Hyppää sisältöön

Tarkastuksilla tuetaan tietosuojatyössä onnistumista

Julkaisuajankohta 2.4.2024 9.41
Kolumni
Apulaistietosuojavaltuutettu Annina Hautala

Tietosuojavaltuutetun toimisto pyrkii osana valvontatoimintaansa ennaltaehkäisemään henkilötietojen käsittelyyn liittyviä loukkauksia ja edistämään tietoisuutta tietosuojaan liittyvistä oikeuksista ja velvollisuuksista. Näitä tavoitteita kohti pyrimme myös tarkastuksia tekemällä.

Tarkastustoimintaa ohjaa vuosittain laadittava tarkastussuunnitelma. Lisäksi suoritamme tarkastuksia aina tarpeen vaatiessa. Suuri osa tarkastuksista tehdään paikan päällä tarkastuksen kohteen luona, mutta tarkastuksia voidaan toteuttaa myös ns. työpöytätyönä eli asiakirjoihin tutustumalla tai vaikka kyselyllä usealle rekisterinpitäjälle. Pääsääntöisesti ilmoitamme tarkastuksista etukäteen, mutta tarvittaessa voimme ilmestyä tarkastukselle myös ennalta ilmoittamatta.

Keskeistä tarkastusten onnistumisessa on luottamus ja avoimuus. Toki tietosuojavaltuutetulla on koviakin keinoja käytössään, jos tarkastuksen kohde esimerkiksi kieltäytyy antamasta tarvittavia tietoja. Onneksi näihin koviin keinoihin ei ole juuri jouduttu turvautumaan, koska toimijat ovat olleet tietoisia tietosuojavaltuutetun oikeudesta saada kaikki tehtäviensä hoitamisessa tarvittavat tiedot.

Turvallisuussektori on yksi keskeinen tarkastusten kohde

Tarkastuksemme ovat painottuneet sellaiseen henkilötietojen käsittelyyn, johon henkilöillä itsellään ei ole kattavaa tarkastusoikeutta ja sitä kautta omaa suoraa valvontamahdollisuutta. Tällaista henkilötietojen käsittelyä on erityisesti turvallisuussektorilla, kuten poliisissa, Puolustusvoimissa, suojelupoliisissa, Tullissa ja Rajavartiolaitoksessa. Tämä sektori tulee jatkossakin olemaan keskeinen kohteemme, mutta pyrimme lisäämään tarkastuksia myös muilla sektoreilla.

Vuodelle 2024 olemme suunnitelleet tarkastuksia turvallisuussektorin lisäksi esimerkiksi biopankkitoimintaan, terveydenhuoltoon ja pysäköinninvalvontaan.  Yksi tarkastuksissa tänä vuonna toistuva teema on se, miten rekisterinpitäjät hallitsevat käyttöoikeuksia ja valvovat henkilötietojen käsittelyä toiminnassaan.

Tarkastustoiminnan suunnittelussa huomioimme henkilötietojen käsittelyyn liittyvät riskit ja muun valvontatyömme yhteydessä tehdyt havainnot sekä lainsäädännöstä tulevat tarkastusvelvollisuudet. Tarkastusten avulla voimme myös tarvittaessa varmistaa, onko toimija toteuttanut ne toimenpiteet, joihin se on aiemmin antamassamme päätöksessä velvoitettu.

Ei vara venettä kaada eikä tarkastus rekisterinpitäjää

Tarkastuksista laaditaan aina tarkastuskertomus tai muu vastaava raportti. Niissä voidaan antaa niin positiivista palautetta kuin suosituksia ja jopa määräyksiä. Vuonna 2023 tehdyissä yhdessätoista tarkastuksessa ei havaittu mitään kovin kriittistä. Tarkastusten perusteella esimerkiksi erään toimijan suositeltiin panostavan enemmän tietojen oikeellisuuden valvontaan ja eräälle toiselle rekisterinpitäjälle annettiin ohjausta tietosuojan vaikutustenarvioinnin tekemiseen liittyen.

Näen tarkastustoiminnan tehokkaana ja tietyllä tavalla myös pehmeänä keinona edistää tietosuojan toteutumista, koska useimmiten tarkastuksissa havaitaan kehityskohteita ennen kuin vakavat riskit ovat toteutuneet. Tuttua sananlaskua soveltaen voidaan todeta, että ei vara venettä kaada eikä tarkastus rekisterinpitäjää – lähtökohtaisesti ainakaan. Tarkastustemme tavoitteena on saada riittävä selvyys siitä, miten toimija käsittelee henkilötietoja ja noudattaa tietosuojalainsäädäntöä. Havainnoillamme ja suosituksillamme pyritään aina myös tukemaan toimijaa tietosuojatyössä.

Olen nyt toiminut apulaistietosuojavaltuutettuna noin puolentoista vuoden ajan. On ollut hienoa saada olla mukana tarkastustoiminnan kehittämisessä ja muutoinkin tehdä monipuolisia ja mielenkiintoisia töitä tietosuojan valvontaviranomaisessa. Harva asia ulottuu yhteiskunnassa niin laajalle kuin tietosuoja, ja tämä vain lisää mielenkiintoani tietosuojatyötä kohtaan.

Annina Hautala
apulaistietosuojavaltuutettu

Lue myös:

Uutinen 2.4.2024: Tietosuojavaltuutetun tarkastustoiminnassa korostuvat vuonna 2024 henkilötietojen käsittelyn valvonta organisaatioissa ja käyttöoikeuksien hallinta

Tietosuojavaltuutetun toimiston tarkastussuunnitelma vuodelle 2024 (pdf)

Sivun alkuun