Rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet ja vastuut tietoturvaloukkauksessa

(1)

REKISTERINPITÄJÄN JA HENKILÖTIETOJEN KÄSITTELIJÄN VELVOLLISUUDET JA VASTUUT TIETOTURVALOUKKAUKSESSA

Itä-Suomen yliopisto Oikeustieteiden laitos Pro gradu –tutkielma 15.5.2019

Minna Lähteenmäki (233591) Ohjaaja: Tomi Voutilainen

(2)

II. Tiivistelmä

ITÄ-SUOMEN YLIOPISTO Tiedekunta

Yhteiskuntatieteiden ja kauppatieteiden tiedekunta Yksikkö

Oikeustieteiden laitos Tekijä

Minna Lähteenmäki Työn nimi

Rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuudet ja vastuut tietoturvaloukkauksessa.

Pääaine

Hallinto-oikeus

Työn laji

Pro gradu –tutkielma

Aika toukokuu 2019

Sivuja XI - 77 Tiivistelmä

EU:n yleisen tietosuoja-asetuksen tavoitteena on rekisteröityjen oikeuksien suojelu. Se nostaakin henkilötietojen suojan aiempaa korkeammalle tasolle. Asetetut velvollisuudet ja seuraamukset lisäävät rekisterinpitäjälle ja henkilötietojen käsittelijälle suuren vastuun sekä toiminnan muutostarpeen. Rekisterinpitäjälle tuli uusia velvollisuuksia kuten valvontaviranomaiselle tehtävä ilmoitus, osoitusvelvollisuus, selosteen laatiminen, valvontaviranomaisen ennakkokuuleminen ja ilmoittaminen tietoturvaloukkauksesta rekisteröidylle. Myös henkilö- tietojen käsittelijän velvollisuudet ja vastuut korostuvat.

Seuraamukset velvollisuuksien laiminlyönneistä voivat olla ennakoivia tai jälkikäteisiä.

Valvontaviranomaisen roolia vahvistetaan antamalla mahdollisuus asettaa hallinnollinen seuraamusmaksu. Ennakoivia seuraamuksia ovat uhkasakko ja toiminnalliset seuraamukset.

Jälkikäteisenä seuraamuksena voi olla hallinnollinen seuraamusmaksu. Se voi olla euro- määrältään huomattava ja aiheuttaa yrityksille taloudellisia ja toiminnallisia ongelmia. Lisäksi rekisterinpitäjälle sekä henkilötietojen käsittelijälle voidaan määrätä rikosoikeudellisia seuraamuksia, vahingonkorvauksia sekä heidän lukuun työskenteleville työntekijöille työoikeudellisia seuraamuksia.

Henkilötietojen turvallisuutta loukkaavat teot ovat sekä asetuksen tarkoittamien hallinnollisten sakkojen että rikosoikeudellisten seuraamusten piirissä monimutkaista sääntelyä, mikä vaikeuttaa säännösten soveltamista. Suomessa hallinnollisia seuraamuksia koskeva sääntely on epäyhtenäistä. Hallinnollisten sanktioiden ja niiden määräämismenettelyn johdonmukainen kehitys on vasta alullaan.

Avainsanat

ennakkokuuleminen, EU:n yleinen tietosuoja-asetus, hallinnolliset seuraamukset, henkilötietojen käsittelijä, ilmoitusvelvollisuus, osoitusvelvollisuus, rekisterinpitäjä, rikosoikeudellinen rangaistus, tietosuojalaki, tietoturvaloukkaus, työoikeudelliset seuraamukset, vahingonkorvaus

(3)

II. SISÄLLYS

LÄHTEET ... V LYHENNELUETTELO ... XII KUVIOT JA TAULUKOT ... XII

1 JOHDANTO ... 1

1.1 Tietosuojasta yleisesti ... 1

1.2 Tutkimuskysymys ja rajaukset ... 4

1.3 Tutkimusmenetelmä ja lähdeaineisto ... 5

1.4 Aiempi tutkimus ja oikeuskäytäntö ... 7

1.5 Tutkimuksen rakenne ... 8

2 TIETOTURVALOUKKAUS ... 9

2.1 Yleistä tietoturvaloukkauksesta ... 9

2.2 Henkilötietojen tietoturvaloukkaus käsitteenä ... 13

2.3 Tietoturvaloukkauksen riskitasot ... 17

3 VASTUUT TIETOTURVALOUKKAUKSESSA ... 19

3.1 Johdon vastuu ja ilmoitusvelvollisuus ... 19

3.2 Rekisterinpitäjän velvollisuudet ... 21

3.2.1 Osoitusvelvollisuus ... 21

3.2.2 Valvontaviranomaiselle tehtävä ilmoitus tietoturvaloukkauksesta ... 22

3.2.3 Tietoturvaloukkauksesta ilmoittaminen rekisteröidylle ... 28

3.2.4 Valvontaviranomaisen ennakkokuuleminen... 31

3.3 Henkilötietojen käsittelijän vastuu ... 33

3.3.1 Vastuun luonne ja vaatimukset ... 33

3.3.2 Vastuun määrittelevä asiakirja... 34

3.3.3 Vastuun toteutumisen arviontia ... 36

4 SEURAAMUKSET TIETOTURVALOUKKAUKSESSA ... 37

4.1 Seuraamusten kohteet ... 37

4.2 Valvontavastuu ... 38

4.2.1 Viranomaisvalvonta ... 38

4.2.2 Oma valvonta ... 39

(4)

II.

4.3 Hallinnolliset seuraamukset ... 40

4.3.1 Valvonta ja hallinnolliset seuraamukset korostuvat ... 40

4.3.2 Hallinnollinen seuraamusmaksu ... 42

4.3.3 Toiminnalliset seuraamukset ... 46

4.3.4 Uhkasakko ... 47

4.4 Rikosoikeudellinen rangaistus ... 50

4.4.1 Kriminalisointien kehitys ... 50

4.4.2 Keskeiset tunnusmerkistöt ... 53

4.4.3 Syyteoikeus ja muita prosessuaalisia kysymyksiä... 56

4.4.4 Oikeushenkilön rangaistusvastuu ja yhteisösakko ... 58

4.5 Vahingonkorvausvelvollisuus ... 59

4.6 Työoikeudelliset seuraamukset ... 62

4.6.1 Tahallisuuden asteet ... 62

4.6.2 Työsopimuksen irtisanominen ja purkaminen ... 64

4.6.3 Työntekijälle annettava varoitus ... 65

4.6.4 Rikkomusten ja seuraamusten suhteen puntarointia ... 66

5 JOHTOPÄÄTÖKSET ... 69

5.1 Keskeisiä havaintoja ... 69

5.2 Seuraamukset tiukentuvat ... 71

5.3 De lege ferenda ... 75

5.4 Jatkotutkimusehdotuksia ... 77

(5)

II.

LÄHTEET

KIRJALLISUUS Aarnio, Aulis:

– Luentoja lainopillisen tutkimuksen teoriasta. Helsinki 2011.

– Tulkinnan taito. Vantaa 2006.

Aarnio, Reijo: Etelä-Suomen Sanomat 10.1.2018a. Tietosuojavaltuutettu pettyi hidasteluun.

Aarnio, Reijo: Helsingin Sanomat 10.1.2018b. Potilastietoja urkitaan joka päivä ja selitykset ovat kirjavia, sanoo tietosuojavaltuuettu – ”Organisaation johto on usein heikoin lenkki”.

Andersson, Jenna: Edilex artikkeli 21.2.2018. Organisaation tietoturva- ja tietosuoja- riskienhallinta sekä lainsäädännö vaatimukset.

Andreasson, Ari – Koivisto, Juha – Ylipartanen, Arto: Tietosuojakäsikirja johdolle.

Tallinna 2016.

Hahto, Vilja: Uhrin myötävaikutus ja rikoksentekijän vastuu. Turun yliopisto, oikeustieteellinen tiedekunta. Helsinki 2004.

Hirvonen, Ari: Mitkä metodit? Opas oikeustieteen metodologiaan. Yleisen oikeustieteen julkaisuja 17. Helsinki 2011.

Husa, Jaakko: Oikeusvertailu. Viro 2013.

Husa, Jaakko – Mutanen, Anu – Pohjolainen, Teuvo: Kirjoitetaan juridiikkaa. Ohjeita oikeustieteellisten kirjallisten töiden laatijoille. 3. uudistettu painos. Hämeenlinna 2010.

Kalliojärvi, Tanja: EU:n yleinen tietosuoja-asetus: Tietoturvallisuudesta henkilötietojen käsittelyssä. Lapin yliopisto 2016.

Koillinen, Mikael: Refee-artikkeli 2016. Hallinnolliset seuraamukset tietosuojan sanktiomekanismina. Teoksessa tietosuojan ja immateriaalioikeuden teemanumero N:o 4/2016, s. 570–586.

Korhonen, Rauno: Informaatio-oikeuden asemasta oikeuksien kentässä. Teoksessa: Mäkelä, Sauli (toim.): Oikeusteorian poluilla. Juhlakirja professori Rauno Halttunen. Lapin yliopiston oikeustieteellisiä julkaisuja, sarja c 42. Rovaniemi, 2006. (Korhonen 2006)

(6)

II. Koskinen, Seppo: Velvollisuus antaa varoitus työsopimuksen irtisanomisen edellytyksenä.

Edita Publising Oy 2004.

Koskinen, Seppo – Alapuranen, Leena – Heino, Anna-Maija – Salli, Minna: Henkilötietojen käsittely työelämässä. Tallinna 2005. (Koskinen ym.)

Laakso, Seppo: Lainopin teoreettiset lähtökohdat. Tampere 2012.

