Toimintakertomus 2019

Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka valvoo tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista.

Tietosuojavaltuutetun toimisto edistää tietoisuutta henkilötietojen käsittelyyn liittyvistä oikeuksista ja velvollisuuksista, määrää tarvittaessa hallinnollisia seuraamuksia EU:n yleisen tietosuoja-asetuksen rikkomisesta, tekee selvityksiä ja tarkastuksia sekä antaa lausuntoja lainsäädännöllisistä ja hallinnollisista uudistuksista. Tietosuojavaltuutettu tekee yhteistyötä muiden valtioiden tietosuojaviranomaisten kanssa ja edustaa Suomea Euroopan tietosuojaneuvostossa.

Vuonna 2019 tietosuojavaltuutettuna toimi Reijo Aarnio ja apulaistietosuojavaltuutettuina Jari Råman sekä Anu Talus. Tietosuojavaltuutetun ja apulaistietosuojavaltuutetut nimittää valtioneuvosto viiden vuoden toimikausiksi.

Tietosuojavaltuutettu Reijo Aarnio: Uudistusten vuosi 2019

Tietosuojavaltuutettu Reijo Aarnio Tietosuojaviranomaisen tehtävistä ja toimivallasta säädetään EU:n yleisessä tietosuoja-asetuksessa ((EU) 2016/679) ja rikosasioiden tietosuojadirektiivissä ((EU) 2016/680). Vuoden 2019 alussa voimaan tullut kansallinen tietosuojalaki (1050/2018) täydentää tietosuoja-asetusta ja samaan aikaan voimaan tulleella rikosasioiden tietosuojalailla (1054/2018) pannaan täytäntöön tietosuojadirektiivi varmistaen, että tietosuojavaltuutetun lainvalvontatoimivalta on perustuslain edellyttämällä tavalla kattava. Lisäksi kansallisessa tietosuojalaissa säädetään seikoista, jotka tietosuoja-asetus jättää kansallisen liikkumavaran piiriin.

Pitkään valmisteltu tiedustelulainsäädäntö tuli voimaan kesällä 2019 ja tiedusteluvalvontavaltuutettu aloitti itsenäisen työskentelynsä. Eduskuntaan perustettiin uusi tiedusteluvalvontavaliokunta, jonka jäsenistä tietosuojavaltuutettu teki eduskunnan työjärjestyksen edellyttämät selvitykset ennen valiokunnan työn käynnistymistä. Tiedusteluvalvontavaltuutettu ja tietosuojavaltuutettu sopivat lisäksi yhteistoiminnasta tehokkaan lainvalvontatehtävän suorittamiseksi.

Toimintavuoden aikana, erityisesti Suomen puheenjohtajakaudella, pyrittiin edistämään myös sähköisen viestinnän tietosuoja-asetusta (ePrivacy Regulation). Työ jäi kuitenkin edelleen kesken ja siirtyi seuraavan puheenjohtajamaan vastuulle. Toisaalta EU:ssa hyväksyttiin digitaalisen sisällön ja digitaalisten palvelujen toimittamista koskeviin sopimuksiin liittyvistä seikoista annettu direktiivi ((EU) 2019/770). Direktiivin mukaan digitaalisia palveluita maksetaan rahan lisäksi myös henkilötiedoilla.

Uusi organisaatio tukemaan asiakaspalvelulähtöistä toimintatapaa

Vireille tulleet asiamäärät jatkoivat kasvuaan. Suuren osan tästä kasvusta aiheuttivat tietoturvaloukkausilmoitukset, jotka edustavat noin kolmannesta kaikista asioista. Tietosuojauudistus merkitsi huomattavaa haastetta tietosuojavaltuutetun toimiston palvelukyvylle. Syynä tähän on asiamäärien kasvun lisäksi usein myös niiden yhteiseurooppalainen käsittelytapa.

Tietosuojavaltuutetun toimistossa uudistettiin työjärjestys tukemaan uutta asiakaspalvelulähtöistä organisaatiota. Toimistoon muodostettiin kolme asiakaspalveluryhmää, joiden vetäjinä toimivat molemmat apulaistietosuojavaltuutetut ja tietosuojavaltuutettu. Lisäksi toimistossa on horisontaalisia asiakaspalvelun kehittämisryhmiä, joiden avulla pyritään varmistamaan yhdenmukainen ratkaisukäytäntö ja asiakaspalveluprosessien tehokas toimivuus. Henkilöstön osaamiseen ja jaksamiseen kiinnitettiin paljon huomiota. Apulaistietosuojavaltuutettujen aloitettua työnsä tuli toimiston seuraamuskollegio toimivaltaiseksi. Toimintavuoden aikana ei kuitenkaan vielä jouduttu asettamaan hallinnollisia seuraamusmaksuja.

