Toimintakertomus 2023

Tietosuojavaltuutetun toimisto turvaa ihmisten oikeuksia ja vapauksia henkilötietojen käsittelyssä

Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka valvoo tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista.

Tietosuojavaltuutettuna vuonna 2023 toimi Anu Talus ja apulaistietosuojavaltuutettuina Heljä-Tuulia Pihamaa ja Annina Hautala. Tietosuojavaltuutettu ja apulaistietosuojavaltuutetut ovat tehtävässään itsenäisiä ja riippumattomia.

Lue toimintakertomus: ​​​​Tietosuojavaltuutetun toimiston toimintakertomus 2023 (pdf)

Tältä sivulta voit lukea toimintakertomuksen pääkohtia:

• Tietosuojavaltuutettu Anu Talus: Tietosuojatyötä muuttuvassa digitaalisessa ympäristössä
• Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa: Vahvistettuja linjauksia, täsmennyksiä henkilötunnuksen käyttöön ja ohjeistusta lasten tietosuojaan
• Apulaistietosuojavaltuutettu Annina Hautala: Tietosuoja on koko yhteiskunnan asia
• Tietosuojavaltuutetun toimiston vuosi 2023 lukuina
• Organisaatio uudistui, asiamäärä kääntyi jälleen kasvuun ja uudistukset järjestelmissä sujuvoittivat toimintaa

Tietosuojavaltuutettu Anu Talus: Tietosuojatyötä muuttuvassa digitaalisessa ympäristössä

            Kulunut vuosi oli vaiherikas: digitaalinen toimintaympäristö on jatkuvassa muutoksessa, tietosuojavaltuutetun toimiston organisaatio on kehittynyt ja valvontaviranomaiset antoivat useita merkittäviä digitaalisia markkinoita muovaavia ratkaisuja.

Yleinen tietosuoja-asetus täytti menneen vuoden aikana 5 vuotta. Digitaalisen toimintaympäristön merkitys on viimeisen viiden vuoden aikana kasvanut entisestään ja sääntelyn määrä moninkertaistunut. Valintani Euroopan tietosuojaneuvoston puheenjohtajaksi toukokuussa 2023 osui ajankohtaan, jolloin monia komission digi- ja datasäädöspakettiin kuuluvia säännöksiä joko viimeisteltiin Brysselissä tai alettiin panna täytäntöön kotimaassa.

Uusi digisääntely rakentuu yleisen tietosuoja-asetuksen päälle. Vaikka lähtökohta voi vaikuttaa yksinkertaiselta, on päällekkäistä sääntelyä paljon. Viranomaisten välinen yhteistyö on siksi entistäkin tärkeämpää. Uusien digihankkeiden lisäksi komissio antoi ehdotuksensa yleistä tietosuoja-asetusta täydentävästä säännöksestä, jonka tavoitteena on sujuvoittaa viranomaisten välistä yhteistyötä EU-maiden rajat ylittävissä asioissa.

Vuotta leimasivat uudet lainsäädäntöhankkeet myös kansallisesti. Tietosuojalakia uudistettiin lisäämällä säännös niin kutsutusta passiivisuuskantelusta. Jos tietosuojavaltuutetun toimisto ei kolmen kuukauden kuluessa ilmoita kanteluasian käsittelyn etenemisestä, voi henkilö valittaa hallinto-oikeuteen. Samassa yhteydessä tietosuojalakiin otettiin säännös, joka mahdollistaa sen, että tietosuojavaltuutetun toimiston esittelijä ratkaisee asioita, joista toimistossa on muodostunut jo vakiintunut linja. Lakimuutokset tulivat voimaan vuoden 2024 alusta.

Kolme vuotta tasaisena pysytellyt vireille tulleiden asioiden määrä lähti uudelleen kovaan nousuun. Vuoden aikana tuli vireille yli 2 000 asiaa enemmän kuin edeltävänä vuonna, yhteensä 13 179 kappaletta. Asioita myös ratkottiin lähes yhtä paljon kuin niitä tuli vireille. Tämä on osoitus asiantuntijoidemme väsymättömästä työstä. Selvää kuitenkin on, että tehtävien lisääntyessä uuden lainsäädännön myötä ja asioiden monimutkaistuessa ja vaikeutuessa, lakisääteisistä tehtävistä suoriutumiseen tarvitaan lisäresursseja.

