Tietosuojavaltuutetun toimisto muistuttaa: Organisaation on arvioitava tietoturvaloukkauksen vakavuutta rekisteröityjen kannalta
Tietosuojavaltuutetun toimisto on täydentänyt verkkosivuilleen ohjeita henkilötietoja koskevan tietoturvaloukkausilmoituksen tekemisestä. Organisaatioille suunnatut ohjeet koskevat vaikutusten vakavuuden arviointia rekisteröidyn kannalta, rekisteröidyille ilmoittamista, ilmoituksen täydentämistä ja määräaikojen noudattamista.
Rekisterinpitäjän on ilmoitettava henkilötietoja koskevasta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille.
Organisaatiot voivat tehdä tietoturvaloukkausilmoituksen tietosuojavaltuutetun toimiston verkkolomakkeella Valtion tieto- ja viestintätekniikkakeskus Valtorin Turvalomake-palvelussa. Jos organisaatio käyttää omaa pohjaansa, sen on huolehdittava, että ilmoituksessa kerrotaan tietosuoja-asetuksen edellyttämät tiedot.
Tietosuojavaltuutetun toimiston täydentäviä ohjeita tietoturvaloukkausilmoituksessa huomioitavista asioista
1. Arvioi tietoturvaloukkauksen vaikutusten vakavuus rekisteröidyn kannalta
Rekisterinpitäjän on arvioitava tarkasti mahdollisten vaikutusten vakavuutta loukkauksen kohteeksi joutuneille rekisteröidyille. Tarkoituksena on arvioida nimenomaan rekisteröidyille aiheutuvien vaikutusten vakavuutta, ei rekisterinpitäjälle aiheutuvia seurauksia. Korkean riskin tilanteesta on ilmoitettava rekisteröidyille ilman aiheetonta viivytystä. Tietosuojavaltuutetun toimisto voi tarvittaessa määrätä organisaation ilmoittamaan loukkauksen kohteeksi joutuneille.
2. Ilmoita rekisteröidylle aina korkean riskin toteutuessa, vaikka korkea riski poistuisi tietoturvaloukkauksen havaitsemisen jälkeen tehdyillä toimenpiteillä
Rekisterinpitäjän toimenpiteet tietoturvaloukkauksen havaitsemisen jälkeen saattavat poistaa tietoturvaloukkauksen rekisteröidylle aiheuttaman korkean riskin ainakin toimenpiteiden jälkeiseltä ajalta. Vaikka korkea riski poistuisi, on rekisteröidylle voinut aiheutua korkea riski ennen toimenpiteisiin ryhtymistä. Silloin rekisteröidylle on lähtökohtaisesti ilmoitettava henkilötietojen tietoturvaloukkauksesta.
3. Tee tietosuojavaltuutetun toimistolle tarvittaessa alustava ilmoitus ja täydennä sitä oma-aloitteisesti
Rekisterinpitäjä voi tehdä tietosuojavaltuutetun toimistolle alustavan ilmoituksen, jos tietoturvaloukkauksesta on vielä vain vähän tietoja saatavilla. Ilmoitusta on täydennettävä myöhemmin oma-aloitteisesti.
4. Tee tietoturvaloukkausilmoitus 72 tunnin kuluessa ja toimita tarvittaessa perusteltu selitys
Tietoturvaloukkausilmoitus on syytä tehdä ilman aiheetonta viivytystä, vaikka kaikki tapahtumaa koskevat tiedot eivät olisikaan vielä täysin selvillä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava tietosuojavaltuutetun toimistolle perusteltu selitys viivästymiselle.
Lähetetyn lomakkeen voi tallentaa itselleen PDF-tiedostona
Tietosuojavaltuutetun toimiston lomakkeita on kehitetty saadun asiakaspalautteen perusteella. Organisaatio voi nykyisin tallentaa lähetetyn lomakkeen itselleen PDF-tiedostona Turvalomake-palvelussa. Tallentaminen helpottaa tietoturvaloukkausten dokumentointia ja osoitusvelvollisuuden noudattamista.
Tietosuojavaltuutetun toimistoon vireille tulevista asioista noin puolet on ilmoituksia henkilötietojen tietoturvaloukkauksista. Tietosuojavaltuutetun toimistolle ilmoitettiin 5445 henkilötietoja koskevaa tietoturvaloukkausta vuoden 2022 aikana.
Lisätietoja:
Tietosuojavaltuutetun toimiston yleinen neuvonta rekisterinpitäjille, avoinna tiistaista torstaihin klo 9.00–11.00, puh. 029 566 6778
Tietosuojavaltuutetun toimiston kirjaamo: tietosuoja(at)om.fi
Tietosuojavaltuutetun toimiston uutinen: Tietosuojavaltuutetun toimiston lomakkeet toimivat jatkossa Valtorin Turvalomake-palvelussa (2.11.2023)