Toimintakertomus 2024

Tietosuojavaltuutetun toimisto turvaa ihmisten oikeuksia ja vapauksia henkilötietojen käsittelyssä

Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka valvoo tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien lakien noudattamista.

Tietosuojavaltuutettuna vuonna 2024 toimi Anu Talus ja apulaistietosuojavaltuutettuina Heljä-Tuulia Pihamaa ja Annina Hautala. Tietosuojavaltuutettu ja apulaistietosuojavaltuutetut ovat tehtävässään itsenäisiä ja riippumattomia.

Lue toimintakertomus: ​​​​Tietosuojavaltuutetun toimiston toimintakertomus 2024 (pdf)

Tältä sivulta voit lukea toimintakertomuksen pääkohtia:

• Tietosuojavaltuutettu Anu Talus: Tuttuja teemoja muuttuvassa ympäristössä
• Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa: Monipuolinen tietosuojavuosi yksityisen sektorin asioissa
• Apulaistietosuojavaltuutettu Annina Hautala: Vuosi 2024 on ollut isojen kysymysten vuosi
• Tietosuojavaltuutetun toimiston vuosi 2024 lukuina
• Katsaus asiamääriin, kehittämistoimiin ja uudistuviin tehtäviin

Tietosuojavaltuutettu Anu Talus: Tietosuojatyötä muuttuvassa digitaalisessa ympäristössä

​​​​​​​             Vuoden 2024 teemat jatkoivat pitkälti edellisten vuosien kehityssuuntia, toki pienin painotuseroin. Uusi Euroopan komissio aloitti työnsä, ja uutta digisääntelyä alettiin soveltaa. Vuoden aikana annettiin tavalliseen tapaan useita tietosuojavaltuutetun päätöksiä, tuomioistuinten ratkaisuja sekä Euroopan tietosuojaneuvoston ohjeita ja lausuntoja. Vuoteen kuului valitettavasti myös tietomurtoja.

Tekoälykeskustelu on hallinnut niin tietosuojaseminaarien lavoja kuin julkista  keskustelua. EU:ssa hyväksyttiin keväällä tekoälyasetus, ja se tuli voimaan elokuussa 2024. Tekoälymallit rakentuvat usein henkilötietojen käsittelylle, tai tekoälyratkaisu käsittelee henkilötietoja. Tietosuojaviranomainen on näissä tilanteissa aina toimivaltainen valvomaan henkilötietojen käsittelyä. Myös kansallinen työ tekoälysäädöksen täytäntöönpanemiseksi aloitettiin. Valmistelussa on keskeistä varmistaa, että niiltä osin kuin uusi sääntely on päällekkäistä yleisen tietosuoja-asetuksen kanssa, valvontavastuu kuuluu tietosuojavaltuutetulle – asianmukaisin resurssein. Euroopan tietosuojaneuvosto puolestaan antoi tekoälystä lausunnon, jossa se muun muassa katsoi, että henkilötietojen käyttö tekoälymallien  kouluttamisessa voi tietyissä tilanteissa perustua oikeutettuun etuun. Lausunnolla varmistetaan, että tietosuoja-asetusta tulkitaan samalla tavalla tekoälyratkaisuja arvioitaessa.

​​​​​Vuonna 2024 hyväksyttiin uudet säännöt poliittisen mainonnan avoimuudesta ja kohdentamisesta. Tietosuojavaltuutetullekin tulee niiden myötä uutta valvottavaa. Myös monia muita lainvalmisteluhankkeita saatettiin loppuun ja uusia hankkeita aloitettiin. Hallituskauden läheneminen puoliväliä alkoi näkyä aiempaa suurempana lausuntopyyntöjen määränä.  Tietosuojavaltuutetun toimisto antoi vuoden aikana lainsäädäntöhankkeista 55 lausuntoa ministeriöille ja 35 kirjallista asiantuntijalausuntoa eduskunnan valiokunnille.

Yksi tietosuojamaailmaankin vahvasti vaikuttaneista asioista oli Euroopan parlamentin vaalit ja niiden myötä muodostettu uusi komissio. Uusi komissio on kertonut keventävänsä sääntelyä, osin ns. Draghi-raportin suositusten pohjalta. Raportissa ehdotetaan erilaisia toimia Euroopan kilpailukyvyn parantamiseksi. Tavoitteena on helpottaa pienten ja keskisuurten yritysten asemaa ja luoda aiempaa parempia edellytyksiä innovoinnille.

