Electronic Frontier Finland – Effi ry kysyy tietosuojavaltuutetulta seuraavaa. Julkistamme kysymyksemme myös Effin Internet-sivuilla asian laajan yhteiskunnallisen merkityksen vuoksi.
Julkisuudessa ollut psykoterapiaa tarjoavan yrityksen palveluissa olleisiin potilastietoihin kohdistunut tietomurto on herättänyt yleistä huomiota. Näin laajamittaiset henkilötietojen vääriin käsiin joutumiset ovat onneksi harvinaisia. Henkilötietojen käsittelyssä on kuitenkin tapaukseen liittyvä ongelma, jonka yhteydessä on syytä pohtia miten rekisteröityjen oikeudet toteutuvat.
EU:n yleinen tietosuoja-asetus (GDPR) määrittelee 4 artiklassa henkilötietojen tietoturvaloukkauksen seuraavasti:
12) ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin,
Asetuksesta eikä Euroopan tietosuojaneuvoston tai sen edeltäjän WP29:n kannanotoista tai ohjeistuksesta ei käy ilmi se, mitä luvaton pääsy tietoihin tarkkaan ottaen tarkoittaa. Tiivistämme ongelman näin: jos rekisterinpitäjä havaitsee, että on ollut tietoturva-aukko tai haavoittuvuus ja siten on ollut “avoimien ovien päivät”, onko se jo itsessään henkilötietojen tietoturvaloukkaus vai pitääkö olla lisäksi tieto tai epäilys siitä että tietoja on tosiasiallisesti tarkastellut tai saanut haltuunsa kolmas osapuoli, jolla ei siihen ole oikeutta. Ilmoitetaanko siis jo jos on ollut tietosuojaovet levällään vai vasta jos epäillään että joku on kävellyt niistä sisään?
Rekisteröidyn oikeuksien toteutumisen kannalta kysymys on olennainen siksi, että vasta sitten kun henkilötietojen tietoturvaloukkaus tapahtuu, rekisterinpitäjällä on velvollisuus tiedottaa tietoturvaloukkauksesta rekisteröityjä GDPR:n 34 artiklan mukaisesti ja ilmoittaa siitä 33 artiklan mukaisesti valvontaviranomaiselle eli Suomessa tietosuojavaltuutetulle. Rekisteröity ei voi mitenkään varautua mahdollisen henkilötietojen vuotamisen vaikutuksiin jos ei tiedä siitä.
Pyydämme tietosuojavaltuutetulta kantaa kahteen esimerkkitapaukseen joissa on epäselvää, täyttyvätkö henkilötietojen tietoturvaloukkauksen kriteerit vaiko eivät.
1) Rekisterinpitäjä huomaa, että henkilötietoja on siirretty julkisessa Internetissä vailla salausta. Näin ollen kuka tahansa viestiliikenteeseen käsiksi pääsevä on periaatteessa voinut tarkastella tietoja.
2) Rekisterinpitäjä huomaa tai saa tietää käsittelevänsä joko itse tai henkilötietojen käsittelijänä toimivan sopimuskumppanin toimesta tietoja kolmannessa maassa ilman 45 ja 46 artikloissa kuvattujen edellytysten täyttymistä.
Toisen esimerkkitapauksen osalta toteamme, että kyse on ymmärtääksemme juuri samanlaisesta tietosuojakysymyksestä kuin se, jonka perusteella Euroopan unionin oikeus niin sanotussa Schrems II -tuomiossaan katsoi EU:n ja Yhdysvaltain välisen Privacy Shield-sopimuksen pätemättömäksi.
5.11. 2020
Hallitus
Electronic Frontier Finland – Effi ry