Hyppää sisältöön

Toimintakertomus 2025

Tietosuojavaltuutetun toimiston toimintakertomuksessa kuvataan vuoden tärkeimpiä tietosuojatapahtumia, valvontatyötä eri toimialoilla ja toiminnan tunnuslukuja. 

​​​​Tietosuojavaltuutetun toimiston toimintakertomus 2025 (pdf)

Tältä sivulta voit lukea toimintakertomuksen pääkohtia:

Tietosuojavaltuutetun toimisto turvaa ihmisten oikeuksia ja vapauksia henkilötietojen käsittelyssä

Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, joka valvoo tietosuojalainsäädännön ja muiden henkilötietojen käsittelyä koskevien säädösten noudattamista. Tietosuojavaltuutettuna vuonna 2025 toimi Anu Talus ja apulaistietosuojavaltuutettuina Heljä-Tuulia Pihamaa ja Annina Hautala. Tietosuojavaltuutettu ja apulaistietosuojavaltuutetut ovat tehtävässään itsenäisiä ja riippumattomia. 

Tietosuojavaltuutettu Anu Talus: Murrokset vievät toimintaympäristöä uuteen suuntaan 

​​​​​​​​​​​​​​ Tietosuojavaltuutettu Anu Talus             Tietosuojaympäristöä muovaavat tällä hetkellä geopoliittinen tilanne, uudistuva lainsäädäntö ja EU:n kilpailukykyä koskeva keskustelu. Myös tietosuojaviranomaisen tehtäväkenttä laajenee.

Tietosuojavaltuutetulle myönnettiin vuonna 2025 lisäresursseja lakisääteisten tehtävien hoitamiseksi. Vuoden aikana viimeisteltiin suunnitelma uudesta organisaatiorakenteesta ja laadittiin nelivaiheinen rekrytointisuunnitelma. Toimiston yksityisen ja julkisen sektorin ohjaus- ja valvontayksiköihin päätettiin perustaa yhteensä viisi toimialoihin perustuvaa vastuualueryhmää. Esikuntayksikköön perustettiin EU- ja kansainvälisten asioiden ryhmä sekä IT-asioihin keskittyvä
ryhmä. Uusia ryhmiä johtavat ryhmäpäälliköt. Samalla aloitettiin rakenteiden luominen uusia valvontatehtäviä varten, joita tietosuojavaltuutetun toimistolle tulee erityisesti EU:n tekoälyasetuksesta.

​​​​​Tietosuojakeskustelussa maailmanpolitiikan tapahtumat ovat nostaneet digisuvereniteetin uudella tavalla pintaan. Kysymys on siitä, kuka viime kädessä hallitsee tietoa digitaalisessa ympäristössä ja kenellä on pääsy dataan. Nämä ovat merkittäviä kysymyksiä myös tietosuojasääntelyssä ja kansainvälisissä tiedonsiirroissa. Vuoden aikana henkilötietojen siirrot erityisesti Kiinaan nousivat puheenaiheeksi. Tietosuojavaltuutettu aloitti tutkinnan yliopiston tiedonsiirroista kiinalaiselle yritykselle. Irlannin tietosuojaviranomainen puolestaan määräsi TikTokille 530 miljoonan euron seuraamusmaksun henkilötietojen siirtämisestä Kiinaan lainvastaisesti. Päätös tehtiin eurooppalaisten tietosuojaviranomaisten yhteistyömenettelyssä, johon tietosuojavaltuutettu osallistui. Tässä menettelyssä valmistellaan yhteinen ratkaisu, joka sitoo kaikkia valvontaviranomaisia.

Vuosittain osallistumme noin 500 rajat ylittävän asian käsittelyyn. Uusi EU-asetus, joka yhdenmukaistaa ja nopeuttaa tietosuojaviranomaisten toimintaa useaan jäsenvaltioon kytkeytyvissä asioissa, tulee vaikuttamaan kanteluiden käsittelyyn huhtikuusta 2027 eteenpäin.

