Hyppää sisältöön

Toimintakertomus 2022

Tietosuojavaltuutetun toimisto turvaa ihmisten oikeuksia ja vapauksia henkilötietojen käsittelyssä

Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka valvoo tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista.

Tietosuojavaltuutettuna vuonna 2022 toimi Anu Talus ja apulaistietosuojavaltuutettuna Heljä-Tuulia Pihamaa. Toisena apulaistietosuojavaltuutettuna toukokuuhun 2022 asti toimi Jari Råman. Oikeustieteen maisteri Annina Hautala aloitti virassaan apulaistietosuojavaltuutettuna syyskuussa.

Lue toimintakertomus:

​​​​​​​Tietosuojavaltuutetun toimiston toimintakertomus 2022 (pdf)

Tältä sivulta voit lukea toimintakertomuksen pääkohdat.

Tietosuojavaltuutettu Anu Talus: Luottamuksen merkitys korostuu datataloudessa

Tietosuojavaltuutettu Anu Talus             Keväällä 2023 valtionvarainministeriön digiministerityöryhmän tulevaisuusseminaarissa oli
vahvasti läsnä digitalisaation, datatalouden ja
tietoturvan merkitys. Seuraavan trendin kerrottiin
olevan luottamus. Tälle luottamukselle on nimi: tietosuojasuoja. Perusoikeus, jonka päälle eurooppalaista datataloutta rakennetaan.

Vuotta 2022 voisi kaiketi kutsua jo vakiintumisen vuodeksi. Samanaikaisesti kulunutta vuotta ovat leimanneet myös uudistukset ja kehitys. Tämäkin on osaltaan vakiintunut ilmiö – kehittyvä teknologia ja siihen vastaava lainsäädäntö pitävät tietosuojan jatkuvassa muutostilassa. Tietosuoja-asiantuntija on aina uuden edessä.

Ensimmäinen merkki tasaantumisesta on tietosuojavaltuutetun toimistossa vireille tulleiden asioiden määrä. Jo kolmatta vuotta peräkkäin vireille tulevia asioita oli noin 11 000. Asiamäärien vakiintuminen helpottaa myös toimiston töiden organisoimista.

Toinen toiminnan vakiintumista kuvaava kehitys koskee seuraamuskollegion päätöksiä. Tietosuojavaltuutetun seuraamuskollegio antoi vuoden aikana viisi päätöstä, joissa määrättiin seuraamusmaksu. Seuraamusmaksut vaihtelivat 8 300 ja 750 000 euron välillä. Yhdestäkään seuraamuskollegion tekemästä päätöksestä ei valitettu hallinto-oikeuteen. Tämä poikkeaa seuraamuskollegion ensimmäisistä päätöksistä, joista säännönmukaisesti valitettiin seuraamusmaksun määrästä riippumatta. Muutos johtunee osittain siitä, että menettelyllisten kysymysten osalta hallinto-oikeus on vahvistanut tietosuojavaltuutetun toimiston toimintatapojen vastaavan lain vaatimuksia. Kyse ei ole enää myöskään uudesta seuraamuksesta, vaan on saatu tuntumaa hallinnollisten seuraamusmaksujen suuruuteen ja ymmärrystä yleiseurooppalaisesta tasosta. Seuraamusmaksuja määrättiin muun muassa tilanteissa, joissa puutteet koskivat rekisterinpitäjän ydinliiketoimintaa, sisäiset toimintamallit eivät olleet kohdillaan tai yhteistyötä viranomaisen kanssa oli vältelty.​​​​​​

Muista ratkaisuista voi nostaa esille verohallinnon liian laajaa tietojen keräämistä koskevan päätöksen, apulaisvaltuutetun päätöksen, jossa linjattiin, ettei rekisteröidyn tarkastusoikeus ole viranomaisen tiedonhankkimiskeino samoin kuin apulaisvaltuutetun päätöksen, jossa todettiin, etteivät työntekijän työvälineen sijaintitiedot voi olla automaattisesti päällä.

​​​​​​​Varsin vakiintunut aihe tuntuu olevan myös kansainvälistä henkilötietojen siirtoa koskevat kysymykset. Euroopan tietosuojaneuvoston vuoden 2022 koordinoitu toimenpide kohdentui pilvipalveluiden käyttöön julkisella sektorilla. Samaan aikaan useassa eri jäsenvaltiossa käsitellään niin kutsuttuja 101 Dalmatialaista -tapauksia, joissa ydinkysymys on sama – tiedonsiirrot kolmansiin maihin. Tietosuojavaltuutetun toimiston päätöksistä voi mainita apulaistietosuojavaltuutetun Helmet-kirjastoja koskevan päätöksen, jossa oli kyse Google Analyticsin käytöstä ja joka sekin sivusi tiedonsiirtoja. Keväällä presidentti Bidenin Euroopan vierailusta vauhtia saanut Yhdysvaltojen tietosuojaa koskeva riittävyyspäätös eteni ja Euroopan komissio julkaisi päätösluonnoksensa riittävyyspäätöksestä joulukuun puolivälissä. Tietosuojaneuvosto lausui asiasta vuoden 2023 alussa. Aihe tulee varmasti vastaisuudessakin pysymään keskeisenä teemana tietosuojaforumeilla.

Kansainvälisten tiedonsiirtojen lisäksi pinnalle noussee tulevina vuosina tekoäly, jota koskevat lainsäädäntöhankkeet pyörähtivät käyntiin niin kansallisella kuin EU-tasollakin. Nyt jo eduskunnan hyväksymät lakimuutokset asettivat reunaehdot automaattiselle päätöksenteolle viranomaisen ratkaisutoiminnassa. Tämä on kehityssuunta, jota toivon mukaan voimme hyödyntää myös omassa toiminnassamme. Viime vuoden aikana käyttöön otettu vireille tulleiden asioiden seulontaprosessi loisi tälle hyvän pohjan.

Myös tietosuojaneuvoston kiistanratkaisumenettely otti kuluneen vuoden aikana paikkansa vakiintuneena valvontaviranomaisten välisenä yhteistyönä. Tietosuojaneuvosto antoi vuoden aikana viisi kiistanratkaisupäätöstä. Yksi näistä koski Metan (Instagram) lasten henkilötietojen käsittelyä, jolta puuttui asianmukainen käsittelyperusta. Tietosuojaneuvoston päätöksen seurauksena Irlannin valvontaviranomainen määräsi Metalle 405 miljoonan euron hallinnollisen seuraamusmaksun asiassa. Tietosuojaneuvosto antoi kiistanratkaisumenettelyssä myös markkinoinnin kohdentamista ja kohdentamiseen soveltuvaa käsittelyn oikeusperustetta koskevan ratkaisuryppään, jotka nekin koskivat Instagramia, WhatsAppia ja Facebookia.

