Tietosuojavaltuutettu
- Säädökset > Lainsäädäntö 12.1.2024/24 Laki Oikeushallinnon erityisviranomaiset -virastosta (voimassa 1.1.2025 alkaen)
- Säädökset > Lainsäädäntö 12.1.2024/18 Laki verkon välityspalvelujen valvonnasta
- Säädökset > Lainsäädäntö1101/2022Laki kieltotoimenpiteitä koskevista edustajakanteista
- Säädökset > Lainsäädäntö1051/2022Oikeusministeriön asetus eräistä tietosuojavaltuutetun toimiston maksullisista suoritteista (voimassa 1.1.2023–31.12.2024)
- Säädökset > Lainsäädäntö 11.12.2020/1172 Oikeusministeriön asetus eräistä tietosuojavaltuutetun toimiston maksullisista suoritteista (voimassa 1.1.2021–31.12.2022)
- Säädökset > Lainsäädäntö566/2020Laki kuluttajansuojaviranomaisten eräistä toimivaltuuksista
- Säädökset > Lainsäädäntö639/2019Laki henkilötietojen käsittelystä Rajavartiolaitoksessa
- Säädökset > Lainsäädäntö 10.5.2019/616 Laki henkilötietojen käsittelystä poliisitoimessa
- Säädökset > Lainsäädäntö1382/2018Oikeusministeriön asetus eräistä tietosuojavaltuutetun toimiston maksullisista suoritteista (voimassa 1.1.2019–31.12.2020)
- Säädökset > Lainsäädäntö1054/2018Laki henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä
- Säädökset > Lainsäädäntö1050/2018Tietosuojalaki
- Säädökset > Lainsäädäntö1035/2017Oikeusministeriön asetus oikeusministeriön ja eräiden hallinnonalalla toimivien viranomaisten maksullisista suoritteista vuonna 2018 (voimassa 31.12.2018 saakka)
- Säädökset > Lainsäädäntö 7.4.2017/214 Laki Euroopan unionin lainvalvontayhteistyövirastosta
- Säädökset > Lainsäädäntö1046/2016Oikeusministeriön asetus eräistä Tietosuojavaltuutetun toimiston maksullisista suoritteista (voimassa 1.1.2017–31.12.2018)
- Säädökset > Lainsäädäntö1745/2015Oikeusministeriön asetus oikeusministeriön ja eräiden hallinnonalalla toimivien viranomaisten maksullisista suoritteista vuosina 2016–2017 (voimassa 1.1.2016–31.12.2017)
- Säädökset > Lainsäädäntö1148/2014Oikeusministeriön asetus eräistä Tietosuojavaltuutetun toimiston maksullisista suoritteista (voimassa 1.1.2015–31.12.2016)
- Säädökset > Lainsäädäntö329/2014Oikeusministeriön asetus eräistä Tietosuojavaltuutetun toimiston maksullisista suoritteista
- Säädökset > Lainsäädäntö 18.12.2013/1020 Oikeusministeriön asetus oikeusministeriön ja eräiden hallinnonalalla toimivien viranomaisten maksullisista suoritteista vuosina 2014–2015
- Säädökset > Lainsäädäntö59/2012Oikeusministeriön asetus Tietosuojavaltuutetun toimiston maksullisista suoritteista
- Säädökset > Lainsäädäntö563/2011Laki Europolia koskevan päätöksen eräiden säännösten täytäntöönpanosta (kumottu)
- Säädökset > Lainsäädäntö351/2009Oikeusministeriön asetus Tietosuojavaltuutetun toimiston maksullisista suoritteista
- Säädökset > Lainsäädäntö 22.4.1999/523 Henkilötietolaki (kumottu)
- Säädökset > Lainsäädäntö432/1994Asetus tietosuojalautakunnasta ja tietosuojavaltuutetusta (kumottu)
- Säädökset > Lainsäädäntö 27.5.1994/389 Laki tietosuojalautakunnasta ja tietosuojavaltuutetusta (kumottu)
- Lakikirjasto > Defensor Legis* Paasonen, Jyri – Luomala, Mikko: Tietosuojan viranomaisvalvonnan ja seuraamusjärjestelmän kehitys — tarkastelussa tietosuojavaltuutetun ja seuraamuskollegion päätöksiä vuosilta 2018–2022Defensor Legis 1/2024 s. 40 – 66, Asiantuntija-artikkeli
- Lakikirjasto > OpinnäytetyötLiuha, Roope: Tietosuoja-asetuksen mukaisten hallinnollisten seuraamusmaksujen määrääminen yritykselle16.5.2022, Maisteritutkielma
- Lakikirjasto > ArtikkelitLång, Jukka – Haavikko, Tuomas: Mitä muutoksia uusi kansallinen tietosuojalaki tuo käytännössä?15.11.2018, Asiantuntija-artikkeliArtikkelissa perehdytään uuden tietosuojalain keskeisiin muutoksiin. Merkityksellisimpiä näistä ovat lainsäädäntöä valvovan kansallisen tietosuojaviranomaisen toimivalta ja päätöksentekomenettely sekä sakotusmahdollisuuden kohdentuminen. Vasta nyt, tietosuojalain myötä, valvontaviranomaiselle syntyy Suomessa mahdollisuus määrätä tietosuoja-asetuksen voimaantulon yhteydessä kohuttuja, määrältään jopa kymmenien miljoonien eurojen suuruisia sakkoja. Artikkelissa käsitellään lisäksi...
