Hyppää sisältöön
ISMS.online

Kuinka osoittaa GDPR-artiklan 34 noudattaminen

GDPR:n artiklan 34 noudattaminen selittää, milloin ja miten organisaatioiden on ilmoitettava henkilöille henkilötietojen loukkauksista, jotka aiheuttavat suuren riskin heidän oikeuksilleen, sekä hahmotellaan poikkeuksia ja parhaita käytäntöjä noudattamiseen.

kirjailija
David Holloway
Päivitetty syyskuussa 30, 2025
4/5 tähteä

GDPR:n artiklan 34 ymmärtäminen: Milloin ja miten henkilöille on ilmoitettava tietoturvaloukkauksista

GDPR Artiklassa 34 määritellään organisaation velvollisuus ilmoittaa rekisteröidyille tietoturvaloukkauksesta, joka todennäköisesti aiheuttaa merkittävän riskin heidän oikeuksilleen ja vapauksilleen yksilöinä.

GDPR artiklan 34 lakiteksti

EU:n GDPR-versio

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

  1. Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
  2. Tämän artiklan 1 kohdassa tarkoitetussa tiedonannossa rekisteröidylle on kuvattava selkeällä ja selkeällä kielellä henkilötietojen tietoturvaloukkauksen luonne ja sisällettävä vähintään b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet. ) 33 artiklan 3 kohdassa.
  3. Edellä 1 kohdassa tarkoitettua tiedonantoa rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:

    • a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, ja näitä toimenpiteitä on sovellettu henkilötietoihin, joihin henkilötietoturvaloukkaus vaikuttaa, erityisesti sellaisiin, jotka tekevät henkilötiedoista käsittämättömiä sellaiselle henkilölle, jolla ei ole oikeutta päästä käsiksi tietoihin, kuten salaus.
    • b) rekisterinpitäjä on toteuttanut myöhempiä toimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu.
    • c) se vaatisi suhteettoman paljon vaivaa. Tällöin on sen sijaan oltava julkinen viestintä tai vastaava toimenpide, jolla rekisteröidyille tiedotetaan yhtä tehokkaasti.
  4. Jos rekisterinpitäjä ei ole jo ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi, harkittuaan todennäköisyyttä, että henkilötietojen tietoturvaloukkaus johtaa suureen riskiin, vaatia sitä tekemään niin tai päättää, että jokin ehdoista viitataan 3 kohdan mukaiset vaatimukset täyttyvät.

Yhdistyneen kuningaskunnan GDPR-versio

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle

  1. Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
  2. Tämän artiklan 1 kohdassa tarkoitetussa tiedonannossa rekisteröidylle on kuvattava selkeällä ja selkeällä kielellä henkilötietojen tietoturvaloukkauksen luonne ja sisällettävä vähintään b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet. ) 33 artiklan 3 kohdassa.
  3. Edellä 1 kohdassa tarkoitettua tiedonantoa rekisteröidylle ei vaadita, jos jokin seuraavista ehdoista täyttyy:

    • a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet, ja näitä toimenpiteitä on sovellettu henkilötietoihin, joihin henkilötietoturvaloukkaus vaikuttaa, erityisesti sellaisiin, jotka tekevät henkilötiedoista käsittämättömiä sellaiselle henkilölle, jolla ei ole oikeutta päästä käsiksi tietoihin, kuten salaus.
    • b) rekisterinpitäjä on toteuttanut myöhempiä toimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröityjen oikeuksiin ja vapauksiin kohdistuva suuri riski ei enää todennäköisesti toteudu.
    • c) se vaatisi suhteettoman paljon vaivaa. Tällöin on sen sijaan oltava julkinen viestintä tai vastaava toimenpide, jolla rekisteröidyille tiedotetaan yhtä tehokkaasti.
  4. Jos rekisterinpitäjä ei ole jo ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, komissaari, harkittuaan todennäköisyyttä, että henkilötietoturvaloukkaus johtaa suureen riskiin, voi vaatia sitä tekemään niin tai päättää, että jokin mainituista ehdoista täyttyy. 3 kohdan mukaiset vaatimukset täyttyvät.


ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Tekninen kommentti

GDPR:n artikla 34 tekee selväksi, että kaikista rikkomuksista ei pidä ilmoittaa rekisteröidyille. Organisaatioiden tulee kuitenkin ilmoittaa rikkomuksen yksityiskohdat, jos se todennäköisesti aiheuttaa suuren riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

Artiklassa 34 hahmotellaan kolme pääaluetta, joihin on keskityttävä ilmoitettaessa tietoturvaloukkauksesta:

  • Käytetty kieli.
  • Tietyt tiedot, jotka ilmoitetaan.
  • Miten viestintä tapahtuu.

