Tietosuojatyön painopisteitä

Rekisteröidyn tietosuojaoikeudet

Rekisteröidyn oikeudet määritellään EU:n yleisen tietosuoja-asetuksen kolmannessa luvussa ja rikosasioiden tietosuojalain neljännessä luvussa. Rekisteröityjen oikeuksia ovat esimerkiksi oikeus tietojen tarkastamiseen, oikaisemiseen ja poistamiseen sekä oikeus olla joutumatta automaattisen päätöksenteon kohteeksi. Nämä oikeudet ovat rekisteröidyn työkalupakki, jonka avulla rekisteröity voi vaikuttaa siihen, miten häntä koskevia tietoja käsitellään.

Tietosuojavaltuutetun toimiston työssä rekisteröidyn oikeudet näkyvät kahdella tavalla. Toimisto käsittelee rekisteröidyiltä tulleet kantelut ja ilmiannot tapauksissa, joissa henkilötietoja epäillään käsiteltävän tietosuojasäädösten vastaisesti. Lisäksi toimisto tuottaa ennakoivaa ohjaus- ja koulutusmateriaalia sekä vastaa erilaisiin rekisteröidyiltä tuleviin kyselyihin. Erityisesti toimiston verkkosivut sekä puhelinneuvonta ovat tässä työssä tärkeitä kanavia.

Vuoden 2019 aikana toiminnan painopisteenä on lisäksi ollut vireille tulevien asioiden yhtenäisten käsittely- ja ratkaisukäytäntöjen vahvistaminen niin toimiston sisällä kuin osana Euroopan tietosuojaneuvoston harmonisointityötä.

Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.

Rekisteröity on henkilö, jota henkilötieto koskee.

Rekisterinpitäjäksi kutsutaan henkilöä, yritystä, viranomaista tai yhteisöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelijäksi kutsutaan rekisterinpitäjän ulkopuolista tahoa, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

Rekisteröidyllä on oikeus

  • saada tietoa henkilötietojensa käsittelystä
  • saada pääsy tietoihin
  • oikaista tietoja
  • poistaa tiedot ja tulla unohdetuksi
  • rajoittaa tietojen käsittelyä
  • siirtää tiedot järjestelmästä toiseen
  • vastustaa tietojen käsittelyä
  • olla joutumatta automaattisen päätöksenteon kohteeksi
  • saada apua tietosuojaviranomaiselta.

Rekisteröity ei voi käyttää kaikkia oikeuksia kaikissa tilanteissa. Oikeuksien käyttöön vaikuttaa esimerkiksi se, millä perusteella henkilötietoja käsitellään.

Tavoitteena tietosuojavastaavien työn tukeminen

Tietosuojavastaavat ovat sisäisiä asiantuntijoita, jotka seuraavat organisaationsa henkilötietojen käsittelyä ja auttavat tietosuojasäännösten noudattamisessa. He ovat myös tärkeitä valvontaviranomaisen ja rekisteröityjen yhteyshenkilöitä tietosuoja-asioissa.

Vuoden 2019 aikana tietosuojavaltuutetun toimisto lisäsi verkkosivuilleen vastauksia yleisimpiin tietosuojavastaaviin liittyviin kysymyksiin. Maaliskuussa tietosuojavaltuutetun toimisto lähetti ensimmäistä kertaa uutiskirjeen, joka on suunnattu erityisesti tietosuojavastaavana toimiville mutta myös muille tietosuoja-asioista kiinnostuneille. Tietosuojavaltuutetun toimiston uutiskirje ilmestyy noin kuusi kertaa vuodessa. Tietosuojavastaaville suunnattua viestintää ja yhteistyötä pyritään edelleen lisäämään tulevina vuosina.

Organisaation on nimitettävä tietosuojavastaava, jos se

  • käsittelee laajamittaisesti arkaluontoisia tietoja
  • seuraa ihmisiä laajamittaisesti, säännöllisesti ja järjestelmällisesti
  • on julkishallinnon toimija, joka ei ole tuomioistuin.

Vuoden 2019 loppuun mennessä tietosuojavaltuutetun toimistolle oli ilmoitettu 1828 tietosuojavastaavaa. Organisaatioilla on lakisääteinen velvollisuus ilmoittaa tietosuojavastaavansa tietosuojavaltuutetun toimistolle.

Tietoturvaloukkaukset suurin asiaryhmä

Tietoturvaloukkausilmoitukset muodostivat vuonna 2019 tietosuojavaltuutetun toimistoon vireille tulleiden asioiden suurimman yksittäisen ryhmän. Vuoden aikana ilmoitusten käsittelyprosessia on kehitetty ja tehostettu muun muassa ottamalla käyttöön vakiovastaus niiden tietoturvaloukkausten osalta, jotka todennäköisesti eivät johda jatkotoimenpiteisiin. Myös lisäselvityspyyntöjen tekemistä on kehitetty Office 365 -tietoturvaloukkausten osalta. Tämäntyyppiset loukkaukset muodostavat merkittävän osan vakavista tietosuojavaltuutetun toimistolle ilmoitetuista tietoturvaloukkauksista.

