Eduskunnan käsiteltävänä oleva tietosuojavaltuutetun toimiston toimintakertomus on laatuaan ensimmäinen. Velvoite toimintakertomuksen laatimiseen perustuu Euroopan unionin yleisen tietosuoja-asetuksenEuroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 59 artiklaan, ja siitä säädetään myös tietosuojalain (1050/2018) 14 §:ssä, jonka mukaan tietosuojavaltuutettu laatii vuosittain tietosuoja-asetuksen 59 artiklassa tarkoitetun toimintakertomuksen, joka toimitetaan eduskunnalle ja valtioneuvostolle. Toimintakertomus on pidettävä yleisesti saatavilla. Tietosuoja-asetuksen 59 artikla lisäksi edellyttää, että toimintakertomus on saatettava komission ja Euroopan tietosuojaneuvoston saataville.
Vuoden 2018 toimintakertomus ajoittuu yhtäältä aikaan, jolloin on valmistauduttu tietosuoja-asetuksen soveltamisen alkamiseen 25.5.2018, ja toisaalta tämän jälkeiseen aikaan, jolloin tietosuoja-asetusta jo sovellettiin, mutta sitä täydentävä kansallinen lainsäädäntö on ollut vielä eduskunnan käsiteltävänä (HE 9/2018 vp — HaVM 13/2018 vp). Samanaikaisesti käsiteltävänä on ollut myös rikosasioiden tietosuojadirektiivinEuroopan parlamentin ja neuvoston direktiivi (EU) 2016/680 luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta kansallista täytäntöönpanoa koskeva lainsäädäntö (HE 31/2018 vp — HaVM 14/2018 vp). Tietosuojavaltuutetun toimisto on joutunut työskentelemään erittäin haastavassa tilanteessa, kun tietosuoja-asetusta täydentävä kansallinen lainsäädäntö on tullut voimaan vasta vuoden 2019 alusta. Lisäksi ministeriöissä on ollut valmisteilla laajoja tietosuojasääntelyä sisältäviä lainsäädäntöuudistuksia. Kansallisen erityislainsäädännön mukauttaminen vastaamaan EU:n tietosuojasääntelyä on osittain edelleen työn alla. Sääntelykehikon valtava muutostyö ja sen seuraukset ovat näkyneet merkittävällä tavalla tietosuojavaltuutetun toimiston työssä, ja tämä tulee toimintakertomuksessa hyvin esille.
Vuosi 2018 merkitsi murrosvaihetta monella muullakin tavalla. Tietosuoja-asetuksen myötä rekisteröityjen oikeudet paranivat olennaisesti, rekisterinpitäjille tuli uusia velvoitteita ja mahdollisuudet toimia digitaalisilla sisämarkkinoilla paranivat, kun sääntely EU-alueella yhdenmukaistui. Asetus lisäsi tietosuojavaltuutetun tehtäviä ja toimivaltuuksia. Toimintavuoden aikana tietosuojavaltuutetun toimiston asiamäärä miltei kolminkertaistui. Tietosuojavaltuutetun toimistossa kirjattiin vuonna 2018 vireille tulleeksi 9 617 asiaa, kun niitä vuonna 2017 oli tullut vireille 3 957. Uusia, tietosuoja-asetukseen perustuvia asiaryhmiä ovat tietosuojavastaavia koskevat ilmoitukset, tietoturvaloukkausilmoitukset sekä nk. rajat ylittävät asiat, joilla on liittymäkohtia useampaan EU:n jäsenmaahan.
Yleinen kiinnostus tietosuojaa kohtaan on noussut, ja ihmiset ovat entistä tietoisempia tietosuojaoikeuksistaan. Valiokunnan saaman selvityksen mukaan suomalaiset myös tuntevat oman tietosuojaviranomaisensa paremmin kuin muissa EU-maissa keskimäärin. Tietosuoja voidaan nähdä monessakin suhteessa menestystekijänä. Yksityisten ihmisten kannalta kyse on henkilötietojen paremmasta suojasta ja mahdollisuudesta omien tietojen hallitsemiseen. Yrityksille ja myös julkishallinnolle vastuullisesti hoidettu tietosuoja on kilpailuetu.