Rekisterinpitäjillä ei ole velvollisuutta ilmoittaa rikkomuksesta seuraavissa kolmessa tilanteessa:

  1. Organisaatiolla on "asianmukaiset tekniset ja organisatoriset suojatoimenpiteet".
  2. Se toteuttaa "myöhemmät toimenpiteet" rikkomisen lieventämiseksi.
  3. Rikkomuksesta ilmoittaminen vaatisi suhteettoman paljon vaivaa.

ISO 27701 -lauseke 6.13.1.1 (Vastuu ja menettelyt) ja GDPR-artikkeli 34

Tässä osiossa puhumme GDPR-artikkeleista 34 (1), 34 (2), 34 (3) (a), 34 (3) (b), 34 (3) (c) ja 34 (4).

Luodakseen yhtenäisen, erittäin toimivan tapaustenhallintapolitiikan, joka turvaa tietosuojatietojen saatavuuden ja eheyden kriittisten tapausten aikana, organisaatioiden tulee:

  1. Noudata tietosuojatietoturvatapahtumien raportointitapaa.
  2. Luo joukko prosesseja, jotka hallitsevat yksityisyyden tietoturvaan liittyviä tapahtumia kaikkialla yrityksessä, mukaan lukien:

    • Hallinto.
    • Dokumentointi.
    • Havaitseminen.
    • Triage.
    • Prioriteetti.
    • Analyysi.
    • Viestintä.

  3. Laadi tapausten reagointimenettely, jonka avulla organisaatio voi arvioida tapauksia, reagoida niihin ja oppia niistä.
  4. Varmista, että tapauksia hallitsee koulutettu ja pätevä henkilöstö, joka hyötyy jatkuvasta työpaikan koulutus- ja sertifiointiohjelmista.

Tietosuojatietoturvaloukkauksiin osallistuvan henkilöstön tulee ymmärtää:

  1. Tapauksen ratkaisemiseen tarvittava aika.
  2. Mahdolliset seuraukset.
  3. Tapahtuman vakavuus.

Käsitellessään tietosuojaa koskevia tietoturvatapahtumia henkilökunnan tulee:

  1. Arvioi tapahtumia tiukkojen kriteerien mukaisesti, mikä vahvistaa ne hyväksytyiksi tapahtumiksi.
  2. Luokittele tietosuojan tietoturvatapahtumat viiteen ala-aiheeseen:

    • Valvonta (katso ISO 27002 Kontrollit 8.15 ja 8.16).
    • Tunnistus (katso ISO 27002 Control 8.16).
    • Luokitus (katso ISO 27002 Control 5.25).
    • Analyysi.
    • Raportointi (katso ISO 27002 Control 6.8).

  3. Ratkaiseessaan tietosuojaa koskevia tietoturvaloukkauksia organisaatioiden tulee:

    • Vastaa ja eskaloi ongelmat (katso ISO 27002 Control 5.26) tapahtumatyypin mukaan.
    • Aktivoi kriisinhallinta ja liiketoiminnan jatkuvuussuunnitelmat.
    • Vaikuttaa ohjattuun toipumiseen tapahtumasta, joka lieventää toiminnallisia ja/tai taloudellisia vahinkoja.
    • Varmista, että tapahtumiin liittyvistä tapahtumista tiedotetaan perusteellisesti kaikille asiaankuuluville henkilöille.

  4. Osallistu yhteistyöhön (katso ISO 27002 Controls 5.5 ja 5.6).
  5. Kirjaa kaikki tapahtumanhallintaan perustuvat toiminnot.
  6. Vastaa tapahtumiin liittyvien todisteiden käsittelystä (katso ISO 27002 Control 5.28).
  7. Suorita perusteellinen perussyyanalyysi minimoidaksesi vaaran, että tapahtuma toistuisi, mukaan lukien ehdotetut muutokset prosesseihin.

Raportointitoiminnan tulisi keskittyä neljän avainalueen ympärille:

  1. Toimenpiteet, jotka on suoritettava tietoturvatapahtuman sattuessa.
  2. Tapahtumalomakkeita, jotka tallentavat tietoja koko tapahtuman ajan.
  3. Päästä päähän -palauteprosessit kaikille asiaankuuluville henkilöille.
  4. Tapahtumaraportit kertovat yksityiskohtaisesti, mitä tapahtui, kun tapaus on ratkaistu.

