Tietoturvaloukkauksella tarkoitetaan turvallisuuden loukkaamista, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan hävittämiseen, häviämiseen, muuttamiseen, luvattoman paljastumiseen tai saatavuuteen. Henkilötietojen rikkomukset voivat olla:
- Luvaton kolmannen osapuolen pääsy tietoihin
- Tahallinen tai vahingossa tapahtuva toiminta (tai toimettomuus)
- Henkilötietojen lähettäminen väärälle vastaanottajalle
- Henkilötietoja sisältävien laitteiden katoaminen tai anastus
- Henkilötietojen muuttaminen ilman lupaa
- Henkilötietojen saatavuuden menetys.
Valvontaviranomaiselle ilmoittaminen
Yleinen tietosuoja-asetus vaatii tietoturvaloukkauksen tapahtuessa, että mahdolliset henkilötietoihin liittyvät loukkaukset on selvitettävä mahdollisimman nopeasti ja jos loukkauksia tulee ilmi, on asian hoitamiseen ryhdyttävä välittömästi ja tarvittaessa olla yhteydessä tietosuojavaltuutettuun. Kyseisissä tapauksissa on pyrittävä määrittelemään, miten todennäköistä on, että henkilöiden oikeuksia ja vapauksia on loukattu. Jos riski loukkauksesta on olemassa on tästä ilmoitettava tietosuojavaltuutetulle. Ilmoitus ei ole tarpeellinen tilanteissa, joissa riski on alhainen ja on näin ollen epätodennäköistä, että vakavia henkilötietojen loukkauksia on tapahtunut. Yleinen tietosuoja-asetus edellyttää kaikkien tietoturvaloukkausten kirjaamista, riippumatta siitä tuleeko loukkauksesta ilmoittaa tietoturvavaltuutetulle.
Tietoturvaloukkauksen tapahtuessa, (josta on velvollisuus ilmoittaa) on tästä ilmoitettava tietosuojavaltuutetulle ilman aiheetonta viivytystä viimeistään 72 tunnin kuluttua sen saamisesta tietoon. Jos ilmoitusaika viivästyy, on tästä oltava perustelut viivästymiselle.
Tietoturvaloukkausta koskevassa ilmoituksessa on oltava mukana seuraavat kohdat:
- Kuvaus henkilötietojen tietoturvaloukkauksen luonteesta mukaan lukien mahdollisuuksien mukaan;
- Arvio henkilöiden lukumäärästä ja kategoriasta
- Arvio henkilötietojen kategoriasta ja lukumäärästä
- Tietosuojavaltuutetun (jos yrityksellä on) tai muun yhteyshenkilön nimi ja yhteystiedot, josta saa lisätietoja;
- Kuvaus henkilötietojen tietoturvaloukkauksen todennäköisistä seurauksista
- Kuvaus toteutetuista tai ehdotetuista toimenpiteistä henkilötietojen tietoturvaloukkauksen käsittelemiseksi, mukaan luettuna tarvittaessa toimenpiteet, joilla lievennetään mahdollisia haittavaikutuksia.
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle (henkilö)
Jos tietoturvaloukkaus aiheuttaa suuren riskin yksilön (rekisteröidyn) oikeuksille ja vapauksille, tietosuoja-asetuksen mukaan on rekisteröidyille ilmoitettava asiasta suoraan ja ilman aiheetonta viivytystä. Rekisteröidyille ilmoittaminen on tärkeää, jotta henkilöt voivat suojella itseään tietosuojaloukkauksen mahdollisilta vaikutuksilta. Henkilötietojen tietoturvaloukkaus on kuvattava selkeästi ja selkeällä kielellä ja tulee sisältää ainakin:
- Tietosuojavastaavan (DPO) nimi ja yhteystiedot (jos yrityksellä on nimetty tietosuojavastaava) ja kuvaus toteutetuista tai ehdotetuista toimenpiteistä henkilötietojen tietoturvaloukkauksen käsittelemiseksi ja tarvittaessa toimenpiteiden toteuttaminen mahdollisten haitallisten vaikutusten lieventämiseksi.
Rekisterinpitäjän (tietojen käsittelijän) ilmoitus
Jos yrityksesi/ organisaatiosi käyttää ulkoistettua palvelua tietojen käsittelyyn ja tietoihin kohdistuu tietoturvaloukkaus, tulee käsittelijän ilmoittaa loukkauksesta viipymättä sen tullessa ilmi. Ilmoitusta koskevat vaatimukset tulee eritellä yrityksesi ja käsittelijän välisessä sopimuksessa.