Lindroos-Hovinheimo, Susanna: Lakimies 1/2018, s. 52–75. Henkilötietojen suoja EU- oikeudessa – yksityisyyttä yhteisön kustannuksella?

Makkonen, Kaarle: Luentoja yleisestä oikeustieteestä. Helsingin yliopisto 1998.

Mielityinen, Sampo: Vahingonkorvausoikeuden periaatteet. Yliopistollinen väitöskirja.

Helsingin yliopisto oikeustieteellinen tiedekunta. Helsinki 2006.

Neuvonen, Riku: Yksityisyyden suoja Suomessa. Helsinki 2014.

Nyyssölä, Mikko: Yksityisyyden suoja työsuhteessa. Helsinki 2014.

Pitkänen, Olli – Korpisaari, Päivi – Korhonen, Rauno: Edilex lakirjasto artikkeli 26.9.2017. Miten kansallista lainsäädäntöämme pitää muuttaa EU:n yleisen tietosuoja-asetuksen vuoksi?

Raatikainen, Ari: Yksityisyyden suoja työelämässä. Helsinki 2002.

Rantanen, Jenni: Edilex lakirjasto artikkeli 13.9.2017. Urkintarikos käyttötarkoituksen vastaisena tekona teoksessa Viestintäoikeuden vuosikirja 2015, s. 163–195.

Unigrafia Oy. Helsinki 2015.

Rautiainen, Hannu – Äimälä, Markus: Uusi työsopimuslaki. Porvoo 2001.

Saarenpää, Ahti: Henkilö- ja persoonallisuusoikeus. Rovaniemi 2012. Teoksesta:

Oikeusjärjestys osa 1, 288–409.

Saarinen, Mauri: Työsuhdeasioiden käsikirja. Jyväskylä 2003.

Salminen, Markus: Tietosuoja sähköisessä liiketoiminnassa. Helsinki 2009.

Salminen, Markus: Tietosuojalehti 3/2012, s. 28–29. Tietosuoja-asetukseen kannattaa varautua.

Talus, Anu: Defensor Legis N:o 2/2019, s. 210–220. Artikkeleita eurooppaoikeudesta – tietosuojasääntelyn eurooppalaistuminen.

Tiitinen, Kari-Pekka – Kröger, Tarja: Työsopimusoikeus. Helsinki 2008.

Tolonen, Hannu: Oikeuslähdeoppi. Vantaa 2003.

Voutilainen, Tomi: Oikeus tietoon. Porvoo 2012.

(7)

II. Voutilainen, Tomi: Refee-artikkeli 2016. Henkilörekisteriin kohdistuva rikos ja sen käsittely

käräjäoikeuksissa. Teoksessa tietosuojan ja immateriaalioikeuden teemanumero N:o 4/2016, s. 516–533.

Wennäkoski, Anna Aurora: Edilex lakikirjasto artikkeli 26.9.2017. Tietosuojaoikeudellinen vahingonkorvaus murroksessa.

VIRALLISLÄHTEET

EUVL 119/2016. Euroopan unionin virallinen lehti 119/2016.

Euroopan unionin tietosuojatyöryhmä

– WP 169 264/10/EN: Article 29 Data Protection Working Party: Opinion 1/2010 on the concepts of "controller" and "processor".

– WP 191 530/12/FI: Lausunto 1/2012 tietosuojauudistusta koskevista ehdotuksista – WP 29/2013/EN: Opinion 03/2014 on Personal Data Breach Notfication

– WP 250/2018/FI: Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilö- tietojen tietoturvaloukkauksen ilmoittamisesta

– WP 250/2018/EN: Guidelines of Personal data breach notification under Regulation 2016/679.

HaVM 13/2018 vp: Hallintovaliokunnan mietintö hallituksen esityksestä eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi.

HE 94/1993 vp: Hallituksen esitys eduskunnalle rikoslainsäädännön kokonaisuudistuksen toisen vaiheen käsittäviksi rikoslain ja eräiden muiden lakien muutoksiksi.

HE 65/2016 vp: Hallituksen esitys eduskunnalle laiksi arvopaperimarkkinalain muuttamisesta ja eräiksi siihen liittyviksi laeiksi.

HE 9/2018 vp: Hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi.

KOM 609/2010, lopull. Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle. Kattava lähestymistapa henkilötietojen suojaan Euroopan unionissa.

LaVL 8/2016 vp: Lakivaliokunnan lausunto hallituksen esityksestä eduskunnalle laiksi arvopaperimarkkinalain muuttamisesta ja eräiksi siihen liittyviksi laeiksi.

(8)

II. LaVL 5/2018 vp: Lakivaliokunnan lausunto hallituksen esityksestä eduskunnalle EU:n

yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi.

PeVL 14/2018 vp: Perustuslakivaliokunnan lausunto hallituksen esityksestä eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi.

INTERNETLÄHTEET

Eskola, Juhani. Luottamuksellisia henkilötietoja ollut löydettävissä verkosta. Terveyden- ja hyvinvoinnin laitos. 26.9.2017. [https://thl.fi/fi/-/luottamuksellisia-henkilotietoja- ollut-loydettavissa-verkosta] (Luettu 2.3.2018)

Järvinen, Hannu. 72 tuntia tietomurron jälkeen – ilmoitusvelvollisuus tietoturvaloukkauksista EU:n tietosuoja-asetuksen mukaan. 14.9.2016.

[https://www.edilex.fi/uutiset/49493] (26.1.2018)

Kansaneläkelaitos. Toisen ihmisen henkilötietoja päätyi postitse väärälle ihmiselle Kelan inhimillisen virheen takia – Tietoturvaloukkaus voi johtaa joka identiteettivarkauteen tai petokseen. 22.11.2018. [https://www.hs.fi/kotimaa/art-2000005907802.html]

(24.2.2019)

Liikenne- ja vestintävirasto 2010. Ohje tietoturvaloukkaustilanteisiin varautumisesta.

2.6.2010.

[https://www.viestintavirasto.fi/attachments/tietoturva/Ohje_tietoturvaloukkausten_h allinnasta.pdf] (21.1.2018)

Liikenne- ja viestintävirasto 2017. Merkittävien tietoturvaloukkausten ja -uhkien määrät ja tyypit. 31.12.2018.

[https://www.viestintavirasto.fi/tilastotjatutkimukset/tilastot/2016/merkittavientietotu rvaloukkaustenja-uhkienmaaratjatyypit.html] (31.1.2019)

Liikenne- ja viestintävirasto 2018a. Liikenne- ja viestintävirasto avasi osan sähköisistä asiointipalveluistaan – ajokorttijupakka eduskunnan apulaisoikeusasiamiehen tutkittavaksi. 14.12.2018. [https://www.hs.fi/kotimaa/art-2000005932779.html]

(24.2.2019)

Liikenne- ja viestintävirasto 2018b. Trafin pääjohtaja on irtisanoutunut ajokorttitietojen julkaisemisesta syntyneen kohun vuoksi. 13.12.2018. [https://www.hs.fi/kotimaa/art- 2000005931041.html] (24.2.2019)

(9)

II. Liikenne- ja viestintävirasto 2018c. Trafi aloittaa sisäisen selvityksen sähköisistä

palveluista. 19.12.2018. [https://www.hs.fi/kotimaa/art-2000005940764.html]

(24.2.2019)

OpiTietosuojaa. Tietoturva- ja tietosuojarikkomusten seuraamustaulukko. 3.4.2015.

[https://opitietosuojaa.fi/fi/] (27.12.2018)

Osuuspankki. Huijarit käyttävät etäyhteyttä tietojen urkintaan. 18.1.2019.

[https://www.op.fi/-/huijarit-kayttavat-etayhteytta-tietojen-urkintaan] (24.2.2019) ProTietosuoja. Tietoturvaloukkaus on usein vaikeasti havaittava tietomurto. 18.4.2018.

[https://www.tietoturvaloukkaus.fi/] (25.11.2018)

Työsuojeluhallinto. Varoitus. 17.9.2015. [https://www.tyosuojelu.fi/tyosuhde/oikeudet-ja- velvollisuudet-tyossa/varoitus] (24.2.2019)

OIKEUSTAPAUKSET

Euroopan unionin tuomioistuin

Google Spain SL ja Google Inc. v. Agencia Española de Protección de Datos (AEPD) ja Mario Costeja Gonzáles, C‑131/12, Audiencia Nacionalen esittämä

ennakkoratkaisupyyntö, Euroopan unionin tuomioistuin, 13.5.2014 Korkein hallinto-oikeus

KHO 2018:112 KHO 2018:171 Hovioikeudet RHO 2018:1 THO 1981:792

(10)

II. VIRANOMAISTEN SELVITYKSET JA OHJEET

Euroopan komissio. 2018. Mikä on tietoturvaloukkaus ja miten sellaisen sattuessa tulee toimia? [https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules- business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do- case-data-breach_fi] (Luettu 25.11.2018)

Euroopan neuvosto 2014. Käsikirja Euroopan tietosuojaoikeudesta. Euroopan unionin julkaisutoimisto. Luxemburg. (25.11.2018)

Jaatinen, Tanja: 2018. Lausuntotiivistelmä tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnöstä ja työryhmän ehdotuksesta hallituksen esitykseksi uudeksi tietosuojalaiksi. Oikeusministeriö. Helsinki.

Oikeusrekisterikeskus. 2018. Sakot julkaistu 22.3.2018 [https://www.oikeusrekisterikeskus.fi/fi/index/tietopalvelu/tilastotjaavoindata/sakot.h tml] (2.3.2019)

Tietosuojavaltuutetun toimisto 2017

– Henkilötietojen tietoturvaloukkaukset. Helsinki 2017a.