Euroopan tietosuojaneuvosto jatkoi työtään ohjeistuksen kehittämiseksi ja sääntelyn yhdenmukaisen täytäntöönpanon  edistämiseksi. Tietosuojaneuvoston lanseeraama opas pienille ja keskisuurille yrityksille käännettiin 18 eri kielelle, myös suomeksi ja ruotsiksi. Tietosuojaneuvosto ryhtyi myös tekemään lyhyitä, yhden sivun mittaisia visuaalisia yhteenvetoja pitkistä ohjeistaan. Lisäksi neuvosto on kiinnittänyt huomiota toiseen keskeiseen osa-alueeseen, täytäntöönpanon yhdenmukaistamiseen, sillä sisämarkkinoiden toimivuus edellyttää sääntelyn yhdenmukaista soveltamista koko EU-alueella.

Tällä hetkellä tietosuoja-asioiden sääntelykehikko muodostaa monimutkaisen kokonaisuuden, jossa kansallisilla viranomaisilla ja Euroopan unionin elimillä on omat roolinsa. Nämä toiminnot on saatava toimimaan yhteen. Kansallisissa lainvalmisteluhankkeissa tähän onkin kiinnitetty erityistä huomiota.

Lopuksi lyhyt katsaus tulevaan. Oikeusministeriö on asettanut työryhmän työstämään julkiselle sektorille kohdennettavien  hallinnollisten seuraamusmaksujen käyttöönottoa hallitusohjelman kirjauksen mukaisesti. Tämä on ollut tietosuojavaltuutetun monivuotinen tavoite. Aukko seuraamusjärjestelmässä on tärkeää saada paikattua järjestelmän johdonmukaisuuden, tehokkuuden, oikeudenmukaisuuden ja varoittavuuden varmistamiseksi. Toinen hanke, jossa on kyse perustavanlaatuisesta kysymyksestä, koskee passirekisterin sormenjälkitietojen käyttämistä rikostutkinnassa.

Yhdysvaltojen presidentti on kautensa alussa kumonnut jo useita edellisen hallinnon aikaisia asetuksia. Euroopan komission neuvottelema tietosuojakehys on kuitenkin edelleen voimassa. Sen avulla henkilötietoja voidaan siirtää EU-maista Yhdysvaltoihin. Komissio julkaisi kesällä ensimmäisen vuosiarviointinsa tietosuojakehyksen toimivuudesta ja Euroopan tietosuojaneuvosto oman raporttinsa marraskuussa.

On myös mielenkiintoista seurata, mihin komission käynnistämät norminpurkuhankkeet lopulta johtavat. Riittävätkö komission suunnittelemat ns. omnibus-hankkeet, joissa muutamaa tietosuoja-asetuksen säännöstä hieman korjaillaan, vai halutaanko laajempaakin tarkastelua? Omnibus-hankkeet ovat laajoja säädöskokonaisuuksia, joissa useita eri aloitteita kootaan yhteen lainsäädäntöpakettiin. Niiden osana myös tietosuoja-asetusta saatetaan yksinkertaistaa.

Varmaa on se, että tietosuoja ei käy koskaan pitkästyttäväksi.

Anu Talus

Tietosuojavaltuutettu

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa: Monipuolinen tietosuojavuosi yksityisen sektorin asioissa

        Vuosi yksityiselle sektorille painottuvissa tietosuoja-asioissa oli jälleen monipuolinen ja työntäyteinen. Keskeisiin päätöksiin lukeutuivat muun muassa henkilötietojen käsittelyn kieltopäätös lainavertailupalveluiden tarjoajalle ja kolme hallinnollista seuraamusmaksua. Erityisesti tietoturvaloukkaukset ja rekisteröityjen oikeuksia
koskevat yhteydenotot työllistivät yksityisen sektorin ohjaus- ja valvontayksikössä.

Toimintavuoteen kuului myös rekisterinpitäjien ohjausta, biopankkiin kohdistettu tarkastus yhteistyössä Fimean kanssa sekä ensimmäinen käytännesääntöjen valvontaelimen akkreditointi. Hallinto-oikeudesta saimme merkittäviä päätöksiä esimerkiksi vakuutusyhtiöiden terveystietojen käsittelystä ja evästesuostumuksesta.

