Tietosuojavaltuutettu, oikeustieteen tohtori Anu Talus, 46, on urallaan nähnyt, miten suomalaisten juristien osaaminen tietosuojakysymyksissä on kehittynyt. Useimmilla heistä on nykyään hyvä ymmärrys tietosuojaan liittyvistä perusoikeuksista, kuten henkilörekisterin pitäjän velvollisuuksista ja rekisteröidyn oikeuksista.
– Juristien ymmärrys tietosuoja-asioiden sääntelyä ohjaavista yleisistä periaatteista on kasvanut. Välillä näkee vielä nuoria juristeja, jotka tulkitsevat vain yhtä lakipykälää ymmärtämättä ympäröivää sääntelykehikkoa, Talus kertoo.
Tietosuojavaltuutettu muistelee käyneensä luennoimassa ammattiseminaareissa oikeusministeriön virkamiehenä kolme tai neljä vuotta sitten, ja silloin juristien asiantuntemus liikkui vielä hyvin perusasioissa.
Tietosuojakeskustelun taso on noussut huimasti.
– Suomalaiset tietosuojatermit ovat harhaanjohtavia, esimerkiksi sana ”rekisteröity”. Mutta tietosuojakeskustelun taso on noussut huimasti. Ehkä Euroopan unionin yleisen tietosuoja-asetuksen GDPR:n saama mediahuomio on kasvattanut ihmisten tietoisuutta.
Koko tietosuojalainsäädännön kehikko on Taluksesta kohtuullisen haastava, ja GDPR on ainoa EU-asetus, jolla on ”määräämätön soveltamisala”.
EU-tason tietosuojasäätely on myös teknologiasta riippumatonta, Talus muistuttaa. Lainsäädäntöä voidaan soveltaa sellaiseenkin teknologiaan, jota ei ole vielä edes kehitetty.
– EU:n edellinen henkilösuojadirektiivi kesti vuodesta 1995 vuoteen 2016, mutta kun ajattelee, millainen teknologinen kehitys sinä aikana tapahtui, lainsäädäntö kesti muutokset ihan hyvin.
Tuhansia kanteluita vuodessa
Puolitoista vuotta apulaistietosuojavaltuutettuna aiemmin työskennellyt Anu Talus astui tietosuojavaltuutetun virkaan marraskuussa vuonna 2020, kun hänen edeltäjänsä, oikeustieteen kandidaatti Reijo Aarnio jäi eläkkeelle.
Tietosuoja-asioista Talus on ollut kiinnostunut jo opiskeluajoista asti.
– Opiskelin aluksi Vaasan yliopistossa viestintää ja kävin IT-oikeuden kurssin. Olin aikaisemminkin jo kiinnostunut oikeustieteellisestä, mutta IT-oikeus synnytti kipinän ja vaihdoin tiedekuntaa. Tein muutaman vuoden kahta tutkintoa samanaikaisesti.
IT-oikeus synnytti kipinän ja vaihdoin tiedekuntaa.
Taluksen pro gradu -tutkielma oikeustieteellisissä opinnoissa käsitteli jo tietosuojaa, samoin kuin hänen väitöskirjansa.
– Opiskeluaikanani ei ollut kovin paljon tietosuojakursseja tarjolla, mutta otin kaikki, mitä löytyi. Nykyinen tehtäväni tarjoaa hienon näköalapaikan.
Nykyinen tehtäväni tarjoaa hienon näköalapaikan.
Tietosuojavaltuutetun toimistossa saatettiin vuonna 2020 vireille noin 11 000 asiaa. Ennen GDPR:n soveltamisajan alkamista vuonna 2016 tapauksia oli työn alla vuodessa noin 3 200.
Suuri osa tietosuojavaltuutetun toimistolle tehtävistä kanteluista koskee henkilörekisterin pitäjiä, jotka eivät poista käyttäjän tietoja tai anna käyttäjälle tarvittavia tietoja. Kolmannes kaikista vireille tulevista asioista on ilmoituksia tietoturvaloukkauksista.
Tyypillisin tapaus meillä on varmasti suoramarkkinointi, jota on tehty ilman asiakkaan lupaa.
