Toimintakertomus 2020

Tietosuojavaltuutetun toimisto turvaa ihmisten oikeuksia ja vapauksia henkilötietojen käsittelyssä

Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka valvoo tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista.

Tietosuojavaltuutetun toimisto edistää tietoisuutta henkilötietojen käsittelyyn liittyvistä oikeuksista ja velvollisuuksista, määrää tarvittaessa hallinnollisia seuraamuksia EU:n yleisen tietosuoja-asetuksen rikkomisesta, tekee selvityksiä ja tarkastuksia sekä antaa lausuntoja lainsäädännöllisistä ja hallinnollisista uudistuksista. Tietosuojavaltuutettu tekee yhteistyötä muiden valtioiden tietosuojaviranomaisten kanssa ja edustaa Suomea Euroopan tietosuojaneuvostossa.

Lokakuun 2020 loppuun saakka tietosuojavaltuutettuna toimi Reijo Aarnio. Anu Talus aloitti tietosuojavaltuutetun tehtävässä marraskuun alussa Aarnion siirryttyä eläkkeelle pitkäaikaisesta virastaan. Talus toimi ennen tietosuojavaltuutetun virkaan astumistaan apulaistietosuojavaltuutettuna. Toisena apulaistietosuojavaltuutettuna toimi Jari Råman. Tietosuojavaltuutetun ja apulaistietosuojavaltuutetut nimittää valtioneuvosto viiden vuoden toimikausiksi.

Tältä sivulta voit lukea toimintakertomuksen pääkohdat.

Toimintakertomukseen: Tietosuojavaltuutetun toimiston toimintakertomus 2020 (pdf)

Tietosuojavaltuutettu Anu Talus: Uudistusten vuosi 2020

Tietosuojavaltuutettu Anu Talus     Tammikuussa 2020 tietosuojavaltuutetun toimisto järjesti yhdessä Alma Talentin kanssa ensimmäisen tietosuojapäivän. Tapahtuma osoittautui menestykseksi, ja tavoitteena on vakiinnuttaa tietosuojapäivä jokavuotiseksi tapahtumaksi.

Tietosuojapäivä lienee viimeisiä tapahtumia, jossa myös kansainvälisten kollegojen tapaaminen oli mahdollista. Koronapandemia leimaisi vuotta niin meillä kuin muuallakin. Tietosuojavaltuutetun toimisto antoi ohjeistusta useissa koronaa koskevissa kysymyksissä verkkosivuillaan. Toimistomme muutti uusiin toimitiloihin koronakeväällä 2020, mikä sekin asetti omat haasteensa.

Vaikka korona-aika on koetellut yhteiskuntaa monin tavoin, oli ilahduttavaa havaita, että Suomessa henkilötietojen suojaa koskevat kysymykset otettiin etupainotteisesti huomioon koronatoimissa. Suomen koronakeskustelua on kuvailtu juridisoituneeksi, mutta tietosuojan näkökulmasta tämä oli yksinomaan positiivista. Myös Koronavilkku-sovellus onnistuttiin kehittämään tietosuojalainsäädännön raamit huomioiden.

Tietosuojavaltuutetun toimistoon vireille tulleiden asioiden määrä jatkoi kasvuaan. Vireille tulleiden asioiden määrä moninkertaistui yleisen tietosuoja-asetuksen soveltamisen alkaessa vuonna 2018 ja asioiden käsittely ruuhkautui. Vuoden 2020 alussa toimistossa ryhdyttiin systemaattiseen ruuhkanpurkuun. Ruuhkanpurku eteni suunnitelmien mukaisesti, mutta samanaikaisesti sisään tulevien asioiden määrä kasvoi edelleen. Vuonna 2020 vireille tuli 937 asiaa enemmän kuin sitä edeltävänä vuonna. Tietoturvaloukkausilmoitukset muodostivat vuoden 2020 aikana jo yli kolmasosan kaikista vireille tulleista asioista. Vuoden aikana alettiin myös kehittää ja tehostaa tietoturvaloukkausilmoitusten käsittelymenettelyä.