Tietoturvaloukkauksista on tunnistettavissa tiettyjä yhteisiä piirteitä. Usein rekisterinpitäjien on vaikea todentaa, mitä henkilötietoja on päätynyt ulkopuolisille. Myös siinä, miten nopeasti rekisterinpitäjä havaitsee tietoturvaloukkauksen, on kehitettävää. Lisäksi erityisesti pienten organisaatioiden kohdalla yleisessä tietoteknisessä kyvykkyydessä voi olla puutteita.

Tietosuojavaltuutetun toimistolle ilmoitettiin 3839 tietoturvaloukkausta vuonna 2019.

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa tietosuojavaltuutetun toimistolle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Ilmoitusvelvollisuus alkoi toukokuussa 2018.

Rajatylittävien asioiden käsittely

Rajat ylittävällä käsittelyllä tarkoitetaan henkilötietojen käsittelyä, joka

  • suoritetaan useammassa kuin yhdessä EU:n jäsenvaltiossa sijaitsevassa toimipaikassa ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon tai
  • suoritetaan EU:ssa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa, mutta käsittely vaikuttaa merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin.

Kun henkilötietojen käsittely on rajat ylittävää, Euroopan tietosuojaviranomaiset valvovat henkilötietojen käsittelyä yhteistyössä.

Vuoden 2019 aikana tietosuojavaltuutetun toimistossa kehitettiin edellisenä vuonna luotuja prosesseja rajatylittävien asioiden käsittelemiseksi. Tietosuojavaltuutetun toimiston sisäisissä prosessiklinikoissa pyrittiin varmistamaan, että rajatylittävien asioiden käsittely etenee sujuvasti ja yhdenmukaisesti. Toimintatapoja ja asioiden käsittelyä kehitettiin vastaamaan Euroopan tietosuojaneuvostosta tulleita uusia ohjeita.

EU:n tietosuojaviranomaiset ovat ratkaisseet rajatylittäviä asioita yhteistyössä siitä asti, kun EU:n yleistä tietosuoja-asetusta alettiin soveltaa toukokuussa 2018.

Vuoden 2019 aikana vireille tulleista rajatylittävistä asioista tietosuojavaltuutetun toimisto määritettiin johtavaksi valvontaviranomaiseksi kahdessa asiassa ja osallistuvaksi valvontaviranomaiseksi 107 asiassa.  

Henkilötietojen siirrot ulkomaille

Henkilötietojen siirto Euroopan talousalueen ulkopuolelle edellyttää aina siirtoperustetta ja muiden tietosuojalainsäädännön vaatimusten noudattamista. EU:n yleisen tietosuoja-asetuksen myötä siirtoperusteiden määrä kasvoi ja osaa aiemmin käytössä olleista siirtoperusteista päivitettiin.

Tietosuojavaltuutetun toimisto osallistui vuonna 2019 aktiivisesti Euroopan tietosuojaneuvoston kansainvälisiä siirtoja koskevaan alaryhmätyöhön. Alatyöryhmän tavoitteena on selkeyttää siirron edellytyksiä ja antaa ohjeita uusista EU:n yleisen tietosuoja-asetuksen mukaisista siirtoperusteista. Myös tietosuojavaltuutetun toimiston verkkosivuille päivitettiin vuoden aikana ohjeita siitä, millä edellytyksillä henkilötietoja voidaan siirtää Euroopan talousalueen ulkopuolelle.

Korjaavat toimivaltuudet käyttöön

Tietosuoja-asetuksen myötä tietosuojavaltuutetun toimistolla on mahdollisuus käyttää eriasteisia korjaavia toimivaltuuksia. Vuoden 2019 aikana toimisto antoi rekisterinpitäjille määräyksiä, jotka kohdistuivat rekisteröidyn oikeuksien toteuttamiseen ja käsittelytoimien muuttamiseen sekä tietoturvaloukkauksesta ilmoittamiseen rekisteröidyille. Lisäksi annettiin huomautuksia puutteista henkilötietojen käsittelyssä.

Hallinnollisten seuraamusmaksujen määräämisestä vastaa seuraamuskollegio, jonka muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Vuoden 2019 aikana hallinnollisia seuraamusmaksuja ei kuitenkaan määrätty.

Tietosuojavaltuutetun toimiston yhtenä painopistealueena oli korjaaviin toimivaltuuksiin liittyvien asioiden käsittelyn ja seuraamuskäytännön harmonisointi. Tätä varten toimistoon perustettiin työryhmä, joka laatii sisäistä ohjeistusta ja tukee yksittäisten esittelijöiden työtä.

Tietosuojavaltuutetun toimisto antoi vuonna 2019
•    kolme määräystä saattaa henkilötietojen käsittelytoimet tietosuoja-asetuksen mukaisiksi
•    39 määräystä ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisteröidylle
•    41 huomautusta tietosuoja-asetuksen vastaisista käsittelytoimista.

Lue lisää:
Tietosuojavaltuutettu Reijo Aarnio: Uudistusten vuosi 2019
Apulaistietosuojavaltuutettu Anu Talus: Kansainvälisen yhteistyön merkitys kasvaa
Apulaistietosuojavaltuutettu Jari Råman: Sisäiseen turvallisuuteen liittyvät asiat painopisteenä
Henkilöstö ja talous
Tietosuojavaltuutetun toimiston toimintakertomus 2019 (pdf)