Tietosuojavaltuutetun toimisto: valtionhallinnon pilvipalveluiden on täytettävä tietosuojavaatimukset

16.10.2025 13.29

Tiedote

Tietosuojavaltuutetun toimisto on arvioinut Valtion tieto- ja viestintätekniikkakeskus Valtorin, Digi- ja väestötietoviraston ja Verohallinnon menettelyjä pilvipalvelujen käytössä vuonna 2022. Selvityksessä havaittiin, että henkilötiedoille ei ollut varmistettu riittävää tietosuojaa, kun niitä siirrettiin Valtorin tarjoaman pilvipalvelun kautta Yhdysvaltoihin. Tällöin EU:lla ja Yhdysvalloilla ei ollut voimassa olevaa tiedonsiirtojärjestelyä. Selvitys oli osa laajempaa selontekoa, jossa tarkasteltiin noin sadan julkisen sektorin organisaation pilvipalvelujen käyttöä EU:ssa.

Selvitys koski organisaatioiden toimintaa vuoden 2022 helmi–huhtikuun ajan. Tänä aikana EU:lla ja Yhdysvalloilla ei ollut voimassa olevaa tietosuojakehystä, jonka perusteella tietoja olisi voitu siirtää turvallisesti. Siksi organisaatioilla oli velvollisuus varmistaa erilaisin lisäsuojatoimin, että vaadittu tietosuojan taso säilyi, kun henkilötietoja siirrettiin Yhdysvaltoihin.

Euroopan komissio hyväksyi heinäkuussa 2023 päätöksen Yhdysvaltojen tietosuojan riittävästä tasosta. Tällä hetkellä henkilötietoja voidaan sen nojalla siirtää niille yhdysvaltalaisille yrityksille, jotka ovat sitoutuneet EU:n ja Yhdysvaltojen tietosuojakehyksessä sovittuihin suojatoimiin.

Julkisen sektorin toimijoiden tulee huolehtia riittävästä tietosuojasta henkilötietojen siirroissa

Tietosuojavaltuutetun toimisto havaitsi, että organisaatioilla oli ollut puutteita riittävän tietosuojan varmistamisessa pilvipalvelujen käytössä. Tietosuojavaltuutettu toteaa, että Valtorin olisi tullut huolehtia, että riittävä tietosuoja toteutuu sen julkishallinnolle tarjoamissa pilvipalveluissa. DVV:llä ja Verohallinnolla on lakisääteinen velvollisuus käyttää Valtorin tuottamia palveluja.

”Pilvipalvelujen luotettavuus ja lainmukaisuus korostuu erityisesti valtionhallinnossa, jossa käsitellään huomattavia määriä suomalaisten henkilötietoja. Valtionhallinnon toimijoilla ei ole juurikaan mahdollisuutta vaikuttaa käyttämiinsä pilvipalveluihin. Siksi on erityisen tärkeää, että palveluntarjoaja pitää huolta niiden lainmukaisuudesta”, tietosuojavaltuutettu Anu Talus toteaa.

Valtorille annettiin huomautus tietosuojapuutteista. Myös DVV sai huomautuksen, sillä se oli laiminlyönyt velvollisuutensa varmistaa, että tiedonsiirroille taataan riittävä suoja. Verohallinnolle ei annettu huomautusta, sillä se oli selvityksen perusteella pyrkinyt huomioimaan tietosuojavaatimukset ottamalla käyttöön erilaisia täydentäviä suojatoimia. Nekään eivät kuitenkaan olleet täysin paikanneet puutteita.

Tietosuojavaltuutetun toimiston päätökset ovat osa eurooppalaisten tietosuojaviranomaisten yhteistä selvitystä, jossa arvioitiin pilvipalveluiden käyttöä muun muassa terveydenhuollon, rahoituksen, verotuksen, koulutuksen ja IT-palvelujen toimialoilla. Valtori, Digi- ja väestötietovirasto (DVV) ja Verohallinto valikoituivat Suomessa selvityksen kohteeksi, sillä ne käsittelevät merkittäviä määriä kansalaisten henkilötietoja.

Syyskuussa 2025 antamassaan päätöksessä T-553/23 EU:n yleisten asioiden tuomioistuin totesi nykyisen EU:n ja Yhdysvaltojen tiedonsiirtokehyksen olevan edelleen asianmukainen.

Tietosuojavaltuutetun toimiston päätökset eivät ole vielä lainvoimaisia ja niistä voi valittaa hallinto-oikeuteen.

Lisätietoja:

Tietosuojavaltuutettu Anu Talus, anu.talus(at)om.fi, puh. 029 566 6776

Tiedote 15.2.2022: Tietosuojavaltuutetun toimisto käynnistää selvityksen julkisen sektorin pilvipalvelujen käytöstä osana Euroopan valvontaviranomaisten yhteistä toimenpidettä

Tiedote 19.1.2023: Euroopan tietosuojaneuvosto julkaisi suosituksia julkisen sektorin pilvipalvelujen käytöstä

Lisätietoa kansainvälisistä tiedonsiirroista tietosuojan riittävyyspäätöksen perusteella verkkosivuillamme

Usein kysyttyä Yhdysvaltojen tietosuojan riittävyyspäätöksestä verkkosivuillamme

Euroopan unionin yleisen tuomioistuimen ratkaisu asiassa T-553/23 (curia.europa.eu)