Jotta organisaatioissa voidaan noudattaa tietosuoja-asetuksen mukaisia velvollisuuksia, johdon ja henkilöstön on tärkeä ymmärtää työnsä kannalta merkittävät tietosuojakysymykset ja oikeat tavat toimia. Lue tietosuoja-asiantuntija ja Editan kouluttaja Ville Vainion vastaukset kysymyksiin tietoturvaloukkauksista ja niihin varautumisesta.
Applex Oy:n osakas ja asianajaja. Hän avustaa kotimaisia ja kansainvälisiä asiakkaita pk-yrityksistä pörssifirmoihin erityisesti tietosuoja- ja teknologiajuridiikan parissa.
Katsotaanko tietoturvaloukkaukseksi vain luvaton ja tahallinen tunkeutuminen henkilötietoihin organisaation ulkopuolelta?
Ei, sillä GDPR:n mukaan henkilötietojen tietoturvaloukkaus voi olla kyseessä silloinkin, jos henkilötietoja päätyy vahingossa organisaation sisällä väärille vastaanottajille. Yksi tavallisimmista loukkaustapahtumista onkin henkilötietoja sisältävän sähköpostin (kuten palkkalaskelman) lähettäminen vahingossa väärälle vastaanottajalle.
Miten tietoturvaloukkauksiin kannattaa varautua?
Koska rekisterinpitäjän on ilmoitettava loukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa, organisaatiossa tulisi olla jo valmiiksi toteutettuna asianmukaiset tietoturvatoimet sekä laadittuna toimintaohjeet loukkausten varalta. Aikarajan noudattaminen vaatii ennakkovalmistautumista ja toimivia prosesseja. Tositilanteen sattuessa aika ei riitä ihmettelyyn ja harjoitteluun.
Pitääkö tietoturvaloukkauksen kohteina oleville henkilöille (esimerkiksi asiakkaille) ilmoittaa loukkauksesta suoraan?
Kyllä, jos loukkaus todennäköisesti aiheuttaa korkean riskin heille. Mitä arkaluontoisempaan tietoon tietoturvaloukkaus kohdistuu, sen suurempi riski siitä aiheutuu. Arvioinnissa tulee ottaa huomioon, mitä riskejä ja seurauksia henkilölle voi aiheutua – mikä seuraus on esimerkiksi puhelinnumeron, passikopion tai terveystietojen paljastumisella?
