Vastaus
Kyse on tietoturvaloukkauksesta, kun yrityksesi/organisaatiosi vastuulla olevien tietojen salassapito, saatavuus tai eheys vaarantuvat. Tietoturvaloukkaus asettaa yksilön oikeudet ja vapaudet vaaraan, joten kyseisessä tilanteessa yrityksesi/organisaatiosi on ilmoitettava asiasta valvontaviranomaiselle ilman aiheetonta viivytystä ja viimeistään 72 tunnin määräajassa tietoturvaloukkauksen havaitsemisesta. Jos yrityksesi/organisaatiosi on rekisterinpitäjä, sen pitää ilmoittaa kaikista tietoturvaloukkauksista henkilötietojen käsittelijälle.
Jos tietoturvaloukkaus aiheuttaa korkean riskin kyseisille yksilöille, myös heille on ilmoitettava asiasta (ellei käytössä ole tehokkaita teknisiä ja organisatorisia turvaamistoimenpiteitä, joiden ansiosta riskin toteutuminen ei ole enää todennäköistä).
On tärkeää, että organisaatiolla on käytössään asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla vältetään mahdolliset tietoturvaloukkaukset.
Esimerkkejä
Organisaation pitää ilmoittaa tietosuojaviranomaiselle ja yksilöille
Tekstiilialan yrityksen työntekijöiden tiedot ovat vuotaneet. Vuotaneet tiedot sisälsivät jokaisen työntekijän kotiosoitteen, perhesuhteet, kuukausipalkan sekä sairauslomahakemukset. Tässä tapauksessa yrityksen on ilmoitettava vuodosta valvontaviranomaiselle. Koska osa henkilötiedoista on arkaluonteista, kuten terveystiedot, asiasta on ilmoitettava myös työntekijöille.
Sairaalan työntekijä päättää kopioida potilastiedot CD:lle ja julkaista ne verkossa. Sairaala saa asian selville parin päivän kuluttua. Sairaalan on 72 tunnin määräajassa ilmoitettava asiasta valvontaviranomaiselle. Kyse on arkaluonteisista tiedoista, esimerkiksi potilaan syövästä tai raskaudesta, joten asiasta on ilmoitettava myös potilaille. Kyseisessä tapauksessa voidaan epäillä, ettei sairaalalla ole ollut käytössään asianmukaisia teknisiä ja organisatorisia turvaamistoimenpiteitä. Jos näin olisi ollut (esimerkiksi tietojen salaaminen), riski olisi todennäköisesti jäänyt toteutumatta, eikä sairaalan olisi siinä tapauksessa tarvinnut ilmoittaa asiasta potilaille.
Yrityksen on ilmoitettava asiakkaille, joiden on mahdollisesti ilmoitettava tietosuojaviranomaiselle ja yksilöille
Pilvipalvelu menettää monta kovalevyllistä useammalle asiakkaalle kuuluvia henkilötietoja. Sen on ilmoitettava asiasta mahdollisimman pian asiakkailleen. Asiakkaiden on mahdollisesti ilmoitettava asiasta tietosuojaviranomaiselle ja yksilöille riippuen siitä, millaista tietoa henkilötietojen käsittelijä on käsitellyt.
Viitteet
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.