Tietosuojavaltuutetun toimiston toimintakertomus 2025: Tekoäly ja maailmanpolitiikka näkyivät tietosuojatyössä
Tietosuojavaltuutetun toimiston toimintakertomuksessa kuvataan vuoden tärkeimpiä tietosuojatapahtumia, valvontatyötä eri toimialoilla ja toiminnan tunnuslukuja. Viime vuotta leimasivat tekoälyn käytön lisääntyminen, uudistuva lainsäädäntökenttä ja EU:n kilpailukykyä koskeva keskustelu.
Tietosuojalainsäädäntö uudistuu sekä EU:ssa että kansallisesti. Tietosuojavaltuutetun toimistolle on tullut uusia tehtäviä erityisesti tekoälyn valvonnassa, ja tehtäväkenttä laajentuu edelleen tulevina vuosina.
”Toimintaympäristömme on nyt monella tavalla murroksessa. Tekoäly on nopeasti muuttanut digitaalista maailmaa, ja geopoliittiset käänteet ovat nostaneet vahvasti keskusteluun EU:n kilpailukyvyn ja datasuvereniteetin. Nykyisessä maailmantilanteessa on entistäkin tärkeämpää, että dataan liittyvän määräysvallan merkitys tiedostetaan. Tietosuojalla tuetaan datasuvereniteettia. Erityisesti julkisella sektorilla on tärkeää tunnistaa digitaaliseen riippuvuuteen liittyvät riskit ja kehittää aktiivisesti myös tekoälyratkaisuja”, tietosuojavaltuutettu Anu Talus toteaa.
Asiamäärä kasvoi, tietoturvaloukkausten määrä edelleen korkea
Tietosuojavaltuutetun toimiston asiamäärä kääntyi huomattavaan kasvuun vuonna 2025. Asioita tuli vireille noin 15 400, mikä oli yli 2 000 edellistä vuotta enemmän. Asioita myös käsiteltiin ennätysmäärä, yli 15 030 kappaletta.
Suuri osa asiamäärän kasvusta johtui organisaatioiden tietosuojavastaavien yhteystietoluettelon päivittämisestä. Ilmoituksia tietosuojavastaavista vastaanotettiin sen vuoksi useita satoja tavallista enemmän.
Ilmoitukset henkilötietoihin kohdistuneista tietoturvaloukkauksista ovat toimiston suurin asiaryhmä. Ilmoitusten määrä kasvaa vuosittain, mutta niiden suhteellinen osuus kaikista vireille tulleista asioista kuitenkin laski vuonna 2025. Organisaatiot ilmoittivat tietosuojavaltuutetulle vuoden aikana yli 7 350 tietoturvaloukkausta. Vuodesta 2018 lähtien loukkauksia on ilmoitettu yhteensä yli 40 000.
Tietoturvaloukkauksissa korostui organisaatioiden työntekijöiden M365-käyttäjätileihin kohdistunut tietojenkalastelu. Uutena ilmiönä havaittiin tekoälytyökaluihin liittyvät loukkaukset. Myös urkintatapauksia, joissa henkilötietoja on katsottu ilman työtehtäviin liittyvää perustetta, ilmoitettiin runsaasti.
Yhteensä kolmelle yritykselle määrättiin hallinnolliset seuraamusmaksut tietosuojarikkomuksista. Seuraamusmaksut määrättiin ensimmäistä kertaa henkilötietojen turvallisen käsittelyn laiminlyönneistä muun muassa järjestelmien muutosprosessin hallinnassa.
Toimintaa tehostettiin organisaatiouudistuksella
Tietosuojavaltuutetun toimiston resurssit vahvistuivat, kun toimistolle myönnettiin 2,35 miljoonan euron määrärahalisäys lakisääteisten tehtävien hoitamiseen vuodesta 2026 lukien. Vuoden 2025 aikana valmisteltiin uutta organisaatiorakennetta, jolla tehostetaan resurssien tarkoituksenmukaista kohdentamista ja esihenkilötyötä.
Vuoden aikana kehitettiin myös tietoturvaloukkausilmoitusten käsittelyä, ja organisaatioiden käyttöön julkaistiin uudistettu ilmoituslomake. Tavoitteena on tulevaisuudessa tehostaa ilmoitusten käsittelyä automaatiolla.
Lisätietoja:
Tietosuojavaltuutetun toimiston toimintakertomus vuodelta 2025 (pdf)
Tietosuojavaltuutettu Anu Talus, puh. 029 566 6766, anu.talus(at)om.fi
Tietosuojavaltuutetun toimiston viestintä: viestinta.tietosuoja(at)om.fi
Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka valvoo henkilötietojen käsittelyä koskevan lainsäädännön noudattamista. Toimistossa työskentelee noin 65 asiantuntijaa.