Toimintakertomus 2021

Tietosuojavaltuutetun toimisto turvaa ihmisten oikeuksia ja vapauksia henkilötietojen käsittelyssä

Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka valvoo tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista.

Tietosuojavaltuutettuna vuonna 2021 toimi Anu Talus. Apulaistietosuojavaltuutettuina toimivat Jari Råman ja Heljä-Tuulia Pihamaa. Tammikuussa 2021 apulaistietosuojavaltuutetuksi nimitetty oikeustieteen maisteri Pihamaa aloitti tehtävässään maaliskuussa.

Tältä sivulta voit lukea toimintakertomuksen pääkohdat.

Lue toimintakertomus:

Tietosuojavaltuutetun toimiston toimintakertomus 2021 (pdf)

Tietosuojavaltuutettu Anu Talus: Katsaus vuoteen 2021

Tietosuojavaltuutettu Anu Talus Vuosi 2021 jatkui koronan merkeissä. Tammikuussa kansainvälistä tietosuojapäivää vietettiin tästä huolimatta nyt jo toista kertaa seminaarin muodossa, tällä kertaa etänä. Vaikka etäseminaareissa jääkin toteutumatta tärkeä mahdollisuus kollegoiden tapaamiseen ja vertaisverkostojen luomiseen, tekee se toisaalta osallistumisesta helppoa myös Helsingin ulkopuolelta.

Tammikuussa valtioneuvosto nimitti toisen apulaistietosuojavaltuutetun, Heljä-Tuulia Pihamaan tehtäväänsä, jossa Pihamaa aloitti maaliskuussa 2021.

Useamman vuoden kestänyt vireille tulevien asioiden kasvu pysähtyi. Vuoden 2021 aikana vireille tuli saman verran asioita kuin vuoden 2020 aikana, hieman alle 11 000. Toimistossa jatkettiin vuonna 2020 käynnistynyttä systemaattista ruuhkanpurkua, jolla on onnistuneesti pureuduttu vireille tulleiden asioiden käsittelyn ruuhkautuneeseen tilanteeseen.

Tietosuojavaltuutetun toimisto antoi lukuisia päätöksiä ja lausuntoja sekä oli kuultavana eduskunnan valiokunnissa. Kanteluissa toistuivat kysymykset rekisteröidyn oikeuksista, erityisesti tarkastusoikeudesta. Useassa päätöksessä linjattiin myös tietojen minimointia ja oletusarvioista ja sisäänrakennettua tietosuojaa, eli privacy by designia. Rekisteröidyn oikeudet toteutuvat parhaiten, kun tietosuoja otetaan osaksi uusien tekniikoiden, alustojen ja sovellusten suunnittelua heti alusta lähtien. Tähän yleisen tietosuoja-asetuksen velvoitteeseen tulemme kiinnittämään huomiota myös vastaisuudessa. Ratkaisukäytännössä korostuivat myös tietosuojan liittymäkohdat tietoturvallisuuteen, tietojen turvallinen käsittely ja tuottamuksellisuus.

Tietosuojavaltuutetun toimiston strategian päivitystyö pyörähti käyntiin sidosryhmä- ja kansalaiskyselyllä, joka valmistui toukokuussa. Kyselyn tulokset osoittivat, että toimiston asiantuntemusta ja luotettavuutta arvostetaan, mutta asiakaslähtöisyydessä nähtiin kehitettävää.

Rekisterinpitäjien tueksi julkaisimme joulukuussa ohjeen vaikutustenarvioinnin tekemiseksi. Tämän lisäksi vuoden 2021 aikana jatkui edellisen vuoden syksyllä käynnistynyt komission rahoittama, pk-yrityksille suunnattu GDPR2DSM-hanke yhteistyössä TIEKE ry:n kanssa. Työn pohjaksi keväällä kartoitettiin pk-yritysten tietosuojahaasteita ja -tarpeita. Työkalun kehittämistyöpajat käynnistyivät kesällä ja hankkeen webinaarisarjat alkoivat syksyllä.

