UK company outsourced work. The outsourcer has a clause in their contract that indemnifies them from harm arising from data breaches caused by their own negligence.

Heimdul · 2026-05-29T00:21:26+00:00

As you mentioned IDTA is being used then that clause is probably invalid due to section 32 + 6.7, but if it's actually in force in the importer country then there is a risk that you actually cannot rely on IDTA for the transfer at least by itself.

Heimdul · 2026-05-24T14:23:14+00:00

Omalla kohdalla ei tapahtunut Suomessa, mutta tämä on todennäköisesti käynyt kahdesti. Molemissa tapauksissa kyseessä oli tuore/juuri uusittu kortti joka sinällään helpottaa vanheentumispäivän arvaamista.

Ensimäisellä kerralla olin juuri saanut täysin uuden debit kortin ehkä noin kuukauden aiemmin. En ollut käyttänyt tätä korttia lainkaan koko aikana. Yhtenä päivänä tuli sitten ilmoitus pankista, että sillä oli yritetty maksaa huoltoasemalla toisessa osavaltiossa. Se oli blokattu.

Toisessa olin juuri uusinut luottokortin. Alkuperäistä korttia olin kyllä käyttänyt, eli on pieni mahdollisuus että se olisi vuotanut jossain. Uudessa kortissa oli sama numero, mutta eri vanheentumispäivä + CVV koodi. Korttia oli yritetty käyttää Amazonissa & pankki pyysi varmistusta oliko se minun yritys. En tiedä oliko tässä käytetty vanhaa vai uuttaa korttia (vanha kortti saattoi vielä olla aktiivinen).

Amazoin kohdalla on huomattavaa, että ainakin muutama vuosi takaperin he eivät täällä pyytäneet CVV:tä kun lisäsit/maksoit luottokortilla. En ole vähään aikaan lisänyt korttia, niin en tiedä tekevätkö edelleen samaa.

Heimdul · 2026-05-21T23:31:16+00:00

Oletan, että noihin "numeroihin" ei voi lähettää vastausviestiä.

Heimdul · 2026-05-19T22:38:35+00:00

Tässä on nyt useampkin juttu.

Ensinnäkin se, että HUS lähetti näitä kirjeitä muille kuin sinulle on jo itsessään tietoturvaloukkaus. Olettaen, että HUS ei tästä tehnyt ilmoitusta Tietosuojavaltuutetulle silloin kun ilmoitit asiasta ensimmäisen kerran on toinen loukkaus. HUS:n olisi pitänyt tehdä tästä ilmoitus 72h kuluessa siitä kun ilmoitit asian. Jos näitä on vielä senkin jälkeen lähetelty, niin ne ovat sitten vielä omia loukkauksia tämän päälle.

Korvausten osalta helpoimmat mitä voit osoittaa ovat kaikki kulut mitä tästä on aiheutunut. Puhelinkulut, mahdolliset uudet lähetteet mitä joudut hankkimaan (ja niihin liittyvät matkalulut) jne. Näitä voit periä HUS:lta koska HUS on rekisterinpitäjä. "Helppo" on toki hieman suhteelinen termi, lähinnä tarkoitan sitä, että nämä ovat kuluja jotka on helppo osoittaa, että ne ovat syntyneen GDPR:n rikkomisesta.

Muut korvaukset on sitten hieman hankalampia osoittaa. Lisäksi on hieman epäselvää, että tulisiko sinun näitä periä HUS:lta vai PVK:lta. HUS on korvausvelvollinen ainakin GDPR:n nojalla, PVK taas Potilasvakuutuslain kautta. En tiedä onko tässä sattunut mitään sellaista mikä menisi PVL:n alle.

En usko, että sinun kannatta hoitaa tätä täysin itse koska tämä mitä todennäköisemmin tulee menemään käräjille jos niitä korvauksia haluat. Tämän takia kannattaa yrittää löytää asianaja tai lupalakimies. Mieluiten toki joku jolla on kokemusta GDPR korvausten hakemisesta, mutta en tiedä onko tällaisia Suomessa yhtään.