Digisuvereniteetin lisäksi EU:n kilpailukyky on noussut julkisen keskustelun keskiöön. Vuonna 2024 julkaistu Draghi-raportti nimesi yhdeksi kilpailukykyä heikentäväksi tekijäksi vaikean, monikerroksisen digisääntelyn. Euroopan komissio on ehdottanut useita uudistuksia, joiden tavoitteena on sääntelyn yksinkertaistaminen. Yleistä tietosuoja-asetusta koskevat muutosehdotukset näyttäisivät pääosin vastaavan eurooppalaisten tietosuojaviranomaisten tulkintakäytäntöä. Niin sanotussa digiomnibus-esityksessä ehdotettu henkilötiedon määritelmä on kuitenkin herättänyt huolta, sillä se poikkeaisi EU-tuomioistuimen
ratkaisukäytännöstä ja loisi epävarmuutta henkilötiedon käsitteen tulkinnasta.

Eurooppalaisten tietosuojaviranomaisten päälliköt kokoontuivat Euroopan tietosuojaneuvoston korkean tason kokoukseen Helsinkiin heinäkuussa 2025. Tapaamisessa annettiin Helsingin julkilausuma, jossa sitouduimme antamaan konkreettista
tukea organisaatioille ja varmistamaan mahdollisimman yhtenäisen soveltamiskäytännön EU:n alueella. Päätavoitteena on ”GDPR made easy”, tehdä lainsäädännön noudattamisesta helpompaa. Samalla sovittiin yhteistyön tiivistämisestä muiden alojen viranomaisten ja sidosryhmien kanssa.

Vahva suuntaus lainsäädäntöhankkeissa niin kansallisesti kuin Euroopassa on ollut viranomaisten toimivaltuuksien laajentaminen, ja viranomaisten tiedonsaantioikeuksiin ehdotetut muutokset olivatkin useamman lausuntopyynnön kohteena vuoden aikana. Lakiuudistuksilla tavoitellaan tärkeitä päämääriä, kuten harmaan talouden ja rikosten torjuntaa. Muutosten on kuitenkin oltava oikeasuhtaisia ja välttämättömiä, ja viranomaisten toimivaltuudet on rajattava tarkasti. Yksi lakiuudistuksista laajentaisi verottajan oikeutta saada tietoja suomalaisten tilitapahtumista. Eduskunnan perustuslakivaliokunta edellytti lausunnossaan muutoksia ehdotukseen.

Eduskunnan käsittelyssä oli myös valtioneuvoston kanta EU:n CSAM-asetuksesta, jolla torjutaan lapsiin kohdistuvaa seksuaaliväkivaltaa verkossa. Suomi ja useat muut jäsenmaat asettuivat vastustamaan pakollista suojatun yhteyden murtamista
viestisovelluksissa. Merkittäviä lainvalmisteluhankkeita olivat myös ehdotukset tietosuojalainsäädännön ja seuraamusjärjestelmän muutoksista.

Toimintaympäristön monimutkaistuessa tarvitaan yhä enemmän yhteistyötä viranomaisten välillä niin kansallisesti kuin Euroopan tasolla. Teknologian ja sääntelykentän nopea kehitys tulee entisestään kasvattamaan tarvetta ihmisten perusoikeuksien turvaamiselle.

Anu Talus
Tietosuojavaltuutettu

Apulaistietosuojavaltuutettu Heljä-Tuulia Pihamaa: Tietosuojavuotta leimasi tekoäly ja turvallinen tietojen käsittely

        Vuotta 2025 leimasi tekoälyn nopea yleistyminen erityisesti yksityisellä sektorilla. Yritykset ottivat kiihtyvällä tahdilla käyttöön erilaisia tekoälytyökaluja, ja tekoälykysymykset nousivat yhdeksi keskeisimmistä teemoista. EU:n tekoälyasetusta
koskevat kansalliset lait tulivat voimaan 1.1.2026, ja tietosuojavaltuutetun toimistossa käynnistimme valmistautumisen viranomaisen uusiin tehtäviin. Osana valmistautumista julkaisimme keväällä ohjausta siitä, miten tietosuoja tulee huomioida tekoälyjärjestelmissä. Työ jatkuu aktiivisesti vuoden 2026 aikana.

