Tietoturvaloukkausilmoitus

Tietoturvaloukkausilmoitus Suomessa on yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan edellyttämä kirjallinen ilmoitus, jonka rekisterinpitäjä tekee tietosuojavaltuutetun toimistolle henkilötietojen tietoturvaloukkauksen sattuessa. Ilmoitusvelvollisuus on kireäaikainen — ilmoitus on tehtävä ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa loukkauksen havaitsemisesta.

Henkilötietojen tietoturvaloukkaus on yleisen tietosuoja-asetuksen (EU 2016/679) 4 artiklan 12 kohdan mukaisesti tietoturvaloukkaus, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen tai muuttaminen taikka luvaton luovuttaminen tai luvaton pääsy tietoihin. Loukkauksia on kolmenlaisia: luottamuksellisuusloukkaukset (luvaton pääsy), eheysloukkaukset (tietojen luvaton muuttaminen) ja käytettävyysloukkaukset (tietojen häviäminen tai tuhoutuminen).

Ilmoitusvelvollisuus ei koske kaikkia tietoturvaloukkauksia. Yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 1 kohdan mukaisesti ilmoitusvelvollisuus ei ole voimassa, jos loukkaus ei todennäköisesti aiheuta riskiä luonnollisten henkilöiden oikeuksille ja vapauksille. Käytännössä arvioinnissa on otettava huomioon vaikutettujen tietojen arkaluonteisuus, loukkauksen laajuus ja se, onko hyökkääjällä mahdollisuus käyttää tietoja vahingoksi rekisteröidyille.

Tietosuojavaltuutetun toimisto on Suomen kansallinen tietosuojavalvontaviranomainen, joka vastaanottaa 33 artiklan mukaiset ilmoitukset. Käytännössä ilmoitukset tehdään tietosuojavaltuutetun toimiston verkkolomakkeen kautta (tietosuoja.fi) tai sähköpostitse. Tietosuojavaltuutettu voi ryhtyä valvontatoimenpiteisiin ilmoituksen perusteella, erityisesti jos loukkaus viittaa tietosuojasääntelyn systemaattiseen rikkomiseen.

Tietoturvaloukkausilmoitus eroaa 34 artiklan mukaisesta ilmoituksesta rekisteröidyille. Viranomaistietoinen on aina tehtävä 72 tunnin kuluessa, kun riski luonnollisten henkilöiden oikeuksille on todennäköinen. Rekisteröidyille tehtävä ilmoitus (34 artikla) on tehtävä, kun loukkaus todennäköisesti aiheuttaa korkean riskin — arkaluonteiset tiedot, laajamittainen käsittely tai tunnistamiseen johtavat tiedot tyypillisesti laukaisevat tämän velvollisuuden.

Käsittelijällä on erillinen ilmoitusvelvollisuus rekisterinpitäjälle yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 2 kohdan mukaisesti. Käsittelijän on ilmoitettava tietoturvaloukkaus rekisterinpitäjälle viipymättä sen havaitsemisen jälkeen — tietojenkäsittelysopimuksessa suositeltu määräaika on 24 tuntia, jotta rekisterinpitäjä ehtii täyttää 72 tunnin ilmoitusmääräajan. Käsittelijä ei itse ilmoita suoraan tietosuojavaltuutetun toimistolle, ellei se toimi myös rekisterinpitäjänä.

Tietoturvaloukkausilmoituslomake tietosuojavaltuutetun toimistolle edellyttää tiettyjä pakollisia tietoja yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 3 kohdan mukaisesti: kuvaus loukkauksen luonteesta, vaikutettujen rekisteröityjen ryhmistä ja henkilötietojen luonteesta, tietosuojavastaavan tai yhteyshenkilön tiedot, todennäköiset seuraukset loukkauksesta sekä toimenpiteet loukkauksen käsittelemiseksi. Tietoja voidaan toimittaa vaiheittain, jos kaikkia ei ole saatavilla 72 tunnin kuluessa.