Toimiston viestintää kehitettiin edelleen; puhelinneuvonta uudistettiin, uutiskirjetoiminta aloitettiin ja tietosuojavaltuutettujen ratkaisuja alettiin viedä Finlexin päätöskokoelmaan. Tietosuojavaltuutetun toimiston toimintakertomus esiteltiin ja käsiteltiin eduskunnassa.

Eurooppalainen yhteistyö kuormitti huomattavasti toimiston resursseja. Asetuksen tulkintaan liittyvissä kysymyksissä ylintä ratkaisuvaltaa käyttävä Euroopan tietosuojaneuvosto kokoontui kuukausittain päätöksiä tekevään täysistuntoon. Neuvostolla on lisäksi kaksitoista alatyöryhmää, joissa kaikissa tietosuojavaltuutetun toimisto oli edustettuna.

Tekoäly ja profilointi kuumina kysymyksinä

Toimintavuoden aikana tekoäly, algoritmit ja profilointi nousivat korkealle yhteiskunnallisella agendalla. Olin kuultavana eduskunnassa, kun siellä käsiteltiin valtioneuvoston selontekoa tietopolitiikasta ja tekoälystä. Kansallista tekoälyohjelmaa Auroraa taas pohdittiin valtiovarainministeriön asettamassa valmisteluryhmässä. Sittemmin rauenneessa sote-uudistuksessa oli tarkoituksena laskea kullekin kansalaiselle erityinen kapitaatiokorvauksen maksuun liittyvä ennuste, joka olisi perustunut profilointiin. Tästäkin aiheesta olin useita kertoja kuultavana eduskunnan perustuslakivaliokunnassa sekä sosiaali- ja terveysvaliokunnassa. Eduskuntaa pohditutti erityisesti profiloinnin ja automatisoitujen yksittäispäätösten välinen suhde. Myös eräiden muiden hallituksen esitysten kohdalla erityisesti perustuslakivaliokunta joutui pohtimaan algoritmien käyttöä paitsi tietosuojan myös yleisemmin valtiosääntöoikeudelliselta kannalta.

Henkilötietojen käsittelyssä kysymys yhteisrekisterinpitäjyydestä aiheutti pohdintaa usealla toimialalla ja lakien valmistelussa. Monelta osin tosiasiallista toimintaa vastaavat ratkaisut löydettiin. Euroopan tietosuojaneuvosto valmisteli vuoden aikana ohjeistusta selventämään vastuiden jakautumista.

Euroopan unionin komissio toteutti Euroopan parlamentin vaaleja varten erityisen vaalivaikuttamisen vastaisen ohjelman. Suomessa oikeusministeriö, valtioneuvoston kanslia ja turvallisuuskomitea käynnistivät koulutushankkeen, jonka tarkoituksena oli lisätä tietoisuutta vaalivaikuttamisesta. Tässä hankkeessa tietosuojavaltuutetun toimisto osallistui muun muassa puolueiden edustajien kouluttamiseen, sillä vaalivaikuttamiseen liittyy tyypillisesti myös henkilötietojen käsittelyä ja profilointia.

Tietosuojavaltuutetun toimisto saavutti pääosin hyvin sille sovitut tulostavoitteet. Kuitenkin useiden asiaryhmien käsittelyajat venyivät huomattavan pitkiksi, osin myös niiden ylikansallisesta käsittelytavasta johtuen. Toimistossa on vuoden 2020 alussa käynnistetty projekti asian kuntoon saattamiseksi.

Reijo Aarnio
tietosuojavaltuutettu (31.10.2020 asti)

Lue lisää:
Apulaistietosuojavaltuutettu Anu Talus: Kansainvälisen yhteistyön merkitys kasvaa
Apulaistietosuojavaltuutettu Jari Råman: Sisäiseen turvallisuuteen liittyvät asiat painopisteenä
Tietosuojatyön painopisteitä
Henkilöstö ja talous
Tietosuojavaltuutetun toimiston toimintakertomus 2019 (pdf)