FiComin lausunto TSV:n toimiston toimintakertomuksesta

Eduskunnan hallintovaliokunta on pyytänyt FiComilta lausuntoa tietosuojavaltuutetun toimiston vuoden 2018 toimintakertomuksesta. FiCom kiittää mahdollisuudesta tulla kuulluksi ja esittää kunnioittavasti seuraavaa:

Tietosuojavaltuutetun toimisto on FiComin jäsenten olennainen yhteistyökumppani, mutta sillä ei ole riittäviä resursseja yleisen tietosuoja-asetuksen aiheuttamaan neuvontaan ja valvontaan, mikä näkyy muun muassa pitkissä käsittelyajoissa. Tälläkin hetkellä TSV:n toimistossa on vireillä asioita, joissa FiComin jäsenyritys on antanut vastauksensa selvityspyyntöön yli vuosi sitten, muttei ole sen jälkeen saanut tietoa siitä, ovatko asiat tulossa päätökseen vai jatkuvatko selvitykset vielä.

FiComin jäsenyritysten ja tietosuojavaltuutetun toimiston yhteinen Terttu-työryhmä on koettu jäsenten keskuudessa erittäin tärkeäksi. TSV:n puutteelliset resurssit ovat vaikuttaneet tällaisten alakohtaisten työryhmien tapaamisiin, eikä esimerkiksi Terttu-ryhmä ole tavannut viime vuosina kuin korkeintaan kerran vuodessa. Telealalla ei itse asiassa tällä hetkellä ole kyselyistä huolimatta tiedossa, kenen vastuulla sektorin kysymyksiin vastaaminen TSV:n toimistossa on.

Alan toimijoille ei muutenkaan ole aina täysin selvää, onko heidän TSV:lle tekemänsä ilmoitus vastaanotettu tai missä vaiheessa asioiden käsittely TSV:n toimistossa on. Erittäin yksityiskohtainen ja laaja henkilötietojen tietoturvaloukkauksen ilmoituslomakkeen tietosisältö ylittää menettelytapana tietosuoja-asetuksen vaatimukset, mutta ilmoituslomakkeesta ei sen lähettämisen jälkeen saa lainkaan yhteenvetoa, vaan sen joutuu kopioimaan esimerkiksi kuvankaappauksin. Tilanteessa, jossa TSV:n toimisto on ilmoittanut vastaanottaneensa useamman tietoturvaloukkausilmoituksen ja todennut palaavansa tarvittaessa aiheeseen, rekisterinpitäjälle jää epäselväksi, onko asia käsitelty vai onko se vielä jonossa. FiComin jäsenet toivoisivat TSV:n toimistolta selkeämpää informaatiota siitä, miten kunkin asian käsittely jatkuu vai jatkuuko se ylipäätään. Mikäli jokin asia on edennyt seuraamuskollegion käsiteltäväksi, rekisterinpitäjälle tulee toimittaa tästä tieto sekä arvio siitä, milloin asiassa annetaan ratkaisu. Tällä hetkellä on epäselvää, mikä TSV:n toimiston prosessi näiltä osin on, ja millä tavalla rekisterinpitäjää informoidaan käsittelyn etenemisestä.

Tietosuojavaltuutetun toimiston valvonnassa ei ole huomioitu suhdetta julkisuuslakiin eikä TSV:n sivuilla ohjeisteta, miten loukkausilmoituksessa tulisi ilmoittaa liikesalaisuudet tai muu salassa pidettävä tieto mahdollisten tietopyyntöjen varalta. Esimerkiksi Ruotsin Datainspektionenin sivuilla on selkeä ilmoitus tietojen julkisuudesta, minkä lisäksi viranomainen tekee tietopyynnön yhteydessä erillisen luottamuksellisuusarvion.

Olisi toivottavaa, että Euroopan tietosuojaneuvoston ohjeisiin tai päätöksiin viitattaessa TSV:n sivuilla olisi linkki kyseisiin dokumentteihin tai ne olisivat löydettävissä alasivulta ”Euroopan tietosuojaneuvoston ohjeet”. Osa tällä sivulla julkaistuista ohjeista on saatavilla vain englanniksi: mikäli Euroopan tietosuojaneuvosto ei käännä ohjeitaan suomeksi, mutta TSV viittaa niihin omilla sivuillaan, tulisi TSV:n käännättää ohjeet suomeksi.

Tämä aihe liittyy

Asko Metsola on FiComin lakimies.

Seuraa Askoa Twitterissä: https://twitter.com/AskoMetsola