Kestävän ja eettisen tekoälyn kehittäminen edellyttää tiivistä yhteistyötä niin kansallisesti kuin kansainvälisesti. Tekoäly oli pääteema myös vuosittaisessa
tietosuojaviranomaisten maailmankokouksessa, jossa korostettiin tietosuojasääntelyn ja erityisesti tietosuojaperiaatteiden merkitystä tekoälyn kehityksessä sekä viranomaisten yhteistyön tarvetta. Suomessa yhteistyötä alettiin
rakentaa 15 tekoälyä valvovan kansallisen viranomaisen kesken Traficomin  koordinoimana.

Tekoälyn käyttöönotto näkyi myös tietoturvaloukkausilmoituksissa. Useissa tapauksissa henkilötietojen käsittelyyn liittyviä riskejä ei ollut arvioitu riittävästi ennen uusien työkalujen käyttöönottoa. Tämä korostaa rekisterinpitäjien velvollisuutta huomioida tietosuoja jo suunnitteluvaiheessa.

Tietoturvaloukkausilmoitukset olivat edelleen toimiston suurin asiaryhmä. Toimintavuoden aikana jatkettiin kehittämisprojektia, jonka tavoitteena on automatisoinnin hyödyntäminen ilmoitusten käsittelyssä. Tavoitteena on ottaa automaatiota käyttöön toiminnassa vuoden 2026 aikana.

Vuonna 2025 tietosuojavaltuutetun toimiston seuraamuskollegio määräsi kolme hallinnollista seuraamusmaksua. Päätöksiä yhdisti henkilötietojen turvallisen käsittelyn teema toimialoilla, joilla henkilötietojen käsittely kuuluu organisaation
ydintoimintaan ja tiedot ovat arkaluonteisia. Päätöksissä korostui muutosprosessien huolellinen hallinta ja tietojärjestelmien ennakkotestaus. Monet tietosuojariskit liittyvätkin edelleen toimintatapojen puutteisiin, eivät pelkästään teknisiin ongelmiin.
Suunnitelmallisuuden, huolellisuuden ja ennakoivan arvioinnin merkitystä henkilötietojen käsittelyssä ei voida korostaa liikaa.

Saimme myös useita merkittäviä korkeimman hallinto-oikeuden ennakkopäätöksiä erityisesti vakuutusalalla. Korkein hallinto-oikeus linjasi päätöksissään vakuutetun käsitteen tulkinnasta sekä tietopyyntöjen edellytyksistä, joita vakuutusyhtiöt tekevät terveydenhuollolle korvausasioiden ratkaisemiseksi. Ennakkopäätöksissä kumottiin tietosuojavaltuutetun kannat. Samalla niissä korostettiin, että vakuutusyhtiöiden tietopyyntöjen tulee olla perusteltuja, yksilöityjä ja välttämättömiä. Olemme eri yhteyksissä korostaneet, että käsittelyn on myös oltava asiakkaalle ennakoitavaa ja läpinäkyvää.

Kesäkuussa korkein hallinto-oikeus antoi merkittävän ennakkopäätöksen käyttäjälokitietojen saantioikeudesta niin sanotussa Pankki S -asiassa. Asiakkaalla oli oikeus saada tietää henkilötietojensa käsittelyn tarkoitukset ja ajankohdat, mutta ei tietoja käsitelleiden työntekijöiden henkilöllisyyttä. Lokitietojen saantioikeus näkyi myös toimistolle saapuneissa neuvontakysymyksissä.

EU-tasolla keskustelua herättivät digipalvelusäädöksen (DSA) valvonta, verkkopalvelujen ikärajavalvonta sekä lasten suojaaminen verkkoalustoilla. Digipalveluasetuksen tiivis valvontayhteistyö jatkui Traficomin johdolla, ja valvonta-asioissa
nähtiin myös kasvua. Loppuvuodesta Euroopan komissiolta saatiin ensimmäiset digijättejä koskevat päätökset, kun ensimmäinen seuraamusmaksu DSA:n avoimuusvelvoitteiden rikkomisesta määrättiin sosiaalisen median palvelu X:lle.