[http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tie toturvaloukkaukset.html] (26.2.2018)

Tietosuojavaltuutetun toimisto 2018

– Tietosuojalautakunnan toiminta lakkaa 1.1.2019. Helsinki 2018ea.

[https://tietosuoja.fi/artikkeli/-/asset_publisher/tietosuojalautakunnan-toiminta- lakkaa-1-1-2019] (30.12.2018)

– Tietoturvaloukkaukset. Helsinki 2018ab. [https://tietosuoja.fi/tietoturvaloukkaukset]

(2.12.2018)

– Mikä on henkilötietojen tietoturvaloukkaus? Helsinki 2018bc.

[http://www.tietosuoja.fi/fi/index/euntietosuojauudistus/ohjeitarekisterinpitajalle/tie toturvaloukkaukset.html] (26.1.2018)

– Seloste käsittelytoimista. 3.5.2018. Helsinki 2018cd. [https://tietosuoja.fi/seloste- kasittelytoimista] (2.12.2018)

– Tietosuojavastaavan tehtävät. Helsinki 2018de.

[https://tietosuoja.fi/tietosuojavastaavat] (29.12.2018)

(11)

II. – Työelämän tietosuojan käsikirja. 21.6.2018. Helsinki 2018f.

[https://tietosuoja.fi/usein-kysyttya-tyoelama] (30.11.2018) Tietosuojavaltuutetun toimisto 2019

– Mikä on henkilötieto. Helsinki 2019a [https://tietosuoja.fi/mika-on-henkilotieto]

(23.2.2019)

– Seloste käsittelytoimista. Helsinki 2019b.

[https://tietosuoja.fi/rekisterinpitajanseloste-kasittelytoimista] (23.2.2019)

– Tietosuojavaltuutetun toimistolle on ilmoitettu jo 2700 henkilötietojen tietoturvaloukkausta. 22.2.2019. Helsinki 2019c. [https://tietosuoja.fi/artikkeli/- /asset_publisher/tietosuojavaltuutetun-toimistolle-on-ilmoitettu-jo-2700-

henkilotietojen-tietoturvaloukkausta] (10.3.2019)

– Tietosuojavaltuutettu määräsi Svea Ekonomin korjaamaan käytäntöjään henkilötietojen käsittelyssä. 1.4.2019. Helsinki 2019d.

[https://tietosuoja.fi/artikkeli/-/asset_publisher/tietosuojavaltuutettu-maarasi-svea- ekonomin-korjaamaan-kaytantojaan-henkilotietojen-kasittelyssa] (18.4.2019) Valtiovarainministeriö 2009. Vahtiohje Tietoturvajärjestelmiin kohdistuvat vaatimukset.

[https://www.vahtiohje.fi/web/guest/tietojarjestelmiin-kohdistuvat-vaatimukset]

(12.2.2019)

Valtiovarainministeriö 7.6.2016. Rekisterinpitäjän velvollisuudet. VAHTI-raportti 1/2016.

Suvi Pitkänen. [https://www.vahtiohje.fi/web/guest/rekisterinpitajan-velvollisuudet]

(2.3.2019)

(12)

II.

LYHENNELUETTELO

EN Euroopan neuvosto

EU Euroopan unioni

EUVL Euroopan unionin virallinen lehti

EY Euroopan yhteisöt

HaVM Hallintovaliokunnan mietintö

HLL Hallintokäyttölaki (586/1996)

HL Hallintolaki (343/2003)

HE Hallituksen esitys

KHO Korkein hallinto-oikeus

LeR Laki ehdollisesta rangaistuksesta (135/1976)

LaVL Lakivaliokunnan lausunto

PL Suomen perustuslaki (731/1999)

PeVL Perustusvaliokunnan lausunto

RHO Rovaniemen hovioikeus

RL Rikoslaki (39/1889)

SakkoL Laki sakon täytäntöönpanosta (672/2002)

TsL Tietosuojalaki (1050/2018)

TsA Euroopan unionin yleinen tietosuoja-asetus (679/2016)

TSL Työsopimuslaki (55/2001)

TyösuojeluL Työsuojelulaki (738/2002) UhkasakkoL Uhkasakkolaki (1113/1990) VahKL Vahingonkorvauslaki (412/1974)

WP Tietosuojatyöryhmä (Article 29 Working Party)

KUVIOT JA TAULUKOT

Kuvio 1. Suomen uhkasakkotilasto vuosilta 2011 – 2017.

Taulukko 1. Tietoturvarikkomusten seuraamustaulukko.

(13)

1 JOHDANTO

1.1 Tietosuojasta yleisesti

Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietoja käsiteltäessä¹. Tiedon rooli yhteiskunnassa on noussut merkittäväksi. Tiedon hyödyntäminen on tärkeää palveluita ja toimintoja kehitettäessä. Tekniikan nopea kehitys ja kansainvälistyminen ovat tuoneet mukanaan uusia haasteita henkilötietojen suojaamiselle. Henkilötietojen kerääminen on kehittynyt voimakkaasti, ja tietojen keräämistä on aiempaa vaikeampi havaita.²

Euroopan unionin (EU) yleinen tietosuoja-asetus 2016/679³ (jäljempänä tietosuoja-asetus) korostaa henkilötietojen suojan tärkeyttä Euroopassa ja lisää yritysten riskien- hallintavelvoitteita. Lainsäädäntömuutos on erittäin tärkeä yritysten tietoturvallisuuden kehittämisessä erityisesti henkilötietojen käsittelyn osalta.⁴ Asetusta on sovellettu 25.5.2018 alkaen.⁵

Tietosuoja-asetuksen rinnalle on säädetty kansallinen tietosuojalaki (1050/2018), joka tuli voimaan 1.1.2019. EU:n jäsenvaltioiden kansalliset henkilötietolait, kuten esimerkiksi Suomen henkilötietolaki (523/1999) kumottiin 1.1.2019 alkaen. Samalla lakkautettiin tietosuojalautakunnan toiminta⁶.

Tietosuoja-asetuksen ja kansallisen tietosuojalain tavoitteena on pyrkiä lujittamaan rekisterinpitäjän ja rekisteröidyn välistä suhdetta sekä luottamusta⁷. Ihmisten yksityiselämää suojataan tietosuojan avulla, johon kuuluu kunkin oikeus henkilötietoihinsa. Rekisteröityjen

1 Andersson 2018, s. 3.

2 KOM 609/2010, s. 2.

3 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016,

luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta.

4 Andersson 2018, s. 10–11.

5 EUVL 119/2016, s. 1.

6 Tietosuojavaltuutetun toimisto 2018a.

7 Andearsson – Koivisto – Ylipartanen 2016, s. 5.

(14)

oikeuksien perusperiaatteena on suojata rekisteröityä valtuudettomalta tai henkilöä vahingoittavalta tietojen käytöltä⁸.

Tietosuoja-asetusta ja tietosuojalakia tulkitaan rinnakkain.

Yrityksessä on tiedostettava vastuu henkilötietojen käsittelystä. Käsittely tulee suunnitella ihmistä palvelevaksi⁹. Johdon ja esimiesten voi olla haasteellista tunnistaa vastuu henkilö- tietojen käsittelystä. Tietämättömyys ja varautumattomuus voivat tulla yritykselle kalliiksi tietosuojalain mahdollisten sanktioiden realisoituessa. Yritysten on vahvistettava johdon osaamista henkilötietojen käsittelyssä ja vastuissa.

Tietosuojavaltuutettu Reijo Aarnio kertoo olleensa pettynyt yritysten hitaaseen ja huonoon tietosuoja-asetuksen voimaantuloon valmistautumiseen. Hänen mukaansa erilaiset selvitykset osoittavat, että yritysjohdon tietoisuus ja reagointi tilanteeseen on ollut heikkoa.

Aarnion mukaan uudistus on kuluttajan ja liikkeenjohdon näkökulmaa laajempi. Kyse on kansalaisten perusoikeuksista, jolloin uudistus on myös kansalaistaitokysymys. Reijo Aarnio ottaa kantaa myös potilastietojen urkintaan Omakanta-järjestelmästä ja kertoo, että urkintaa tapahtuu joka päivä. Järjestelmien tietoturvallisuus nojaa siihen, että johto aidosti valvoo tietojärjestelmiensä käyttöä. Johdon valvontaan ei hänen mukaansa ole aina luottamista. Johto on aika usein se heikoin lenkki organisaatiossa, Reijo Aarnio tykittää.¹⁰ Tietosuoja-asetus tuo tietosuoja-asiat kiinteäksi osaksi yritysten liiketoimintaa. Kyseessä on monen yrityksen yksi merkittävimmistä investointeja vaativista hallinnollisista kehitysprojekteista. Lisäksi sanktiot asetuksen rikkomisesta ovat huomattavat¹¹. Euroopan tietosuojalainsäädäntöä koskevat muutokset ovat osoitus siitä, että Euroopan unioni ei välttele ongelmia, vaan kyseessä on aito merkittävä muutos, jossa rekisterinpitäjän velvollisuudet lisääntyvät.

8 Valtionvarainministeriö 2016, s. 13.

9 EUVL 119/2016 119, s. 2.

10 Aarnio R., 10.1.2018a; 10.1.2018b.

11 EUVL 119/2016, s. 83.

(15)

Tietosuoja-asetuksen 4 artiklan 7 kohdan mukaan rekisterinpitäjällä tarkoitetaan yhtä tai useampaa henkilöä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla säädetty. Rekisterinpitäjän käsite on luonteeltaan toiminnallinen, eli sen tarkoituksena on kohdistaa vastuu tahoon, joka tosiasiallisesti määrittelee käsittelytoimet¹². Yritys tulkitaan rekisterinpitäjäksi.

Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.¹³ Käsittelijä on rekisterinpitäjästä erillään oleva taho, jonka käyttö perustuu rekisterinpitäjän päätökseen. Käsittelijän asema määritellään käsittelytoimikohtaisesti.

Käsittelijä voi toimia toisessa käsittelytoimessa rekisterinpitäjänä ja toisessa käsittelytoimessa henkilötietojen käsittelijänä.¹⁴ Käsittelijän asema perustuu käsittelytoimeen liittyviin konkreettisiin toimiin.¹⁵

Rekisterinpitäjän yksi päävelvollisuuksia on rekisteröidyn oikeuksien toteuttaminen. Lisäksi rekisterinpitäjän velvollisuutena on tietosuoja-asetuksen 33 ja 34 artiklojen mukaan ilmoitusvelvollisuus, joka koskee henkilötietojen luottamuksellisuutta vaarantaneita tieto- turvaloukkaustilanteita.¹⁶ Asetus määrittelee rekisterinpitäjille myös osoitusvelvollisuuden, jolloin rekisterinpitäjän on kyettävä osoittamaan, että se toiminnassaan huomioi tietosuojasäännökset. Valvovalla viranomaisella on oikeus ja velvollisuus antaa rekisterinpitäjälle hallinnollinen sakko eli seuraamusmaksu, jos velvoitteiden toteutuksessa tai dokumentoinnissa on puutteita.¹⁷

Tärkeä tehtävä tietosuoja-asetuksen käyttöönotossa on, että yritykset tarkastelevat henkilötietojen käsittelyyn liittyviä toimintatapoja ja sopeuttavat toimintansa asetusta ja kansallista lainsäädäntöä vastaavaksi. Ulkopuoliset asiantuntijat tarjoavat rekisterinpitäjälle

12 WP 169, s. 8-9.

13 Tietosuoja-asetus, 4 artikla 8 kohta.

14 WP 169, s. 24.

15 WP 169, s. 32.

16 myös Valtiovarainministeriö 2016, s. 13.

17 Andreasson – Koivisto – Ylipartanen 2016 s. 9-10.

(16)

palveluita, joiden avulla yrityksen tietosuojatoiminnot voidaan saattaa lainsäädännön vaatimalle tasolle. Organisaatioissa on tiedostettava, että ulkopuolinen riskiarvioija tai muu taho ei kuitenkaan voi ottaa rekisterinpitäjän vastuuta.

Organisaation henkilöstöhallinnossa käsitellään säännöllisesti sen henkilöstöön kohdistuvia henkilötietoja, joiden suojaaminen ulkopuolisilta on henkilöstöhallinnon yksi tärkeimmistä tehtävistä. Tietoturvaloukkaus henkilöstöhallinnon työssä voidaan määritellä tilanteeksi, jossa yrityksessä työskentelevän henkilön tietojen käytettävyyttä, eheyttä tai luottamuksellisuutta muutetaan oikeudettomasti. Tällöin tietoturvaloukkaus vaarantaa tai voi haitata yrityksessä työskentelevän henkilön toimintaa tai työskentelyä, mikäli arkaluonteisten tietojen luottamuksellisuus on vaarantunut.¹⁸

1.2 Tutkimuskysymys ja rajaukset

Tutkimuksessa selvitetään, miten vastuut ja velvollisuudet henkilötietojen suojassa jakautuvat yrityksen eri toimijoiden välillä ja mitä velvollisuuksien laiminlyönnistä voi seurata. Tutkimus rajataan käsittelemään rekisterinpitäjää ja henkilötietojen käsittelijää tapahtuneen tietoturvaloukkauksen toimijoina.

Tutkimuskysymykset ovat:

Mitkä ovat rekisterinpitäjän ja henkilötietojen käsittelijän vastuut ja velvollisuudet tietoturvaloukkauksessa?

Mitkä ovat laiminlyöntien seuraamukset?

Tutkimuksen kohteena on yksityissektorilla toimivat rekisterinpitäjät ja henkilötietojen käsittelijät. Julkishallinto ja viestintäverkoissa palveluja tuottavat yritykset jäävät tutkimuksen ulkopuolelle. Julkihallinnosta on kuitenkin nostettu esiin esimerkkitilanteita, jotka voisivat olla vastaavia myös yrityisellä sektorilla. Rajausvalinta on tehty syystä, että tietosuoja-asetus on tutkimuksessa valitulle kohderyhmälle uutta lainsäädäntöä.

(17)

1.3 Tutkimusmenetelmä ja lähdeaineisto

Tutkimusmenetelmien keskeisimpiä osa-alueita oikeustieteessä ovat lainoppi eli oikeus- dogmaattinen tutkimus, oikeushistoria, oikeussosiologia, oikeusfilosofia ja vertaileva oikeustiede.¹⁹ Eri tutkimusmenetelmiä on mahdollista yhdistää, koska näkökulmat eivät ole toisiaan poissulkevia²⁰. Tarkan rajan vetäminen lainopin ja yleisen oikeustieteen välille ei ole aina mahdollista²¹.

Henkilötietojen suojaa koskevasta sääntelystä on muodostunut oikeudenala, joka on osa eurooppalaista kontekstia, ja kansallista tietosuojasääntelyä onkin tulkittava tästä lähtö- kohdasta. Eurooppalaista tietosuojasääntelyä on tarkasteltava globaalissa viitekehyksessä.

Näin on mahdollista hahmottaa kansallinen tietosuojasääntely kokonaisvaltaisesti.²²

Henkilötietojen suoja ja tietosuoja asettuvat perinteisesti viestintä- ja informaatio-oikeuden alalle, joka tutkii etenkin informaation sääntelyä, sen tarvetta sekä mahdollisuuksia²³. Tarkastelun keskeisenä kohteena on tietosuoja-asetus ja kansallinen tietosuojalaki.

Asetuksen myötä tutkimusaihe sijoittuu myös EU-oikeudelliseen kontekstiin. Seuraamusten osalta tutkimus voidaan lukea sijoittuvaksi myös hallinto-, rikos- ja vahingonkorvaus- ja työoikeuden alalle.

Lainoppi eli oikeusdogmatiikka pyrkii antamaan vastauksen kysymykseen, kuinka kussakin tilanteessa pitäisi toimia voimassa olevan oikeuden mukaan. Se on oikeusjärjestykseen kuuluvien sääntöjen tutkimusta ja niiden sisällön selvittämiseen tähtäävää toimintaa.²⁴ Säädösten tulkinta tai normien soveltaminen käytäntöön ei ole mekaaninen, yksikäsitteisiä sääntöjä noudattava prosessi²⁵.

19 Aarnio A. 2011, s. 1.

20 Husa – Mutanen – Pohjolainen 2010, s. 20.

21 Makkonen 1998, s. 3.

22 Talus 2019, s. 210.

23 Korhonen 2006, s. 91.

24 Husa – Mutanen – Pohjolainen 2010, s. 19–20; Aarnio 2011, s. 1.

25 Aarnio A. 2006, s. 237.

(18)

Lainopillisella tutkimuksella pyritään selvittämään, mikä on voimassa olevan oikeuden sisältö kulloinkin käsiteltävässä oikeusongelmassa. Se pyrkii antamaan vastauksen myös kysymykseen, miten tutkimusongelman todellisissa olosuhteissa toimittaisiin voimassa olevan oikeuden mukaan. Se on oikeusjärjestykseen kuuluvien sääntöjen tutkimusta ja niiden sisällön selvittämiseen tähtäävää toimintaa.²⁶ Asetettuihin tutkimuskysymyksiin vastataan lainopillisen tutkimuksen keinoin.

Lainopin toisena keskeisenä tehtävänä on systematisoida tutkimuskohdetta eli jäsentää voimassa olevaa oikeutta. Systematisoinnin avulla lainoppi pyrkii luomaan ja kehittämään oikeudellista käsitejärjestelmää, jonka varassa oikeutta tulkitaan. Samalla se auttaa oikeusjärjestyksen sisällön etsinnässä sekä hahmottaa keskinäistä suhdetta oikeudellisista järjestelyistä ja niiden välisistä suhteista.²⁷ Tässä tutkimuksessa edellä mainittu tarkoittaa erityisesti tietosuoja-asetuksen ja kansallisen tietosuojalain keskenäisen sisällön hahmottamista sekä suhteita.

Lainoppi rakentuu voimassa olevien oikeuslähteiden varaan ja käyttää lähteinä etusija- ja käyttöjärjestyssääntöjen osoittamassa järjestyksessä. Lainopin näkökulmasta lait ja säännökset ovat tärkein lähde. Pelkkä säädösteksti saattaa jättää oikeuden sisällön tulkinnanvaraiseksi, koska niille tyypillistä on moniselitteisyys ja epätäsmällisyys.

Säädöstekstin tulkinnassa tarvitaan muita oikeudellisia aineistoja, kuten säädösten valmisteluaineistoa, oikeustapauksia ja oikeuskirjallisuutta.²⁸

Tätä tutkimusta tehtäessä lainsäädäntö on ollut tietosuoja-asetuksen osalta voimassa noin vuoden ja kansallisen tietosuojalain osalta vasta muutamia kuukausia. Tietosuoja-asetus ja tietosuojalaki ovat voimassa, mutta niiden soveltamisesta ei ole vielä vakiintunutta soveltamiskäytäntöä. Tutkimuksessa käytetään oikeuslähteitä siinä järjestyksessä kuin etusija- ja käyttöjärjestyssäännöt osoittavat.