Seuraamuskollegiokäsittelyn rutiinit vakiintuivat vuoden 2021 aikana. Rekisterinpitäjän kuulemismenettelyssä rekisterinpitäjälle varataan tilaisuus tulla kuulluksi ennen asian käsittelyä seuraamuskollegiossa. Tässä yhteydessä rekisterinpitäjälle esitetään asian tosiseikat ja esittelijän alustava arvio asiasta. Hallinto-oikeus antoi vuoden aikana ensimmäiset ratkaisunsa, joissa se totesi, että menettely oli hallintolain mukainen.

Seuraamuskollegio määräsi vuoden aikana seuraamusmaksut kaikkiaan seitsemälle rekisterinpitäjälle. Seuraamusmaksut määrättiin muun muassa robottipuheluja ilman asianmukaista suostumusta soittaneelle rekisterinpitäjälle sekä henkilötietoja lainvastaisesti käsitelleelle yksityiselle pysäköinninvalvontayritykselle. Psykoterapiakeskus Vastaamoa koskeva asia saatettiin tietosuojavaltuutetun toimistossa päätökseen seuraamuskollegion käsittelyssä, jossa Vastaamolle määrättiin seuraamusmaksu. Lisäksi seuraamusmaksut annettiin ammattikorkeakoululle tarpeettomasta työntekijöiden sijaintietojen käsittelystä ja Liikennevakuutuskeskukselle liian laajasta potilastietojen keräämisestä.

Muita vuoden 2021 merkittäviä päätöksiä olivat poliisille annettu huomautus Clearview AI - kasvojentunnistusteknologian käytöstä sekä päätös, jossa katsottiin, että tiedotusvälineiden verokoneissa on kyse henkilötietojen käsittelystä journalistista tarkoitusta varten. Huomautus annettiin yritykselle, joka välitti asiakkaiden henkilötietoja WhatsAppissa työntekijöiden henkilökohtaisiin puhelimiin.

Myös Euroopan tietosuojaneuvosto jatkoi etätyöskentelyään. Merkittäviä tapahtumia tietosuojaneuvostossa olivat muun muassa kiistanratkaisumenettelyssä tehty sitova päätös WhatsAppia koskevassa asiassa ja ensimmäinen kiireellisessä menettelyssä annettu ratkaisu. Tietosuojavaltuutetun toimisto antoi puolestaan ensimmäisen päätöksensä rajat ylittävässä menettelyssä asiassa, jossa se toimi johtavana valvontaviranomaisena.

Kansainväliset tiedonsiirrot pysyivät merkittävässä roolissa myös vuoden 2021 tietosuoja-areenoilla. Euroopan komissio teki kaksi erillistä päätöstä Britannian tietosuojan riittävästä tasosta. Toinen päätöksistä annettiin rikosasioiden tietosuojadirektiivin mukaisesti ja oli lajissaan ensimmäinen. Kolmansiin maihin suuntautuvat tiedonsiirrot tulevat olemaan pinnalla myös vastaisuudessa päivitettyjen raamien ja ohjeistusten myötä.

Anu Talus

Tietosuojavaltuutettu

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa: Ohjausta pandemia-aikana ja tietosuojakysymyksiä digitalisoituvassa yhteiskunnassa

Aloitin tehtävässäni apulaistietosuojavaltuutettuna maaliskuussa 2021. Tehtävänäni on johtaa yhtä tietosuojavaltuutetun toimiston asiakaspalveluryhmistä, johon kuuluu pääosin julkiseen sektoriin liittyviä ja kansallisesti käsiteltäviä tietosuoja-asioita, kuten sosiaali- ja terveydenhuollon, opetussektorin ja työelämän tietosuojalain soveltamiseen liittyviä tietosuojakysymyksiä.

Vuotta 2021 leimasi vielä edellisvuoden tavoin koronapandemia. Annoimme korona-aiheisia asiantuntijalausuntoja lainsäädäntöesityksiin ja vastasimme korona-aiheisiin tiedusteluihin ja kanteluihin.