- Lakikirjasto > Defensor LegisKorhonen, Rauno: Tietosuojavastaavan nimittäminen, asema ja tehtävätDefensor Legis 4/2016 s. 599 – 606, Asiantuntija-artikkeli
- Lakikirjasto > OpinnäytetyötHaapman, Tomi: Lex Nokia ja yrityssalaisuuden suoja: Tutkimus työnantajan oikeudesta käsitellä työntekijän henkilökohtaisen sähköisen viestinnän tunnistamistietoja yrityssalaisuuksien oikeudettoman paljastamisen ehkäisemiseksi ja selvittämiseksi sekä käsittelyoikeuden edellytyksistä13.10.2010, Maisteritutkielma
- Uutiset
3.4.2024 10.10
Tietosuojavaltuutetun tarkastustoiminnassa korostuvat vuonna 2024 henkilötietojen käsittelyn valvonta organisaatioissa ja käyttöoikeuksien hallintaTietosuojavaltuutetun toimisto on julkaissut tarkastussuunnitelmansa vuodelle 2024. Tarkastuksia suunnitellaan tehtävän kymmenkunta. Useissa tarkastuksissa selvitetään muun muassa sitä, miten rekisterinpitäjät hallitsevat käyttöoikeuksia ja valvovat henkilötietojen käsittelyä toiminnassaan. - Uutiset
28.3.2024 12.02
Eduskunnan oikeusasiamies antoi tietosuojavaltuutetun toimistolle huomautuksen asian kohtuuttoman pitkästä käsittelyajastaKäsittelyaika oli tässä tapauksessa ollut tietosuojavaltuutetun toimiston esiin tuomiin olosuhteisiinkin nähden kohtuuttoman pitkä. Oikeusasiamiehen laillisuusvalvontakäytännössä on vakiintuneesti katsottu, että voimavaroihin tai ruuhkautuneeseen työtilanteeseen liittyvillä syillä ei voida hyväksyttävästi poiketa perustuslaissa turvatuista yksilön oikeuksista, kuten perustuslain 21 §:ssä taatusta oikeudesta asian asianmukaiseen ja viivytyksettömään käsittelyyn. Sen sijaan mainitut syyt voivat vaikuttaa vastuun kohdentamiseen. Tässä tapauksessa oikeusasiamiehellä ei ollut perusteita kohdentaa moitetta kehenkään yksittäiseen virkamieheen, vaan julkiseen valtaan, jota edusti tietosuojavaltuutetun toimisto. - Uutiset
27.3.2024 11.13
Apulaistietosuojavaltuutettu: Henkilötunnusta ei tule merkitä potilaille automatisoidusti lähetettäviin tekstiviesteihinTietosuojavaltuutetun toimisto on selvittänyt käytäntöä, jossa terveydenhuollon asiakkaille on ilmoitettu laboratoriotutkimusten tuloksista automatisoidun mobiilipalvelun kautta tekstiviesteillä, joihin oli merkitty myös asiakkaan henkilötunnus. Apulaistietosuojavaltuutettu katsoo, että toimintatapa ei ole ollut tietosuojalainsäädännön mukainen. - Uutiset
18.3.2024 11.31
Tietosuojavaltuutetun toimisto: Verkkokauppa.comille 856 000 euron seuraamusmaksu asiakastietojen säilytysajan määrittelemättä jättämisestä – myös vaatimus asiakkaan rekisteröitymisestä oli lainvastainenTietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt Verkkokauppa.com Oyj:lle 856 000 euron hallinnollisen seuraamusmaksun, sillä yritys ei ollut määritellyt, kuinka kauan verkkokauppa-asiakkaiden asiakastilien tietoja säilytetään. Lisäksi Verkkokauppa.comin käytäntö, jossa verkko-ostosten tekeminen edellyttää asiakastilin luomista, on ollut tietosuojasäännösten vastainen. - Uutiset
28.2.2024 13.48
Tietosuojavaltuutetun toimisto selvittää tarkastusoikeuden toteutumista Suomessa osana Euroopan laajuista toimenpidettäEuroopan tietosuojaneuvosto on käynnistänyt 28. helmikuuta yhteisen toimenpiteen, jossa selvitetään, kuinka rekisteröityjen oikeus saada tutustua tietoihinsa toteutuu organisaatioiden toiminnassa. Selvitykseen osallistuu 28 tietosuojan valvontaviranomaista eri EU-maissa. Tilannetta selvitetään Suomessa rekisterinpitäjille lähetettävällä kyselyllä. Yhteisessä toimenpiteessään EU-maiden tietosuojaviranomaiset selvittävät, miten organisaatiot käytännössä noudattavat tietosuojalainsäädännön vaatimuksia rekisteröidyn tarkastusoikeuden toteuttamisessa. - Uutiset
6.2.2024 11.25
Apulaistietosuojavaltuutettu antoi rekisterinpitäjälle huomautuksen: Henkilötietojen käsittely toisen rekisterinpitäjän palvelujen markkinoimiseksiApulaistietosuojavaltuutettu antoi rekisterinpitäjälle tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen siitä, että se ei ollut noudattanut tietosuoja-asetusta siltä osin, kun sen opiskelijoiden henkilötietoja oli käytetty sähköpostiviestiviestintään, jonka tavoitteena oli ollut toisen organisaation liikuntapalveluiden kysynnän edistäminen. - Uutiset
16.1.2024 12.00
Hallinto-oikeus hylkäsi vakuutusyhtiöiden valitukset tietosuojavaltuutetun päätöksistä, jotka koskivat terveydentilatietojen käsittelyn lainmukaisuutta vapaaehtoisen vakuutuksen hakemisvaiheessaHelsingin hallinto-oikeus on 16.1.2024 antamillaan päätöksillä hylännyt kahden eri vakuutusyhtiön valitukset tietosuojavaltuutetun päätöksistä, joissa oli kysymys muun ohella siitä, voiko terveydentilatietojen käsittely vakuutusyhtiön vastuun selvittämiseksi jo ennen vakuutussopimuksen solmimista perustua tietosuojalain 6 §:n 1 momentin 1 kohtaan. - Uutiset
11.1.2024 7.50
Tietosuojavaltuutettu Anu Taluksen blogissa tarkastelussa muun muassa paljon julkisuudessa esillä ollut TikTok: Tietosuojasääntely luo pohjan turvallisille somepalveluille – kunhan lakeja myös noudatetaanSomejättien käytännöt ovat aivan perustellusti nousseet viime viikkoina keskusteluun. Tällä hetkellä erityisesti TikTokin käytännöt huolettavat. Samalla myös muiden somealustojen toiminnassa on edelleen parantamisen varaa. Tietosuojasääntelyn olemassaolo ja noudattaminen ovat avainasemassa siinä, että somepalvelujen käyttäminen on turvallista. Eurooppalaisen datasääntelyn tavoitteena on turvallisen digitaalisen ympäristön luominen. Tietosuoja perusoikeutena on myös demokratian edellytys. - Uutiset
9.11.2023 15.10
Tietosuojavaltuutetun toimisto: Korkein hallinto-oikeus ei myöntänyt ParkkiPate Oy:lle valituslupaa 70.000 euron hallinnollisesta seuraamusmaksusta – hallinto-oikeuden ratkaisu tietosuojavaltuutetun toimiston päätöksistä jäi voimaanKorkein hallinto-oikeus hylkäsi 9. marraskuuta 2023 ParkkiPate Oy:n valituslupahakemuksen Helsingin hallinto-oikeuden ratkaisusta. Helsingin hallinto-oikeus hylkäsi heinäkuussa 2022 yhtiön vaatimukset tietosuojavaltuutetun antamien määräysten ja huomautusten sekä seuraamuskollegion määräämän hallinnollisen seuraamusmaksun kumoamisesta. - Uutiset
9.11.2023 8.59
