Käytännön kokemuksia tietosuojaan liittyvistä viranomaistutkinnoista ja oikeudenkäynneistä

Tutkinnan eteneminen 

Tietosuojaviranomaisen tutkinta käynnistyy tyypillisesti rekisterinpitäjänä olevan yrityksen omasta ilmoituksesta tietosuojavaltuutetun toimistolle (esimerkiksi tietoturvaloukkausta koskeva ilmoitus) tai valvontaviranomaisen vastaanottamasta kolmannen osapuolen ilmoituksesta. Tällaisia kolmannen osapuolen ilmoituksia ovat esimerkiksi rekisteröityjen tekemät valitukset yrityksen suorittamasta henkilötietojen käsittelystä. Alustavien tutkimusten jälkeen tietosuojavaltuutetun toimisto lähestyy tutkinnan kohteena olevaa yritystä selvityspyynnöllä. Vastauksessaan selvityspyyntöön yritys voi esittää oman näkemyksensä valvontaviranomaisen esiin nostamiin väitettyihin puutteisiin tietosuojalainsäädännön noudattamisessa sekä toimittaa lisäselvitystä ja dokumentaatiota vastauksensa tueksi. Lisäselvitysten ja dokumentaation avulla yritykselle tarjotaan mahdollisuutta osoittaa, että sen toiminta noudattaa tietosuojalainsäädännön vaatimuksia.   

Mikäli tutkintaa ei päätetä yrityksen vastauksen ja lisäselvitysten johdosta, tietosuojavaltuutetun toimisto lähestyy yritystä myöhemmin uudelleen kuulemispyynnöllä siinä vaiheessa, kun apulaistietosuojavaltuutettu on laatinut alustavan arvion asiasta. Tietosuojavaltuutetun toimisto varaa tässä vaiheessa yritykselle lisäksi mahdollisuuden lausua asiassa mahdollisesti määrättävästä seuraamuksesta, jonka määrää tietosuojavaltuutetun toimiston seuraamuskollegio.  

Jos tietosuojavaltuutetun toimiston tutkintaa ei päätetä vielä yrityksen lausumankaan johdosta, tietosuojavaltuutetun toimisto antaa päätöksen asiassa. Päätökseen sisältyy ensinnäkin apulaistietosuojavaltuutetun päätös, jossa nostetaan esiin apulaistietosuojavaltuutetun tunnistamat puutteet tietosuojalainsäädännön noudattamisessa. Päätöksessä määrätään lisäksi tyypillisesti korjaamaan havaitut puutteet asetetussa määräajassa.  

Mikäli tietosuojavaltuutetun toimisto ei katso riittäväksi seuraamukseksi sitä, että yritys on velvoitettu saattamaan henkilötietojen käsittelynsä tietosuojalainsäädännön mukaiseksi, tietosuojavaltuutetun toimiston seuraamuskollegio määrää yritykselle lisäksi erillisessä päätöksessä yleisen tietosuoja-asetuksen mukaisen seuraamuksen. Seuraamus voi olla huomautus, varoitus tai hallinnollinen seuraamusmaksu (hallinnollinen sakko). Seuraamusmaksu voi olla suuruudeltaan enintään 20 000 000 euroa, tai neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. 

Tietosuojavaltuutetun toimiston määräämät seuraamusmaksut 

Tietosuojavaltuutetun toimisto on vuodesta 2020 lähtien antanut useita päätöksiä, joissa yrityksille on määrätty seuraamusmaksu. Seuraamusmaksujen määrät ovat olleet yleensä joitakin kymmeniä tuhansia euroja. Tähän mennessä suurin seuraamuskollegion määräämä seuraamusmaksu on ollut 608 000 euroa, jonka se määräsi joulukuussa 2021 Psykoterapiakeskus Vastaamo Oy:lle. Tietosuojavaltuutetun toimiston päätöksistä on mahdollista valittaa hallinto-oikeuteen, ja näin on useimmissa asioissa tehtykin. 

Havaintojamme tutkintoihin ja oikeudenkäynteihin liittyen 

Toimeksiannoissamme olemme havainneet, että tietosuojavaltuutetun toimiston resurssit asioiden yksityiskohtaiseen tutkintaan ovat rajalliset. Huolimatta saatavilla olleesta aineistosta ja selvityksestä asian selvittely ennen langettavan päätöksen tekemistä on jäänyt pintapuoliseksi. Tietosuojavaltuutetun toimiston päätösten perusteluissa on usein tyydytty vain referoimaan Euroopan tietosuojaneuvoston (Euroopan valvontaviranomaisten yhteistyöelin) yleisluonteisia suosituksia ilman tarkempaa soveltamista kyseessä olevaan henkilötietojen käsittelyyn.   