Sote-lainsäädännön uudistuksesta annettiin useita lainsäädäntöhankkeita koskevia asiantuntijalausuntoja. Kuten aiempinakin vuosina, vuonna 2021 sosiaali- ja terveydenhuoltoa koskevat asiat muodostivat tietosuojavaltuutetun toimiston suurimman toimialan vireille tulleiden asioiden määrässä mitattuna. Vuonna 2021 tietosuojavaltuutetun toimistossa vireille tulleista asioista lähes 30 prosenttia koski sosiaali- ja terveydenhuoltoa, joista henkilötietojen tietoturvaloukkausilmoitukset muodostivat merkittävän osan. Toimialoilla, joilla käsitellään erityisiä henkilötietoja, ilmoituskynnys viranomaiselle täyttyy usein, mikä osaltaan selittää sote-sektorin ilmoitusten suurta määrää suhteessa muihin toimialoihin.

Kelan ja Terveyden ja hyvinvoinnin laitoksen kanssa tehty tietosuoja-aiheinen kysely osoitti sote-sektorin tarpeen saada konkreettisia ohjeita henkilötietojen tietoturvaloukkausten ilmoituskäytäntöihin. Tähän tarpeeseen vastataksemme annoimme loppuvuodesta 2021 erityisesti sote-toimijoille suunnatun ohjeen henkilötietojen tietoturvaloukkausten ilmoitusvelvollisuudesta. Ohjeen toivotaan samalla toimivan apuna myös muille toimialoille. On selvää, että tietoturvaloukkausilmoituksia koskeva ohjauksen tarve jatkuu, joten ohjetta päivitetään edelleen vuoden 2022 aikana.

Muun yhteiskunnan mukana opetusala digitalisoituu ja ilmiö koskee kaikkia opetuksen järjestäjiä ja oppilaitoksia.

Voitaneen sanoa, että koronapandemian aikana opetussektorilla tehtiin niin sanottu digiloikka ja opetuksessa siirryttiin pikavauhdilla digitaaliseen opetusympäristöön. Tämä kehitysaskel näkyi myös tietosuojavaltuutetun toimistolle vireille tulleissa opetussektorin asioissa, joista monet koskivat opetuksessa käytettäviin sovelluksiin liittyviä tietosuojakysymyksiä. Digitaalisia palveluita käyttöön otettaessa henkilötietojen käsittelyä koskevan lainsäädännön ohella on osattava ottaa huomioon myös muut opetustoimea koskevat säännökset. Tästä johtuen teimme Opetushallitukselle aloitteen ohjeistuksen luomisesta opetuksessa hyödynnettävien sovellusten käyttöönottoon opetusalalla. Toiveena ja tavoitteena on, että yhteistyötä edellyttävä työ edistyy vuoden 2022 aikana ja opetuksessa käytettävissä sovelluksissa myös oppilaiden henkilötietojen käsittelyyn liittyvät kysymykset osataan ottaa asianmukaisesti huomioon.

Tietosuojalainsäädännön toteutumista suomalaisessa työelämässä pyrittiin varmistamaan sidosryhmäyhteistyöllä muun muassa työsuojeluviranomaisen kanssa sekä lainsäädäntöhankkeita ja valtionhallinnon ohjeistuksia koskevilla lausunnoilla. Koronapandemian aikana kysymys siitä, saako työnantaja käsitellä työntekijän koronarokotusta koskevaa tietoa, oli hetkellisesti yksi toimiston kysytyimmistä kysymyksistä. Pandemia-ajan tiedontarpeeseen pyrittiin vastaamaan yleisellä ohjauksella toimiston verkkosivuilla.

Toimisto osallistui myös työelämän tietosuojalain muutostarpeiden kolmikannassa tehtävään selvitystyöhön, jonka tavoitteena on muun muassa vähentää lainsäädännön soveltamisessa ilmenneitä haasteita. Työ jatkuu vuoden 2022 aikana.