Toukokuussa 2020 tuli kuluneeksi kaksi vuotta yleisen tietosuoja-asetuksen soveltamisen alkamisesta ja Euroopan komissio julkaisi arviointinsa tietosuoja-asetuksen soveltamisesta. Komission raportin valmistelu osui sopivasti Suomen EU-puheenjohtajuuskaudelle. Raportissa todettiin, että suurin osa lainsäädäntöuudistuksen tavoitteista on saavutettu, ja että uusi lainsäädäntö on parantanut kansalaisten oikeuksia. Lainsäädännön yhdenmukaista soveltamista on raportin mukaan kuitenkin edelleen tehostettava.

Viime vuosi oli myös isojen päätösten aikaa. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi ensimmäiset hallinnolliset seuraamusmaksut tietosuojalainsäädännön rikkomuksista. Päätöksiä hallinnollista seuraamusmaksuista tehtiin kaiken kaikkiaan viisi. Näistä neljästä on valitettu hallinto-oikeuteen. Suurin seuraamuskollegion määräämä seuraamusmaksu oli suuruudeltaan 100 000 euroa.

Myös Euroopan Unionin tuomioistuin teki merkittäviä henkilötietojen suojaa koskevia päätöksiä vuoden aikana. Heinäkuussa Unionin tuomioistuin antoi ratkaisunsa niin kutsutussa Schrems II -asiassa (C-311/18). Päätöksellä kumottiin Privacy Shield -järjestely ja muutettiin kolmansiin maihin suuntautuvien tiedonsiirtojen raameja. Euroopan tietosuojaneuvosto teki puolestaan ensimmäisen sitovan päätöksensä kiistanratkaisumenettelyssä Twitteriä koskevassa asiassa. Irlannin valvontaviranomainen antoi kiistanratkaisupäätökseen perustuvan ratkaisunsa joulukuussa ja määräsi yritykselle 450 000 euron seuraamusmaksun.

Tietosuojasyksy jatkui varsin aktiivisissa merkeissä. Tietosuojavaltuutetun toimisto sai yhdessä TIEKE ry:n kanssa komissiolta rahoituksen pienille ja keskisuurille yrityksille suunnattavan tietosuojan tasoa mittaavan työkalun kehittämiseen. Hanke pyörähti käyntiin vuoden lopulla ja kestää noin kaksi vuotta.

Syksyllä vietettiin pitkäaikaisen tietosuojavaltuutetun Reijo Aarnion eläköitymisjuhlia.

Reijo Aarnion eläköityminen osui samoihin aikoihin kautta aikojen merkittävimmän suomalaisen tietoturvaloukkauksen kanssa. Psykoterapiakeskus Vastaamo teki tietosuojavaltuutetun toimistolle ilmoituksen tietoturvaloukkauksesta 21. lokakuuta 2020. Samassa yhteydessä keskusteluun nousi muitakin henkilötietojen suojaa koskevia kysymyksiä, kuten edellytykset, joiden puitteissa henkilötunnusta voi käsitellä.

Viime vuoden tapahtumia yhteen kootessani en voi välttyä ajatukselta, että vuosi on ollut täynnä merkittäviä muutoksia, isoja kehitysaskelia, tietosuojatapahtumia ja yllätyksiäkin. Ja niin on myös seuraava vuosi.