Vaikka tekoälyyn liittyvät kysymykset puhuttivat toimintaympäristössä, ei aihe vielä juurikaan näkynyt yksityisen sektorin valvonta-asioissa. Tähän odotamme muutosta viimeistään, kun elokuussa 2024 voimaan tulleen EU:n tekoälyasetuksen vaiheittanen soveltaminen alkaa vuoden 2025 aikana. Sen myötä myös tietosuojavaltuutetun toimistolle tulee uusia tehtäviä.

Aiempien vuosien tavoin finanssisektori oli suurin asiaryhmä yksityisellä sektorilla. Finanssisektorilla, jossa tyypillisesti käsitellään laajasti ihmisen yksityiselämän piiriin kuuluvaa tietoa, korostuu henkilötietojen huolellisen käsittelyn velvoite. Verkkorikollisuudessa erilaisia tietojärjestelmien haavoittuvuuksia etsitään ja hyödynnetään jatkuvasti, ja siksi erityisesti finanssialalla sähköisten palvelujen tietoturvan ja tietosuojan säännöllinen arviointi on kriittisen tärkeää.

Varoittavana esimerkkinä riittämättömästä tietoturvasta voidaan nostaa esille tapaus, jossa lainavertailupalveluja tarjoavalle yritykselle määrättiin seuraamusmaksu henkilötietojen suojaamisvelvoitteen rikkomisesta. Saman asian yhteydessä käytettiin toistaiseksi harvoin hyödynnettyä toimivaltuutta, kun apulaistietosuojavaltuutettu kielsi yritystä käsittelemästä lainanhakijoiden tietoja palvelussa tietoturvapuutteiden tultua ilmi.

Finanssitoimialalla tapahtui merkittävä muutos, kun positiivinen luottotietorekisteri otettiin käyttöön keväällä 2024. Uudistuksen myötä luotonantajien tulee ilmoittaa positiiviseen luottotietorekisteriin tiedot kaikista yksityishenkilöille myöntämistään  luotoista ja tarkastaa rekisteriin talletetut tiedot, kun ne arvioivat kuluttajan luottokelpoisuutta. Tietosuojavaltuutettu on korostanut positiiviseen luottotietorekisteriin liittyvän lainvalmistelun yhteydessä tietojen virheettömyyden merkitystä. Kyse on ihmisten elämään vaikuttavista merkittävistä päätöksistä, joten niiden pohjana on käytettävä oikeita ja riittäviä tietoja.

Koska tietoturvaloukkausilmoitukset ovat toimistomme selkeästi suurin asiaryhmä, on ilmoitusten käsittelyprosessiin haluttu kiinnittää erityistä huomiota. Nopeuttaaksemme ilmoitusten käsittelyä ja vastataksemme niiden määrän jatkuvaan kasvuun käynnistimme tietoturvaloukkauksiin keskittyvän kehittämisprojektin. Yhtenä keskeisenä tavoitteena on selvittää, kuinka automaatiota voitaisiin hyödyntää ilmoitusten käsittelyssä. Työ jatkuu tiiviisti myös vuonna 2025.

Toimintavuonna saimme hoidettavaksemme uusia tehtäviä, kun EU:n digipalveluasetusta alettiin soveltaa täysimääräisesti helmikuussa 2024. Asetuksessa säädetään digipalvelujen tarjoajille velvollisuuksia palvelujen avoimuuden ja turvallisuuden parantamiseksi. Tietosuojavaltuutetun tehtäviin kuuluu valvoa aatteellisen ja yhteiskunnallisen mainonnan tunnistettavuutta, verkkomainonnan ja suosittelujärjestelmien läpinäkyvyyttä sekä alaikäisten suojelua verkkoalustoilla. Suomessa asetuksen valvonta on jaettu Liikenne- ja viestintävirasto Traficomin, tietosuojavaltuutetun ja kuluttaja-asiamiehen kesken. Tämä korostaa entuudestaan valvontaviranomaisten sujuvaa yhteistyötä, mikä on nähdäkseni lähtenyt erittäin hyvin käyntiin.

Tietosuojavaltuutetun toimiston ja Tietoyhteiskunnan kehittämiskeskus TIEKE ry:n kaksivuotinen EU-rahoitteinen hanke GDPR4CHLDRN – Tietosuoja haltuun harrastustoiminnassa saatiin päätökseen vuoden lopulla. Tuotoksena syntyi verkkosivusto tietosuojaharrastuksissa.fi, josta harrastustoimintaa harjoittavat yhdistykset löytävät apua tietosuojalainsäädännön  noudattamiseen usealla eri kielellä. Vaikka materiaalit keskittyvät erityisesti harrastustoimintaan, niistä on hyötyä lasten ja nuorten henkilötietojen käsittelyssä muissakin tilanteissa.

