Meillä on käynnissä kyberrikoksiin liittyvä tutkimushanke, jossa olemme keskittyneet erityisesti kyberrikosten rangaistuskäytäntöön tuomioistuimissa vuosina 2015–2019. Olemme aiemmissa tutkimuksissa tarkastelleet tietosuojarikoksia, mutta emme tietosuojan valvontaviranomaisen päätöksiä ja antamia seuraamuksia.
Finlexissä on julkaistu tietosuojavaltuutetun päätöksiä EU:n yleisen tietosuoja-asetuksen, rikosasioiden tietosuojalain ja henkilötietolain tulkinnasta. Tarkastelemme tutkimuksessamme näitä päätöksiä vuosilta 2018–2022. Tutkimus on julkaisuprosessissa, joten tässä yhteydessä on esitelty keskeiset tulokset päätöksien osalta.
Kaiken kaikkiaan päätöksiä oli julkaistu yhteensä 119 (taulukko 1), joista 48 päätöstä oli tietosuojavaltuutetun ratkaisemia ja 55 päätöstä apulaistietosuojavaltuutetun ratkaisemia. Tietosuojavaltuutetun seuraamuskollegio oli puolestaan ratkaissut kymmenen tapausta. Yksi päätös oli korkeimman hallinto-oikeuden, joka koski uskonnollisen saarnaamistyön yhteydessä keräämiä henkilötietoja.
Taulukko 1. Tietosuojatapausten päätöksentekijät vuosina 2018–2022.
| Päätöksentekijä | Lukumäärä |
| KHO | 1 |
| Apulaistietosuojavaltuutettu | 55 |
| Apulaistietosuojavaltuutettu ja seuraamuskollegio | 5 |
| Tietosuojavaltuutettu | 48 |
| Tietosuojavaltuutetun seuraamuskollegio | 10 |
| Yhteensä | 119 |
Tapauksista suurin osa (109 tapausta) oli päätöksiä. Joukossa oli myös esimerkiksi muutamia kannanottoja, lausuntoja ja määräyksiä (taulukko 2).
Taulukko 2. Tietosuojatapausten ratkaisut vuosina 2018–2022.
| Ratkaisu | Lukumäärä |
| Kannanotto | 2 |
| Lausunto | 2 |
| Määräys | 2 |
| Päätös | 109 |
| Päätös ja ohjaus | 3 |
| Muu | 1 |
| Yhteensä | 119 |
Suurin osa päätöksistä kohdistui yrityksiin (86 tapausta). Neljätoista tapausta koski kunnan viranomaista ja kahdeksan valtion viranomaista. Tapaukset liittyivät myös usean eri toimialan toimintaan, ja niistä neljätoista kohdistui yksityisen pysäköinninvalvonnan yrityksiin, neljätoista suoramarkkinointiyrityksiin, kahdeksan julkiseen terveydenhuoltoon ja viisi hakukoneyhtiöihin sekä viisi liikennevakuutuskeskukseen. Loput tapaukset jakaantuivat tasaisesti eri toimialojen kesken ja joidenkin tapausten osalta ei voitu luotettavasti selvittää tietosuojavaltuutetun asiakirjoista, mitä organisaatiota tai yritystä päätös koski.
Hallinnollisia seuraamusmaksuja määrättiin yhteensä 2 182 800 euron edestä vuosina 2020–2022 (taulukko 3). Vuosina 2018 ja 2019 ei määrätty yhtään hallinnollista seuraamusmaksua. Suurin hallinnollinen seuraamusmaksu oli 750 000 euroa, joka kohdistui yksityiseen perintätoimistoon. Seuraamusmaksuja määrättiin yhteensä 18 tapauksessa. Maksujen keskiarvo oli 128 400 euroa.
