Yleistä

Tietosuojavaltuutetun toimintakertomuksen laatiminen perustuu Euroopan unionin yleisen tietosuoja-asetuksen (EU 2016/679) 59 artiklaan, ja siitä säädetään myös tietosuojalain (1050/2018) 14 §:ssä. Toimintakertomus toimitetaan eduskunnalle ja valtioneuvostolle ja se on pidettävä yleisesti saatavilla. Tietosuoja-asetuksen 59 artikla lisäksi edellyttää, että toimintakertomus on saatettava komission ja Euroopan tietosuojaneuvoston saataville. 

Hallintovaliokunta toteaa, että kertomuksessa on hyvin tiivistetty tietosuojavaltuutetun toimiston toiminta kertomusvuonna ja toimistoa koskevat keskeiset tilastotiedot. Vuonna 2022 toimistossa tuli vireille yhteensä 11 095 asiaa. Asioita ratkaistiin 774 enemmän kuin niitä tuli vuoden aikana vireille, yhteensä noin 11 870 kappaletta. Tietosuojavaltuutetun toimistolle tehtiin vuoden aikana 5 445 tietoturvaloukkausilmoitusta, mikä oli yli 660 edellistä vuotta enemmän. Näin ollen tietoturvaloukkausilmoitukset käsittävät lähes puolet kaikista toimistossa vireille tulleista asioista. 

Terveydenhuolto puolestaan muodostaa tietosuojavaltuutetun toimiston suurimman toimialan vireille tulleiden asioiden määrässä mitattuna. Vuonna 2022 vireille tulleista asioista noin 22 % koski terveydenhuollon toimialaa. Valiokunta katsoo, että vireille tulleiden asioiden määrien tarkastelua ja niiden jakautumista tietyille sektoreille on tärkeää ryhtyä tarkastelemaan lähemmin ja arvioida lainsäädännön ja muiden toimenpiteiden toimivuutta ja riittävyyttä tehtyjen havaintojen pohjalta. 

Ohjaus ja lainsäädännön kehittäminen

Kertomuksen mukaan merkittäviä tietosuojakysymyksiä linjattiin yksityisellä ja julkisella sektorilla mm. tietojen minimointia, käsittelyn lainmukaisuutta, sijaintitietoja sekä tarkastusoikeutta koskevissa asioissa. Lisäksi kertomuksesta on luettavissa, että ohjauksen, neuvonnan ja yleisen viestinnän lisäksi tietosuojavaltuutetun toimiston asiantuntijat ovat luennoineet erilaisissa seminaareissa ja tilaisuuksissa.  

Valiokunta korostaa, että tietosuojavaltuutetun toimiston asiantuntevaa ohjausta, ennakollista neuvontaa, koulutusta ja tukea tarvitaan edelleen monenlaisissa käytännön soveltamistilanteissa. Tietosuojalainsäädäntö on moniulotteista ja lainsäädännön tulkinta on toimijoille usein haasteellista. Erityisesti valiokunta on huolissaan lasten ja nuorten hyvinvoinnin turvaamisesta tietosuojalainsäädännön erilaisten tulkintojen ja käytäntöjen keskellä. Käytännössä tietosuojalainsäädäntöä soveltavat usein muiden alojen ammattilaiset kuin tietosuoja-asiantuntijat. Valiokunta pitääkin tärkeänä, että tietosuojavaltuutetun toimistossa on riittävää osaamista antamaan yhtenäisiä, yksiselitteisiä ja riittävän yksinkertaisia käytännön soveltamisohjeita niitä työssään tarvitseville. 

Valiokunta tuo myös esiin, että muunkinlaiset tilanteet ovat tietosuojalainsäädännön soveltamisen näkökulmasta edelleen haasteellisia, kuten esimerkiksi erilaiset viranomaisten tietojen luovuttamiseen ja tiedonvaihtoon liittyvät kysymykset, joita on ollut valiokunnan käsittelyssä usein. Valiokunta kiinnitti muun muassa lausunnossaan (HaVL 24/2021 vp) huomiota sosiaalihuollon asiakastietoihin kohdistuvaa poliisin tiedonsaantioikeutta koskevaan korkeimman hallinto-oikeuden ratkaisuun (KHO 2021:13), jonka mukaan poliisilla ei ollut oikeutta pyynnöstään saada henkilön tietoja sosiaalihuollolta siitä huolimatta, että tämän epäiltiin saattavan tehdä yleisellä paikalla useisiin henkilöihin kohdistuvan terroristisen väkivallanteon. Edelleen lausunnossaan hallintovaliokunta totesi, että sen mielestä tiedot pitäisi voida luovuttaa poliisin pyynnöstä. Ellei tietojen luovutus keskeisten oikeushyvien, hengen ja terveyden, suojelemiseksi toimi, on välttämätöntä velvoittaa viranomaiset tietojen luovuttamiseen lainsäädäntöä muuttamalla. Valiokunnan mietinnön pohjalta hyväksyttiin eduskunnan kannanotto (VNS 4/2021 vp — EK 11/2022 vp), jonka mukaan eduskunta edellyttää, että hallitus arvioi tietojen luovuttamista koskevaa sääntelyä ja sen pohjalta valmistelee esityksen lainsäädännön muuttamiseksi siten, että sosiaali- ja terveysministeriön ja opetus- ja kulttuuriministeriön hallinnonalan viranomaisia velvoitettaisiin antamaan poliisille ainakin henkeen tai terveyteen kohdistuvan uhkan arviointia ja uhkaavan teon estämistä varten muutoin salassa pidettävät välttämättömät tiedot.  