Suomalaisessa tietosuojakäytännössä tietosuojavaltuutetun toimisto on korostanut, että 72 tunnin määräaika lasketaan siitä, kun rekisterinpitäjällä on riittävästi tietoja tiedostamaan loukkauksen — ei siitä, kun loukkaus teknisesti tapahtui. Epäilyttävästä tapauksesta on aloitettava sisäinen tutkinta ja tehtävä alustavat dokumentoinnit välittömästi, vaikka tutkinnan tulokset eivät olisikaan vielä valmiita. forms-legal.com tarjoaa tämän mallin avuksi kiireelliseen dokumentointiin loukkaustilanteessa.

Tietoturvaloukkausilmoitus Suomessa tarvitaan aina, kun rekisterinpitäjä havaitsee henkilötietojen tietoturvaloukkauksen, joka todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 1 kohdan mukaisesti.

Tietomurto tai luvaton pääsy. Verkkorikollinen saa luvattoman pääsyn rekisterinpitäjän tietokantaan, järjestelmään tai tiedostoihin, jotka sisältävät henkilötietoja. Tähän kategoriaan kuuluvat hakkerointitapaukset, haittaohjelmat, phishing-hyökkäykset ja tietomurrot. Useimmiten näissä tapauksissa ilmoitusvelvollisuus on voimassa, koska luvattomalla taholla on pääsy henkilötietoihin.

Ransomware-hyökkäykset. Kiristyshaittaohjelmahyökkäys, joka salaa rekisterinpitäjän tiedot tai uhkaa julkaista ne, on sekä käytettävyysloukkaus (tiedot eivät ole saatavilla) että mahdollinen luottamuksellisuusloukkaus (hyökkääjällä saattaa olla pääsy tietoihin ennen salausta). Ransomware-tapaukset on yleensä ilmoitettava tietosuojavaltuutetun toimistolle, koska ne aiheuttavat merkittävän riskin rekisteröidyille.

Inhimillinen virhe. Henkilötietojen lähettäminen väärään sähköpostiosoitteeseen, tietojen julkaiseminen väärällä sivulla tai asiakirjan lähettäminen vääralle vastaanottajalle ovat luottamuksellisuusloukkauksia. Pienissä tapauksissa (yksittäinen sähköposti yhdelle väärä vastaanottajalle) riski voi olla alhainen eikä ilmoitusvelvollisuus ole voimassa. Laajemmissa tapauksissa ilmoitus on tehtävä.

Kadonnut tai varastettu laite. Kannettavan tietokoneen, USB-aseman, älypuhelimen tai muun laitteen katoaminen tai varastaminen, joka sisältää salaamattomia henkilötietoja, on tietoturvaloukkaus. Salatun laitteen katoaminen ei yleensä laukaise ilmoitusvelvollisuutta, koska data on suojattu. Salaamattoman laitteen katoaminen useimmiten laukaisee velvollisuuden.

Pilvipalvelun tietovuoto. Pilvipalveluntarjoajan tietovuoto tai tietomurto, joka vaikuttaa rekisterinpitäjän henkilötietoihin, on loukkaus, josta käsittelijän on ilmoitettava rekisterinpitäjälle viipymättä yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 2 kohdan mukaisesti. Rekisterinpitäjä arvioi, tarvitaanko ilmoitus tietosuojavaltuutetun toimistolle.

Sisäinen väärinkäyttö. Työntekijä käyttää asemaansa hyväkseen ja pääsee luvattomasti käsiksi tai jakaa henkilötietoja ilman valtuutusta. Tämä on luottamuksellisuusloukkaus, joka yleensä laukaisee ilmoitusvelvollisuuden. Sisäinen väärinkäyttö on erityisen arkaluonteinen, koska se voi viitata tietosuojan hallintaan liittyviin systemaattisiin ongelmiin.

Tietokantavirhe. Ohjelmistovirhe tai järjestelmähäiriö, jonka seurauksena eri käyttäjät pääsevät toistensa tietoihin tai tietoja häviää, on tietoturvaloukkaus. Nämä tapaukset johtuvat usein kehitysvirheistä, päivityksistä tai järjestelmämigraatioista. Vakavissa tapauksissa, joissa useamman henkilön tiedot ovat vaarantuneet, ilmoitusvelvollisuus on voimassa.

