Laki tietosuojalain muuttamisesta (380 / 2026, alkuperäinen)
Eduskunnan päätöksen mukaisesti
4 § Käsittelyn lainmukaisuus
Henkilötietoja saa käsitellä tietosuoja-asetuksen 6 artiklan 1 kohdan e alakohdan mukaisesti, jos:
2) käsittely on tarpeen ja oikeasuhtaista viranomaisen yleistä etua koskevan tehtävän suorittamiseksi tai viranomaiselle kuuluvan julkisen vallan käyttämiseksi;
Mitä 1 momentin 2 kohdassa säädetään, koskee myös yhteisöjä, säätiöitä ja yksityisiä henkilöitä niiden hoitaessa lailla tai lain nojalla annettua julkista hallintotehtävää.
6 § Erityisiä henkilötietoryhmiä koskeva käsittely
Tietosuoja-asetuksen 9 artiklan 1 kohtaa ei sovelleta:
1) vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetun, korvauksenhakijan, vakuutuksenhakijan sekä sen henkilön, jolle vakuutussuojaa haetaan, terveydentilasta, sairaudesta tai vammaisuudesta taikka sellaista häneen kohdistetuista hoitotoimenpiteistä tai niihin verrattavista toimista, jotka ovat välttämättömiä vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi;
2) tietojen käsittelyyn, josta säädetään laissa tai joka on välttämätöntä rekisterinpitäjälle laissa säädetyn yleistä etua koskevan tehtävän suorittamiseksi;
Vakuutuslaitoksen on kerättävä 1 momentin 1 kohdassa tarkoitetut tiedot ensi sijassa kohdassa tarkoitetulta henkilöltä itseltään sekä arvioitava tapauskohtaisesti tietojen keräämisen välttämättömyyttä muualta, jollei muualla toisin säädetä. Tiedot on poistettava välittömästi sen jälkeen, kun tietoja ei tarvita vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi, jollei muualla toisin säädetä. Tietoja ei saa käsitellä muuhun kuin mainitussa kohdassa säädettyyn tarkoitukseen, jollei muualla toisin säädetä. Mainitussa kohdassa tarkoitetulle henkilölle on ilmoitettava tietojen käytöstä, jos vakuutushakemuksen epääminen, vakuutuskorvauksen epääminen taikka muu kielteinen päätös johtuu mainitussa kohdassa tarkoitettujen tietojen käsittelystä.
7 § Rikostuomioihin ja rikoksiin liittyvä käsittely
Tietosuoja-asetuksen 10 artiklassa tarkoitettuihin rikostuomioihin ja rikoksiin tai niihin liittyviin turvaamistoimiin liittyviä henkilötietoja saa käsitellä, jos:
2) käsittely on välttämätöntä vakuutuslaitoksen käsitellessä vakuutustoiminnassa saatuja tietoja vakuutetusta, korvauksenhakijasta, vakuutuksenhakijasta sekä siitä henkilöstä, jolle vakuutussuojaa haetaan vakuutuslaitoksen vastuun arvioimiseksi tai selvittämiseksi;
3) käsittelystä säädetään laissa tai käsittely on välttämätöntä välittömästi rekisterinpitäjälle laissa säädetyn yleistä etua koskevan tehtävän suorittamiseksi; tai
4) käsittely on tarpeen tieteellistä tai historiallista tutkimusta taikka tilastointia varten tehtävään tietojen käsittelyyn.
Mitä 6 §:n 3 momentissa säädetään toimenpiteistä vakuutetun, korvauksenhakijan, vakuutuksenhakijan sekä sen henkilön, jolle vakuutussuojaa haetaan, oikeuksien suojaamiseksi, sovelletaan myös käsiteltäessä tämän pykälän 1 momentin 2 kohdassa tarkoitettuja henkilötietoja.
36 a § Sertifiointielimen akkreditointi
Kansallinen akkreditointielin akkreditoi tietosuoja-asetuksen 43 artiklassa tarkoitetun sertifiointielimen.
Akkreditoinnissa teknisenä asiantuntijana toimii ensisijaisesti tietosuojavaltuutettu ja toissijaisesti kansallisen akkreditointielimen nimeämä asiantuntija. Jos teknisenä asiantuntijana toimii kansallisen akkreditointielimen nimeämä asiantuntija, tietosuojavaltuutetulle on ennen akkreditoinnin myöntämistä varattava tilaisuus lausua tietosuoja-asetuksen 43 artiklan 2 ja 3 kohdassa tarkoitettujen, tietosuojaa koskevien edellytysten täyttymisestä.
Kansallinen akkreditointielin määrää ja perii valtiolle maksun tämän pykälän nojalla toteutetuista akkreditointi- ja arviointipalveluista. Tietosuojavaltuutetun toimistolla on oikeus saada kansalliselta akkreditointielimeltä korvaus tämän pykälän mukaisten tehtävien suorittamisesta.