Toimintakertomuksessa esitellään toimiston tavoitteet, kuvataan toimintaympäristön muutosta, selostetaan eräitä tietosuojavaltuutetun päätöksiä ja korkeimman hallinto-oikeuden ratkaisuja sekä käsitellään tietosuojavaltuutetun toimiston toiminnan painopisteitä ja resursseja vuonna 2018. Kertomuksen sisältyy muun muassa taulukko vireille tulleista ja käsitellyistä asioista vuosina 2017 ja 2018 sekä luettelo eri lainsäädäntöhankkeisiin vuonna 2018 annetuista tietosuojavaltuutetun toimiston lausunnoista. Kertomukseen on liitetty myös sisäisen valvonnan arviointi- ja vahvistuslauselma.
Kertomus antaa tiiviin ja asiallisen katsauksen tietosuojavaltuutetun toimiston toimintavuoteen 2018. Hallintovaliokunta katsoo, että tietosuojavaltuutetun toimisto on selviytynyt poikkeuksellisen vaativasta toimintavuodesta ansiokkaalla tavalla. Valiokunta tarkastelee tässä mietinnössään lähemmin seuraavia toimintakertomuksen käsittelyn yhteydessä esille nousseita aiheita.
Ohjaus ja neuvonta
Tietosuojasääntelyn uutuus on näkynyt merkittävällä tavalla tietosuojavaltuutetun työssä niin kansallisella kuin EU-tasolla. Ohjauksen, neuvonnan ja yleisen viestinnän lisäksi tietosuojavaltuutetun toimiston asiantuntijat ovat luennoineet lukuisissa seminaareissa ja tilaisuuksissa. Tietosuojavaltuutettu on ollut säännönmukaisesti myös eduskunnan valiokuntien kuultavana niiden käsitellessä tietosuojaan liittyviä lakiesityksiä.
Uuden tietosuojasääntelyn keskeinen tavoite on sääntelyn ja sen soveltamisen yhdenmukaisuus Euroopan unionissa. Tietosuoja-asetuksessa on säädetty Euroopan tietosuojaneuvostosta, jonka tehtävänä on varmistaa, että EU:n tietosuojasääntelyä sovelletaan yhdenmukaisesti. Euroopan tietosuojaneuvosto on riippumaton EU-elin, joka koostuu jäsenmaiden kansallisten tietosuojaviranomaisten ja Euroopan tietosuojavaltuutetun edustajista. Valiokunnan huomiota on kiinnitetty muun muassa siihen, että tietosuojaneuvoston kannanotot voivat olla hyvinkin tarkkaa analysointia sisältäviä dokumentteja, joissa liikutaan kovin ylätasolla. Kuitenkin käytännössä esimerkiksi tietojen luovuttamista henkilörekistereistä soveltavat usein muiden alojen ammattilaiset kuin tietosuoja-asiantuntijat. Tarkkojen analyysien rinnalle tarvitaan sen vuoksi yhtenäisiä, yksiselitteisiä ja riittävän yksinkertaisia käytännön soveltamisohjeita.
Valiokunnan asiantuntijakuulemisen perusteella ohjausta ja neuvontaa kaivataan monenlaisissa käytännön soveltamistilanteissa. Esimerkiksi yritykset ovat kokeneet haasteelliseksi sen, että ne eivät ole aina saaneet tukea vaikeisiin soveltamiskysymyksiin tai kiireellisesti vastauksia tietoturvaloukkauksia koskeviin kysymyksiin tai ilmoituksiin. Tällöin yritys on joutunut toimimaan epävarmuudessa tilanteessa, jossa seuraamusriski voi olla huomattava. Tieto asian käsittelyn vaiheesta on myös tärkeä. Myös eri viranomaiset ovat painottaneet erityisesti ennakollisen neuvonnan ja asiantuntijatuen merkitystä. Tulkintakysymyksiä on aivan peruskäsitteidenkin, kuten henkilötieto ja rekisterinpitäjä, soveltamisessa.