Heljä-Tuulia Pihamaa

Apulaistietosuojavaltuutettu

Apulaistietosuojavaltuutettu Annina Hautala: Vuosi 2024 on ollut isojen kysymysten vuosi

Mitkä henkilötiedot ovat oikeasti tarpeellisia eri tarkoituksiin? Miten varmistetaan, että tiedot liikkuvat turvallisesti ja tarkoituksenmukaisesti? Miten tietosuoja ja yksityiselämän suoja sovitetaan yhteen muiden perusoikeuksien kanssa? Nämä kysymykset ovat olleet keskeisiä julkisen sektorin tietosuojan ohjauksessa ja valvonnassa vuonna 2024 muun muassa useiden julkishallinnon toimintaan vaikuttavien lainsäädäntöhankkeiden vuoksi.

Kysymyslistaa voisi jatkaa monilla muillakin kysymyksillä, kuten sillä, miten saadaan jatkuvasti varmistettua henkilötietojen käsittelyn turvallisuus. Tähän liittyen on ollut valitettavasti julkisellakin puolella haasteita. Merkittävä tapaus vuoden aikana oli Helsingin kaupungin tietomurto keväällä. Muuttuneessa turvallisuus- ja toimintaympäristössä
on entistäkin tärkeämpää huomioida, että henkilötietoja voidaan väärinkäyttää tavoilla, jotka vaarantavat vakavasti sekä yksilöiden että koko yhteiskunnan turvallisuuden. Lisäksi on pohdittava, miten varmistetaan, että organisaatiolla olevaa tietoa kyetään tosiasiallisesti hyödyntämään. Tiedon arvo heikkenee, jos se ei ole riittävän jäsenneltyä, luotettavaa tai ajantasaista. Aiempien vuosien tapaan sosiaali- ja terveydenhuolto muodostivat vuonna 2024 tietosuojavaltuutetun toimiston suurimman toimialan vireille tulleiden asioiden määrässä mitattuna. Vuonna 2024 noin neljäsosa vireille tulleista asioista koski tätä toimialaa. Merkittävin osa julkishallintoa koskevista asioista liittyi henkilötietojen tietoturvaloukkauksiin ja yksilöiden tietosuojaoikeuksien käyttöön, kuten tietojen tarkastamiseen, oikaisuun tai poistamiseen. Vuoden aikana annettiin esimerkiksi päätös, jossa käsiteltiin henkilötietojen sisällyttämistä potilaille automaattisesti lähetettäviin tekstiviesteihin.

Valvonta- ja ratkaisutoiminnan lisäksi tietosuojavaltuutetun toimisto tukee sekä yksilöitä että organisaatioita antamalla ohjausta niin verkkosivuillaan, kirjallisesti, puhelimitse kuin erilaisiin tapahtumiin ja keskusteluihin osallistumalla. Vuoden 2024 aikana vastattiin noin 2 300 neuvontapuheluun, annettiin reilut 1 200 kirjallista neuvontavastausta sekä hoidettiin yli 180  puheenvuoroa, mediayhteydenottoa ja tiedotetta. Osana tätä ohjaustyötä uudistettiin terveydenhuoltotoimialalle kohdennettuja sisältöjä verkkosivuilla. Verkkosivuilla on nyt huomioitu uudistunut sosiaali- ja terveydenhuollon asiakastietolaki sekä ajantasainen ratkaisu- ja oikeuskäytäntö.

Hyödynsimme valvontatoiminnassamme myös vuonna 2024 organisaatioihin kohdistettuja tarkastuksia. Tarkastuksissa pyritään havaitsemaan kehityskohteita ennen kuin henkilötietoihin kohdistuvat riskit ovat toteutuneet. Tarkastustoimintaa kohdennettiin toimintavuonna erityisesti siihen, miten organisaatiot hoitavat käyttöoikeuksien hallinnan ja valvovat henkilötietojen käsittelyä. Vuoden aikana toteutettiin tietosuojavaltuutetun toimiston ja tiedusteluvalvontavaltuutetun ensimmäinen yhteinen tarkastus sekä laajennettiin tarkastustoimintaa terveydenhuoltotoimialalle. Tarkastushavaintojen pohjalta organisaatioille annettiin  ohjausta ja suosituksia.