Automaattiset ilmoitusjärjestelmät. Organisaatiot, joilla on tietoturvan seurantajärjestelmiä (SIEM) tai tietoturvatiimi, pyrkivät automatisoimaan loukkausten havaitsemisprosessin. Yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 72 tunnin kello alkaa kulua siitä, kun organisaatiolla on riittävästi tietoa tiedostamaan loukkauksen. Organisaation on varmistettava, että tietoturvamonitoroinnin hälytykset eskaloidaan välittömästi tietosuojavastaavalle tai vastaavalle henkilölle, joka voi käynnistää ilmoitusvelvollisuuden arvioinnin. Viivästyminen eskalointiprosessissa voi johtaa 72 tunnin ylittymiseen, vaikka tekninen havaitseminen olisi tapahtunut ajoissa. Tietosuojavaltuutetun toimisto on Suomessa korostanut, että organisaatioilla on oltava selkeät sisäiset prosessit loukkausten tunnistamiseen ja ilmoittamiseen.

Kattava Tietoturvaloukkausilmoitus Suomessa tietosuojavaltuutetun toimistolle sisältää seuraavat osatekijät yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 3 kohdan mukaisesti.

Rekisterinpitäjän tiedot ja yhteyshenkilö. Ilmoituksessa on ilmoitettava rekisterinpitäjän nimi, Y-tunnus ja yhteyshenkilön tiedot — nimi, sähköposti ja puhelinnumero. Yhteyshenkilö on tyypillisesti tietosuojavastaava yleisen tietosuoja-asetuksen (EU 2016/679) 37 artiklan mukaisesti tai muu tietosuoja-asioista vastaava henkilö. Yhteyshenkilön on oltava tavoitettavissa tietosuojavaltuutetun toimiston mahdollisia lisäkysymyksiä varten.

Loukkauksen kuvaus 33 artiklan 3 kohdan a alakohdan mukaisesti. Ilmoituksessa on kuvattava loukkauksen luonne mahdollisuuksien mukaan: loukkauksen tyyppi (luottamuksellisuus-, eheys- tai käytettävyysloukkaus), milloin loukkaus tapahtui tai todennäköisesti tapahtui, miten se havaittiin ja miten sitä epäillään tapahtuneen. Alustavia tietoja voidaan antaa 72 tunnin kuluessa, ja lisätietoja voidaan toimittaa myöhemmin 33 artiklan 4 kohdan mukaisesti.

Vaikutetut henkilötietoryhmät ja rekisteröidyt 33 artiklan 3 kohdan b alakohdan mukaisesti. Ilmoituksessa on kuvattava, mitä henkilötietoryhmiä loukkaus koskee (esimerkiksi yhteystiedot, terveystiedot, taloudelliset tiedot, tunnistetiedot) ja kuinka monta rekisteröityä arvioidaan olevan vaikutuksen alaisena. Arvio voi olla epätarkka kiireellisissä tilanteissa, mutta tarkin mahdollinen tieto on annettava.

Tietosuojavastaavan tai yhteyshenkilön tiedot 33 artiklan 3 kohdan b alakohdan mukaisesti. Jos rekisterinpitäjällä on nimetty tietosuojavastaava yleisen tietosuoja-asetuksen (EU 2016/679) 37 artiklan mukaisesti, tämän yhteystiedot on ilmoitettava. Tietosuojavastaava on tietosuojavaltuutetun toimiston ensisijainen yhteystaho valvontamenettelyssä.

Loukkauksen todennäköiset seuraukset 33 artiklan 3 kohdan c alakohdan mukaisesti. Ilmoituksessa on kuvattava loukkauksen todennäköiset seuraukset luonnollisten henkilöiden oikeuksille ja vapauksille. Arviossa otetaan huomioon vaikutettujen tietojen arkaluonteisuus, loukkauksen laajuus, hyökkääjän mahdollisuudet käyttää tietoja vahingoksi ja todennäköinen haitta rekisteröidyille. Arvio vaikuttaa myös siihen, tarvitaanko 34 artiklan mukainen ilmoitus rekisteröidyille.