Tietosuojavastaavat ovat olleet muiden toimijoiden tavoin uuden edessä. Tietosuojavastaava on organisaation sisäinen tietosuoja-asiantuntija, joka seuraa henkilötietojen käsittelyä sekä tukee ja auttaa organisaation johtoa ja henkilöstöä noudattamaan tietosuojalainsäädäntöä. Tietosuojavastaava on sekä tietosuojavaltuutetun toimiston että rekisteröityjen yhteyshenkilö oman organisaationsa henkilötietojen käsittelyä koskevissa asioissa. Tietosuojavaltuutetun toimistossa on ryhdytty kehittämään tietosuojavastaavien tavoittamista ja heille kohdistettua viestintää. Valiokunta pitää tietosuojavastaavien kanssa tehtävän yhteistyön kehittämistä tarpeellisena tietosuojan toteutumisen ja sääntelyn yhdenmukaisen soveltamisen varmistamiseksi.
Rekisteröidyn oikeudet ja kantelut
Rekisteröidyn oikeuksia ja kanteluita koskevat asiat ovat yksi tietosuojavaltuutetun toimiston tärkeimmistä asiakokonaisuuksista. Näihin asioihin kuuluvat yksityishenkilöiden tekemät ilmoitukset tietosuojaoikeuksien loukkauksista tai epäilyistä, että jokin organisaatio tai henkilö käsittelee henkilötietoja tietosuojasäännösten vastaisesti. Näitä asioita ovat myös erilaiset neuvonta- ja lisätietopyynnöt.
Toimintakertomukseen sisältyvän kaavion mukaan vuonna 2018 rekisteröidyn oikeuksiin liittyviä asioita tuli tietosuojavaltuutetun toimistossa vireille 841 ja ratkaistiin 562, kun vuonna 2017 niitä tuli vireille 576 ja ratkaistiin 584 (vuonna 2016 vireille 723, ratkaistu 590). Kertomuksen mukaan rekisteröidyiltä vireille tulevat asiat ovat tyypillisesti hyvin yksilöllisiä, mikä vaikuttaa niiden käsittelyyn ja siihen kuluvaan aikaan. Myös mahdolliset lisäselvitykset voivat hidastaa käsittelyä. Toimintavuonna ruuhkautumista selittää valiokunnan käsityksen mukaan osaltaan myös asiamäärien merkittävä kasvu.
Valiokunta pitää myönteisenä, että tietosuojavaltuutetun toimistossa on ryhdytty kehittämään rekisteröidyiltä tulevien kanteluiden käsittelykäytäntöjä. Valiokunnan mielestä on perusteltua, että toimistossa on ryhdytty ensin priorisoimaan niitä asioita, joiden vaikutus rekisteröityihin on laajin tai vakavin, sekä asioita, jotka ovat olleet vireillä pitkään. Valiokunta korostaa, että rekisteröidyn oikeuksien vahvistaminen on ollut yksi EU:n tietosuojauudistuksen painopiste. Sen vuoksi on tärkeää huolehtia siitä, että sujuvien prosessien lisäksi näiden asioiden käsittelyyn on osoitettavissa myös riittävät resurssit.
Kansallinen ja kansainvälinen yhteistyö
Tietosuojakysymykset vaativat nykypäivänä yhä monipuolisempaa yhteistyötä. Yksi tietosuojavaltuutetun toimiston läheinen yhteistyökumppani on Liikenne- ja viestintävirasto Traficom, jonka tehtävänä on muun muassa kehittää ja valvoa viestintäverkkojen ja -palveluiden toimintavarmuutta ja turvallisuutta, valvoa sähköisen viestinnän tietosuojaa, kehittää ja valvoa vahvan sähköisen tunnistamisen ja sähköisten luottamuspalvelujen turvallisuutta sekä muodostaa tietoturvallisuuden tilannekuvaa. Tietosuojavaltuutetun toimiston ja Traficomin lakisääteiset tehtävät ovat toisiaan tukevia ja täydentäviä. Siten Traficomin ja Tietosuojavaltuutetun toimiston välinen tiivis yhteistyö on ensiarvoisen tärkeää ja sitä on perusteltua kehittää edelleen.
