GDPR Artiklassa 34 määritellään organisaation velvollisuus ilmoittaa rekisteröidyille tietoturvaloukkauksesta, joka todennäköisesti aiheuttaa merkittävän riskin heidän oikeuksilleen ja vapauksilleen yksilöinä.
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
- Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
- Tämän artiklan 1 kohdassa tarkoitetussa tiedonannossa rekisteröidylle on kuvattava selkeällä ja selkeällä kielellä henkilötietojen tietoturvaloukkauksen luonne ja sisällettävä vähintään b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet. ) 33 artiklan 3 kohdassa.
- Edellä 1 kohdassa tarkoitettua tiedonantoa rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:
- a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, ja näitä toimenpiteitä on sovellettu henkilötietoihin, joihin henkilötietoturvaloukkaus vaikuttaa, erityisesti sellaisiin, jotka tekevät henkilötiedoista käsittämättömiä sellaiselle henkilölle, jolla ei ole oikeutta päästä käsiksi tietoihin, kuten salaus.
- b) rekisterinpitäjä on toteuttanut myöhempiä toimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu.
- c) se vaatisi suhteettoman paljon vaivaa. Tällöin on sen sijaan oltava julkinen viestintä tai vastaava toimenpide, jolla rekisteröidyille tiedotetaan yhtä tehokkaasti.
- Jos rekisterinpitäjä ei ole jo ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi, harkittuaan todennäköisyyttä, että henkilötietojen tietoturvaloukkaus johtaa suureen riskiin, vaatia sitä tekemään niin tai päättää, että jokin ehdoista viitataan 3 kohdan mukaiset vaatimukset täyttyvät.
Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle
- Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
- Tämän artiklan 1 kohdassa tarkoitetussa tiedonannossa rekisteröidylle on kuvattava selkeällä ja selkeällä kielellä henkilötietojen tietoturvaloukkauksen luonne ja sisällettävä vähintään b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet. ) 33 artiklan 3 kohdassa.
- Edellä 1 kohdassa tarkoitettua tiedonantoa rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:
- a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, ja näitä toimenpiteitä on sovellettu henkilötietoihin, joihin henkilötietoturvaloukkaus vaikuttaa, erityisesti sellaisiin, jotka tekevät henkilötiedoista käsittämättömiä sellaiselle henkilölle, jolla ei ole oikeutta päästä käsiksi tietoihin, kuten salaus.
- b) rekisterinpitäjä on toteuttanut myöhempiä toimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu.
- c) se vaatisi suhteettoman paljon vaivaa. Tällöin on sen sijaan oltava julkinen viestintä tai vastaava toimenpide, jolla rekisteröidyille tiedotetaan yhtä tehokkaasti.
- Jos rekisterinpitäjä ei ole jo ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, komissaari, harkittuaan todennäköisyyttä, että henkilötietoturvaloukkaus johtaa suureen riskiin, voi vaatia sitä tekemään niin tai päättää, että jokin mainituista ehdoista täyttyy. 3 kohdan mukaiset vaatimukset täyttyvät.
Pyydä tarjous
GDPR:n artikla 34 tekee selväksi, että kaikista rikkomuksista ei pidä ilmoittaa rekisteröidyille. Organisaatioiden tulee kuitenkin ilmoittaa rikkomuksen yksityiskohdat, jos se todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille.
Artiklassa 34 hahmotellaan kolme pääaluetta, joihin on keskityttävä ilmoitettaessa tietoturvaloukkauksesta:
Rekisterinpitäjillä ei ole velvollisuutta ilmoittaa rikkomuksesta seuraavissa kolmessa tilanteessa:
Tässä osiossa puhumme GDPR-artikkeleista 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) ja 34 (4).
Luodakseen yhtenäisen, erittäin toimivan tapaustenhallintapolitiikan, joka turvaa tietosuojatietojen saatavuuden ja eheyden kriittisten tapausten aikana, organisaatioiden tulee:
Tietosuojatietoturvaloukkauksiin osallistuvan henkilöstön tulee ymmärtää:
Käsitellessään tietosuojaa koskevia tietoturvatapahtumia henkilökunnan tulee:
Raportointitoiminnan tulisi keskittyä neljän avainalueen ympärille:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Tässä osiossa puhumme GDPR-artikkeleista 34 (2) ja 34 (1)
Organisaatioiden tulee varmistaa, että yksityisyyden tietoturvaloukkauksia käsittelee oma tekninen tiimi, jolla on taidot ja resurssit nopeaan ratkaisuun (katso ISO 27002 Control 5.24).
Organisaatioiden tulee:
GDPR-artikkeli | ISO 27701 -lauseke | ISO 27002 -säätimet |
---|---|---|
EU:n GDPR:n artiklat 34 (1)–34 (4) | ISO 27701 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU:n GDPR:n artikla 34 (2) ja 34 (1) | ISO 27701 6.13.1.5 | 5.24 5.27 5.28 5.29 5.30 |
Sisäänrakennetun ohjeistuksen ja "Ota käyttöön, mukauta, lisää" -toteutustapamme ansiosta ISMS.online tekee GDPR-vaatimustenmukaisuuden osoittamisesta helppoa. Saatavillasi on myös joukko tehokkaita aikaa säästäviä ominaisuuksia.
Intuitiivisen alustamme avulla voit saavuttaa useita tietoturva- ja tietosuojatavoitteita kartoittamalla työsi useiden standardien ja puitteiden mukaan.
Jos tarvitset apua tai neuvoja matkallasi kohti GDPR:ää, voimme tarjota oman asiantuntijatiimimme saataville tai suositella luotettavaa kumppania, joka voi auttaa.
Lisätietoja: varata demo.
Olen suorittanut ISO 27001:n kovalla tavalla, joten arvostan todella sitä, kuinka paljon aikaa säästyimme ISO 27001 -sertifikaatin saavuttamisessa.