Toteutetut toimenpiteet 33 artiklan 3 kohdan d alakohdan mukaisesti. Ilmoituksessa on kuvattava toimenpiteet, jotka on toteutettu tai joita ehdotetaan loukkauksen käsittelemiseksi — esimerkiksi luvattomien pääsyoikeuksien sulkeminen, järjestelmien eristäminen, salasanojen nollaaminen, ulkoisen asiantuntijan palkkaaminen tutkinnan avuksi ja toimenpiteet vastaavien loukkausten estämiseksi jatkossa. Toimenpiteiden kuvaus osoittaa, että rekisterinpitäjä reagoi aktiivisesti loukkauksen vaikutusten rajoittamiseksi. forms-legal.com suosittelee dokumentoimaan toimenpiteet huolellisesti tietosuojavaltuutetun toimiston tarkastuksia varten.

Ilmoituksen ajoitus ja osittainen ilmoitus. Yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 4 kohdan mukaisesti ilmoitusta ei tarvitse tehdä kerralla, jos kaikkia tietoja ei ole saatavilla 72 tunnin kuluessa. Rekisterinpitäjä voi tehdä osittaisen ilmoituksen 72 tunnin kuluessa ja täydentää sitä myöhemmin. Osittaisessa ilmoituksessa on perusteltava, miksi lisätietoja ei ole vielä saatavilla. Tietosuojavaltuutetun toimisto on suomalaisten organisaatioiden käytännön kokemuksen perusteella suhtautunut aktiiviseen ja avoimeen viestintään myönteisesti.

Tietoturvaloukkausilmoitus Suomessa täytetään seuraavien vaiheiden mukaisesti yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan vaatimusten täyttämiseksi. Muista: 72 tuntia loukkauksen havaitsemisesta.

Vaihe 1 — Havainnoi ja dokumentoi välittömästi. Heti kun epäilys tietoturvaloukkauksen tapahtumisesta herää, aloita välittömästi tapahtumien dokumentointi: milloin loukkaus havaittiin, miten se havaittiin, mitä järjestelmiä tai tietoja on vaikutettu ja mitä välittömiä toimenpiteitä on toteutettu. Dokumentointi on tärkeää sekä ilmoituksen tekemistä että sisäistä poikkeamahallintaa varten.

Vaihe 2 — Arvioi ilmoitusvelvollisuus. Arvioi, onko loukkaus sellainen, joka todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille. Pienistä teknisistä loukkauksista, jotka eivät vaikuta henkilötietoihin tai joiden riski on mitätön (esimerkiksi salattu laite kadonnut), ilmoitusta ei tarvita. Kaikki muut tapaukset edellyttävät yleensä ilmoitusta.

Vaihe 3 — Ilmoita rekisterinpitäjän tiedot. Merkitse organisaation nimi, Y-tunnus ja yhteyshenkilön yhteystiedot. Yhteyshenkilön on oltava sellainen henkilö, joka pystyy vastaamaan tietosuojavaltuutetun toimiston mahdollisiin lisäkysymyksiin — tyypillisesti tietosuojavastaava tai tietoturvajohtaja.

Vaihe 4 — Kuvaa loukkaus. Kirjoita mahdollisimman tarkka kuvaus loukkauksen luonteesta, ajankohdasta ja havaitsemistavasta. Jos kaikkia tietoja ei ole saatavilla 72 tunnin kuluessa, tee alustavaan ilmoitukseen viittaus siitä, että lisätietoja toimitetaan myöhemmin yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 4 kohdan mukaisesti.

Vaihe 5 — Ilmoita vaikutetut tiedot. Arvioi, mitä henkilötietoja on vaarantunut ja kuinka monen rekisteröidyn tiedot ovat vaikutuksen alaisia. Ole täsmällinen — arvio voi olla epätarkka kiireellisessä tilanteessa, mutta älä ali- tai yliarvioi merkittävästi.

Vaihe 6 — Arvioi seuraukset ja toimenpiteet. Arvioi, millaisia seurauksia loukkaus todennäköisesti aiheuttaa rekisteröidyille, ja kuvaa rajoitustoimenpiteet. Päätä, tarvitaanko 34 artiklan mukainen ilmoitus rekisteröidyille korkean riskin vuoksi.