Heljä-Tuulia Pihamaa

Apulaistietosuojavaltuutettu

Tietosuojatyön painopisteitä

Seuraamusmaksuja tietosuojalainsäädännön rikkomuksista

Tietosuojavaltuutetun toimiston seuraamuskollegion tehtävänä on tietosuoja-asetuksen mukaisten seuraamusmaksujen määrääminen rekisterinpitäjälle tai henkilötietojen käsittelijälle. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. Kollegio aloitti toimintansa syksyllä 2019, ja ensimmäiset hallinnolliset seuraamusmaksut määrättiin toukokuussa 2020.

Hallinnolliset seuraamusmaksut ovat yksi korjaavista toimivaltuuksista, joita tietosuojavaltuutetun toimisto voi käyttää. Seuraamusmaksu voidaan määrätä muiden korjaavien toimenpiteiden lisäksi tai niiden sijasta, ja se voi olla enintään 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa. Seuraamusmaksua ei voi määrätä julkishallinnon organisaatioille, kuten valtiolle ja valtion liikelaitoksille, kunnille ja seurakunnille.

Seuraamusmaksun on oltava varoittava, tehokas ja oikeasuhtainen. Seuraamuskollegio antoi vuonna 2021 yhden ratkaisun, jossa seuraamusmaksua ei päädytty määräämään. Ratkaisu koskee suoramarkkinointipuheluita rekisterinpitäjän lukuun toteuttanutta alihankkijayritystä, joka toimi henkilötietojen käsittelijän roolissa. Sakon määrääminen olisi ollut rikkomuksen vakavuuteen nähden tehokasta ja varoittavaa, mutta ei oikeasuhtaista. Kollegio otti arvioinnissaan huomioon muun muassa yrityksen liikevaihdon ja vireille saatetun konkurssihakemuksen.

Vuonna 2021 seuraamuskollegio määräsi seuraamusmaksut tietosuojalainsäädännön rikkomisesta yhteensä seitsemälle organisaatiolle.

ParkkiPate Oy:lle määrättiin 75 000 euron seuraamusmaksu tietosuojarikkomuksista pysäköinninvalvontamaksujen yhteydessä. Rikkomukset koskivat muun muassa rekisteröidyn oikeuksien toteuttamatta jättämistä ja puutteita tietojen säilytysajan rajoittamisessa. Yritys myös käsitteli henkilötietoja tunnistamista varten säännönmukaisesti laajemmin kuin olisi ollut tarpeen.
Aikakauslehtikustantamolle määrättiin 8 500 euron seuraamusmaksu ilman suostumusta harjoitetusta suoramarkkinoinnista. Robottipuheluissa ei ollut varmistuttu siitä, että rekisteröity pystyy käyttämään tietosuojaoikeuksiaan. Rekisterinpitäjä ja sen lukuun suoramarkkinointipuheluita toteuttanut alihankkijayritys eivät myöskään olleet laatineet käsittelysopimusta suoramarkkinoinnin toteuttamiselle.
Korkeakoululle määrättiin 25 000 euron seuraamusmaksu tietosuojarikkomuksista työajanseurannassa kertyneiden sijaintitietojen käsittelyssä. Työnantaja käsitteli työntekijöiden sijaintitietoja tarpeettomasti ja ilman lainmukaista perustetta työajan leimaamiseen tarkoitetulla mobiilisovelluksella.
Seuraamuskollegio määräsi joulukuussa 2021 Psykoterapiakeskus Vastaamo Oy:lle 608 000 euron seuraamusmaksun tietosuojarikkomuksista. Vastaamo oli laiminlyönyt henkilötietojen turvallisen käsittelyn perustoimenpiteitä ja tietoturvaloukkauksesta ilmoittamiseen liittyviä velvollisuuksiaan. Vastaamon olisi tullut ilmoittaa tietoturvaloukkauksesta sekä tietosuojavaltuutetulle että asiakkailleen viivytyksettä, sillä tietomurto aiheutti kohteeksi joutuneille henkilöille korkean riskin. Puutteita havaittiin myös osoitusvelvollisuuden mukaisen dokumentaation laatimisessa.
Seuraamuskollegio määräsi lääkäriklinikalle 5 000 euron seuraamusmaksun rekisteröidyn oikeuksien laiminlyönneistä. Lääkäriklinikka ei ollut toteuttanut asiakkaan tarkastusoikeutta potilastietoihinsa asianmukaisesti, ja sen toimintatapa oikeuksien toteutuksessa oli puutteellinen. Klinikka ei myöskään kertonut selkeästi, minkä tietojen osalta se toimii rekisterinpitäjänä.
Matkatoimistolle määrättiin 6 500 euron seuraamusmaksu puutteista tietojen turvallisessa käsittelyssä ja rekisteröidyn oikeuksien toteutuksessa. Matkatoimisto oli muun muassa käyttänyt viisuminhakulomakkeessa salaamatonta verkkoyhteyttä ja säilyttänyt henkilötietoja sisältäviä lomakkeita avoimella verkkopalvelimella.
Liikennevakuutuskeskukselle määrättiin 52 000 euron seuraamusmaksu tarpeettoman laajasta potilastietojen keräämisestä. Tietosuojavaltuutetun toimisto selvitti Liikennevakuutuskeskuksen toimintatapaa potilastietojen pyytämisessä terveydenhuollolta korvausasioiden käsittelyä varten. Liikennevakuutuskeskus oli järjestelmällisesti pyytänyt korvauksenhakijoiden potilastietoja rajaamatta tietoja ainoastaan tarvittaviin.

