Tietoturvaloukkaukset

Mikä on henkilötietojen tietoturvaloukkaus?

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi

  • hävinnyt tiedonsiirtoväline, kuten USB-tikku
  • varastettu tietokone
  • hakkerointi
  • haittaohjelmatartunta
  • kyberhyökkäys
  • tulipalo datakeskuksessa
  • tiliotteen postitus väärälle henkilölle.

Tietoturvaloukkauksesta voi seurata esimerkiksi henkilötietojen valvomiskyvyn menettäminen, identiteettivarkaus tai petos, maineen vahingoittuminen tai pseudonymisoitujen tai salassapitovelvollisuuden alaisten henkilötietojen paljastuminen.

Dokumentoi kaikki henkilötietojen tietoturvaloukkaukset ja arvioi riskin taso

Sekä rekisterinpitäjän että henkilötietojen käsittelijän on suojattava henkilötiedot niin, että suojaustoimenpiteet vastaavat henkilötietojen käsittelyyn liittyvää riskiä. Lisäksi rekisterinpitäjän on varauduttava mahdollisiin tietoturvaloukkauksiin laatimalla toimintaohjeet tietoturvaloukkaustilanteita varten. Tietoturvaloukkauksiin on pystyttävä reagoimaan mahdollisimman nopeasti.

Rekisterinpitäjän täytyy arvioida, minkä tasoinen riski tietoturvaloukkauksesta aiheutuu sen kohteena olleille henkilöille, esimerkiksi

  • ei aiheudu riskiä
  • aiheutuu riski
  • aiheutuu korkea riski.

Riskin taso määrittää ne toimenpiteet, joihin rekisterinpitäjän on ryhdyttävä. Toimenpiteitä ovat esimerkiksi

  • tietoturvaloukkauksen dokumentointi
  • ilmoitus valvontaviranomaiselle
  • ilmoitus rekisteröidylle.

Dokumentoi kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa. Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyöminen on tietosuoja-asetuksen vastaista. Se voi johtaa tietosuoja-asetuksessa määritettyihin seuraamuksiin.

Dokumentointivelvollisuuden piiriin kuuluvat myös tietojärjestelmään kohdistuneen tietoturvaloukkauksen osalta tapahtuma-ajan lokitiedot. Tietosuojavaltuutettu voi pyytää lokitietoja tietoturvaloukkausta koskevan ilmoituksen käsittelyä varten.

Mitä riskien arvioinnissa on otettava huomioon?

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta on aiheutunut vuodon kohteena olevalle henkilölle. Arvio määrittää tarvittavia tietoturvaloukkauksesta seuraavia toimenpiteitä.

Huomioi arviossa seuraavat asiat:

Ilmoita henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle

Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, jos loukkauksesta voi aiheutua riski luonnollisten henkilöiden oikeuksille ja vapauksille. Suomessa valvontaviranomaisena toimii tietosuojavaltuutetun toimisto.

Henkilötietojen tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut tietoiseksi tietoturvaloukkauksesta. Henkilötietojen käsittelijän tulee ilmoittaa tietoturvaloukkauksesta ensin rekisterinpitäjälle, jollei ole erikseen sovittu, että käsittelijä voi ilmoittaa tietoturvaloukkauksista suoraan tietosuojavaltuutetun toimistolle. Vastuu ilmoituksen tekemisestä säilyy kuitenkin rekisterinpitäjällä.

Ilmoituksen voi tehdä sähköisellä lomakkeella.

Huomioi ilmoituksessa muun muassa seuraavat asiat

Esimerkkejä tietoturvaloukkauksista: Milloin henkilötietojen tietoturvaloukkauksesta tulee ilmoittaa valvontaviranomaiselle tai rekisteröidylle (pdf)

Ohje tietoturvaloukkausten ilmoitusvelvollisuudesta sosiaali- ja terveydenhuollossa (pdf)

Koska henkilötietojen tietoturvaloukkauksesta ilmoitetaan rekisteröidylle?

Henkilötietojen tietoturvaloukkauksesta on ilmoitettava rekisteröidylle, jos se todennäköisesti aiheuttaa korkean riskin tämän oikeuksille ja vapauksille. Rekisterinpitäjän on tällöin ilmoitettava asiasta ilman aiheetonta viivytystä, jotta rekisteröidyllä on mahdollisuus suojautua esimerkiksi sulkemalla luottokorttinsa.

Sisällytä ilmoitukseen nämä tiedot:

  • selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
  • tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
  • henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  • toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Ilmoitusta ei vaadita, jos

  • rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja niitä on sovellettu henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin (erityisesti niitä, joiden avulla henkilötiedot muutetaan ulkopuolisille mahdottomiksi ymmärtää, kuten salausta)
  • rekisterinpitäjä on tehnyt jatkotoimenpiteitä, joilla varmistetaan, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu
  • se vaatisi kohtuutonta vaivaa, koska ei esimerkiksi tiedetä, keitä rekisteröidyt ovat. Asiaa arvioidaan riskien mukaan.

​Jos rekisteröityihin ei voida ottaa yhteyttä henkilökohtaisesti, on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröityjä informoidaan yhtä tehokkaalla tavalla.

Jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä.