Kuinka osoittaa GDPR-artiklan 34 noudattaminen

GDPR:n artiklan 34 noudattaminen selittää, milloin ja miten organisaatioiden on ilmoitettava henkilöille henkilötietojen loukkauksista, jotka aiheuttavat suuren riskin heidän oikeuksilleen, sekä hahmotellaan poikkeuksia ja parhaita käytäntöjä noudattamiseen.

Varaa demo
kirjailija
Max Edwards
Päivitetty 11. maaliskuuta 2025
LinkedIn Twitter Twitter

GDPR:n artiklan 34 ymmärtäminen: Milloin ja miten henkilöille on ilmoitettava tietoturvaloukkauksista

GDPR Artiklassa 34 määritellään organisaation velvollisuus ilmoittaa rekisteröidyille tietoturvaloukkauksesta, joka todennäköisesti aiheuttaa merkittävän riskin heidän oikeuksilleen ja vapauksilleen yksilöinä.

GDPR artiklan 34 lakiteksti

EU:n GDPR-versio

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

  1. Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
  2. Tämän artiklan 1 kohdassa tarkoitetussa tiedonannossa rekisteröidylle on kuvattava selkeällä ja selkeällä kielellä henkilötietojen tietoturvaloukkauksen luonne ja sisällettävä vähintään b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet. ) 33 artiklan 3 kohdassa.
  3. Edellä 1 kohdassa tarkoitettua tiedonantoa rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:

    • a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, ja näitä toimenpiteitä on sovellettu henkilötietoihin, joihin henkilötietoturvaloukkaus vaikuttaa, erityisesti sellaisiin, jotka tekevät henkilötiedoista käsittämättömiä sellaiselle henkilölle, jolla ei ole oikeutta päästä käsiksi tietoihin, kuten salaus.
    • b) rekisterinpitäjä on toteuttanut myöhempiä toimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu.
    • c) se vaatisi suhteettoman paljon vaivaa. Tällöin on sen sijaan oltava julkinen viestintä tai vastaava toimenpide, jolla rekisteröidyille tiedotetaan yhtä tehokkaasti.
  4. Jos rekisterinpitäjä ei ole jo ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi, harkittuaan todennäköisyyttä, että henkilötietojen tietoturvaloukkaus johtaa suureen riskiin, vaatia sitä tekemään niin tai päättää, että jokin ehdoista viitataan 3 kohdan mukaiset vaatimukset täyttyvät.

Yhdistyneen kuningaskunnan GDPR-versio

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

  1. Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
  2. Tämän artiklan 1 kohdassa tarkoitetussa tiedonannossa rekisteröidylle on kuvattava selkeällä ja selkeällä kielellä henkilötietojen tietoturvaloukkauksen luonne ja sisällettävä vähintään b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet. ) 33 artiklan 3 kohdassa.
  3. Edellä 1 kohdassa tarkoitettua tiedonantoa rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:

    • a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, ja näitä toimenpiteitä on sovellettu henkilötietoihin, joihin henkilötietoturvaloukkaus vaikuttaa, erityisesti sellaisiin, jotka tekevät henkilötiedoista käsittämättömiä sellaiselle henkilölle, jolla ei ole oikeutta päästä käsiksi tietoihin, kuten salaus.
    • b) rekisterinpitäjä on toteuttanut myöhempiä toimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu.
    • c) se vaatisi suhteettoman paljon vaivaa. Tällöin on sen sijaan oltava julkinen viestintä tai vastaava toimenpide, jolla rekisteröidyille tiedotetaan yhtä tehokkaasti.
  4. Jos rekisterinpitäjä ei ole jo ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, komissaari, harkittuaan todennäköisyyttä, että henkilötietoturvaloukkaus johtaa suureen riskiin, voi vaatia sitä tekemään niin tai päättää, että jokin mainituista ehdoista täyttyy. 3 kohdan mukaiset vaatimukset täyttyvät.


Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Tekninen kommentti

GDPR:n artikla 34 tekee selväksi, että kaikista rikkomuksista ei pidä ilmoittaa rekisteröidyille. Organisaatioiden tulee kuitenkin ilmoittaa rikkomuksen yksityiskohdat, jos se todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

Artiklassa 34 hahmotellaan kolme pääaluetta, joihin on keskityttävä ilmoitettaessa tietoturvaloukkauksesta:

  • Käytetty kieli.
  • Tietyt tiedot, jotka ilmoitetaan.
  • Miten viestintä tapahtuu.