Tietosuojavaltuutetun toimiston organisaatiorakennetta uudistettiin huhtikuussa 2023. Muutoksia tehtiin muun muassa yksiköihin ja valtuutettujen vastuualueisiin. Toimistoon luotiin myös uusia esihenkilötehtäviä ja pitkää kokemusta vaativia asiantuntijatehtäviä. Asiantuntijaorganisaatiossa on tärkeää tunnistaa asiantuntemuksen syventämisen ja laajentamisen merkitys.

Toimistossa otettiin myös varsin onnistuneesti käyttöön uusi asianhallintajärjestelmä. Uusi järjestelmä tehostaa työntekoa, edistää tiedolla johtamista ja luo uudenlaisia mahdollisuuksia kehittää toimintaa aiempaa tarkemman tilastotiedon perusteella.

Uuden lainsäädännön omaksumisen ja organisaation kehittämisen ohella toiminnan ytimessä oli jokapäiväinen tietosuoja- ja valvontatyö. Esimerkiksi lainsäädäntölausuntoja annoimme kuluneen vuoden aikana 44. Vaalivuonna hallituksen lainsäädäntötyö käynnistyi toden teolla syksyllä.

Vuoden aikana annettiin myös useita merkittäviä päätöksiä. Osassa päätöksiä rekisterinpitäjälle määrättiin hallinnollinen seuraamusmaksu, toisissa rekisterinpitäjä määrättiin korjaamaan
toimintansa. Seuraamusmaksut määrättiin vuoden aikana kolmelle rekisterinpitäjälle. Kahdessa tapauksessa seuraamusmaksu määrättiin tietosuojavaltuutetun aiemman määräyksen noudattamatta jättämisestä.

Tietosuojavaltuutetun toimiston seuraamuskollegio käsitteli myös muita merkittäviä asioita. Esimerkiksi niin sanotussa kiireellisessä menettelyssä käsiteltiin taksipalvelu Yangoa koskeva päätös, jolla kiellettiin tiedonsiirrot Venäjälle väliaikaisesti. Asian käsittely on jatkunut tämän jälkeen yhteistyössä Alankomaiden ja Norjan valvontaviranomaisten kanssa.

Hallinto-oikeus ja korkein hallinto-oikeus antoivat vuoden aikana useita tietosuojaa koskevia päätöksiä, jotka vahvistivat tietosuojavaltuutetun yleisen tietosuoja-asetuksen soveltamista koskevan linjan.

Eurooppalaisesta yhteistyöstä on tullut osa viranomaisen lakisääteisiä tehtäviä yleisen tietosuoja-asetuksen soveltamisen alettua. Vuoden merkittävin EU-tason päätös lienee komission tekemä niin kutsuttu riittävyyspäätös Yhdysvaltojen tietosuojan tasosta. Euroopan tietosuojaneuvosto (EDPB) antoi uudesta EU:n ja Yhdysvaltojen välisestä tietosuojakehyksestä varsin positiivisen lausunnon Euroopan komissiolle, vaikka esittikin eräitä huolenaiheita kokonaisuudesta.

Tietosuojavaltuutetun toimisto on myös osaltaan vaikuttanut Euroopan tietosuojaneuvoston
kiistanratkaisupäätöksiin. Viime vuoden aikana tietosuojaneuvoston kiistanratkaisupäätöksen
seurauksena Metalle määrättiin 1,2 miljardin euron suuruinen seuraamusmaksu tiedonsiirroista Yhdysvaltoihin ja TikTokille 345 miljoonan euron seuraamusmaksu lasten tietosuojaan liittyvistä
rikkomuksista. Lisäksi tietosuojaneuvosto teki Metaa koskevan kiireellisen sitovan päätöksen, jossa se katsoi, että Meta oli käsitellyt henkilötietoja mainonnan kohdentamiseksi henkilöille ilman asianmukaista oikeusperustaa.

Maaliskuussa käynnistyi myös tietosuojaneuvoston järjestyksessään toinen yhteinen koordinoitu selvitys, joka tietosuojavaltuutetun toimiston aloitteesta kohdistui tietosuojavastaavien asemaan organisaatioissa. Keväällä tietosuojaneuvosto julkaisi pk-yrityksille oppaan, jonka suomenkielinen käännös saadaan vuoden 2024 aikana. Pk-yritysten asema on myös esillä tietosuojaneuvoston seuraavassa strategiassa, joka on hyväksytty keväällä 2024. Lasten tietosuojaa edistävä, komission rahoittama GDPR4CHLDRN – Tietosuoja haltuun harrastustoiminnassa -hanke eteni tietosuojavaltuutetun toimiston koordinoimana yhteistyössä TIEKE ry:n kanssa.