Huomionarvioinen asia toimintavuodelta on se, että syyttäjille tai esitutkintaviranomaisille annettujen lausuntojen määrä kasvoi merkittävästi edellisen vuoden 54 kappaleesta 110 kappaleeseen. Suurin osa lausunnoista koski tietosuojarikoksia, tietomurtoja ja viestintäsalaisuuden loukkauksia. Näiden niin sanottujen rikosasialausuntojen ja tietoturvaloukkausilmoitusten muodostaman kokonaiskuvan perusteella on huolestuttavaa, kuinka paljon urkintatapauksia tapahtuu ottaen vielä huomioon, että moni  tällaisista tapauksista jää edelleen piiloon.

Tekoälyn ja digitaalisten välineiden käyttö on ollut vuoden aikana keskeinen teema myös julkisella sektorilla. Esimerkiksi  varhaiskasvatus- ja opetustoimialalla tämä näkyi useana pyydettynä lausuntona. Tietosuojavaltuutetun toimisto antoi esimerkiksi lausunnon opasluonnoksesta, joka koski tekoälysovellusten käyttöä oppijoiden henkilötietojen käsittelyssä. Edellä mainitussa lausunnossa nostettiin esiin myös se, että oppijoille olisi tärkeää opettaa kansalaistaitona ymmärrystä siitä, miten heidän henkilötietojaan tyypillisesti käsitellään verkkopohjaisissa tekoälypalveluissa ja mitä oikeuksia heillä on.

Aloitin tekstini isoilla kysymyksillä, joita pohdittiin vuonna 2024. Yksi keskeinen alussa kysymättä jäänyt kysymyspari on, miten tekoäly tulee vaikuttamaan tulevaisuuteen ja miten sitä käytettäessä voidaan varmistaa tietosuojan toteutuminen. Tämä kysymysparikin nousi esiin jo vuonna 2024, mutta niin tämän kuin alussa esitettyjen kysymysten merkitys säilyy myös tulevina
vuosina.

Annina Hautala

Apulaistietosuojavaltuutettu

Tietosuojavaltuutetun toimiston vuosi 2024 lukuina

Lukuja toiminnastamme​​​:

• 13 284 vireille tullutta asiaa
• 13 291 käsiteltyä asiaa
• 7 152 vireille tullutta tietoturvaloukkausilmoitusta
• 2 289 puhelinneuvonnassa vastattua puhelua
• 9 aloitettua ja toteutettua tarkastusta
• 55 lausuntoa lainsäädäntöhankkeista
• 110 lausuntoa syyttäjälle tai esitutkintaviranomaiselle
• 7 rajat ylittävää asiaa, joissa tietosuojavaltuutetun toimisto määritettiin johtavaksi valvontaviranomaiseksi
• 252 rajat ylittävää asiaa, joissa tietosuojavaltuutetun toimisto määritettiin osallistuvaksi valvontaviranomaiseksi

Tietosuojavaltuutetun toimisto antoi vuonna 2024:

• 3 hallinnollista seuraamusmaksua tietosuojarikkomuksista
• 18 huomautusta tietosuoja-asetuksen vastaisista käsittelytoimista
• 9 määräystä saattaa henkilötietojen käsittelytoimet tietosuoja-asetuksen mukaisiksi
• 5 määräystä rekisteröidyn oikeuksien toteuttamisesta
• 42 määräystä ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisteröidyille
• 2 varoitusta siitä, että suunnitellut käsittelytoimet olisivat todennäköisesti tietosuoja-asetuksen vastaisia

Katsaus asiamääriin, kehittämistoimiin ja uudistuviin tehtäviin

Vireille tulleiden asioiden määrä jatkaa kasvuaan

​​​​​​​Tietosuojavaltuutetun toimistossa vireille tulleiden asioiden määrä vastasi edeltävän vuoden korkeaa tasoa ja kasvoi edelleen. Vuonna 2024 vireille tuli yhteensä 13 284 asiaa. Asioita ratkaistiin yhteensä 13 291, eli yli 200 enemmän kuin edeltävänä vuonna.

Ilmoitukset henkilötietoja koskevista tietoturvaloukkauksista ovat jo usean vuoden ajan olleet lukumäärällisesti suurin asiaryhmä. Tietoturvaloukkauksia ilmoitettiin vuoden aikana tietosuojavaltuutetun toimistolle yhteensä 7 152 kappaletta.

