When do you need to notify a data breach?
Ovatko käsittelemäsi henkilötiedot kadonneet, varastettu tai vaarantuneet?
Is the processing likely to result in high risks?
Do I need to carry out a DPIA?
Kyllä, tietosuojaa koskeva vaikutustenarviointi on tehtävä
Any high risks remaining after the DPIA?
Do I need to carry out a DPIA?
No personal data breach has occurred.
Consult your Data Protection Authority
You don’t need to notify the data protection authority or individuals.
You need to document all data breaches in a record.
Henkilötietojen tietoturvaloukkauksilla voi olla haitallinen vaikutus yritykseen. Tietoturvaloukkausten vahingot voivat olla suuria, ja niiden seuraukset voivat ulottua aina taloudellisista tappioista sakkoihin ja asiakkaiden luottamuksen menettämiseen. Siksi on tärkeää, että yrityksessä on käytössä tarpeelliset toimintatavat turvallisuuspoikkeamien ehkäisemiseksi ja kyberturvallisuuden varmistamiseksi. Tästä huolimatta yritykseesi saattaa kohdistua tietoturvaloukkaus, josta voit joutua ilmoittamaan tietosuojaviranomaiselle tai loukkauksen kohteeksi joutuneille henkilöille.
Mikä on henkilötietojen tietoturvaloukkaus?
Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu tai luovutetaan tai päästään luvattomasti käsiksi vahingossa tai laittomasti.
On tärkeää ymmärtää, että henkilötietojen tietoturvaloukkaus ei tarkoita vain henkilötietojen menettämistä. Tietoturvaloukkauksia ovat tilanteet, jotka vaikuttavat henkilötietojen luottamuksellisuuteen, eheyteen tai saatavuuteen. Henkilötietojen tietoturvaloukkauksiin kuuluvat sekä vahingosta johtuvat turvallisuushäiriöt (esimerkiksi sähköpostin lähettäminen väärälle vastaanottajalle, asiakastietoja sisältävän USB-tikun häviäminen tai varmuuskopioimattomien lääketieteellisten tietojen poistaminen vahingossa) sekä tahalliset teot (esimerkiksi tietojenkalasteluhyökkäykset asiakastietoihin pääsemiseksi).
Tietoturvaloukkauksella tarkoitetaan siis tilanteita, joissa joku käyttää tai luovuttaa henkilötietoja luvattomasti, henkilötiedot ei ole saatavilla esimerkiksi kiristysohjelmalla tehdyn salauksen vuoksi tai tietoja häviää tai tuhoutuu vahingossa. Vaikka kaikki henkilötietojen tietoturvaloukkaukset ovat tietoturvapoikkeamia, kaikki tietoturvapoikkeamat eivät välttämättä ole henkilötietojen tietoturvaloukkauksia, sillä tietoturvapoikkeamaan ei aina välttämättä liity henkilötietoja.
Lue lisää
Rekisterinpitäjän velvollisuudet
Jos yrityksesi toimii rekisterinpitäjänä, tietoturvaloukkauksiin pätee kolme pääperiaatetta.
- henkilötietojen tietoturvaloukkaukset on dokumentoitava
- henkilötietojen tietoturvaloukkauksesta on ilmoitettava tietosuojaviranomaiselle 72 tunnin kuluessa loukkauksen ilmi tulosta, paitsi jos siitä ei todennäköisesti aiheudu riskiä henkilöille
- tietoturvaloukkauksesta on ilmoitettava kohteeksi joutuneille henkilöille viivytyksettä, jos loukkaus todennäköisesti aiheuttaa heille suuren riskin.
Rekisterinpitäjien on tärkeää ymmärtää velvoitteensa ja noudattaa niitä. Organisaation on etukäteen otettava käyttöön menettelyt, joiden avulla se voi hyvissä ajoin määrittää, onko sen tehtävä edellä mainitut ilmoitukset.