Tekoälyä koskeva keskustelu jatkui tiiviinä kuluneen vuoden aikana ja on vahvasti pinnalla myös vuonna 2024. Euroopan tietosuojaneuvosto asetti ChatGPT:tä koskevan työryhmän, ja kansallisten valvontaviranomaisten päätöksiä tekoälystä voidaan odottaa vuoden 2024 aikana. Tekoälyasetuksesta on saavutettu poliittinen yhteisymmärrys, ja kansallisilla tietosuojan valvontaviranomaisilla tulee olemaan asetuksen soveltamisessa merkittävä rooli riippumatta siitä, mikä viranomainen asetusta varsinaisesti valvoo.

Anu Talus

Tietosuojavaltuutettu

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa: Vahvistettuja linjauksia, täsmennyksiä henkilötunnuksen käyttöön ja ohjeistusta lasten tietosuojaan

        Toimistomme organisaatiouudistus toi mukanaan muutoksia toimiston yksikköjakoon ja samalla valtuutettujen vastuualueisiin. Huhtikuun 2023 alussa siirryin julkisen sektorin asioiden asiakaspalveluryhmän vetovastuusta yksityisen sektorin ohjaus- ja valvontayksikön eli tuttavallisemmin YKI:n johtoon.

Yksityisellä sektorilla finanssisektorin asiat olivat asiamäärissä mitattuna suurin toimiala. Erityisesti tietoturvaloukkausilmoitukset, omien tietojen tarkastusoikeus, tietojen poistamista koskevat pyynnöt sekä maksuhäiriömerkintöihin liittyvät asiat työllistivät.

Vuonna 2023 finanssisektorilla annettiin yksi seuraamusmaksupäätös, joka koski luottotietorekisteriin tallennettuja perusteettomia
maksuhäiriömerkintöjä riita-asioissa annetuista tuomioista. Yhtiö ei ollut vuonna 2021 annetusta määräyksestä huolimatta poistanut tietoja luottotietorekisteristään.

Yksityisellä sektorilla tietosuojavaltuutetun keskeisiin linjauksiin lukeutui päätös, jossa arvioitiin ostotietojen säilytysaikojen lainmukaisuutta kaupan alalla. Ostotietojen säilyttämistä käytännössä useita kymmeniä vuosia kestävän kanta-asiakkuuden ajan ei voitu pitää tietosuojalainsäädännön mukaisena. Yritysten, joiden liiketoimintaan kuuluu keskeisesti henkilötietojen käsittely, on aina huolehdittava tarkasti kaikista henkilötietojen asianmukaisen käsittelyn vaatimuksista, kuten tietojen minimoinnista ja säilyttämisaikojen määrittelemisestä. Dataintensiivisessä taloudessa tämän merkitys korostuu jatkuvasti ja tulee näkymään jatkossakin tietosuojavaltuutetun toimiston ratkaisuissa.

Tietosuojavaltuutetun toimiston linjaukset pysyivät pääosin voimassa hallintotuomioistuimissa. Korkein hallinto-oikeus antoi syyskuussa päätöksensä keväällä 2020 Postille määrätystä seuraamusmaksusta. Kyseessä oli ensimmäinen seuraamuskollegion päätös, joka käsiteltiin korkeimmassa hallinto-oikeudessa asti. Korkein hallinto-oikeus saattoi voimaan seuraamusmaksun, joka koski muuttoilmoituksen tehneiden puutteellista informointia. Huomionarvoista oli se, että ratkaisussaan korkein hallinto-oikeus vahvisti, että seuraamusmaksu oli voitu määrätä ilman, että valvontaviranomainen olisi ensin käyttänyt muita korjaavia toimivaltuuksiaan, kuten määräystä tai huomautusta.