Tietosuojavaltuutetun toimisto muistuttaa: Organisaation on arvioitava tietoturvaloukkauksen vakavuutta rekisteröityjen kannaltaTietosuojavaltuutetun toimisto on täydentänyt verkkosivuilleen ohjeita henkilötietoja koskevan tietoturvaloukkausilmoituksen tekemisestä. Organisaatioille suunnatut ohjeet koskevat vaikutusten vakavuuden arviointia rekisteröidyn kannalta, rekisteröidyille ilmoittamista, ilmoituksen täydentämistä ja määräaikojen noudattamista. - Uutiset
3.11.2023 10.55
Tietosuojavaltuutetun toimiston lomakkeet toimivat jatkossa Valtorin Turvalomake-palvelussaTietosuojavaltuutetun toimisto on ottanut käyttöön Valtion tieto- ja viestintätekniikkakeskus Valtorin Turvalomake-palvelun. Käyttöönoton tarkoituksena on parantaa sähköisten lomakkeiden toiminnallisuuksia ja turvallisuutta. Uudistuksen myötä lomakkeilla voi lähettää myös arkaluonteisia tietoja. Lisäksi lähetetyn lomakkeen voi tallentaa itselleen PDF-tiedostona Turvalomake-palvelussa. - Uutiset
4.10.2023 10.19
Tietosuojavaltuutetun toimisto: Psykoterapiatoimijalle hallinnollinen seuraamusmaksu asiakkaan tarkastusoikeuden puutteellisesta toteutuksestaTietosuojavaltuutetun toimiston seuraamuskollegio on syyskuun alussa määrännyt 1.600 euron hallinnollisen seuraamusmaksun psykoterapiapalveluita tarjoavalle yritykselle. Yritys ei ollut ilmoittanut asiakkaalle syytä siihen, miksi potilasasiakirjamerkintöjä psykoterapiakäynneistä ei voitu toimittaa. (Vailla lainvoimaa 4.10.2023) - Uutiset
2.10.2023 13.31
Hallinto-oikeus kumosi tietosuojavaltuutetun ja tietosuojavaltuutetun toimiston seuraamuskollegion päätökset, jotka koskivat Liikennevakuutuskeskuksen tekemiä tietopyyntöjä potilastiedoistaHelsingin hallinto-oikeus kumosi 2.10.2023 antamallaan päätöksellään tietosuojavaltuutetun ja tietosuojavaltuutetun toimiston seuraamuskollegion päätökset, jotka koskivat Liikennevakuutuskeskuksen potilastietoihin kohdistuvia tietopyyntöjä. Tietosuojavaltuutettu oli katsonut, että Liikennevakuutuskeskus tekee järjestelmällisesti liian laajoja korvauksenhakijoiden potilastietoihin kohdistuvia tietopyyntöjä. Seuraamuskollegio oli määrännyt Liikennevakuutuskeskukselle 52.000 euron hallinnollisen seuraamusmaksun. - Uutiset
27.9.2023 6.55
Tietosuojavaltuutettu poisti väliaikaisen päätöksensä: Yango-taksipalvelu saa jatkaa toimintaansa Suomessa toistaiseksi – tiedonsiirtojen valvonta jatkuu Euroopan tietosuojaviranomaisten yhteistyössäTietosuojavaltuutetun toimisto sekä Alankomaiden ja Norjan tietosuojaviranomaiset ovat selvittäneet Yango-taksipalvelun toimintaa sekä sopineet käsittelyn seuraavista vaiheista. Koska Venäjän taksilainsäädäntöä ei uusien selvitysten perusteella sovelleta Yangon toimintaan Suomessa, tietosuojavaltuutettu on poistanut elokuussa antamansa määräaikaisen kiellon siirtää henkilötietoja Venäjälle. Yango-taksipalvelun tiedonsiirtojen valvonta jatkuu tietosuojaviranomaisten yhteistyössä. - Uutiset
31.8.2023 14.11
Hallinto-oikeus hylkäsi vaatimuksen täytäntöönpanon kieltämiseksi koskien tietosuojavaltuutetun päätöstä kieltää Yango-taksipalvelua siirtämästä henkilötietoja Suomesta Venäjälle – tietosuojaviranomaiset jatkavat tietojen siirron tutkintaaTietosuojavaltuutettu on 4.8.2023 antanut Ridetech International B.V.:lle ja Yandex LLC:lle määräyksen keskeyttää Yango-taksipalvelussa kerättyjen henkilötietojen siirtäminen Venäjälle ja lopettaa kerättyjen henkilötietojen käsittely. Tietosuojavaltuutetun antama väliaikainen määräys tulee voimaan 1.9.2023 ja on lähtökohtaisesti voimassa 30.11.2023 saakka. Tietosuojavaltuutetun toimiston mukaan Venäjällä 1.9.2023 alkaen voimaan tuleva lainsäädäntöuudistus heikentää merkittävästi Yango-taksipalvelua käyttävien henkilötietojen suojaa. - Uutiset
8.8.2023 11.41
Tietosuojavaltuutettu kieltää Yango-taksipalvelun henkilötietojen siirrot Suomesta Venäjälle väliaikaisestiTietosuojavaltuutettu on antanut Yandex LLC:lle ja Ridetech International B.V.:lle määräyksen keskeyttää Yango-taksipalvelussa kerättyjen asiakkaiden henkilötietojen siirtämisen Venäjälle ja lopettamaan kerättyjen henkilötietojen käsittelyn. Väliaikainen määräys tulee voimaan 1. syyskuuta ja on lähtökohtaisesti voimassa 30. marraskuuta saakka. Tietosuojavaltuutetun toimiston tietojen perusteella Venäjällä voimaan astuva lainsäädäntöuudistus heikentää merkittävästi Yangon taksipalvelua käyttävien henkilötietojen suojaa. - Uutiset
2.8.2023 11.40
Tietosuojavaltuutettu: verkkopalveluun ohjaaminen ei täyttänyt vaatimusta suoramarkkinoinnin vastustamisen vaivattomuudestaTietosuojavaltuutettu on määrännyt telealan yhtiön huolehtimaan siitä, että sähköisten suoramarkkinointiviestien vastaanottajille annetaan viestien yhteydessä mahdollisuus kieltää helposti yhteystietojensa käyttö suoramarkkinointitarkoituksiin. - Uutiset
31.7.2023 15.02
Tietosuojavaltuutetun toimisto julkaisi toimintakertomuksensa vuodelta 2022Kertomuksessa kuvataan vuoden tärkeimpiä tietosuojatapahtumia, keskeisimpiä ratkaisuja ja valvontatoimia eri toimialoilla sekä toiminnan tunnuslukuja. Vuotta leimasivat toimiston uudistettu strategia sekä tiivis eurooppalainen yhteistyö. - Uutiset
10.7.2023 10.10
Hallinto-oikeus: Tietosuoja-asiaa koskeva valitus (Google Workspace for Education -ohjelma)Hallinto-oikeus katsoi samoin kuin tietosuojavaltuutettu, että rekisterinpitäjän tapauksessa henkilötietojen käsittelyperusteeksi ei Googlen opetusohjelman osalta esitetyssä laajuudessa sovellu yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta, ja rekisterinpitäjän harjoittama henkilötietojen käsittely on tältä osin ollut päätöksessä kuvatulla tavalla yleisen tietosuoja-asetuksen vastaista. Tietosuojavaltuutettu oli voinut antaa rekisterinpitäjälle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdassa tarkoitetun huomautuksen sekä d alakohdan mukaisen määräyksen saattaa henkilötietojen käsittelytoimet tietosuoja-asetuksen säännösten mukaisiksi. (Vailla lainvoimaa 10.7.2023) - Uutiset
28.6.2023 13.25
Oikeusasiamies: Tietosuojavaltuutetun toimiston tiedoksiantoa koskevassa harkinnassa ei menetelty perustuslaissa turvatun hyvän hallinnon mukaisesti, eikä menettely täyttänyt hallintolain 54 §:n viranomaiselle asettamaa tiedoksiantovelvollisuuttaTapauksessa harkinnanvarainen saantitodistuksen käyttö tiedoksiannossa ja se, ettei muutakaan tiedoksiantotapaa ollut käytetty oli johtanut siihen, ettei päätöstä ollut annettu kantelijalle tiedoksi. Näin ollen kantelija ei myöskään ollut päässyt käyttämään perustuslaissa turvattua muutoksenhakuoikeuttaan. OA saattoi asiassa esittämänsä käsityksen tietosuojavaltuutetun toimiston menettelystä toimiston tietoon. - Uutiset