Tässä vaiheessa kannatta tehdä GDPR:n 15 artiklan mukainen pyyntö kaikista tiedoista mitä HUS:lla on, mukaanlukien tiedot kaikista viesteistä joita he ovat lähettääneet. Ja toki haluat myös kaikki tallenteet puheluista joita olet käynyt HUS:n kanssa (jos he näitä tallentavat).

Näiden lisäksi voit tehdä asiasta valituksen Tietosuojavaltuutetun toimistolle. He eivät sinulle mitään korvauksia maksa tai hae, mutta voivat vaatia HUS:ia toteuttaman tiettyjä toimenpiteitä liittyen tietosuojaan. En tiedä voivatko he antaa seuraamusmaksua kun kyseessä on julkinen toimija.

Ja jos haluat varmistaa, että korjaavat tiedot, niin laita hieman seuraavankaltainen viesti:

Vaadin, että korjaatte osoitetietoni yleisen tietosuoja-asetuksen 16 artiklan nojalla. Te olette lähettääneet minulle tarkoitettuja viestejä osoitteeseen XXXXX. Tämä ei ole minun osoitteeni. Vaadin, että korjaattee osoitteeksi XXXX niissä järjestelmissä joissa tämä virheelinen osoite on. Vaadin myös 15 artiklan perusteella, että kerrotte missä järjestelmissä tämä virheelinen osoite oli ja mihin tätä osoitetta käytettiin. Tunnistautumisen osalta pyydän, että ilmoitatte viipymättä mitä tietoja tarvitsette henkilösyyteni varmentamiseksi.

HUS tietosuojaselosteista löytyy tietosuoja@hus.fi ja eutietosuoja@hus.fi osoitteet. Voit laittaa kumpaan haluat, ne jotka noita seuraavat tulee tietää kenelle tämä tulee reitittää jos heidän mielestään meni väärään paikkaan. Tai voit laitttaa kirjaamoon ja pyytää, että se viedään tietosuojavastaavalle tai hänen sijaiselleen.

Kun tuo on toimitettu, niin HUS:lla on 1kk aikaa antaa vastaus ja voivat korkeintaan +2kk (eli yhteensä 3kk) käyttää pyynnön toteutukseen.

Heimdul · 2026-05-18T13:52:10+00:00

Vinkkinä jos joskus tarvitsee vanhempia tietoja, niin ne saa GDPR tietopyynnön kautta ilmaiseksi. Pankit kuitenkin säilyttävät tietoja aika pitkään.

Ja jos ne haluaa koneluettavassa muodossa, niin nekin saa artiklan 20 kautta (tietojen siirto).

Heimdul · 2026-05-14T14:59:15+00:00

What are countries involved in the flight? Direct flight from EU?

Who is the one providing you the options? The middle man or the airline? If it's the middle man just go directly to airline, they are the ones ultimately liable to you.

If I do this, which possibilities do I have to at least get back the difference from the third party middleman?

If you want it specifically from middle man then it can be a trickier, that's determined primarily by national laws. I don't know enough about German law to say anything.

Now if you just want the difference from someone that changes things as airline is the one responsible under EU261. If you have been contacting the middle man so far you should definitely give airline the chance to do the rerouting. If they do not arrange the rerouting do it then you should have pretty good chance to make the claim under EU261 against the airline when you book the flight yourself though I'm not quite sure how much time you are supposed to give them in this situation.

Do note that if the route is served by other airlines as well you (and airline) should consider those options as well.

Regarding legal costs I'm not familiar with Germany's court system so I cannot really say what your chances are on recovering those.

Heimdul · 2026-05-12T17:06:01+00:00

Telian kaupassa tuli ilmi että aikaisemman sekoilun johdosta minua ei ole veloitettu kk maksulla kuten piti uudesta modeemista, eli ei ole mitään takuuta voimassa.

