Tietoturvaloukkaukset ja niitä koskevat ilmoitukset
EU:n yleisen tietosuoja-asetus (GDPR) edellyttää, että rekisterinpitäjien tulee pystyä puuttumaan nopeasti ja tehokkaasti niiden käsittelemiin henkilötietoihin kohdistuviin tietoturvaloukkauksiin.
Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sekä niiden mahdolliset syyt, vaikutukset sekä toimenpiteet, mihin rekisterinpitäjä on ryhtynyt tietoturvaloukkauksen korjaamiseksi ja sen varmistamiseksi, ettei vastaavia tietoturvaloukkauksia tapahtuisi vastaisuudessa.
Tietoturvaloukkauksista on myös ilmoitettava Tietosuojavaltuutetun toimistolle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Rekisteröidylle loukkauksesta on ilmoitettava, jos se todennäköisesti aiheuttaa korkean riskin tämän oikeuksille ja vapauksille.
Mikä on tietoturvaloukkaus?
GDPR:n mukaisella tietoturvaloukkauksella tarkoitetaan mitä tahansa tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole oikeutta tietojen käsittelyyn.
Tietoturvaloukkauksia voi siis syntyä monenlaisten tapahtumien seurauksena. Kyse voi olla siitä, että rekisterinpitäjän henkilötietojen käsittelijä kadottaa henkilötietoja sisältävän tiedonsiirtovälineen, kuten tietokoneen, puhelimen tai muun tallennusvälineen. Kyse voi olla tilanteesta, jossa tällainen väline varastetaan tai se tavalla tai toisella tuhoutuu. Tietoturvaloukkauksia syntyy myös tilanteissa, joissa hakkerit tai tiedonkalasteluohjelmat onnistuvat tunkeutumaan rekisterinpitäjän henkilötietoja sisältäviin sähköisiin arkistoihin. Niitä voi syntyä myös inhimillisten erehdysten johdosta, esimerkiksi siksi, että henkilötietojen käsittelijä lähettää asiakkaalle vahingossa toisen asiakkaan henkilötietoja sisältävän kirjeen tai viestin.
Ilmoittaminen tietosuojavaltuutetulle tai rekisteröidylle
GDPR 33 artiklan mukaan tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistoon 72 tunnin kuluessa sen ilmitulosta. Jos ilmoitus tehdään myöhemmin siihen liittää perusteltu selitys sille, miksei ilmoitusta ole tehty 72 tunnin määräajassa. Ilmoitus on tehtävä aina, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.
Ilmoituksen tietosuojavaltuutetulle voi tehdä heidän nettisivuillaan löytyvän sähköisen ilmoituslomakkeen välityksellä. Lomakkeella ei tule kuitenkaan ilmoittaa salassapidettäviä tietoja, kuten tietoturvaloukkauksen kohteena olleita henkilötietoja sellaisenaan. Tällaiset tiedot viranomaiselle tulee tarvittaessa toimittaa Oikeusministeriön ylläpitämän turvaviestipalvelun välityksellä.
Rekisteröidylle itselleen hänen tietoihinsa kohdistuneesta tietoturvaloukkauksesta on ilmoitettava, mikäli loukkaus todennäköisesti aiheuttaa korkean riskin tämän oikeuksille ja vapauksille.
Tietoturvaloukkauksen riskien arvioinnissa merkitystä on sillä, millaisesta loukkauksesta on kyse. Jos henkilötiedot päätyvät vääriin käsiin, on riski todennäköisesti yleensä suurempi kuin tilanteessa, jossa tiedot tuhoutuvat. Samoin merkitystä on sillä, millaisista henkilötiedoista on kyse. Esimerkiksi yhdistyksen asiakkaiden sosiaali- ja terveydenhuoltoa koskevien arkaluonteisten tietojen katoaminen aiheuttaa lähtökohtaisesti selvästi vakavamman riskin kuin yhdistyksen jäsenlehden tilaajatietojen katoaminen.
Vaikka kynnys tietoturvaloukkauksen ilmoittamisesta rekisteröidylle itselleen on säännöstasolla asetettu melko korkeaksi, voidaan ilmoittamista pitää suositeltavana ainakin tilanteissa, joissa pidetään mahdollisena, että esimerkiksi vääriin käsiin joutuessaan tiedoilla voitaisiin suorittaa identiteettivarkauden tai petoksen kaltaisia rikoksia tai niitä voitaisiin käyttää rekisteröidyn nöyryyttämiseen tai maineen tahraamiseen.
