Siirry sisältöön
Skip to page content

5. Ilmoita henkilötietojen tietoturvaloukkauksesta

Kuvakkeessa on suljettu riippulukko, jonka keskellä on henkilöä kuvaava symboli. Riippulukon sanka on katkennut. Kuvakkeen ympärillä on vaaleanvihreä kehys. Kuvaketta voidaan käyttää kuvaamaan sitä, että tilanteessa on kyse henkilötietojen tietoturvaloukkauksesta.

Henkilötietojen tietoturvaloukkaus tapahtuu ajan myötä melkein jokaiselle, joka käsittelee henkilötietoja. Tämän vuoksi on tärkeää, että harrastustoiminnan järjestäjä on laatinut prosessin henkilötietojen tietoturvaloukkausten käsittelyyn. Sen on varmistettava, että kaikki henkilötietojen käsittelyyn osallistuvat osaavat tunnistaa tietoturvaloukkaustilanteet ja toimia niissä sovitusti. Tietoturvaloukkauksesta pitää tietyissä tilanteissa ilmoittaa tietosuojavaltuutetun toimistolle ja kohteeksi joutuneille henkilöille.

Mikä on henkilötietojen tietoturvaloukkaus?

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta. Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi

  • hävinnyt tiedonsiirtoväline, kuten USB-tikku
  • varastettu tietokone
  • hakkerointi tai kyberhyökkäys
  • haittaohjelmatartunta
  • laskun postitus väärälle henkilölle
  • henkilötietojen katselu oikeudetta

Henkilötietojen tietoturvaloukkauksesta voi seurata esimerkiksi identiteettivarkaus tai petos, maineen vahingoittuminen tai salassa pidettävien henkilötietojen paljastuminen.

Tärkeintä on, että henkilötietojen tietoturvaloukkauksen havaitsemisen jälkeen saadaan mahdollisimman nopeasti käynnistettyä toimenpiteet, joilla vahinkoa voidaan rajoittaa. Harrastustoiminnan järjestäjän kannattaa laatia prosessi henkilötietojen tietoturvaloukkausten käsittelyyn ja nimetä etukäteen henkilö (esimerkiksi tietosuojavastaava), jonka vastuulla loukkausten selvittäminen ja dokumentointi on.

Milloin henkilötietojen tietoturvaloukkauksesta tulee ilmoittaa valvontaviranomaiselle?

Jos henkilötietojen tietoturvaloukkauksesta aiheutuu riski rekisteröidyille, siitä on ilmoitettava tietosuojavaltuutetun toimistolle 72 tunnin kuluessa sen ilmitulosta. Ilmoituksen voi laatia tietosuojavaltuutetun toimiston ilmoituslomakkeella verkkosivujen kautta.

Milloin henkilötietojen tietoturvaloukkauksesta tulee ilmoittaa loukkauksen kohteena olevalle henkilölle?

Jos henkilötietojen tietoturvaloukkauksesta aiheutuu korkea riski rekisteröidyille, siitä on ilmoitettava myös loukkauksen kohteeksi joutuneelle, jotta tämä voi tehdä tarvittavia varotoimia ja varautua riskeihin, joita tietoturvaloukkaus hänelle aiheuttaa.

Tietyissä poikkeuksellisissa tilanteissa rekisterinpitäjän ei tarvitse ilmoittaa rekisteröidyille henkilötietojen tietoturvaloukkauksesta:

  • rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja niitä on sovellettu henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin (erityisesti niitä, joiden avulla henkilötiedot muutetaan ulkopuolisille mahdottomiksi ymmärtää, kuten salausta)
  • rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu
  • se vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat.

Jos rekisteröityihin ei voida ottaa yhteyttä henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröityjä informoidaan yhtä tehokkaalla tavalla.

Jos rekisterinpitäjä ei ole ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä.

Rekisterinpitäjällä on velvollisuus dokumentoida kaikki henkilötietojen tietoturvaloukkaukset, niiden vaikutukset sekä tehdyt korjaavat toimet. Tämä tarkoittaa sitä, että tietoturvaloukkaustilanteessa tulisi säilyttää esimerkiksi asiaan liittyvät sähköpostit ja muu yhteydenpito, ottaa talteen järjestelmän lokitiedot tapahtuman ajalta sekä kirjata ylös kaikki toimenpiteet ja henkilöt, joiden kanssa asiaa on hoidettu. On rekisterinpitäjän velvoite itse arvioida henkilötietojen tietoturvaloukkauksesta aiheutuvat seuraukset ja se, tuleeko tapahtuneesta ilmoittaa valvontaviranomaiselle ja rekisteröidylle.

Lue lisää: Tietoturvaloukkaukset |Tietosuojavaltuutetun toimisto.

Esimerkki

Tennisvalmentajat pitivät kuukausittaisen kokouksensa tennishallin kahviossa. Kahviossa ei ollut kokouksen aikana muita henkilöitä, mutta yhdeltä valmentajalta oli jäänyt epähuomiossa pelaajien terveystietoja sisältävä paperi kahvion pöydälle kokouksen päätyttyä. Kahviossa seuraavana päivänä tennisvuoronsa jälkeen istuskellut porukka löysi paperilapun ja vei sen kahvion myyjälle. Kahvion myyjä kertoi tapahtuneesta tennisseuran puheenjohtajalle.

Tennisseura arvioi, että rekisteröidyille eli pelaajille saattaa aiheutua tapahtuneesta korkea riski, koska kahvion pöydälle jäänyt paperi sisälsi pelaajien terveystietoja, eikä tennisseura tiedä, kuinka moni on voinut nähdä lapun. Tennisseura ilmoitti tapahtuneesta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle ja henkilöille, joiden tietoja paperi sisälsi.

Mitä tietoja valvontaviranomaiselle tulee antaa tietoturvaloukkauksesta?

Valvontaviranomaiselle tehtävän tietoturvaloukkausilmoituksen tulee sisältää vähintään seuraavat seikat:

  1. kuvattava tapahtunut henkilötietojen tietoturvaloukkaus, mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät
  2. tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
  3. kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  4. kuvattava toimenpiteet, joita rekisterinpitäjä on toteuttanut tapahtuneen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutuksien lieventämiseksi.

Jos edellä mainittuja tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

Mitä tietoja rekisteröidyille tulee antaa tietoturvaloukkauksesta?

Loukkauksen kohteeksi joutuneelle henkilölle ilmoitetaan tapahtuneesta yksinkertaisella ja selkeällä kielellä seuraavat seikat:

  1. mitä on tapahtunut
  2. mitkä ovat tietoturvaloukkauksen todennäköiset seuraukset henkilöille
  3. mihin toimenpiteisiin rekisterinpitäjä on ryhtynyt tietoturvaloukkauksen vuoksi ja mitä toimenpiteitä se on tehnyt mahdollisten haittavaikutusten lieventämiseksi
  4. tietosuojavastaavan yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa.

Muista

Havaitse henkilötietojen tietoturvaloukkaukset, arvioi niistä aiheutuvat riskit rekisteröidyille ja tee tarvittaessa ilmoitukset valvontaviranomaiselle ja kohteeksi joutuneille henkilöille. Dokumentoi tapahtunut ja loukkauksen käsittelyn vaiheet.

4. Arvioi henkilötietojen käsittelyn riskit ja vaikutukset
6. Siirrä henkilötietoja EU:n ulkopuolelle vain, jos edellytykset täyttyvät