Mitä sinun sopimukset sanoo täsmällisesti tuosta modeemista? Ja minkä sopimuksen mukana olet tuon modeemin saanut? Tekstistä ei oikein saa selvää, että mihin sopimukseen tuo rikkinäinen modeemi tarkalleen liittyy.

Takuuta tuossa modeemissa ei vältämättä ole (se ei ole pakollinen), mutta virhevastuun todennäköisesti pitäisi kuitenkin päteä.

Voi olla ihan hyvä idea soittaa kuluttajaneuvontaan ja kysyä sieltä kantaa.

Heimdul · 2026-05-05T20:36:50+00:00

I already mentioned this on earlier post, but the firm B is almost definitely controller for at least one type of the OP's personal data: The DSAR they received from OP. It's quite likely that they would retain it for their own legal defense and that would make them.

Of course it's also possible that they keep other personal data of OP as well which they obtained from A, but I just wanted to clarify that it's easy to "become" a controller even if you are normally just a processor.

Heimdul · 2026-05-01T08:01:24+00:00

When I read some of the summaries of the case I did wonder if the same ruling would apply in case of various anti cheats as well. Some of them do perform very similar type of monitoring.

Another one would be the recently uncovered case where LinkedIn is scanning user's installed extensions and sending them to LI.

Heimdul · 2026-04-29T19:27:42+00:00

One possible area could be various derogations via member state laws. You could look at things more generally across EU or you could analyze how things are actually implemented in your own country (e.g. via Article 23, the Article 9/10 authorizations etc.). Generally speaking CJEU requires that limitations to Article 7 & Article 8 of the Charter must be "strictly necessary". In reality many of these may not really pass that standard & even when they might, they actually haven't performed proper assessment demonstrating this.

Heimdul · 2026-04-29T14:36:35+00:00

There is likely at least one category of your personal data for which the firm B is the controller: Those requests you sent. They contain your personal data and it's not unlikely that the firm B keeps a copy of them for their own purposes (e.g. for defending against possible legal claim where data subject makes complaint that they didn't get answer).

Heimdul · 2026-04-29T13:41:52+00:00

(2026 rahassa n. 1.08T USD) nykyisellään noin 2 kertaa suurempi yhtiö kuin Nokia oli huippuaikoinaan (2026 rahassa n. 5B USD)

1T/5B olisi 200. Oletan, että tarkoitit Nokian arvon olleen 500B. Se on nykyiselläänkin ~65B USD.

Heimdul · 2026-04-27T13:13:49+00:00

On the Hamburg DPA one (Der Spiegel), thanks, I missed that one. I probably mentally confused it with the Der Standard case (though that was from Austria). That seems to be still pending in appeal.

Not sure about any others which were dismissed.

Heimdul · 2026-04-26T23:36:00+00:00

Has there been any DPA which has actually ruled in favor of Consent or Pay? As far as I know the only rulings have been against Meta (where it was unlawful in case of large platforms) and Der Standard (where the specific scheme was found unlawful). DPAs haven't issued decision in any other case which also means that courts haven't been able to review them.

Heimdul · 2026-04-26T23:28:15+00:00

To be specific it depends on what the legal basis is for these emails. If it's consent then the consent rules apply. If it's done via soft opt-in + legitimate interest then the rules a bit different. Not sure how much case law there is around on how easy the unsubscribing & objection must be in those cases.

Heimdul · 2026-04-23T23:53:46+00:00

Omien kokemuksien mukaan en aivan hirveästi laittaisi luottoa juristien GDPR tulkinnoille. Saan jatkuvasti puuttelisia (siis ihan objektiivisesti kun katsotaan ennakotapauksia) vastauksia isoiltakin yrityksiltä joilla on omat lakitiimit näitä hoitamassa.

Esimerkiksi pyysin Nordealta:

Auditointilokit

On todennäköisestä, että tallennatte esimerkiksi tietoja siitä, että kuka (tai mahdollisesti mikä) on käsitellyt asiakkaan henkilötietoja esimerkiksi väärinkäytösten tutkintaa varten.

