Teknologiajuristi vastaa: Onko yritys lain mukaan velvollinen ilmoittamaan tietomurroista tai tietovuodosta?

28 marraskuuta 2013

Jesper Nevalainen

Onko yritys lain mukaan velvollinen ilmoittamaan tietomurroista tai tietovuodosta?

Lyhyt vastaus kysymykseen on, ettei Suomen laki (ainakaan vielä) tunne mitään yleistä velvollisuutta ilmoittaa tietomurrosta tai tietovuodosta. Eri asia on, että esimerkiksi palvelusopimus voi velvoittaa palveluntarjoajaa ilmoittamaan tietomurrosta tai tietovuodosta toiselle sopijapuolelle. Sopimukseen perustuvia vastuita ei kuitenkaan tässä käsitellä.

Euroopan komission uusi 25.8.2013 voimaan tullut asetus (Komission Asetus 611/2013) asettaa kuitenkin teleoperaattoreille ja internetpalveluntarjoajille (kuten esim. sähköpostipalveluntarjoajat) velvollisuuden ilmoittaa henkilötietojen tietoturvaloukkauksista toimivaltaiselle kansalliselle viranomaiselle (Suomessa Viestintävirastolle) ja tietyissä tapauksissa myös palvelun tilaajalle tai henkilölle. Komission asetus täydentää ja laajentaa EU:n sähköisen viestinnän tietosuojadirektiivissä (2002/58/EY) olevaa ilmoitusvelvollisuutta, joka direktiivi on Suomessa saatettu voimaan sähköisen viestinnän tietosuojalailla (2004/516). Koska kyseessä on asetus, on sitä sovellettava välittömästi kaikissa EU jäsenvaltioissa samaan tapaan kuin kansallista lainsäädäntöä, ilman että kansalliset viranomaiset antavat täytäntöönpanosäädöksiä.

Asetus edellyttää teleoperaattoreilta ja internetpalveluntarjoajilta seuraavaa:

  • Kaikista henkilötietojen tietoturvaloukkauksista on ilmoitettava kansalliselle viranomaiselle (Viestintävirasto)
  • Ilmoitus tehtävä 24 tunnin kuluessa tietoturvaloukkauksen havaitsemisesta (kun tämä on käytännössä mahdollista)

  • Jos asetuksessa määriteltyjä tietoja ei voida antaa edellä mainitussa ajassa, tulee ne antaa viimeistään kolmen vuorokauden kuluessa.

Kansallisen viranomaisen tulee puolestaan huolehtia siitä, että se tarjoaa suojatun sähköisen menetelmän, jolla tiedot voidaan antaa.

Lisäksi, jos henkilötietojen tietoturvaloukkauksella on todennäköisesti haittavaikutuksia tilaajan tai (yksityisen) henkilön henkilötiedoille tai yksityisyydelle, on viranomaisilmoituksen lisäksi annettava ilmoitus myös kyseiselle tilaajalle ja henkilölle. Asetuksen mukaan esimerkiksi taloudellisten tietojen, paikannustietojen, internetin lokitiedostojen, www-selaushistoriatietojen, sähköpostien ja puheluerittelyjen joutuminen tietoturvaloukkauksen kohteeksi voi johtaa velvollisuuteen ilmoittaa loukkauksesta tilaajalle tai henkilölle. Ilmoitus on tehtävä ilman aiheetonta viivästystä tietoturvaloukkauksen havaitsemisen jälkeen. Ilmoitusvelvollisuus tilaajalle ja henkilölle koskee palveluntarjoajia, joilla on suora sopimussuhde tilaajaan tai henkilöön. Ilmoitusvelvollisuudesta voidaan poiketa, jos palveluntarjoaja kykenee osoittamaan kansalliselle viranomaiselle, että loukkauksen kohteena olevat henkilötiedot on muutettu käyttökelvottomaan muotoon (henkilöä ei voida niistä tunnistaa).

Asetuksesta on ehkä pääteltävissä mitä EU Parlamentin ja Ministerineuvoston valmistelussa olevasta uudesta Henkilötietoasetuksesta tulee seuraamaan – henkilötietojen käsittelyä koskeva sääntely täsmentyy ja kiristyy ja kyseiseen asetukseen tulee suurella todennäköisyydellä sisältymään myös velvoitteita ilmoittaa tietomurroista ja tietovuodoista sekä viranomaisille, rekisterinpitäjille että yksityisille rekisteröidyille.

Jesper Nevalainen, asianajaja, Bird & Bird

Kirjoitus on julkaistu Tietoviikko-lehden Teknologiajuristi vastaa palstalla marraskuussa 2013. Palstalla Asianajotoimisto Bird & Bird Oy:n teknologiajuridiikan asiantuntijat vastaavat Tietoviikon lukijoiden esittämiin teknologiasektoria koskeviin juridisiin kysymyksiin.

Kirjoittajat