Suomeksi - På svenska - In English - Davvisamegillii

Tietosuojavaltuutetun toimisto

Tietosuojavaltuutetun toimisto

Etusivu » Lait » Henkilötietolaki

Henkilötietolaki

Henkilötietolaki on henkilötietojen käsittelyn peruslaki.

Koska laki on yleislaki, mahdollisia muissa laissa olevia henkilötietojen käsittelyä koskevia erityissäännöksiä sovelletaan ensisijaisena henkilötietolain kyseisiin säännöksiin nähden.

Henkilötietolaki (523/1999) on säädetty toteuttamaan yksityiselämän suojaa sekä muita yksityisyyden suojaa turvaavia perusoikeuksia henkilötietoja käsiteltäessä sekä edistämään hyvän tietojenkäsittelytavan kehittämistä ja noudattamista.

Lakia sovelletaan automaattiseen henkilötietojen käsittelyyn sekä myös muuhun henkilötietojen käsittelyyn silloin, kun henkilötiedot muodostavat tai niiden on tarkoitus muodostaa henkilörekisteri tai sen osa. Laki ei koske kuitenkaan henkilötietojen käsittelyä, jonka luonnollinen henkilö suorittaa yksinomaan henkilökohtaisiin tai niihin verrattaviin tavanomaisiin yksityisiin tarkoituksiin, eikä myöskään henkilötietojen käsittelyä toimituksellisia sekä taiteellisen ja kirjallisen ilmaisun tarkoituksia varten.

Henkilötietolaissa säännellään henkilötietojen käsittelyn yleisistä edellytyksistä, niistä velvoitteista, joita kaikessa henkilötietojen käsittelyssä tulee aina noudattaa, rekisteröityjen henkilötietojen käsittelyyn liittyvistä oikeuksista, lain soveltamisen valvontajärjestelmästä sekä sanktioista, jotka voivat seurata henkilötietolain vastaisista käsittelyistä. Laki osoittaa muun muassa, missä tapauksissa henkilötietojen käsittely on mahdollista ilman rekisteröidyn suostumsuta.

Henkilötietojen käsittelyn yleisten edellytysten lisäksi yleisvelvoitteiden noudattamisen merkitys on keskeinen hyvän tietojenkäsittelytavan saavuttamiseksi. Laissa säädetään vaatimuksesta määritellä aina henkilötietojen käsittelyn tarkoitus sekä suunnitella henkilötietojen käsittely etukäteen. Lain muita yleisvelvoitteita ovat tarpeellisuus- ja virheettömyysvaatimukset sekä huolellisuus- ja suojaamisvelvoitteet, jotka niinikään tulee ottaa huomioon kaikessa henkilötietojen käsittelyssä. Henkilötietojen käsittelyn yleiset edellytykset perustuvat rekisterinpitäjän toiminnan tarpeisiin. Kussakin rekisterinpitäjän tehtävässä tarpeellisia ja virheettömiä tietoja voidaan käsitellä, muttei muita.

Rekisterinpidon avoimuuden periaatetta edustaa rekisteriselosteen laatimis- ja saatavillapitovelvoite. Rekisterinpitäjälle on säädetty velvoite informoida rekisteröityjä henkilötietoja kerättäessä. Rekisteröidyillä on oikeus saada tarkastaa itseään koskevat tiedot. Rekisteröidyillä on myös oikeus vaatia virheellisen tiedon korjaamista sekä kieltää henkilötietojensa käsittely suoramarkkinointia, etämyyntiä ja mielipide- ja markkinatutkimusta samoin kuin sukututkimusta ja henkilömatrikkelia varten.

Henkilötietolainsäädännön täytäntöönpanoa ohjaa ja valvoo tietosuojavaltuutettu. Tietosuojavaltuutetun on edistettävä hyvää tietojenkäsittelytapaa sekä ohjein ja neuvoin pyrittävä siihen, että lainvastaista menettelyä ei jatketa. Tarvittaessa tietosuojavaltuutetun on saatettava asia tietosuojalautakunnan päätettäväksi tai ilmoitettava se syytteeseenpanoa varten.

Päätösvaltaa henkilötietojen käsittelyyn liittyvissä asioissa käyttää siten tietosuojalautakunta. Tietosuojalautakunta voi tietosuojavaltuutetun hakemuksesta kieltää henkilötietojen käsittelyn tai antaa asiaa koskevia kieltomääräyksiä. Tietosuojalautakunta voi lisäksi erikseen määritellyissä tilanteissa ja edellytyksillä antaa luvan henkilötietojen käsittelyyn sellaisissa tapauksissa, joissa laki ei sitä muuten salli.

Kansallisarkistolla on lupatoimivalta henkilörekisterien arkistointiin sen jälkeenkin, kun rekisteri ja sen tiedot muutoin tulisi lain mukaan hävittää. Edellytyksenä on, että rekisterin arkistointi on tieteellisen tutkimuksen tai muusta syystä merkityksellinen.

Henkilötietolaissa on säädetty myös henkilötietojen lainvastaisesta käsittelystä seuraavasta vahingonkorvausvelvollisuudesta. Henkilötietolaissa ja rikoslaissa on sanktiot henkilötietolain vastaisesta menettelystä.

Henkilötietolailla on pyritty löytämään ratkaisumalli yksityisyyden suojan ja muiden henkilötietojen käsittelyyn liittyvien intressien välillä. Muun muassa laissa säädetty henkilötietojen kaikkiin käsittelyvaiheisiin ulottuva tarpeellisuus- ja virheettömyysvaatimus toteuttavat osaltaan myös toiminnallisia ja hyvän tiedonhallinnan tavoitteita. Rekisteröityjen yksityisyyden ja heidän etujensa ja oikeuksiensa suojaaminen ei ole erillinen velvoite, vaan se liittyy olennaisena osana toiminnallisiin tavoitteisiin.

Henkilötietolainsäädännön säätämisen tarkoituksena on ollut erityisesti ehkäistä tietotekniikan ja uuden teknologian käyttöön liittyviä tietosuojariskejä sekä varmistaa ja ohjata hyvän tietojenkäsittely- ja tiedonhallintatavan aikaansaamiseen. Sen vuoksi lain säännösten huomioonottaminen ja erityisesti suunnitelmallisuuden vaatimus on välttämätöntä huomioida, kun henkilötietojen käsittelyä aiotaan toteuttaa automaattisen tietojenkäsittelyn avulla.

 
Julkaistu 5.11.2013