Hyppää sisältöön

Tietosuojan toimeenpano Puolustusvoimissa

Tietosuoja on sisäänrakennettu ja oletusarvoinen osa Puolustusvoimien toimintaa.

Puolustusvoimien henkilöstöpäällikkö vastaa henkilötietojen käsittelyn hallinnollisesta ohjauksesta Puolustusvoimissa.

Pääesikunnan henkilöstöosasto vastaa tietosuojan toimeenpanosta Puolustusvoimissa

Pääesikunnan oikeudelliselle osastolle sijoitettu tietosuojavastaava vastaa Puolustusvoimissa sekä Euroopan unionin, että kansallisessa lainsäädännössä säädetyistä tietosuojavastaavalle kuuluvista tehtävistä. 

Puolustusvoimien tietosuojatoiminnan päämääränä on huolehtia lainsäädännön mukaisten rekisteröityjen oikeuksien toteutumisesta dokumentoimalla ja määräämällä henkilötietojen käsittelyn käytänteet, valvomalla näiden käytänteiden mukaisen toiminnan lainmukaisuutta sekä huolehtimalla henkilötietoja käsittelevän henkilöstön riittävästä perehdytyksestä ja koulutuksesta lainmukaisen henkilötietojen käsittelyn mahdollistamiseksi.

Henkilötietojen suojaamistoimia Puolustusvoimissa ovat muun muassa henkilöstölle annetut ohjeet ja määräykset sekä henkilöstön koulutus, organisaatioiden väliset turvallisuussopimukset, tietosuojasopimukset, tilavalvonta ja omavalvonta, tietojärjestelmien tietoturvallisuudesta huolehtiminen, tietojen salaus/anonymisointi/pseudonymisointi, auditoinnit sekä tarkastus- ja valvontajärjestelmät, käytännesäännöt sekä muut tekniset toimenpiteet. 

Puolustusvoimilla on käytössään tietotilinpäätösprosessi, jonka kautta se laatii vuosittain tietotilinpäätöksen kuvaamaan tietosuojassa onnistumista ja tietosuojan kehittämisen vaatimia toimia.

Puolustusvoimien toimintaan sovellettava tietosuojalainsäädäntö

Puolustusvoimien henkilötietojen käsittelyyn sovelletaan kahta erilaista oikeusperustetta. 

Pääosaan puolustusvoimien henkilötietojen käsittelyä sovelletaan yleislakina henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annettua lakia, jäljempänä rikosasioiden tietosuojalaki (1054/2018) ja erityislakina henkilötietojen käsittelystä Puolustusvoimissa annettua lakia, jäljempänä HEPPU-laki (332/2019).

Puolustusvoimien henkilötietojen käsittelyssä EU:n tietosuoja-asetuksen 216/679 ja tietosuojalain (1050/2018) soveltamisalan piiriin jää pääosin henkilötietojen käsittely työnantajatoiminnassa, asianhallinnassa, sekä eräät viestinnälliset ja logistiset rekisterit. Puolustusvoimien työnantajana toteuttamaan henkilötietojen käsittelyyn sovelletaan erityislakina lisäksi lakia yksityisyyden suojasta työelämässä (759/2004).

Terveydenhoidon järjestämisestä Puolustusvoimissa säädetään terveydenhuollon järjestämisestä Puolustusvoimissa annetussa laissa (332/1987). Tämän lain 9 a §:n 2 momentin mukaan tämän lain soveltamisalan piiriin kuuluvaan henkilötietojen käsittelyyn sovelletaan henkilötietojen käsittelystä Puolustusvoimissa annettua lakia (332/2019), jos tietojen käsittely on tarpeen puolustusvoimista annetun lain (551/2007) 2 §:n 1 momentin 1 kohdassa, 2 kohdan a alakohdassa sekä 3 ja 4 kohdassa säädettyjen tehtävien hoitamiseksi.

Laki henkilötietojen käsittelystä Puolustusvoimissa (332/2019)

Tätä lakia sovelletaan sellaiseen Puolustusvoimien suorittamaan ja Puolustusvoimien lukuun suoritettavaan henkilötietojen käsittelyyn, jota suoritetaan puolustusvoimista annetun lain 2 §:n 1 momentin 1 kohdassa, 2 kohdan a alakohdassa taikka 3 tai 4 kohdassa säädettyjen tehtävien hoitamiseksi. 