Vuonna 2022 viimeistellyn tietosuojavaltuutetun toimiston uuden strategian jalkautustyö lähti käyntiin. Painopisteitä ovat EU-yhteistyö, asiakaslähtöisyys, sidosryhmäyhteistyö ja työhyvinvointi. Samassa yhteydessä syntyi uusi visio. Valtuutettujen kokoonpano uudistui syksyllä, kun Annina Hautala aloitti uutena apulaisvaltuutettuna.

Kaksivuotinen hanke, jonka yhteydessä luotiin työkalu pk-yrityksille saatiin päätökseen. Työkalu julkaistiin kaikkien käyttöön ja edelleen kehitettäväksi. Myös uusi vastaava komission rahoittama hanke käynnistyi. Uudella hankkeella pyritään parantamaan lasten tietosuojaa.

Myös vanhoja korona-ajan uinuneita käytäntöjä herätettiin henkiin. Pohjoismaisten valvontaviranomaisten kokous järjestettiin tällä kertaa Helsingissä. Yhtenä sääntönä kokouksen järjestämiselle kautta aikojen on ollut veden läheisyys. Korona-ajan tauolla olleita yhteispohjoismaisia valvontaviranomaisten kokouksia on järjestetty vuodesta 1988 lähtien.

Moni viime vuoden aikana esillä ollut teema tulee kasvattamaan merkitystään vuoden 2023 aikana. Euroopan tietosuojaneuvosto kokoontui keväällä 2022 Wienissä keskustellakseen toimintatapojensa tehostamisesta. Valvontaviranomaisten yhteisessä julkilausumassa korostettiin edelleen tiivistyvän yhteistyön merkitystä. Kokouksesta lähti heräte komissiolle yleistä tietosuoja-asetusta täydentävän sääntelyn antamiseksi. Kyse on valvontaviranomaisten välisen yhteistyön sujuvoittamisesta. Myös esimerkiksi valvontaviranomaisten yhteiset koordinoidut toimenpiteet vakiinnutettiin yhteistoiminnan muodoksi. Järjestyksessään toinen koordinoitu toimenpide, jossa kartoitetaan tietosuojavastaavien tilannetta, käynnistyi vuoden 2023 alussa.

Komission antama datasäädöspaketti tulee vaikuttamaan merkittävästi niin vuoden 2023 aikana kuin sen jälkeenkin. Komission tavoitteena on luoda nostetta digitaalisille sisämarkkinoille. Kaikki rakentuu luottamukselle, ja keskiössä on ihminen. Keskeistä kokonaisuuden onnistuneessa läpiviemisessä on, että valvontaviranomaisten vastuut tulevat olemaan selkeitä. Viranomaisen toimivaltuudet olivat myös yksi tietosuojavaltuutetun toimiston vuoden 2022 prioriteeteistä. Sekä uudistuvan datasääntelyn että toimintaa tehostavien toimenpiteiden vaikutus tulee siis näkymään tulevina vuosina.

Anu Talus

Tietosuojavaltuutettu

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa: Lasten tietosuojaa, potilas- ja asiakastietojen käsittelyä ja muita tietosuojakysymyksiä julkisella sektorilla

        Tietosuojavuosi 2022 jatkui edeltävän vuoden tavoin erittäin vilkkaana. Vastuualueellani, johon kuuluu pääosin julkiseen sektoriin liittyviä ja kansallisesti käsiteltäviä tietosuoja-asioita, kuten sosiaali- ja terveydenhuollon, opetussektorin ja työelämän tietosuojalain soveltamiseen liittyviä tietosuojakysymyksiä, käsiteltiin niin rekisteröityjen oikeuksien käyttöä koskevia asioita, rekisterinpitäjien tietoturvaloukkausilmoituksia kuin ennakkokuulemispyyntöjäkin. Pinnalla olivat muun muassa lasten henkilötietojen käsittelyyn, verkkosivujen seurantateknologiaan sekä terveystietojen lainmukaiseen käsittelyyn liittyvät kysymykset.

Kuten aiempinakin vuosina, vuonna 2022 sosiaali- ja terveydenhuolto muodosti tietosuojavaltuutetun toimiston suurimman toimialan vireille tulleiden asioiden määrässä mitattuna. Merkittävin osa vireille tulleista asioista oli henkilötietojen tietoturvaloukkauksia koskevia ilmoituksia ja asioita, jotka koskivat rekisteröidylle säädettyjen tietosuojaoikeuksien käyttämistä, kuten tarkastusoikeutta ja tietojen poistamista koskevia pyyntöjä.

Tietojen käyttötarkoituksesta johtuen määräyksiä potilas- ja sosiaalihuollon asiakastietojen oikaisemisesta tai poistamisesta annetaan käytännössä vain hyvin harvoin. Kaikkia potilas- tai sosiaalihuollon asiakastietoja ei ole käytännössä koskaan mahdollista poistaa, eikä esimerkiksi terveydenhuollon ammattihenkilön tekemiä diagnoositietoja voida määrätä poistettavaksi.

Säännellyllä sosiaali- ja terveydenhuollon toimialalla on selkeä tarve myös viranomaisen ohjaukselle, minkä vuoksi julkaisimme syksyllä 2022 rekisterinpitäjien tueksi oppaan sosiaalihuollon asiakastietojen käsittelystä. Oppaassa on tuotu esille muun ohella tietosuojavaltuutetun toimiston ratkaisukäytäntöä. Vuonna 2021 annettua tietoturvaloukkausilmoituksia koskevaa ohjausta päivitettiin myös uusilla esimerkeillä tietosuojavaltuutetun toimiston verkkosivuilla.

​​​​​​​Oppilashuollon siirtyminen hyvinvointialueiden vastuulle nosti pintaan tietosuojakysymyksiä. Oppilashuollossa henkilötietojen luovuttamista koskevat kysymykset ovat merkittäviä opiskeluhuollon monialaisessa yhteistyössä toimivien kannalta. Kysymykset vaikuttavat keskeisesti myös tietojärjestelmien kehittämiseen opetustoimessa ja hyvinvointialueilla. Koska selventävää ohjeistusta tarvitaan niin lasten ja nuorten hyvinvoinnin kuin monialaisen yhteistyön turvaamiseksi, teimme loppuvuodesta opetus- ja kulttuuriministeriölle, sosiaali- ja terveysministeriölle, THL:lle ja Opetushallitukselle aloitteen, jonka tavoitteena on, että tietojen luovutuksen edellytyksiä selvennetään ja niistä annettaisiin valtakunnallista ohjausta. Varhaiskasvatus- ja opetustoimialaan liittyvistä uudistuksista annoimme vuonna 2022 useita lausuntoja.

Loppuvuonna 2022 apulaistietosuojavaltuutetun päätöksessä otettiin kantaa seurantateknologioiden käyttöön viranomaisen verkkosivuilla. Viranomaisen verkkopalveluita tulisi lähtökohtaisesti voida käyttää ilman, että tietoja verkkosivuvierailusta päätyy esimerkiksi kaupalliseen käyttöön. Seurantateknologioiden käytön seurauksena rekisterinpitäjän käsittelemiä rekisteröityjen henkilötietoja ei saa välittyä lainvastaisesti sivullisille. Henkilötietoja ei saa myöskään siirtää lainvastaisesti Yhdysvaltoihin. Päätöksessä oli kyse esimerkiksi Google Analytics -analytiikkatyökalun käytöstä.