Vireille tulleiden asioiden sumaa on purettu tietosuojavaltuutetun toimistossa vuodesta 2020 lähtien. Vuoden 2024 lopussa vuosina 2018–2022 vireille tulleita eli yli kaksi vuotta vanhoja asioita oli ratkaisematta noin 1 200 kappaletta. Merkittävän osuuden niistä muodostavat rajat ylittävässä yhteistyössä käsiteltävät asiat, joissa menettelyä johtaa toisen ETA-maan valvontaviranomainen. Asioiden lukumäärän kasvusta huolimatta vireillä olevien asioiden määrää on saatu pienennettyä ruuhkanpurun toimenpiteillä.

Kehittämistoimilla tehostetaan asioiden käsittelyä

Toimiston keskeisiä kehittämistavoitteita ovat ratkaisutoiminnan ja seuraamuskollegion käsiteltäväksi tulevien asioiden valmistelun tehostaminen. Vuoden 2024 alussa voimaan tullut tietosuojalain muutos mahdollistaa sen, että tietosuojavaltuutettu voi siirtää ratkaisuvaltaa tarkasti rajatuissa, työjärjestyksen mukaisissa tilanteissa. Syksyllä 2024 nimitettiin kaksi ratkaisijana toimivaa esittelijää. Vuoden aikana käynnistettiin seuraamuskollegiotoiminnan kehittämistyö, ja toimistoon luotiin seuraamuskollegiotapausten valmisteluun erikoistuneen ylitarkastajan tehtävä. Seuraamuskollegio vastaa hallinnollisten seuraamusmaksujen ja henkilötietojen käsittelykieltojen määräämistä koskevien asioiden käsittelystä.

Toimistossa käynnistettiin vuoden 2024 aikana kehittämisprojekti, jolla pyritään kehittämään tietoturvaloukkausilmoituksiin liittyvän asiavirran hallintaa. Yleisen tietosuoja-asetuksen soveltamisen alkamisesta lähtien tietosuojavaltuutetun toimistolle on ilmoitettu yli 30 000 henkilötietojen tietoturvaloukkausta. Kehittämisprojektissa selvitetään muun muassa automaation hyödyntämistä tietoturvaloukkausilmoitusten käsittelyssä.

Vuonna 2022 käyttöön otetun tietoturvaloukkausilmoitusten seulontamenettelyn on todettu merkittävästi tehostaneen ilmoitusten käsittelyä. Seulontamenettelyssä arvioidaan muun muassa, vaatiiko asia tarkempaa selvittämistä rekisterinpitäjän kanssa ja antaako loukkaus viranomaiselle aihetta ryhtyä toimenpiteisiin. Prosessia jatkokehitettiin vuoden aikana.

Myös rekisteröidyn oikeuksia koskevien asioiden seulontamenettelyä jatkettiin. Menettelyä on vuodesta 2022 lähtien sovellettu sosiaali- ja terveydenhuollon toimialaan liittyviin asioihin, ja toimintatapoja päivitettiin sektorin asiavirran hallintaa tukevilla muutoksilla. Syyskuussa 2024 seulontamenettelyä laajennettiin finanssisektoria koskeviin asioihin. Menettelyn ansiosta rekisteröidyn oikeuksia koskevia asioita voidaan esimerkiksi ottaa selvitettäväksi pian niiden vireilletulon jälkeen. Tavoitteena on arvioida seulontamenettelyn laajentamista muillekin toimialoille.

Merkittäväksi tavoitteeksi lähivuosien ajalle on määritelty myös tiedonhallinnan kehittäminen. Syksyllä 2023 käyttöön otettu oikeushallinnon virastojen yhteinen asianhallintajärjestelmä on tehostanut asian- ja tiedonhallintaa tietosuojavaltuutetun toimistossa. Järjestelmä mahdollistaa esimerkiksi aiempaa paremmat raportointi- ja seurantamahdollisuudet sekä  laadukkaamman tilastotiedon. Tietoja voidaan hyödyntää resurssisuunnittelussa ja muussa toiminnan johtamisessa.

Lainsäädännön muutokset tuovat uusia tehtäviä

Viime vuosina tietosuojavaltuutetun toimistolle on tullut useita uusia tehtäviä lainsäädäntöuudistusten myötä, ja tehtävien määrän odotetaan edelleen kasvavan.