Apulaistietosuojavaltuutettu Jari Råman: Tarkastuksia korona-aikana ja kasvokuvien vertailuteknologiaan liittyviä kysymyksiä sisäisen turvallisuuden toimialueella

Apulaistietosuojavaltuutettu Jari Råman    Rikosasioiden tietosuojalain mukaisten toimivaltaisten viranomaisten henkilötietojen käsittelyä valvottiin vuonna 2020 ensimmäistä kertaa laaditun suunnitelman mukaisilla tarkastuksilla. Valvontatoimintaa väritti erityisesti kasvokuvien vertailuteknologian käytön laajentuminen. Tälle niin sanotulle sisäisen turvallisuuden toimialueelle kuuluvat valtionhallinnon henkilömäärältään suurimpien rekisterinpitäjien Puolustusvoimien ja poliisin lisäksi myös Tulli, Rajavartiolaitos, pelastustoimi, hätäkeskustoiminta, maahanmuuttohallinto sekä tuomioistuimet, Syyttäjälaitos ja Rikosseuraamuslaitos.

Tarkastukset ovat yksi menetelmä, jolla tietosuojavaltuutetun toimisto toteuttaa valvontatehtäväänsä. Ensimmäisen uuden muotoisen tarkastussuunnitelman toteuttaminen osoitti, että vaikka toiminta syö resursseja muista tietosuojavaltuutetun toimiston tehtävistä ja työllistää myös tarkastuksen kohteita, on sillä oma selkeä lisäarvonsa. Tarkastuksilla tehtiin hyviä havaintoja erityisesti henkilötietojen käsittelyä koskevien ohjeiden ja koulutuksen kehittämisestä osana osoitusvelvollisuutta sekä sisäisen laillisuusvalvonnan tehostamiseksi.

Tarkastuksissa ei ilmennyt tarvetta erillisten toimivaltuuksien käyttöön. Tarkastuskertomuksissa esitetyt havainnot on otettu vakavasti, ja korjaavien toimenpiteiden toteuttaminen osoittaa, että toimivaltaiset viranomaiset ovat ymmärtäneet hyvin tietosuojan kehittämisen tukevan niin toiminnan lainmukaisuuden kuin myös sen vaikuttavuuden kehittämistä. Erityistä vaikuttavuutta tarkastuksilla oli viranomaisten tekemiin uhka-arvioihin liittyvän henkilötietojen käsittelyn kehittämiseen.

Kasvokuvien vertailuteknologioiden käyttöön liittyvät kysymykset olivat edelleen esillä turvallisuusviranomaisten toiminnassa. Poliisi laajensi kasvokuvan vertailuteknologian käyttöä rikostorjunnassa tallennettuun kuvamateriaaliin, ja tietosuojavaltuutetun toimisto ohjasi poliisia lainmukaisiin menettelytapoihin ennakkokuulemisen yhteydessä. Voimassa oleva lainsäädäntö ei mahdollista reaaliaikaisen online-kasvojentunnistuksen käyttöä kuvavirrasta.

Myös Clearview AI -kasvojentunnistusteknologian käyttö herätti aiheellista huolta Euroopassa. Suomessa kyseiseen teknologiaan liittyvät ongelmat turvallisuusviranomaisten toiminnassa tulivat useista valvontatoimenpiteistä huolimatta esille vasta vuoden 2021 puolella, ja asian käsittely jatkuu tätä kirjoittaessa. Ruotsin asiaan liittyvä päätös on monella tavalla merkittävä. Rekisterinpitäjä on vastuussa, vaikka teknologiaa käytettäisiin ilman hyväksyntää – tietoisuus oikeista käytännöistä on rekisterinpitäjän vastuulla. Biometristen tietojen osalta lainmukaisten toimintatapojen varmistamisessa ja osoittamisessa on oltava erityisen huolellinen.

Toimialan lainsäädännön kehittämisessä puhutti edelleen automaattinen päätöksenteko. Maahanmuuttohallinnon henkilötietolaki hyväksyttiin ilman automaattiseen päätöksentekoon liittyviä säännöksiä johtuen lähinnä hallinnon yleislainsäädännön puutteista. Henkilötietojen käsittelyä koskevia periaatteita ja erityisesti automatisoituja yksittäispäätöksiä koskevaa sääntelyä voidaan teknologiaa neutraalisti soveltaa myös hallinnon automaattiseen päätöksentekoon. Oikeusministeriö valmistelikin arviomuistion ja perusti työryhmän valmistelemaan hallinnon automaattista päätöksentekoa koskevaa yleislainsäädäntöä. Työ toivottavasti etenee ripeästi ja automaattisen päätöksenteon kehittäminen hallinnossa pääsee etenemään hallitusti.

