Tietosuojavaltuutetun toimistoon tulossa tänä vuonna vireille jättimäinen määrä asioita

Vireille tulleiden asioiden määrän kasvun taustalla on Taluksen arvion mukaan pitkälti se, että ihmiset tuntevat oikeutensa paremmin. 

EU:n tietosuoja-asetuksen voimaantulon jälkeen vireille tulleet asiat ovat moninkertaistuneet. Ennen asetuksen voimaan tuloa asioita tuli vireille noin 3  000–3  500 vuosittain.

Viime vuonna niitä tuli tietosuojavaltuutetun toimistoon vireille kaikkiaan 10 956, sitä edeltävänä vuonna 10 001.

Osa asiamäärien kasvusta johtuu tietoturvaloukkausilmoituksista.

– Ne selittävät kuitenkin vain osan asiamäärien kasvusta, mutta ei yksittäin tai yksinomaan. Pitkälti kasvu johtuu siitä, että ihmiset tuntevat oikeutensa aina vaan paremmin ja paremmin ja osaavat myös vaatia sitä, että oikeudet toteutetaan, Talus sanoo.

Tietosuojavaltuutetun toimisto on tehnyt muun muassa sidosryhmäkartoituksen, jolla arvioitiin, kuinka hyvin tietosuojaoikeudet yleisesti ottaen tunnetaan. 

– Ne ovat kyllä ihan kohtuullisen hyvällä tasolla, Talus sanoo.

Ihmisillä oikeus pyytää tietojen korjausta tai poistamista

Vuonna 2018 voimaan tullut EU:n tietosuoja-asetus (GDPR) on henkilötietojen käsittelyä sääntelevä laki, jota alettiin soveltaa kaikissa EU-maissa.

Suomessa EU:n tietosuoja-asetusta on täydennetty kansallisella tietosuojalailla.

Tietosuoja-asetus antaa paremman suojan henkilötiedoille. Lisäksi ihmisille tuli sen myötä enemmän keinoja hallita omien tietojensa käsittelyä.

Asetuksen myötä jokaisella on muun muassa oikeus saada tietää, millaisia henkilötietoja itsestä jollakin organisaatiolla tai muulla rekisterinpitäjällä on. Jokaisella on lisäksi oikeus pyytää virheellisten, epätarkkojen ja puutteellisten henkilötietojen korjaamista tai henkilötietojen poistamista kokonaan. 

Jos jokin organisaatio tai muu rekisterinpitäjä kieltäytyy pyynnöstä eikä kiellolle ole perusteita, asiasta voi tehdä ilmoituksen tietosuojavaltuutetulle. Tietosuojavaltuutettu ei lähtökohtaisesti ota kantaa sellaisiin tapauksiin, joissa rekisterinpitäjään ei ole oltu itse yhteydessä.

Tietosuojavaltuutettu ei puutu diagnoositietoihin

Talus kertoo, että viime vuoden aikana asetuksen mukaisia poistopyyntöjä koskevia asioita on tullut sen ratkaistavaksi 267 ja sitä edeltävänä vuonna niitä tuli 231. Taluksen mukaan esimerkiksi Googleen liittyviä poistopyyntöjä tulee tasaiseen tahtiin.

Tietosuojavaltuutettu on antanut Googlelle joitain yksittäisiä poistomääräyksiä.

Yksi tapaus koski sitä, että henkilö oli pyytänyt Googlea poistamaan linkin, jossa oli hänestä alastonkuva. Google ei pyyntöön suostunut, joten henkilö valitti asiasta tietosuojavaltuutetulle. Tietosuojavaltuutettu antoi puolestaan Googlelle määräyksen poistaa linkki.

Poistopyyntöihin liittyviä tapauksia on Taluksen mukaan laidasta laitaan. Monesti ne liittyvät siihen, että rekisterinpitäjä on olettanut poistaneensa tiedot, mutta ne eivät olekaan poistuneet järjestelmistä.

– Asia on tullut ilmi, kun henkilö on saattanut saada esimerkiksi uudelleen suoramarkkinointia. Tämäntyyppisissä tilanteissa olemme antaneet määräyksiä, Talus sanoo.

Hyvin tyypillinen tilanne on myös sellainen, että lääkärin kirjaus koetaan vääräksi ja se halutaan poistaa.

– Diagnoositietoihin emme lähde puuttumaan. Rekisteröidyllä voi kuitenkin olla mahdollisuus pyytää omat huomiot lisättäväksi sinne. 

Puhelintallenteita pyydetty tarkastettavaksi

EU:n tietosuoja-asetuksen mukaan ihmisellä on oikeus tarkastaa ne tiedot, mitä rekisterinpitäjällä hänestä on. Myös näitä asioita tulee tietosuojavaltuutetun käsiteltäväksi paljon.

Viime vuoden aikana niitä tuli 236 kappaletta ja vuonna 2019 noin 200.Taluksen mukaan viime aikoina on pyydetty paljon puhelintallenteita.

– Ihmiset haluavat saada puhelintallenteen, jonka rekisterinpitäjä on nauhoittanut. Niissä on henkilötietoja, joten ihmisillä on yleensä oikeus saada ne puhelintallenteet. 

Jos puhelintallenne tehdään, rekisterinpitäjän on aina kerrottava siitä etukäteen. Joskus tietoja ei ole saatu tarkastettavaksi, sillä rekisterinpitäjä on saattanut luoda sisäisen prosessin, joka rajoittaa oikeuden käyttämistä. 

Myös tietojen oikaisua koskevia pyyntöjä tulee tietosuojavaltuutetulle suhteellisen paljon. Viime vuoden aikana niitä tuli 137 ja sitä edellisenä vuonna 135.

Taluksen mukaan myös organisaatiot huolehtivat tietosuojasta pääasiassa hyvin, mutta parantamistakin toki aina on.

– Puhumme läpinäkyvyyden periaatteesta eli siitä, että mahdollisimman selkeällä ja yksinkertaisella tavalla kerrotaan, mitä tarkoitusta varten ja millä tavalla ihmisten tietoja käsitellään. Siinä on kaikilla työstämistä ja tekemistä, Talus sanoo.

Lue myös: Työ- ja elinkeinoministeriö ehdottaa lievennystä tietosuojaan – työntekijän henkilötietoihin pääsisi helpommin käsiksi ilman suostumusta