Tietosuojaloukkaus voi olla kohtalokas

Usein tietosuojaloukkaus havaitaan liian myöhään, joskus ei lainkaan

Henkilötiedot ovat rahanarvoista materiaalia. Sen vuoksi ne ovat alttiita esimerkiksi varkauksille ja väärinkäytölle. Tiedot voivat joutua väärille näytöille ja vääriin käsiin ihan vahingossakin – tai tietämättömyyden vuoksi.

Yrittäjän, organisaation ja yhteisön on tiedostettava, että henkilötietojen tietosuojaloukkaus on vakava tietoturvaan liittyvä vaara. Sen estäminen ja siihen varautuminen asettavat organisaatiolle monia velvoitteita.

Varautuminen henkilötietojen turvalliseen käsittelyyn ja väärinkäytösten ennalta ehkäisemiseen on uuden tietosuoja-asetuksen (GDPR) myötä entistä tärkeämpää. 

Mikä on tietosuojaloukkaus?

Lyhyesti sanottuna se on tämä: Se on tapahtuma, jossa henkilötietoja tuhoutuu, häviää, muuttuu, niitä luovutetaan luvattomasti tai niihin pääsee käsiksi asiaton taho.

Mahdollisuuksia on monia. Ei ole tavatonta, että joku ulkopuolinen on löytänyt kadulle pudonneen muistitikun, jonka sisältö on paljastunut erittäin arkaluonteiseksi, kriittisiä tietoja sisältäväksi ja rahan arvoiseksi. Näin on todellisuudessa tapahtunut.

Rehellinen löytäjä tietenkin yrittää etsiä omistajan ja palauttaa tikun. Päinvastaisessa tapauksessa niin tiedot kadottanut kuin tikulla olevien henkilötietojen omistajatkin voivat joutua jopa kiristyksen tai muiden vakavien rikosten kohteiksi.

Ongelmia syntyy myös, kun tietokone tai puhelin katoaa tai varastetaan, tietoja hakkeroidaan, järjestelmään lähetetään haittaohjelmia tai se joutuu kyberhyökkäyksen kohteeksi. Ja entäpä jos sattuu tulipalo datakeskuksessa, tai niinkin inhimillinen erehdys kuin tiliotteen tai terveystietojen postittaminen väärälle henkilölle?

Ilmoitus viranomaiselle ja rekisteröidylle  

Siitä hetkestä, kun rekisterinpitäjä havaitsee tietosuojaloukkauksen, hänen on mahdollisuuksien mukaan ilmoitettava siitä 72 tunnin sisällä valvontaviranomaiselle. Jokainen organisaatio ja yksittäinen yrittäjä, joka tallentaa henkilötietoja, on rekisterinpitäjä.

Jokaisesta pikkurisahduksesta tietoturvassa ei tarvitse tehdä ilmoitusta, riittää kun poikkeama havaitaan ja korjataan. Mutta silloin, kun henkilötietojen tietoturvaloukkauksesta  (tietosuojaloukkauksesta) voi aiheutua riski henkilön oikeuksille ja vapauksille, ilmoitus on ehdottomasti tehtävä.

Tässä tapauksessa rekisterinpitäjän on ilmoitettava tietosuojaloukkauksesta myös rekisteröidylle. Tämän on tapahduttava viivyttelemättä. Rekisteröidylle henkilölle tieto tapahtuneesta on annettava niin selkeällä ja yksinkertaisella kielellä, että tämä varmasti ymmärtää, mistä on kysymys.

Samassa yhteydessä rekisteröidylle on annettava tietosuojavastaavan nimi, yhteystiedot ja yhteyspiste mistä saa lisätietoja. 

Esimerkki pankkialalta

Tässä yksi esimerkki, kuinka henkilötietojen mahdollisesta tietoturvaloukkauksesta on asianmukaisesti ilmoitettu asiakkaalle, jonka luottokortin tiedot ovat mahdollisesti joutuneet vääriin käsiin:

Hyvä asiakas. Saamamme tiedon mukaan korttisi tiedot ovat saattaneet joutua vääriin käsiin. Väärinkäytön ehkäisemiseksi uusimme korttisi ja saat korvaavan kortin samalla  tunnusluvulla noin viikossa. Joudumme mahdollisesti rajoittamaan nykyisen korttisi käyttöä ja se suljetaan automaattisesti neljän viikon kuluttua. Jos havaitset kortilla tehtyjä tapahtumia, joita et tunnista, sulje kortti heti soittamalla numeroon ………..

Soita ja kysy, jos et ole varma

Valvontaviranomaisena toimii Tietosuojavaltuutetun toimisto, joka sijaitsee Helsingissä. Sen puhelinneuvonta on auki maanantaista torstaihin klo 9-11 ja 13-15 sekä perjantaina klo 9-15. Puhelinnumero on 029 56 16670. 

Jos tilanne henkilötietojen tietoturvaloukkauksen suhteen on epävarma, niin toimistoon kannattaa soittaa ja selvittää miten asiassa menetellään. On tärkeä määritellä, mikä on tapahtuneen loukkauksen riskitaso; aiheutuuko siitä riskiä, eikö siitä aiheudu riskiä vai aiheutuuko siitä mahdollisesti korkea riski. 