Rekisteröityjen oikeuksiin liittyvät kysymykset näkyivät edellisten vuosien tavoin vahvasti neuvonnassa ja valvonnassa. Henkilötietojen poisto-oikeus oli tarkastelun alla, kun EU- ja ETA-maiden tietosuojaviranomaiset selvittivät organisaatioiden
käytäntöjä ja haasteita oikeuden toteuttamisessa. Vahvat tietosuojaoikeudet on entistäkin tärkeämpi turvata nyt, kun tiedonkeruu digitaalisessa ympäristössä muuttuu ja lisääntyy jatkuvasti uusien teknologioiden myötä.

Heljä-Tuulia Pihamaa
Apulaistietosuojavaltuutettu

Apulaistietosuojavaltuutettu Annina Hautala: Kokonaisturvallisuus edellyttää vahvaa tietosuojaa

Dramaattisesti ilmaistuna voisi sanoa, että nykyinen kiehuva maailma on näkynyt tietosuojavaltuutetunkin toiminnassa. Tietosuojan toteutumiseen liittyen on noussut esiin uusia uhkakuvia. Toisaalta voisi sanoa, että toimintaympäristön muutokset ovat olleet ennakoidun kaltaisia. Maailma on jatkanut monimutkaistumistaan, henkilötietojen
käsittely on edelleen lisääntynyt ja teknologia, erityisesti tekoäly, on jatkanut kehittymistään ja arkipäiväistymistään.

Tietosuojalla on keskeinen merkitys demokratian, yhteiskuntarauhan ja turvallisuuden rakentamisessa. Tietosuoja onkin merkittävä osa kokonaisturvallisuutta. Se, miten yhteiskunnassa suhtaudutaan yksityisyyden suojaan ja tietosuojaoikeuksiin
vaikuttaa suoraan siihen, miten yhteiskunta pysyy demokraattisena ja turvallisena. Tässä julkisen sektorin toimijoilla on keskeinen rooli. Keskeinen osa tietosuojavaltuutetun toimiston työtä onkin valtion, kuntien ja hyvinvointialueiden henkilötietojen
käsittelyn ohjaus ja valvonta. Vuoden aikana otettiin kantaa esimerkiksi siihen, voidaanko
opetussektorilla käsitellä lasten biometrisiä tietoja tietyssä tarkoituksessa ja käynnistettiin selvitys geenitietojen siirrosta kiinalaiselle yritykselle.

Muutoksen keskellä on tärkeää, että organisaatiot ja yksilöt tietävät, mitä henkilötietoja teknologialla kulloinkin käsitellään, mitä tiedoilla tehdään ja ettei tietojen hallintaa ja päätösvaltaa anneta tarkoituksettomasti muualle, kuten suurille  teknologiayrityksille. Ei tule unohtaa, että tietosuojalainsäädännöstä tulevat raamit koskevat henkilötietojen käsittelyä hyödynnettävästä teknologiasta riippumatta.

Aiempien vuosien tapaan asioita tuli vireille eniten sosiaali- ja terveydenhuoltosektorilta. Noin neljäsosa vireille tulleista asioista koski tätä toimialaa. Suuri osa julkishallintoa koskevista asioista liittyi henkilötietojen tietoturvaloukkauksiin ja yksilöiden
tietosuojaoikeuksien käyttöön. Yleinen neuvo rekisteröidyille on, että halutessasi käyttää tietosuojaoikeuksia,
ole ensin yhteydessä henkilötietojasi käsittelevään organisaatioon.

Tyypilliseen tapaan moni henkilötietoihin kohdistunut tietoturvaloukkaus johtui inhimillisestä virheestä. On myös nähtävissä, että useammassa tapauksessa tietoturvaloukkauksen taustalla ovat olleet vanhat ja päivittämättömät laitteet sekä järjestelmät

ja muut puutteet tietoturvallisuudessa. Haluan korostaa, että vahinkojen minimoinnin kannalta on syytä kiinnittää huomiota hyvään tiedonhallintaan ja tarpeettomien tietojen poistamiseen sekä tietojen käsittelyn valvontaan.