Korona-ajan haasteista huolimatta suunnitelman mukaiset tarkastukset pystyttiin pääosin toteuttamaan, vaikkakin osa poikkeusjärjestelyin. Kokemukset etätarkastuksista olivat pääosin positiivisia ja niitä tullaan käyttämään myös korona-ajan jälkeen.

Hyvien kokemusten perusteella tietosuojavaltuutetun toimisto tulee jatkossakin toteuttamaan sisäisen turvallisuuden viranomaisten tarkastuksia uuden mallin mukaisesti.

Tietosuojatyön painopisteitä

Tietosuojavaltuutetun toimisto määräsi ensimmäiset hallinnolliset seuraamusmaksut
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi ensimmäiset hallinnolliset seuraamusmaksut tietosuojalainsäädännön rikkomuksista toukokuussa 2020. Kollegion tehtävänä on tietosuoja-asetuksen mukaisten seuraamusmaksujen määrääminen rekisterinpitäjälle tai henkilötietojen käsittelijälle. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Tietosuojavaltuutettu toimii kollegion puheenjohtajana.

Hallinnolliset seuraamusmaksut ovat yksi korjaavista toimivaltuuksista, joita tietosuojavaltuutetun toimistolla on mahdollisuus käyttää. Seuraamusmaksu voidaan määrätä muiden korjaavien toimenpiteiden lisäksi tai niiden sijasta. Seuraamuksen on oltava varoittava, tehokas ja oikeasuhtainen, ja se voi olla enintään 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa. Seuraamusmaksua ei voi määrätä julkishallinnon organisaatioille, kuten valtiolle ja valtion liikelaitoksille, kunnille ja seurakunnille.

Vuoden 2020 aikana seuraamuskollegio määräsi hallinnolliset seuraamusmaksut yhteensä viidelle yritykselle tietosuojalainsäädännön rikkomisesta.

  • Posti Oy:lle määrättiin 100 000 euron suuruinen seuraamusmaksu puutteista muuttoilmoituksen tehneiden informoinnissa. Yrityksen olisi pitänyt kertoa muuttoilmoituksen tekemisen yhteydessä selkeästi, että asiakkailla on oikeus vastustaa henkilötietojensa käsittelyä ja tietojensa luovuttamista suoramarkkinointitarkoituksiin. Rikkomus koski 161 000 asiakasta pelkästään vuoden 2019 aikana.
  • Kymen Vesi Oy:lle määrättiin 16 000 euron suuruinen seuraamusmaksu työntekijöiden sijaintitietojen käsittelyä koskevan vaikutustenarvioinnin tekemättä jättämisestä. Vaikutustenarviointi olisi tullut tehdä ennen kuin yritys alkoi käsitellä sijaintitietoja, joita se keräsi paikantamalla ajoneuvoja ajotietojärjestelmän avulla.
  • 12 500 euron suuruinen seuraamusmaksu määrättiin yritykselle, joka keräsi työnhakijoiden henkilötietoja tarpeettoman laajasti. Yritys oli kysynyt työnhakijoilta työsuhteen kannalta tarpeettomia tietoja esimerkiksi terveydentilasta ja perhesuhteista.
  • Taksi Helsingille määrättiin 72 000 euron suuruinen seuraamusmaksu useista puutteista henkilötietojen käsittelyssä. Yritys ei muun muassa ollut arvioinut kameravalvontajärjestelmäänsä liittyvän henkilötietojen käsittelyn lainmukaisuutta tai informoinut asiakkaita äänen tallennuksesta yleisen tietosuoja-asetuksen edellyttämällä tavalla.
  • ACC Consulting Varsinais-Suomelle määrättiin 7 000 euron suuruinen seuraamusmaksu sähköisten suoramarkkinointiviestien lähettämisestä ilman ennalta annettua suostumusta ja rekisteröidyn oikeuksien noudattamatta jättämisestä. Yritys ei ollut vastannut rekisteröityjen oikeuksia koskeviin pyyntöihin tai toteuttanut niitä, eikä se pystynyt osoittamaan käsitelleensä henkilötietoja lainmukaisesti.