Kuluttaja-asiamies ja tietosuojavaltuutetun toimisto ovat tehneet jatkuvaa yhteistyötä, ja viranomaistapaamisista on muodostunut vuotuinen käytäntö. Kummankin toiminnassa nousee esiin toimintaympäristön muutoksiin liittyviä uusia haasteita, joista on tarkoituksenmukaista keskustella viranomaisyhteistyössä. Kuluttaja-asiamies ja tietosuojavaltuutettu ovat antaneet yhteisiä lausumia ja tiedotteita sekä järjestäneet seminaareja. Myös niiden valvontatoiminnan asiantuntijat tekevät yhteistyötä. Vuosien 2018 ja 2019 aikana tällaisia asiakokonaisuuksia on liittynyt varsinkin kaupallisiin menettelyihin, joihin on sisältynyt henkilötietojen käsittelyä, esimerkiksi puhelinmyynti, kotimyynti, sähköinen suoramarkkinointi sekä markkinointisuostumuksen pyytäminen. Yhteistyö on koettu toimivaksi ja sen on toivottu tiivistyvän edelleen.
Tietosuojavaltuutetun toimisto tekee käytännön yhteistyötä henkilötietojen käsittelyyn liittyen myös esimerkiksi poliisin kanssa. Yhteistyössä noudatetaan vakiintuneita menettelyjä, esimerkiksi välillisen tarkastusoikeuden toteuttamisessa. Selvityksen mukaan yhteistyö tietosuojavaltuutetun toimiston kanssa on koettu hyväksi ja merkitykselliseksi. Poliisi on tähdentänyt erityisesti ennakollisen vuoropuhelun ja neuvonnan merkitystä. Yhteistyölle voidaan katsoa olevan tulevaisuudessa jopa aiempaa enemmän tarvetta tietosuojalainsäädäntökokonaisuuden ja toimintaympäristön monimuotoistumisen vuoksi, rekisteröityjen aktivoitumisen myötä ja tietosuojavaltuutetun toimiston ja poliisin tietojenvaihto- ja virka-aputarpeiden johdosta.
Toimintakertomuksessa mainitaan marraskuussa 2018 järjestetty Euroopan suurin tietoturvaharjoitus, johon osallistui yli 200 julkisen hallinnon organisaatiota. Harjoitus toteutettiin valtiovarainministeriön, Väestörekisterikeskuksen, Poliisihallituksen, tietosuojavaltuutetun toimiston, Viestintäviraston Kyberturvallisuuskeskuksen sekä Valtion tieto- ja viestintätekniikkakeskus Valtorin yhteistyönä. Valiokunnan asiantuntijakuulemisessa harjoitusta on pidetty onnistuneena moniviranomaisyhteistyön toteumana.
Myös kansainvälinen yhteistyö on lisääntynyt entisestään. Yksi merkittävä osa kansainvälistä yhteistyötä on tietosuojavaltuutetun osallistuminen edellä mainitun Euroopan tietosuojaneuvoston työhön. Lisäksi tietosuoja-asetus velvoittaa jäsenmaiden tietosuojaviranomaiset tekemään yhteistyötä asetuksen yhdenmukaisen soveltamisen varmistamiseksi tapauksissa, joihin liittyy rajat ylittävä ulottuvuus. Yhteistyötä varten on olemassa eri menettelyjä, kuten yhteiset operaatiot, keskinäinen avunanto ja erityinen yhteistyömenettely, jota kutsutaan yhden luukun menettelyksi. Toimintakertomuksen mukaan vuonna 2018 rajat ylittäviä asioita oli yhteensä 591. Suomi oli osallistuvana valvontaviranomaisena 106 asiassa ja johtavana eli asiaa koordinoivana ja valmistelevana viranomaisena viidessä asiassa.