– Jotkut niistä ovat hyvin yksinkertaisia, osa vaikeampia. Terveydenhuoltoa koskevia asioita tulee paljon, samoin suoramarkkinointiin liittyviä. Tyypillisin tapaus meillä on varmasti suoramarkkinointi, jota on tehty ilman asiakkaan lupaa.
Työn suola on, että tietosuojavaltuutetun toimistoon tulevista tapauksista melkein jokainen on hyvin mielenkiintoinen, Talus kertoo.
– Olemme koko ajan tilanteessa, jossa vedämme lainsäädännön linjoja. Toki niitä on jo vedettykin, mutta hyvin usein ollaan uuden edessä.
Olemme koko ajan tilanteessa, jossa vedämme lainsäädännön linjoja.
Haastavinta ovat ihmiskohtalot, joissa asiakasta ei pystytä tietosuojan keinoin auttamaan.
– Ihmiselle on tapahtunut jotain traagista, ja hän hakee oikeutta kääntymällä puoleemme. Kyseessä ei ole sinänsä tietosuoja-asia, mutta henkilö kokee saaneensa epätasa-arvoista kohtelua. Emme voi välttämättä auttaa. Näitä surullisia tapauksia on yllättävän paljon.
Tavalliselle kansalaiselle tietosuoja-asioissa riittäisi, että hän on selvillä, mihin hänen henkilötietojaan käytetään.
– Jos sen tietää, voi arvioida kokonaisuutta. Ihmiset antavat kovin helposti luvan kaikkeen. Menetelmät on usein rakennettukin niin, että on helpompi vain suostua. Järjestelmät pitäisi rakentaa käyttäjäystävällisemmiksi.

– Olen kiinnostunut laajasti erilaisista asioista ja suhtaudun aina avoimin mielin eri vaihtoehtoihin. Esimerkiksi kaunokirjallisuutta luen laidasta laitaan, se on hyvää rentoutumista tieteellistyylisen työmateriaalin lukemisen lomassa, tietosuojavaltuutettu Anu Talus sanoo.
Euroopan tietosuoja-asetus on tullut tutuksi
Oikeusministeriön virkamiehenä Talus neuvotteli vastuuvalmistelijana GDPR:stä vuosina 2012–16 ja työskenteli sen jälkeen vuoden EU-komissiossa kansainvälisten tiedonsiirtojen yksikössä. Eurooppalainen tietosuoja-asetus tuli tutuksi.
Kansallisessa tietosuojalainsäädännössä on aina eurooppalainen kerros päällä, Talus muistuttaa. Unionissa luotetaan kansallisten viranomaisten Eurooppa-tasoiseen yhteistoimintamenettelyyn: päätöksiä ei tehdä jäsenvaltioissa yksin, vaan aina yhdessä.
– Vaikka kyseessä olisi esimerkiksi Irlannin tietosuoja-asia, ratkaisu tehdään yhdessä, ja sillä luodaan eurooppalainen linja, joka vaikuttaa tärkeisiin asioihin Suomessakin.
Ison-Britannian eroa unionista Talus ei pidä katastrofina.
Ison-Britannian eroa unionista Talus ei pidä katastrofina. Saarivaltio oli jo ottanut GDPR:n käyttöönsä kansallisessa lainsäädännössä ennen brexitiä ja on sitoutunut noudattamaan eurooppalaista sääntelyä ylimenoajan.
– Rikosoikeudelliset asiat ovat brexitin ja GDPR:n kannalta kiinnostavia. Euroopan tietosuojaviranomaiset tarkkailevat tilannetta säännöllisesti siltä varalta, että Britannia muuttaa lainsäädäntökehikkoaan niin voimakkaasti, ettei sen tietosuojan taso enää yllä riittävälle tasolle.
Yleistä eurooppalaista tietosuoja-asetusta pidetään niin hyvänä, että siitä on nopeasti muodostunut globaali standardi.
Yhdysvalloissa Kalifornian osavaltio on ottanut käyttöön säätelyn, joka on hyvin GDPR:n kaltainen.
– Se on huikeaa. Esimerkiksi Japani, Etelä-Korea ja Brasilia ovat ryhtyneet kehittämään uutta lainsäädäntöä. Yhdysvalloissa Kalifornian osavaltio on ottanut käyttöön säätelyn, joka on hyvin GDPR:n kaltainen, ja presidentti Joe Bidenin aikana se on kuulemma vahvassa myötätuulessa myös liittovaltiotasolla. Tämä on hyvin merkittävä kehityssuunta.