Työelämän tietosuojaan liittyen tietosuojavaltuutetun toimiston seuraamuskollegio käsitteli asian, jossa oli kyse työntekijöiden terveystietojen käsittelystä. Seuraamuskollegio määräsi seuraamusmaksun rekisterinpitäjälle, joka oli tallentanut työntekijöiden terveystietoja lainvastaisesti henkilöstöhallinnon järjestelmään ja laiminlyönyt työntekijöilleen henkilötietojen käsittelystä informoimisen.

Lasten ja nuorten henkilötietojen käsittelyä koskeviin kysymyksiin, erityisesti lasten harrastustoiminnassa, on odotettavissa apua. Syksyllä 2022 käynnistyi TIEKE ry:n kanssa toteutettava kaksivuotinen GDPR4CHRN-hanke, joka keskittyy lasten ja nuorten tietosuojan edistämiseen harrastustoiminnassa. Hanke on komission rahoittama ja sen tavoitteena on ensi sijassa tarjota tietoa henkilötietojen käsittelystä lasten harrastustoimintaa järjestäville yhdistyksille.

Heljä-Tuulia Pihamaa

​​​​​​​Apulaistietosuojavaltuutettu

Apulaistietosuojavaltuutettu Annina Hautala: Monipuolinen vuosi turvallisuus- ja oikeushallinnon tietosuoja-asioissa

​​​​​​​Aloitin apulaistietosuojavaltuutetun tehtävässä syyskuussa 2022. Itselläni loppuvuodesta jäljellä ollut muutama kuukausi meni merkittäviltä osin uuteen tehtävään ja virastoon tutustumisessa sekä tehtävän ja ryhmän haltuunotossa. Tätä tehtävää helpotti merkittävästi se, että sain tulla osaksi ammattitaitoista ja kokenutta organisaatiota.

Tehtävässäni ryhdyin johtamaan tietosuojavaltuutetun toimiston asiakaspalveluryhmää, jonka tehtäviin kuuluu pääosin turvallisuus- ja oikeushallinnon sektoriin liittyvät tietosuoja-asiat. Erityisen tästä tehtävästä tekee se, että tehtävässä on merkittävässä osassa rikosasioiden tietosuojadirektiivin ja sitä toimeenpanevan rikosasioiden tietosuojalain soveltaminen.

Erityisesti vuoden loppupuolella työssä korostuivat lainsäädäntölausuntojen valmistelu ja valiokuntakuulemiset. Kuultavana kävimme esimerkiksi valtioneuvoston tiedustelulainsäädäntöä koskeneesta selonteosta. Kuultavana on lisäksi käyty esimerkiksi niin hätäkeskustoimintaa koskevasta lakiuudistusesityksestä kuin henkilötunnuksiin ja niiden myöntämisen menettelyihin liittyneestä hallituksen esityksestä.

Teknologiseen kehitykseen liittyen nostan tässä vielä esiin lausunnot ja kuulemiset digitaalista henkilöllisyystodistusta koskeneesta hallituksen esityksestä ja julkisen hallinnon automaattista päätöksentekoa koskeneesta hallituksen esityksestä. On hyvä huomata, että tietosuojavaatimukset ovat teknologianeutraaleja. Automaatista päätöksentekoa koskien tietosuojan näkökulmasta oli tarpeen kiinnittää lainsäätäjän huomiota erityisesti velvollisuuteen informoida rekisteröityjä tietosuojalainsäädännön edellyttämällä tavalla oikea-aikaisesti ja korostaa sitä, että rekisteröidyillä tulee tietosuojalainsäädännön mukaisesti olla oikeus vastustaa automaattisen päätöksenteon kohteeksi joutumista. Keskustelu tekoälyratkaisujen ja automaattisen päätöksenteon tietosuojakysymyksistä tulee jatkumaan ja näen, että niin sen tuleekin jatkua, koska nämä teknologiat kehittyvät parhaillaan huomattavaa vauhtia ja luovat uusia mahdollisuuksia, mutta myös riskejä tietosuojan näkökulmasta.

Aiempien vuosien tapaan osana tietosuojan valvontatoimintaa toteutettiin suunnitelman mukaisesti toteuttamalla rekisterinpitäjiin kohdistettuja tarkastuksia. Tarkastukset painottuivat niin sanotulle sisäisen turvallisuuden sektorille. Tällaista painotusta voidaan pitää perusteltuna, koska tällä sektorilla tapahtuvaan henkilötietojen käsittelyyn rekisteröidyillä on suppeammat suorat valvontamahdollisuudet. Tarkastussuunnitelmassa huomioitiin myös sisäiseen turvallisuuteen liittyvien EU-tietojärjestelmien valvonta ja tarkastukset niitä koskevien erityissäännösten mukaisesti.

Osallistuminen Euroopan tietosuojaneuvoston alatyöryhmien työskentelyyn sekä Schengen-tietojärjestelmää (SIS II), turvapaikanhakijoiden sormenjälkitietojen hallintajärjestelmää (Eurodac) ja EU:n keskusviisumitietojärjestelmää (VIS) koskevien yhtenäisten valvontaryhmien työskentelyyn on keskeinen osa tietosuojavaltuutetun toimiston kansainvälistä yhteistoimintaa.

Vuoden 2022 tarkastukset osoittivat, että rekisterinpitäjät ovat ottaneet vakavasti aiemmissa tarkastuskertomuksissa esitetyt havainnot ja toteuttaneet korjaavia toimenpiteitä. Tarkastusten perusteella annettiin ohjausta rekisterinpitäjille ja kiinnitettiin huomiota toiminnan kehittämiskohteisiin. Vuoden 2022 isoimpia tarkastuksia olivat Viisumitietojärjestelmää ja Schengenin tietojärjestelmää koskevat tarkastukset.

Suojelupoliisiin tehtiin kaksi tarkastuskäyntiä, joiden yhteydessä tarkastettiin rekisteröityjen tekemien pyyntöjen perusteella henkilötietojen käsittelyn lainmukaisuutta Suojelupoliisissa sekä käytiin läpi ajankohtaisia kysymyksiä.

Vuoden aikana työllistivät myös syyteharkintaa varten annettavat tietosuojavaltuutetun lausunnot. Näitä lausuntoja annettiin vuoden aikana 37 tapaukseen liittyen. Syyttäjän on kuultava tietosuojavaltuutettua muun muassa ennen henkilörekisteriin kohdistuvaa salassapitorikosta, viestintäsalaisuuden loukkausta, tietomurtoa, tai tietosuojarikosta koskevan syytteen nostamista. Tuomioistuimen on tällaista rikosta koskevaa asiaa käsitellessään myös varattava tietosuojavaltuutetulle tilaisuus tulla kuulluksi.

