Pääkaupunkiseudun Partiolaisten GDPR-blogisarjan seitsemännessä osassa aiheena on tietosuojaloukkaus. Tietosuojaloukkaus on tapahtuma, jossa henkilötietoja tuhoutuu, häviää, muuttuu, niitä luovutetaan luvattomasti tai niihin pääsee käsiksi asiaton taho. Lippukunnan pitää huolehtia henkilötietojen riittävästä suojaamisesta, jottei tietosuojaloukkauksia tapahtuisi.
Tietovuoto tapahtuu helpoiten vahingossa. Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi
- laajojen sähköpostiosoitelistojen lähetys vastaanottajakentässä (pitäisi käyttää piilokopiota),
- arkaluonteisten tietojen postitus väärälle henkilölle,
- hävinnyt tiedonsiirtoväline, esimerkiksi USB-tikku,
- varastettu tietokone tai puhelin,
- hakkerointi,
- haittaohjelmatartunta tai
- tulipalo kololla.
Jos havaitset lippukunnassasi mahdollisen tietosuojaloukkauksen tai epäilet sitä, ota välittömästi yhteyttä ja keskustele virallisen tietotuojaloukkausilmoituksen tekemisestä Suomen Partiolaisten kanssa.
Jokaisesta pienestä säröstä tietoturvassa ei tarvitse tehdä ilmoitusta, riittää kun poikkeama havaitaan ja korjataan. Jos henkilötietojen tietosuojaloukkauksesta voi aiheutua riski henkilön oikeuksille ja vapauksille, ilmoitus on ehdottomasti tehtävä mahdollisuuksien mukaan 72 tunnin sisällä valvontaviranomaiselle.
Tässä ajassa pitää osata kertoa, mitä henkilötietoa on joutunut vääriin käsiin, mitkä ovat sen todennäköiset seuraukset, kuinka tilanteeseen on varauduttu sekä mitä toimia haittavaikutusten ehkäisemiseksi on tehty. Ilmoituksen tietosuojavaltuutetulle voi tehdä sähköisellä lomakkeella osoitteessa: tietosuoja.fi/ilmoitus-tietoturvaloukkauksesta.
Ilmoitus rekisteröidylle tietosuojaloukkauksesta
Tapauksissa, joissa tietosuojaloukkaukset ilmoitetaan tietosuojavaltuutetulle, on lippukunnan ilmoitettava tietosuojaloukkauksesta myös rekisteröidylle eli henkilölle/henkilöille, joita tietosuojaloukkaus koskee. Tämän on tapahduttava viivyttelemättä.
Rekisteröidylle on annettava tietosuojavastaavan nimi, yhteystiedot ja yhteyspiste mistä saa lisätietoja. Rekisteröidylle pitää myös pystyä antamaan selkeä kuvaus henkilötietojen tietoturvaloukkauksesta, henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset sekä toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. Lippukunnan on myös dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset ja pystyttävä osoittamaan niiden vaikutukset ja korjaavat toimet.
Lisätietoja henkilötietojen käsittelystä partiossa löytyy Suomen Partiolaisten verkkosivulta: www.partio.fi/tietosuoja.
Tämä on blogisarja, jossa käsitellään kerrallaan aina yhtä tai muutamaa tietosuojaan liittyvää asiaa partion näkökulmasta. Partioharrastus ja -toiminta edellyttävät usein henkilötietojen käsittelyä ja siksi onkin tärkeää, että kaikki lippukunnassa Kuksa-jäsenrekisteriä ja henkilötietoja käsittelevät partiolaiset koulutetaan oikeisiin toimintatapoihin. Henkilötiedoilla tarkoitetaan asioita, joilla henkilöä kuvataan ja joilla hänet voidaan tunnistaa, epäsuorastikin. Henkilötietoja ovat esimerkiksi nimi, valokuva, sähköpostiosoite, puhelinnumero, auton rekisterinumero tai IP-osoite.