TIETOSUOJAOPAS 28 Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivästystä ja mahdollisuuksien mukaan 72 tunnin kuluessa tiedon saamisesta valvontaviranomaiselle. Jos tapahtuneesta tietoturvaloukkauksesta aiheutuu todennäköisesti merkittäviä riskejä asianosaisten yksityishenkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava ilman aiheetonta viivytystä myös tietoturvaloukkauksen kohteeksi joutuneille henkilöille. Tämä tarkoittaa käytännössä sitä, että jos organisaatio rekisterinpitäjänä käyttää henkilötietojen käsittelijää (esim. pilvipalvelun palveluntarjoajaa), organisaation on varmistettava, että sopimukseen sisällytetään selkeästi tietoturvaloukkausilmoituksia koskevat toimenpiteet. Käytännössä kyse on ilmoitusvelvollisuuden toteuttamisesta, kuten tarvittavien tietojen antamisesta rekisterinpitäjälle. Jos ilmoitusta ei pystytä tekemään määräaikana, on määräaikana kuitenkin toimitettava selvitys viivästyksen syystä. Jotta ilmoitusvelvollisuus on mahdollista täyttää, on organisaation pystyttävä ainakin: • havaitsemaan tietoturvapoikkeamat henkilötietojen käsittelyssä, • analysoimaan havaitun poikkeaman juurisyyt sekä vaikutukset henkilötietojen käsittelyyn, • päättämään analyysin perusteella onko tarvetta ilmoittaa valvontaviranomaisille ja rekisteröidyille, • dokumentoimaan tapahtunut huolellisesti, ja • noudattamaan jatkuvan parantamisen mallia, eli oppia tapahtuneesta ja tehdä tarvittavat kehitystoimet. Ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava esimerkiksi tietoja loukkauksen mahdollista seurauksista ja kuvattava loukkauksen johdosta tehtyjä tai suunniteltuja toimenpiteitä kuten mitä on tehty haittavaikutuksien lieventämiseksi. Valvontaviranomainen voi vaatia ilmoituksen tekemistä rekisteröidylle tai päättää, ettei ilmoitusta tarvitse tehdä. Tällöin viranomainen ottaa kantaa tietoturvaloukkauksesta rekisteröidylle mahdollisesti aiheutuvaan riskiin. 7.5 Yhteistyövelvoite Valvontaviranomaisen pyytäessä rekisterinpitäjällä on velvollisuus yhteistyöhön. Yhteistyö kuuluu organisaation tietosuojavastaavan tai henkilötiedoista käytännössä vastaavien työntekijöiden tehtäviin. Jos organisaatiolla on toimintaa useassa EU-maassa, se voi asioida sen maan valvontaviranomaisen kanssa, jossa sen päätoimipaikka sijaitsee (nk. ”One-stopshop” -mekanismi, ”yhden luukun” -periaate). Yhteistyövelvoitteeseen kuuluu myös ennakkokuuleminen, jos organisaation tietosuojan vaikutusarvioinnin perusteella henkilötietojen käsittelyyn liittyy suuria riskejä, joita organisaatio ei pysty hallitsemaan. Lisäksi yhteistyövelvoitteeseen kuulu ilmoitusvelvollisuus valvontaviranomaiselle, jota käsiteltiin edellisessä luvussa.
RkJQdWJsaXNoZXIy Mjk0MTY=