Tietosuojaohjeet – Kysymys 11

Palaa tietosuojaohjeiden pääsivulle

Tietosuojaohjeet – Kysymys 11

Mitä pitää tehdä, jos tapahtuu henkilötietojen tietoturvaloukkaus?  

Koskee skenaariota 2 , kun ei käytetä komission tiedostojenvaihtopalvelua

Henkilötietojen tietoturvaloukkaus on kyseessä, kun siirrettäviä, tallennettavia tai muuten käsiteltäviä henkilötietoja vahingossa tai lainvastaisesti tuhoutuu, häviää, muutetaan tai luovutetaan luvatta tai niihin pääsee käsiksi taho, jolla ei ole käsittelyoikeutta.

Tietoturvaloukkauksesta ilmoittaminen

Jos tapahtuu henkilötietojen tietoturvaloukkaus, järjestäjäryhmän edustajan on viipymättä ja viimeistään 72 tunnin kuluttua rikkeen ilmitulosta ilmoitettava loukkauksesta toimivaltaiselle tietosuojaviranomaiselle. Ilmoittaminen ei kuitenkaan ole tarpeen silloin, jos loukkauksesta ei todennäköisesti aiheudu riskiä luonnollisten henkilöiden oikeuksille ja vapauksille.

Ilmoituksessa on oltava vähintään seuraavat tiedot:

• tietoturvaloukkauksen kuvaus, jossa mainitaan rikkeen kohteena olevien allekirjoittajien lukumäärä ja tietojen tyyppi
• tietosuojavastaavan tai muun yhteyshenkilön nimi ja yhteystiedot
• tietoturvaloukkauksen todennäköiset seuraukset
• toimet, joilla järjestäjät ovat pyrkineet korjaamaan ongelman tai lieventämään sen vaikutuksia.

Jos kaikkia tietoja ei voida antaa samanaikaisesti, ne on toimitettava vaiheittain ilman aiheetonta viivytystä.

Edustajan on myös dokumentoitava kaikki asiaan liittyvät seikat, niiden vaikutukset ja toteutetut tai ensi tilassa toteutettavat korjaustoimet.

Oikeuksiin ja vapauksiin kohdistuvat riskit

Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa vakavan riskin luonnollisten henkilöiden oikeuksille ja vapauksille, heille on ilmoitettava asiasta. Tämä ei kuitenkaan ole tarpeen seuraavissa tapauksissa:

• kyseiset tiedot on jo muutettu ei-luettavaan muotoon (esim. salausmenetelmällä, eikä salausavain ole päässyt vääriin käsiin), tai on varmistettu, että riski ei enää todennäköisesti toteudu
• ilmoittaminen allekirjoittajille henkilökohtaisesti vaatisi kohtuutonta vaivaa, jolloin tietoturvaloukkauksesta voidaan ilmoittaa allekirjoittajille julkisella ilmoituksella.

TÄRKEÄÄ: 

Jos komissio toimii tietojenkäsittelyssä yhteisrekisterinpitäjänä, komissio täyttää edellä kuvatut velvoitteet, jollei tietoturvaloukkaus johdu järjestäjäryhmän jäsenten toiminnasta. Järjestäjäryhmän on tarvittaessa ja mahdollisuuksien mukaan autettava komissiota henkilötietojen tietoturvaloukkausten käsittelyssä.

Viitteet:

• Yleinen tietosuoja-asetus: 33 ja 34 artikla
• Komission tietosuojasivusto: Mikä on tietoturvaloukkaus ja miten sellaisen sattuessa pitää toimia?