Turvallisuus- ja oikeushallinnon toimialalla korjaavia toimivaltuuksia käytetiin kolme kertaa vuoden aikana. Tässä katsauksessani nostan esiin helmikuussa 2022 annetun ratkaisun, jossa pääviestinä on se, ettei rekisterinpitäjä voi käyttää rekisteröidyn tarkastusoikeuden käyttöä viranomaisen tiedonhankintakeinona. Tässä ratkaisussa rekisterinpitäjälle annettiin huomautus ja se on määrätty lakkauttamaan yleisen tietosuoja-asetuksen vastainen menettely sijaisvanhemmiksi haluavien rikostausta tarkistuksessa.

Turvallisuus- ja oikeushallinnon sektorilla tapahtui vuoden aikana muutoksia, joiden rinnalla myös tietosuojan tulee kulkea mukana. Nämä muutokset tulevat jatkumaan. Kokonaisuuteen vaikuttavat niin Ukrainan sota kuin teknologinen kehitys ja myös Suomen sisäisen turvallisuuden tilanne. Nykytilanne saa taas muistamaan entistä vahvemmin sen, miksi tietosuojalla on merkitystä.

Annina Hautala

Apulaistietosuojavaltuutettu

Tietosuojatyön painopisteitä

Seuraamuskollegio: Seuraamusmaksuja tietosuojalainsäädännön rikkomuksista

Tietosuojavaltuutetun toimiston seuraamuskollegion tehtävänä on käsitellä asiat, jotka koskevat tietosuoja-asetuksen mukaisten hallinnollisten seuraamusmaksujen määräämistä rekisterinpitäjälle tai henkilötietojen käsittelijälle. Seuraamuskollegion muodostavat tietosuojavaltuutettu ja kaksi apulaistietosuojavaltuutettua. Tietosuojavaltuutettu toimii kollegion puheenjohtajana. Vuosina 2020–2022 seuraamuskollegio on määrännyt yhteensä 17 seuraamusmaksua EU:n yleisen tietosuoja-asetuksen rikkomisesta.

Hallinnolliset seuraamusmaksut ovat yksi korjaavista toimivaltuuksista, joita tietosuojavaltuutetun toimisto voi käyttää. Seuraamusmaksu voidaan määrätä muiden korjaavien toimenpiteiden lisäksi tai niiden sijasta, ja se voi olla enintään 4 % yrityksen liikevaihdosta tai 20 miljoonaa euroa. Seuraamusmaksua ei voi määrätä julkishallinnon organisaatioille, kuten valtiolle ja valtion liikelaitoksille, kunnille ja seurakunnille. Seuraamusmaksun on oltava varoittava, tehokas ja oikeasuhtainen.

Hallinnolliset seuraamusmaksut määrättiin yhteensä viidelle organisaatiolle. Seuraamusmaksuun johtaneissa rikkomuksissa toistuivat erityisesti rekisteröidyn oikeuksien toteuttamiseen liittyvät kysymykset sekä puutteelliset toimintatavat terveystietojen käsittelyssä. Keväällä 2022 tietosuojavaltuutetun toimisto määräsi ensimmäistä kertaa seuraamusmaksun sen vuoksi, että rekisterinpitäjä ei ollut noudattanut tietosuojavaltuutetun aikaisempaa määräystä. Seuraamusmaksut olivat suuruudeltaan 8 300–750 000 euroa.

Kaksi seuraamuskollegion asiaa käsiteltiin EU-maiden rajat ylittävässä yhteistyömenettelyssä. Tietosuojavaltuutetun toimisto toimi asioiden selvittämisessä johtavana valvontaviranomaisena. Päätökset sitovat kaikkia asioiden käsittelyyn osallistuneita valvontaviranomaisia.

Vuonna 2022 seuraamuskollegio määräsi seuraamusmaksut tietosuojalainsäädännön rikkomisesta viidelle organisaatiolle.​​​​​​​

  • Seuraamuskollegio määräsi 750 000 euron seuraamusmaksun Alektum Oy:lle vakavista tietosuojarikkomuksista. Yritys oli säännönmukaisesti jättänyt vastaamatta rekisteröityjen tietosuojaoikeuksia koskeviin pyyntöihin. Yritys ei myöskään noudattanut velvollisuuttaan tehdä yhteistyötä valvontaviranomaisen kanssa.
  • Telemarkkinointiyritykselle määrättiin 8 300 euron suuruinen seuraamusmaksu, sillä yritys ei ollut noudattanut tietosuojavaltuutetun aikaisempaa määräystä rekisteröidyn tarkastusoikeuden toteuttamisesta. Tietosuojavaltuutettu oli määrännyt yrityksen toteuttamaan asiakkaan pyynnön saada pääsy hänelle soitetun myyntipuhelun tallenteeseen. Kyseessä oli ensimmäinen tietosuojavaltuutetun toimiston määräyksen noudattamatta jättämisestä määrätty seuraamusmaksu.
  • Kustannusyhtiölle määrättiin 85 000 euron seuraamusmaksu puutteista tietosuojaoikeuksien toteutuksessa sähköpostikanavan kautta. Osa rekisteröityjen tarkastus- ja poistopyynnöistä oli jäänyt toteuttamatta sähköpostiohjauksen teknisen ongelman vuoksi. Yhtiön olisi tullut huolehtia sähköpostilaatikon testaamisesta, sillä kyseessä oli pääasiallinen sähköinen yhteydenottokanava tietosuoja-asioissa.
  • Seuraamuskollegio määräsi Viking Linelle 230 000 euron seuraamusmaksun työntekijöiden terveystietojen lainvastaisesta käsittelystä. Yhtiö muun muassa tallensi työntekijöiden terveystietoja lainvastaisesti henkilöstöhallinnon järjestelmään. Osa tallennetuista diagnoositiedoista oli lisäksi virheellisiä, ja tietoja on säilytetty huomattavan pitkään. Puutteita havaittiin myös tavoissa, joilla yritys informoi työntekijöitään henkilötietojen käsittelystä.
  • Terveystietoja ilman asianmukaista suostumusta käsitelleelle yritykselle määrättiin 122 000 euron seuraamusmaksu. Yritys ei ollut pyytänyt palvelunsa käyttäjiltä yksilöityä suostumusta terveyteen liittyvien henkilötietotyyppien käsittelyyn. Rikkomuksista määrättiin seuraamusmaksu, sillä terveystietojen käsittely kuuluu yrityksen ydinliiketoimintaan.

Strategia uudistui, eurooppalainen yhteistyö tiivistyy

Tietosuojavaltuutetun toimisto uudisti strategiansa vuosille 2022–2025 määrittelemällä toiminnan strategiset painopisteet, vision ja mission.