Ruuhkanpurku ja uudistetut prosessit

Tietosuojavaltuutetun toimistossa käsiteltävänä olevien asioiden määrä on kasvanut vuosittain yleisen tietosuoja-asetuksen voimaantulon jälkeen. Vuonna 2021 tietosuojavaltuutetun toimistoon vireille tulleiden asioiden määrä tasaantui vuoden 2020 tasolle, ja vireille tuli yhteensä 10 816 asiaa. Vuoden 2021 aikana tietosuojavaltuutetun toimistossa ratkaistiin 519 asiaa enemmän kuin asioita tuli vuoden aikana vireille, yhteensä noin 11 380 kappaletta. Tietosuojavaltuutetun toimistossa on ollut vuodesta 2020 lähtien käynnissä suunnitelmallinen ruuhkanpurku, jota edistettiin myös vuoden 2021 aikana.

Toimistossa kehitettiin sisäisiä menettelyjä asioiden käsittelyn tehostamiseksi. Kesällä otettiin käyttöön uusi vireille tulevien asioiden priorisointi- ja seulontamenettely, jonka tavoitteena on yhdenmukaistaa käytäntöjä asioiden käsittelyssä ja turvata osaltaan asiakkaiden tasapuolista kohtelua. Uudella menettelyllä helpotetaan työntekijöiden ajankäytön hallintaa ja suunnitelmallista resurssien suuntaamista.

Henkilötietojen tietoturvaloukkauksia koskevat ilmoitukset muodostavat yli 40 prosenttia kaikista tietosuojavaltuutetun toimistossa vireille tulevista asioista. Toimistossa otettiin syksyllä käyttöön uusi tietoturvaloukkausilmoitusten seulontaprosessi, jolla tehostetaan ilmoitusten käsittelyä ja sujuvoitetaan niiden vaatimia jatkotoimenpiteitä. Sisäinen seulontamenettely täydentää Euroopan tietosuojaneuvoston antamia ohjeita tietoturvaloukkausilmoitusten käsittelystä.

Rajatylittävien asioiden käsittely

Rajatylittävällä käsittelyllä tarkoitetaan henkilötietojen käsittelyä, joka suoritetaan useammassa kuin yhdessä EU:n jäsenvaltiossa sijaitsevassa toimipaikassa ja rekisterinpitäjä tai henkilötietojen käsittelijä on sijoittautunut useampaan kuin yhteen jäsenvaltioon tai suoritetaan EU:ssa rekisterinpitäjän tai henkilötietojen käsittelijän ainoassa toimipaikassa, mutta käsittely vaikuttaa merkittävästi rekisteröityihin useammassa kuin yhdessä jäsenvaltiossa.