Rekisterinpitäjän on aina dokumentoitava tiedot kaikista tietoturvaloukkauksista – myös niistä, joista ei ole ilmoitettu tietosuojaviranomaiselle sen perusteella, että niiden ei ole arvioitu aiheuttavan riskiä henkilöille. Dokumentointiin tulee sisällyttää vähintään perustiedot tietoturvaloukkauksesta, loukkauksen arvioinnista, vaikutuksista ja toimenpiteistä, joita on toteutettu yleisen tietosuoja-asetuksen 33 artiklan 5 kohdan mukaisesti.
Mitä tehdä ja miten toimia?
Tietoturvaloukkauksesta ilmoittaminen tietosuojaviranomaiselle
Yleisen tietosuoja-asetuksen 33 artiklan 1 kohdan mukaan kaikista henkilötietojen tietoturvaloukkauksista tulee ilmoittaa tietosuojaviranomaiselle, lukuun ottamatta tilanteita, jotka eivät todennäköisesti aiheuta riskiä loukkauksen kohteeksi joutuneille henkilöille. Ilmoittamista varten kansalliset tietosuojaviranomaiset ovat ottaneet käyttöön kanavia tai verkkolomakkeita, jotka opastavat organisaatiota vaiheittain antamaan kaikki vaaditut tiedot.
Jos tietoturvaloukkaus koskee useaa maata Euroopan talousalueella ja yrityksesi kotipaikka on ETA-alueella, sinun on ilmoitettava loukkauksesta johtavalle valvontaviranomaiselle, eli sille tietosuojaviranomaiselle, joka johtaa asian selvittämistä. Rekisterinpitäjän on määriteltävä jo tietoturvaloukkauksiin varautuessaan, mille tietosuojaviranomaiselle sen on tehtävä ilmoitus. Jos rekisterinpitäjä on epävarma johtavan valvontaviranomaisen määrittämisestä, sen tulee ilmoittaa asiasta vähintään sen maan tietosuojaviranomaiselle, jossa tietoturvaloukkaus on tapahtunut.
Jos ilmoitusvelvollisuus täyttyy, ilmoitus on tehtävä mahdollisimman pian ja 72 tunnin kuluessa siitä, kun organisaatio on saanut tiedon tietoturvaloukkauksesta. Jos tämä ei ole mahdollista, viivästykselle on esitettävä perustelut. Organisaation katsotaan tulleen tietoiseksi loukkauksesta, kun on kohtuullinen varmuus siitä, että tietoturvaloukkaus on tapahtunut ja että henkilötiedot ovat vaarantuneet.
Jotta organisaatio voi osoittaa tietosuojaviranomaiselle, milloin ja miten henkilötietojen tietoturvaloukkaus on tullut sen tietoon, kannattaa organisaatiolla olla osana henkilötietojen tietoturvaloukkauksia koskevia sisäisiä menettelyjään käytössä järjestelmä, johon se voi kirjata, miten ja milloin tietoturvaloukkaus on tullut ilmi ja miten se arvioi tietoturvaloukkauksen mahdollista riskiä.
Jos kaikkia tarvittavia tietoja ei voida toimittaa tietosuojaviranomaiselle 72 tunnin määräajassa, ilmoitus voidaan tehdä useammassa vaiheessa. Organisaatio voi ensin tehdä alustavan ilmoituksen, jota se täydentää lisätiedoilla vaiheittain.
Jos yrityksesi on henkilötietojen käsittelijä, joka käsittelee henkilötietoja toisen organisaation puolesta, yrityksesi on ilmoitettava rekisterinpitäjälle kaikista henkilötietojen tietoturvaloukkauksista ilman aiheetonta viivytystä. Tästä velvollisuudesta säädetään yleisen tietosuoja-asetuksen 33 artiklan 2 kohdassa. Ilmoittaminen on tärkeää, jotta rekisterinpitäjä voi noudattaa ilmoitusvelvollisuuttaan hyvissä ajoin. Tietoturvaloukkausten ilmoittamista koskevat vaatimukset tulee määrittää rekisterinpitäjän ja henkilötietojen käsittelijän välisessä sopimuksessa yleisen tietosuoja-asetuksen 28 artiklan mukaisesti.