Tärkeä osa työtämme on lainsäädäntövalmistelun tukeminen. Vuoden aikana kiinnitimme lainsäätäjän huomiota useamman kerran viranomaisten tiedonsaanti- ja -käsittelyoikeuksien laajentumisen vaikutuksiin, tietosuojavaikutusten arvioinnin puutteisiin, vastuiden selkeyteen sekä perusoikeuksien toteutumiseen liittyvään tasapainoon. Vuoden aikana lausuttiin esimerkiksi Verohallinnon tiedonsaantioikeuksia koskevasta hallituksen esityksestä ja ehdotuksesta, jonka tavoitteena on laajentaa mahdollisuutta hyödyntää muun muassa poliisin passirekisteriin talletettuja biometrisiä tietoja rikostukinnassa.
Lisäksi vuoden aikana annettiin useampia lausuntoja koskien varhaiskasvatus- ja opetussektoria sekä sosiaali- ja  terveydenhuollon toimialaa.

Vuoden aikana toimistostamme annettiin yli sata lausuntoa rikosoikeudellisen syyteharkinnan tueksi. Huomionarvoista on, että merkittävä osa näistä lausunnoista koski urkintaepäilyjä. Käsittelyssä on ollut myös poikkeuksellisen laajoja urkintakokonaisuuksia.

Ennakollinen ohjaus on tietosuojaviranomaisen keskeinen tehtävä. Kun kirjalliset ohjaus- ja neuvontapyynnöt sekä  puhelinneuvontapuhelut lasketaan yhteen, päästään lähes 4 000 hoidettuun ohjaus- ja neuvontapyyntöön vuoden aikana. Arjen
työssä tasapainoilemme sen kanssa, miten yksityiskohtaista neuvontaa voidaan valvontaviranomaisen roolissa etukäteen antaa. Vuoden aikana suoritettiin myös useampia rekisterinpitäjiin kohdistuvia tarkastuksia, joissa on mahdollista tukea organisaatioita tietosuojatyössään.

Sidosryhmäyhteistyötä tehtiin vuoden aikana monin eri tavoin. Osallistuimme esimerkiksi Kuntaliiton vetämään Kuntien tietosuojan perusohjeet -hankkeeseen sekä kyber- ja digitaalista turvallisuutta kehittävään VAHTI-toimintaan.

Ympärillä tapahtuvista muutoksista ja kiireestä huolimatta on ollut ilo seurata, kuinka toimistomme henkilöstö on tänäkin vuonna tehnyt työtä sinnikkäästi ja korkealla ammattitaidolla tietosuojan eteen. Osaavan henkilöstön lisäksi valvontaviranomaisen riippumattomuus, toimivat prosessit ja riittävät resurssit ovat keskeisiä edellytyksiä työssä onnistumiselle.

Annina Hautala
​​​​Apulaistietosuojavaltuutettu

Tietosuojavaltuutetun toimiston vuosi 2025 lukuina

Lukuja toiminnastamme​​​:

  • 15 408 vireille tullutta asiaa
  • 15 033 käsiteltyä asiaa
  • 7 355 vireille tullutta tietoturvaloukkausilmoitusta
  • 2 579 puhelinneuvonnassa vastattua puhelua
  • 10 aloitettua ja toteutettua tarkastusta
  • 39 lausuntoa lainsäädäntöhankkeista
  • 100 lausuntoa syyttäjälle tai esitutkintaviranomaiselle
  • 22 rajat ylittävää asiaa, joissa tietosuojavaltuutetun toimisto määritettiin johtavaksi valvontaviranomaiseksi
  • 484 rajat ylittävää asiaa, joissa tietosuojavaltuutetun toimisto määritettiin osallistuvaksi valvontaviranomaiseksi

Tietosuojavaltuutetun toimisto antoi vuonna 2025:

  • 3 hallinnollista seuraamusmaksua tietosuojarikkomuksista
  • 30 huomautusta tietosuoja-asetuksen vastaisista käsittelytoimista
  • 8 määräystä saattaa henkilötietojen käsittelytoimet tietosuoja-asetuksen mukaisiksi
  • 8 määräystä rekisteröidyn oikeuksien toteuttamisesta
  • 4 määräystä ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisteröidyille

Katsaus tilastoihin ja toimintakenttään

Asiamäärä kasvoi merkittävästi

Tietosuojavaltuutetun toimistossa vireille tulleiden ja käsiteltyjen asioiden määrä kasvoi huomattavasti edelliseen vuoteen nähden. Vuonna 2025 vireille tuli ennätysmäärä, yhteensä 15 408 asiaa. Kasvua edelliseen vuoteen nähden oli 2 100 asiaa. Asioita käsiteltiin yhteensä 15 033, eli yli 1 700 edellistä vuotta enemmän.

