Kysymys: Mikä on tietoturvaloukkaus ja milloin siitä pitää ilmoittaa viranomaiselle?
Hei! Eräs työntekijämme on kadottanut USB-tikun, jota hän on käyttänyt varmuuskopiona. Ei ole täysin selvää, miten se katosi (kadonnut tai varastettu). Muistitikulla oli muun muassa asiakasrekisterimme tietoja. Muisti oli salattu ja kuten sanoin, kyseessä oli vain kopio (toisin sanoen tiedot ovat edelleen meillä itsellämme), mutta olen hieman epävarma siitä, pitäisikö tästä ilmoittaa tietosuojavaltuutetulle henkilötietotapauksena. Olen kiitollinen nopeasta vastauksesta.
Legalbuddy vastaa
Kiitos, että käännyit puoleemme kysymyksesi kanssa!
Tietoturvaloukkaus
Mikä on tietoturvaloukkaus?
GDPR:n mukaan tietoturvaloukkauksella tarkoitetaan tapahtumaa, joka johtaa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tahattomaan tai lainvastaiseen tuhoutumiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen taikka luvattomaan pääsyyn.
Teidän tapauksessanne kyse voisi mahdollisesti olla luvattomasta pääsystä USB-muistilla oleviin tietoihin, jos muistitikun mahdollisesti haltuunsa saanut henkilö pystyy murtamaan muistitikulla olevan salauksen ja siten pääsemään käsiksi tikulla oleviin henkilötietoihin. Käsitykseni mukaan teillä on tiedot edelleen muissa järjestelmissä, mikä tarkoittaa, että kyse ei ole tietojen häviämisestä.
Tietosuojaloukkauksesta tulee ilmoittaa tietosuojaviranomaiselle 72 tunnin kuluessa
GDPR velvoittaa ilmoittamaan tietoturvaloukkauksista tietosuojaviranomaiselle (Tietosuojavaltuutetun toimistoon). Henkilötietojen tietoturvaloukkauksesta on tehtävä ilmoitus viimeistään 72 tunnin kuluessa siitä, kun rekisterinpitäjä on saanut tiedon tietoturvaloukkauksesta. Ilmoitus tulee tehdä kuitenkin vain, jos loukkaus voi aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille.
Kuinka arvioida, pitääkö tietoturvaloukkauksesta ilmoittaa viranomaiselle?
Sen arvioimiseksi, oletteko velvollisia ilmoittamaan tapahtuneesta viranomaiselle, teidän on ensisijaisesti pohdittava, onko epätodennäköistä, että tietoturvaloukkaus aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Valitettavasti ei ole olemassa yksinkertaista mallia sen määrittämiseksi, täyttyykö ilmoitusvelvollisuus vai ei – arviointi on siten tehtävä tapauskohtaisesti.
Tietoturvaloukkauksista tehdään ilmoitus Tietosuojavaltuutetun verkkosivustolla.
Tietoturvaloukkauksesta ilmoittaminen rekisteröidyille
Jos tietoturvaloukkauksen katsotaan todennäköisesti aiheuttavan korkean riskin rekisteröityjen (teidän tapauksessanne asiakkaidenne) oikeuksien ja vapauksien kannalta, teillä rekisterinpitäjänä on velvollisuus tiedottaa myös asiakkaitanne tapahtuneesta. Tietoturvaloukkauksesta on tällöin ilmoitettava ilman aiheetonta viivytystä, jotta asiakkaillanne on mahdollista tehdä suojautumiseksi tarpeellisia toimenpiteitä mahdollisimman aikaisin.
Tarvitsetko lisää apua?
Jos sinulla on lisää kysyttävää, voit ottaa meihin yhteyttä!
Käynnistä tietosuojatyösi tehokkaasti kiinteähintaisella paketilla, joka sisältää olennaiset asiakirjat ja asiantuntijaneuvontaa.
Lue lisää palvelusta- Voimmeko julkaista yritystapahtumista kuvia, joissa näkyy tapahtumaan osallistuneita henkilöitä?
- Tarvitaanko konserniin kuuluvien yhtiöiden välille tietojenkäsittelysopimus?
- Milloin ja kenen välillä tietojenkäsittelysopimus pitää solmia?
Tarvitsetko yrityksessäsi oikeudellista voimaa?
Kokeile digitaalista yrityslakimiestämme ilmaiseksi kuukauden ajan - Yrityksille suunnattu lakiasiaintuki ja sopimusten hallinta
Kokeile Legalbuddy Plussaa