Asiantuntijalautakunnan nimitys

Valtioneuvosto asetti ensimmäistä kertaa tietosuojalain mukaisen asiantuntijalautakunnan. Tietosuojavaltuutetun toimistoon sijoitetun asiantuntijalautakunnan tehtävänä on antaa lausuntoja henkilötietojen käsittelyä koskevan lainsäädännön soveltamiseen liittyvistä kysymyksistä tietosuojavaltuutetun pyynnöstä. Lautakunnan toimikausi on 1.10.2020–30.9.2023. Asiantuntijalautakuntaan kuuluu puheenjohtaja, varapuheenjohtaja ja kolme jäsentä, joilla kaikilla on henkilökohtainen varajäsen. Lautakunnan jäsenet ovat tietosuojavaltuutetun toimiston ulkopuolisia asiantuntijoita. Lisäksi lautakunta voi tarvittaessa kuulla muita asiantuntijoita. Asiantuntijalautakunta kokoontuu tarvittaessa puheenjohtajan koolle kutsumana. Lautakunnalla ei ole muodollista päätösvaltaa.

Toimenpiteet ruuhkan purkamiseksi

Tietosuojavaltuutetun toimistossa käynnistettiin vuoden 2020 tammikuussa ruuhkanpurkuprojekti, jonka tavoitteena on ollut purkaa vuosina 2014–2018 vireille tulleiden ratkaisemattomien asioiden sumaa. Vuoden 2020 alussa näitä vuosina 2014–2018 vireille tulleita vanhoja asioita oli ratkaisematta yhteensä 2 327 kappaletta.

Vuoden 2020 lopussa vanhoja asioita oli vireillä hieman yli 400. Tästä lukumäärästä 188 oli asioita, jotka käsitellään kansainvälisessä menettelyssä ja joiden käsittely riippuu toisen valtion tietosuojaviranomaisen toimista.

Vanhojen asioiden lisäksi ruuhkanpurun yhteydessä ratkaistiin myös uudempia, vuosina 2019–2020 vireille tulleita asioita. Vuosina 2016–2019 vireille tulleita asioita oli vuoden 2020 lopulla vireillä yhteensä noin 1 550 kappaletta. Tammikuusta 2020 luku vähentyi vuoden aikana lähes 800 asialla. Ruuhkanpurkuprojekti tietosuojavaltuutetun toimistossa jatkuu vuonna 2021.

Rajatylittävien asioiden käsittely

Rajatylittävällä käsittelyllä tarkoitetaan henkilötietojen käsittelyä, joka suoritetaan useammassa kuin yhdessä EU:n jäsenvaltiossa sijaitsevassa toimipaikassa ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon tai suoritetaan EU:ssa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa, mutta käsittely vaikuttaa merkittävästi useammassa kuin yhdessä jäsenvaltiossa oleviin rekisteröityihin.

Kun henkilötietojen käsittely on rajatylittävää, Euroopan valvontaviranomaiset valvovat henkilötietojen käsittelyä yhteistyössä. Yhteistyössä käsiteltävälle asialle määritellään johtava valvontaviranomainen, jonka on tehtävä yhteistyötä asian käsittelyyn osallistuvien valvontaviranomaisten kanssa. Yhteistyömekanismin tarkoituksena on varmistaa, että EU:n yleistä tietosuoja-asetusta sovelletaan yhdenmukaisesti eri EU-maissa.

