27 loka Tietosuojariskien arvioinnista ja poikkeamien ilmoitusvelvollisuudesta
Article 29 Data Protection Working Party on julkaissut 3.10.2017 soveltamisohjeen ja tarkennuksia tietosuoja-asetuksen ilmoitusvelvollisuuteen liittyen. Soveltamisohje sisälsi myös hyviä esimerkkejä ja näkökulmia tietosuojariskien ja seurausten arviointiin.
Usein ensimmäisenä mieleen tulee, että ainoa henkilötietoon liittyvä riski on sen joutuminen vääriin käsiin. Olennaista on kuitenkin, että tietoturvaloukkauksina ei pidetä vain luottamuksellisuuteen kohdistuvia loukkauksia. Loukkaukset on arvioitava aina luottamuksellisuuden, eheyden ja saatavuuden ongelmina. Eli myös se, että tiedot eivät ole saatavilla, kun niitä tarvitaan, voi aiheuttaa mahdollisen riskin rekisteröidyille. Silloin sellainenkin tapaus on ilmoitusvelvollisuuden piiriin kuuluva asia.
Poikkeaman havaitsemisen jälkeen on ensin määriteltävä, aiheuttaako poikkeama riskin rekisteröidylle. Jos aiheuttaa, on ilmoitus tehtävä vähintään valvontaviranomaiselle. Jos poikkeama aiheuttaa korkean riskin rekisteröidylle, on siitä ilmoitettava myös heille. Kaikki poikkeamat on joka tapauksessa aina kirjattava. Tämä siksi, että riskien ajallinen ulottuvuus on myös kyettävä huomioimaan. Jos esimerkiksi salattu tietokanta joutuu vääriin käsiin, mutta salausavaimet ovat turvassa, ei tapahtuma ehkä aiheuta riskiä. Jos salausavaimet taas joutuvat puolen vuoden kuluttua vääriin käsiin ilman tietokannan menetystä, on aiempi tapahtuma kyettävä huomioimaan, koska ne yhdessä aiheuttavat ilmoitusvelvollisuuden.
Karkeasti ilmoitusvelvollisuuden arvioinnin voisi esittää seuraavalla kuvalla:
Riskiä arvioitaessa (ei riskiä – riski – korkea riski) on otettava huomioon
- Riskin tyyppi
- onko kyseessä tiedon luottamuksellisuuteen, eheyteen vai saatavuuteen liittyvä riski. Esimerkiksi potilashistorian joutumisella vääriin käsiin on erilaiset seuraukset kuin sen tuhoutumisella
- Henkilötiedon luonne, arkaluontoisuus ja laajuus
- Nimi ja osoite voivat olla rekisteröidystä jo muulla tavoin julkinen tieto, mutta entä henkilö joka on joutunut hankkimaan turvakiellon henkeen ja terveyteen kohdistuvien uhkauksien vuoksi? Samoin pelkkä syntymäaika ei vielä riitä identiteettivarkauteen, mutta jos mukana lähtee henkilötunnus, asuinpaikka, valokuva ja perhesuhdetiedot, on tilanne toinen. Lehden tilaajatiedon paljastuminen ei välttämättä aiheuta rekisteröidylle riskiä, mutta jakelun keskeytystieto loma-aikana voi rikollisissa käsissä aiheuttaa omaisuusriskin
- Henkilöiden tunnistettavuus
- Jos henkilötiedosta on vaikea tunnistaa yksilöä riittävän tarkasti, ovat seuraukset rekisteröidyille silloin epätodennäköisempiä.
- Seurausten vaikutukset
- Taloudelliset ongelmat, identiteettivarkaus, julkinen nöyryytys tai vahinko maineelle ovat pahempia kuin potentiaalinen väärin perustein kohdistuva suoramarkkinointi. Etenkin, jos poikkeama koskee haavoittuvassa asemassa olevia kansalaisia (lapset, vanhukset, jne…). Toisaalta tietovuoto sopimuskumppanille, jonka voi olettaa yhteistyössä haluavan tuhota tiedot, on eri asia kuin niiden joutuminen sellaiselle taholle, jolla voi olla intressi käyttää tietoa väärin
- Rekisteröidyn erityispiirteet
- Poikkeama koskee haavoittuvassa asemassa olevia kansalaisia (lapset, vanhukset, jne…), joiden voi olla vaikea tai mahdoton vaikuttaa seurausten vakavuuteen tai puolustautua niiltä
- Rekisteröityjen lukumäärä
- Mitä useampaa rekisteröityä poikkeama koskee, sen vakavampi se on. Siltikin vain yhden henkilön erityistietojen joutuminen vääriin käsiin voi olla suurempi riski kuin sadan henkilön nimiluetteloon kohdistuva poikkeama
- Rekisterinpitäjän erityispiirteet
- Poliittisten järjestöjen ja aatteellisten yhdistysten jäsenluettelo voi kertoa rekisteröidyistä julki jotain, jonka rekisteröity laskee kuuluvaksi yksityisyyden
- Yleiset tekijät
- Poikkeamaa on arvioitava myös kokonaisuutena riskin seurausten vakavuuden ja todennäköisyyden seurauksina. Myös ajallinen ulottuvuus voi vaikuttaa riskiin. Jos salatun henkilötiedon salausavain ei ole vuotanut, on riski pieni. Mutta jos salausavain vuotaa puolen vuoden kuluttua, muuttuu alkuperäisenkin poikkeaman riskiarvo välittömästi.
Jari Ala-Varvi, tietosuojavastaava, Opsec Oy