Strategisiksi painopisteiksi valittiin asiakaslähtöisyys, sidosryhmäyhteistyö, eurooppalainen yhteistyö sekä työhyvinvointi. Uudessa visiossaan tietosuojavaltuutetun toimisto korostaa rooliaan ajassa aktiivisena vastuullisen digitaalisen ympäristön edistäjänä.

Strategiakaudella painotetaan erityisesti tietosuojavaltuutetun toimiston toiminnan ja päätösten ennakoitavuutta ja läpinäkyvyyttä. Yhteistyösuhteita valittujen sidosryhmien kanssa pyritään syventämään, ja sidosryhmäsuhteiden päämääriä ja tavoitteita terävöitetään. Tietosuojavaltuutetun toimiston tavoitteena on, että toimisto on henkilöstölle viihtyisä ja motivoiva työpaikka, jonne tietosuoja- asioiden parhaat asiantuntijat hakeutuvat ja sitoutuvat.

Strategiakaudella tietosuojavaltuutetun toimisto jatkaa lisäksi vahvojen yhteistyösuhteiden ylläpitämistä muiden eurooppalaisten toimijoiden kanssa. Tärkeitä näkökohtia pyritään viemään tehokkaasti eteenpäin eurooppalaisissa valmisteluprosesseissa.

Euroopan talousalueen tietosuojaviranomaiset syventävät yhteistyötään

Huhtikuussa 2022 EU- ja ETA-alueen tietosuojaviranomaiset antoivat yhteisen julkilausuman, jossa kerrottiin kansallisten tietosuojaviranomaisten syventävän yhteistyötä entisestään yleisen tietosuoja- asetuksen täytäntöönpanossa. Julkilausumassa esiteltiin keskeisiä tavoitteita ja toimenpiteitä entistä tehokkaammalle yhteistyölle. Tietosuojaviranomaiset sopivat muun muassa yhteisten tarkastustoimenpiteiden toteutuksesta, vuosittaisten prioriteettien asettamisesta Euroopan tietosuojaneuvoston tasolla sekä rajat ylittävän tiedonvaihdon tehostamisesta. Lisäksi sovittiin yhteistyön tiivistämisestä strategisesti merkittävissä EU-maiden rajat ylittävissä asioissa.

Euroopan tietosuojaneuvoston yhteisenä tavoitteena on jäsenvaltioiden lainsäädännön tulkinnan yhdenmukaistaminen entisestään sekä uuden EU:n datasääntelyn valvonnan ja sääntelyn mukanaan tuomien toimivaltuuksien vakiinnuttaminen. Lokakuussa tietosuojaneuvosto toimitti komissiolle koosteen hallintomenettelyihin liittyvistä seikoista, jotka se toivoo yhdenmukaistettavan EU:n tasolla.

Pohjoismaiset tietosuojaviranomaiset kokoontuivat Helsingissä

Pohjoismaiset tietosuojaviranomaiset tapasivat Helsingissä lokakuussa 2022. Tapaamisessa Suomen, Ruotsin, Norjan, Tanskan, Islannin, Ahvenanmaan ja Färsaarten tietosuojaviranomaiset keskustelivat pohjoismaisesta yhteistyöstä ja ajankohtaisista tietosuojailmiöistä.

Tietosuojaviranomaiset sopivat tiivistävänsä käytännön yhteistyötä jakamalla tietoa ja parhaita käytäntöjään muun muassa lasten verkkopelaamiseen, julkisuuslainsäädäntöön, asioiden käsittelyyn ja eurooppalaiseen terveysdata-avaruuteen liittyvissä kysymyksissä. Tietosuojaviranomaiset korostivat antamassaan julkilausumassa, että tietosuojasääntelyn valvonnan ei tule pirstaloitua EU:n digitaalisten palvelujen säädöspaketin myötä. Lisäksi ne peräänkuuluttavat riittävien resurssien tarvetta, mikäli tietosuojaviranomaisten tehtäviä lisätään.

Ruuhkanpurku ja uudistetut prosessit

​​​​​​​Tietosuojavaltuutetun toimistossa käsiteltävänä olevien asioiden määrä kasvoi pitkään yleisen tietosuoja-asetuksen voimaantulon jälkeen. Viime vuosina vireille tulleiden asioiden määrä on tasaantunut noin 11 000 asiaan. Vuonna 2022 toimistossa tuli vireille yhteensä 11 095 asiaa. Asioita ratkaistiin 774 enemmän kuin niitä tuli vuoden aikana vireille, yhteensä noin 11 870 kappaletta.

Tietosuojavaltuutetun toimistossa on ollut vuodesta 2020 lähtien käynnissä suunnitelmallinen ruuhkanpurku, joka eteni myös vuoden 2022 aikana. Ruuhkanpurkuprojektin tavoitteena on alun perin ollut purkaa vuosina 2014–2018 vireille tulleiden ratkaisemattomien asioiden sumaa. Tämän jälkeen ruuhkanpurkua on laajennettu koskemaan kaikkia toimistossa vireille tulleita asioita.

Vuoden 2022 lopussa vuosina 2018–2020 vireille tulleita, yli kaksi vuotta vanhoja asioita oli ratkaisematta n. 900 kappaletta. Merkittävän osuuden vanhemmista ratkaisemattomista asioista muodostavat rajatylittävässä yhteistyössä käsiteltävät asiat, joiden käsittely riippuu toisen ETA-alueen valvontaviranomaisesta.

Sisäisiä menettelyjä kehitettiin toimintavuoden aikana asioiden käsittelyn tehostamiseksi. Toimistossa otettiin käyttöön uusi seulontaprosessi rekisteröidyn oikeuksia koskeviin asioihin. Seulontaa pilotoitiin terveydenhuollon toimialaan liittyvissä asioissa, ja toimistossa arvioidaan toimintamallin soveltamista myös muihin sektoreihin.

Edellisenä vuonna käyttöön otetun priorisointi- ja seulontamenettelyn (PRISE) sekä tietoturvaloukkausilmoitusten seulontaprosessin käyttöä vakiinnutettiin toimistossa. Tietoturvaloukkausilmoitusten seulontaprosessin on todettu merkittävästi tehostaneen ilmoitusten käsittelyä. Tietoturvaloukkausilmoituksia oli vuonna 2022 lähes puolet kaikista toimistossa vireille tulleista asioista.

Tietoturvaloukkausilmoitusten määrä jatkaa kasvuaan

Henkilötietojen tietoturvaloukkauksia koskevat ilmoitukset muodostavat tietosuojavaltuutetun toimistoon vireille tulleiden asioiden suurimman yksittäisen ryhmän. Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa tietosuojavaltuutetun toimistolle, jos loukkauksesta voi aiheutua riski sen kohteeksi joutuneille henkilöille.

Tietosuojavaltuutetun toimistolle tehtiin vuoden aikana 5 445 tietoturvaloukkausilmoitusta, mikä oli yli 660 edellistä vuotta enemmän. Ilmoitettujen tietoturvaloukkausten määrä on kasvanut vuosittain, ja ne muodostivat jo lähes 50 % vireille tulevista asioista. Ilmoituksia saapuu eniten säännellyiltä toimialoilta, kuten sosiaali- ja terveydenhuollon alalta, finanssisektorilta ja telealalta.

