Pirkanmaan pelastuslaitoksella tietosuojaongelma

Arttu Puuha
13/02/2026

Pirkanmaan pelastuslaitos pyytää pientalojen asukkaita itsearvioimaan kiinteistöjensä paloturvallisuuden viiden vuoden välein. Huomasin kyselyn toteutuksessa tietosuojaongelman. EU:n yleisen tietosuoja-asetuksen (GDPR) artikla 13 edellyttää, että rekisteröityä informoidaan henkilötietojen käsittelystä silloin, kun tiedot kerätään. Tällaista informointia ei kuitenkaan annettu paperilomakkeen mukana eikä myöskään verkkolomakkeessa.

Verkkolomake sijaitsee osoitteessa https://kyselylomake.fi/pirkanmaan-pelastuslaitos/pientalo/. Kyseisen verkkotunnuksen omistaa helsinkiläinen osakeyhtiö, joka kertoo olevansa kohdistetun markkinointiviestinnän edelläkävijä Suomessa. Yhtiön mukaan sen päivittäistä arkea on tarkkaakin tarkemmat osoitepoiminnat, kohderyhmämääritykset ja asiakasrekistereiden hyödyntäminen. Oletettavasti tämä yhtiö on toteuttanut kyselyn käytännössä ja toimii henkilötietojen käsittelijänä Pirkanmaan pelastuslaitoksen lukuun. Koska totuutta ei kerrota missään, rekisteröity ei voi tietää, kuka hänen tietojaan käsittelee.

Verkkolomake on toteutettu avoimen lähdekoodin WordPress-julkaisujärjestelmällä ja sen yhdysvaltalaisella Gravity Forms -lisäosalla. Ainakin näin voidaan päätellä kyselylomakkeen html-lähdekoodia tutkimalla. WordPress ja sen lisäosat ovat niin sanottuja palvelinpuolen ohjelmistoja. Tämä tarkoittaa lähtökohtaisesti, ettei mitään tietoja tallenneta pilveen. Silti punainen varoitusvalo palaa pääni sisällä; suomalainen viranomainen käyttää WordPressiä henkilötietojen keräämisessä.

Verkkolomakkeen lopussa todetaan, että lomakkeella kerättyjä henkilötietoja käytetään pelastuslaitoksen tietosuojaselosteen mukaisesti valvontatoimien suorittamiseen ja niistä tiedottamiseen, eikä tietoja luovuteta eteenpäin. Linkkiä tietosuojaselosteeseen tai vastaavaan informointiin ei ollut. Kokeilin pöytäkoneen Edge- ja Firefox-selaimilla sekä Android-puhelimen Edge-mobiiliselaimella.

EU:n yleinen tietosuoja-asetus edellyttää, että rekisteröityä informoidaan henkilötietojen käsittelystä silloin, kun tiedot kerätään. Pirkanmaan pelastuslaitos ei informoinut vaan sen sijaan viittasi informointiin, mutta ei kertonut, mistä tämä informointi löytyy. Kuvaruutukaappaus on otettu torstaina 12.2.2026 klo 23.18. Sittemmin pelastuslaitos on lisännyt lomakkeelle linkin tietosuojaselosteeseen.

Otin yhteyttä pelastusjohtajaan

Pirkanmaan pelastuslaitos on osa Pirkanmaan hyvinvointialuetta. Pirkanmaan hyvinvointialueen pelastus- ja ensihoitopalveluja johtaa pelastusjohtajan väliaikainen sijainen Teemu-Taavetti Toivonen. Kysyin häneltä sähköpostitse perjantaina 13.2.2026 klo 13.00 seuraavat kysymykset:
1) Poistaako Pirkanmaan pelastuslaitos artikkelissa mainitun verkkolomakkeen käytöstä?
2) Ilmoittaako Pirkanmaan pelastuslaitos tietoturvaloukkauksesta Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa?
3) Mitkä ovat olleet mainitun verkkolomakkeen euromääräiset toteutuskustannukset Pirkanmaan hyvinvointialueelle?

Uutta! Pirkanmaan pelastuslaitoksen johtava palotarkastaja vastasi tiedusteluuni maanantaina 16.2.2026 klo 12.27 lyhyesti ja asiallisesti. Hänen mukaansa pelastuslaitos on jo lisännyt linkin tietosuojaselosteeseen ja arvioi parhaillaan asiaa muilta osin, ja ryhtyy tarvittaviin toimenpiteisiin. Toteutuskustannuksiin liittyen hän pyysi minua toimimaan virallisen tiedonsaantipyynnön ohjeistuksen mukaan.

Pelastuslaitos reagoi

Vierailin verkkolomakkeella uudelleen perjantaina 13.2.2026 klo 18.30. Pelastuslaitos oli lisännyt siihen linkin tietosuojaselosteeseen:
https://www.pirha.fi/fi/tietoa-meista/tietosuoja/tietosuojaselosteet/pelastuslaitoksen-valvontarekisteri

Tietosuojaseloste on päivätty 15.12.2023. Selosteessa todetaan, että henkilötiedot säilytetään Merlot-palotarkastusjärjestelmässä, hyvinvointialueen Pirre-asianhallintajärjestelmässä ja itsearviointi.com-verkkopalvelun palvelimella. Selosteen mukaan kaikkien edellä mainittujen järjestelmien palvelimet sijaitsevat Suomessa joko hyvinvointialueen tai palveluntuottajan palvelinympäristössä.

Julkisten WHOIS-tietojen mukaan itsearviointi.com-verkkotunnuksen omistaja on brittiläinen ”c/o WHOIStrustee.com Limited”. WHOIStrustee.com Limited toimii yksityisyydensuojapalveluna, eli se piilottaa verkkotunnuksen todellisen omistajan tiedot julkisesta WHOIS‑rekisteristä. Toisin sanoen itsearviointi.com -verkkotunnuksen omistaja on piilotettu julkisesta WHOIS-rekisteristä. Verkkotunnuksen IP-osoite ja nimipalvelimet sijaitsevat Suomessa.

EU:n yleisen tietosuoja-asetuksen (GDPR) artikla 13 edellyttää, että rekisteröidylle kerrotaan henkilötietojen vastaanottajat tai vastaanottajaryhmät. Rekisterinpitäjän on informoitava rekisteröityä henkilötietojen käsittelijöistä, jotka vastaanottavat henkilötietoja. Henkilötietojen käsittelijöitä ovat esimerkiksi edellä mainitut palveluntuottajat. Tietosuojavaltuutetun toimiston mukaan lähtökohtaisesti rekisterinpitäjän tulisi toimittaa tiedot todellisesta (nimetystä) henkilötietojen vastaanottajasta. Tällaista informointia ei selosteesta löytynyt. Jos rekisteröity ei tiedä, kuka hänen tietojaan käsittelee, hän ei voi ymmärtää, missä kaikkialla hänen tietojaan liikkuu.

Lähteet

Itsearviointilomake (paperilomake)
Itsearviointilomake (verkkolomake)
Fi-verkkotunnushaku
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679
Tietosuojavaltuutetun toimisto: Informointivelvoitteen edellyttämät tiedot
GoDaddy WHOIS search
IP-Location

Arttu tutkiiHyvinvointiLainsäädäntöTurvallisuusYhteiskunta