Siirry fondia.com -sivustolle
Sisältö koskee Suomen lainsäädäntöä.
 

Tietoturvaloukkaukset

Tietoturvaloukkauksella tarkoitetaan loukkausta, josta seuraa henkilötietojen, joko vahingossa tapahtuva tai lainvastainen

  • tuhoaminen,

  • häviäminen,

  • muuttaminen,

  • luvaton luovuttaminen, tai

  • pääsy tietoihin.

Tietoturvaloukkaus voi olla esimerkiksi:

  • hävinnyt tai varastettu henkilötietoja sisältävä väline tai laite, kuten USB-muistitikku tai tietokone

  • hakkerointi

  • sähkökatko tai tekninen vika, jonka seurauksena asiakkaat eivät pääse tietoihinsa

  • kiristysohjelmahyökkäys

  • henkilötietojen luovuttaminen väärälle henkilölle

  • verkkohyökkäys, jonka seurauksena hyökkääjä julkaisee henkilötietoja

  • sähköpostiviestin lähettäminen asiakkaille ”vastaanottaja”- tai ”kopio”-kenttää käyttäen, jolloin kaikki vastaanottajat näkevät muiden vastaanottajien sähköpostiosoitteet.

Loukkauksella saattaa olla useita henkilöihin kohdistuvia haittavaikutuksia ja ne voivat aiheuttaa aineellisia tai aineettomia vahinkoja. Tällaisia ovat esimerkiksi syrjintä, identiteettivarkaus tai petos, taloudelliset menetykset, maineen vahingoittuminen ja se, että henkilö ei voi enää valvoa omien henkilötietojensa käyttöä.

Henkilötietojen käsittelijän tulee ilmoittaa loukkauksesta viipymättä rekisterinpitäjälle, jos loukkaus koskee käsittelijää. Sekä rekisterinpitäjän että henkilötietojen käsittelijän on suojattava henkilötiedot niin, että suojaustoimenpiteet ovat riittävät suhteessa henkilötietojen käsittelyyn liittyvään riskiin. Mahdollisten tietoturvaloukkausten varalta on laadittava toimintaohjeet siihen, miten toimia loukkauksen sattuessa. Niihin tulee reagoida nopeasti ja kaikki tietoturvaloukkaukset, niiden vaikutukset ja toteutetut korjaavat toimenpiteet tulee dokumentoida. Valvontaviranomaisten on voitava tämän dokumentin avulla tarkistaa, että rekisterinpitäjä on noudattanut ilmoitusvelvollisuuttaan.

Jos tietoturvaloukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille, siitä on ilmoitettava valvontaviranomaiselle ilman aiheetonta viivytystä, paitsi jos riskiä ei todennäköisesti aiheudu. Ilmoitus on tehtävä ilman aiheetonta viivytystä ja 72 tunnin kuluessa siitä, kun tietoturvaloukkaus on tullut ilmi rekisterinpitäjälle. Jos ilmoitusta valvontaviranomaiselle ei ole tehty 72 tunnin kuluessa, rekisterinpitäjän on toimitettava lisäksi perusteltu selitys.

Jos loukkaus todennäköisesti aiheuttaa korkean riskin rekisteröidyn oikeuksille ja vapauksille on siitä kerrottava myös rekisteröidyille ilman aiheetonta viivytystä. Ilmoitusta ei kuitenkaan tarvitse tehdä, jos

  • on toteutettu asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja loukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä (erityisesti niitä, joiden avulla tiedot muutetaan muotoon, jossa ne eivät ole ulkopuolisten ymmärrettävissä),

  • on toteutettu jatkotoimenpiteitä, joilla varmistetaan, ettei korkea riski enää todennäköisesti toteudu, tai

  • ilmoituksen tekeminen vaatisi kohtuutonta vaivaa, esimerkiksi koska rekisterinpitäjällä ei ole rekisteröityjen yhteystietoja. Tällöin tulee käyttää julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidylle tiedotetaan yhtä tehokkaalla tavalla.