1.6.2023 13.26
Tietosuojavaltuutetun toimisto: Oikaisu Ilmatieteen laitokselle annettuun päätökseen – huomautus vaikutustenarvioinnin tekemättä jättämisestä poistettiinApulaistietosuojavaltuutettu on tehnyt oikaisun 27. huhtikuuta annettuun päätökseen, jossa Ilmatieteen laitoksen todettiin siirtäneen henkilötietoja lainvastaisesti Yhdysvaltoihin Googlen palveluiden kautta. Ilmatieteen laitokselle annettu huomautus yleisen tietosuoja-asetuksen 35 artiklan mukaista vaikutustenarviointia koskevasta rikkomuksesta on poistettu päätöksestä. Oikaistussa päätöksessä ei arvioida yleisen tietosuoja-asetuksen 35 artiklan noudattamista. - Uutiset
29.5.2023 7.37
STT: Ilmatieteen laitoksen saama huomautus henkilötietojen siirrosta kertoo, miten oudossa tilassa organisaatiot ovat yhdysvaltalaisten verkkopalvelujen kanssa – Google Analyticsin käyttö yrityksissä on todennäköisesti aina EU-lainsäädännön vastaista?Ilmatieteen laitoksen apulaistietosuojavaltuutetulta saama huomautus Google Analyticsista on vain oire paljon laajemmasta ongelmasta eli EU-lainsäädännön epäselvästä tilasta, sanoo Elinkeinoelämän keskusliiton EK:n asiantuntija Juho Mäki-Lohiluoma STT:lle. - Uutiset
25.4.2023 12.12
Tietosuojavaltuutetun toimisto: Norjan tietosuojaviranomaiselta noin 900.000 euron seuraamusmaksu SATS-kuntokeskusketjulle useista tietosuojarikkomuksista – toimii Suomessa Elixia-nimelläNorjan valvontaviranomainen on määrännyt kuntokeskusketju SATSille 10 miljoonan Norjan kruunun (noin 900 000 euron) hallinnollisen seuraamusmaksun useista puutteista tietosuojalainsäädännön noudattamisessa. Rikkomukset koskivat erityisesti rekisteröidyn oikeuksien toteuttamista, asiakkaiden informointia henkilötietojen käsittelystä ja henkilötietojen käsittelyperusteen puuttumista. Kuntokeskusketju toimii Norjan lisäksi myös Suomessa, Ruotsissa ja Tanskassa. - Uutiset
16.3.2023 10.44
Tietomurron kohteeksi joutuneelle Forenomille huomautus puutteellisista suojatoimista ja määräys lyhentää tietojen säilytysaikaaHyökkääjä oli saanut pääsyn Forenomin asiakkaille tarkoitettuun itsepalveluportaaliin ja siihen liittyvään toiminnanohjausjärjestelmään rajapinnan haavoittuvuuden kautta. Tietomurto koski kymmeniätuhansia henkilötietoja. Tietosuojavaltuutetun toimiston selvityksen mukaan majoitusalalla toimivan yrityksen suojatoimenpiteet olivat olleet puutteellisia. Lisäksi yritys oli säilyttänyt asiakkaiden henkilötietoja liian pitkään. - Uutiset
15.3.2023 13.31
Tietosuojavaltuutetun toimisto selvittää tietosuojavastaavien asemaa Suomessa – selvitys on osa Euroopan tietosuojaneuvoston yhteistä toimenpidettäEuroopan tietosuojaneuvosto on käynnistänyt tietosuojavastaavia koskevan koordinoidun toimenpiteen 15. maaliskuuta. Tietosuojaviranomaiset selvittävät, miten tietosuojavastaavien nimittäminen ja asema ovat toteutuneet eri ETA-maissa. Tietosuojavastaavat ovat organisaatioiden sisäisiä tietosuoja-asiantuntijoita, jotka neuvovat tietosuojasäännösten noudattamisessa ja toimivat rekisteröityjen yhteyshenkilöinä henkilötietojen käsittelyyn liittyvissä asioissa. - Uutiset
27.1.2023 13.05
Kansainvälistä tietosuojapäivää vietetään 28. tammikuuta – tietosuojavaltuutetun toimiston tavoitteena on edistää vastuullista digitaalista toimintaympäristöä ja tietosuojaoikeuksien toteutumistaVuotuisen tietosuojapäivän tarkoituksena on lisätä tuntemusta tietosuojaoikeuksista ja henkilötietojen käsittelyyn liittyvistä velvollisuuksista. Tietosuojavaltuutetun toimiston painopisteitä ovat vuonna 2023 muun muassa tietosuojaoikeudet tekoälyä hyödyntävässä automaattisessa päätöksenteossa, lasten tietosuoja ja läpinäkyvä informointi henkilötietojen käsittelystä. - Uutiset
17.1.2023 10.38
Apulaistietosuojavaltuutettu antoi huomautuksen kirjastojen aineistohakutietojen välittymisestä yhdysvaltalaisyritys GooglelleApulaistietosuojavaltuutettu on antanut Helsingin, Espoon, Vantaan ja Kauniaisten kaupungeille huomautuksen tietosuojalainsäädännön vastaisesta henkilötietojen käsittelystä. Pääkaupunkiseudun Helmet-kirjastojen verkkosivustolla on ollut käytössä seurantateknologioita, joiden kautta tietoja esimerkiksi käyttäjän hakemista kirjoista ja muusta aineistosta on voinut välittyä sivullisille. Henkilötietoja on myös siirretty lainvastaisesti Yhdysvaltoihin. - Uutiset
11.1.2023 11.08
Tietosuojavaltuutetun toimisto määräsi seuraamusmaksut perintäyhtiölle vakavista tietosuojarikkomuksista ja toiselle yhtiölle terveystietojen käsittelystäTietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt perintäyritys Alektum Oy:lle 750.000 euron suuruisen seuraamusmaksun. Perintäyhtiö ei ollut vastannut rekisteröidyn oikeuksia koskeviin pyyntöihin. Yritys myös vaikeutti ja hidasti asian tutkintaa välttelemällä valvontaviranomaista.
Toisessa tapauksessa tietosuojavaltuutetun toimisto määräsi yritykselle [Polar] 122.000 euron seuraamusmaksun tietosuoja-asetuksen rikkomisesta, sillä terveystietojen käsittely kuuluu yrityksen ydinliiketoimintaan. Lisäksi tietosuojavaltuutettu määräsi yrityksen korjaamaan käytäntönsä suostumuksen pyytämisessä. - Uutiset
21.12.2022 15.00
Apulaistietosuojavaltuutetulta huomautus terveydenhuollon toimijalle: Ulkopuoliselle päätyneiden laitteiden tietoja ei ollut salattuTietosuojavaltuutetun toimisto sai terveydenhuollon toimijalta ilmoituksen tietoturvaloukkauksesta, jonka mukaan kannettava tietokone, paperiasiakirjoja ja kaksi ulkoista kiintolevyä olivat päätyneet sivulliselle varastetussa tietokonelaukussa. Apulaistietosuojavaltuutetun mukaan yritys ei ollut suojannut laitteilla olleita henkilötietoja riittävällä tavalla. - Uutiset
16.12.2022 15.40
Apulaistietosuojavaltuutettu on tehnyt aloitteen koskien oppilas- ja opiskelijarekisterien tietojen luovutusta opiskeluhuollolleApulaistietosuojavaltuutettu on tehnyt opetus- ja kulttuuriministeriölle, sosiaali- ja terveysministeriölle, THL:lle ja Opetushallitukselle aloitteen, joka koskee oppilaiden ja opiskelijoiden tietojen luovuttamista opiskeluhuollon psykologi- ja kuraattoripalveluille. Aloitteen tavoitteena on, että tietojen luovutuksen edellytyksiä selvennettäisiin ja huomioitaisiin valtakunnallisessa ohjeistuksessa. - Uutiset