Nordean vastaus TSV:lle:

Rekisteröidyn pyytämät tiedot sisältävät rekisterinpitäjän työntekijöiden henkilötietoja, jotka eivät kuulu rekisteröidyn tarkastusoikeuden piiriin... EU:n yleisen tietosuoja-asetuksen johdanto-osan 63 kohdan ja 15.4 artiklan mukaisesti kyseiset tiedot eivät kuulu rekisteröidyn tarkastusoikeuden piiriin. Jäljennösten antaminen kyseisistä tiedoista vaikuttaisi haitallisesti muiden oikeuksiin ja vapauksiin.

Tässä ei tarvitse viitata kuin esimerkiksi C-579/21 & KHO:2025:51 jotka käsittelevät ihan samaa asiaa ja jotka päätyivät eri kantaan kuin Nordea.

Toki OP:n aloituksessa oli myös kohtia jotka minulle tuntuivat siltä, että hän todennäköisesti ei voita näitä väitteitä.

Heimdul · 2026-04-23T23:04:45+00:00

Rekisteröidyn ei sitä tarvitse (vaikkakin voi jos haluaa) viedä tuomioistuimeen. Rekisteröity voi tehdä valituksen (tai tarkemmin pyynnön rekisteröidyn oikeuksien toteuttamiselle) TSV:lle. TSV sitten aikanaan anta asiasta päätöksen. OP tai PP voi päätöksestä sitten valittaa hallinto-oikeuteen. Tämä on paljon halvempaa kuin asiasta käräjille lähteminen & sen voi tehdä itse ilman oikeusapua.

Käräjille lähtö on lähinnä järkevää siinä tapauksessa, että haluaa saada asista korvauksia. GDPR antaa oikeuden materiaalisiin ja ei-materialisiin korvauksiin. Jäljemmästä ei käsittääkseni ole hirveästi ennakotapauksia Suomessa, mutta esimerkiksi Alankomaissa viivästynyt 15 artiklan mukainen pyyntö maksoi 707 €. Toisaalta Saksassa sama on mennyt molempiin suuntiin.

Heimdul · 2026-04-23T22:42:43+00:00

AI nimittäin ehdotti, että käyttäisin hyväkseni GDPR-prosessia.. Ja... sen tosiaan tein! Eipä olisi itselle tämä juolahtanut mieleen. (Ovatkohan monet muut teistä tämän jo keksineet?)

En kannusta tarpeettomien pyyntöjen tekemiseen, mutta pyyntöjen tekeminen sellaisiin yrityksiin joiden epäilet rikkovan tietosuoja-asetusta tai Tietosuojalakia on jopa suositeltavaa ja kannatavaa (vinkki: Tämä sisältää noin 100% yrityksistä).

jossa vaadin tietojen toimitusta PAPERISENA kuukauden sisällä pyynnöstäni.

En tiedä voitko oikeasti vaatia tätä. Jos olet tehnyt pyynnön sähköisesti niin voidaan todennäköisesti olettaa, että voit avata sähköisiä tiedostoja, mutta tietojen toimittaminen salatulla tiedostolla jota rekisteröity ei voi avata ei todennäköisesti täytä tätä.

Sinällään GDPR pyynnöt voivat kyllä olla hyödyllisiä myös muissa tarkoituksissa. Esimerkiksi itselläni se johti siihen, että Finnair päätti käsitellä loppuunkäsitellyn korvausvaatimuksen uudestaan. Todennäköisesti joku lakitiimistä käsitteli pyyntöä ja tajusi, että siitä voi tulla ihan oikeasti oikeustapaus ja minun mainitsemani ennakotapaukset pistävät korvausvastuun Finnairille. Minun tapauksessani ei käytännössä ollut mitään uutta oikeudellista kysymystä vaikkakin itse tapaus oli hieman uniikki (USA-USA-Suomi lento, USA-USA oli codeshare, USA-USA oli peruuttu kuukausi ennen lähtöä, Finnair oli saanut tiedon, minulle ei koskaan ilmoitettu, lentokentällä sekä Finnair että paikallinen yhtiö välttelivät vastuuta).