Tietosuojaviranomaiselle on ilmoitettava henkilötietojen tietoturvaloukkauksesta vähintään:
- kuvaus tietoturvaloukkauksen luonteesta ja mahdollisuuksien mukaan kohteeksi joutuneiden henkilöiden ryhmät ja arvioitu lukumäärä sekä kyseessä olevien henkilötietojen luokat ja niiden arvioitu määrä;
- tietosuojavastaavan tai muun lisätietojen antajan nimi ja yhteystiedot
- kuvaus tietoturvaloukkauksen todennäköisistä seurauksista
- kuvaus toimenpiteistä, jotka yritys on toteuttanut tai joihin se aikoo ryhtyä tietoturvaloukkauksen seurauksena ja tarvittaessa kuvaus toimenpiteistä loukkauksen mahdollisten haittavaikutusten lieventämiseksi.
Tietoturvaloukkauksesta ilmoittaminen kohteeksi joutuneille henkilöille
Tietyissä tilanteissa tietoturvaloukkauksista on ilmoitettava viipymättä loukkauksen kohteeksi joutuneille henkilöille. Ilmoitus on tehtävä silloin, kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin henkilön oikeuksille ja vapauksille.
Ilmoitusvelvollisuuden tarkoituksena on varmistaa, että loukkauksen kohteeksi joutuneet henkilöt voivat ryhtyä tarvittaviin varotoimiin tilanteissa, joista todennäköisesti aiheutuu heille suuri riski.
Henkilöille on ilmoitettava loukkauksesta viipymättä ja tarvittaessa yhteistyössä tietosuojaviranomaisen kanssa. Tapauksissa, joissa henkilöille aiheutuvaa välitöntä riskiä on tarpeen lieventää, tarvitaan pikaista viestintää.
Esimerkiksi näissä tilanteissa rekisterinpitäjiä ei vaadita ilmoittamaan loukkauksesta kohteeksi joutuneille henkilökohtaisesti:
- rekisterinpitäjä oli salannut tiedot ja salausavaimet eivät vaarantuneet
- rekisterinpitäjä on toteuttanut loukkauksen jälkeen toimenpiteitä, joilla varmistetaan, että yksilöiden oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu
tai
- ilmoittaminen vaatisi suhteetonta vaivaa. Tällaisessa tapauksessa rekisterinpitäjän on kuitenkin edelleen varmistettava julkisella informoinnilla tai vastaavalla toimenpiteellä, että henkilöille tiedotetaan loukkauksesta yhtä tehokkaasti.
Henkilölle annettavassa ilmoituksessa tulisi kuvata selkeällä ja ymmärrettävällä kielellä, millainen tietoturvaloukkaus on tapahtunut. Ilmoituksen tulee sisältää ainakin seuraavat tiedot:
- organisaation tietosuojavastaavan tai muun yhteyspisteen nimi ja yhteystiedot, josta henkilö saa lisätietoja
- kuvaus henkilötietojen tietoturvaloukkauksen todennäköisistä seurauksista
- kuvaus toimenpiteistä, jotka organisaatio on toteuttanut tai joita se aikoo toteuttaa henkilötietojen tietoturvaloukkauksen seurauksena, tarvittaessa myös toimenpiteet loukkauksen mahdollisten haittavaikutusten lieventämiseksi.
- Ilmoituksessa tulisi myös antaa ohjeita ja suosituksia toimenpiteistä, joilla henkilöt voivat lieventää tietoturvaloukkauksen mahdollisia haittavaikutuksia.
Yrityksen kannattaa suunnitella ja ottaa etukäteen käyttöön prosesseja, joilla tietoturvaloukkaus voidaan havaita nopeasti, rajoittaa sen vaikutuksia, arvioida yksilöille aiheutuva riski ja määritellä, onko loukkauksesta tarpeen ilmoittaa tietosuojaviranomaiselle tai kohteeksi joutuneille henkilöille.
Milloin tietoturvaloukkauksesta on ilmoitettava?