Tätä lakia sovelletaan vain henkilötietojen käsittelyyn, joka on kokonaan tai osittain automaattista tai jos henkilötiedot muodostavat tai niiden on tarkoitus muodostaa rekisteri tai sen osa.

Turvallisuusselvityslaki (726/2014)

Tämän lain tarkoituksena on parantaa mahdollisuuksia ennakolta ehkäistä toimintaa, joka voi vahingoittaa valtion turvallisuutta, maanpuolustusta, Suomen kansainvälisiä suhteita, yleistä turvallisuutta tai muuta niihin verrattavaa yleistä etua taikka erittäin merkittävää yksityistä taloudellista etua taikka edellä tarkoitettujen etujen suojaamiseksi toteutettavia turvallisuusjärjestelyjä.

Pääesikunta tekee henkilöturvallisuusselvitykset silloin, kun kyse on henkilöiden rekrytoinnista puolustusvoimien palvelukseen, tai henkilöistä, jotka työskentelevät puolustusvoimien hankinnoissa tai muissa projekteissa eri yrityksissä. Pääesikunta tekee myös yritysturvallisuusselvitykset niistä yrityksistä, jotka hoitavat puolustusvoimien hanketta tai muuta toimeksiantoa.

Suojelupoliisin ja Pääesikunnan suorittamasta henkilötietojen käsittelystä säädetään rikosasioiden tietosuojalaissa.

Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä (1054/2018), jäljempänä rikosasioiden tietosuojalaki

Tätä lakia sovelletaan toimivaltaisten viranomaisten käsitellessä henkilötietoja, kun kyse on:

  1. rikosten ennalta estämisestä, paljastamisesta, selvittämisestä tai syyteharkintaan saattamisesta;
  2. syyteharkinnasta ja muusta rikokseen liittyvästä syyttäjän toiminnasta;
  3. rikosasian käsittelemisestä tuomioistuimessa;
  4. rikosoikeudellisen seuraamuksen täytäntöönpanemisesta;
  5. yleiseen turvallisuuteen kohdistuvilta uhkilta suojelemisesta tai tällaisten uhkien ehkäisemisestä 1–4 kohdassa tarkoitetun toiminnan yhteydessä.

Edellisen lisäksi Puolustusvoimien toiminnassa tätä lakia sovelletaan:

Puolustusvoimien suorittamaan ja Puolustusvoimien lukuun suoritettavaan henkilötietojen käsittelyyn, kun tietoja käsitellään puolustusvoimista annetun lain 2 §:n 1 momentin 1 kohdassa, 2 kohdan a alakohdassa sekä 3 ja 4 kohdassa säädettyjen tehtävien hoitamiseksi;

Laki on edellä mainituissa tilanteissa sovellettava yleislaki, jonka sääntelystä voidaan erityislainsäädännössä poiketa. Laissa säädetään:

  • käyttötarkoitussidonnaisuudesta ja muista henkilötietojen käsittelyn yleisistä periaatteista
  • rekisterinpitäjän ja henkilötietojen käsittelijän vastuusta
  • tarkastusoikeudesta ja muista rekisteröidyn oikeuksista
  • tietoturvavaatimuksista
  • tietosuojavastaavan nimeämisestä ja tehtävistä
  • vaatimuksista siirrettäessä henkilötietoja kolmansiin maihin
  • lain noudattamisen valvonnasta
  • käytettävissä olevista oikeussuojakeinoista ja seuraamuksista


Rikosasioiden tietosuojalakia sovelletaan rinnakkain henkilötietojen käsittelystä puolustusvoimissa annetun lain kanssa.

EU:n yleinen tietosuoja-asetus 2016/679

EU:n yleistä tietosuoja-asetusta sovelletaan Puolustusvoimien henkilötietojen käsittelyyn rajoitetusti. 

Tämä lainsäädäntö tulee etupäässä sovellettavaksi silloin kun Puolustusvoimat käsittelee henkilötietoja virka- tai työsuhteen yhteydessä, Maanpuolustuskorkeakoulun opetus- ja tutkimustoiminnan yhteydessä, kirjastotoimessa, työterveyshuollossa ja muissa vastaavissa yhteyksissä. 

Tietosuojalaki (1050/2018)

Tietosuojalakia sovelletaan rinnan yleisen tietosuoja-asetuksen kanssa. Tällä lailla täsmennetään ja täydennetään tietosuoja-asetusta, ja sen kansallista soveltamista.

