Tietosuojavaltuutetun toimiston toimintakertomus 2023: tietosuojatyötä muuttuvassa digitaalisessa maailmassa

Tietosuojavaltuutetun toimisto on julkaissut toimintakertomuksensa vuodelta 2023. Kertomuksessa kuvataan vuoden tärkeimpiä tietosuojatapahtumia, keskeisimpiä päätöksiä ja valvontatoimia eri toimialoilla sekä toiminnan tunnuslukuja. Vuotta leimasivat uudistuva lainsäädäntö, aktiivinen eurooppalainen yhteistyö, kasvussa oleva asiamäärä sekä toimiston organisaatiouudistus.

Valvontaa, vahvistettuja linjauksia ja lasten tietosuojaa

Toiminnan ytimessä oli viranomaisen valvontatyö. Tietosuojavaltuutetun toimisto antoi vuoden aikana merkittäviä päätöksiä muun muassa kanta-asiakastietojen säilytysajoista, omien tietojen tarkastusoikeuden toteuttamisesta ja suojatoimien riittävyydestä. Kaikkiaan kolmelle yritykselle määrättiin seuraamusmaksut tietosuojarikkomuksista. Rikkomukset koskivat tietosuojavaltuutetun aiemman määräyksen noudattamatta jättämistä, puutteita puhelutallenteiden antamisessa ja asiakkaan tarkastusoikeuden laiminlyöntiä. Seuraamusmaksujen suuruudet vaihtelivat 1 600 eurosta 440 000 euroon.

Tällä hetkellä seuraamusmaksua ei voi määrätä julkisen sektorin toimijoille Suomessa. ”Seuraamusmaksujen ulottaminen myös julkiselle sektorille on kirjattu nykyiseen hallitusohjelmaan. Käytäntö olisi yhtenäinen muiden Pohjoismaiden kanssa”, tietosuojavaltuutettu Anu Talus toteaa.

Osallistuminen eurooppalaisten tietosuojaviranomaisten yhteistyöhön on yksi tietosuojavaltuutetun toimiston keskeisistä tehtävistä. Toimisto vaikutti vuoden aikana aktiivisesti Euroopan tietosuojaneuvoston työssä ja yhteiseurooppalaisessa päätöksenteossa.

Vuoden aikana annettiin lisäksi useita lausuntoja, joissa korostettiin tietosuojan huomioimista lainsäädäntöhankkeissa. Tarkastuksia toteutettiin kaikkiaan 11 ja ne painottuivat sisäisen turvallisuuden viranomaisiin. Havaintojen perusteella toimijoille annettiin ohjausta ja suosituksia. Tietosuojavaltuutetun toimisto osallistui myös eurooppalaisten tietosuojaviranomaisten yhteiseen toimenpiteeseen, jossa selvitettiin tietosuojavastaavien asemaa organisaatioissa.

Yksi vuoden keskeinen painopiste oli lasten tietosuoja. Tietosuojavaltuutetun toimiston ja TIEKE Tietoyhteiskunnan kehittämiskeskus ry:n yhteisessä GDPR4CHLDRN – Tietosuoja haltuun harrastustoiminnassa -hankkeessa jatkettiin tietosuojamateriaalien kehittämistä harrastustoiminnan järjestäjien, lasten ja nuorten sekä heidän vanhempiensa tueksi.

Hallintotuomioistuimet antoivat vuoden aikana useita ratkaisuja, joissa ne vahvistivat tietosuojavaltuutetun toimiston linjan. Muun muassa monet aiempina vuosina annetut seuraamusmaksupäätökset pysyivät voimassa. 

Asiamäärä kääntyi jälleen kasvuun

Tietosuojavaltuutetun toimistossa vireille tulleiden asioiden määrä kääntyi selkeään kasvuun edellisten vuosien vakiintuneista lukumääristä. Vuonna 2023 vireille tuli noin 13 180 asiaa, ja kasvua edelliseen vuoteen oli 2 000 asian verran. Asioita myös ratkaistiin ennätysmäärä, yhteensä noin 13 060 kappaletta.

Ilmoitukset henkilötietojen tietoturvaloukkauksista ovat tietosuojavaltuutetun toimiston suurin asiaryhmä. Tietoturvaloukkausilmoituksia tehtiin vuoden aikana lähes 6 900, mikä oli yli 1 400 edellistä vuotta enemmän. Kasvavaa ilmoitusmäärää selittää osaltaan digitalisaation kehitys ja organisaatioiden lisääntynyt tietoisuus ilmoitusvelvollisuudestaan. Suurin osa ilmoituksista tulee säännellyiltä toimialoilta, kuten sosiaali- ja terveydenhuollosta, finanssisektorilta ja telealalta. Ilmoitusten määrä on Suomessa korkea, mutta ei poikkeuksellisen suuri eurooppalaisiin verrokkimaihin nähden.

Myös EU-maiden rajat ylittävien asioiden määrä on kasvussa. Tulevina vuosina tietosuojavaltuutetun toimiston tehtävien ennakoidaan lisääntyvän esimerkiksi EU:n digi- ja datasäädöksistä tulevien uusien vastuiden myötä.

”Erityisesti tekoälyyn liittyvä keskustelu jatkui tiiviinä ja on pinnalla entistä enemmän myös vuonna 2024. On tärkeää huolehtia, että viranomaisten välinen yhteistyö tekoälyasetuksen valvonnassa on sujuvaa niin kansallisella kuin eurooppalaisella tasolla”, Talus sanoo.

Uudistukset sujuvoittivat toimintaa

Tietosuojavaltuutetun toimiston organisaatiorakenne uudistettiin keväällä 2023. Uudistus toi mukanaan muutoksia yksiköiden rakenteisiin ja valtuutettujen vastuualueisiin.

Toimintaa tehostettiin kehittämällä toimiston järjestelmiä, prosesseja ja palveluja. Uusi asianhallintajärjestelmä sujuvoittaa asioiden käsittelyä ja edistää tiedolla johtamista. Ilmoituslomakkeiden siirtyminen Valtorin tarjoamaan Turvalomake-palveluun puolestaan helpottaa tietoturvaloukkausten dokumentointia ja osoitusvelvollisuuden noudattamista organisaatioissa.

Tutustu toimintakertomukseen

Toimintakertomus on julkaistu verkkosivuillamme sähköisesti: Tietosuojavaltuutetun toimiston toimintakertomus 2023 (pdf)

Olemme koonneet verkkosivulle pääkohtia toimintakertomuksesta: Toimintakertomus 2023

Toimintakertomus ruotsiksi: Dataombudsmannens byrås verksamhetsberättelse 2023 (pdf)

Toimintakertomuksen tiivistelmä englanniksi: Annual Report of the Data Protection Ombudsman 2023 (pdf)

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6766

Tietosuojavaltuutetun toimiston viestintä: viestinta.tietosuoja(at)om.fi