Kun esimerkiksi yritykset käsittelevät henkilötietoja, on aina riski siihen, että ulkopuoliset tahot pääsevät tietoihin käsiksi, joko tarkoituksella tai vahingossa. Viime vuosina olemme saaneet lukea esimerkiksi tilanteista, joissa yrityksen tietojärjestelmiin on murtauduttu ja tämän jälkeen kyseistä yritystä on kiristetty uhkaamalla, että kaapatut henkilötiedot vuodetaan internetiin. On myös mahdollista, että yrityksen HR-osasto lähettää vahingossa väärälle vastaanottajalle toista henkilöä käsittelevän viestin, jossa on esimerkiksi mainittuna kyseisen henkilön kotiosoite ja henkilötunnus. Tällaisissa tilanteissa kyseessä on tietoturvaloukkaus, johon jokaisen yrityksen pitää varautua Euroopan unionin yleisen tietosuoja-asetuksen edellyttämällä tavalla. Rekisterinpitäjällä tulee olla laadittuna mahdollisten tietoturvaloukkausten varalle toimenpiteet, joiden mukaan toimitaan sen jälkeen, kun tietoturvaloukkaus on havaittu ja siitä aiheutuvan riskin taso on määritelty. Riskiä ja toimenpiteitä määriteltäessä tulee ottaa huomioon useita eri tekijöitä, esimerkiksi tietoturvarikkomuksen tyyppi tai se, kuinka helppoa tiedoista on tunnistaa eri rekisteröityjä.
“Kun tietoturvaloukkaus on tapahtunut, tärkeintä on toimia mahdollisimman nopeasti. Rekisterinpitäjän tulee selvittää mitä on tapahtunut, milloin on tapahtunut ja mitkä voivat pahimmillaan olla seuraukset”, Lakiasiaintoimisto Notion juristi Heidi Nurminen tiivistää.
Mikäli on riski siitä, että tietoturvaloukkaus on sitä luokkaa, että henkilön oikeuksia tai vapauksia loukataan, tulee rekisterinpitäjän ilmoittaa asiasta tietosuojavaltuutetun toimistolle mahdollisuuksien mukaan 72 tunnin sisällä siitä hetkestä, kun tietoturvaloukkaus on havaittu. Näin ollen mikäli esimerkiksi yrityksen järjestelmiin murtaudutaan, mutta asia huomataan vasta kuukauden päästä, alkaa 72 tunnin aikaikkuna siitä hetkestä, kun murtautuminen on havaittu. Jos kyseessä on sen kaltainen tilanne, että rekisteröidyn oikeuksia tai vapauksia kohtaan ei muodostu minkäänlaista riskiä, ei ilmoitusta tietosuojavaltuutetulle tällöin tarvitse tehdä. Sen sijaan mikäli tietoturvaloukkaus aiheuttaa korkean riskin rekisteröidylle, tulee asiasta ilmoittaa suoraan myös rekisteröidylle. Riippumatta riskin suuruudesta, tietosuoja-asetus edellyttää, että rekisterinpitäjän tulee dokumentoida jokainen yksittäinen tietoturvaloukkaus sekä siitä aiheutuneet toimenpiteet.
“Vaikka tietoturvaloukkaus olisi sitä tasoa, että riski on todella matala tai jopa olematon, ei se tarkoita sitä, että rekisterinpitäjän ei tarvitse ryhtyä mihinkään toimenpiteisiin. Jokainen yksittäinen tapaus tulee aina perata läpikotaisin ja huolehtia, että samanlainen tilanne ei pääse toistumaan”, Nurminen painottaa.
Mikäli yleisen tietosuoja-asetuksen asettamia velvollisuuksia ei noudateta esimerkiksi yllä mainituissa tilanteissa, voi seurauksena olla sakko. Suurimmillaan sakko on 4 prosenttia kyseisen yrityksen globaalista liikevaihdosta tai 20 miljoonaa euroa, kumpi kyseisessä tapauksessa onkaan suurempi. On myös mahdollista, että yritykseltä kielletään kokonaan henkilötietojen käsittely, mikäli toiminta on ollut yleisen tietosuoja-asetuksen vastaista. Lievemmissä tapauksissa rekisterinpitäjälle voidaan antaa varoitus tai huomautus.
Jos artikkelin luettuasi koet, että haluaisit keskustella enemmän esimerkiksi siitä, kuinka sinun yrityksesi voi varautua mahdolliseen tietoturvaloukkaukseen, Lakiasiaintoimisto Notio auttaa erittäin mielellään. Tarjoamme sekä yksityishenkilöille että yrityksille aina 20 minuutin ilmaisen alkukartoituskeskustelun, jossa voimme käydä tilannettasi läpi. Mikäli haluat varata alkukartoituskeskustelun, tavoitat meidät monella eri tavalla:
Puhelinnumero: +358444915781
Whatsapp: +358444915781
Sähköpostiosoite: info@notiolaki.fi
Ethän toimita viestitse mitään arkaluontoisia henkilötietoja. Vastaanotamme kaikki tarpeelliset henkilötietoja sisältävät tiedot tietoturvallisella tavalla, johon annamme erikseen ohjeet.
Lakiasiaintoimisto Notio on Pirkanmaalla sijaitseva lakitoimisto, joka palvelee asiakkaitaan pääsääntöisesti Pirkanmaalla (esimerkiksi Tampere, Ylöjärvi, Nokia, Valkeakoski, Pirkkala sekä Akaa) sekä Kanta-Hämeessä (esimerkiksi Hämeenlinna, Iittala sekä Janakkala), mutta asiasta riippuen palvelemme mielellämme ympäri Suomea. Ota siis rohkeasti yhteyttä!