Metropolialla on rekisterinpitäjänä 72 tuntia aikaa reagoida siihen, kun kyseessä on GDPR:n 33 artiklan mukainen tietosuoja- tai tietoturvapoikkeamatilanne. Tässä ohjeessa on kuvattu Metropolian tietosuoja- tai tietoturvapoikkeaman käsittelyprosessi.
Metropolian Helpdeskin palvelupyyntöjärjestelmän etusivulla on oma kohta ilmoitusta varten: "Tietosuoja- ja tietoturvapoikkeamailmoitus". Kun täytät palvelupyyntöjärjestelmän kautta tietosuoja- ja tietoturvapoikkeamailmoituksen, ohjautuu se automaattisesti tietoon myös Metropolian tietosuojavastaavan sähköpostilaatikkoon.
Jos epäilet, että olet tietosuoja- ja tietoturvapoikkeamatilanteessa, tee välittömästi epäilystäsi ilmoitus Metropolian Helpdeskiin ja/tai tietosuojavastaavalle. Soita asiasta myös aina Metropolian tietosuojavastaavalle: Riikka Ikäheimonen, p. 050 565 8499.
Metropolian tietosuojavastaavalle saa soittaa aina tietosuoja- ja tietoturvapoikkeamatilanteessa matalalla kynnyksellä ja pyytää apua.
Käsittelyprosessin tarkoituksena on vastata EU:n tietosuoja-asetuksen asettamiin vaatimuksiin poikkeamatilanteiden hallinnassa (erityisesti EU:n tietosuoja-asetuksen, GDPR:n artiklan 33 mukaisiin vaatimuksiin).
Ohjetta sovelletaan silloin kun Metropolialle ilmoitetaan tai Metropoliassa havaitaan mahdollinen tai toteutunut henkilötietojen päätyminen sellaiselle taholle, jonka ei olisi kuulunut saada henkilötietoja haltuunsa tai ei olisi kuulunut saada edes teoreettista katseluoikeutta ko. henkilötietoon. Tällaista tilannetta kutsutaan tietosuoja- tai tietoturvapoikkeamatilanteeksi (lyhyesti: poikkeamatilanne).
Tietosuoja- tai tietoturvapoikkeamat tulee käsitellä mahdollisimman nopealla aikataululla havainnon jälkeen. On myös huomattava, että poikkeamasta voi seurata tiedottamisvelvollisuus Tietosuojavaltuutetun toimistoon ja/tai henkilöille (rekisteröidyille), joiden tietoja on vuodettu.
Arviointi ilmoituskynnyksen ylittymisestä sekä tiedottamisvelvollisuudesta tehdään varsinaisessa, virallisessa ohjeessa/käsittelyprosessissa kuvattujen kohtien 3.5, 3.6 ja 3.7 mukaisesti.
Ohjeen soveltamisessa apua saa Metropolian omalta tietosuojavastaavalta:
Metropolian tietosuojavastaava
Riikka Ikäheimonen
tietosuojavastaava [at] metropolia.fi
Poikkeaman käsittelyprosessi
Poikkeaman käsittelyprosessi voidaan jakaa seuraaviin tehtäviin:
- havaitseminen: mitä tehdään, kun ollaan saatu ensi ilmoitus tai tehty ensi havainto mahdollisesta poikkeamasta (ks. virallinen ohje Metropolian intranetin GDPR- ja tietosuojasivuilta/käsittelyprosessi, kohta 3.1)
- poikkeaman rajoittaminen: tehdään toimenpiteet, joilla estetään lisävahinkojen tapahtuminen (ks. virallinen ohje Metropolian intranetin GDPR- ja tietosuojasivuilta/käsittelyprosessi, kohta 3.2)
- poikkeaman laajuuden arviointi: tunnistetaan, mitä tietoa on vuotanut ja millainen on vuodon laajuus (ks. virallinen ohje Metropolian intranetin GDPR- ja tietosuojasivuilta/käsittelyprosessi, kohta 3.3)
- tilanteen korjaustoimenpiteet: tehdään muut toimenpiteet, joilla estetään vastaavan tapahtuman toistuminen, esimerkiksi korjataan mahdolliset tietojärjestelmävirheet (ks. virallinen ohje Metropolian intranetin GDPR- ja tietosuojasivuilta/käsittelyprosessi, kohta 3.4)
Tietosuoja- ja tietoturvapoikkeaman käsittelyprosessi Metropoliassa kokonaisuudessaan löytyy intranetin GDPR- ja tietosuojasivuilta (intranetiin pääsy edellyttää Metropolian käyttäjätunnuksia).