Toimistossa jatkettiin edellisenä vuonna käynnistettyä tietoturvaloukkausilmoitusten seulontamenettelyä. Menettelyn ansiosta ilmoitusten käsittelyä ja arviointia on saatu tehostettua ja nopeutettua.

Syksyllä apulaistietosuojavaltuutettu huomautti terveydenhuollon toimijaa tietojen puutteellisesta suojauksesta. Terveydenhuollon toimija ilmoitti tietosuojavaltuutetun toimistolle tietoturvaloukkauksesta, jossa kannettavan tietokoneen, paperiasiakirjoja ja kaksi ulkoista kiintolevyä sisältänyt tietokonelaukku oli varastettu. Varastetut laitteet sisälsivät muun muassa asiakkaiden terveystietoja ja vakuutuksia koskevia tietoja. Kannettavalle tietokoneelle tallennettujen henkilötietojen suojaaminen pelkällä salasanalla oli ollut puutteellinen suojausmenetelmä, ja tiedot olisi voitu salata esimerkiksi erilaisilla salausohjelmistoilla.

Organisaatioiden varautuminen henkilötietoihin kohdistuviin tietoturvaloukkauksiin on tärkeä osa tietoturvallisuuden hallintaa ja kyberhäiriöihin valmistautumista. Kyberhäiriöihin voi liittyä riski vakavista henkilötietoihin kohdistuvista tietomurroista tai -vuodoista. Osana varautumistaan organisaatioiden on hyvä varmistaa, että esimerkiksi järjestelmien turvallisuus ja tietoturvaloukkausten ilmoitusvelvollisuuksiin ja dokumentointiin liittyvät käytännöt ovat kunnossa. Henkilötietojen käsittelyn turvallisuudessa tietosuojavaltuutetun toimisto kiinnittää teknisen tietoturvallisuuden näkökulmasta huomiota muun muassa ohjelmistojen ajantasaisuuden varmistamiseen, pääsynhallintaan sekä riittävään tietojärjestelmien valvontaan ja lokitukseen.

Henkilötietojen turvallisen käsittelyn teema oli vuoden aikana pinnalla julkishallinnon alalla. Keväällä 2022 julkaistiin tiedonhallintalautakunnan julkisen hallinnon tietoturvallisuuden suositus ja arviointikriteeristö (Julkri). Tiedonhallintalautakunnan tietoturvallisuusjaosto teki suosituksen yhteistyössä tietosuojavaltuutetun toimiston kanssa. Kriteeristössä on ensimmäistä kertaa mukana erillinen tietosuojaosio. Kriteeristön käyttö tukee organisaatioita tietoturvallisuuden ja henkilötietojen suojaamisen suunnittelussa, toteuttamisessa ja arvioinnissa.

Rajatylittävien asioiden käsittely

​​​​​​​Kun henkilötietojen käsittely on rajat ylittävää, Euroopan tietosuojaviranomaiset valvovat henkilötietojen käsittelyä yhteistyössä. Käsiteltävälle asialle määritellään johtava valvontaviranomainen, joka tekee yhteistyötä asian käsittelyyn osallistuvien valvontaviranomaisten kanssa. Yhteistyömenettelyn tarkoituksena on saada aikaan johtavaa ja osallistuvia viranomaisia sitova yhteinen päätös ja varmistaa, että tietosuoja-asetusta sovelletaan yhdenmukaisesti kaikissa EU-maissa. Euroopan tietosuojaneuvosto julkaisee rekisteriä tietosuojaviranomaisten yhteistyössä tehdyistä päätöksistä.

Vuoden aikana tietosuojavaltuutetun toimisto antoi kaksi päätöstä rajatylittävissä asioissa. Tietosuojavaltuutetun toimisto toimi asioiden käsittelyssä johtavana valvontaviranomaisena. Viking Linea koskeva asia ratkaistiin yhteistyössä Ruotsin, Viron ja Norjan valvontaviranomaisten kanssa. Toinen, terveystietoja ilman asianmukaista suostumusta käsitellyttä yritystä koskeva asia käsiteltiin EU-maiden yhteistyössä, sillä yrityksen palvelu on saatavilla useassa EU- ja ETA-maassa. Henkilötietojen käsittelystä vastaa yrityksen toimipaikka Suomessa, minkä vuoksi tietosuojavaltuutetun toimisto johti asian selvitystä. Yksi yritystä koskevista kanteluista oli saatettu vireille toisessa jäsenvaltiossa.

Helmikuussa Euroopan tietosuojaviranomaiset linjasivat, että Google Analytics -palvelun käyttö verkkosivuilla rikkoi EU:n yleistä tietosuoja-asetusta. Päätöksen antoi johtavana valvontaviranomaisena Ranskan valvontaviranomainen CNIL. Päätöksen mukaan Googlen käyttöönottamat suojatoimet henkilötietojen siirroille Google Analyticsin kautta eivät olleet riittäviä.

Belgian valvontaviranomaisen antamassa päätöksessä Interactive Advertising Bureau Europen (IAB Europe) todettiin olevan vastuussa tietosuoja-asetuksen säännösten laiminlyönnistä. Tietosuojaviranomaisten yhteistyömenettelyssä tehdyssä päätöksessä todettiin, ettei IAB Europen kehittämä Transparency & Consent Framework -suostumustenvälitysmekanismi vastannut tietosuojasäännösten vaatimuksia.

Toimistossa luotiin vuoden aikana uusia toimintatapoja rajatylittävien asioiden käsittelyyn. Uusien prosessien avulla selkeytettiin muun muassa, mitä seikkoja tietosuojavaltuutetun toimiston on huomioitava asian käsittelyssä toimiessaan johtavana valvontaviranomaisena sekä kuinka päätösluonnoksesta esitetyt vastalauseet huomioidaan ratkaisussa. Myös muiden valvontaviranomaisten päätösluonnoksiin annettavia vastalauseita koskevaa menettelyä kehitettiin.

Euroopan tietosuojaneuvosto antoi vuoden aikana kiistanratkaisumenettelyssä useita Meta Platforms Ireland Limitedia koskevia päätöksiä. Irlannin tietosuojaviranomainen määräsi syyskuussa tietosuojaneuvoston kiistanratkaisupäätöksen perusteella Metalle 405 miljoonan euron seuraamusmaksun tietosuojarikkomuksista lasten henkilötietojen käsittelyssä Instagramissa. Tietosuojaneuvosto katsoi, että Meta käsitteli lasten henkilötietoja lainvastaisesti ilman soveltuvaa käsittelyperustetta.