26 Husa – Mutanen – Pohjolainen 2010, s. 32–33.

27 Hirvonen 2011, s. 25; Husa 2013, s. 91–92; Husa – Mutanen – Pohjolainen 2010, s. 20–21.

28 Husa – Mutanen – Pohjolainen 2010, s. 32–33.

(19)

Tutkimuksessa keskesimpinä lähteinä on käytetty tietosuoja-asetusta ja kansallista tietosuojalakia valmistelutöineen. Lisäinformaation saamiseksi on käytetty suomalaista oikeuskirjallisuutta ja lisäksi hyödynnetään tietosuoja-asetusta koskevia verkko- sekä uutislähteitä. Tutkimusta tehtäessä ei ole määrällisesti paljon tuoreita oikeuden ratkaisemia tapauksia tutkimuksen lähdeaineistoksi.

1.4 Aiempi tutkimus ja oikeuskäytäntö

Tietoturvaloukkaukseen liittyvää aikaisempaa tutkimusmateriaalia löytyy niukasti. Sitä vastoin tietoturvaa on tutkittu melko paljon erityisesti tiedon omistajuuden ja siihen liittyvän tietoturvan näkökulmasta. Myös tietosuojaa sivuavia vahingonkorvauskysymyksiä on selvitelty kirjallisuudessa ansiokkaasti.

Sampo Mielityinen on väitöskirjassaan tutkinut vahingonkorvausoikeuden perusperiaatteita määritellen Suomen sopimuksenulkoisen vahingonkorvausoikeuden keskeisten oikeus- periaatteiden sisällön.²⁹ Vilja Haahto on selvittänyt rikos- ja vahingonkorvausoikeudel- lisessa tutkimuksessaan tekoa edeltävää uhrin käyttäytymistä fyysistä koskemattomuutta loukkaavissa rikoksissa. Väitöskirjassa selvitettiin, miten asianomistajan menettely voi vaikuttaa rikoksentekijän rikos- ja vahingonkorvausoikeudelliseen vastuuseen.³⁰

Aiempaa oikeuskäytäntöä ja tutkimusta tutkielman aihealueesta ei vielä ole riittävästi saatavilla. Tästä syystä tutkimuksessa kiinnitetään huomiota tulkintakysymysten oikeudelliseen merkitykseen.

29 Mielityinen 2006, s.1.

30 Haahto 2004, s. 5.

(20)

1.5 Tutkimuksen rakenne

Tutkimus sisältää viisi lukua. Ensin johdantoluvussa kuvataan tutkimuksen taustaa, esitellään tutkimuskysymykset ja kerrotaan tutkimusmenetelmästä.

Luvussa kaksi kuvataan tietoturvaloukkauksen ja henkilötietojen tietoturvaloukkauksen käsitteet. Luvussa esitellään kolme tapausta tapahtuneesta tietoturvaloukkauksesta sekä tuodaan esiin tietosuoja-asetuksen riskilähtöisyys.

Luvussa kolme avataan tietosuoja-asetuksen velvollisuudet rekisterinpitäjälle ja henkilötietojen käsittelijälle. Aluksi lähdetään liikkeelle johdon vastuista, minkä jälkeen käsitellään yksityiskohtaisemmin rekisterinpitäjän velvollisuuksia kuten ilmoitusvelvollisuutta, osoitusvelvollisuutta, valvontaviranomaisen ennakkokuulemista ja ilmoitusta rekisteröidylle. Lopuksi käsitellään henkilötietojen käsittelijän velvollisuuksia.

Luku neljä käsittelee tietoturvaloukkauksen seuraamukset, joita rekisterinpitäjälle ja henkilötietojen käsittelijälle voi velvollisuuksien noudattamatta jättämisestä syntyä. Luku koostuu hallinnollisista seuraamuksista, rikosoikeudellisista vastuista ja työoikeudellisista velvollisuuksista, jotka kohdistuvat sekä rekisterinpitäjään että henkilötietojen käsittelijään tai heidän lukuun työskenteleviin työntekijöihin.

Tutkimuksen viimeisessä osassa, luvussa viisi, pohditaan yleisen tietosuoja-asetuksen ja kansallisen tietosuojalain soveltamista tietoturvaloukkauksiin, jotka aiheutuvat rekisterinpitäjän ja henkilötietojen käsittelijän velvollisuuksien laiminlyönnistä. Luvussa pohditaan myös laiminlyöntien seuraamuksia ja niiden vaikutusta erityisesti rekisterinpitäjän ja henkilötietojen käsittelijän toimintaan. Luvussa otetaan kantaa lainsäädännön kehittämistarpeisiin ja esitetään jatkotutkimusehdotuksia.

(21)

2 TIETOTURVALOUKKAUS

2.1 Yleistä tietoturvaloukkauksesta

Tietoturvallisuudella tarkoitetaan tiedon luottamuksellisuutta, eheyttä ja käytettävyyttä.

Luottamuksellisuus merkitsee sitä, että organisaation tehtäviin liittyvät turvallisuus- luokitellut, salassa pidettävät ja arkaluonteisia henkilötietoja sisältävät asiakirjalliset tiedot ovat vain niiden käytettävissä, joilla on käyttöoikeudet kyseisiin tietoihin. Eheys tarkoittaa sitä, että asiakirjatiedot ovat oikeita ja ajantasaisia, eivätkä niiden tiedot saa muuttua, hävitä eivätkä vahingoittua virheellisten toimenpiteiden seurauksena. Käytettävyys koostuu siitä, että asiakirjalliset tiedot säilyvät luotettavina, eheinä ja alkuperäisinä ja niitä säilytetään arkistonmuodostussuunnitelman mukaan. Käytettävyyden varmistaminen on asiakirjallisten tietojen tunnistamista, sisällönkuvailua, luokittelua sekä suhteita muihin asiakirjallisiin tietoihin kuvaavia metatietoja.³¹

Tietoturvariski voi olla tahallinen tai tahaton vahinko tai oikeudeton teko. Tietoturvariskistä aiheutuvat vahingot ovat yleensä taloudellisia. Ne kohdistuvat muun muassa omaisuuden vahingoittumiseen, liiketoiminnan keskeyttämiseen tai aineettomien oikeuksien louk- kaamiseen.³²

Teknologian kehittyessä ja toimintaympäristöjen muuttuessa lainsäädäntö lahaa yleensä jäljessä eikä toimi proaktiivisesti toimintaympäristön muutoksissa. Tietosuoja-asetus ja kansallinen tietosuojalaki asettavat yrityksille vaatimuksia rekisterinpitäjänä tietoturvan hallintaan niin tietosuojan kuin tietoturvariskien osalta.³³

Tietosuoja-asetus asettaa velvollisuuksia rekisterinpitäjälle ja niille jotka käsittelevät henkilötietoja. Rekisteröidylle lainsäädäntö luo oikeuksia, kun he luovuttavat omia tietojaan.

Tietosuoja-asetus ei itsessään suojaa tietoa vaan henkilön oikeuksia tietoihinsa ja se pyrkii

31 Valtiovarainministeriö 2009.

(22)

estämään hänen tietojensa vahingollista käyttöä.³⁴ Rekisterinpitäjän velvollisuutena on vaalia rekisteröidyn oikeuksia henkilötietojen käsittelyn eri vaiheissa³⁵.

Rekisterinpitäjän on hahmotettava henkilötietojen tietoturvaloukkausten laaja määritelmä³⁶. Kansallinen tietosuojalaki ei ole erikseen määritellyt tietoturvaloukkausta tai tarkentanut tietosuoja-asetuksen mukaista määritelmää, joten tulkinnassa nojataan yksin asetukseen.

Asetuksen tietoturvaloukkauksen määritelmä kattaa kaikki tapahtumat, joiden seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.³⁷

Tietoturvaloukkaus voi olla tietomurto, palvelunestohyökkäys tai haittaohjelma. Tietoturva- loukkaus voi tapahtua joko fyysisesti tai teknisesti, jolloin murtaudutaan tai tunkeudutaan erikoislaitteiden avulla yrityksen tietoihin. Tietoturvarikokset ovat lisääntymässä ja ne ovat vaikeasti jos aina ollenkaan havaittavissa.³⁸

Tutkimuksen luvussa 4.4.2 käsitellään tietomurron ja muiden keskeisten tietoturvarikosten tunnusmerkistöjä.

Erehdyksessä lähetetyn henkilötietoja sisältävän viestin voidaan katsoa olevan tietoturvaloukkauksen määritelmän piirissä aivan samalla tavalla kuin tietomurronkin.

Toisaalta tietojärjestelmiin kohdistuva porttiskannaus ei välttämättä itsessään tarkoita asetuksen mukaista tietoturvaloukkausta, jos toimenpide ei mahdollista pääsyä itse henkilö- tietoihin.³⁹

Tietoturvaloukkauksen määritelmä kattaa myös vahingossa tapahtuneen pääsyn tietoihin.

34 Salminen 2009, s. 15.

35 Voutilainen 2012, s. 301.

36 WP 250/2018/FI, s. 6.

37 WP 250/2018/FI, s. 6; Järvinen 2016.

38 ProTietosuoja 2018.

39 Järvinen 2016.

(23)

Esimerkki tietoturvaloukkauksesta, jonka seurauksena siivooja pääsee (saa kulkuoikeuden) palkanlaskennan lukittuihin tiloihin:

Rekisterinpitäjän lukuun palkanlaskentaa hoitava työntekijä on jättänyt työpöydälle arkaluonteiseksi luokiteltavat sairauslomatodistukset, jotka on säilytettävä lukituissa tiloissa.

Siivooja pääsee näihin tietoihin käsiksi. Kyseessä on palkanlaskennan huolimaton toiminta.

Siivoojan osalta kyseessä on tahaton vahinko, jonka seurauksena hänellä on mahdollisuus nähdä arkaluonteisiksi luokiteltuja tietoja.