Itä-Suomen hallinto-oikeus antoi joulukuussa EU-tuomioistuimen ennakkoratkaisun perusteella päätöksen niin sanotussa lokitietoasiassa. Hallinto-oikeuden päätös piti pääosin voimassa apulaistietosuojavaltuutetun kannan ja samalla tietosuojavaltuutetun toimiston vakiintuneen tulkinnan käyttäjälokitietojen luovuttamisesta. Hallinto-oikeuden päätöksen mukaan pankilla ei ole velvollisuutta antaa tietoja pankin työntekijöistä, jotka olivat tarkastelleet asiakkaan tietoja. Pankin on kuitenkin toimitettava henkilölle käyttäjälokeista tiedot asiakastietojen katselun tarkoista ajankohdista. Päätöksestä on valitettu, joten jäämme odottaman korkeimman hallinto-oikeuden ratkaisua asiassa.

Henkilötunnuksen käsittelyyn saatiin täsmennystä lainsäädännöllä. Eduskunta hyväksyi joulukuussa tietosuojalakiin ja rikosasioiden tietosuojalakiin muutoksia. Tässä yhteydessä myös henkilötunnuksen käsittelyä koskevaa sääntelyä täsmennettiin ja selkeytettiin. Lain muutoksen tarkoituksena on korostaa henkilötunnuksen alkuperäistä tarkoitusta henkilön yksilöinnin välineenä, eli välineenä erottaa henkilöt toisistaan. Lakia täsmennettiin vuoden 2024 alussa voimaan astuneella kirjauksella, jonka mukaan henkilön tunnistamiseen ei saa käyttää yksinomaan henkilötunnusta tai henkilötunnuksen ja henkilön nimen yhdistelmää. Henkilötunnuksen käytännön ongelmaksi on muodostunut, että tunnusta käytetään sen käyttötarkoituksen eli henkilön yksiselitteisen yksilöimisen lisäksi myös henkilön tunnistamiseen. Lakimuutos toivottavasti selkiyttää tilannetta kentällä.

Lasten henkilötunnuksen käsittelyä koskeva ratkaisu saatiin kesäkuussa korkeimmasta hallinto-oikeudesta. Korkein hallinto-oikeus piti voimassa apulaistietosuojavaltuutetun kannan siitä, että kaikkien vuokralaisten ja vuokranhakijoiden lasten henkilötunnusten säännönmukaiselle keräämiselle isännöinti- ja vuokraustoiminnassa ei ollut tietosuoja-asetuksen edellyttämää tarvetta. Vaikka henkilötunnusta voi lain mukaan käsitellä vuokraustoiminnassa, tulee sen aina olla tarpeellista.

Toimintavuoden painopisteenä ollut lasten tietosuoja näkyi toiminnassamme muun muassa GDPR4CHLDRN – Tietosuoja haltuun harrastustoiminnassa -hankkeen jatkumisena. Kyseessä on tietosuojavaltuutetun toimiston ja TIEKE Tietoyhteiskunnan kehittämiskeskus ry:n kaksivuotinen EU-rahoitteinen hanke, jonka tavoitteena on parantaa 13–17-vuotiaiden lasten ja nuorten, heidän vanhempiensa sekä harrastustoimintaa järjestävien yhdistysten tietosuojaosaamista käytännönläheisellä tavalla. Yhdistysten avuksi tuotetaan muun muassa ”digitaalinen työkalupakki”, joka auttaa ratkomaan tietosuojalainsäädännön noudattamiseen liittyviä kysymyksiä. Hanke on määrä saada päätökseen loppuvuonna 2024.

Heljä-Tuulia Pihamaa

Apulaistietosuojavaltuutettu

Apulaistietosuojavaltuutettu Annina Hautala: Tietosuoja on koko yhteiskunnan asia

Vuosi 2023 oli ensimmäinen kokonainen vuoteni apulaistietosuojavaltuutettuna. Vuosi oli jälleen mielenkiintoinen ja vilkas tietosuojarintamalla. Kuten otsikossani totean, tietosuoja on yksi asioista, joka ulottuu kattavasti läpi koko yhteiskunnan ja jolla on merkitystä jokaiselle meistä. Tietosuojan merkityksen voidaan sanoa jopa korostuvan julkishallinnossa, koska monesti henkilöllä itsellään ei ole mahdollista vaikuttaa siihen, käsittelevätkö julkisen hallinnon toimijat hänen tietojaan. Julkishallinnossa käsitellään myös laajasti erityistä suojaa vaativia henkilötietoja, kuten terveystietoja.