Olipa tietoturvasta huolehtiminen delegoitu tai ulkoistettu kenen tahansa tehtäväksi, vastuu tietosuojaloukkauksesta ilmoittamisesta säilyy rekisterinpitäjällä. Jos henkilötietojen käsittelijä havaitsee tietosuojaloukkauksen, on siitä ilmoitettava rekisterinpitäjälle, ellei ole sovittu, että käsittelijä itse tekee ilmoituksen. 

Näin menetellenkin vastuu ilmoitusvelvollisuuden täyttämisestä säilyy rekisterinpitäjällä.

Pelkkä ilmoitus ei riitä

Ei riitä, että rekisterinpitäjä ilmoittaa tietosuojaloukkauksesta valvontaviranomaiselle. Rekisterinpitäjän on myös dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja pystyttävä osoittamaan niiden vaikutukset ja korjaavat toimet.

Dokumentointi on erittäin tarpeen, sillä dokumentaation avulla valvontaviranomainen voi tarkistaa, että tätä artiklaa on noudatettu. Mikäli dokumentteja ei ole tehty, niin silloin viranomaistoimet varmasti ”rankistuvat” ja seuraukset voivat rahallisestikin olla merkittävät.

Rekisteröidylle on kerrottava seuraukset

Mitä rekisterinpitäjän on sitten ilmoitettava rekisteröidylle, kun tietosuojaloukkaus on tapahtunut? Ensimmäiseksi on tietenkin kuvattava, mitä on tapahtunut.

Rekisteröidyn on saatava tietää myös se, millaista ryhmää ihmisiä loukkaus koskee, millainen on loukattujen ryhmän profiili ja kuinka suuresta joukosta on kysymys. Tietosuojaloukkauksen kohteeksi joutuneelle on myös kerrottava tapahtuman todennäköiset seuraukset.

Rekisteröidylle on kerrottava myös ehdotukset toimenpiteiksi, joilla loukkauksen mahdollisia haittavaikutuksia voi lieventää.

Riskit on arvioitava

Rekisterinpitäjän vastuu henkilötietojen tietoturvaloukkauksen tapahtuessa on suuri. Hänen on kyettävä arvioimaan muun muassa se millainen riski vuodosta aiheutuu rekisteröidylle. Tämän perusteella määräytyvät tehtävät jatkotoimet. Jos arvion tekeminen tuntuu liian vaikealta, silloin kannattaa ottaa yhteyttä tietosuojavaltuutetun toimistoon.

Selvää on, että mitä arkaluonteisempaan tietoon loukkaus kohdistuu, sitä suurempi riski siitä aiheutuu rekisteröidylle. 

Rekisterinpitäjän pitää arvioida loukkauksen kohteeksi joutuneiden henkilötietojen luonne, arkaluonteisuus ja määrä. Hänen on myös pohdittava seurauksia. Ne voivat olla erilaisia riippuen siitä, mihin henkilötietoja on vuotanut. On eri asia, ovatko tiedot joutuneet esimerkiksi internetiin – tai jos niitä ei päästä käsittelemään tietojärjestelmävian vuoksi.

Tärkeää on myös arvioida se, kuinka helposti henkilöt ovat tunnistettavissa tietosuojaloukkauksen kohteena olevasta materiaalista ja miettiä myös sitä, miten tätä materiaalia voidaan mahdollisesti käyttää hyväksi muiden saatavilla olevien tietojen kanssa.

Vakavia seurauksia

Identiteettivarkaudet ovat nykyisin ikävän yleisiä. Ne ovat mahdollisia tietosuojaloukkausten ja -vuotojen seurauksena. Yksittäiselle ihmiselle, jolta varastetaan identiteetti, seuraukset ovat aina ikäviä ja voivat käydä kalliiksi. Vähintään ne ovat kiusallisia ja vaativat usein pitkiä jälkiselvittelyjä.

Rekisterinpitäjän on muistettava, että tietosuoja-asetus on nimenomaan säädetty suojaamaan yksityistä ihmistä, myös häntä itseään. Tietosuojaloukkausten seuraukset voivat olla inhimillisesti erittäin vakavia. 

Kun henkilötiedot joutuvat rikollisten käsiin, voi rekisteröity joutua esimerkiksi petoksen kohteeksi tai identiteettivarkauden tuloksena syytetyksi petoksesta. Seurauksena voi olla psyykkistä ahdistusta, nöyryytystä tai maineen menetys, jonka korjaaminen voi olla ylivoimaista.

Tämä muistaen rekisterinpitäjän on hyvin tarkkaan ja vakavasti käytävä läpi henkilötietojen tietoturvaloukkaus ja muistettava kuinka tärkeää on toimia 72 tunnin aikarajan sisällä. Se on niin rekisteröidyn kuin rekisterinpitäjänkin tulevaisuuden kannalta ensiarvoisen tärkeää.

Tietosuojavaltuutetun toimiston muistutus tietosuojaloukkauksen seurauksista on hyvä painaa mieleen: Mitä suurempi riski tietosuojaloukkaukseen liittyy ja mitä todennäköisemmin seuraus toteutuu, sitä korkeampi on riski.

Julkaistu: 18.04.2018

Ota yhteyttä

Kiinnostuitko? Heräsikö lisäkysymyksiä? Kerromme mielellämme lisää - jätä yhteystietosi alla olevalla lomakkeella, niin palaamme tuota pikaa asiaan!

*pakollinen kenttä

Palvelua toteuttamassa