Uudella tietosuojalailla säädetään tietyissä kysymyksissä poikkeuksia ja täsmennyksiä EU:n toukokuussa voimaan tulleeseen tietosuoja-asetukseen.
Tietoyhteiskunnan palvelujen tarjoaminen suoraan lapselle edellyttää jatkossa, että lapsi on vähintään 13-vuotias. Tätä nuoremmalla lapsella on oltava vanhempien suostumus esimerkiksi sosiaalisen median ja muiden henkilötietojen antamista edellyttävien palvelujen käyttämiseen. Rekisterinpitäjän vastuulla on tarkistaa, että suostumus on olemassa.
Suomessa lapsen ikäraja on alempi kuin yleisessä tietosuoja-asetuksessa säädetty 16 vuotta.
Yleisen tietosuoja-asetuksen mukaiset viranomaistehtävät keskitetään tietosuojavaltuutetulle. Kasvavien asiamäärien vuoksi tietosuojavaltuutetun toimistoon perustetaan kaksi apulaistietosuojavaltuutetun virkaa.
Lisäksi toimistoon perustetaan viisijäseninen asiantuntijalautakunta. Se antaa tietosuojavaltuutetun pyynnöstä lausuntoja lainsäädännön soveltamiseen liittyvistä asioista.
Tietosuojavaltuutettu voi asettaa yritykselle, yhteisölle tai viranomaiselle uhkasakon tietojen luovuttamista koskevan määräyksensä tehosteeksi.
Tietosuojavaltuutetun ja apulaistietosuojavaltuutettujen yhdessä muodostama kolmijäseninen seuraamuskollegio voi määrätä säännösten rikkomisesta hallinnollisen seuraamusmaksun. Sen määrä voi olla lievemmissä rikkomuksissa enintään kymmenen miljoonaa euroa tai kaksi prosenttia yrityksen kokonaisliikevaihdosta ja vakavammissa rikkomuksissa enintään 20 miljoonaa euroa tai neljä prosenttia yrityksen kokonaisliikevaihdosta.
Seuraamusmaksu perustuu tietosuoja-asetukseen. Käytettävissä on myös lievempiä keinoja, kuten huomautus.
Eduskunta liitti vastaukseensa lausuman, jossa edellytetään, että hallitus selvittää, pitäisikö tietosuojan valvontaviranomaisen organisaatiota kehittää virastomuotoiseksi ja tarvittaessa valmistelee asiasta lainsäädännön muutokset.
Kansallisen liikkumavaran perusteella tietosuojalaissa säädetään, että hallinnollista seuraamusmaksua ei sovelleta julkisella sektorilla tapahtuvaan henkilötietojen käsittelyyn. Perusteena on se, että viranomaisia sitoo hallinnon lainmukaisuusvaatimus, virkavastuu ja vahingonkorvausvastuu.
Rikoslaissa säädetään rangaistavaksi sellainen menettely, jossa esimerkiksi rekisterinpitäjän palveluksessa oleva henkilö oikeudettomasti urkkii henkilötietoja vastoin niiden käyttötarkoitusta. Tällöin on kyse tietosuojarikoksesta, josta tuomitaan sakkoa tai enintään yksi vuosi vankeutta.
Sananvapauden, tutkimuksen ja arkistoinnin turvaamiseksi poikkeuksia
Henkilötietojen käsittelyedellytyksiin säädetään poikkeuksia tai vapautuksia, kun on kyse sananvapauden turvaamisesta esimerkiksi journalismissa.
Myös tieteellisessä ja historiallisessa tutkimuksessa, tilastoinnissa ja arkistoinnissa voidaan poiketa eräistä tietosuoja-asetuksesta seuraavista velvoitteista, jos poikkeaminen on tarpeellista esimerkiksi tutkimuksen tavoitteiden kannalta.
Poikkeukset merkitsevät muun muassa sitä, että rekisteröidyllä ei näissä tapauksissa ole esimerkiksi oikeutta tarkastaa itseään koskevia tietoja. Poikkeusten tavoitteena on säilyttää nykyisenkaltainen sääntely. Poikkeaminen rekisteröidyn oikeuksista edellyttää muun ohella, että henkilötietojen käsittelijä laatii tietosuojaa koskevan vaikutustenarvioinnin tai sitoutuu noudattamaan erityisiä käytännesääntöjä.
Myös terveyttä, seksuaalista käyttäytymistä ja suuntautumista, uskontoa sekä poliittisia näkemyksiä koskevien tietojen käsittely on mahdollista jatkossakin tutkimusta ja tilastointia varten.