08.10.2018 10:30

Tietoturvaloukkaukset – Mitä uutta GDPR:n myötä?

EU:n yleinen tietosuoja-asetus tuli sovellettavaksi kaikissa EU:n jäsenvaltioissa 25.5.2018. Tietosuoja-asetus velvoittaa rekisterinpitäjän ilmoittamaan henkilötietojen tietoturvaloukkauksista valvontaviranomaiselle ja/tai rekisteröidyille sen mukaan, minkälainen riski loukkauksesta todennäköisesti aiheutuu luonnolliselle henkilölle.

Mitä tietoturvaloukkaus tarkoittaa?

Tietoturvaloukkauksella tarkoitetaan tilannetta, jossa rekisterinpitäjän vastuulla olevia henkilötietoja esimerkiksi tuhoutuu, häviää tai muuttuu. Tästä voi seurata esimerkiksi salassapidettävien henkilötietojen paljastuminen tai identiteettivarkaus, ja organisaatioiden näkökulmasta keskeinen seuraamus on tyypillisesti myös mainehaitta.

Tietoturvaloukkaus voi olla esimerkiksi:

• varastettu tai väärään paikkaan unohtunut tietokone/puhelin/muistitikku
• sähköpostin lähettäminen väärälle vastaanottajalle
• arkaluonteisten henkilötietojen vuotaminen
• haittaohjelmatartunta
• hakkerointi
• verkkohyökkäys
• virhe verkkopalvelussa
• suoramarkkinointisähköpostiviesti lähetetään ”vastaanottaja”- tai ”kopio”-kentissä.

Suorita ensin riskiarviointi

Mikäli tietoturvaloukkaus tapahtuu, rekisterinpitäjän velvollisuutena on arvioida, minkälainen riski tietoturvaloukkauksesta todennäköisesti aiheutuu sen kohteena oleville henkilöille. Riskin taso määrittää ne toimenpiteet, joihin loukkauksen johdosta on ryhdyttävä.

Ilmoita loukkauksesta

Valvontaviranomaiselle
Tietoturvaloukkauksesta tulee ilmoittaa valvontaviranomaiselle (Suomessa tietosuojavaltuutetun toimisto), mikäli loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Ilmoitus tulee tehdä mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi tietoturvaloukkauksesta. Mikäli ilmoituksen tekeminen viivästyy, tulee tietosuojavaltuutetun toimistolle toimittaa perusteltu selitys.

Rekisteröidylle
Rekisteröidylle on tehtävä ilmoitus, kun luonnollisen henkilön oikeuksille ja vapauksille aiheutuvan riskin taso on todennäköisesti korkea. Ilmoitus tulee tehdä ilman aiheetonta viivytystä, ja siinä tulee selkeästi kuvata loukkaus, tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, loukkauksen todennäköiset seuraukset ja toimenpiteet, joita rekisterinpitäjä on ehdottanut tai joihin se on jo ryhtynyt.

Rekisteröidylle ei tarvitse kuitenkaan ilmoittaa, mikäli jokin seuraavista täyttyy:

• Rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet loukkauksen kohteena oleviin tietoihin (esim. tietojen salaus).
• Rekisterinpitäjä on tehnyt jatkotoimenpiteitä varmistaen, ettei rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski enää todennäköisesti toteudu.
• Ilmoittaminen vaatisi kohtuutonta vaivaa. Tällöin ilmoittaminen tulee toteuttaa julkisena tiedonantona tai muuna vastaavana yhtä tehokkaana toimenpiteenä.

Dokumentoi kaikki tietoturvaloukkaukset

Vaikka loukkauksesta ei aiheutuisi luonnollisen henkilön oikeuksille ja vapauksille riskiä, velvoittaa tietosuoja-asetus dokumentoimaan henkilötietoihin kohdistuneet loukkaukset. Rekisterinpitäjän tulee kirjata kaikki loukkauksesta aiheutuneet vaikutukset sekä kuvata, minkälaisia korjaavia toimenpiteitä rekisterinpitäjä on toteuttanut.

Dokumentointi on keskeinen osa tietosuoja-asetuksen mukaista osoitusvelvollisuutta, joka velvoittaa rekisterinpitäjän näyttämään, että se on aktiivisesti pyrkinyt tunnistamaan tietosuojaan liittyviä riskejä ja ottanut käyttöön tarvittavia toimenpiteitä henkilötietojen suojaamiseksi.

Mitä jos rekisterinpitäjä laiminlyö velvoitteensa?

Ilmoituksen tekemisen tai dokumentointivelvollisuuden laiminlyöminen on tietosuoja-asetuksen vastaista, ja voi johtaa tietosuoja-asetuksen mukaisiin seuraamuksiin.