Kun henkilötietojen käsittely on rajatylittävää, Euroopan tietosuojaviranomaiset valvovat henkilötietojen käsittelyä yhteistyössä. Käsiteltävälle asialle määritellään johtava valvontaviranomainen, joka tekee yhteistyötä asian käsittelyyn osallistuvien valvontaviranomaisten kanssa. Yhteistyömenettelyn tarkoituksena on saada aikaan johtavaa ja osallistuvia viranomaisia sitova yhteinen päätös ja varmistaa, että tietosuoja-asetusta sovelletaan yhdenmukaisesti eri EU-maissa.

Kesällä 2021 tietosuojavaltuutetun toimisto antoi ensimmäisen päätöksensä johtavana valvontaviranomaisena rajatylittävässä asiassa.

Heinäkuussa Euroopan tietosuojaneuvosto teki WhatsApp Ireland Limitediä koskevan päätöksen kiistanratkaisumenettelyssä. Päätös koski Irlannin valvontaviranomaisen tutkintaa, jossa se selvitti, kertooko WhatsApp käyttäjilleen henkilötietojen käsittelystä läpinäkyvästi. Lisäksi tietosuojaneuvosto antoi ensimmäisen ratkaisunsa kiireellisessä menettelyssä. Ratkaisu koski Hampurin valvontaviranomaisen pyyntöä ottaa kiireellisesti käyttöön toimenpiteitä Facebook Ireland Limitediä vastaan WhatsApp-pikaviestipalvelun käyttöehtojen muutosten vuoksi.

Tietosuojavaltuutetun toimisto kehitti vuoden aikana myös omia toimintatapojaan rajatylittävien asioiden käsittelyssä.

Tietosuojavaltuutetun toimiston toimivalta ja menettelyt

Hallinto-oikeus antoi vuoden aikana ratkaisunsa kolmeen hallinnollista seuraamusmaksua koskevaan valitusasiaan. Seuraamusmaksun määräämistä edeltänyt prosessi on hallinto-oikeuden mukaan täyttänyt hallintolain vaatimukset kyseisissä tapauksissa.

Keväällä 2021 hallinto-oikeuden päätökset selkeyttivät evästeisiin annettavan suostumuksen tulkintaa ja toimivaltuuksia evästeitä koskevien asioiden valvonnassa. Hallinto-oikeus kumosi kaksi Liikenne- ja viestintävirasto Traficomin päätöstä, jotka koskivat tapoja pyytää käyttäjän suostumusta evästeiden käyttöön verkkosivustoilla. Samalla se totesi, että evästeisiin annettavan suostumuksen valvonnan osalta toimivaltainen viranomainen on Traficom. Hallinto-oikeuden ratkaisujen myötä tietosuojavaltuutetun toimisto siirsi evästesuostumusta koskevat valitukset Traficomin käsiteltäväksi.

Apulaisoikeuskansleri otti tietosuojavaltuutetun toimiston menettelytavat asioiden käsittelyssä tutkittavaksi vuonna 2020 ja antoi ratkaisunsa vuoden 2021 lopussa. Tietosuojavaltuutetun toimisto antoi apulaisoikeuskanslerille selvityksen muun muassa asioiden käsittelyajoista, vanhojen vireillä olevien asioiden käsittelyvaiheista sekä käyttöön otettujen toimenpiteiden vaikutuksista. Lisäksi apulaisoikeuskansleri teki laillisuusvalvontakäynnin toimistoon.

Apulaisoikeuskanslerin mukaan tietosuojavaltuutetun toimiston kehittämistoimet vaikuttavat lupaavilta ja asioiden ruuhkautuminen on saatu lähes purettua. Asioiden käsittelyn parantunut tilanne uhkaa kuitenkin kääntyä huonommaksi, jos toimistolla ei ole käytössään riittäviä henkilöstöresursseja.