Tietoturvaloukkauksen määritelmä rajoittuu vain henkilötietoja koskeviin loukkauksiin:

”Henkilötietoja ovat kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön. Henkilötietoja ovat sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen. Henkilö voidaan tunnistaa esimerkiksi nimen, henkilötunnuksen tai jonkin hänelle tunnusomaisen tekijän perusteella”.⁴⁰

Esimerkki henkilötiedon määritelmästä:

Yrityksen www-sivuilla olevat yhteystiedot kuten henkilöstöpäällikön nimi ja titteli luokitellaan henkilötiedoksi. Yleinen sähköpostiosoite esim. tyohakemukset@yritys.fi ei ole henkilötieto.

Tietojen kalastelu (Phishing) on myös tietoturvaloukkaus. Sitä toteutetaan huijausviestin avulla, joita lähetetään sähköpostin tai sosiaalisen median välityksellä.⁴¹

Esimerkki tietojen kalastelusta:

Pankkien asiakkaiden rahoja yritetään huijata uudenlaisella menetelmällä. Huijarit ovat lähestyneet asiakkaita puhelimitse tai sähköpostitse esimerkiksi sijoitusasioissa. Yhteydenotot tulevat tyypillisesti englanniksi. Asiakas yritetään saada keskustelun yhteydessä antamaan soittajalle etäyhteys asiakkaan tietokoneeseen. Etäyhteyden saatuaan huijari voi ohjailla tekemään eri toimenpiteitä. Mikäli huijarille annetaan pääsy asiakkaan tietokoneeseen

41 Andearsson – Koivisto – Ylipartanen 2014, s. 28.

(24)

etäyhteyden avulla, on myös maksujen tekeminen huijarin toimesta mahdollista asiakkaan verkkopalveluistunnon ollessa auki. Tällaisessa tilanteessa on myös mahdollista, että laitteelle pyritään tekemään muitakin vahinkoa aiheuttavia toimenpiteitä (esim. yksityisten tietojen varastaminen, haittaohjelman tartuttaminen).⁴²

Henkilötietojen häviämistä tietoturvaloukkauksen yhteydessä voidaan kuvata tapahtumana, jossa tieto voi olla olemassa, mutta tieto ei ole rekisterinpitäjän hallussa ja valvonnassa.

Tällöin rekisterinpitäjällä ei ole mahdollisuutta päästä tietoihin käsiksi. Yrityksen (rekisterinpitäjä) näkökulmasta kyseinen tapahtuma voi olla se, että asiakastietokannan sisältävä laite on kadonnut tai varastettu.⁴³

Tietoturvaloukkaukset voivat vaarantaa tai jopa estää kokonaan yrityksen liiketoiminnan jatkuvuuden esimerkiksi palvelun toiminnan häirinnällä tai vaarantamalla yrityksen arka- luontoisten tietojen luottamuksellisuuden. Onkin tärkeää, että yrityksen sisäiset hallinta- prosessit ovat kunnossa tietoturvaloukkausten varalta. Yrityksillä tulee olla nimetyt henkilöt erilaisiin tietoturvaloukkaustilanteisiin ja yrityksen toimintamallien suunnittelussa on huomioitava tietoturvaloukkaukset.⁴⁴

Yrityksessä työskentelevät voivat varomattomuudellaan aiheuttaa tietoturvaloukkauksen.

Edes toimivat tietoturvaprosessit ja -toimintamallit eivät poista sitä, että inhimillisellä toiminnalla on mahdollista aiheuttaa tietoturvaloukkaus.

Esimerkki varomattomasta menettelystä:

Tietoturvaloukkaus voi aiheutua varomattomalla salasanojen säilytyksellä tai niiden jakamisella. Yksittäiset henkilöt voivat aiheuttaa tietoturvaan liittyvän loukkauksen mahdol- lisuuden avaamalla viruksen sisältävän sähköpostin.

42 Osuuspankki 2019.

43 WP 250/2018/FI, s. 6.

44 Liikenne- ja viestintävirasto 2010.

(25)

2.2 Henkilötietojen tietoturvaloukkaus käsitteenä

Henkilötiedot ovat tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Luonnollisesta henkilöstä on kyse silloin, kun henkilö on mahdollista suorasti tai epäsuorasti tunnistaa erityisesti tunnistetietojen avulla.⁴⁵ Tietosuoja-asetuksen 4 artiklan 12 kohdan mukaan henkilötietojen tietoturvaloukkauksesta on kyse silloin, kun siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy muutoin henkilötietoihin on tapahtunut.

Sana tietoturvaloukkaus ei ole suora käännös englanninkieliselle personal data breach - termille. Suora käännös olisi tietoturvarikkomus⁴⁶.

Henkilötietojen tietoturvaloukkaukset voidaan luokitella kolmen tietoturvaperiaatteen mukaisesti:

- Tietojen luottamuksellisuuteen vaikuttava tietoturvaloukkaus, kun henkilötietoja käytetään luvattomasti tai luovutetaan vahingossa tai päästään tietoihin käsiksi, - Eheyteen vaikuttava tietoturvaloukkaus, kun tapahtuu henkilötietojen luvaton tai

vahingossa muuttaminen,

- Käytettävyyteen vaikuttava tietoturvaloukkaus, kun vahingossa tai luvattomasti päästään henkilötietoja hävittämään tai tuhoamaan.⁴⁷

Henkilötietosuojasta ja tietosuojasta puhutaan usein toistensa synonyymeinä. Käsitteiden ero on siinä, että henkilötietojen suoja on oikeudellinen peruskäsite. Oikeuslingvistisesti ja lakiteknisesti katsotaan, että henkilötietojen suoja on tietosuojalainsäädännön avulla toteutettua yksityisyyden suojaa ja sillä suojataan yksilön perusoikeutta. Tietosuojallakaan ei aina tarkoiteta pelkän tiedon suojaamista. Sillä on usein tarkoitus suojata henkilöä, hänen

45 Tietosuoja-asetus, 4 artikla 1 kohta.

46 WP 250/2018/EN, s.7; WP 250/2018/FI, s. 6.

47 WP 250/2018/FI, s. 7.

(26)

tietojaan ja oikeuksia. Tietosuojasta on tullut vakiintunut käsite henkilötietojen suojaamisesta puhuttaessa.⁴⁸

Euroopan unionissa vaikuttava halu suojata yksityisyyttä on lähtökohdiltaan ainakin osittain yksilökeskeinen. Se ilmenee unionin tuomioistuimen viimeisimmissä ratkaisuissa ja uudessa asetuksessa. Tietosuojakehityksen taustalla on myös havaittavissa ajattelutapa, jossa yksilöt ja yhteisö määritellään toisistaan erillisinä. Tämä ilmenee erityisesti niissä ratkaisuissa, joissa lähtökohdaksi otetaan rekisteröidyn subjektiivinen näkemys yksityisyytensä rajoista.

Samankaltaisia oletuksia on havaittavissa uudessa asetuksessa erityisesti niiltä osin kuin se voimistaa rekisteröidyn oikeuksia hallita henkilötietojensa käsittelyä.⁴⁹

Tietosuojaa laajempi käsite puolestaan on tietoturva, jolla tarkoitetaan kaiken tiedon, esimerkiksi liikesalaisuuksien suojaamista ulkopuolisilta.⁵⁰

Esimerkki tietoturvan toteuttamisesta liikesalaisuuksien suojamisessa:

Liikesalaisuudet voivat liittyä esimerkiksi patentteihin. Kun asiakkaalle lähetetään teknisiä tietoja patentoidusta tuotteesta, tiedot lähetetään tietoturvan toteuttamiseksi siinä muodossa, että niiden plagiointi on mahdotonta.

Tietosuojavaltuutetun toimiston määritelmä henkilötietojen tietoturvaloukkauksesta on yhteneväinen tietosuoja-asetuksen suomenkielisen version kanssa. Tietosuojavaltuutetun toimisto käyttää esimerkkeinä hävinnyttä USB-tikkua, varastettua tietokonetta, tietokoneen hakkerointia, haittaohjelman tartuntaa, kyberhyökkäystä, tulipaloa datakeskuksessa tai tiliotteen postittamista väärälle henkilölle.⁵¹

Esimerkki henkilötietojen tietoturvaloukkauksesta:

Yrityksessä on kaksi samannimistä henkilöä. Yritys on velvollinen toimittamaan tiedot palkanmaksusta yksittäiselle henkilölle. Henkilön palkkatiedot voivat vahingossa mennä

48 Saarenpää 2012, s. 318–319.

49 Lindroos-Hovinheimo 2018, s. 73.

50 Saarenpää 2012, s. 318–319.

51 Tietosuojavaltuutetun toimisto 2018b; WP 250/2018/FI, s. 6.

(27)

väärälle saman nimiselle henkilölle. Tällöin kirjekuoren avatessaan henkilö saa tietoonsa toisen henkilön henkilötietoja, jolloin tietoturvaloukkaus toteutuu. Käytännössä kyseisen tietoturvaloukkauksen toteutuminen nykyisin on vähäistä, koska yritykset ovat pääsääntöisesti siirtyneet sähköisen palkkatiedon toimittamiseen.