Vastaamo herätteli suomalaisia
Suomalaisessa tietosuojassa suurimmat puutteet liittyvät perusasioihin. Rekistereidenpitäjien pitäisi esimerkiksi tiedottaa tietosuojasta asiakkailleen ymmärrettävästi.
– Rekisteröidyillä pitää olla selkeä käsitys, mihin henkilötietoja käytetään, jotta he voivat käyttää oikeuksiaan. Euroopan sisällä en olisi huolissani, että rekisterinpitäjät myyvät asiakkaidensa henkilötietoja, jos se tapahtuu GDPR:n mukaisesti, mutta tilanne Euroopan ulkopuolella on eri, Talus sanoo.
Euroopan sisällä en olisi huolissani, että rekisterinpitäjät myyvät asiakkaidensa henkilötietoja, jos se tapahtuu GDPR:n mukaisesti.
Juristeja tietosuojakysymykset työllistävät liikemaailmassa, kun yrityksillä on velvollisuus esimerkiksi arvioida henkilötietorekisterin vaikutuksia. Jos rekisterinpitäjä ei pysty pienentämään riskejä, sen pitää ryhtyä ennakkokuulemiseen viranomaisen kanssa.
– Meiltä lähti juuri yleinen ohje vaikutusten arvioinnin tekemisestä asiantuntijoille kommentoitavaksi.
Suomessa tietosuoja-asioiden tärkeyteen herättiin viimeistään alkuvuodesta, kun ilmeni, että terapiakeskus Vastaamolta oli varastettu kymmenien tuhansien asiakkaiden henkilötiedot.
– Meille tuli useita kanteluita vireille, ja tapaus herätteli suomalaisia yrityksiä. Uskon, että yritykset ymmärsivät myös, miten tärkeää tietosuoja on Due diligence -tilanteessa yrityskauppojen yhteydessä.
Suomessa koronaviruspandemian tietosuoja-asiat on osattu ottaa huomioon hyvin etupainotteisesti.
– Tämä on osaltaan vaikuttanut siihen, ettei meillä näy vahvaa kasvupiikkiä koronaan liittyvissä asioissa. Koronavilkusta käyty keskustelu on jännittävää, sillä se on hyvin ja turvallisesti tehty sovellus ja on siksi laajasti otettu kansalaisten käyttöön.
Koronavilkusta käyty keskustelu on jännittävää, sillä se on hyvin ja turvallisesti tehty sovellus ja on siksi laajasti otettu kansalaisten käyttöön.
Koronavilkku on Taluksen mielestä hyvä esimerkki siitä, miten hyvä ratkaisu voidaan rakentaa, kun tietosuojan sääntelykehikko otetaan alkupisteestä alkaen huomioon.
– Vielä muutama vuosi sitten sääntely koettiin kehitystä estäväksi, nyt se koetaan enemmän mahdollistavaksi. Se on ”hiekkalaatikko”, jonka sisällä voi turvallisesti innovoida ja kokeilla.
Voiko maailmanlaajuinen pandemia olla erikoistilanne, jossa kansalaisten tietosuojasta ryhdytään tinkimään?
– Kansalaisten oikeuksia voi aina rajoittaa, mutta suhteellisuuspunninta on tärkeää. Onko rajoittaminen oikeassa suhteessa tavoiteltuihin päämääriin? Joillakin kansainvälisillä kollegoillani on huolta, että koronan varjolla lähdetään liikaakin rajoittamaan. Kaikessa tässä keskustelussa on se kiinnostava elementti, että miten rajoituksista tullaan sitten takaisin, tietosuojavaltuutettu toteaa.
Anu Taluksen vinkki juristin polulle
Opiskeluaikana kannattaa keskittyä juridiikan yleisiin periaatteisiin, sillä ne ovat pysyviä ja ohjaavat kaiken lainsäätelyn tulkintaa. Tietosuoja-asioissakin on tärkeää ymmärtää koko periaate, yksittäistä säännöstä ei voi tulkita ilman koko sääntelykehikkoa.