Huomattavan osan asiamäärän kasvusta selitti tietosuojavastaavia koskevien ilmoitusten poikkeuksellisen suuri määrä. Yksi tietosuojavaltuutetun toimiston lakisääteisistä tehtävistä on ylläpitää luetteloa organisaatioiden tietosuojavastaavista.
Luettelo päivitettiin vuoden 2025 aikana, minkä vuoksi ilmoituksia vastaanotettiin useita satoja tavanomaista vuotta enemmän,
yhteensä yli 900.

Ilmoitukset henkilötietoja koskevista tietoturvaloukkauksista ovat lukumäärältään suurin asiaryhmä tietosuojavaltuutetun toimistossa, ja määrä kasvaa vuosittain. Tietoturvaloukkauksia ilmoitettiin vuoden aikana yhteensä 7 355, ja määrä kasvoi edellisvuodesta 200 ilmoituksella. Ilmoitusten suhteellinen osuus vireille tulleista asioista kuitenkin kääntyi laskuun.

Muita merkittäviä asiaryhmiä ovat erityisesti valvontaan, ohjaukseen ja neuvontaan, EU-yhteistyöhön sekä yksityishenkilöiden kanteluihin ja pyyntöihin liittyvät tehtävät.

Murroksia toimintakentässä ja sääntely-ympäristössä

Digitaalisen ympäristön ja globaalin datatalouden murros muovaavat tietosuojavaltuutetun toimiston toimintakenttää. Digi- ja datasääntelystä tulevat uudet tehtävät laajentavat tietosuojaviranomaisen valvontavastuita, ja tehtävien määrän odotetaan lisääntyvän edelleen. Myös kansallinen lainsäädäntö uudistuu.

Valmistelu tietosuojalainsäädännön kokonaisuudistukseen liittyvistä muutoksista oikeusministeriön hallinnonalan lainsäädäntöön käynnistyi keväällä 2025. Uudistuksessa ehdotetaan muutoksia tietosuojalakiin ja kymmeneen muuhun lakiin. Tietosuojavaltuutettu lausui lokakuussa hallituksen esitysluonnoksesta. Lakimuutokset koskevat muun muassa tiedon liikkuvuutta viranomaisten välillä, arkaluonteisten henkilötietojen käsittelyä sekä sähköisiä tietojen luovutustapoja. Lisäksi ehdotetaan sertifiointielimen akkreditointitehtävän siirtämisestä tietosuojavaltuutetulta kansalliselle akkreditointielimelle
(FINAS). 

EU:n tekoälyasetusta (AI Act) valvovien kansallisten viranomaisten toimivaltuuksista sekä tekoälylainsäädännön rikkomuksista sääntelevät lait hyväksyttiin joulukuussa 2025 ja ne tulivat voimaan 1.1.2026. Tekoälyasetuksen valvonta on hajautettu Suomessa 15 eri viranomaistaholle. Liikenne- ja viestintävirasto Traficom toimii kansallisena yhteyspisteenä. Vuoden aikana
valmistauduttiin tekoälyasetuksen soveltamisen käynnistymiseen tiiviissä viranomaisyhteistyössä. Yhteistyötä koordinoi Traficom.

Tietosuojavaltuutettu toimii yhtenä suuririskisten tekoälyjärjestelmien markkinavalvontaviranomaisista, jotka valvovat, että järjestelmät ovat lainmukaisia eikä EU:n sisämarkkinoilla ole vaarallisia tai turvallisuudeltaan puutteellisia tuotteita. Lisäksi tietosuojavaltuutettu toimii ilmoitettuna laitoksena eräiden suuririskisten tekoälyjärjestelmien osalta. Se tarkistaa pyynnöstä tiettyjen turvallisuusviranomaisten käyttöön suunniteltujen tekoälyjärjestelmien vaatimuksenmukaisuuden ennen niiden käyttöönottoa. Tietosuojavaltuutettu valvoo tekoälyasetuksessa kiellettyjä käytäntöjä ja toimii perusoikeuksia valvontana viranomaisena sekä tietosuojaviranomaisena. Vahingollisimpien tekoälyn käyttötapausten kieltoja alettiin soveltaa helmikuussa 2025.

