Tietosuoja- ja tietoturvapoikkeama - aikaa 72h reagoida GDPR:n art. 33 mukaisesti

Metropolialla on rekisterinpitäjänä vain 72 tuntia aikaa reagoida siihen, kun kyseessä on GDPR:n artiklan 33 mukainen tietosuoja- tai tietoturvapoikkeamatilanne. Tässä ohjeessa on kuvattu Metropolian tietosuoja- tai tietoturvapoikkeaman käsittelyprosessi.

Metropolian Helpdeskin palvelupyyntöjärjestelmän etusivulla on oma kohta ilmoitusta varten: "Tietosuoja- ja tietoturvapoikkemailmoitus". Kun täytät palvelupyyntöjärjestelmän kautta tietosuoja- ja tietoturvapoikkemailmoituksen, ohjautuu se automaattisesti tietoon myös Metropolian tietosuojavastaavan sähköpostilaatikkoon.

Jos epäilet, että olet tietosuoja- ja tietoturvapoikkeamatilanteessa, tee välittömästi epäilystäsi ilmoitus Metropolian Helpdeskiin ja/tai tietosuojavastaavalle. Soita asiasta myös aina Metropolian tietosuojavastaavalle: Tuulia Aarnio, p. 040 844 0690.

Metropolian tietosuojavastaavalle saa soittaa aina tietosuoja- ja tietoturvapoikkeamatilanteessa matalalla kynnyksellä ja pyytää apua.

Käsittelyprosessin tarkoituksena on vastata EU:n tietosuoja-asetuksen asettamiin vaatimuksiin poikkeamatilanteiden hallinnassa (erityisesti EU:n tietosuoja-asetuksen, GDPR:n artiklan 33 mukaisiin vaatimuksiin).

Ohjetta sovelletaan silloin kun Metropolialle ilmoitetaan tai Metropoliassa havaitaan mahdollinen tai toteutunut henkilötietojen päätyminen sellaiselle taholle/tahoille, jonka/joiden ei kuulu saada siirtyneitä henkilötietoja haltuunsa tai kuulu saada edes katseluoikeutta ko. henkilötietoon. Tällaista tilannetta kutsutaan tietosuoja- tai tietoturvapoikkeamatilanteeksi (lyhyesti: tietosuoja- tai tietoturvapoikkeama).       

Tietosuoja- tai tietoturvapoikkeamat tulee käsitellä mahdollisimman nopealla aikataululla havainnon jälkeen. On myös huomattava, että poikkeamasta voi seurata tiedottamisvelvollisuus Tietosuojavaltuutetun toimistoon ja/tai henkilöille (rekisteröidyille), joiden tietoja on vuodettu.

Arviointi tiedottamisvelvollisuudesta tehdään varsinaisessa, virallisessa ohjeessa/käsittelyprosessissa kuvattujen kohtien 3.5, 3.6 ja 3.7 mukaisesti.

Ohjeen soveltamisessa apua saa Metropolian omalta tietosuojavastaavalta:

Metropolian tietosuojavastaava
Tuulia Aarnio
tietosuojavastaava metropolia fi 
tuulia.aarnio metropolia fi

Poikkeaman käsittelyprosessi

Poikkeaman käsittelyprosessi voidaan jakaa seuraaviin tehtäviin:

  • havaitseminen: mitä tehdään, kun ollaan saatu ensi ilmoitus tai tehty ensi havainto mahdollisesta poikkeamasta (ks. virallinen ohje/käsittelyprosessi, kohta 3.1)
  • poikkeaman rajoittaminen: tehdään toimenpiteet, joilla estetään lisävahinkojen tapahtuminen (ks. virallinen ohje/käsittelyprosessi, kohta 3.2)
  • poikkeaman laajuuden arviointi: tunnistetaan, mitä tietoa on vuotanut ja millainen on vuodon laajuus (ks. Virallinen ohje/käsittelyprosessi, kohta 3.3)
  • tilanteen korjaustoimenpiteet: tehdään muut toimenpiteet, joilla estetään vastaavan tapahtuman toistuminen, esimerkiksi korjataan mahdolliset tietojärjestelmävirheet (ks. virallinen ohje/käsittelyprosessi, kohta 3.4)

Tietosuojapoikkeaman käsittelyprosessi Metropoliassa (kokonaisuudessaan, linkki OMA:n GDPR ja tietosuoja -sivuille ja huomautus, että linkin avautuminen edellyttää Metropolian käyttäjätunnuksia).