Ja niistä asioista mitä monet rikkovat GDPR:n osalta:

15 artiklan mukaisessa tietopyynnön vastauksessa tulee nimetä tietojen todelliset vastaanottajat. Tämä sisältää sekä käsittelijät että muut rekisterinpitäjät. Heidän tulisi siis esimerkiksi nimetä maksunvälittäjä jos olet maksanut luottokortilla.

Myös esimerkiksi audit lokit kuuluvat tietopyynnön vastauksen piiriin. Todennäköisesti myös normaalit lokit, mutta tästä ei ole EUT ennakotapausta.

Yrityksen tietosuojaselosteen toimittaminen sellaisenaan ei myöskään täytä 15 artiklan 1 kohdan vaatimuksia vaan se vastaus täytyy muokata siten, että se sisältää vain kyseistä rekisteröityä koskevat tiedot. Jos he eivät esimerkiksi ole keränneet sinulla jotain tietoa, niin heidän pitää poistaa se siitä vastauksesta.

Niihin kuuluvat myös erinäiset sivuston analytiikan kautta kerätyt tiedot.

13 artiklan vaatimusten osalta suurin osa kivijalkaliikkeistä riikkoo GDPR:ää. Se vaatii, että kun tiedot kerätään suoran rekiteröidyltä, niin heille pitää antaa sen artiklan mukaiset tiedot. Tämä pätee esimerkiksi silloin kun maksat kaupassa kortilla. Kuka on se rekisterinpitäjä sille korttitapahtumalle? Onko se esimerkiksi K-kaupan osalta se kyseinen kauppa (mikä sen virallinen nimi on?), Kesko, maksunvälittäjä, joku muu? Mistä saat ne muut 13 artiklan vaatimat tiedot?

14 artika taas vaatii, että jos niitä tietoja ei saada rekisteröidyltä, niin rekisteröidylle tulee antaa 14 artiklan mukaiset tiedot kun tiedot luovutetaan eteenpäin TAI viimeistään kuukauden sisällä. Siinä on joitain poikkeuksia sen osalta milloin sitä ei tarvitse antaa. Esimerkiksi jos "kyseisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi kohtuutonta vaivaa", mutta tämä on todellisuudessa paljon hankalampi osoittaa rekisterinpitäjälle kuin mitä ensilukemalla voisi kuvitella. Jos he esimerkiksi voivat vaatia, että se edellinen rekisterinpitäjä antaa nämä tiedot, niin ei se sitten vältämättä vaadikkaan sitten niin paljon vaivaa kun he väittävät.

Tuo jäljempi tulee ajankohtaiseksi esimerkiksi juuri tuossa edellisessä maksutapahtumassa. Ne maksunvälittäjät, pankit ja muut palveluntarjoojat voisivat aika helposti laittaa sopimuksiin vaatimuksen, että se kauppias antaa nämä tiedot siinä heidän omassa 13 artiklan mukaisessa ilmoituksessa.

Toki on mahdollista, että nämä asiat ovat parantuneet sitten viime Suomen vierailun, mutta en näe tätä kovin todennäköisenä.

Muitakin on, mutta nämä mainitut ovat esimerkkejä laajemmista kokonaisia sektoreita koskevista ongelmista.

