EU:n yleisen tietosuoja-asetuksessa rekisterinpitäjällä on ilmoitusvelvollisuus henkilötietojen tietoturvaloukkauksista. Ilmoitusvelvollisuus kohdistuu sekä valvontaviranomaiseen että rekisteröityihin.
Rekisterinpitäjän tulee tehdä ilmoitus valvontaviranomaiselle henkilötietojen tietoturvaloukkauksesta 72 tunnin kuluessa siitä, kun loukkaus on havaittu. Ilmoitusta varten on suositeltavaa laatia valmis lomakepohja, jonka voi liittää osaksi organisaation muuta poikkeamien hallintaa ja kriisiviestintää.
Jos valvontaviranomaiselle ei ole mahdollista tehdä ilmoitusta 72 tunnin kuluessa tietoturvaloukkauksen ilmitulosta, niin on rekisterinpitäjän kuitenkin toimitettava tässä ajassa liitettävä ilmoitukseensa perusteltu selvitys viivästyksen syistä viranomaiselle. Tietoja voidaan tarvittaessa antaa vaiheittain ja viranomainen voi vaatia yhteistyötä tilanteen selvityksen yhteydessä.
Ilmoitus rekisreröidylle
Rekisterinpitäjille on velvollisuus ilmoittaa myös henkilötietojen tietoturvaloukkauksesta henkilökohtaisesti niille rekisteröidyille, joiden tietoja loukkaus koskettaa, jos loukkaus aiheuttaa suuren riskin yksilön oikeuksille ja vapauksille. Esimerkkinä voidaan mainita muun muassa maksuvälinepetos tai identiteetinvarkaus.
Rekisteröidylle ei tarvitse ilmoitusta tehdä, jos esimerkiksi vuotaneet henkilötiedot ovat salattu ja salausavaimet eivät ole vaarantuneet. Isoissa tietovuototapauksissa rekisterinpitäjä voi myös tehdä ilmoituksen rekisteröidyille median välityksellä, jos henkilökohtaisten ilmoitusten lähettäminen vaatisi kohtuutonta vaivaa.
Henkilötietojen tietomurtotapauksissa rekisterinpitäjän on suositeltavaa tehdä yhteistyötä myös Viestintäviraston kanssa tekemällä ilmoitus tietoturvaloukkauksesta Kyberturvallisuuskeskukselle ja tehdä tutkintapyyntö poliisille.
Poikkeamien hallinnasta
Rekisterinpitäjällä tulee olla kyvykkyys täyttää ilmoitusvelvollisuuden. Ensinnäkin tarvitaan selkeä prosessi, johon kuuluvat roolit ja vastuut. Tämä prosessi on suositeltavaa yhdistää osaksi organisaation muuta poikkeamien hallintaa.
Usein organisaatiot eivät hallitse itse omia järjestelmäympäristöjä, joten heillä on hyvin rajallinen kyvykkyys havaita poikkeamia ympäristössään. Tämän takia on erityisen tärkeää huomioda poikkeamien hallinta ja ilmoitusvelvollisuus IT-palveluntarjoajan kanssa tehdyssä palvelusopimuksessa. Lisäksi tulee sopia käytännöistä, että millaisista tilanteista ilmoitetaan rekisterinpitäjälle ja miten tilanteen selvittämiseen sekä ilmoitusvelvollisuuteen liittyvät vastuut jakautuvat.
Poikkeaman hallinnassa tulee selvittää poikkeaman syyt ja seuraukset sekä vaikutukset. Lisäksi tulee tehdä tarvittavat hallintatoimenpiteet, jotka tulisi olla huomioitu jo osana tietoriskienhallintaa. Organisaation tulee varmistaa tarvittaessa ulkopuolinen apu, jos kyseessä on laaja poikkeama. Vakuutusyhtiöt tarjoavat nykyään tietoturvavakuutuksia.
Ilmoitusvelvollisuuteen liittyen tulee huomioida, onko tarvetta poikkeamasta tehdä asetuksen mukainen ilmoitus. Lisäksi organisaation tulee dokumentoida poikkeaman selvittämiseen ja toipumiseen tehdyt toimenpiteet sekä huolehtia todistusaineistojen säilyttämisestä̈. Valvontaviranomainen voi pyytää dokumentaatiota nähtäväksi. Poikkeamatilanteet jälkeen on olennaista käsitellä tapahtunut ja tehdä tarvittavat kehitystoimenpiteet.
Tietosuojatason seuranta ja vuosikello
Rekisterinpitäjän on velvollinen osoittamaan, miten se on varmistanut tietosuojavelvollisuuksien toteutumisen toiminnassaan tarvittavin teknisin, hallinnollisin ja organisatorisin toimenpitein. Tässä on kyse osoitusvelvollisuudesta (accountability).
Organisaation on suositeltavaa määritellä tietosuojaan säännölliset ja määrämuotoiset tehtävät vuosikelloon, jotta voidaan taata niiden hoitamiseen tarvittava aika ja seurata niiden toteutumista. Tietosuojan vuosikello kannattaa yhdistää esimerkiksi olemassa olevaan riskienhallinnan tai laadunhallinnan vuosikellon kanssa.
Vuosikellossa tietosuojaorganisaation säännölliset ja määrämuotoiset tehtävät on voidaan määritellä esimerkiksi kvartaaleittain. Säännöllisiin tehtäviin kuuluvat muun muassa tietosuojaorganisaation tapaamiset, tietosuojadokumentaation katselmointi ja päivitys, koulutustarpeen arviointi, riskiarvio ja johdon raportointi.
Tietosuojaorganisaation vastuulle kuuluvat lisäksi operatiiviset tietosuojatehtävät, kuten rekisteröityjen pyyntöihin vastaaminen, tietosuojan vaikutustenarviointien laatiminen, vaatimusmäärittelyt tuotekehityksessä ja hankinnoissa, sopimusvaatimusten määrittelyt ja käsittelyn seurannan tehtävät.