Tietoturvaloukkausten määrä kasvoi edelleen

Henkilötietojen tietoturvaloukkauksia koskevat ilmoitukset muodostavat tietosuojavaltuutetun toimistoon vireille tulleiden asioiden suurimman yksittäisen ryhmän. Tietosuojavaltuutetun toimistolle tehtiin vuoden aikana 4 785 tietoturvaloukkausilmoitusta, mikä oli yli 500 edellistä vuotta enemmän. Ilmoitettujen tietoturvaloukkausten määrä on kasvanut vuosittain, ja ne muodostivat jo noin 44 % vireille tulevista asioista. Ilmoituksia saapuu eniten säännellyiltä toimialoilta, kuten sosiaali- ja terveydenhuollon alalta, finanssisektorilta ja telealalta.

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa tietosuojavaltuutetun toimistolle, jos loukkauksesta voi aiheutua riski kohteeksi joutuneille henkilöille. Organisaatioiden ilmoitusvelvollisuus alkoi toukokuussa 2018.

Tietosuojavaltuutetun toimisto on kiinnittänyt huomiota siihen, että tietoturvaloukkausten tunnistamisessa ja käsittelyssä on toimialakohtaisia eroja. Erityisesti sosiaali- ja terveydenhuollon toimialalla on havaittu tarvetta tarkentavalle ohjeistukselle tietoturvaloukkauksista ilmoittamiseen. Tähän tarpeeseen vastaamiseksi apulaistietosuojavaltuutettu lähetti marraskuussa sote-toimijoille ilmoitusvelvollisuutta selkeyttävän ohjekirjeen.

Marraskuussa tietosuojavaltuutetun toimisto täydensi ohjeistustaan tietojärjestelmään kohdistuneen tietoturvaloukkauksen tapahtuma-ajan lokitietojen säilyttämisen osalta. Myös lokitiedot kuuluvat tietoturvaloukkauksia koskevan dokumentointivelvollisuuden piiriin.

Kansainväliset tiedonsiirrot

Kun henkilötietoja siirretään Euroopan talousalueen ulkopuolelle tai kansainväliselle organisaatiolle, tietosuoja-asetuksen takaama henkilötietojen suojan taso voi heiketä. Siksi tietosuoja-asetuksessa on määritelty erilaisia siirtoperusteita, joiden avulla henkilötietoja voidaan siirtää ja taata EU:n vaatimuksia vastaava tietosuojan taso.

Henkilötietojen siirtoja koskevaa ohjeistusta täsmennettiin ja päivitettiin vuoden aikana. Erityisesti EU-tuomioistuimen heinäkuussa 2020 antama niin kutsuttu Schrems II -ratkaisu (C-311/18) täsmensi vaatimuksia, joilla henkilötietoja voidaan laillisesti siirtää EU- ja ETA-maasta kolmanteen maahan tai kansainväliseen organisaatioon.

Vuoden aikana siirtoperusteisiin tehtiin merkittäviä päivityksiä. Euroopan komissio hyväksyi kesäkuussa päivitetyt vakiolausekkeet tiedonsiirroille kolmansiin maihin. Lisäksi Euroopan komissio teki kaksi Britannian tietosuojan riittävyyttä koskevaa päätöstä. Kesäkuussa Euroopan tietosuojaneuvosto julkaisi lopullisen version täydentäviä suojatoimia koskevista suosituksista, jotka auttavat arvioimaan lisäsuojatoimien tarvetta ja valitsemaan tilanteeseen sopivia suojatoimia.

Schrems II -ratkaisun myötä myös viranomaisohjeistusta selkeytettiin, ja tietosuojaviranomaisten vastuu kansainvälisten tiedonsiirtojen valvonnasta korostui. Tietosuojavaltuutetun toimisto tiedotti syksyllä, että se tulee tehostamaan henkilötietojen siirtojen valvontaa.

