitettava tässä ajassa rekisteröidylle arvio päätöksen antamisajankohdasta. Valtuutetun on myös ilmoitettava asian vireillepanijalle, jos asian käsittely viivästyy tarvittavasta lisäselvityksestä tai muusta syystä johtuen. 
Tietosuojavaltuutettu voi keskeyttää asian käsittelyn, jos siihen liittyvä asia on vireillä tuomioistuimessa. 
Jos tietosuojavaltuutettu laiminlyö 1 momentissa tarkoitetun kolmen kuukauden määräajan noudattamisen, rekisteröidyllä on oikeus tehdä valitus hallinto-oikeudelle. Valitus on tehtävä ennen kuin tietosuojavaltuutettu on käsitellyt asian tai on antanut arvion päätöksen antamisajankohdasta. Valituksen katsotaan tässä tapauksessa kohdistuvan tutkimatta jättämistä koskevaan päätökseen. 
 Voimaantulopykälä tai –säännös alkaa 
Tämä laki tulee voimaan    päivänä       kuuta 20  . 
Tämän lain voimaan tullessa tietosuojavaltuutetun käsiteltävinä oleviin asioihin sovelletaan 57 §:ää sellaisena kuin se oli tämän lain voimaan tullessa. 
 Lakiehdotus päättyy 
Helsingissä 5.12.2023 

Eduskunnan puolesta

puhemies   
pääsihteeri