Ohjeistus ja lainsäädännön kehittäminen
Tietosuojaneuvoston ja tietosuojavaltuutetun ohjeistuksella ja kannanotoilla on vaikutusta myös säädösvalmisteluun. EU:n ja kansallisen tason säädösvalmistelussa on jo noussut usein tietosuojasääntelyn tulkintaan liittyviä kysymyksiä, ja tietosuojasääntelyn mukaisuuden voidaan arvioida nousevan jatkossakin esiin erilaisissa yhteyksissä.
Valiokunnan asiantuntijakuulemisen perusteella erityisesti julkisuuslainsäädännön ja tietosuojan välisen suhteen tasapainon arvioiminen viranomaistoiminnassa on aihe, jossa julkisen hallinnon rekisterinpitäjät tarvitsevat tukea. Lain soveltamisen näkökulmasta vaikeita voivat olla esimerkiksi erilaiset tietojen pyytämiseen ja luovuttamiseen liittyvät tilanteet. Käytännön soveltamisohjeiden laatimisen lisäksi on valiokunnan mielestä tarpeen arvioida myös sitä, onko lainsäädäntöä syytä tältä osin selkeyttää.
Tietojen luovuttamiseen liittyvät kysymykset ovat olleet ajankohtaisia jo ennen tietosuoja-asetuksen säätämistä. Esimerkiksi hallintovaliokunnan mietinnön pohjalta on hyväksytty eduskunnan lausuma (EV 268/2014 vp — HE 333/2014 vp), jonka tavoitteena on parantaa viranomaisyhteistyötä henkeen tai terveyteen kohdistuvan uhkan arvioinnissa ja uhkaavan teon estämisessä tehostamalla tiedonkulkua sosiaali- ja terveydenhuollon viranomaisilta poliisille samoin kuin tiedonkulkua opetus- ja kulttuuritoimelta poliisille. Asiaan liittyvät myös muun muassa valiokunnan lausunnot HaVL 46/2018 vp — O 54/2018 vp ja HaVL 6/2019 vp — K 3/2019 vp. Selvityksen mukaan valmisteilla on sosiaali- ja terveysministeriön, sisäministeriön ja terveydenhuoltoalan yhteistyönä kansallinen opas terveydenhuollon ja poliisien väliseen tiedonvaihtoon. Valiokunta pitää ohjeistusta ensiarvoisen tärkeänä ja kiirehtii tässäkin yhteydessä sen valmistumista. Valiokunta pitää hyvänä, että samalla kartoitetaan mahdollisia säädösmuutostarpeita, joilla voitaisiin tietojen luovuttamista edelleen parantaa kaikkien perusoikeudet huomioivalla tavalla. Myös kysymys siitä, milloin säädetään oikeudesta, milloin velvollisuudesta tiedon luovuttamiseen, on aiheellinen. Olennaista on, että viranomaisten välinen tiedonkulku varmistetaan.
Organisaatio ja resurssit
Tietosuojavaltuutetun toimisto on itsenäinen ja riippumaton viranomainen, jonka palveluksessa työskentelee noin 40 asiantuntijaa. Tietosuojavaltuutettu Reijo Aarnio on toiminut tehtävässään vuodesta 1997.