Vaihe 7 — Tee ilmoitus tietosuojavaltuutetun toimistolle. Lähetä ilmoitus tietosuojavaltuutetun toimiston verkkolomakkeella (tietosuoja.fi) tai sähköpostitse 72 tunnin kuluessa loukkauksen havaitsemisesta. Tallenna kopio ilmoituksesta ja kaikesta loukkauksen dokumentaatiosta yleisen tietosuoja-asetuksen (EU 2016/679) 5 artiklan 2 kohdan osoitusvelvollisuutta varten.

Tietoturvaloukkausilmoitus Suomessa kuuluu yleisen tietosuoja-asetuksen (EU 2016/679) 33 ja 34 artiklan sekä tietosuojalain (1050/2018) sääntelyn piiriin.

Ilmoitusvelvollisuus tietosuojavaltuutetun toimistolle yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukaisesti. Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkaus tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa loukkauksen havaitsemisesta aina, kun loukkaus todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Jos ilmoitusta ei voida toimittaa 72 tunnin kuluessa, ilmoitukseen on liitettävä perustelu viivästymiselle. Ilmoitusvelvollisuus on voimassa rekisterinpitäjällä — käsittelijän on ilmoitettava rekisterinpitäjälle 33 artiklan 2 kohdan mukaisesti, mutta ei suoraan tietosuojavaltuutetun toimistolle.

Ilmoitusvelvollisuus rekisteröidyille yleisen tietosuoja-asetuksen (EU 2016/679) 34 artiklan mukaisesti. Kun tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava asiasta rekisteröidylle ilman aiheetonta viivytystä. Ilmoituksessa on kuvattava loukkauksen luonne selkeästi, annettava tietosuojavastaavan tai yhteyshenkilön yhteystiedot, kuvattava loukkauksen todennäköiset seuraukset sekä toimenpiteet loukkauksen käsittelemiseksi ja mahdollisten haittavaikutusten lieventämiseksi rekisteröidylle. Ilmoitusvapautukset ovat mahdollisia, jos rekisterinpitäjä on toteuttanut asianmukaiset tekniset suojatoimet (salaus), toimenpiteet, joiden avulla korkea riski ei todennäköisesti toteudu, tai ilmoittaminen vaatisi suhteetonta vaivaa — tällöin käytetään julkista tiedotusta.

Rekisterinpitäjän dokumentointivelvollisuus yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 5 kohdan mukaisesti. Rekisterinpitäjän on dokumentoitava kaikki tietoturvaloukkaukset, mukaan lukien tapaukset, joista ilmoitusta ei tehty. Dokumentaation on sisällettävä loukkauksen tosiasiat, sen vaikutukset ja toteutetut korjaustoimenpiteet. Dokumentaatio on säilytettävä tietosuojavaltuutetun toimiston tarkastuksia ja sisäistä oppimista varten.

Tietosuojavaltuutetun toimiston valvontavaltuudet yleisen tietosuoja-asetuksen (EU 2016/679) 58 artiklan mukaisesti. Tietosuojavaltuutettu voi ilmoituksen perusteella ryhtyä valvontatoimiin, pyytää lisätietoja, tehdä tarkastuksia ja tarvittaessa antaa hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen (EU 2016/679) 83 artiklan mukaisesti. Ilmoitusvelvollisuuden laiminlyönti voi johtaa seuraamusmaksuun enintään 10 miljoonaa euroa tai kaksi prosenttia vuotuisesta liikevaihdosta. Hyvä käytäntö on olla avoin ja proaktiivinen tietosuojavaltuutetun toimiston kanssa, koska yhteistyö vaikuttaa myönteisesti valvonnan lopputulokseen.

Kyberturvallisuuslaki (917/2014) ja NIS2-direktiivi. Suomessa kyberturvallisuutta sääntelee myös NIS2-direktiivin toimeenpaneva lainsäädäntö. Kriittisen infrastruktuurin toimijat voivat olla velvollisia ilmoittamaan tietoturvapoikkeamista myös Liikenne- ja viestintävirastolle (Traficom) NIS2-sääntelyn nojalla. Tämä velvollisuus on tietosuojavaltuutetun toimiston ilmoitusvelvollisuudesta erillinen.