Tietosuojavaltuutetun toimiston organisaatiouudistuksen myötä sain vastuulleni julkishallinnon ohjaus- ja valvontayksikön huhtikuussa 2023. Tässä organisaatiouudistuksessa yhdistimme niin sanotun turvallisuus- ja oikeushallintosektorin sekä muun julkishallinnon tietosuojan ohjauksen ja valvonnan. Tämä muutos on mahdollistanut entistä kattavamman kuvan syntymisen julkishallinnon tietosuojan tilasta ja valvontatoimenpiteiden kohdistamistarpeista. Tavoitteena on kohdistaa resurssimme siten, että valvonta- ja ohjaustoiminta on mahdollisimman vaikuttavaa, jotta tietosuoja toteutuu jokaisen kohdalla lainmukaisesti.

Aiempien vuosien tapaan sosiaali- ja terveydenhuolto muodostivat vuonna 2023 tietosuojavaltuutetun toimiston suurimman toimialan vireille tulleiden asioiden määrässä mitattuna. Merkittävin osa niin sosiaali- ja terveydenhuollosta kuin muiltakin julkishallinnon toimialoilta vireille tulleista asioista oli henkilötietojen tietoturvaloukkauksia koskevia ilmoituksia ja asioita, jotka koskivat rekisteröityjen tietosuojaoikeuksien käyttämistä, kuten tarkastusoikeutta ja tietojen poistamista koskevia pyyntöjä. Sosiaali- ja terveydenhuollon toimialaan liittyvissä tehtävissä on näkynyt osaltaan myös hyvinvointialueiden toiminnan käynnistyminen sekä vuoden 2024 alussa voimaan tullut uudistettu laki sosiaali- ja terveydenhuollon asiakastietojen käsittelystä.

Toimintaa tehostaaksemme olemme tietosuojavaltuutetun toimistossa organisaatiomuutoksen lisäksi kehittäneet toimintatapoja ja prosesseja. Esimerkiksi sosiaali- ja terveydenhuoltoon liittyvien asioiden käsittelyä tehostettiin ottamalla käytöön henkilöiden oikeuksia koskevien asioiden seulontamenettely. Lisäksi toimialan valvontatyöhön kohdistettiin aiempaa enemmän henkilöresursseja.

Myös opetus- ja varhaiskasvatustoimialan vuosi näyttäytyi uudistusten täyteisenä. Tähän liittyen tietosuojavaltuutetun toimisto kiinnitti useaan kertaan uudistusten valmistelijoiden ja toimeenpanijoiden huomiota tietosuojaan. Uudistuksia tuli esimerkiksi henkilötietojen käsittelyyn perusopetuksessa ja opiskeluhuollon järjestämisessä. Vuonna 2023 käynnistyi myös useita turvallisuusviranomaisten toimintaan liittyviä lainsäädäntöhankkeita, joissa tietosuojavaltuutetun toimisto on tukenut valmistelua tietosuojanäkökulmasta.

Hyödynsimme myös vuonna 2023 valvontatoiminnassamme rekisterinpitäjiin kohdistettuja tarkastuksia. Tarkastuksissa pyritään havaitsemaan kehityskohteita ennen kuin henkilötietoihin kohdistuvat riskit ovat toteutuneet. Samalla on mahdollista lisätä organisaatioiden tietoisuutta ja ymmärrystä tietosuojasta. Toimistomme pääsi myös tarkastuksen kohteeksi osana Schengen-maiden toiminnan lainmukaisuuden arviointia. Viime vuonna Suomi oli vuorossa tässä säännöllisesti toteutettavassa tarkastuksessa.

Merkillepantavana voidaan pitää sitä, että eri valvontatoimenpiteidemme sekä esitutkintaviranomaisten ja syyttäjien lausuntopyyntöjen kautta on noussut esiin merkittävä määrä niin sanottuja urkintatapauksia. Osa tapauksista on ollut laajoja ja pitkäkestoisia. Esitutkintaviranomaisen tai syyttäjän on pyydettävä tietosuojavaltuutetulta lausunto, kun heillä on käsittelyssä tietosuojarikos-, salassapitorikos-, tietomurto- tai viestintäsalaisuuden rikkomisasia. Näiden lausuntopyyntöjen määrä kasvoi ja niitä annettiin vuoden aikana 54, kun vielä vuonna 2022 näitä pyyntöjä oli 37.