Taulukko 3. Määrätyt hallinnolliset seuraamusmaksut vuosina 2018–2022.
| Kohde | Seuraamusmaksu (€) | Vuosi |
| Posti | 100 000 | 2020 |
| Yritys (toimiala tuntematon) | 16 000 | 2020 |
| Yritys (toimiala tuntematon) | 12 500 | 2020 |
| Suoramarkkinointiyritys | 7 000 | 2020 |
| Taksiyhtiö | 72 000 | 2020 |
| Ammattikorkeakoulu | 25 000 | 2021 |
| Terveyspalveluyritys | 608 000 | 2021 |
| Liikennevakuutuskeskus | 52 000 | 2021 |
| Matkailualan yritys | 6 500 | 2021 |
| Terveyspalveluyritys | 5 000 | 2021 |
| Yksityinen pysäköinninvalvontayritys | 75 000 | 2021 |
| Lehden kustantaja | 8 500 | 2021 |
| Suoramarkkinointiyritys | 8 300 | 2022 |
| Lehdet ja uutispalvelut | 85 000 | 2022 |
| Laivayhtiö | 230 000 | 2022 |
| Terveyspalveluyritys | 122 000 | 2022 |
| Yksityinen perintätoimisto | 750 000 | 2022 |
| Yhteensä | 2 182 800 |
Päätöksissä oli myös useita turvallisuustekniikkaan liittyneitä tapauksia. Esimerkiksi tietosuojavaltuutetun antamassa päätöksessä 26.05.2020 käsiteltiin taksialan yrityksen kameravalvonnan lainmukaisuutta ja tietojen minimoinnin näkökulmaa.
Päätöksessä arvioitiin sijaintitietojen, äänitietojen ja kameravalvontavideon tietojen keräämisen perusteita ja tietojen keräämisen minimoinnin tarvetta sekä tietosuojaa koskevaa vaikutusten arviointia ja profilointia. Osa autoista keräsi sekä ääntä että kuvaa. Tietojen keräämistä yritettiin oikeuttaa turvallisuussyiden perusteella. Rekisteripitäjällä oli ollut noin neljä miljoonaa asiakasta ja yli 2 000 taksiautoa.
Apulaistietosuojavaltuutettu ja seuraamuskollegio antoivat taksialan yritykselle 72 000 euron hallinnollisen seuraamusmaksun puutteista kameravalvonnan tasapainotestin tekemisessä, äänen keräämisen osalta tehtävän minimointiperiaatteen laiminlyömisestä, tietojenkäsittelyn avoimuuden laiminlyömisestä, kaikkien tietojenkäsittelijöiden määrittelyn laiminlyömisestä, tietojenkäsittelyn vaikutusten arvioinnin puutteellisuudesta ja siitä, että tietoselosteet eivät vastanneet tietojenkäsittelyn kokonaiskuvaa.
Johtopäätöksiä
Tietosuojavaltuutetun antamista päätöksistä merkittävä osa koski yrityksiä. Yksittäisiä julkista sektoria koskeneita päätöksiä oli myös eri organisaatioihin liittyen. Esimerkiksi julkisen terveydenhuollon tietosuojassa oli puutteita, ja yhdessä päätöksessä tehtiin hallinnollista seuraamusmaksun määräämisharkintaa, mutta tietosuojalaki ei mahdollista hallinnollisen seuraamuksen määräämistä julkiselle toimijalle.
Suomessa tulisi seurata aktiivisesti muiden EU:n jäsenvaltioiden tietosuojan valvontaviranomaisten päätöksiä ja linjanvetoja, koska kyberrikollisuus on hyvin kansainvälistä. Kyberrikollisuus on merkittävä haaste koko rikosoikeusjärjestelmälle.
Kyberturvallisuuden kannalta kontrollien tehokkuudella ja organisaatioiden riskienhallinnan sekä sääntelyn toimivuudella on merkitystä, jotta voidaan suojata tehokkaasti henkilötietoja. Kyberrikoksella voidaankin vahingoittaa laajasti yhteiskuntaa.
Tämän takia olisi tärkeää tehdä jatkossa vertailevaa tutkimusta tietosuojan valvontaviranomaisten välillä eri valtioissa ja tutkia myös hallinnollisen seuraamusjärjestelmän hyötyjä tietosuojan sekä kyberturvallisuuden kehittämisen näkökulmasta.