Kansaneläkelaitoksen (Kela) tapauksessa henkilö X kertoi saaneensa Kelalta asiakirjoja omalla nimellään varustetussa kirjeessä. Kirjeessä oli kuitenkin mukana toisen henkilön tietoja, muun muassa toisen ihmisen yksityiskohtaisia ja arkaluonteisia henkilötietoja. Henkilö X otti Kelaan yhteyttä ja ilmoitti tapauksesta. Selvityksen perusteella Kela lupasi tehdä toimintatapoihinsa tarvittavia korjauksia tai muutoksia, jotta vastaava ei enää jatkossa toistuisi. Kelan mukaan tapaus johtui inhimillisestä virheestä, joka tapahtui virkailijan tulostaessa dokumentteja. Kela myönsi, että vääriin käsiin joutuneilla tiedoilla voi syntyä vakavaa vahinkoa.⁵²

Henkilötietojen käytettävyyden tai saatavuuden loukkausta ei aina voida yksiselitteisesti määritellä. Yhtenä näkökulmana voi olla se, että henkilötiedot on pysyvästi menetetty tai ne ovat tuhoutuneet. Tämän voi aiheuttaa esimerkiksi pidempiaikainen sähkökatkos, jolloin tietoja ei voida palauttaa varmuuskopion avulla.⁵³

Henkilötietojen tietoturvaloukkauksen yhteydessä on rekisterinpitäjän tai henkilötietojen käsittelijän huomioitava, onko tieto ollut salassa pidettävää tietoa. Mikäli salassa pidettyyn henkilötietoon kohdistuu tietoturvaloukkaus, on varmistettava varmuuskopion olemassaolo ja sen salauksen säilyminen. Salauksen vahvuustasolla on merkitystä silloin, kun arvioidaan tietoturvaloukkauksen ilmoittamisvelvollisuuskynnyksen ylittymistä.⁵⁴

Terveyden ja hyvinvointilaitos (THL) tapauksessa THL vuoti luottamuksellisia henkilötietoja THL:n omille verkkosivuille elokuussa 2017. THL sai tiedon tapahtuneesta tietosuojavaltuutetun toimistolta. Tiedon saatuaan THL poisti tiedot verkosta ja ilmoitti tekevänsä kaikkensa, ettei tapahtuneesta aiheudu kyseisille henkilöille haittaa ja että vastaavaa ei pääse jatkossa tapahtumaan.

Kyseessä ei ollut tietomurto, vaan asia tulkittiin THL:n osalta inhimilliseksi virheeksi henkilötietojen käsittelyssä. Työntekijä oli käyttänyt tietoja lakisääteisiin työtehtäviinsä. Tietovuoto ei tapahtunut

52 Kansaneläkelaitos 2018.

53 Tietosuojavaltuutetun toimisto 2018c; WP 250/2018/FI, s. 7.

54 WP 29/2013/EN, s. 3.

(28)

suoraan THL:n tietojärjestelmistä vaan työntekijän laatiessa esitysmateriaalia, jossa käytettiin henkilötietoja sisältävää aineistoa. THL ei julkistanut asiasta tarkempia yksityiskohtia perustellen asiaa tietosuojasyillä. Näin pyrittiin tietovuodon kohteeksi joutuneiden henkilöiden vahinkojen minimointiin. THL kertoo, että heillä ei ole tiedossa, että verkkoon vuotaneita tietoja olisi käytetty väärin.⁵⁵

Liikenne- ja viestintäviraston (Trafi) tapauksessa joulukuussa 2018 ilmeni, että Trafin verkkosivujen kuljettajatietopalvelusta oli voinut tarkistaa ihmisten ajokorttitietoja. Kysymyksiä nousi palvelun tietosuojasta ja tietoturvasta. Jos on tiennyt ihmisen perushenkilötiedot eli nimen ja kotikunnan, palvelusta pystyi katsomaan esimerkiksi, onko ajokortti voimassa. Liikenne- ja viestintäministeriö pyysi viestintävirastoa ottamaan kantaa siihen, onko sähköisten palveluiden määrittely tapahtunut asianmukaisesti ja onko kuljettajien henkilötietoja ollut palvelun käyttöönoton jälkeen mahdollista saada massaluovutuksena.⁵⁶ Tietosuojavaltuutettu Reijo Aarnion mukaan palvelun kautta saatuja henkilötietoja on voitu käyttää esimerkiksi identiteettivarkauksiin.⁵⁷

Tässä vaiheessa tietosuojalainsäädäntöä käsitellään mm. apulaisoikeusasiamiehen oma- aloitteisena toimintana. Eduskunnan apulaisoikeusasiamies Maija Sakslin tutkii Trafin toiminnan ajokorttipalvelun tietovuotoa. Sakslin on ottanut asian käsiteltäväkseen omasta aloitteestaan tietosuoja-asetuksen nojalla. Hän on pyytänyt Trafilta selvitystä tammikuun 2019 loppuun mennessä. Trafilta on pyydetty selvitystä muun muassa siitä, minkälaisiin oikeudellisiin tietoihin ajokorttipalvelun avaaminen ja sulkeminen on perustunut. Trafilta halutaan myös selvitystä siitä, miten virasto on tiedottanut asiasta.⁵⁸

Tällä hetkellä ei vielä ole saatavana oikeuskäytäntöä tietosuoja-asetuksen ja tietosuojalain voimassaolon aikana tapahtuneista tietoturvaloukkauksista, joiden aiheuttajana olisi yritys tai ne kohdistuisivat yrityksiin. Viitteitä niille antaa kuitenkin se, että tietosuojavaltuutetun toimisto on saanut alkuvuoteen 2019 mennessä jo yli 2700 ilmoitusta henkilötietojen tietoturvaloukkauksista⁵⁹.

55 Eskola 2017.

56 Liikenne- ja viestintäministeriö 2018a.

57 Liikenne- ja viestintäministeriö 2018b.

58 Liikenne- ja viestintäministeriö 2018c.

59 Tietosuojavaltuutetun toimisto 2019c.

(29)

Tuleva oikeuskäytäntö määrittää, miten tietoturvaloukkauksiin suhtaudutaan.

Oikeuskäytäntö näyttää, luokitellaanko tietoturvaloukkaukset tahattomiksi vahingoiksi, inhimillisiksi virheiksi vai tietoturvarikoksiksi.

2.3 Tietoturvaloukkauksen riskitasot

Tietosuoja-asetuksen yhtenä lähtökohtana on riskilähtöisyys⁶⁰. Rekisterinpitäjät ja henkilötietojen käsittelijät ovat näin ollen velvollisia arvioimaan henkilötietojen käsittelyyn liittyviä riskejä ja valitsemaan arvioidun riskitason mukaan tarvittavat hallintatoimen- piteet⁶¹. Asetuksen 32 artiklan mukaan henkilötietojen käsittelyn turvallisuuden edistämiseksi rekisterinpitäjän tai henkilötietojen käsittelijän on huomioitava uusin tekniikka ja toteuttamiskustannukset sekä asianmukaiset tekniset ja organisatoriset toimenpiteet. Tietoturvaloukkauksesta aiheutuneet riskit tulee arvioida määrittelemällä riskitasot, joiden mukaan tietoturvatoimenpiteet on mitoitettava.

Tietosuoja-asetuksen johdanto-osan 75 ja 76 kohdissa todetaan, että riskiä arvioitaessa on otettava huomioon rekisteröityjen oikeuksille ja vapauksille aiheutuvan riskin todennäköisyys ja vakavuus. Riski on arvioitava objektiivisen arvioinnin perusteella kohteeksi joutuneiden henkilötietojen luonne, arkaluonteisuus ja määrä huomioiden.

Arvioitaessa tietoturvaloukkauksen aiheuttamaa riskiä henkilöiden oikeuksille ja vapauksille keskitytään eri asioihin kuin tietosuojaa koskevassa vaikutusten arvioinnissa.

Tietosuojariskien hallinnan on syytä olla osa organisaation riskienhallintaprosessia. Tällöin merkittävän tason riskit tulee raportoiduksi yrityksen johdolle. Riskilähtöisyydellä on ohjaava vaikutus organisaation henkilötietojen käsittelyssä. Se on erittäin tärkeä osa rekisterinpitäjän osoitusvelvollisuuden toteuttamista.⁶²

Jos tietoturvaloukkaus aiheuttaa korkean riskin yksittäisille henkilöille, heille on ilmoitettava asiasta. Yrityksen on valvontaviranomaiselle tehtävän ilmoituksen lisäksi ilmoitettava tapahtuneesta vuodosta myös yrityksen henkilöstölle. Esimerkiksi silloin, jos

60 Valtionvarainministeriö 2016.

(30)

yrityksen osan tai koko henkilöstön tiedoissa on tapahtunut vuoto. Yrityksessä vuotaneet henkilötiedot sisältävät esimerkiksi yrityksen henkilöstön perustietoja kuten kotiosoitteen, perhesuhteet, kuukausipalkan ja sairausvapaan tiedot.⁶³

63 Euroopan komissio 2018.

(31)

3 VASTUUT TIETOTURVALOUKKAUKSESSA

3.1 Johdon vastuu ja ilmoitusvelvollisuus

Yritys on tietosuoja-asetuksen 4 artiklan 7 kohdan mukainen rekisterinpitäjä. Rekisterin- pitäjänä yritys käsittelee asiakkaiden, henkilöstön tai työnhakijoiden henkilötietoja. Johdolla tarkoitetaan yrityksen ylintä johtoa. Ylimmällä johdolla on kokonaisvastuu yrityksen turvallisuudesta. Ylin johto tekee päätökset tietoturvaan liittyvien uhkatilanteiden selvittämiseksi.

Yrityksen johdon on varmistettava, että yrityksessä on selkeät roolit ja vastuut eri organisaatiotasoilla siitä, miten tietoturvaan liittyvissä uhkatilanteissa toimitaan. Vastuut ja roolit tietosuojan varmistamiseksi on dokumentoitava ja ne tulee tarkistaa säännöllisesti.

Tietosuoja-asetuksen 24 artiklan 1 kohdan mukaan yritysjohdon tulee rekisterinpitäjän vastuulla toteuttaa rekisterinpitäjälle kuuluvat tarvittavat tekniset ja organisatoriset toimenpiteet, joilla se voi varmistaa sekä osoittaa, että se rekisterinpitäjänä noudattaa henkilötietojen käsittelyssä tietosuoja-asetusta.