Edellä mainitut havainnot ovat johtaneet siihen, että vuoden 2024 tarkastusuunnitelmaan päätettiin ottaa erityisteemaksi henkilötietojen käsittelyn valvonta rekisterinpitäjien toiminnassa. En voi liikaa korostaa, miten tärkeää on rekisterien ja tietojärjestelmien turvallisuudesta huolehtimisen, käyttövaltuuksien hallinnan ja käyttäjien ohjeistamisen lisäksi se, että rekisterinpitäjä myös aktiivisesti valvoo henkilötietojen käsittelyään.

Annina Hautala

Apulaistietosuojavaltuutettu

Tietosuojavaltuutetun toimiston vuosi 2023 lukuina

Lukuja toiminnastamme​​​:

• 13 179 vireille tullutta asiaa
• 13 059 käsiteltyä asiaa
• 6 894 vireille tullutta tietoturvaloukkausilmoitusta
• 2 856 puhelinneuvonnassa vastattua puhelua
• 11 toteutettua tarkastusta
• 44 lausuntoa lainsäädäntöhankkeista
• 54 lausuntoa syyttäjälle tai esitutkintaviranomaiselle
• 6 rajat ylittävää asiaa, joissa tietosuojavaltuutetun toimisto määritettiin johtavaksi valvontaviranomaiseksi
• 147 rajat ylittävää asiaa, joissa tietosuojavaltuutetun toimisto määritettiin osallistuvaksi valvontaviranomaiseksi

Tietosuojavaltuutetun toimisto antoi vuonna 2023:

• 3 hallinnollista seuraamusmaksua tietosuojarikkomuksista
• 41 huomautusta tietosuojalainsäädännön vastaisista käsittelytoimista
• 20 määräystä saattaa henkilötietojen käsittelytoimet tietosuoja-asetuksen mukaisiksi
• 6 määräystä rekisteröidyn oikeuksien toteuttamisesta
• 2 määräystä ilmoittaa henkilötietojen 2 tietoturvaloukkauksesta rekisteröidyille

Organisaatio uudistui

Toimiston organisaatiorakenne ja työjärjestys uudistettiin huhtikuussa 2023. Organisaatiorakenteeseen ja työjärjestykseen tehdyillä uudistuksilla vastattiin tarpeisiin, joita tunnistettiin tietosuojavaltuutetun toimiston edellisenä vuonna toteutetussa strategiatyössä.

Uudistus toi mukanaan muutoksia toimiston yksikköjakoon ja valtuutettujen vastuualueisiin. Uudistetun organisaaton rakenne muodostuu yksityisen sektorin ohjaus- ja valvontayksiköstä (YKI), julkisen sektorin ohjaus- ja valvontayksiköstä (JUKI), hallintoyksiköstä (HALL) sekä esikuntayksiköstä (EKY). Hallintoyksikköön on keskitetty toimiston hallinto, tiedonhallinta sekä kirjaamopalvelut. Esikuntayksikköön kuuluvat kansainvälisten asioiden koordinaatio, IT-erityisasiantuntijat, viestintä, erityisasiantuntija sekä tietosuojavastaava.

Yksityisen ja julkisen sektorin valvonnasta vastaavat apulaistietosuojavaltuutetut. Tietosuojavaltuutetun vastuualueeseen kuuluvat valvontaviranomaisen yleiset linjaukset, eurooppalainen rajat ylittävä yhteistyö sekä Euroopan tietosuojaneuvosto.

Organisaatiouudistuksen yhteydessä YKI- ja JUKI-yksiköissä otettiin käyttöön uudet ryhmäpäälliköiden tehtävät. Ryhmäpäälliköt toimivat esihenkilöinä toimiston tarkastajille ja oikeudellisille asiantuntijoille.

Toimintavuonna tietosuojavaltuutetun toimiston henkilöstömäärä pysyi edellisen vuoden tasolla. Vuoden lopussa tietosuojavaltuutetun toimistossa työskenteli 51 henkilöä.

Tulevina vuosina tietosuojavaltuutetun toimiston tehtävien ennakoidaan lisääntyvän uusien tehtävien myötä, joita tulee esimerkiksi EU:n digi- ja datasäädöksistä.