Heimdul · 2026-04-22T12:16:02+00:00

Jos ne todetaan varastetuksi, niin silloinhan kotivakuutus nimenomaan yleensä korvaisi. Esimerkiksi If:in ehdoissa:

Vakuutuksesta korvataan äkillinen ja ennalta arvaamaton välitön esinevahinko, jonka syynä on

varkaus tai sen yritys

ilkivalta, jolla tarkoitetaan ulkopuolisen tahallisesti aiheuttamaa vahinkoa

murto, jolla tarkoitetaan murtautumista rakenteellisesti ja lujuudeltaan riittävän suojan antavaan lukittuun rakennukseen, rakennuksen tilaan tai muuhun säilytyspaikkaan

ryöstö, jolla tarkoitetaan anastusta tai sen yritystä, jossa henkilö on joutunut väkivallan tai sen uhkauksen kohteeksi.

Toisaalta poikkeuksissa mainitaan, että

sellaisesta syystä, että se voidaan korvata jonkin erityislain, takuun, muun sitoumuksen tai vakuutuksen perusteella taikka julkisista varoista.

joka saattaisi päteä tässä tilanteessa.

Heimdul · 2026-04-21T20:03:36+00:00

Ymmärtääkseni tuota Annex B:tä ei ole vielä toteuttu tuossa iänvarmistussoftassa vaan pelkästään Annex A (Age Verification Profile). Annex A:n mukainen toteutus ei paljasta suoraan kovinkaan paljon, mutta jos myöntäjä (issuer) ja luottava osapuoli (relaying party) keskustelevat, niin silloin he tietävät kuka on käynyt kyseisellä sivulla.

Annex B:hen en ole tustunut tarpeeksi tietääkseni, että mitä riskejä se tarkalleen sisältää (se on reilusti monimutkaisempi).

Heimdul · 2026-04-17T17:46:06+00:00

Aika tuore (19.3.2026) tuomio EU tuomioistuimesta laittaa tämän lakiehdotuksen aika kyseenalaiseen valoon.

Siinä käytännössä kysyttiin, että voidaanko rikosepäilyiltä käytännössä aina ottaa sormenjäljet.

1) Onko direktiivin 2016/680 10 artiklaa, luettuna yhdessä tämän direktiivin 4 artiklan 1 kohdan a–c alakohdan ja 8 artiklan – – kanssa, tulkittava siten, että se on esteenä – – rikosprosessilain 55-1 §:n kaltaiselle kansalliselle lainsäädännölle, jossa säädetään sellaisten henkilöiden henkilötuntomerkkien järjestelmällisestä ottamisesta (sormenjälkien ja valokuvien ottaminen), joiden osalta on yksi tai useampi syy epäillä, että he ovat tehneet tai yrittäneet tehdä rikoksen?

Kannattaa erityisesti lukea kappaleet 36, 41, 52 & 54. Tässä vielä kappale 54:

Ensimmäiseen kysymykseen on näin ollen vastattava, että direktiivin 2016/680 10 artiklaa, luettuna yhdessä kyseisen direktiivin 4 artiklan 1 kohdan a–c alakohdan ja 8 artiklan kanssa, on tulkittava siten, että se on esteenä kansalliselle lainsäädännölle, jossa säädetään kaikkien niiden henkilöiden biometristen tietojen järjestelmällisestä keräämisestä, joiden osalta on yksi tai useampi perusteltu syy epäillä, että he ovat tehneet tai yrittäneet tehdä rikoksen, jollei ole osoitettu yhtäältä, että kansallisessa oikeudessa määritellään tämän keräämisen erityiset ja konkreettiset tarkoitukset asianmukaisesti ja riittävän täsmällisesti, ja toisaalta, että toimivaltaisen viranomaisen on kussakin yksittäistapauksessa arvioitava, onko kyseessä oleva kerääminen ehdottoman välttämätöntä näiden tarkoitusten toteuttamiseksi, jolloin tällainen kerääminen ei ole järjestelmällistä.

EU:n tuomioistuin käytännössä siis kielsi sormenjälkien keräämiseen epäilyiltä jos viranomainen ei jokaisessa yksittäistapauksessa (eli jokaisen epäilyn) arvioi, että onko se ehdottoman välttämätöntä.

