Miten toimia, kun tietomurto yrityksessä kohdistui henkilötietoihin?
Henkilötietojen käsittelystä säädellään useassa eri säädöksessä. Tärkeimpiä näistä ovat esimerkinomaisesti EU:n yleinen tietosuoja-asetus (GDPR), tietosuojalaki ja laki yksityisyyden suojasta työelämässä.
GDPR sisältää yksityiskohtaisia määräyksiä mm. siitä, miten rekisterinpitäjän tulee informoida rekisteröityjä, kun kysymyksessä on henkilötietojen tietoturvaloukkaus. Yritys saattaa joutua esimerkiksi tietomurron kohteeksi, mistä saattaa koitua toiminnalle erityistä haittaa monella eri osa-alueella ja tietomurron yhteydessä voidaan saada esimerkiksi rekisteröityjen henkilötietoja.
Suomessa GDPR:n valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.
Milloin on kyseessä tietoturvaloukkaus
Tietoturvaloukkauksesta on tietomurron lisäksi kyse esimerkiksi tilanteissa, joissa on varastettu tietokone tai tiedonsiirtoväline tai henkilötietoja siirretään vahingossa väärälle vastaanottajalle. Myös hakkeroinnit ja haittaohjelmatartunnat sekä fyysiset vahingot, kuten tulipalo, saattavat olla tietoturvaloukkauksia.
Tietomurtoa voidaan arvioida myös rikosoikeudelliselta kannalta, ja tietomurto onkin usein rikostunnusmerkistön täyttävä teko.
Tietoturvaloukkausten dokumentointi
Tietoturvaloukkaukset tulee dokumentoida. Dokumentointivelvollisuus koskee sekä rekisterinpitäjää että henkilötietojen käsittelijää. Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että GDPR:ää on noudatettu.
Ilmoittaminen viranomaiselle
Rekisterinpitäjän tulee ilmoittaa tietoturvaloukkauksesta ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.
Ilmoittaminen rekisteröidylle
Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta on aiheutunut vuodon kohteena olevalle henkilölle.
Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä. Ilmoituksella on suuri merkitys rekisteröidylle, jotta tämä voi ryhtyä suojaaviin toimenpiteisiin esimerkiksi varautumalla osoitteenmuutoksiin tai luottokortin väärinkäyttöön.
Ilmoituksen tulee sisältää selkeä kuvaus henkilötietojen tietoturvaloukkauksesta, tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa, henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset, toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut, sekä tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
Ilmoitusta ei vaadita, jos
- rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja niitä on sovellettu henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin (erityisesti niitä, joiden avulla henkilötiedot muutetaan ulkopuolisille mahdottomiksi ymmärtää, kuten salausta)
- rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu
- ilmoituksen tekeminen vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat. Asiaa arvioidaan riskien mukaan. Jos rekisteröityihin ei voida ottaa yhteyttä henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröityjä informoidaan yhtä tehokkaalla tavalla.
Valvontaviranomainen voi myös vaatia ilmoituksen tekemistä rekisteröidyille, jos ilmoitusta ei ole vielä tehty.
Tietoturvasta
Tietosuojan toteutumisen kannalta tietoturvasta huolehtiminen on ensiarvoisen tärkeää. GDPR:n mukaan ”[o]ttaen huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta. Näitä toimenpiteitä on tarkistettava ja päivitettävä tarvittaessa.” Näin ollen GDPR asettaa vaatimuksia myös tietosuojalle, ja henkilötietojen käsittelyn turvallisuudesta on nimenomaisesti säädetty GDPR:n 32 artiklassa.
Rekisterinpitäjän vastuu
Rekisterinpitäjän vastuulla on huolehtia mm. seuraavista:
- henkilötietojen pseudonymisointi ja salaus
- kyky taata käsittelyjärjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus
- kyky palauttaa nopeasti tietojen saatavuus ja pääsy tietoihin fyysisen tai teknisen vian sattuessa
- menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi.
Rekisterinpitäjän ja henkilötietojen käsittelijän on varmistettava, että jokainen rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö käsittelee henkilötietoja ainoastaan rekisterinpitäjän ohjeiden mukaisesti, ellei Euroopan unionin oikeudessa tai kansallisessa lainsäädännössä toisin vaadita.
Mika Lahtinen
lakimies
Helsingin seudun kauppakamari