Toimialakohtainen sääntely. Finanssialan toimijat (pankit, vakuutusyhtiöt) voivat olla velvoitettuja ilmoittamaan tietoturvapoikkeamista myös Finanssivalvonnalle (Fiva) sektorikohtaisen lainsäädännön nojalla, kuten maksupalvelulain (290/2010) tai luottolaitoslain (610/2014) perusteella. Sähköisen viestinnän toimijat voivat olla velvoitettuja ilmoittamaan tietoturvapoikkeamista Liikenne- ja viestintävirastolle (Traficom). Näissä tapauksissa organisaatiolla voi olla useampi rinnakkainen ilmoitusvelvollisuus. Tietoturvaloukkauksen sattuessa on tärkeää selvittää kaikki rinnakkaiset ilmoitusvelvollisuudet nopeasti — tietosuojavaltuutetun toimiston ilmoitusvelvollisuus (GDPR 33 artikla) on vain yksi niistä. Juridisen neuvonantajan konsultointi loukkaustilanteessa on hyvä käytäntö.

Tavanomaiset virheet Tietoturvaloukkausilmoitus Suomessa tekemisessä voivat johtaa ilmoitusvelvollisuuden rikkomiseen tai vahingoittaa rekisterinpitäjän asemaa tietosuojavaltuutetun toimiston tutkinnassa.

Virhe 1 — 72 tunnin määräajan ylittyminen. Ilmoitusta viivytellään odottamalla täydellistä tutkintaraportia, jolloin 72 tunnin määräaika ylittyy. Ratkaisu: tee alustavat ilmoitus 72 tunnin kuluessa saatavilla olevilla tiedoilla ja täydennä yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 4 kohdan mukaisesti. Tietosuojavaltuutetun toimisto ymmärtää, että kaikkia tietoja ei ole heti saatavilla.

Virhe 2 — Riskiarvion laiminlyönti. Kaikista pienistä tietoturvapoikkeamista tehdään ilmoitus turhaan tai toisaalta merkittävistä loukkauksista jätetään ilmoittamatta, koska riskiarvio on tehty huolimattomasti. Ratkaisu: tee huolellinen riskiarvio jokaisesta loukkaustapauksesta arkaluonteisuuden, laajuuden ja mahdollisen haitan perusteella.

Virhe 3 — Puuttuva loukkausten dokumentointirekisteri. Rekisterinpitäjällä ei ole rekisteriä kaikista tietoturvaloukkaustapauksista, mukaan lukien niistä, joista ei ilmoitettu. Yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 5 kohdan mukaisesti kaikki loukkaukset on dokumentoitava. Ratkaisu: pidä yllä loukkausrekisteriä kaikista tapauksista — se on myös arvokas työkalu oppimiseen ja tietoturvan parantamiseen.

Virhe 4 — Rekisteröidyille ei ilmoiteta vaikka pitäisi. Rekisterinpitäjä ei tee 34 artiklan mukaista ilmoitusta rekisteröidyille, vaikka loukkaus aiheuttaa korkean riskin heidän oikeuksilleen. Ratkaisu: arvioi aina erikseen, edellyttääkö loukkaus ilmoitusta rekisteröidyille 34 artiklan mukaisesti, ja tee ilmoitus viipymättä, jos arviointi johtaa siihen tulokseen.

Virhe 5 — Käsittelijä ei ilmoita rekisterinpitäjälle. Käsittelijä havaitsee tietoturvaloukkauksen, mutta ei ilmoita siitä viipymättä rekisterinpitäjälle yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan 2 kohdan mukaisesti. Ratkaisu: varmista tietojenkäsittelysopimuksessa selkeä ilmoitusmenettely käsittelijältä rekisterinpitäjälle — suositeltu määräaika on 24 tuntia, jotta rekisterinpitäjä ehtii tehdä 72 tunnin ilmoituksen tietosuojavaltuutetun toimistolle.

Virhe 6 — Yhteyshenkilö ei ole tavoitettavissa. Ilmoituksessa nimetty yhteyshenkilö ei ole tavoitettavissa tietosuojavaltuutetun toimiston yhteydenotolle. Ratkaisu: varmista, että ilmoituksessa nimetty henkilö on tavoitettavissa ja perillä tapauksen yksityiskohdista. Kriisitilanteessa voi olla tarpeen nimetä varayhteyshenkilö.