Tietosuojavaltuutetun toimintakertomuksen laatiminen perustuu Euroopan unionin yleisen tietosuoja-asetuksenEuroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 59 artiklaan, ja siitä säädetään myös tietosuojalain (1050/2018) 14 §:ssä. Hallintovaliokunta toteaa vuoden 2023 toimintakertomuksesta, että tietosuojavaltuutetun toimiston työmäärä on kasvanut merkittävästi. Vireille tulleiden asioiden määrä kasvoi yli 2 000 asialla, joka tekee yhteensä 13 179 asiaa. Asioita myös ratkaistiin toimistossa ennätysmäärä, yhteensä 13 059 kappaletta. Suurimman asiaryhmän muodostivat edellisten vuosien tapaan ilmoitukset henkilötietojen tietoturvaloukkauksista. Tietoturvaloukkauksia ilmoitettiin yhteensä 6 894 kappaletta, mikä on noin 1 400 ilmoitusta edellistä vuotta enemmän. Henkilöstömäärään ei tullut kertomusvuonna muutoksia. Toteutuneita henkilötyövuosia oli yhteensä 51.  

Hallintovaliokunta toteaa, että henkilötietojen käsittelyä koskevan lainsäädännön määrä on lisääntynyt huomattavasti viime vuosina, ja kehitys näkyy myös tietosuojavaltuutetun toimiston työssä. Tehtävien ja vastuiden odotetaan myös lisääntyvän EU:n uuden digi- ja datasääntelyn myötä.  

Valiokunta on aiemmin pitänyt tietosuojavaltuutetun toimiston toimintakertomuksista antamissaan mietinnöissä (HaVM 1/2022 vp, HaVM 2/2023 vp) tärkeänä, että tietosuojavaltuutetun toimiston resurssit varmistetaan. Valiokunta toteaa, että henkilöstömäärän pysyessä samana, mutta asiamäärien kasvaessa saattaa käydä niin, että lakisääteisiä tehtäviä ei kaikilta osin pystytä suorittamaan. Samalla myös henkilöstön jaksaminen voi vaarantua. Työmäärän kasvaessa innovointi ja työn kehittäminen on myös haastavaa. Valiokunta katsoo, että tilanteessa, jossa resursointia ei voida määräämättömästi kasvattaa, toimintaa täytyy pyrkiä tehostamaan muilla mahdollisilla keinoilla. Hallintovaliokunta tuo tässä yhteydessä esiin hallitusohjelman kirjauksen digitalisaation ja teknologian hyödyntämisestä yhtenä tärkeimmistä keinoista parantaa julkisten palveluiden laatua, tehokkuutta ja saatavuutta. Valiokunta kannustaa teknologian hyödyntämiseen esimerkiksi selvittämällä mahdollisuutta automaattiseen päätöksentekoon asioissa, jotka eivät ole merkittäviä yhteiskunnalle tai yksilölle, seulonnan tehostamiseen tai muihin vastaaviin menettelyihin.  

Tietosuojalain 24 §:ssä säädetään hallinnollisesta seuraamusmaksusta, jonka tietosuojavaltuutetun toimiston seuraamuskollegio voi määrätä yleisen tietosuoja-asetuksen säännösten rikkomisesta. Vuonna 2023 seuraamuskollegio antoi päätökset hallinnollisista seuraamusmaksuista kolmelle yritykselle. Hallinnollisia seuraamusmaksuja ei ole voimassa olevan lain mukaan mahdollista määrätä julkisen sektorin toimijoille. Nykyisin näiden toimijoiden vastuu toteutuu yksittäisen henkilön virkavastuun kautta eikä vastuu siten kohdistu suoraan organisaatioon. Hallitusohjelman mukaan tietosuojalainsäädännön kokonaisuudistuksen yhteydessä säädetään hallinnolliset sakot tietosuojaloukkauksista koskemaan julkista ja yksityistä sektoria yhtäläisesti. 

Hallintovaliokunta tuo myös esiin, että komissio on antanut tiedonannon toisesta kertomuksestaan yleisen tietosuoja-asetuksen arvioinnista ja uudelleentarkastelusta (COM(2024) 357 final). Komission näkemyksen mukaan tietosuojaviranomaisten yksi tärkeistä tehtävistä on antaa eri toimijoille tukea ja ohjeita tietosuoja-asetuksen ja kansallisen tietosuojaa koskevan lainsäädännön noudattamisessa. Valiokunta on jo aiemmin korostanut tietosuojavaltuutetun toimiston vuoden 2022 toimintakertomuksesta antamassaan mietinnössä (HaVM 2/2023 vp — K 14/2023 vp), että tietosuojavaltuutetun toimiston asiantuntevaa ohjausta, ennakollista neuvontaa, koulutusta ja tukea tarvitaan edelleen monenlaisissa käytännön soveltamistilanteissa.