Tietosuojavaltuutetun toimisto on arvioinut Valtion tieto- ja viestintätekniikkakeskus Valtorin, Digi- ja väestötietovirasto DVV:n ja Verohallinnon pilvipalvelujen käyttöä vuonna 2022.
Selvityksessä havaittiin, että henkilötiedoille ei ollut varmistettu riittävää tietosuojaa, kun niitä siirrettiin Valtorin tarjoaman pilvipalvelun kautta Yhdysvaltoihin.
Tällöin EU:lla ja Yhdysvalloilla ei ollut voimassa olevaa tiedonsiirtojärjestelyä. Selvitys oli osa laajempaa selontekoa, jossa tarkasteltiin noin sadan julkisen sektorin organisaation pilvipalvelujen käyttöä EU:ssa.
Olisi pitänyt varmistaa lisäsuojaus
Selvitys koski organisaatioiden toimintaa vuoden 2022 helmi–huhtikuun ajan. Tänä aikana EU:lla ja Yhdysvalloilla ei ollut voimassa olevaa tietosuojakehystä, jonka perusteella tietoja olisi voitu siirtää turvallisesti. Siksi organisaatioilla oli velvollisuus varmistaa erilaisin lisäsuojatoimin, että vaadittu tietosuojan taso säilyi, kun henkilötietoja siirrettiin Yhdysvaltoihin.
Tietosuojavaltuutetun toimisto havaitsi, että organisaatioilla oli ollut puutteita riittävän tietosuojan varmistamisessa pilvipalvelujen käytössä. Tietosuojavaltuutettu toteaa, että Valtorin olisi tullut huolehtia, että riittävä tietosuoja toteutuu sen julkishallinnolle tarjoamissa pilvipalveluissa. DVV:llä ja Verohallinnolla on lakisääteinen velvollisuus käyttää Valtorin tuottamia palveluja.
Valtorille annettiin huomautus tietosuojapuutteista. Myös DVV sai huomautuksen, sillä se oli laiminlyönyt velvollisuutensa varmistaa, että tiedonsiirroille taataan riittävä suoja. Verohallinnolle ei annettu huomautusta, sillä se oli selvityksen perusteella pyrkinyt huomioimaan tietosuojavaatimukset ottamalla käyttöön erilaisia täydentäviä suojatoimia. Nekään eivät kuitenkaan olleet täysin kurantteja.
Tietosuojavaltuutetun toimiston päätökset eivät ole vielä lainvoimaisia ja niistä voi valittaa hallinto-oikeuteen.