Tukea rekisterinpitäjille tietosuojasta huolehtimiseen

Tietosuojavaltuutetun toimistolle ja TIEKE Tietoyhteiskunnan Kehittämiskeskus ry:lle myönnettiin loppuvuodesta 2020 EU-rahoitus GDPR2DSM-hankkeeseen helppokäyttöisen tietosuojatyökalun toteuttamiseksi pk-yrityksille yhdessä yritysten kanssa. Työkalun yhteiskehittäminen yritysten kanssa käynnistyi kesäkuussa järjestetyssä työpajassa 30 osallistujan voimin. Työkalun ensimmäinen versio esiteltiin lokakuussa.

Osana hanketta tietosuojavaltuutetun toimisto ja TIEKE järjestivät pk-yrityksille maksuttomia tietosuoja-aiheisia webinaareja yhteistyökumppaneiden kanssa. Vuoden aikana järjestettiin yhteensä neljätoista webinaaria yritysten toivomista teemoista. Hanketta rahoittaa Euroopan unionin Perusoikeudet, tasa-arvo ja kansalaisuus -ohjelma.

Tietosuojavaltuutetun toimisto laati keväällä tietosuojan vaikutustenarviointia koskevan ohjeen rekisterinpitäjien tueksi. Ohjeen rinnalle laadittiin myös yksinkertainen Excel-kirjaamistyökalu, jota rekisterinpitäjät voivat halutessaan hyödyntää vaikutustenarvioinnin tekemisessä. Ohjetta voi soveltuvin osin käyttää myös rikosasioiden tietosuojalain mukaiseen vaikutustenarviointiin. Tietosuojan vaikutustenarvioinnin tarkoituksena on tunnistaa ja vähentää henkilötietojen käsittelyyn liittyviä riskejä sekä tuottaa aineistoa, jolla tietosuojasääntelyn noudattaminen voidaan osoittaa.

Henkilöstö ja talous

Vuoden 2021 aikana tietosuojavaltuutetun toimiston henkilömäärä kasvoi. Vuoden 2021 lopussa tietosuojavaltuutetun toimistossa työskenteli 55 henkilöä.

Tietosuojavaltuutetun toimistossa toimii kolme asiakaspalveluryhmää, joista yksi keskittyy pääsääntöisesti yksityisen sektorin ja kansainvälisiin asioihin, toinen julkisen sektorin ja kansallisesti käsiteltäviin asioihin sekä kolmas rikosasioiden tietosuojadirektiivin ja -lain mukaisiin asioihin. Hallintoyksikköön on keskitetty toimiston hallinto-, neuvonta- ja kirjaamopalvelut. Yhteiset toiminnot -ryhmään kuuluvat IT-erityisasiantuntijat, viestintä sekä tietosuojavastaava. Erillisissä kehittämisryhmissä koordinoidaan lisäksi tiettyihin asiakokonaisuuksiin, kuten tietoturvaloukkauksiin, rekisteröidyn oikeuksiin ja vaikutustenarviointiin liittyviä käytäntöjä ja projekteja.

Apulaistietosuojavaltuutetun virkaan nimitetty oikeustieteen maisteri Heljä-Tuulia Pihamaa aloitti tehtävässään maaliskuussa 2021. Apulaistietosuojavaltuutettuna Pihamaa johtaa vastuulleen kuuluvaa julkisen sektorin ja kansallisesti käsiteltäviin asioihin keskittyvää asiakaspalveluryhmää.

Covid-19-rajoitusten ja etätyömääräyksen jatkuessa etätyökäytännöt ja digitaaliset työskentelytavat vakiintuivat toimiston arjessa.

Vuoden 2020 alussa käynnistetty ruuhkanpurkuprojekti näkyi edelleen toimiston henkilöstön kokoonpanossa. Määräaikaisten ns. ruuhkapurkajien avulla työpanosta on kohdennettu entistä enemmän vireillä olevien asioiden käsittelyyn vuodesta 2020 lähtien.