Oikeuspalveluvirastolle huomautus työntekijöiden luottotietojen perusteettomasta tarkastamisesta

Tietosuojavaltuutetun toimisto on antanut Oikeuspalveluvirastolle huomautuksen työntekijöiden luottotietojen käsittelystä ilman tietosuojalainsäädännön mukaista käsittelyperustetta. Oikeuspalveluvirasto oli vuosina 2024–2025 tarkastanut ensin 70:n ja myöhemmin vielä 600 virkahenkilön luottotiedot. Se havaitsi tekemänsä virheen omavalvonnassa marraskuussa 2025.

Oikeuspalveluvirasto ilmoitti henkilötietoihin kohdistuneesta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle marraskuussa 2025, kun se havaitsi käsitelleensä virkahenkilöidensä luottotietoja ilman lainmukaista käsittelyperustetta. Työelämän tietosuojalaissa määritellään tarkasti, milloin työnantajalla on oikeus tarkastaa työntekijän luottotiedot.

Oikeuspalveluvirasto ryhtyi korjaaviin toimenpiteisiin heti havaittuaan tietosuojarikkomuksen. Virheellisesti käsitellyt tiedot on viraston mukaan tuhottu.

Tietosuojavaltuutetun toimisto katsoo päätöksessään, että Oikeuspalveluviraston sisäiset menettelytavat henkilötietojen käsittelyn lainmukaisuuden varmistamiseksi ovat olleet puutteellisia. Tapauksen vakavuutta lieventää, että käyttöoikeuksia tietoihin rajattiin ja ulkopuoliset eivät saaneet pääsyä tietoihin. 

Työnantaja voi tarkastaa luottotiedot vain tietyissä tilanteissa

Työnantaja voi tarkastaa työnhakijoiden tai työntekijöiden luottotiedot rajatuissa tapauksissa, esimerkiksi työnhakijan luotettavuuden arvioimiseksi tehtävissä, joissa käsitellään merkittävää määrää rahaa tai arvopapereita ilman välitöntä valvontaa. Työnantajan suorittamasta luottotietojen käsittelystä säädetään työelämän tietosuojalaissa. Lakia sovelletaan myös virkasuhteessa oleviin henkilöihin. Työsuhteen aikana työntekijän luottotiedot saa tarkastaa vain, jos työtehtävät muuttuvat niin, että laissa säädetyt edellytykset luottotietojen tarkastamiselle täyttyvät. 

Tietosuojavaltuutetun toimisto muistuttaa, että henkilötietojen käsittely edellyttää aina lainmukaista käsittelyperustetta. Käsittelyperuste on määritettävä ennen käsittelyn aloittamista. Myös henkilötietojen käsittelyn tarkoitus on suunniteltava ja määritettävä selkeästi etukäteen. Tietosuojarikkomuksia voidaan ehkäistä laatimalla selkeät sisäiset ohjeet oman organisaation toiminnan tueksi. 

Päätös ei ole vielä lainvoimainen ja siitä voi valittaa hallinto-oikeuteen.

Tietosuojavaltuutetun toimiston päätös TSV/13090/2025 Finlex-palvelussa

Lisätietoja:

Apulaistietosuojavaltuutettu Annina Hautala, puh. 029 566 6776, annina.hautala(at)om.fi

Oikeuspalveluviraston tiedote 17.11.2025: Oikeuspalveluvirastossa henkilötietoihin kohdistuva tietoturvaloukkaus

Lisätietoa organisaatioille: 

• Henkilötietojen käsittelyn oikeusperusteet
• Käyttötarkoitussidonnaisuus
• Usein kysyttyä työelämän tietosuojasta