Vuonna 2020 valvontaviranomaisten yhteistyömekanismissa käsiteltäviä rajatylittäviä asioita alkoi tulla vireille yhä enemmän. Kesäkuussa Euroopan tietosuojaneuvosto julkaisi rekisterin rajatylittävässä yhteistyössä tehdyistä tietosuojaviranomaisten päätöksistä.

Marraskuussa 2020 tietosuojaneuvosto hyväksyi ensimmäisen sitovan kiistanratkaisupäätöksensä rajatylittävässä yhteistyössä käsitellyssä asiassa. Kiistanratkaisupäätös koski asiaa, jossa Irlannin valvontaviranomainen oli johtavana valvontaviranomaisena antanut Twitter International Companya koskevan päätösehdotuksen. Tapauksessa oli kyse tietoturvaloukkauksesta, jonka kohteeksi joutui noin 88 700 rekisteröityä. Useat osallistuvat valvontaviranomaiset esittivät vastalauseita Irlannin päätösehdotuksesta, minkä jälkeen Irlannin valvontaviranomainen siirsi asian tietosuojaneuvoston kiistanratkaisumenettelyyn. Lopullisen ratkaisun Irlannin valvontaviranomainen antoi tietosuojaneuvoston päätöksen perusteella.

Tietosuojavaltuutetun toimisto käsitteli yhteistyössä Viron valvontaviranomaisen kanssa tapausta, jossa Virossa toimiva koiramatkoja järjestävä yritys oli pitänyt verkkosivuillaan listaa yritykselle velkaa olevista ihmisistä. Yritys ei reagoinut Viron valvontaviranomaisen ensimmäiseen yhteydenottoon, mutta poisti listan toisen yhteydenoton jälkeen. Viron valvontaviranomainen antoi yritykselle huomautuksen tietosuojalainsäädännön rikkomisesta.

Tarkastustoiminta

Tietosuojavaltuutetun toimisto tehosti vuonna 2020 suunnitelmallista sisäisen turvallisuuden viranomaisiin kohdistunutta tarkastustoimintaansa. Apulaistietosuojavaltuutettu teki vuoden aikana kaikkiaan 11 sisäisen turvallisuuden viranomaisiin kohdistunutta tarkastusta. Tarkastusten kohteina olivat mm. Poliisihallitus, Suojelupoliisi, Rikosseuraamuslaitos ja Rajavartiolaitos, Oikeusrekisterikeskus ja Puolustusvoimat.

Tarkastuskohteita ja tarkastettavia menettelyjä priorisoitiin riskianalyysin ja vaikuttavuuden perusteella. Tarkastusten kohteina olivat muun muassa henkilötietojen käsittelyä koskevat ohjeet ja koulutus osana osoitusvelvollisuutta sekä sisäisen laillisuusvalvonnan käytännön toteutus.

Lisäksi tarkastusten kohteena olivat erilaiset viranomaisten henkilötietojen käsittelyyn liittyvät menettelyt, kuten turvallisuusselvityslain soveltaminen ja viranomaisten tekemiin uhka-arvioihin liittyvät toiminnot. Tarkastusten perusteella annettiin moninaista ohjausta rekisterinpitäjille.

Tietoturvaloukkausten määrä jatkoi kasvuaan

Tietoturvaloukkausilmoitukset muodostavat tietosuojavaltuutetun toimistoon vireille tulleiden asioiden suurimman yksittäisen ryhmän. Vuonna 2020 tietosuojavaltuutetun toimistolle tehtiin 4 276 tietoturvaloukkausilmoitusta, mikä oli 437 edellistä vuotta enemmän. Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa tietosuojavaltuutetun toimistolle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Ilmoitusvelvollisuus alkoi toukokuussa 2018.

Ylivoimaisesti suurin osa tietoturvaloukkauksista johtuu siitä, että useita asioita suoritetaan yhtäaikaisesti ja kiireessä. Henkilötietojen kanssa ei pidä tehdä montaa asiaa samanaikaisesti, sillä se lisää huolimattomuusvirheitä. Tietoturvaloukkauksia voidaan ehkäistä myös suojaamalla tietokannat yleisesti hyväksyttyjen käytäntöjen mukaisesti, järjestelmien testauksella sekä huolehtimalla kunnollisesta ohjeistuksesta.