Koska tietoturvaloukkausten ilmoittamisen kynnys viranomaiselle on asetettu huomattavasti alemmaksi kuin kynnys rekisteröidylle itselleen ilmoittamisesta, voi rekisterinpitäjä tarvittaessa pyytää Tietosuojavaltuutetulta kannanottoa siitä, tulisiko loukkauksesta ilmoittaa myös rekisteröidylle.
Mitä siis pitäisi tehdä?
Jotta rekisterinpitäjä pystyy noudattamaan tietoturvaloukkauksia koskevaa dokumentointivelvollisuuttaan ja ilmoittamaan niistä tarvittaessa valvontaviranomaiselle ja rekisteröidylle itselleen, pitää sillä olla käytössään sisäiset menettelytavat ja ohjeistukset, joilla tietoturvaloukkaukset havaitaan, niiden riskit arvioidaan ja niihin puututaan nopeasti ja tehokkaasti.
Kaikkien rekisterinpitäjän lukuun henkilötietoja käsittelevien ihmisten tulisi siis ensinnäkin tietää, milloin on kyse tietosuojaloukkauksesta. Näille tulisi olla myös ohjeistettu, miten rekisterinpitäjä edellyttää henkilötietoja käsiteltävän siten, ettei tietoturvaloukkauksia pääsisi tapahtumaan. Rekisterinpitäjä on vastuussa siitä, että henkilötietoja käsitellään riittävän tietoturvallisilla välineillä. Suositeltavaa esimerkiksi on, että kaikissa ohjelmistoissa ja tiedonsiirtovälineissä, joissa henkilötietoja käsitellään, käytetään yksilöllisiä ja riittävän vahvoja salasanoja.
GDPR:n mukaisen ilmoitusvelvollisuuden täyttämiseksi on suositeltavaa nimetä rekisterinpitäjälle tietosuojavastaava tai muu henkilö, jolle tiedot tietoturvaloukkauksista keskitetysti kerätään ja joka tekee tarvittavat ilmoitukset valvontaviranomaiselle ja rekisteröidylle. Mahdollista on sekin, että kukin henkilötietojen käsittelijä itse arvioi omassa toiminnassaan syntyneiden tietoturvaloukkausten riskit ja tekee tarvittaessa ilmoitukset. Tietosuojavaltuutetun verkkosivuilta löytyy linkkejä kansallisen valvontaviranomaisen sekä EU:n tietosuojaneuvoston laatimiin ohjeisiin tietoturvaloukkausten vakavuuden ja ilmoitusvelvollisuuden täyttymisen arvioimiseksi.
Rekisterinpitäjä on henkilö, organisaatio tai yritys, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. Rekisterinpitäjä vastaa henkilötietojen suojaamisesta ja noudattaa tietosuojaan liittyviä lakeja ja määräyksiä.
Rekisteröity on henkilö, jonka henkilötietoja kerätään, käsitellään tai säilytetään. Rekisteröidyllä on oikeus tietää, mitä tietoja hänestä kerätään ja miten niitä käsitellään, sekä oikeus suostumuksen antamiseen tai sen peruuttamiseen.
Henkilötieto on tieto, joka liittyy tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Se voi sisältää esimerkiksi nimen, osoitteen, syntymäajan, puhelinnumeron tai sähköpostiosoitteen. Henkilötietoja kerättäessä ja käsiteltäessä on noudatettava tietosuoja- ja yksityisyydensuojalakeja.
Arkaluontoinen tieto on erityisen arkaluonteista tai herkkää henkilötietoa, joka voi aiheuttaa vakavia seurauksia, jos se joutuu vääriin käsiin tai käytetään väärin. Tällaisia tietoja voivat olla esimerkiksi terveystieto, etnisyystiedot, uskonnolliset tai poliittiset vakaumukset sekä biometriset tiedot. Arkaluonteisen tiedon käsittelylle on asetettu erityisiä rajoituksia ja vaatimuksia tietosuojalaeissa.
Lisätietoa tietoturvaloukkauksista: https://tietosuoja.fi/tietoturvaloukkaukset
SOSTEn lakimiehet vastaavat verkkosivujen Kuukauden kysymys -palstalla kerran kuukaudessa ajankohtaisiin järjestökentän kysymyksiin.