Rekisterinpitäjillä ei ole velvollisuutta ilmoittaa rikkomuksesta seuraavissa kolmessa tilanteessa:

  1. Organisaatiolla on "asianmukaiset tekniset ja organisatoriset suojatoimenpiteet".
  2. Se toteuttaa "myöhemmät toimenpiteet" rikkomisen lieventämiseksi.
  3. Rikkomuksesta ilmoittaminen vaatisi suhteettoman paljon vaivaa.

ISO 27701 -lauseke 6.13.1.1 (Vastuu ja menettelyt) ja GDPR-artikkeli 34

Tässä osiossa puhumme GDPR-artikkeleista 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) ja 34 (4).

Luodakseen yhtenäisen, erittäin toimivan tapaustenhallintapolitiikan, joka turvaa tietosuojatietojen saatavuuden ja eheyden kriittisten tapausten aikana, organisaatioiden tulee:

  1. Noudata tietosuojatietoturvatapahtumien raportointitapaa.
  2. Luo joukko prosesseja, jotka hallitsevat yksityisyyden tietoturvaan liittyviä tapahtumia kaikkialla yrityksessä, mukaan lukien:

    • Hallinto.
    • Dokumentointi.
    • Havaitseminen.
    • Triage.
    • Prioriteetti.
    • Analyysi.
    • Viestintä.

  3. Laadi tapausten reagointimenettely, jonka avulla organisaatio voi arvioida tapauksia, reagoida niihin ja oppia niistä.
  4. Varmista, että tapauksia hallitsee koulutettu ja pätevä henkilöstö, joka hyötyy jatkuvasta työpaikan koulutus- ja sertifiointiohjelmista.

Tietosuojatietoturvaloukkauksiin osallistuvan henkilöstön tulee ymmärtää:

  1. Tapauksen ratkaisemiseen tarvittava aika.
  2. Mahdolliset seuraukset.
  3. Tapahtuman vakavuus.

Käsitellessään tietosuojaa koskevia tietoturvatapahtumia henkilökunnan tulee:

  1. Arvioi tapahtumia tiukkojen kriteerien mukaisesti, mikä vahvistaa ne hyväksytyiksi tapahtumiksi.
  2. Luokittele tietosuojan tietoturvatapahtumat viiteen ala-aiheeseen:

    • Valvonta (katso ISO 27002 Kontrollit 8.15 ja 8.16).
    • Tunnistus (katso ISO 27002 Control 8.16).
    • Luokitus (katso ISO 27002 Control 5.25).
    • Analyysi.
    • Raportointi (katso ISO 27002 Control 6.8).

  3. Ratkaiseessaan tietosuojaa koskevia tietoturvaloukkauksia organisaatioiden tulee:

    • Vastaa ja eskaloi ongelmat (katso ISO 27002 Control 5.26) tapahtumatyypin mukaan.
    • Aktivoi kriisinhallinta ja liiketoiminnan jatkuvuussuunnitelmat.
    • Vaikuttaa ohjattuun toipumiseen tapahtumasta, joka lieventää toiminnallisia ja/tai taloudellisia vahinkoja.
    • Varmista, että tapahtumiin liittyvistä tapahtumista tiedotetaan perusteellisesti kaikille asiaankuuluville henkilöille.

  4. Osallistu yhteistyöhön (katso ISO 27002 Controls 5.5 ja 5.6).
  5. Kirjaa kaikki tapahtumanhallintaan perustuvat toiminnot.
  6. Vastaa tapahtumiin liittyvien todisteiden käsittelystä (katso ISO 27002 Control 5.28).
  7. Suorita perusteellinen perussyyanalyysi minimoidaksesi vaaran, että tapahtuma toistuisi, mukaan lukien ehdotetut muutokset prosesseihin.