Vuoden 2020 merkittävin tietoturvaloukkaustapaus oli lokakuussa julkisuuteen tullut Psykoterapiakeskus Vastaamoon kohdistunut tietomurto, jonka yhteydessä kymmenientuhansien ihmisten henkilö- ja potilastietoja varastettiin ja vuodettiin verkkoon. Tietosuojavaltuutetun toimisto määräsi yrityksen ilmoittamaan tietomurron kohteeksi joutuneille asiakkaille murrosta henkilökohtaisesti.

Tietosuojavaltuutetun toimisto alkoi myös selvittää Vastaamon toiminnan lainmukaisuutta. Selvityksessä arvioidaan erityisesti, olivatko Vastaamon henkilötietojen käsittelyn turvallisuutta, tietoturvaloukkauksesta ilmoittamista ja rekisterinpitäjän osoitusvelvollisuutta koskevien velvoitteiden noudattaminen ja sen mukaisesti tehdyt toimenpiteet asianmukaisia. Tieto-suojavaltuutetun toimisto koordinoi selvitystoimenpiteitä yhteistyössä keskusrikospoliisin ja muiden viranomaisten kanssa. Selvitys on tarkoitus saattaa valmiiksi, vaikka yritys asetettiin konkurssiin helmikuussa 2021.

Henkilöstö ja talous

Vuoden 2020 aikana tietosuojavaltuutetun toimiston henkilömäärä kasvoi 48 henkilöön. Haku toisen apulaistietosuojavaltuutetun tehtävään käynnistettiin syksyllä 2020, kun apulaistietosuojavaltuutettuna toiminut Anu Talus nimitettiin uudeksi tietosuojavaltuutetuksi. Apulaistietosuojavaltuutetun virkaan nimitetty oikeustieteen maisteri Heljä-Tuulia Pihamaa aloitti tehtävässään maaliskuussa 2021.

Tietosuojavaltuutetun toimistossa toimii kolme asiakaspalveluryhmää, joista yksi keskittyy pääsääntöisesti yksityisen sektorin ja kansainvälisiin asioihin, toinen julkisen sektorin ja kansallisesti käsiteltäviin asioihin sekä kolmas rikosasioiden tietosuojadirektiivin ja -lain mukaisiin asioihin. Hallintoyksikköön on keskitetty toimiston hallinto-, neuvonta- ja kirjaamopalvelut. Yhteiset toiminnot -ryhmään kuuluvat IT-erityisasiantuntijat, viestintä sekä tietosuojavastaava. Erillisissä prosessiryhmissä koordinoidaan lisäksi tiettyihin asiakokonaisuuksiin, kuten tietoturvaloukkauksiin, rekisteröidyn oikeuksiin ja vaikutustenarviointiin liittyviä käytäntöjä ja projekteja.

Huhtikuussa 2020 tietosuojavaltuutetun toimisto muutti uusiin toimitiloihin Helsingin Lintulahteen. COVID-19-pandemiasta johtuneiden etätyömääräysten ja -suositusten myötä toimisto otti käyttöön uudenlaisia digitaalisia työskentelytapoja. Uudessa tilanteessa erityisen tärkeiksi nousivat henkilöstön työhyvinvointi ja työturvallisuus.

Henkilöstön kokoonpanossa näkyi erityisesti vuoden alussa käynnistynyt ruuhkanpurkuprojekti, jota varten toimisto rekrytoi uutta henkilöstöä. Ruuhkautuneen tilanteen purkamiseksi käynnistetyn projektin parissa työskenteli vuoden aikana neljä ylitarkastajaa ja kaksi oikeudellista asiantuntijaa.

Takaisin alkuun