Hyppää sisältöön

Tietosuojavaltuutetun toimisto muistuttaa: Organisaation on arvioitava tietoturvaloukkauksen vakavuutta rekisteröityjen kannalta

Julkaisuajankohta 8.11.2023 14.18
Uutinen

Tietosuojavaltuutetun toimisto on täydentänyt verkkosivuilleen ohjeita henkilötietoja koskevan tietoturvaloukkausilmoituksen tekemisestä. Organisaatioille suunnatut ohjeet koskevat vaikutusten vakavuuden arviointia rekisteröidyn kannalta, rekisteröidyille ilmoittamista, ilmoituksen täydentämistä ja määräaikojen noudattamista.

Rekisterinpitäjän on ilmoitettava henkilötietoja koskevasta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille.

Organisaatiot voivat tehdä tietoturvaloukkausilmoituksen tietosuojavaltuutetun toimiston verkkolomakkeella Valtion tieto- ja viestintätekniikkakeskus Valtorin Turvalomake-palvelussa. Jos organisaatio käyttää omaa pohjaansa, sen on huolehdittava, että ilmoituksessa kerrotaan tietosuoja-asetuksen edellyttämät tiedot.

Tietosuojavaltuutetun toimiston täydentäviä ohjeita tietoturvaloukkausilmoituksessa huomioitavista asioista

1. Arvioi tietoturvaloukkauksen vaikutusten vakavuus rekisteröidyn kannalta

Rekisterinpitäjän on arvioitava tarkasti mahdollisten vaikutusten vakavuutta loukkauksen kohteeksi joutuneille rekisteröidyille. Tarkoituksena on arvioida nimenomaan rekisteröidyille aiheutuvien vaikutusten vakavuutta, ei rekisterinpitäjälle aiheutuvia seurauksia. Korkean riskin tilanteesta on ilmoitettava rekisteröidyille ilman aiheetonta viivytystä. Tietosuojavaltuutetun toimisto voi tarvittaessa määrätä organisaation ilmoittamaan loukkauksen kohteeksi joutuneille.

2. Ilmoita rekisteröidylle aina korkean riskin toteutuessa, vaikka korkea riski poistuisi tietoturvaloukkauksen havaitsemisen jälkeen tehdyillä toimenpiteillä

Rekisterinpitäjän toimenpiteet tietoturvaloukkauksen havaitsemisen jälkeen saattavat poistaa tietoturvaloukkauksen rekisteröidylle aiheuttaman korkean riskin ainakin toimenpiteiden jälkeiseltä ajalta. Vaikka korkea riski poistuisi, on rekisteröidylle voinut aiheutua korkea riski ennen toimenpiteisiin ryhtymistä. Silloin rekisteröidylle on lähtökohtaisesti ilmoitettava henkilötietojen tietoturvaloukkauksesta.

3. Tee tietosuojavaltuutetun toimistolle tarvittaessa alustava ilmoitus ja täydennä sitä oma-aloitteisesti

Rekisterinpitäjä voi tehdä tietosuojavaltuutetun toimistolle alustavan ilmoituksen, jos tietoturvaloukkauksesta on vielä vain vähän tietoja saatavilla. Ilmoitusta on täydennettävä myöhemmin oma-aloitteisesti.

4. Tee tietoturvaloukkausilmoitus 72 tunnin kuluessa ja toimita tarvittaessa perusteltu selitys

Tietoturvaloukkausilmoitus on syytä tehdä ilman aiheetonta viivytystä, vaikka kaikki tapahtumaa koskevat tiedot eivät olisikaan vielä täysin selvillä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava tietosuojavaltuutetun toimistolle perusteltu selitys viivästymiselle.

Lue koko ohje henkilötietojen tietoturvaloukkauksista ilmoittamisesta tietosuojavaltuutetun toimiston verkkosivuilta

Lähetetyn lomakkeen voi tallentaa itselleen PDF-tiedostona

Tietosuojavaltuutetun toimiston lomakkeita on kehitetty saadun asiakaspalautteen perusteella. Organisaatio voi nykyisin tallentaa lähetetyn lomakkeen itselleen PDF-tiedostona Turvalomake-palvelussa. Tallentaminen helpottaa tietoturvaloukkausten dokumentointia ja osoitusvelvollisuuden noudattamista.

Tietosuojavaltuutetun toimistoon vireille tulevista asioista noin puolet on ilmoituksia henkilötietojen tietoturvaloukkauksista. Tietosuojavaltuutetun toimistolle ilmoitettiin 5445 henkilötietoja koskevaa tietoturvaloukkausta vuoden 2022 aikana.

Lisätietoja:

Tietosuojavaltuutetun toimiston yleinen neuvonta rekisterinpitäjille, avoinna tiistaista torstaihin klo 9.00–11.00, puh. 029 566 6778

Tietosuojavaltuutetun toimiston kirjaamo: tietosuoja(at)om.fi

Ohjeita henkilötietojen tietoturvaloukkauksista ilmoittamisesta tietosuojavaltuutetun toimiston verkkosivuilla

Tietosuojavaltuutetun toimiston uutinen: Tietosuojavaltuutetun toimiston lomakkeet toimivat jatkossa Valtorin Turvalomake-palvelussa (2.11.2023)

Sivun alkuun