Tietosuojaneuvoston joulukuussa antamat päätökset koskivat henkilötietojen käsittelyä Facebookissa, Instagramissa ja WhatsAppissa. Tietosuojaneuvosto totesi, että Metalla ei ollut lainmukaista perustetta henkilötietojen käsittelyyn käyttäytymistä perustuvaa mainontaa varten Facebookissa ja Instagramissa. Sopimuksen käyttäminen oikeusperusteena palvelujen käyttöehtojen yhteydessä ei ollut asianmukaista, sillä käyttäytymiseen perustuva mainonta ei kuulu niiden ydintoimintoihin. Irlannin tietosuojaviranomainen antoi ratkaisunsa tietosuojaneuvoston päätösten perusteella ja määräsi Metalle 390 miljoonan euron seuraamusmaksut. Päätöksillä tulee olemaan merkittävä vaikutus henkilötietojen käyttöön käyttäytymiseen perustuvassa mainonnassa laajemmin.

WhatsAppin osalta tietosuojaneuvosto katsoi, että sopimus ei ollut lainmukainen oikeusperuste henkilötietojen käsittelyyn WhatsAppin palvelun kehittämistä varten. Kiistanratkaisupäätöksen perusteella Irlannin tietosuojaviranomainen määräsi Metalle 5,5 miljoonan euron seuraamusmaksun.

Euroopan tietosuojaneuvosto hyväksyi maaliskuussa uuden ohjeen yleisen tietosuoja-asetuksen 60 artiklan soveltamisesta. Artiklassa säädetään johtavan valvontaviranomaisen ja muiden osallistuvien valvontaviranomaisten välisestä yhteistyöstä. Ohjetta jalkautettiin toimistossa muun muassa henkilöstön työpajojen avulla.

Tietosuojavaltuutetun toimisto määritettiin vuonna 2022 johtavaksi valvontaviranomaiseksi
18 asiassa ja osallistuvaksi valvontaviranomaiseksi 112 asiassa.

Tietosuojavaltuutetun toimisto antoi vuoden aikana yhteensä 3 vastalausetta johtavien valvontaviranomaisten päätösten luonnoksiin rajatylittävissä asioissa.

Hankkeista tukea rekisterinpitäjille

GDPR2DSM-hankkeessa tuettiin pk-yritysten tietosuojaosaamista

Tietosuojavaltuutetun toimiston ja TIEKE Tietoyhteiskunnan kehittämiskeskus ry:n kaksivuotinen EU-rahoitteinen GDPR2DSM-hanke jatkui vuonna 2022. Hankkeessa tuettiin mikroja pk-yrityksiä tietosuojavaatimusten täyttämisessä ja tuotettiin yrityksille tietoa ja työkaluja tietosuojasta huolehtimiseen.

Hankkeessa kehitetty verkkotyökalu lanseerattiin kansainvälisenä tietosuojapäivänä tammikuussa. Työkalulla yritykset voivat testata tietosuoja-asetuksen vaatimusten toteutumista toiminnassaan, kartoittaa henkilötietojen käsittelyyn liittyvän roolinsa ja kasvattaa tietosuojaosaamistaan. Työkalun lisäksi tietosuojaapkyrityksille.fi-sivustolle koottiin myös muuta tietosuojaan liittyvää tietoa pk-yritysten tueksi. Tietosuojatyökalun lähdekoodi ja sisältö julkaistiin vapaaseen käyttöön jatkokehittämistä varten.

​​​​​​​Keväällä hankkeessa järjestettiin neljä alueellista tietosuojaseminaaria Oulussa, Jyväskylässä, Tampereella ja Turussa. Hankkeen webinaarisarja jatkui kevään ja kesän ajan. Syyskuussa Helsingissä järjestettiin hankkeen päätösseminaari, jossa teemana oli pk-yritysten osaamisen kehittäminen muuttuvassa toimintaympäristössä. Hanketta rahoitti Euroopan unionin Perusoikeudet, tasa-arvo ja kansalaisuus -ohjelma.

GDPR4CHLDRN-hanke lisää tietosuojaosaamista lasten ja nuorten harrastustoiminnassa

Euroopan unionin Kansalaisuus, tasa-arvo, perusoikeudet ja arvot -ohjelma myönsi tietosuojavaltuutetun toimistolle ja hankekumppani TIEKE ry:lle kesällä 2022 rahoituksen uuteen lasten ja nuorten tietosuojaa edistävään hankkeeseen.

GDPR4CHLDRN – Tietosuoja haltuun harrastustoiminnassa on kaksivuotinen hanke, jonka tavoitteena on parantaa 13–17-vuotiaiden lasten ja nuorten, heidän vanhempiensa sekä harrastustoimintaa järjestävien yhdistysten tietosuojaosaamista. Tavoitteeseen pääsemiseksi hankkeessa laaditaan eri kohderyhmille käytännönläheisiä kirjallisia materiaaleja ja tietosuojakäsitteitä selventäviä kuvakkeita sekä järjestetään tietosuoja-aiheisia webinaareja ja koulutuksia.

Hankkeella pyritään edistämään lasten ja nuorten henkilötietojen suojan toteutumista sekä opastamaan lapsia ja nuoria keinoista suojata ja hallita itse omia henkilötietojaan. Tavoitteena on, että tulevaisuudessa yhdistykset kykenevät itsenäisemmin ratkomaan tietosuojalainsäädännön noudattamiseen liittyviä kysymyksiä toiminnassaan. Lapset ja nuoret sekä heidän vanhempansa puolestaan oppivat lisää henkilötietojen suojasta ja tietosuojaoikeuksista.

Hanke käynnistyi elokuussa 2022, ja yhteistyö Suomen Partiolaisten, Palloliiton ja Suomen Olympiakomitean sekä näiden kattojärjestöjen alaisten yhdistysten kanssa alkoi syyskuussa. Lokakuussa järjestettiin ensimmäinen avoin webinaari ja marras-joulukuun taitteessa toteutettiin kysely, jossa kartoitettiin lasten ja nuorten, heidän vanhempiensa ja yhdistystoimijoiden tietosuojaosaamista sekä ajatuksia henkilötietojen käsittelystä harrastustoiminnassa. Vuonna 2023 hanke jatkuu materiaalien laatimisella sekä työpajoilla yhdistysten kanssa. Hanke päättyy elokuussa 2024.

Kansainväliset tiedonsiirrot ja pilvipalvelut

Kun henkilötietoja siirretään Euroopan talousalueen ulkopuolelle tai kansainväliselle järjestölle, henkilötietojen suojan taso ei välttämättä vastaa EU:n yleisen tietosuoja-asetuksen tasoa. Siksi tietosuoja-asetuksessa on määritelty erilaisia siirtoperusteita, joiden avulla henkilötietoja voidaan siirtää ja taata EU:n vaatimuksia vastaava tietosuojan taso.

Vuoden aikana toteutettiin erilaisia valvontatoimia tiedonsiirtoja ja pilvipalveluja koskien sekä kansallisesti että yhteiseurooppalaisella tasolla.

