Tietoturvaloukkaukset | Yrittajat.fi
Etusivu > Yrittajan Abc > Yritystoiminnan Abc > Yrittajan Tietosuojaopas

Etsi

Tietoturvaloukkaukset

Henkilötietojen tietoturvaloukkauksella tarkoitetaan sellaista tapahtumaa, jonka seurauksena siirrettyjä, tallennettuja tai muuten käsiteltyjä henkilötietoja vahingossa tai lainvastaisesti tuhoutuu, häviää tai muuttuu. Tietoturvaloukkaukseksi katsotaan myös tietojen luvaton luovuttaminen sekä luvaton pääsy tietoihin.
 

Tietosuojaloukkauksesta ilmoittaminen valvontaviranomaiselle

Rekisterinpitäjän on ilmoitettava henkilötietojen tietosuojaloukkauksesta ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle. Näin ei kuitenkaan tarvitse tehdä, jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu riskiä henkilöiden oikeuksille ja vapauksille.

Kun henkilötietojen käsittelijä saa tietää henkilötietojen tietoturvaloukkauksesta, hänen on ilmoitettava siitä rekisterinpitäjälle ilman aiheetonta viivytystä.

Ilmoituksessa on

  • kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät
  • kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
  • kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta
  • kerrottava, miten mahdollisia haittavaikutuksia lievennetään.

Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, niiden vaikutukset sekä korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.
 

» Katso tietosuoja-asetuksen 33 artikla.
 

Tietosuojaloukkauksesta ilmoittaminen rekisteröidylle

Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin henkilöille, yrittäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.

Rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne. Samalla on ilmoitettava ainakin tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa.

Ilmoitusta rekisteröidylle ei tarvitse antaa, jos jokin seuraavista edellytyksistä täyttyy

  • Rekisterinpitäjä on muuttanut henkilötiedot sellaiseen muotoon, jossa ne eivät ole ulkopuolisten henkilöiden ymmärrettävissä. Tämä voi tarkoittaa jonkinlaista salausmekanismia.
  • Rekisterinpitäjä on varmistanut, että rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu.

Jos rekisterinpitäjä ei ole ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.
 

» Katso tietosuoja-asetuksen 34 artikla.

» Takaisin Yrittäjän tietosuojaopas -etusivulle