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


ISO 27701 -lauseke 6.13.1.5 (Reagointi tietoturvahäiriöihin) ja GDPR-artikkeli 34

Tässä osiossa puhumme GDPR-artikkeleista 34 (2) ja 34 (1)

Organisaatioiden tulee varmistaa, että yksityisyyden tietoturvaloukkauksia käsittelee oma tekninen tiimi, jolla on taidot ja resurssit nopeaan ratkaisuun (katso ISO 27002 Control 5.24).

Organisaatioiden tulee:

  1. Sisällytä kaikki alkuperäisestä ongelmasta johtuvat yksityisyyteen liittyvät uhat.
  2. Kerää todisteita koko ratkaisuprosessin ajan.
  3. Sisällytä eskalointi, BUDR-toiminnot ja jatkuvuuden suunnittelu kaikkiin ratkaisutoimiin (katso ISO 27002 -säädöt 5.29 ja 5.30).
  4. Kirjaa kaikki tapahtumaan liittyvät toimet.
  5. Varmista, että henkilökunta toimii "tarve tietää" -periaatteella käsitellessään yksityisyyttä koskevia tietoja.
  6. Ole jatkuvasti tietoinen heidän velvollisuuksistaan ​​asiakkaitaan ja ulkopuolisia organisaatioita kohtaan, kun tiedotat tietosuojatapauksista ja tietoturvaloukkauksista.
  7. Sulje tapaukset tiukkojen ratkaisukriteerien mukaisesti.
  8. Suorita rikostekninen analyysi (katso ISO 27002 Control 5.28) tarpeen mukaan.
  9. Yritä selvittää tapahtuman taustalla oleva syy, kun se on ratkaistu (katso ISO 27002 Control 5.27).
  10. Ryhdy korjaaviin toimenpiteisiin liittyvissä prosesseissa, hallinnassa, käytännöissä ja menettelyissä vahvistaaksesi organisaation yksityisyyden suojaa, kun tapaus on ratkaistu.

Tukee ISO 27002 -säätimiä

  • ISO 27002 5.24
  • ISO 27002 5.27
  • ISO 27002 5.28
  • ISO 27002 5.29
  • ISO 27002 5.30

Tukee ISO 27701 -lausekkeita ja ISO 27002 -säätimiä

GDPR-artikkeli ISO 27701 -lauseke ISO 27002 -säätimet
EU:n GDPR:n artiklat 34 (1)–34 (4) ISO 27701 6.13.1.1 5.25
5.26
5.5
5.6
6.8
8.15
8.16
EU:n GDPR:n artikla 34 (2) ja 34 (1) ISO 27701 6.13.1.5 5.24
5.27
5.28
5.29
5.30

Miten ISMS.online Ohje

Sisäänrakennetun ohjeistuksen ja "Ota käyttöön, mukauta, lisää" -toteutustapamme ansiosta ISMS.online tekee GDPR-vaatimustenmukaisuuden osoittamisesta helppoa. Saatavillasi on myös joukko tehokkaita aikaa säästäviä ominaisuuksia.

Intuitiivisen alustamme avulla voit saavuttaa useita tietoturva- ja tietosuojatavoitteita kartoittamalla työsi useiden standardien ja puitteiden mukaan.

Jos tarvitset apua tai neuvoja matkallasi kohti GDPR:ää, voimme tarjota oman asiantuntijatiimimme saataville tai suositella luotettavaa kumppania, joka voi auttaa.

Lisätietoja: varata demo.

David Holloway

Chief Marketing Officer

David Holloway on ISMS.onlinen markkinointijohtaja, jolla on yli neljän vuoden kokemus vaatimustenmukaisuudesta ja tietoturvasta. Johtotiimin jäsenenä David keskittyy auttamaan organisaatioita navigoimaan monimutkaisissa sääntelymaisemissa luottavaisin mielin ja ajamaan strategioita, jotka yhdenmukaistavat liiketoimintatavoitteet vaikuttavien ratkaisujen kanssa. Hän on myös Phishing For Trouble -podcastin toinen juontaja, jossa hän syventyy korkean profiilin kyberturvallisuustapahtumiin ja jakaa arvokkaita oppeja auttaakseen yrityksiä vahvistamaan tietoturva- ja vaatimustenmukaisuuskäytäntöjään.

LinkedIn

GDPR-artikkelit

GDPR-perusteellinen tarkastelu

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Valmis aloittamaan?

Varaa demo