Tietosuojavaltuutetun toimisto osallistui vuoden aikana yhdessä 22 tietosuojaviranomaisen ja Euroopan tietosuojavaltuutetun kanssa Euroopan tietosuojaneuvoston ensimmäiseen yhteiseen koordinoituun toimenpiteeseen, jossa selvitettiin pilvipalveluiden käyttöä julkisen sektorin organisaatioissa. Valvontaviranomaiset selvittivät tietosuoja-asetuksen noudattamiseen liittyviä haasteita pilvipalvelujen käytössä. Toimenpide käynnistyi helmikuussa yhteisellä organisaatioille laaditulla kyselyllä. Selvitys kohdistui yhteensä noin sataan organisaatioon muun muassa terveydenhuollon, rahoituksen, verotuksen, koulutuksen ja IT-palvelujen toimialoilla. Tietosuojavaltuutetun toimisto selvitti kolmen julkisen sektorin organisaation toimintaa Suomessa.

Tietosuojavaltuutetun toimisto antoi vuonna 2022 ensimmäisiä kansainvälisiä tiedonsiirtoja linjaavia ratkaisujaan. Joulukuussa apulaistietosuojavaltuutettu otti päätöksessään kantaa seurantateknologioiden käyttöön viranomaisen verkkosivuilla. Helsingin, Espoon, Vantaan ja Kauniaisten kaupungeille annettiin huomautus, sillä Helmet-kirjastojen verkkosivustolla oli ollut käytössä seurantateknologioita, joiden kautta esimerkiksi käyttäjän aineistohakutietoja on voinut välittyä sivullisille. Henkilötietojen siirroille ei ollut määritelty asianmukaista siirtoperustetta. Helmet.fi-verkkosivustolla oli käytössä esimerkiksi Google Analytics -analytiikkatyökalu ja Google Tag Manager -palvelu.

Oikeusrekisterikeskus saattoi tietosuojavaltuutetun toimistossa vireille ennakkokuulemispyynnön, sillä se ei ollut kyennyt pienentämään suunniteltuihin virastojen intranet-ratkaisuun liittyviin käsittelytoimiin sisältyviä riskejä riittävästi. Tietosuojavaltuutettu varoitti Oikeusrekisterikeskusta siitä, että sen suunnittelemat käsittelytoimet ovat todennäköisesti tietosuoja-asetuksen vastaisia. Riskit liittyivät muun muassa siihen, että tietoja siirtyisi kolmansissa maissa oleville viranomaisille niiden tiedonsaantioikeuden vuoksi.

EU-tuomioistuimen heinäkuussa 2020 antama niin kutsuttu Schrems II -ratkaisu (C-311/18) täsmensi vaatimuksia, joilla henkilötietoja voidaan laillisesti siirtää EU- ja ETA-maasta kolmanteen maahan tai kansainväliseen organisaatioon. Ennen kuin henkilötietoja voidaan siirtää ETA-alueen ulkopuolelle, on rekisterinpitäjän tai henkilötietojen käsittelijän tarkistettava tapauskohtaisesti, taataanko siirrettäville henkilötiedoille riittävä tietosuojan taso.

Maaliskuussa Euroopan komissio ja Yhdysvallat saavuttivat yhteisymmärryksen uuden EU:n ja Yhdysvaltojen välisen tietosuojakehyksen luomisesta. Uuden tietosuojakehyksen on tarkoitus korvata Schrems II -päätöksellä mitätöity aikaisempi Privacy Shield -järjestely. Periaatesopimus tietosuojakehyksestä pantiin Yhdysvaltojen lainsäädännössä täytäntöön Yhdysvaltojen presidentin lokakuussa antamalla toimeenpanomääräyksellä ja sitä täydentävällä muutoksenhakutuomioistuinta koskevalla asetuksella. Tämän jälkeen Euroopan komissio laati luonnoksensa Yhdysvaltojen tietosuojan tason riittävyyttä koskevasta päätöksestä ja toimitti sen Euroopan tietosuojaneuvoston arvioitavaksi lausuntoa varten. Tietosuojan riittävyyspäätöksen perusteella tietoja voitaisiin siirtää EU- ja ETA-alueelta järjestelyyn osallistuville yhdysvaltalaisille yrityksille tietyillä sektoreilla ilman erillisiä suojatoimia.

Ohjeistusta kansainvälisiin tiedonsiirtoihin täydennettiin vuoden 2022 aikana Euroopan tietosuojaneuvoston julkaisemalla ohjeluonnoksella sertifioinneista tiedonsiirron välineenä.

Henkilöstö ja talous

​​​​​​​Vuoden 2022 aikana tietosuojavaltuutetun toimiston henkilöstömäärä pysyi edellisen vuoden tasolla noin 50 henkilössä. Vuoden lopussa tietosuojavaltuutetun toimistossa työskenteli 51 henkilöä. Apulaistietosuojavaltuutetun virkaan nimitetty oikeustieteen maisteri Annina Hautala aloitti tehtävässään syyskuussa 2022.

Tietosuojavaltuutetun toimistossa toimi vuonna 2022 kolme asiakaspalveluryhmää, joista yksi keskittyi pääsääntöisesti yksityisen sektorin ja EU-maiden rajat ylittäviin asioihin, toinen julkisen sektorin ja kansallisesti käsiteltäviin asioihin sekä kolmas rikosasioiden tietosuojadirektiivin ja -lain mukaisiin asioihin. Yhteiset toiminnot -ryhmään kuuluivat IT-erityisasiantuntijat, viestintä sekä tietosuojavastaava. Hallintoyksikköön on keskitetty toimiston hallinto-, neuvonta- ja kirjaamopalvelut. Erillisissä kehittämisryhmissä koordinoidaan lisäksi tiettyihin asiakokonaisuuksiin, kuten tietoturvaloukkauksiin, rekisteröidyn oikeuksiin ja rajat ylittäviin asioihin liittyviä käytäntöjä ja projekteja.

Tietosuojavaltuutetun toimiston strategiatyössä tunnistettiin tarpeita, joihin pyritään vastaamaan organisaatiorakenteeseen ja toimiston työjärjestykseen tehtävillä uudistuksilla. Uudistustyö käynnistyi vuoden 2022 lopulla ja jatkuu vuonna 2023. Uudistetun organisaation rakenne muodostuu yksityisen sektorin ohjaus- ja valvontayksiköstä, julkisen sektorin ohjaus- ja valvontayksiköstä, hallintoyksiköstä sekä esikunnasta.

Toimiston keskeiseksi tavoitteeksi lähivuosien ajalle on määritelty sisäisen tiedonhallinnan kehittäminen. Toimistossa käynnistettiin vuoden aikana hanke oikeushallinnon virastojen yhteisen asianhallintajärjestelmän käyttöönottamiseksi.

Vuoden 2020 alussa käynnistetty ruuhkanpurkuprojekti näkyi edelleen henkilöstön työtehtävissä. Ruuhkanpurussa työpanosta on kohdennettu entistä enemmän vireillä olevien asioiden käsittelyyn.

Sivun alkuun