14.12.2022 10.36
Tietosuojavaltuutetun toimisto: Viking Linelle seuraamusmaksu ja huomautus työntekijöiden terveystietojen lainvastaisesta käsittelystäTietosuojavaltuutetun toimiston seuraamuskollegio määräsi Viking Line Oy Abp:lle 230.000 euron hallinnollisen seuraamusmaksun ja antoi huomautuksen työntekijöiden terveystietojen käsittelyyn liittyvistä tietosuojarikkomuksista. Yhtiö muun muassa tallensi työntekijöiden terveystietoja lainvastaisesti henkilöstöhallinnon järjestelmään. Puutteita havaittiin myös tavoissa, joilla yhtiö kertoi työntekijöilleen henkilötietojen käsittelystä. - Uutiset
23.11.2022 11.58
KHO: Tietosuojavaltuutettu oli voinut määrätä asianajotoimiston ilmoittamaan tietoturvaloukkauksesta rekisteröidyille ilman aiheetonta viivytystäTietosuoja – Henkilötietojen tietoturvaloukkaus – Tietoturvaloukkauksesta ilmoittaminen rekisteröidylle – Korkea riski luonnollisten henkilöiden oikeuksille ja vapauksille – Henkilötieto – Henkilötunnus – Identiteettivarkauden riski – Tunnistettavissa olevaan luonnolliseen henkilöön liittyvän salassa pidettävän tiedon oikeudeton paljastuminen ulkopuolisille - Uutiset
15.11.2022 13.10
Tietosuojavaltuutettu antoi Verohallinnolle huomautuksen liian laajoista tietopyynnöistä rajat ylittävistä tilisiirroistaTietosuojavaltuutetun toimiston tutkinnassa kävi ilmi, että Verohallinto oli pyytänyt pankeilta tietoja kaikista Suomen rajat ylittävistä tilisiirroista vuosina 2015–2021. Tietopyynnöt kattoivat muun muassa ulkomaisissa kaupoissa ja verkkokaupoissa pankkikortilla maksetut ostokset. Huomautuksen lisäksi tietosuojavaltuutettu määräsi Verohallinnon poistamaan tietosuoja-asetuksen vastaisesti käsitellyt henkilötiedot ja lopettamaan liian laajojen tietopyyntöjen esittämisen pankeille. - Uutiset
2.11.2022 12.53
Henkilötietoja LinkedIn-palvelusta on julkaistu hakkerifoorumilla – Tietosuojavaltuutetun toimisto ohjeistaaUutistietojen mukaan suomalaisten LinkedIn-käyttäjien profiilitietoja on julkaistu verkossa hakkerifoorumilla. Julkaistut tiedot sisältävät ainakin nimiä, puhelinnumeroita ja sähköpostiosoitteita. Esimerkiksi salasanoja ei ole vuotanut. Asiasta kertoi tietoturvapalvelu F-Secure Twitterissä viikolla 43. - Uutiset
27.10.2022 11.36
Apulaistietosuojavaltuutettu: Tietosuoja huomioitava ennakoivan terveydenhuollon toimintatavoissaTietosuojavaltuutetun toimisto on ennakkokuulemispyyntöjen myötä arvioinut kahta tapausta, joissa terveydenhuollon toimijat ovat suunnitelleet ottavansa käyttöön työkaluja, joilla analysoidaan tietokoneavusteisesti potilastietoja terveydenhoitotarpeiden löytämiseksi. Kansanterveyttä ja potilaiden terveyttä edistävien työkalujen hyödyt ovat selkeät, mutta työkalujen käytössä on tärkeää huomioida tietosuojavaatimukset, apulaistietosuojavaltuutettu toteaa. - Uutiset
25.10.2022 8.35
Euroopan tietosuojaneuvoston käsittelyssä ensimmäinen eurooppalainen tietosuojasinetti, digitaalinen euro ja kansalliset hallintomenettelytEuroopan tietosuojaneuvosto hyväksyi lokakuun täysistunnossaan koosteen kansallisista hallintomenettelyistä, jotka se toivoo yhdenmukaistettavan EU:n tasolla. Lisäksi tietosuojaneuvosto hyväksyi Europrivacy-sertifiointimekanismia koskevat kriteerit ja antoi digitaalista euroa koskevan lausunnon. Tietosuojaneuvosto on myös päivittänyt tietoturvaloukkausilmoituksia koskevaa ohjetta. Päivitetty osuus on kuulemiskierroksella 29. marraskuuta saakka. - Uutiset
15.9.2022 16.16
Tietosuojavaltuutettu selvittää S-Pankin järjestelmähäiriötä ja antaa neuvoja – S-Pankki on ilmoittanut olleensa yhteydessä tietoturvaloukkauksen kohteeksi joutuneisiin asiakkaisiinS-Pankki on tiedottanut verkkopankkitunnuksilla tunnistautumisessa esiintyneestä järjestelmähäiriöstä. Tietosuojavaltuutettu selvittää tapahtunutta henkilötietoja koskenutta tietoturvaloukkausta. Tietosuojavaltuutetun toimisto tutkii muun muassa, onko tietojen suojaamisesta huolehdittu asianmukaisesti ja miten S-Pankki on reagoinut tietoturvaloukkaukseen. S-Pankki on tehnyt henkilötietojen tietoturvaloukkausta koskevan ilmoituksen tietosuojavaltuutetun toimistolle sekä tutkintapyynnön poliisille. - Uutiset
29.7.2022 15.00
Sijoituspalvelujen tarjoajalle huomautus tietosuojasäännösten vastaisesta käytännöstä tunnistamiseen tarvittavien tietojen pyytämisessäTietosuojaviranomaisten EU-maiden rajat ylittävässä yhteistyössä annetun päätöksen mukaan ruotsalainen sijoituspalveluja tarjoava yhtiö on rikkonut yleistä tietosuoja-asetusta, sillä se ei ollut helpottanut riittävästi rekisteröityjen oikeuksien käyttöä. Yhtiö oli pyytänyt asiakkaita toimittamaan henkilöllisyyden varmistamiseen liittyviä tietoja postitse, vaikka sillä oli käytössä myös tarkoitukseen soveltuva digitaalinen asiointikanava. - Uutiset
27.7.2022 11.45
Rekisteröidyn pyyntö tarkastaa tietonsa toteutettava ennen pyyntöä tietojen poistosta – tietosuojavaltuutetulta huomautus pankille puutteellisista toimintatavoistaTietosuojavaltuutettu on antanut pankille huomautuksen tietosuoja-asetuksen vastaisesta menettelystä rekisteröidyn oikeuksien toteutuksessa. Pankki ei ollut toteuttanut kahden entisten asiakkaansa pyyntöjä saada tarkastaa tai poistaa itseään koskevat tiedot tietosuojasäännösten mukaisesti. Erityisen moitittavana tietosuojavaltuutettu pitää sitä, että pankki oli poistanut henkilön tiedot ennen tarkastusoikeuden toteutusta. (Ei lainvoim. 27.7.2022) - Uutiset
14.7.2022 15.51
Tietosuojavaltuutettu: Hallinto-oikeus piti voimassa tietosuojavaltuutetun pysäköinninvalvontayhtiötä koskevat päätökset – seuraamusmaksua kuitenkin alennettiin 75.000 eurosta 70.000 euroonHelsingin hallinto-oikeus on hylännyt pysäköinninvalvontayhtiö ParkkiPate Oy:n valituksen tietosuojavaltuutetun päätöksistä, joissa yhtiö määrättiin korjaamaan toimintansa tietosuojasäännösten mukaiseksi. Hallinto-oikeus katsoo myös, että hallinnollisen seuraamusmaksun määrääminen yhtiölle oli tapahtunut asianmukaisesti. - Uutiset
7.7.2022 14.11
Tietosuojavaltuutettu: Vakuutusyhtiöt ovat keränneet terveystietoja tarpeettoman laajastiTietosuojavaltuutetun toimisto on selvittänyt vakuutusyhtiöiden menettelytapoja niiden pyytäessä vakuutuksenhakijoiden ja vakuutettujen terveystietoja terveydenhuollon toimijoilta vakuutusyhtiön vastuun selvittämiseksi. Puutteita havaittiin erityisesti terveydenhuollolta pyydettävien tietojen asianmukaisessa rajaamisessa sekä vakuutuksenhakijoiden terveystietojen käsittelyn lainmukaisuudessa. - Uutiset