Yritysten puolustautumisen kannalta haasteita aiheuttaa käännetty todistustaakka, sillä yleisen tietosuoja-asetuksen mukaan yrityksen on pystyttävä osoittamaan, että se on menetellyt yleisen tietosuoja-asetuksen vaatimukset täyttävällä tavalla. Lisäksi tietosuojalainsäädäntö, erityisesti yleinen tietosuoja-asetus, on sisällöltään abstrakti ja monitulkintainen, jonka vuoksi asetettujen velvoitteiden täsmällinen sisältö ei ole selvä. Tulkintaa ei helpota sekään, että moniin avoimiin kysymyksiin on vain vähän, jos lainkaan, tietosuojavaltuutetun toimiston antamaa ohjeistusta. Tilanne on onneksi tältä osin muuttumassa parempaan suuntaan tietosuojavaltuutetun toimiston julkaistessa uusia ohjeistuksia. Tietosuojavaltuutetun toimisto on myös tulkinnut yleisen tietosuoja-asetuksen sisältöä paikoitellen hyvin tiukasti esimerkiksi sen osalta, missä tilanteissa yrityksen tulee tehdä tietosuojaa koskeva vaikutustenarviointi. Tiukka tulkinta on ongelmallinen ottaen huomioon, että yleisestä tietosuoja-asetuksesta ei itsessään ilmene velvoitteiden täsmällinen sisältö ja viranomaisohjeistusta ei usein ole saatavilla. Tietosuojavaltuutetun toimisto on säännönmukaisesti vedonnut päätöstensä perusteluissa Euroopan tietosuojaneuvoston yleisluonteisiin kannanottoihin, jotka ovat usein itsessäänkin tulkinnanvaraisia sekä luonteeltaan sitovan oikeuslähteen sijaan suosituksia. On myös kyseenalaista, missä määrin yritysten olisi pitänyt olla tietoisia Euroopan tietosuojaneuvoston kannanotoista.  

Kokemustemme perusteella tietosuojavaltuutetun toimiston päätöksien perusteluihin kannattaa perehtyä huolellisesti ja harkita päätöksistä valittamista. Hallinto-oikeudet ovat jo antaneet joitakin päätöksiä tietosuojavaltuutetun toimiston päätöksistä tehtyihin valituksiin, joissa hallinto-oikeudet ovat päätyneet tulkitsemaan yritysten menettelyä osin lievemmin kuin valvontaviranomainen. Hallinto-oikeudet ovat joiltakin osin kumonneet apulaistietosuojavaltuutetun päätöksiä, ja tämän lisäksi hallinto-oikeudet ovat alentaneet tai jopa kumonneet kokonaisuudessaan seuraamuskollegion määräämiä seuraamusmaksuja. Esimerkiksi Helsingin hallinto-oikeus katsoi 2.11.2021 antamassaan päätöksessä Posti Group Oyj:tä koskevassa asiassa huomautuksen riittäväksi seuraamukseksi kumoten seuraamuskollegion päätöksen 100 000 euron seuraamusmaksusta. Lisäksi Helsingin hallinto-oikeus alensi edustamallemme Taksi Helsinki Oy:lle määrättyä seuraamusmaksua. Hallinto-oikeuksien päätökset tukevat osaltaan näkemystämme siitä, että tietosuojavaltuutetun toimiston pitäisi antaa yrityksille ennakollista ohjausta ennen seuraamuksen määräämistä.  

Yksi merkittävä havainto hoitamissamme asioissa on ollut, että hallinto-oikeus ei ole yrityksen vaatimuksesta huolimatta suostunut suullisen käsittelyn järjestämiseen, vaikka asiassa tarpeellinen selvitys ei ole ollut saatavissa pelkästään kirjallisesta aineistosta. Suullisen käsittelyn järjestämistä tukee korkeimman hallinto-oikeuden oikeuskäytännön mukaan myös seuraamusmaksun sanktioluonteisuus, josta seuraa, että yrityksen vaatimuksesta suullinen käsittely on järjestettävä, mikäli henkilötodistelulla voisi olla merkitystä asian selvittämisen kannalta. 

Yhtenä mielenkiintoisena seikkana on noussut esiin oikeudellinen kysymys siitä, voidaanko yritykselle langettaa seuraamusmaksu tilanteessa, jossa yrityksen johto tai viralliset edustajat eivät ole tienneet eikä niiden ole pitänyt tietää yleisen tietosuoja-asetuksen vastaisesta menettelystä. Yleinen tietosuoja-asetus itsessään ei anna tähän kysymykseen vastausta.  

Yleisen tietosuoja-asetuksen soveltamisesta ei ole vielä käytännössä lainkaan kotimaista oikeuskäytäntöä, jolla olisi ennakkopäätösarvoa. Tarve oikeuskäytännölle on ilmeinen yleisen tietosuoja-asetuksen yrityksille asettamien vaatimusten sisällön selventämiseksi. Kotimaista oikeuskäytäntöä on kuitenkin odotettavissa, sillä ainakin Taksi Helsinki Oy on valittanut hallinto-oikeuden päätöksestä edelleen korkeimpaan hallinto-oikeuteen, ja muitakin asioita on varmasti päätymässä korkeimman hallinto-oikeuden ratkaistavaksi. Tiettyjen oikeudellisten kysymysten osalta kansalliset tuomioistuimet tulevat myös pyytämään ennakkoratkaisua Euroopan unionin tuomioistuimelta, kuten on jo nähty esimerkiksi Itä-Suomen hallinto-oikeuden esittämässä ennakkoratkaisupyynnössä, joka koski rekisteröidyn tarkastusoikeuden laajuutta.