Raportointitoiminnan tulisi keskittyä neljän avainalueen ympärille:

  1. Toimenpiteet, jotka on suoritettava tietoturvatapahtuman sattuessa.
  2. Tapahtumalomakkeita, jotka tallentavat tietoja koko tapahtuman ajan.
  3. Päästä päähän -palauteprosessit kaikille asiaankuuluville henkilöille.
  4. Tapahtumaraportit kertovat yksityiskohtaisesti, mitä tapahtui, kun tapaus on ratkaistu.

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


ISO 27701 -lauseke 6.13.1.5 (Reagointi tietoturvahäiriöihin) ja GDPR-artikkeli 34

Tässä osiossa puhumme GDPR-artikkeleista 34 (2) ja 34 (1)

Organisaatioiden tulee varmistaa, että yksityisyyden tietoturvaloukkauksia käsittelee oma tekninen tiimi, jolla on taidot ja resurssit nopeaan ratkaisuun (katso ISO 27002 Control 5.24).

Organisaatioiden tulee:

  1. Sisällytä kaikki alkuperäisestä ongelmasta johtuvat yksityisyyteen liittyvät uhat.
  2. Kerää todisteita koko ratkaisuprosessin ajan.
  3. Sisällytä eskalointi, BUDR-toiminnot ja jatkuvuuden suunnittelu kaikkiin ratkaisutoimiin (katso ISO 27002 -säädöt 5.29 ja 5.30).
  4. Kirjaa kaikki tapahtumaan liittyvät toimet.
  5. Varmista, että henkilökunta toimii "tarve tietää" -periaatteella käsitellessään yksityisyyttä koskevia tietoja.
  6. Ole jatkuvasti tietoinen heidän velvollisuuksistaan ​​asiakkaitaan ja ulkopuolisia organisaatioita kohtaan, kun tiedotat tietosuojatapauksista ja tietoturvaloukkauksista.
  7. Sulje tapaukset tiukkojen ratkaisukriteerien mukaisesti.
  8. Suorita rikostekninen analyysi (katso ISO 27002 Control 5.28) tarpeen mukaan.
  9. Yritä selvittää tapahtuman taustalla oleva syy, kun se on ratkaistu (katso ISO 27002 Control 5.27).
  10. Ryhdy korjaaviin toimenpiteisiin liittyvissä prosesseissa, hallinnassa, käytännöissä ja menettelyissä vahvistaaksesi organisaation yksityisyyden suojaa, kun tapaus on ratkaistu.

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.24
  • ISO 27002 5.27
  • ISO 27002 5.28
  • ISO 27002 5.29
  • ISO 27002 5.30

Tukee ISO 27701 -lausekkeita ja ISO 27002 -säätimiä

GDPR-artikkeliISO 27701 -lausekeISO 27002 -säätimet
EU:n GDPR:n artiklat 34 (1)–34 (4) ISO 27701 6.13.1.1 5.25
5.26
5.5
5.6
6.8
8.15
8.16
EU:n GDPR:n artikla 34 (2) ja 34 (1) ISO 27701 6.13.1.5 5.24
5.27
5.28
5.29
5.30

Miten ISMS.online Ohje

Sisäänrakennetun ohjeistuksen ja "Ota käyttöön, mukauta, lisää" -toteutustapamme ansiosta ISMS.online tekee GDPR-vaatimustenmukaisuuden osoittamisesta helppoa. Saatavillasi on myös joukko tehokkaita aikaa säästäviä ominaisuuksia.

Intuitiivisen alustamme avulla voit saavuttaa useita tietoturva- ja tietosuojatavoitteita kartoittamalla työsi useiden standardien ja puitteiden mukaan.

Jos tarvitset apua tai neuvoja matkallasi kohti GDPR:ää, voimme tarjota oman asiantuntijatiimimme saataville tai suositella luotettavaa kumppania, joka voi auttaa.

Lisätietoja: varata demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Grid Leader - kevät 2025
Momentum Leader - kevät 2025
Aluejohtaja – kevät 2025 Iso-Britannia
Alueellinen johtaja – kevät 2025 EU
Paras arvio ROI Enterprise – kevät 2025
Todennäköisimmin suositella yritystä - kevät 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

SOC 2 on täällä! Vahvista turvallisuuttasi ja rakenna asiakkaiden luottamusta tehokkaalla vaatimustenmukaisuusratkaisullamme jo tänään!