5.7.2022 14.13
Otavamedialle 85.000 euron seuraamusmaksu puutteista tietosuojaoikeuksien toteutuksessaTietosuojavaltuutettu havaitsi puutteita Otavamedia Oy:n rekisteröityjen tietojen tarkastus- ja poistopyyntöjen toteutuksessa. Lisäksi allekirjoitettavan lomakkeen vaatiminen asiakkaan tunnistamista varten oli tietosuojasäännösten vastaista. Tietosuojavaltuutetun toimistolle saatettiin vuosina 2018–2021 vireille yksitoista Otavamediaa koskevaa asiaa. Kantelijat eivät olleet muun muassa saaneet vastausta tietosuojaoikeuksia koskeviin pyyntöihinsä tai tiedusteluihinsa. - Uutiset
20.6.2022 15.30
Apulaisoikeusasiamies: Asian käsittely tietosuojavaltuutetun toimistossa viivästyi aiheettaKantelussa tarkoitetun asian käsittelyaika oli tietosuojavaltuutetun toimiston antaessa selvitystään (20.1.2022) ollut noin 14 kuukautta. Puhelimitse 26.4.2022 saadun tiedon mukaan asia oli edelleen vireillä ja käsittelyaika oli jo noin 18 kuukautta. - Uutiset
9.6.2022 11.44
Tietosuojavaltuutettu: Tietosuojasääntely ei lähtökohtaisesti estä ajoneuvon huoltohistoriatietojen antamista uudelle omistajalle – ei myöskään velvoita antamaan tietojaTietosuojavaltuutettu on arvioinut, voiko uusi omistaja saada käytetyn ajoneuvon huolto- ja korjaushistoriatiedot huoltoliikkeeltä yleisessä tietosuoja-asetuksessa säädetyn tarkastusoikeuden nojalla. Tietosuojavaltuutettu katsoo, että huoltohistoriatiedot eivät ole auton uuden omistajan henkilötietoja, minkä vuoksi uudella omistajalla ei ole oikeutta saada tietoja nimenomaan tarkastusoikeuden perusteella. - Uutiset
1.6.2022 16.05
Apulaistietosuojavaltuutettu: Poliisiammattikorkeakoulu määrättiin antamaan videotallenteet näyttökokeeseen osallistuneelleApulaistietosuojavaltuutettu on määrännyt Poliisiammattikorkeakoulun toteuttamaan rekisteröidyn tarkastusoikeuden ja antamaan videotallenteet voimankäyttökouluttajan kertauskoulutuksen näyttökokeista kokeeseen osallistuneelle henkilölle. Muiden henkilöiden näkyminen videoilla ei ollut peruste olla antamatta tallenteita. - Uutiset
27.5.2022 13.10
Luontaistuotteita myyneelle telemarkkinointiyritykselle 8 300 euron seuraamusmaksu tietosuojavaltuutetun määräyksen noudattamatta jättämisestäTietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt hallinnollisen seuraamusmaksun luontaistuotteita myyneelle telemarkkinointiyritykselle, sillä yritys ei ollut noudattanut tietosuojavaltuutetun aikaisempaa määräystä rekisteröidyn tarkastusoikeuden toteuttamisesta. Telemarkkinointiyritys ei ollut toteuttanut asiakkaan pyyntöä saada pääsy hänelle soitetun myyntipuhelun puhelutallenteeseen. Tietosuojavaltuutettu määräsi heinäkuussa 2021 yrityksen antamaan asiakkaalle pääsyn tallenteeseen. - Uutiset
27.4.2022 8.08
Tietosuojavaltuutetun toimisto on vastaanottanut kaksi ilmoitusta helsinkiläishotelleihin kohdistuneista tietoturvaloukkauksista – tutustu neuvoihin tietovuodon kohteeksi joutuneilleKahdesta helsinkiläisestä Nordic Choice Hotels -ketjun hotellista on vuotanut asiakkaiden henkilötietoja. Vuotaneita tietoja ovat tietosuojavaltuutetun toimiston tämänhetkisen tiedon mukaan ainakin asiakkaan nimi, syntymäaika, yhteystiedot sekä tietoja virallisista asiakirjoista. - Uutiset
17.3.2022 12.45
Tietosuojavaltuutetun toimisto täydensi koronarokotuksiin ja koronapassiin liittyviä usein kysyttyjä kysymyksiäTietosuojavaltuutetun toimisto on täydentänyt usein kysyttyä koronaviruksesta ja tietosuojasta -osiota uusilla vastauksilla koronapassista ja koronarokotteesta. Listättyy on tietoa tilanteista, joissa tietoa koronarokotteesta pyydetään sosiaali- ja terveydenhuollon palveluiden työntekijöiltä tartuntatautilain väliaikaisen 48 a § -pykälän nojalla. Toimisto muistuttaa myös, että koronapassia voidaan edellyttää ainoastaan vaihtoehtona rajoitustoimille. - Uutiset
11.3.2022 10.30
Hallinto-oikeuden päätös koskien valitusta tietosuoja-asiassaTapauksessa Helsingin kaupunki valitti tietosuojavaltuutetun päätöksestä, jonka mukaan Apotti-tietojärjestelmän tiedonvaihtotoimintoihin liittyi lainvastaisia toimintatapoja. HAO katsoi, ettei asiassa ole esitetty sellaista selvitystä, jonka perusteella tietosuojavaltuutettu olisi perusteettomasti kohdellut valittajaa vastoin yhdenvertaisen kohtelun vaatimusta. Valituksenalaista päätöstä ei siis ollut pidettävä lainvastaisena menettelyyn liittyvillä valitusperusteilla. HAO hylkäsi Helsingin kaupungin valituksen. (Julkaisematon. Ei lainvoim. 11.3.2022) - Uutiset
28.2.2022 10.44
Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi lääkäriklinikalle 5.000 euron seuraamusmaksun puutteista rekisteröidyn oikeuksien toteutuksessaTietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt lääkäriklinikalle hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen säännösten laiminlyönneistä. Lääkäriklinikka ei ollut toteuttanut asiakkaan tarkastusoikeutta potilastietoihinsa asianmukaisesti, ja sen toimintatapa oikeuksien toteutuksessa oli puutteellinen. Klinikka ei myöskään kertonut selkeästi, minkä tietojen osalta se toimii rekisterinpitäjänä. - Uutiset
23.2.2022 11.35
Tietosuojavaltuutettu: Mahdollisuus saada kuitti pysäköintimaksusta ainoastaan tekstiviestitse vikatilanteissa ei ollut tietojen minimointivaatimuksen mukaistaPysäköintiyhtiön maksuautomaateissa on teknisen vian sattuessa ollut mahdollista valita ainoastaan tekstiviestikuitti, jonka saaminen on edellyttänyt puhelinnumeron antamista. Tietosuojavaltuutettu katsoo, että yhtiö ei ole noudattanut yleisen tietosuoja-asetuksen säännöksiä tilanteissa, joissa teknisen vian vuoksi tekstiviestikuitti on käytännössä ollut ainoa tarjottu vaihtoehto. - Uutiset
9.2.2022 11.46
Apulaistietosuojavaltuutettu: Rekisteröidyn tarkastusoikeuden käyttö ei ole viranomaisen tiedonhankkimiskeinoApulaistietosuojavaltuutettu on määrännyt Kymsoten lakkauttamaan yleisen tietosuoja-asetuksen vastaisen menettelyn sijaisvanhemmiksi haluavien rikostaustan tarkistuksessa. Kymsote on edellyttänyt, että sijaisvanhemmiksi haluavat pyytävät poliisilta omia tietojaan tietosuoja-asetuksen mukaisen tarkastusoikeuden nojalla ja toimittavat ne taustojen tarkastusta varten Kymsotelle. - Uutiset
