Toimintakertomus 2018

Tietosuojavaltuutetun katsaus

Tietosuojavaltuutetun toimiston 31. toimintavuonna käännettiin kolmannen kerran tietosuojan historian lehteä. EU:n yleisen tietosuoja-asetuksen (2016/679) soveltaminen alkoi 25. toukokuuta. Samalla uudistettiin EU:n tietosuojadirektiivillä (2016/680) rikosasioiden tietosuojalainsäädäntö. Tämä direktiivi edellytti myös kansallisia täytäntöönpanotoimia (rikosasioiden tietosuojalaki 1054/2018).

Myös tietosuoja-asetus sisältää paljon direktiivinomaisia, kansallisesti täytäntöönpantavia piirteitä. Niinpä oikeusministeriön johdolla valmisteltiin kansallinen tietosuojalaki (1050/2018), joka tuli voimaan 1.1.2019 ja korvasi vanhan henkilötietolain sekä siihen liittyneen asetuksen. Samaan yhteyteen liittyi myös vilkas kansallisen erityislainsäädännön uusiminen. Tietosuojavaltuutettu oli eduskunnan kuultavana toimintavuoden aikana yhteensä 93 kertaa. Erityisen merkillepantavaa oli eduskunnan perustuslakivaliokunnan työ. Se linjasi uudelleen henkilötietojen suojasta säätämistä koskevaa käytäntöään ja katsoi tietosuoja-asetuksen vastaavan pääosin perustuslain 10 §:n edellyttämää tietosuojan tasoa huomioiden samalla riskiperusteisen lähestymistavan.

Uusia toimivaltuuksia ja tehtäviä

Tietosuoja-asetus toi mukanaan paljon uudistuksia. Rekisteröityjen oikeuden paranivat olennaisesti, rekisterinpitäjille tuli uusia velvoitteita ja digitaalisilla sisämarkkinoilla toimimiseen mahdollisuudet paranivat. Myös lainvalvontaviranomaisten työ ja siihen liittyvät toimivallat kokivat kaikkien aikojen mullistuksen.

Eräs tietosuojan historian vaihe päättyi, kun itsenäinen, tietosuojan osalta ylintä päätösvaltaa käyttänyt tietosuojalautakunta lopetti työnsä. Euroopan unionissa puolestaan aloitti toukokuussa toimintansa tietosuojalautakunnan eräänlainen vastine, Euroopan tietosuojaneuvosto (EDPB). Sen toiminta lukuisine alatyöryhmineen käynnistyi onnistuneesti, ja neuvostolle laadittiin ja hyväksyttiin työohjelma vuosille 2019–2020. Lähitulevaisuudessa tietosuojaneuvoston toimintakyky joutunee kuitenkin koetukselle kasvavien asiamäärien johdosta.

Syntyi myös uusi ammattikunta, tietosuojavastaavat. Heidät toivotamme ilolla tervetulleiksi auttamaan rekisteröityjä ja rekisterinpitäjiä.

Vuonna 2018 vireille tuli 2,5-kertainen määrä asioita edelliseen vuoteen verrattuna. Myös ratkaistujen asioiden määrä kaksinkertaistui.Jouduimme edelleen toimimaan osittain ja osan toimintavuotta kahta lainsäädäntöä soveltaen. Tilanne tietysti haastoi olennaisesti toimistomme palvelukyvyn. Samoin toimintavuodelle kuvaavaa oli räjähdysmäisesti kasvanut asiamäärä. Tietosuojavaltuutetun toimistoon kirjattiin toimintavuonna vireille tulleeksi 9 617 asiaa, kun niitä edellisenä vuonna oli 3 957. Kokonaan uusia tietosuoja-asetukseen perustuvia asiaryhmiä olivat tietosuojavastaavia koskeneet ilmoitukset, tietoturvaloukkausilmoitukset ja useita EU-maita koskevat eli niin sanotut rajat ylittävät asiat.

Lisäresursseja tarvitaan

Tietosuojavaltuutetun toimistossa pyrimme sopeuttamaan toimintaamme vuosisadan tietosuojauudistukseen osaamisen hallintaa kehittämällä. Kuvasimme lähes kaikki uusiin tehtäviimme perustuvat prosessit. Uusimme myös toiminnanohjausjärjestelmämme. Toimiston henkilöstö teki niukoilla resursseillaan aivan uskomattoman valtavan työn. Lämmin kiitos siitä kaikille työtovereilleni.