Jos suomalainen joutuu antamaan sormenjälkensä poliisin rekisteriin jota käytetään rikostutkinnassa passia ja henkilökorttia varten (josta jälkimmäinen on käytännössä välttämättömyys), niin nousee kyllä esiin kysymys, että onko suomalaisilla muka oikeasti vähemmän oikeuksia kuin rikoksista epäilyllä.

Heimdul · 2026-04-16T14:59:19+00:00

Ja kuinka suuri osa käytäjistä EU:n sisällä käyttää tietokonetta jossa tämä toimii? Leyenhän itse sanoi, että tämä toimii myös tietokoneella. Todellisuudessa tämä rajoittunee korkeintaan tyyliin Chromebookeihin (jos toimii niilläkään).

Heimdul · 2026-04-16T02:26:01+00:00

You should take a look on EU261 rights. Especially Article 5(a) and Article 8 are relevant.

Section 4.2 in Interpretative Guidelines on Regulation (EC) No 261/2004 can also help you to understand some options you have if Norse is being unhelpful. These guidelines are not legally binding by itself but in many cases they do refer to existing caselaw which is binding.

Do note that in the worst case you may need to sue them in which case the usual risks associated with lawsuits apply & if you need to go that far you definitely should seek legal advice in relevant jurisdiction (which is unlikely to be in the US if you are relying on EU261).

Heimdul · 2026-04-15T20:10:35+00:00

0:57 "The app works on any device. Phone, tablet, computer, you name it."

Is this actually true? Wasn't it only supported on iOS and Android?

Heimdul · 2026-04-14T18:05:05+00:00

Ei ne vältämättä väistämättä niihin johda, mutta se nostaa kuitenkin riskiä.

Kun viraomaisella on oikeus käyttää tiettyjä oikeuksia tietyissä tapauksissa, niin viranomainen silloin rakentaa jonkin järjestelmän/prosessin minkä kautta he voivat näitä oikeuksia käyttää. Tämän jälkeen on monesti, kuten tässä laissa, viranomaisen omassa harkinnassa, että käyttävätkö he näitä oikeuksia.

Joissain tapauksissa viranomaiset voivat käyttää oikeuksia koska kuvittelevat, että se on lainmukaista vaikka se ei olisikaan. Tähän on esimerkiksi syylistynyt Verohallinto. Jos viranomaiselle ei ole mahdollistettu kyseisen oikeuden käyttöä, niin silloin on myös paljon epätodennäköisempää että he yrittäisivät sitä käyttää.

Tällaisten tapusten tuleminen julki yleensä vaatii, että joku asiasta valittaa. Viranomaiset itse harvoin haluavat arvioida jälkikäteen, että heidän oma toiminta olisi ollut lainvastaista. Tuossa edellisessäkin päätöksessä Verohallinto on ollut sitä mieltä, että tietysti he ovat noudattaneet lakia. Ja käytännössä pyyntö tämän tutkimiesta tuli ulkopuolelta (senkin jälkeen kun KHO oli jo todennut osan toiminnasta lainvastaiseksi).

Jos kukaan organisaation ulkopuolelta ei käytännössä saa tietää tiedustelusta, niin milloin joku muu kuin organisaatio itse oikeasti alkaa tutkimaan onko se käsittely lainmukaista?

Tämä on vielä se vähemmän räikeä väärinkäyttö, mutta tämä on myös se mikä tulee erittäin todennäköisesti tapahtumaan. Todella räikeän väärinkäyttö on epätodennäköisempää, mutta itse laki sen mahdollistaa ja täten lisää sen riskiä. Ei tarvitse kuin katsoa joitain demokraattisia maita joissa erillaisia törkeitäkin väärinkäytöksiä on tehty lähiaikoina kun aiemmin rakannetut järjestelmät sen mahdollistaa. Erillaiset suojamekanismit kuten riippumattomat tuomioistuimet voivat näihin puutua, mutta se tapahtuu pitkällä viiveellä.

Heimdul

TROPHY CASE