Uudistukset tietosuojalakiin ja rikosasioiden tietosuojalakiin astuivat voimaan vuoden 2024 alussa. Lakimuutoksen myötä  tietosuojavaltuutetun toimiston on ratkaistava kanteluasia tai ilmoitettava henkilölle arvio ratkaisun ajankohdasta kolmen kuukauden kuluessa asian vireille tulosta. Henkilö voi valittaa hallinto-oikeuteen, jos tietosuojavaltuutettu ei anna ratkaisua tai
ilmoita arviota käsittelyajankohdasta tässä määräajassa. Säännös koskee vuoden 2024 alusta lähtien vireille saatettuja asioita, eikä sitä sovelleta takautuvasti. Tietosuojavaltuutetun toimistossa saatettiin vuonna 2024 vireille yhteensä noin 3 130 asiaa, joihin sovelletaan tätä passiivisuusvalitussääntelyä. Asiat ovat pääsääntöisesti ilmiantoja, kanteluita, neuvonpyyntöjä ja rekisteröidyn oikeuksia koskevia asioita. Suurin osa asioista päätettiin ennen kolmen kuukauden määräaikaa.

Vuoden 2023 alussa voimaan astuneen ilmoittajansuojelulain myötä tietosuojavaltuutetun toimisto on toimivaltainen  valvontaviranomainen yksityisyyden ja henkilötietojen suojan sekä verkko- ja tietojärjestelmien turvallisuutta koskevissa ilmoituksissa. Toimivaltaisten viranomaisten on vuosittain raportoitava oikeuskanslerinvirastolle ilmoittajansuojelulain mukaisista ilmoituksista. Vuoden aikana tietosuojavaltuutettu vastaanotti kuusi toimivaltaansa kuuluvaa ilmoitusta. Myös kuusi ilmoitusta arvioitiin ja ratkaistiin. Yksi ratkaistuista ilmoituksista oli tehty vuonna 2023. Ilmoituksissa ei havaittu aihetta toimenpiteille.

EU:n uudistuva digi- ja datasääntelykokonaisuus tuo tehtäviä myös tietosuojavaltuutetun toimistolle. Digi- ja datasäädöksiin kuuluvat muun muassa tekoälyasetus (AIA), digipalveluasetus (DSA), digimarkkina-asetus (DMA), data-asetus (DA) ja  datanhallinta-asetus (DGA).

EU:n digipalveluasetusta alettiin soveltaa täysimääräisesti 17.2.2024. Asetuksessa säädetään digipalvelujen tarjoajille, kuten verkkoalustoille velvollisuuksia palvelujen avoimuuden ja turvallisuuden parantamiseksi. Suomessa asetuksen valvonta on jaettu Liikenne- ja viestintävirasto Traficomin, tietosuojavaltuutetun toimiston ja kuluttaja-asiamiehen kesken. Pääasiallinen valvoja on Traficom. Tietosuojavaltuutettu valvoo aatteellisen ja yhteiskunnallisen mainonnan tunnistettavuutta, verkkomainonnan ja suosittelujärjestelmien läpinäkyvyyttä sekä alaikäisten suojelua verkkoalustoilla. Digipalveluasetus kieltää esimerkiksi mainonnan kohdentamisen verkkoalustoilla erityisten henkilötietojen, kuten poliittisten mielipiteiden, uskonnon tai etnisyyden perusteella ja henkilötietoihin perustuvan mainonnan kohdentamisen alaikäisille. Suomen viranomaiset vastaanottivat yhteensä 78 digipalveluasetuksen mukaista valitusta vuonna 2024. Valituksista kolme tehtiin tietosuojavaltuutetulle.

Tekoälyyn liittyvät aiheet leimasivat vahvasti toimintaympäristöä. EU:n tekoälyasetus tuli voimaan elokuussa 2024 ja sitä aletaan soveltaa vaiheittain. EU-maiden on nimitettävä tekoälyasetusta valvovat kansalliset viranomaiset 2.8.2025 mennessä. Vuoden aikana Euroopan tietosuojaneuvosto antoi lausunnot muun muassa tekoälymallien kehittämisestä ja tietosuojaviranomaisten roolista suuririskisten tekoälyjärjestelmien valvonnassa. Lokakuussa G7-maiden tietosuojaviranomaiset antoivat tapaamisessaan julkilausuman, jossa ne korostivat tietosuojaviranomaisten keskeistä tekoälyn valvontaroolia.