Sisäisen turvallisuuden selonteosta antamassaan mietinnössä (HaVM 19/2021 vp, s. 45—48), joka sisälsi edellä todetun kannanoton, valiokunta totesi myös, että poliisin mahdollisuutta antaa nykyistä laajemmin oma-aloitteisesti rikollisuuteen liittyvää tietoa muille viranomaisille tulee selvittää. Mietinnössään valiokunta kiinnitti muutoinkin huomiota viranomaisten väliseen tiedonkulkuun liittyviin erilaisiin lainsäädäntötarpeisiin, jotta toimivaltaisilla viranomaisilla on käytössään kaikki olennainen tieto, jota tarvitaan sisäisen turvallisuuden erilaisiin uhkiin varautumiseksi, uhkatilanteiden ja rikosten ehkäisemiseksi sekä sujuvan viranomaisyhteistyön varmistamiseksi. 

Samoin valiokunta on tietoturvaloukkausten selvittämistä koskeneesta hallituksen esityksestä antamassaan lausunnossa (HaVL 35/2022 vp — HE 243/2022 vp) korostanut, että toimintaedellytyksiä ja tiedonvaihtoa tulee tarkastella yksittäisten pykälien sijasta uudella tavalla kokonaisuutena, jotta viranomaisilla on tehokkaat, nopeasti käyttöön otettavissa ja toteutettavissa olevat keinot toimia vakavissa häiriötilanteissa tai niiden selvästi uhatessa. Samoin valiokunta on kotoutumisen edistämisen uudistamistarpeista koskevan valtioneuvoston selonteosta antamassaan mietinnössä (HaVM 10/2022 vp — VNS 6/2021 vp) tuonut muiden seikkojen ohella esiin, että myös tiedonkulku kotoutumiseen liittyvien eri toimijoiden välillä tulee varmistaa tarvittaessa lainsäädännöllisin toimin.  

Lisäksi valiokunnan mietintöjen pohjalta on hyväksytty muun muassa kaksi lausumaa, joissa kyse on siitä, voitaisiinko tehdä sellaisia lainsäädäntömuutoksia, joilla henkilöistä jo aiemmin kerättyjä biometrisiä tietoja voitaisiin käyttää alkuperäisestä käyttötarkoituksestaan poikkeavasti rikostorjuntaan (HE 206/2020 vp — EV 81/2021 vp) ja maahanmuuttohallintoon liittyviin SIS-palauttamiskuulutuksiin ja SIS-maahantulokieltokuulutuksiin (HE 35/2021 vp — EV 92/2022 vp).  

Tietosuojavaltuutettu on keskeinen toimija, kun eduskunnan valiokunnat käsittelevät tietosuojaan liittyviä lakiesityksiä. Tietosuojavaltuutetun eri toimialoille ja toimijoille suunnattujen lin-jausten ja ohjeistusten valmistelun yhteydessä on mahdollista kerätä tietoa sääntelyn toimivuudesta ja toimimattomuudesta. EU:n tietosuojalainsäädännön uudistusten ja Euroopan tietosuojaneuvoston soveltamiskäytäntöjen ja ohjeiden taustalla olevien kysymysten seuraaminen on myös tärkeää. Valiokunta katsoo, että samalla, kun tietosuojavaltuutetun toimistolle kertyy tietoa edellä mainituissa tilanteissa, on tärkeää tuoda esiin myös mahdollisia säädösmuutostarpeita. 

Resurssit

Tietosuojavaltuutetun toimintakertomuksessa todetaan, että vuotta 2022 voisi kutsua vakiintumisen vuodeksi ja että ensimmäinen merkki tasaantumisesta on tietosuojavaltuutetun toimistossa vireille tulleiden asioiden määrä. Jo kolmatta vuotta peräkkäin vireille tulevia asioita oli noin 11 000. Valiokunnan saaman selvityksen mukaan vuonna 2023 vireille tulleiden asioiden määrä on kuitenkin noussut noin 2000 asialla. Valiokunnan saaman selvityksen mukaan toimistolle on tulossa uusia tehtäviä mm. kansainvälisiin rajat ylittäviin asioihin liittyen. Vuoden 2022 lopussa tietosuojavaltuutetun toimiston henkilöstömäärä on 54. Valiokunta pitää tärkeänä, että tietosuojavaltuutetun toimiston riittävä osaaminen ja resurssit varmistetaan.