Edilex-palvelut

Kirjaudu sisään

Avoin
Tätä uutista voi jakaa vapaasti. Muistathan mainita lähteen edilex.fi.
Uutinen kuuluu aihealueisiin Siviilioikeus

9.1.2020 11.55 Vierashuoneessa Senior Counsel Tobias Bräutigam ja Associate Milla Keller: Tietoturvaloukkaukset ja GDPR – fokus toimivassa prosessissa

Vierashuoneessa Senior Counsel Tobias Bräutigam ja Associate Milla Keller: Tietoturvaloukkaukset ja GDPR – fokus toimivassa prosessissa

EU:n uutta tietosuoja-asetusta GDPR:ia on sovellettu reilun puolentoista vuoden ajan, ja yrityksillä on ollut aikaa totutella uusiin velvollisuuksiin ja hioa prosessejaan. Yksi GDPR:n mukanaan tuomista uudistuksista on velvollisuus tehdä ilmoitus henkilötietojen tietoturvaloukkauksista tietosuojavaltuutetulle ja vakavien tietoturvaloukkauksien kohdalla myös loukkauksen kohteena oleville henkilöille.

Erityisesti vuoden 2019 aikana muotoutuneessa tietosuojaviranomaisten tulkintakäytännössä tietoturva on ollut yksi selkeistä painopisteistä. Tietoturvaa koskevissa ratkaisuissa ja sanktioissa on ollut esillä vahvasti myös juuri tietoturvaloukkauksista ilmoittaminen. Sakko on voitu määrätä nimenomaan ilmoittamatta jättämisestä, ja useissa tapauksissa tutkinta on lähtenyt käyntiin tietoturvaloukkauksen ilmi tulemisesta tavalla tai toisella. Sanktion suuruutta määritellessä lieventävänä tekijänä otetaan huomioon yrityksen aktiivisuus ja yhteistyökyky tapausta selvitettäessä, mikä kannattaa ottaa huomioon tietoturvaloukkauksien ilmoittamisessa.

Tietoturvaloukkauksista ilmoittaminen Suomessa

Tietosuojavaltuutetun toimiston vuoden 2018 toimintakertomuksen mukaan ilmoituksia tietoturvaloukkauksista tehtiin tietosuojavaltuutetulle vuoden 2018 aikana 2220 kappaletta (vuoden 2019 toimintakertomus ei tämän artikkelin kirjoitushetkellä ole vielä saatavilla). Huomionarvoista on, että tietosuojavaltuutetun toimisto ehti käsitellä näistä vain noin puolet (1100). Tietosuojavaltuutetun nettisivuilla julkaistun artikkelin mukaan ilmoituksissa on nähtävissä seuraavanlaisia trendejä:

  • Eniten ilmoituksia ovat tehneet terveydenhuollon ja finanssialan yritykset sekä telealan yritykset
  • Muutoin kynnys tehdä ilmoitus vaihtelee organisaatioiden välillä huomattavasti, myös saman toimialan sisällä

Tietosuojavaltuutetun toimiston artikkelissa huomautetaan, että yrityksen tekemät tietoturvaloukkausilmoitukset eivät välttämättä indikoi tietosuojavaltuutetulle huonon tietosuojan ja tietoturvan tasosta, vaan usein myös yrityksen hyvästä tietoisuuden tasosta tietosuojalainsäädännöstä.

Ilmoitukset muissa EU-maissa

Myös muissa EU-maissa tietoturvaloukkauksista tehtyjen ilmoitusten määrä on kasvanut GDPR:n myötä, joskin maitten välillä on havaittavissa myös selkeitä eroja siinä, kuinka herkästi ilmoituksia tehdään. EU-komission julkaisemien lukujen mukaan GDPR:n ensimmäisen soveltamisvuoden jälkeen ilmoituksia kaikissa EU-maissa yhteensä oli tehty jo lähes 90.000.

Suomen kanssa suurin piirtein samalla tasolla ilmoitusaktiivisuudessa ovat olleet muut Pohjoismaat ja Saksa, ja Alankomaissa puolestaan ilmoitusaktiivisuus on ollut jopa näitä korkeampi. Esimerkiksi Ranskassa, Italiassa ja Unkarissa puolestaan yritykset ovat pitäneet rimaa ilmoituksen tekemiselle korkeammalla, ja näissä maissa ilmoituksia on tehty verrattain huomattavasti vähemmän.

Ilmoitustulvasta huolimatta suurimmassa osassa maista ei ole vielä saatu tietosuojaviranomaisilta lisäohjeistusta siitä, kuinka loukkauksesta aiheutuvaa riskiä tulisi arvioida.

Tietoturvaloukkaukset: arvioi riskit ja reagoi oikein 5.2. – valmennus

Edita järjestää 5.2. puoli päivää kestävän koulutuksen, jossa kerrataan tietoturvaloukkauksista ilmoittamista koskevat perusasiat ja tämän jälkeen perehdytään käytäntöön ja yksityiskohtiin kuvitteellisen tietoturvaloukkaustapauksen kautta. Harjoituksessa osallistujat pääsevät toimimaan kuvitteellisen yrityksen eri rooleissa, testaten kykyä tehdä päätöksiä aikapaineen alla ja koko ajan täydentyvän kokonaiskuvan perusteella. Kouluttajina toimivat Senior Counsel Tobias Bräutigam ja Associate Milla Keller Asianajotoimisto Bird & Birdiltä.

Toimittaja: Jukka Savolainen, Edilex-toimitus (jukka.savolainen@edita.fi)

Lisää muistilistalle

Muuta kansioita

Dokumentti ei ole muistilistallasi. Lisää se valittuun tai uuteen kansioon.

Lisää dokumentti kansioihin tai poista se jo liitetyistä kansioista.

Lisää uusi kansio.

Lisää uusi väliotsikko.