Henkilötietojen suojaa koskeva lainsäädäntö on Suomessa kehittynyt ja muokkaantunut sekä teknologian kehityksen harppauksen että EU:n sääntelyn kehityksen myötä. Tähän mennessä käänteentekeväksi sääntelyn muutokseksi erityisesti tietosuojan seuraamusjärjestelmän ja valvontaviranomaisen velvollisuuksien näkökulmasta on EU:n yleinen tietosuoja-asetus.

Hallinnolliset seuraamusmaksut ovat olleet viime vuosien aikana vilkkaan akateemisen tarkastelun kohteena. Eräs keskeinen impulssi tähän keskusteluun on ollut muun muassa Euroopan ihmisoikeustuomioistuimen (EIT) oikeuskäytäntö koskien ne bis in idem -kieltoa tilanteessa, jossa sopimusvaltiossa on määrätty rikosoikeudellisen seuraamuksen ohella jokin muu seuraamus, jota valtion sisäisessä oikeudessa on pidetty muuna kuin rikosoikeudellisena seuraamuksena. Ne bis in idem -kiellon soveltamisala ei rajoitu vain rikosoikeudellista rangaistusta koskeviin tuomioihin, vaan se ulottuu myös rangaistusluonteisiin hallinnollisiin seuraamuksiin.

Suomessa tietosuojavaltuutetun antamista päätöksistä merkittävä osa on koskenut yrityksiä. Hallinnollisen seuraamusmaksun määräämisen ennustettavuus ei ole täysin selkeää. Täytyy korostaa, että tietosuoja-asetuksen 83 artiklan 1 kohdan mukaan tietosuoja-asetuksen rikkomisesta määrättävien hallinnollisten sakkojen määräämisen on kussakin yksittäisessä tapauksessa oltava tehokasta, oikeasuhtaista ja varoittavaa. Artiklan 2 kohdan mukaan hallinnolliset sakot määrätään kunkin yksittäisen tapauksen olosuhteiden mukaisesti. Tämän takia on tärkeää, että päätöksistä valitetaan ja saadaan ennakkopäätöksiä (esim. KHO:2023:81 ja KHO:2023:82) 

Euroopan tietosuojaneuvostossa on tunnistettu haasteet, kun seuraamusmaksujen määräämiskäytäntö ei ole yhdenmukaista. Tämän takia he ovat laatineet muun muassa ohjeen hallinnollisten seuraamusmaksujen laskemiseen, jonka tarkoituksena on yhdenmukaistaa kansallisten tietosuojaviranomaisten tapoja tietosuoja-asetuksen perusteella määrättyjen seuraamusmaksujen suuruuden laskennassa. 

Ylipäätään Euroopassa tietosuojavalvontaviranomaiset ovat määränneet entistä enemmän seuraamusmaksuja, kun niiden kokonaismäärä on kasvanut 50 prosentin vuositasolla. Tämä on herättänyt keskustelua useissa valtioissa siitä, että organisaatiot ovat yhä varovaisempia ilmoittamaan tietosuojarikkomuksesta, koska pelkäävät sakkoja ja korvausvaatimuksia. 

Tietosuojan kannalta tietoturvallisuuden kontrollien tehokkuus ja organisaatioiden riskienhallinnan sekä säätelyn toimivuudella on merkitystä, jotta voidaan suojata tehokkaasti henkilötietoja. Tietorikoksilla voidaankin vahingoittaa laajasti yhteiskuntaa, kuten Psykoterapiakeskus Vastaamon tapaus osoittaa. 

Tämän takia olisi tärkeää tehdä vertailevaa tutkimusta tietosuoja valvontaviranomaisten välillä ja tutkia myös hallinnollisen seuraamusjärjestelmän hyötyjä tietosuojan sekä tietoturvallisuuden kehittämisen näkökulmasta.