Asiamäärä kääntyi jälleen kasvuun

Tietosuojavaltuutetun toimistossa vireille tulleiden asioiden määrä kasvoi selkeästi edellisten vuosien vakiintuneista lukumääristä. Vuonna 2023 vireille tuli yhteensä 13 179 asiaa. Kasvua edelliseen vuoteen oli noin 2 000 asian verran. Asioita myös ratkaistiin viime vuosia enemmän, yhteensä 13 059 kappaletta.

Suurimman asiaryhmän muodostivat ilmoitukset henkilötietojen tietoturvaloukkauksista. Tietoturvaloukkausilmoitusten osuus oli 52 prosenttia vireille tulleista asioista. Myös EU-maiden rajat ylittävien asioiden määrä kasvoi.

Vireille tulleiden asioiden ruuhkaa on purettu tietosuojavaltuutetun toimistossa suunnitelmallisesti vuodesta 2020 lähtien. Vuoden 2023 lopussa vuosina 2018–2021 vireille tulleita, yli kaksi vuotta vanhoja asioita oli ratkaisematta 880 kappaletta. Merkittävän osuuden vanhemmista ratkaisemattomista asioista muodostavat rajat ylittävässä yhteistyössä käsiteltävät asiat, joissa menettelyä johtaa toisen ETA-maan valvontaviranomainen.

Uudistukset järjestelmissä ja palveluissa sujuvoittivat toimintaa

Toimiston keskeiseksi tavoitteeksi lähivuosien ajalle on määritelty tiedonhallinnan kehittäminen. Toimistossa otettiin syksyllä 2023 käyttöön oikeushallinnon virastojen yhteinen asianhallintajärjestelmä HILDA ja samalla uudistettiin kattavasti organisaation tiedonhallinnan ohjeistusta sekä kehitettiin toimiston tiedonhallintamallia. Uusi asianhallintajärjestelmä tehostaa asioiden käsittelyä ja tiedolla johtamista.

Loppuvuodesta tietosuojavaltuutetun toimisto otti ilmoituslomakkeilleen käyttöön Valtorin tarjoaman Turvalomake-palvelun. Lomakkeilla organisaatiot voivat tehdä ilmoituksen henkilötietojen tietoturvaloukkauksista, ilmoittaa tietosuojavastaavansa yhteystiedot ja tehdä ennakkokuulemispyynnön. Yksityishenkilöt voivat tehdä lomakkeilla pyynnön tietosuojaoikeuksiaan koskevan määräyksen antamiseksi tai ilmoittaa henkilötietojen käsittelyssä havaitsemistaan epäkohdista. Lähetetyn lomakkeen voi tallentaa palvelussa itselleen lähetyksen jälkeen. Ilmoituslomakkeilla voi palvelun käyttöönoton myötä lähettää myös salassa pidettäviä ja arkaluonteisia tietoja tietosuojavaltuutetun toimistolle.

Myös sisäisiä menettelyjä kehitettiin asioiden käsittelyn tehostamiseksi. Seulontamenettelyjä rekisteröidyn oikeuksia koskevissa asioissa ja tietoturvaloukkausilmoitusten käsittelyssä vakiinnutettiin ja kehitettiin edelleen. Vuonna 2022 käyttöön otetun tietoturvaloukkausilmoitusten seulontamenettelyn on todettu merkittävästi tehostaneen ilmoitusten käsittelyä. Seulontamenettelyssä arvioidaan muun muassa, vaatiiko asia tarkempaa selvittämistä rekisterinpitäjän kanssa ja antaako loukkaus viranomaiselle aihetta ryhtyä toimenpiteisiin.

Rekisteröidyn oikeuksia koskevien asioiden seulontaa jatkettiin sosiaali- ja terveydenhuollon toimialaan liittyvissä asioissa. Toimistossa arvioidaan toimintamallin soveltamista myös muihin sektoreihin.

Eduskunta hyväksyi joulukuussa 2023 muutoksia tietosuojalakiin ja rikosasioiden tietosuojalakiin, jotta ne vastaisivat EU:n tietosuojalainsäädäntöä. Vuoden 2024 alusta alkaen tietosuojavaltuutetun toimiston on ratkaistava kanteluasia tai ilmoitettava henkilölle arvio ratkaisun ajankohdasta kolmen kuukauden kuluessa siitä, kun asia on tullut vireille. Henkilö voi valittaa hallinto-oikeuteen, jos tietosuojavaltuutettu ei anna ratkaisua tai ilmoita arviota käsittelyajankohdasta tässä määräajassa.