EU:n data-asetuksen (Data Act, DA) soveltaminen alkoi suurelta osin 12.9.2025 ja sitä koskeva kansallinen lainsäädäntö astui voimaan joulukuussa 2025. Asetuksessa säädetään verkkoon kytkettyjen laitteiden ja palvelujen tuottaman datan jakamisesta ja käyttäjän oikeudesta dataan. Tietosuojavaltuutettu valvoo asetuksen noudattamista henkilötietojen suojan osalta. Jos viranomainen tai muu julkinen toimija pyytää yritykseltä henkilötietoja sisältävää dataa yhteiskunnallisessa poikkeustilanteessa, asiasta on ilmoitettava tietosuojavaltuutetulle.

EU:n digipalveluasetus (Digital Services Act, DSA) lisää verkkoalustojen turvallisuutta ja parantaa digipalvelujen käyttäjien asemaa. Suomessa asetuksen pääasiallinen valvoja on Traficom. Vuonna 2025 tietosuojavaltuutetun vastuulle kuului valvoa poliittisen mainonnan tunnistettavuutta, verkkomainonnan ja suosittelujärjestelmien läpinäkyvyyttä sekä alaikäisten suojelua verkkoalustoilla. Vuodesta 2026 alkaen tietosuojavaltuutetun valvontarooliin tuli muutos, kun verkon välityspalvelujen valvonnasta annetun lain muutoksella (HE 57/2025) yhteiskunnallisen ja poliittisen mainonnan avoimuuteen liittyviä
valvontatehtäviä siirrettiin valtiontalouden tarkastusvirastolle. Tietosuojavaltuutettu valvoo jatkossa edelleen  elinkeinonharjoittajien välistä mainontaa. Digipalveluasetuksen tiivistä valvontayhteistyötä jatkettiin vuonna 2025. Valvonta-asiat lisääntyivät edelliseen vuoteen nähden kansallisissa valvontaviranomaisissa. Tietosuojavaltuutettu vastaanotti yhteensä 7 valitusta. Joulukuussa Euroopan komissio antoi ensimmäiset päätökset digipalveluasetuksen noudattamisesta. 

Poliittisen mainonnan avoimuutta ja kohdentamista koskevaa EU-asetusta (EU) 2024/900 alettiin soveltaa lokakuussa 2025. Asetuksella lisätään poliittisen mainonnan läpinäkyvyyttä sekä torjutaan disinformaatiota ja ulkomaista vaalivaikuttamista.
Samalla varmistetaan, että mainonnan kohdentamisessa ei loukata henkilötietojen suojaa. Tietosuojavaltuutettu valvoo poliittisen verkkomainonnan kohdentamista ja näyttämistä, kun siihen liittyy henkilötietojen käsittelyä. Asetusta täydentävä kansallinen lainsäädäntö astui voimaan 1.1.2026.

EU:ssa hyväksyttiin joulukuussa 2025 uusi tietosuoja-asetusta täydentävä menettelysääntöjä koskeva asetus (EU) 2025/2518, jota aletaan soveltaa huhtikuussa 2027. Asetuksella tehostetaan tietosuojaviranomaisten toimintaa valvonta-asioissa, joilla on kytkös useampaan maahan Euroopan talousalueella. Siinä säädetään muun muassa määräajoista, tutkinnan vaiheista,
viranomaisten välisestä tiedonvaihdosta ja asianosaisten oikeuksista. Tietosuojavaltuutetun toimisto on aloittanut  valmistautumisen velvoitteisiin.

Euroopan komissio pyrkii yksinkertaistamaan EU-sääntelyä omnibus-lainsäädäntöehdotuksilla. Niin sanotut digiomnibus- ja tekoälyomnibus-ehdotukset annettiin marraskuussa 2025. Komission tavoitteena on helpottaa sääntelyn noudattamista, vahvistaa eurooppalaista kilpailukykyä ja keventää yritysten hallinnollista taakkaa.

Sivun alkuun