Ratkaistujen asioiden keskimääräinen käsittelyaika oli 38,4 päivää vuonna 2018. Se oli selkeästi alempi kuin edellisenä vuonna.Onneksi saimme käyttöömme lisäresurssejakin. Uskon, että substanssiin liittyvät valmiutemme ovat eurooppalaista huipputasoa! Vuoden lopulla käynnistyi kahden apulaistietosuojavaltuutetun rekrytointi. Kun he aloittavat viroissaan, saamme kansallisen tietosuojalain edellyttämän kollegion toimintakykyiseksi ja näin pääsemme käyttämään tietosuoja-asetuksen suomia toimivaltuuksiamme. Kollegio on tietosuojavaltuutetun toimiston sisäinen, monijäseninen elin, joka tekee päätökset tietosuojalainsäädännön hallinnollisista seuraamuksista.

Myös tiedustelulainsäädännön säätäminen oli toimintavuoden aikana huomattavan kiinnostuksen kohteena. Meidän osallemme siitä koitui lähinnä lainvalvontaa koskenut osa. Moninaisten ja osin kuluvalle vuodelle ulottuneiden vaiheiden jälkeen kyseinen lakipaketti hyväksyttiin. Näin ollen tietosuojavaltuutetun toimiston yhteyteen tullaan perustamaan itsenäinen tiedusteluvalvontavaltuutetun virka ja toimisto.

Tietosuoja kiinnostaa enemmän kuin koskaan

Tietosuojavaltuutetun aiempiinkin toimintavuosiin on sisältynyt runsaasti tapahtumia. Päättynyt vuosi oli kuitenkin oman kokemukseni mukaan aivan poikkeuksellinen kaikkiin muihin vuosiin verrattuna. Yhtäältä edellä kuvaamani uudistus ja toisaalta hallituksen toimet vaalikauden lähestyessä loppuaan selittävät toimintavuoden intensiivisyyttä. Myös median kiinnostus tietosuojaa kohtaan oli poikkeuksellisen runsasta.

Uutena ilmiönä ainakin itselleni tulivat markkinoille rynnineet lukuisat tietosuojan huippuasiantuntijat. Tietosuoja-asetuksen alku oli konsulttien kulta-aikaa. Valitettavasti rekisterinpitäjille tarjottu informaatio ei aina laadullisesti ollut riittävän hyvää. Uutta lainsäädäntöä ”markkinoitiin” näiden yrittäjien toimesta vahvasti sanktiot edellä. Se saattoi johtaa rekisterinpitäjien kääntymiseen sisäänpäin, kun tietosuoja-asetuksen tarkoituksena oli rohkaista elinkeinoelämää hakemaan kasvua digitaalisilta sisämarkkinoilta, joilla asetuksen myötä pätevät samat säännöt 510 miljoonan kuluttajan markkinoilla.

Tietosuoja on mahdollistaja ja menestystekijä. Alkaneen vaalivuoden 2019 lähestyessä huomattiin, että tietosuoja toimii yhtenä demokratian takeena. Cambridge Analytica -skandaali perustui pitkälti epäasialliseen profilointiin. Huomiomme kiinnittyi myös tekoälyyn. Digitalisaatio etenee ja palveluiden tuotanto halutaan saada nopeammaksi ja kustannustehokkaammaksi. Tietosuoja-asetuksen mukaan jäsenvaltion lainsäädännössä voidaan hyväksyä tekoälyn käyttö. Samalla on kuitenkin aina huolehdittava rekisteröityjen suojaksi tehtävistä toimista.

Reijo Aarnio

Reijo Aarnio
tietosuojavaltuutettu

Lue lisää:

Vireille tulleet ja käsitellyt asiat 2017 ja 2018
Vuoden 2018 tapahtumia
Tietosuojan trendit 2019
Euroopan tietosuojaneuvoston ohjeet
Euroopan tietosuojaneuvoston lausunnot
Tietosuojavaltuutetun toimiston lainsäädäntölausunnot
Tietosuojavaltuutetun toimiston toimintakertomus 2018 pdf-tiedostona