28.1.2022 7.00
Tietosuojavaltuuten toimisto: Tietosuoja on pk-yrityksen kilpailuetu – uusi työkalu auttaa yrittäjää arvioimaan tietosuojakäytäntöjäänTietosuojavaltuutetun toimiston ja TIEKE Tietoyhteiskunnan kehittämiskeskus ry:n GDPR2DSM-hankkeessa on tuotettu pk-yrityksille avoimesti käytettävissä oleva työkalu, jonka avulla yritykset voivat lisätä tietosuojaosaamistaan, arvioida käytäntöjensä nykytilaa sekä saada tämän pohjalta vinkkejä tietosuojansa kehittämiseen. Työkalun ensimmäinen versio julkaistaan kansainvälisenä tietosuojapäivänä 28. tammikuuta. - Uutiset
27.1.2022 11.45
Liikennevakuutuskeskukselle 52 000 euron seuraamusmaksu tarpeettoman laajasta potilastietojen keräämisestäTietosuojavaltuutetun toimisto on selvittänyt Liikennevakuutuskeskuksen toimintatapaa potilastietojen pyytämisessä terveydenhuollolta korvausasioiden käsittelyä varten. Liikennevakuutuskeskus on järjestelmällisesti pyytänyt korvauksenhakijoiden potilastietoja terveydenhuollolta rajaamatta tarvittavia tietoja. Toimintatapa on ollut yleisen tietosuoja-asetuksen vastainen. (Helsingin hallinto-oikeus 2.10.2023: Tietosuojavaltuutetun ja tietosuojavaltuutetun toimiston seuraamuskollegion päätökset kumottiin) - Uutiset
27.1.2022 11.41
Matkatoimistolle seuraamusmaksu tietosuojalainsäädännön rikkomisestaTietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt matkatoimistoyritykselle hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen rikkomisesta. Puutteet yrityksen toiminnassa liittyivät erityisesti tietojen turvalliseen käsittelyyn ja rekisteröidyn oikeuksien toteuttamiseen. Matkatoimisto on muun muassa käyttänyt viisuminhakulomakkeessa salaamatonta verkkoyhteyttä ja säilyttänyt henkilötietoja sisältäviä lomakkeita avoimella verkkopalvelimella. - Uutiset
10.1.2022 9.23
Oikeusasiamies: Tietosuojavaltuutetun toimenpiteet virheellisten luottotietomerkintöjen johdostaKoska tietosuojavaltuutetun toimiston käsittelyaikoja koskevat ongelmat on ratkaisussa todetuin tavoin saatettu oikeusministeriön tietoon ja koska ongelmien yleisempi tarkastelu on laillisuusvalvonta-asiana seurannassa oikeuskanslerinvirastossa, asia ei tämän oikeusasiamiehen oman aloitteen perusteella antanut aihetta muihin toimenpiteisiin, kuin että oikeusasiamies kiinnitti tietosuojavaltuutetun huomiota asioiden viivytyksettömän käsittelyn vaatimukseen erityisesti yksilön oikeusturvan toteutumisen kannalta. - Uutiset
30.12.2021 14.11
Apulaisoikeuskansleri: Tietosuojavaltuutetun toimiston menettelytavatApulaisoikeuskansleri otti omana aloitteenaan tutkittavaksi tietosuojavaltuutetun toimiston menettelytavat asioiden käsittelyssä. Tietosuojavaltuutetun toimiston käsittelyajat ovat olleet pitkiä ja kirjaamo on ollut ruuhkautunut. Apulaisoikeuskansleri totesi, että laillisuusvalvonnassa on melko vakiintuneesti katsottu, että voimavaroihin ja työmäärään liittyvillä syillä ei voida hyväksyttävästi perustella poikkeamista siitä, mitä perusoikeutena turvattu oikeusturva asian käsittelyltä edellyttää. Rajallisten resurssien ei voida katsoa olevan riittävä tai hyväksyttävä selitys kohtuullisen käsittelyajan ylittämiselle. Apulaisoikeuskanslerin mukaan toimistossa tehdyt kehittämistoimet ja ruuhkanpurkutoimet vaikuttavat kuitenkin lupaavilta. - Uutiset
30.12.2021 11.44
Tietosuojavaltuutetun toimisto: Rekisterinpitäjän tulee arvioida Log4j-haavoittuvuudesta henkilötiedoille aiheutuvat riskitRekisterinpitäjän tulee ilmoittaa Log4j-komponentin haavoittuvuudesta johtuvasta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle, jos hyökkäys on vaarantanut henkilötietoja. Loukkauksesta on ilmoitettava myös kohteeksi joutuneille henkilöille, jos tietojen vaarantuminen aiheuttaa heille korkean riskin. Apache Log4j-komponentista on löydetty useita kriittisiä haavoittuvuuksia. Kyberturvallisuuskeskus varoitti Log4shell-haavoittuvuudesta 10. joulukuuta. - Uutiset
21.12.2021 8.20
Tietosuojavaltuutetun toimisto on julkaissut tietosuojan vaikutustenarviointia koskevan ohjeenTietosuojavaltuutetun toimisto on julkaissut tietosuojan vaikutustenarviointia koskevan ohjeen rekisterinpitäjien tueksi palautekierroksen jälkeen. Ohjeen rinnalle on laadittu myös yksinkertainen Excel-kirjaamistyökalu, jota voi halutessaan käyttää vaikutustenarvioinnin tekemisessä. Tietosuojan vaikutustenarviointia koskevaa ohjetta sekä työkalua on kehitetty niistä saadun palautteen pohjalta. Saaduissa palautteissa korostui ohjeen tarpeellisuus, ja niissä esitettiin kehitysideoita muun muassa ymmärrettävyyden parantamiseksi sekä ohjeen ja työkalun linkittämiseksi paremmin toisiinsa. - Uutiset
17.12.2021 11.45
Hallinto-oikeus kumosi apulaistietosuojavaltuutetun yleisen tietosuoja-asetuksen mukaisen huomautuksen ja määräyksen saattaa käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksiKoska valituksenalaisesta päätöksestä ei käy selvästi ilmi, miltä osin käsittelytoimet oli katsottu asetuksen vastaisiksi, epäselväksi jäi myös se, mihin yhtiö oli velvoitettu, kun se oli määrätty saattamaan käsittelytoimet yleisen tietosuoja-asetuksen mukaisiksi. Näin ollen päätös oli kumottava hallintolain 44 ja 45 §:ien vastaisena. (Vailla lainvoimaa 17.12.2021) - Uutiset
16.12.2021 11.43
Psykoterapiakeskus Vastaamolle 608.000 euron seuraamusmaksu tietosuojarikkomuksistaTietosuojavaltuutetun toimisto on määrännyt Psykoterapiakeskus Vastaamolle hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen säännösten rikkomisesta. Vastaamo on laiminlyönyt henkilötietojen turvalliseen käsittelyyn sekä tietoturvaloukkauksesta ilmoittamiseen liittyviä velvollisuuksiaan. Puutteita havaittiin myös osoitusvelvollisuuden mukaisen dokumentaation laatimisessa. - Uutiset
8.12.2021 10.48
Tietosuojavaltuutettu: Yritykselle huomautus asiakkaiden henkilötietojen välittämisestä työntekijöiden henkilökohtaisiin puhelimiin WhatsAppillaTietosuojavaltuutettu on määrännyt siivousalan yrityksen muuttamaan käytäntöään, jossa asiakkaiden henkilötietoja oli välitetty työntekijöille WhatsApp-pikaviestipalvelun kautta. Käyttäessään WhatsApp-sovellusta asiakkaiden henkilötietojen käsittelyssä yritys ei ollut noudattanut velvoitteitaan huolehtia tietojen käsittelyn turvallisuudesta ja luottamuksellisuudesta tietosuoja-asetuksen mukaisesti. - Uutiset