Tietosuojalaissa säädetään muun muassa:

  • tietosuojaan liittyvästä valvontaviranomaisesta
  • oikeusturvasta
  • erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelystä 
  • eräistä tietojenkäsittelyn erityistilanteista, kuten sananvapauden tai tieteellisen tutkimuksen ja henkilötietojen suojan yhteensovittamisesta
  • tietoyhteiskunnan palvelujen tarjoamiseen lapselle sovellettavasta ikärajasta.

Laki yksityisyydensuojasta työelämässä (759/2004)

Tässä laissa säädetään työntekijää koskevien henkilötietojen käsittelystä, työntekijälle tehtävistä testeistä ja tarkastuksista sekä niitä koskevista vaatimuksista, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestin hakemisesta ja avaamisesta.

Mitä tässä laissa säädetään työntekijästä, sovelletaan myös virkamieheen, virkasuhteessa olevaan ja näihin verrattavassa julkisoikeudellisessa palvelussuhteessa olevaan sekä soveltuvin osin työnhakijaan.

Sen lisäksi, mitä tässä laissa säädetään, työntekijän henkilötietojen käsittelystä säädetään yleisessä tietosuoja-asetuksessa. Henkilötietojen käsittelyyn sovelletaan lisäksi tietosuojalakia, jollei tässä laissa toisin säädetä. 

Viestinnän luottamuksellisuudesta ja yksityisyyden suojasta säädetään sähköisen viestinnän palveluista annetun lain (917/2014) VI osassa. 

Puolustusvoimien rekistereistä

Puolustusvoimien pysyvät rekisterit

HEPPU -lain 4 §:n 1 momentin mukaan Puolustusvoimilla on seuraavat pysyvät rekisterit:

  1. asevelvollisrekisteri;
  2. kulkuluparekisteri;
  3. aluevalvonnan lupa- ja valvonta-asioiden rekisteri;
  4. sotilasoikeudenhoitorekisteri;
  5. sotilastiedustelurekisteri;
  6. turvallisuustietorekisteri.

Näiden rekisterien rekisterinpitäjä on Pääesikunta. Rekisterinpidon vastuista ja vastuutahoista on tarkemmin määrätty Pääesikunnan työjärjestyksessä. Muut hallintoyksiköt käyttävät näitä rekistereitä vain Pääesikunnan ohjeistuksen mukaisesti ja Pääesikunnan valvonnan alaisina.

Näiden rekistereiden käyttötarkoituksesta ja tietosisällöstä säädetään tarkemmin HEPPU -lain 2 luvussa.

Puolustusvoimien tilapäiset rekisterit

HEPPU -lain 17 §:ssä säädetään tilapäisistä rekistereistä. Puolustusvoimat saa perustaa tilapäisen rekisterin, jossa tapahtuvaan henkilötietojen käsittelyyn edellä mainittua säädösperustaa sovelletaan. 

Tällainen rekisteri voidaan perustaa vain seuraavissa tarkoituksissa:

  1. sotilastiedustelutehtävän suorittamiseksi. Tällaiseen rekisteriin saa tallettaa HEPPU -lain 14 §:ssä tarkoitettuja tietoja;
  2. rikosten ennaltaehkäisy- ja paljastamistehtävän suorittamiseksi.  Tällaiseen rekisteriin saa tallettaa HEPPU -lain 16 §:ssä tarkoitettuja tietoja;
  3. esitutkintatehtävän suorittamiseksi. Tällaiseen rekisteriin saa tallettaa HEPPU -lain 12 §:ssä tarkoitettuja tietoja.

Velvollisuus julkaista tietosuojaseloste ei koske edellä tarkoitettuja tilapäisiä henkilörekistereitä.

Muut rekisterit

Edellisten lisäksi Puolustusvoimilla on muita toimiala- ja tehtäväkohtaisia rekistereitä, joissa tapahtuvaan henkilötietojen käsittelyyn sovelletaan EU:n tietosuoja-asetusta ja tietosuojalakia. Näissä rekistereissä käsitellään suurimmalta osin Puolustusvoimien palkatun henkilöstön henkilötietoja.

