tietoturvaloukkaus - rahoitusala

Säädösperusta:	EU:n yleisen tietosuoja-asetuksen mukainen päätös
Antopäivä:	03.01.2020
Diaarinumero:	60/171/2020

ASIA
Tietoturvaloukkauksessa on ollut kyse siitä, että osalla rekisterinpitäjän käyttämän käsittelijän henkilöstöstä on ollut julkaisujärjestelmään käyttöoikeudet, jotka ovat mahdollistaneet tarpeettoman laajan pääsyn verkkosivuston lomakkeiden sisältämiin tietoihin. Tietoturvaloukkauksen tultua ilmi rekisterinpitäjä on kertonut muuttaneensa verkkosivuston lomakkeita siten, ettei niiden sisältämät henkilötiedot tallennu tietokantaan. Rekisterinpitäjän kertoman mukaan se on ottanut haltuunsa aikaisemmin tietokantaan tallennettujen lomakkeiden sisältämät tiedot ja varmistunut, että ne ovat kokonaisuudessaan sen hallussa. Rekisterinpitäjä on pyytänyt käsittelijää hävittämään aikaisemmin tallennetut lomakkeet pysyvästi.

Rekisterinpitäjä on selvittänyt solmineensa yleisen tietosuoja-asetuksen 28 artiklan tarkoittaman sopimuksen henkilötietojen käsittelystä kyseessä olevan käsittelijän kanssa. Rekisterinpitäjä ja henkilötietojen käsittelijä ovat sopineet, että henkilötiedot eivät tallennu tietokantaan eikä käsittelijällä siten ole pääsyä tietoihin. Jos tietoja tästä huolimatta tallentuisi tietokantaan virhe- tai häiriötilanteen vuoksi, käsittelijällä on oikeus käsitellä henkilötietoja vain rekisterinpitäjän tilannekohtaisen ohjeistuksen mukaisesti virhetilanteen korjaamiseksi.

Tietosuojavaltuutettu on määrännyt rekisterinpitäjän ilmoittamaan tietoturvaloukkauksesta rekisteröidyille sekä muuttamaan käsittelytoimet yleisen tietosuoja-asetuksen säännösten mukaisiksi. Lisäksi päätöksessä edellytettiin, että rekisterinpitäjä solmii yleisen tietosuoja-asetuksen 28 artiklan tarkoittaman sopimuksen henkilötietojen käsittelystä käyttämänsä käsittelijän kanssa. Rekisterinpitäjä on määräaikaan mennessä toimittanut selvityksen toimenpiteistä, joilla se katsoi varmistettavan, ettei tietoturvaloukkausta tapahtuisi vastaavissa tilanteissa uudestaan.

Rekisterinpitäjä on toimittanut 34 artiklan mukaiset ilmoitukset suoraan rekisteröidyille ja käyttänyt lisäksi julkista tiedonantoa. Rekisterinpitäjä on toimittamansa selvityksen mukaan ollut kirjeitse suoraan yhteydessä 9000–10 000 rekisteröityyn, joiden osalta rekisterinpitäjällä on ollut riittävät yhteystiedot.

Noin 7000 rekisteröityä ei ole saatu tavoitettua henkilökohtaisesti yhteystietojen puutteellisuuden vuoksi. Yhteystietojen selvittäminen olisi rekisterinpitäjän selvityksen perusteella vaatinut kohtuutonta vaivaa. Rekisterinpitäjä on päätynyt julkiseen tiedonantoon tavoittaakseen sellaiset rekisteröidyt, joihin se ei ole voinut olla henkilökohtaisesti yhteydessä. Rekisterinpitäjän toimittaman selvityksen mukaan se on julkaissut verkkosivuillaan tiedotteen, jossa sen asiakkaita on informoitu tietoturvaloukkauksesta. Lisäksi tiedote on julkaistu rekisterinpitäjän Facebook-sivulla.

APULAISTIETOSUOJAVALTUUTETUN PÄÄTÖS
Apulaistietosuojavaltuutettu antaa yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen rekisterinpitäjälle. Rekisterinpitäjän 34 artiklaan perustuva ilmoitus ei julkisen tiedonannon osalta ole täyttänyt yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan a alakohdan ja 12 artiklan 1 kohdan mukaista läpinäkyvyyden vaatimusta.

Yleisen tietosuoja-asetuksen 5 artiklassa säädetään henkilötietojen käsittelyä koskevista yleisistä periaatteista. Kyseisen artiklan 1 kohdan a alakohdan mukaan henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lisäksi yleisen tietosuoja-asetuksen 12 artiklassa säädetään rekisterinpitäjän velvoitteista koskien rekisteröidyn läpinäkyvää informointia. Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.

Rekisterinpitäjä on päätynyt julkiseen tiedonantoon, koska ei ole kyennyt tavoittamaan kaikkia rekisteröityjä henkilökohtaisesti. Tiedonanto on ollut pääosin sisällöltään yleisen tietosuoja-asetuksen 33 ja 34 artiklan vaatimusten mukainen. Tiedonanto on kuitenkin sisältänyt kohdan, jonka mukaan ”asianomaisille on lähetetty tilanteesta lisätietoa henkilökohtaisesti”. Ilmoitusta ei kuitenkaan ole toimitettu noin 7000 rekisteröidylle, jota tietoturvaloukkaus on koskettanut. Rekisteröity on siten voinut virheellisesti jäädä sellaiseen käsitykseen, että tietoturvaloukkaus ole koskenut häntä, jos asiasta ei ole ilmoitettu henkilökohtaisesti. Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjä ei ole toimittanut asiasta tietoa yleisen tietosuoja-asetuksen 5 artiklan 1 alakohdan ja 12 artiklan 1 kohdan edellyttämällä tavalla.

SOVELLETUT LAINKOHDAT
EU:n yleinen tietosuoja-asetus (2016/679) 5,12, 34, 58 artikla
Tietosuojalaki (1050/2018) 16 §