Toimintakertomuksen mukaan vuoden 2018 aikana tietosuojavaltuutetun toimistossa on kehitetty osaamisen hallintaa ja uusittu uusiin tehtäviin perustuvat prosessit. Toimistoon on perustettu prosessiryhmiä, joiden tehtävänä on varmistaa omalle vastuualalleen kuuluvien asioiden yhdenmukainen käsittely ja käsittelyprosessin kehittäminen. Näitä ovat esimerkiksi tietoturvalouk-kausilmoitusten ja rekisteröityjen oikeuksia ja kanteluita koskevien asioiden prosessiryhmät. Loppuvuoden 2018 aikana toimiston resursseja on vahvistettu uusien asiantuntijoiden rekrytoinneilla. Henkilötyövuosissa tämä lisäys näkyy suurimmilta osiltaan kuitenkin vasta vuonna 2019.
Vuoden 2019 alusta voimaan tulleella tietosuojalailla vahvistettiin tietosuojavaltuutetun toimiston organisaatiota säädöstasolla. Tietosuojalain 9 §:n mukaan tietosuojavaltuutetulla on toimisto, jossa on vähintään kaksi apulaistietosuojavaltuutettua, ja lain 16 §:n mukaan tehtävienjaosta määrätään tietosuojavaltuutetun toimiston työjärjestyksessä. Valtioneuvosto on nimittänyt keväällä 2019 tietosuojavaltuutetun toimistoon kaksi apulaistietosuojavaltuutettua. Tietosuojalain 12 §:n mukainen asiantuntijalautakunta on selvityksen mukaan tarkoitus asettaa vielä kuluvan vuoden aikana. Tietosuojalailla kumottiin tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki (389/1994). Hyväksyessään uuden tietosuojalain eduskunta on hyväksynyt myös lausuman tietosuojan valvontaviranomaisen organisaation kehittämisestä (EV 108/2018 vp — HE 9/2018 vp, HaVM 13/2018 vp).
Oikeusministeriö huolehtii tietosuojavaltuutetun toimiston tulosohjauksesta. Ministeriön toimittaman selvityksen mukaan tietosuojavaltuutetun toimiston resurssitilanne ja -tarve tietosuoja-asetuksen täytäntöön panemiseksi ja uusien tehtävien toteuttamiseksi on tunnistettu. Vuosina 2016—2019 tietosuojavaltuutetun toimiston määräraha on kaksinkertaistunut pääosin uusien tehtävien vuoksi (1 730 000 euroa vuonna 2016, 3 494 000 euroa vuonna 2019). Selvityksen mukaan kehyskaudella määrärahan taso on nousemassa vielä hieman vuosina 2020 ja 2021.
Hallintovaliokunta toteaa tietosuojavaltuutetun toimiston määrärahassa tapahtuneen myönteisen kehityksen, mutta korostaa edelleen resurssien riittävyyden varmistamista. Euroopan tietosuojaneuvoston raporttiin sisältyvästä vertailustaEuroopan tietosuojaneuvoston raportti 26.2.2019 Euroopan parlamentin kansalaisvapauksien sekä oikeus- ja sisäasioiden valiokunnalle tietosuoja-asetuksen toimeenpanosta ilmenee, että tietosuojavaltuutetun toimiston henkilöstöresurssien kasvusta huolimatta henkilöstön määrä on kuitenkin vain noin puolet siitä, mitä esimerkiksi Ruotsin vastaavalla viranomaisella. Tietosuoja-asetuksen ja rikosasioiden tietosuojadirektiivin alaan kuuluvien tehtävien lisäksi tietosuojavaltuutettu hoitaa sille EU- ja kansallisessa lainsäädännössä säädettyjä erityistehtäviä. Valiokunnan kuulemat asiantuntijat ovat kantaneet huolta toimiston resurssien riittävyydestä. Käytännössä kysymys on esimerkiksi oikea-aikaisen ja riittävän ohjeistuksen ja neuvonnan saamisesta, vireille tulleiden asioiden käsittelyajoista tai valvonnan tehokkaasta toteutumisesta. Valiokunta tarkastelee tietosuojavaltuutetun toimiston tulevien vuosien resurssikysymyksiä valtion talousarvioesityksen (HE 29/2019 vp) ja julkisen talouden suunnitelman (VNS 2/2019 vp) käsittelyn yhteydessä.