Rekisteröidyn oikeudet

Yleistä rekisteröidyn oikeuksista

Rikosasioiden tietosuojalaissa ja EU:n tietosuoja-asetuksessa (molemmat jäljempänä yhdessä tietosuojalainsäädäntö) säädetään rekisteröityjen oikeuksista. Tällaisia oikeuksia ovat muun ohella:

  • tarkastusoikeus (pääsy tietoihin)

  • oikeus saada tietoja oikaistuksi, täydennetyiksi tai poistetuksi

  • oikeus saada tietojen käsittelyä rajoitettua

  • vastustamisoikeus

  • oikeus tehdä valitus valvontaviranomaiselle

Tarkastusoikeus

Rekisteröidyllä on oikeus saada tieto siitä, käsitelläänkö häntä koskevia henkilötietoja. Mikäli tietoja käsitellään, rekisteröidyllä on oikeus saada rekisterinpitäjältä tietosuojalainsäädännössä tarkoitetut tiedot.

Itseään koskevien tietojen saamiseksi tulee esittää pyyntö rekisterinpitäjälle.

Tarkempia tietoja tarkastusoikeuden käyttämisestä ja sisällöstä:

  • EU:n tietosuoja-asetus 15 artikla

  • Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä 23 §, kun kysymys on mainitun lain soveltamisalaan liittyvästä asiasta

Tietojen oikaiseminen, poistaminen, täydentäminen tai käsittelyn rajoittaminen

Rekisteröidyllä on oikeus tietosuojalainsäädännön mukaisin edellytyksin vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat, puutteelliset ja virheelliset henkilötiedot. Lisäksi rekisteröidyllä on oikeus saada poistettua tietoja tai saada niiden käsittelyä rajoitetuksi tietosuojalainsäädännön mukaisin edellytyksin.

Tarkempia tietoja tietojen oikaisemis-, poistamis- tai käsittelyn rajoittamisoikeuden käyttämisestä ja sisällöstä:

  • EU:n tietosuoja-asetus 16–18 artiklat
  • Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä 25 §, kun kysymys on mainitun lain soveltamisalaan liittyvästä asiasta

Muita oikeuksia ja lisätietoja

Rekisteröidyllä on oikeus vastustaa häntä koskevien henkilötietojen käsittelyä tietosuojalainsäädännön mukaisin edellytyksin. 

Lisäksi rekisteröidyllä on mainitun lainsäädännön mukainen oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn.

Rekisteröidyllä on oikeus saada rekisterinpitäjältä tieto tietoturvaloukkauksesta tietosuojalainsäädännössä säädetyin edellytyksin.

Tarkempia tietoja edellä mainittujen oikeuksien käyttämisestä ja sisällöstä:

  • EU:n yleinen tietosuoja-asetus 21–22 artiklat
  • Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä 4 ja 5 luku, kun kysymys on mainitun lain soveltamisalaan liittyvästä asiasta

Rekisterinpitäjä antaa tarvittaessa lisätietoja rekisteröidyn oikeuksien käyttämisestä ja toteuttamisesta. 

Yleistietoa rekisteröityjen oikeuksista on lisäksi saatavilla muun ohella tietosuojavaltuutetun toimiston julkaisemasta aineistosta https://tietosuoja.fi/etusivu.

Oikeus tehdä valitus valvontaviranomaiselle

Sinulla on oikeus tehdä kantelu Tietosuojavaltuutetulle, jos katsot, että sinuun liittyvässä henkilötietojen käsittelyssä loukataan tietosuojalainsäädäntöä.

Tietosuojavaltuutetun yhteystiedot ovat seuraavat:

Tietosuojavaltuutetun toimisto
Käyntiosoite: Ratapihantie 9, 6 krs, 00520 HELSINKI
Postiosoite: PL 800, 00521 HELSINKI
Puhelinnumero: 029 56 66700
Sähköposti: [email protected] 

Rekisteröidyn tarkastusoikeuden käyttäminen

Rekisteröidyn tarkastusoikeus on osa yksilön tiedollisen itsemääräämisoikeuden ja perusoikeutena suojatun yksityisyydensuojan toteuttamista.

Sinulla on tarkastusoikeus kaikkiin niihin Puolustusvoimien rekistereihin, joista ei toisin ole lailla säädetty.

Puolustusvoimien pysyvissä rekistereissä tapahtuvassa henkilötietojen käsittelyssä Sinulla on tarkastusoikeus seuraaviin rekistereihin:

  1. asevelvollisrekisteri;
  2. kulkuluparekisteri;
  3. aluevalvonnan lupa- ja valvonta-asioiden rekisteri;
  4. sotilasoikeudenhoitorekisteri;

Sinä voit käyttää tarkastusoikeuttasi Tietosuojavaltuutetun välityksellä sotilastiedustelurekisterissä, turvallisuustietorekisterissä ja tilapäisissä henkilörekistereissä tapahtuvaan henkilötietojen käsittelyyn. 