18.11.2021 12.59
Tietosuojavaltuutetun toimistolta ohjeistusta sote-toimijoille tietoturvaloukkausten ilmoituskäytännöistäApulaistietosuojavaltuutettu on lähettänyt sosiaali- ja terveydenhuollon toimijoille ohjekirjeen, jonka tarkoituksena on yhdenmukaistaa tietoturvaloukkausten ilmoituskäytäntöjä. Tietosuojavaltuutetun toimisto on havainnut, että toimialalla on tarve tarkentavalle ohjeistukselle tietoturvaloukkauksista ilmoittamiseen. Kirjeessä annetaan muun muassa esimerkkejä ilmoitusvelvollisuudesta erilaisissa tilanteissa. - Uutiset
4.11.2021 13.48
Tietosuojavaltuutettu: Yksityisellä elinkeinonharjoittajalla oli oikeus tutustua tietoihinsa puhelutallenteen osalta ja tallenne voitiin antaa kirjallisenaTietosuojavaltuutettu on arvioinut, onko rekisterinpitäjä toiminut tietosuojalainsäädännön mukaisesti antaessaan rekisteröidylle häntä koskevan puhelutallenteen tiedot kirjallisessa muodossa. Tietosuojavaltuutettu katsoi päätöksessään, että tietojen antaminen kirjallisina oli tietosuoja-asetuksen mukaista. Yksityisellä elinkeinonharjoittajalla oli oikeus saada tutustua puhelutallenteeseen tietosuoja-asetuksen mukaisen tarkastusoikeuden perusteella, sillä taltioitu ääni on luonnollista henkilöä koskeva henkilötieto. - Uutiset
28.10.2021 12.38
Tietosuojavaltuutettu: Verotietojen julkaisu tiedotusvälineiden verokoneissa ei ollut tietosuojalainsäädännön vastaistaTietosuojavaltuutettu on ottanut kantaa henkilötietojen käsittelyyn tiedotusvälineiden verkossa julkaistavissa verokoneissa. Päätös koskee tapausta, jossa tietosuojavaltuutetun toimistolle kannellut henkilö kertoi pyytäneensä verotietojensa poistoa Helsingin Sanomien ja Ilta-Sanomien verokoneista. Tietosuojavaltuutettu katsoo, että velvollisuutta tietojen poistoa koskevan pyynnön toteuttamiseen ei ole, sillä tietoja on käsitelty verokoneissa journalistisessa tarkoituksessa. (Ei lainvoim. 28.10.2021) - Uutiset
19.10.2021 15.02
Apulaistietosuojavaltuutettu: potilastietojen käsittelyä ammatillista kehittymistä varten hoitosuhteen päätyttyä ei ollut toteutettu lainmukaisestiApulaistietosuojavaltuutettu on määrännyt terveydenhuollon toimijan muuttamaan käytäntöään, jossa potilaan hoidosta vastuussa ollut terveydenhuollon ammattihenkilö on voinut tarkastella potilaan tietoja hoitosuhteen päättymisen jälkeen oman osaamisensa kehittämiseksi. Tietojen käsittely ammatillista kehittymistä varten ei vastaa potilastietojen ensisijaista käyttötarkoitusta, eikä käsittelylle rekisterinpitäjän ohjeistamalla tavalla löytynyt perusteita muualtakaan potilastietojen käsittelyä koskevasta lainsäädännöstä. (Ei lainvoim. 19.10.2021) - Uutiset
15.10.2021 13.47
Apulaistietosuojavaltuutettu on tehnyt Opetushallitukselle aloitteen opetuksessa käytettävien sovellusten henkilötietojen käsittelystäTietosuojavaltuutetun toimistoon on tullut vireille asioita, jotka koskevat opetuksessa käytettävien sovellusten käsittelemiä oppilaiden henkilötietoja. Apulaistietosuojavaltuutettu on tehnyt Opetushallitukselle aloitteen, jonka tarkoituksena on luoda opetusalalle ohjeistus opetuksessa hyödynnettävien sovellusten käyttöönottoon, jossa huomioidaan myös oppilaiden henkilötietojen käsittelyyn liittyvät kysymykset. - Uutiset
30.9.2021 12.12
Tietosuojavaltuutetun toimiston vuoden 2020 toimintakertomusTietosuojavaltuutetun toimisto on julkaissut kertomuksensa vuoden 2020 toiminnasta. Kertomuksessa kuvataan vuoden tärkeimpiä tietosuojatapahtumia, keskeisimpiä ratkaisuja ja valvontatoimia eri toimialoilla sekä toiminnan tunnuslukuja. Toiminnassa näkyivät erityisesti tietoturvaloukkausilmoitusten määrän kasvu, koronapandemiaan liittyvät tietosuojakysymykset sekä toimistossa käynnistetty ruuhkanpurkuprojekti. Merkittävimmissä ratkaisuissaan tietosuojavaltuutetun toimiston seuraamuskollegio määräsi ensimmäiset seuraamusmaksut tietosuojarikkomuksista keväällä 2020. - Uutiset
23.9.2021 9.12
Tietosuojavaltuutettu Anu Talus Lakimiesuutisissa: Juristien tietosuojaosaaminen on lisääntynytSuomalaisten juristien osaaminen tietosuoja-asioissa on viime vuosina selvästi kasvanut, sanoo tietosuojavaltuutettu. Tietosuoja työllistää lakimiehiä jatkossakin. Tietosuojavaltuutettu, oikeustieteen tohtori Anu Talus on urallaan nähnyt, miten suomalaisten juristien osaaminen tietosuojakysymyksissä on kehittynyt. Useimmilla heistä on nykyään hyvä ymmärrys tietosuojaan liittyvistä perusoikeuksista, kuten henkilörekisterin pitäjän velvollisuuksista ja rekisteröidyn oikeuksista. - Uutiset
10.9.2021 12.46
Apulaistietosuojavaltuutetulta varoitus taloyhtiölle aikomuksesta kerätä asukkaiden koronatartuntatietojaTietosuojavaltuutetun toimistolle on tehty kantelu, jonka mukaan taloyhtiö on vaatinut jakamassaan tiedotteessa asukkaita ilmoittamaan isännöitsijälle saadusta koronavirustartunnasta. Apulaistietosuojavaltuutettu varoittaa taloyhtiötä, että henkilötietojen kerääminen ilman lainmukaista perustetta olisi lainvastaista. - Uutiset
6.9.2021 11.00
Hovioikeus hylkäsi auton huoltohistoriasta tehdyn editiovaatimuksen - aihetta odottaa tietosuojavaltuutetun toimiston päätöstä ei ollutKysymys siitä, oliko asiassa edellytykset määrätä Oy Vastaaja Ab esittämään vaadittu asiakirja eli KO:n tuomiossa tarkemmin selostetun auton huoltohistoria. Valittaja oli valituksessaan perustellut vaatimustaan vedoten pääosin OK 17 luvun 61 §:ään, mutta viitaten kuitenkin siihen, että vaatimus oli perustunut myös mainitun luvun 40 §:ään. Riidatonta oli, ettei tuomioistuimessa ollut vireillä asiaa, johon kyseinen asiakirja näyttönä olisi liittynyt. Asiassa oli lisäksi kysymys oikeudenkäyntikulujen korvausvelvollisuudesta. Asiassa mainituin perustein HO katsoi KO:n tavoin, että valittajan asiakirjan esittämistä koskeva vaatimus oli hylättävä. Asiassa ei ollut tarpeen lausua siitä, oliko editiovaatimuksen kohteena oleva asiakirja, sen todistusmerkitys ja todistusteema riittävällä tavalla yksilöity tai mikä merkitys asiassa oli sillä, oliko vaatimus koskenut kolmansien tahojen henkilötietoja. Samoin perustein HO katsoi, ettei asiassa ollut aihetta odottaa tietosuojavaltuutetun toimiston päätöstä valittajan pyytämin tavoin. Perustetta jättää oikeudenkäyntikulut asianosaisten itse vastattaviksi ei ollut. (Vailla lainvoimaa 6.9.2021)