Tietosuoja-asetuksen 25 artiklan mukaan sisäänrakennettu ja oletusarvoinen tietosuoja tulee toteuttaa huomioiden uusin tekniikka ja toteuttamiskustannukset suhteessa käsiteltävien tietojen luonteeseen, laajuuteen ja tarkoitukseen. Rekisterinpitäjän tulee varmistaa, että tekniset ja organisatoriset toimenpiteet ovat tarkoituksenmukaisia kunkin käsiteltävän henkilötiedon osalta. Toimenpiteiden avulla varmistetaan, että henkilötietoja ei saateta rajoittamattomasti muiden ihmisten saataville ilman asianomaisen henkilön myötä- vaikutusta.

Rekisterinpitäjänä työnantajalle muodostuu erilaisia henkilötietorekistereitä, kuten työsuhteen hoitoa varten muodostuneet rekisterit. Rekisterinpitäjänä työnantajan tulee noudattaa hyvää tietojen käsittelytapaa: tarpeellisuutta, lainmukaisuutta ja käsittelyn huolellisuusvelvoitetta. Lisäksi työnantajan tulee varmistaa, että yksityisyyden suojan

(32)

turvaaminen on toteutettu. Yksityisyyden suojaamisen tulee kattaa tahallinen ja vahingossa tapahtuva tietojen hävittäminen, muuttaminen, luovuttaminen tai muu laiton käsittely.⁶⁴ Työnantajalla on oikeus itse päättää henkilörekistereiden muodostamisesta, mutta sen on esimerkiksi huomioitava arkaluonteisten tietojen säilytysajat⁶⁵.

Yrityksen johdon on tiedostettava, että henkilötiedot on suojattava asianmukaisesti.

Henkilörekisterit, kuten esimerkiksi henkilötietoja sisältävät mapit, tulee suojata säilyt- tämällä ne lukollisessa kaapissa ja lukitussa huoneessa. Lukittuihin tiloihin pääsyn tulee olla vain niillä henkilöillä, joiden tehtäviin kuuluu näiden henkilötietojen käsittely.

Tietosuoja-asetuksen 29 artiklassa säädetään, että henkilötietojen käsittelijä tai kukaan rekisterinpitäjän tai henkilötietojen käsittelijän lukuun toimiva henkilö, jolla on pääsy henkilötietoihin, ei saa käsitellä tietoja vastoin rekisterinpitäjän ohjeita, ellei unionin oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita. Yritysjohdon tulee korostaa 29 artiklan mukaisesti henkilöstölleen, että jokaisella on vastuu yrityksen tietosuojasta.

Jokaisen työntekijän tai henkilön yrityksessä on noudatettava yrityksen tietosuojaohjeistusta ja viipymättä ilmoitettava havaitsemistaan tietosuojapuutteista tai tietosuojaloukkauksista yrityksen tietosuojasta vastaaville henkilöille tai esimiehelleen. Yrityksen johdon tulee harkita ja kantaa vastuu siitä, milloin tietosuojaloukkaus on ilmoitettava valvontaviranomaiselle.

Henkilötietojen tietoturvaloukkauksesta tulee ilmoittaa kansalliselle valvontaviranomaiselle (TsA 4 artikla 21 kohta). Tietosuojalain 3 luvun 8 §:n mukaan kansallisena valvonta- viranomaisena toimii tietosuojavaltuutettu. Lain 9 §:n mukaan tietosuojavaltuutetun toimisto toimii oikeusministeriön yhteydessä. Tietosuojavaltuutettu on toiminnassaan itsenäinen ja riippumaton. Valvontaviranomaisesta lisää myöhemmin kohdassa 4.2.1.

64 Nyyssölä 2014, s. 36;46;183.

65 Nyyssölä 2014, s. 36;46;183.

(33)

3.2 Rekisterinpitäjän velvollisuudet

3.2.1 Osoitusvelvollisuus

Rekisterinpitäjälle on asetettu osoitusvelvollisuus tietosuoja-asetuksen 5 artiklan 2 kohdan mukaan, jossa rekisterinpitäjä vastaa ja sen on pystyttävä osoittamaan, että asetuksen 5 artiklan 1 kohdan mukaisia velvollisuuksia on noudatettu. Tietoturvaloukkauksen yhteydessä 5 artiklan mukainen osoitusvelvollisuus koskee henkilötietojen käsittelyyn liittyvien sopimusten tekemistä sekä henkilötietojen tietoturvaloukkausten dokumentoinnin toteuttamista. Osoitusvelvollisuus asettaa rekisterinpitäjän uudenlaiseen haasteeseen tietosuojaan koskevien kysymysten osalta.

Rekisterinpitäjän tulee pystyä osoittamaan, että toiminnassa on noudatettu tietosuoja- säännöksiä.⁶⁶ Osoitusvelvollisuutta on käsitelty asiantuntijalausunnoissa käsitteenä tili- velvollisuus, mutta tietosuoja-asetuksessa puhutaan osoitusvelvollisuudesta.

Osoitusvelvollisuus nousee esiin henkilötietojen keräämisen yhteydessä annettavan yksiselitteisen suostumuksen saamisen todentamisessa. KHO:n päätöksestä (2018:171) ilmenee, että suostumuksen saaminen on pystyttävä selkeästi todentamaan.

KHO 2018:171

…”Jehovan todistajien on noudatettava tietosuojalautakunnan päätöstä, jolla lautakunta on kieltänyt Jehovan todistajia keräämästä nimilistoja tai käyttämästä muistiinpanoja käynneistään ovelta ovelle tapahtuvan saarnaamistyönsä yhteydessä. Nimilistojen ja muistiinpanojen laatimiseen ja käyttämiseen tarvitaan aina asianomaisten suostumus.”…

Korkein hallinto-oikeus pyysi 22.12.2016 asiassa EU-tuomioistuimen ennakkoratkaisua ja antoi oman päätöksensä 17.12.2018. KHO:n ratkaisu noudattaa EU-tuomioistuimen ennakkoratkaisun linjaa. Tietosuojavaltuutettu toi asian alun perin tietosuojalautakunnan ratkaistavaksi 17.9.2013.

66 Andearsson – Koivisto – Ylipartanen 2016, s. 9–10.

(34)

Tapauksessa rekisterinpitäjä ei pystynyt osoittamaan, että olisi ohjeistanut saarnaamistyötä tekeville riittävän selkeästi, että suostumus tarvitaan henkilötietojen keräämiseen.

Asiakirjoista saatavan selvityksen perusteella ovelta ovelle -saarnaamistyötä tekevät yksittäiset Jehovan todistajat eivät ainakaan yleensä pyydä rekisteröitäviltä yksiselitteistä suostumusta henkilötietojen käsittelyyn eikä asiakirjoista myöskään ilmene, että yhdyskunta olisi heitä tähän ohjeistanut.

Rekisterinpitäjä ei ole myöskään riittävällä tasolla korjannut toimintaansa, kun asia on tullut vireille 2013. Tässä tapauksessa henkilötietojen kerääminen on voinut tapahtua ilman suostumusta useiden vuosien ajan. Rekisterinpitäjä on odottanut oikeuden päätöstä asiasta viisi vuotta, mikä asettaa pitkäaikaisia haasteita korjaavien toimenpiteiden toteuttamiselle.

y htey dessä. Nimilistojen ja muistiinpanojen laatimiseen ja käy ttämiseen tarvitaan aina asianomaisten suostumus.

an todistajien on n oudatettava tietosuojalauta kunnan päätöstä, jolla lauta kunta o n kieltäny t Jehovan todistajia keräämästä nimilistoja tai käy ttämästä muistiinpanoja käy nneistään ovelta ove lle tapahtuvan saarnaamisty önsä y htey dessä. Nimilistojen ja muistiinpanojen laatimiseen ja käy ttämiseen tarvitaan aina asianomaisten suostumus.

3.2.2 Valvontaviranomaiselle tehtävä ilmoitus tietoturvaloukkauksesta

Rekisterinpitäjän velvollisuutena on tietosuoja-asetuksen 33 artiklan 1 kohdan mukaan ilmoittaa tietoturvaloukkauksista valvontaviranomaiselle 72 tunnin kuluessa siitä, kun tietoturvaloukkaus on tullut rekisterinpitäjän tietoon. Tietoturvaloukkauksen määritelmää tulee ilmi on tarkennettu koskemaan tilannetta, jossa rekisterinpitäjä on tullut tietoiseksi tietoturvaloukkauksesta eli kun rekisterinpitäjällä on kohtuullinen varmuus siitä, että on tapahtunut henkilötietoja vaarantava turvapoikkeama⁶⁷. Rekisterinpitäjän on huolehdittava asetuksen 24 ja 25 artiklan mukaisista asiallisista teknisistä suojatoimenpiteistä ja organisatorisista toimenpiteistä varmistaakseen, että mahdolliset tietoturvaloukkaukset tulevat ilmi ajoissa.

Ilmoituksen osalta tietosuoja-asetuksen 33 artikla 1 kohta ei erittele 72 tunnin määräajassa arki- tai pyhäpäiviä. Aika kuluu siis myös pyhäpäivinä. Yritysten on rekisterinpitäjinä ja henkilötietojen käsittelijöinä huomioitava pitkien pyhien päivystystarpeet ja -käytännöt.

Rekisterinpitäjän on huomioitava, että 72 tunnin ajan laskenta alkaa siitä, kun tietoturvaloukkaus on tullut rekisterinpitäjän tietoon. Rekisterinpitäjällä on mahdollisuus tutkia vähän aikaa, onko tietoturvaloukkaus tapahtunut. Tutkinta on aloitettava

67 WP 250/2018/FI, s. 10.