Tarkastusoikeuden käyttämisestä tällaisissa tilanteissa säädetään rikosasioiden tietosuojalain 29 §:ssä.
Tietosuojavaltuutetun toimisto on tällaista tarkoitusta varten julkaissut menettelyä koskevan arviointityökalun ja toimenpidepyyntölomakkeen.

Puolustusvoimien pysyvissä rekistereissä tapahtuvassa henkilötietojen käsittelyä koskevan tarkastuspyynnön muodosta säädetään rikosasioiden tietosuojalain 23 §:n 2 momentissa seuraavasti: 

” Se, joka haluaa tarkastaa itseään koskevat tiedot 1 momentissa tarkoitetulla tavalla, voi esittää tätä tarkoittavan pyynnön rekisterinpitäjälle omakätisesti allekirjoitetulla asiakirjalla tai sitä vastaavalla varmennetulla tavalla tai henkilökohtaisesti rekisterinpitäjän luona.”

Puolustusvoimat edellyttää aina tarkastuspyynnön toteuttamisen edellytyksenä pyynnön yksilöimistä henkilötunnuksella ja asiakirjan omakätistä allekirjoittamista.

Pyynnön voit toimittaa sähköisesti osoitteeseen:

       [email protected] 

tai kirjallisesti osoitteeseen:

    Puolustusvoimien tietosuojavastaava
    Pääesikunta oikeudellinen osasto
    PL919
    00131 Helsinki

Mikäli olet asevelvollinen, ja haluat otteen asevelvollisrekisterissä käsiteltävistä henkilötiedoistasi, niin voit olla asiassasi suoraan yhteydessä Puolustusvoimien aluetoimistoon.

Mikäli olet jo täyttänyt 60 vuotta, niin henkilötietojasi ei enää käsitellä asevelvollisrekisterissä. Tällaisessa tapauksessa voit esittää arkistoituja tietojasi koskevan tietopyynnön Sotilaslääketieteen arkistolle.

Puolustusvoimien soveltuvuustestausten tulokset kuuluvat HEPPU- lain 6 §:n tarkoittamaan asevelvollisrekisterin tietosisältöön. Halutessasi nämä tiedot tarkastettavaksesi voit käyttää edellä kuvattua menettelyä ja tarkastuspyyntölomaketta.

Puolustusvoimat ei toimita henkilötietojasi tarkastettavaksesi sähköpostilla. Tarkastettavat henkilötiedot lähetetään sinulle saantitodistuskirjeellä pyyntösi yhteydessä ilmoittamaasi postiosoitteeseen.

Puolustusvoimien tietosuojavastaava

Puolustusvoimien henkilötietojen käsittelyn lainmukaisuutta valvoo Puolustusvoimien tietosuojavastaava. 

Voit olla kaikissa henkilötietojesi käsittelyä koskevissa asioissa yhteydessä häneen.

Puolustusvoimien tietosuojavastaavan yhteystiedot ovat seuraavat:

Sähköinen: [email protected] 
Postiosoite:

        Puolustusvoimien tietosuojavastaava
        Pääesikunta
        Oikeudellinen osasto
        PL 919
        00131 Helsinki

Tietosuojavastaavasta säädetään rikosasioiden tietosuojalain 6 luvussa ja EU:n tietosuoja-asetuksen 4 jaksossa.

Puolustusvoimien tietosuojavastaava ei anna yleistä oikeusapua ja ei toimi esitutkintaviranomaisena. 

Tietosuojavastaava ei toimi asiamiehenä eikä esimerkiksi voi vaatia vahingonkorvausta puolestasi. Yksityisoikeudelliset vaatimukset esitetään tuomioistuimille.

Tietosuojavastaava ei ota kantaa siihen, mikä tieto on julkinen ja mikä salassa pidettävä. Jos viranomainen on toiminut vastoin julkisuuslakia, toimivaltainen valvontaviranomainen voi tapauksesta riippuen olla esimerkiksi eduskunnan oikeusasiamies tai valtioneuvoston oikeuskansleri.

Jos epäilet, että asiassasi on tapahtunut sinuun kohdistuva rikos (kunnianloukkaus, petos, salakuuntelu tai -katselu, yksityiselämää loukkaavan tiedon levittäminen tms.), niin ole ensisijaisesti yhteydessä paikalliseen poliisiin.