10.10.2019

Henkilötietoasiakirjoja sisältävän postipaketin katoaminen

ASIA
Asiakkaiden Kelan toimistoon jättämiä asiakirjoja sisältänyt postipaketti katosi matkalla vakuutuspiirin skannauskeskukseen. Kela yritti jäljittää pakettia yhteistyössä Postin kanssa, mutta seurantakoodin avulla on pystytty selvittämään paketin kulku vain siihen asti, kun posti on kuitannut sen vastaanotetuksi. On mahdollista, että paketista on irronnut lähetystä koskeva lomake ja asiakirjat ovat tallessa postin tiloissa.

Paketti sisälsi Kelan etuuksia hakeneiden asiakkaiden salassa pidettäviä asiakastietoja, muun muassa terveydentilaa ja taloudellista asemaa koskevia tietoja. Arvio tietoturvaloukkauksen kohteena olevien henkilöiden määrästä on 55.

Kyseessä on ollut tietojen lainvastainen tai vahingossa tapahtunut tuhoutuminen tai hävittäminen. Se on loukannut tietojen luottamuksellisuutta ja estänyt tietojen saatavuuden ja käytön. Se on myös estänyt erittäin tärkeän palvelun tarjoamisen rekisteröidylle, esim. asiakkaiden tekemiä, kadonneita etuushakemuksia ei ole voitu käsitellä.

Yhteydenotto rekisteröityihin
Ne asiakkaat, jotka ovat käyneet tiedustelemassa etuuksiaan, ovat saaneet tiedon, että posti ei ole mennyt perille. Suurinta osaa kohdejoukosta ei ole tunnistettu.

Kelan arvion mukaan suurin osa asiakirjoista on ollut ns. työttömyysaikaa koskevia ilmoituksia ja nämä asiakkaat ovat itse ottaneet yhteyttä toimistoon huomattuaan, ettei työttömyyskorvausta ole maksettu. Joukossa oli lisäksi muutamia toimiston asiakaspalvelutiskillä asioineiden asiakkaiden jättämiä asiakirjoja. Näihin asiakkaisiin Kela on ollut yhteydessä puhelimitse.

Muille asiakkaille ei ole ilmoitettu tietoturvaloukkauksesta. Heidän informoimisensa asiasta ei ole ollut mahdollista, koska Kelan tiedossa ei ole ollut, keiden asiakkaiden asiakirjoja paketissa oli.

TIETOSUOJAVALTUUTETUN MÄÄRÄYS
Mahdolliset tietoturvaloukkauksen vaikutukset rekisteröityihin ovat rekisterinpitäjän arvion mukaan henkilötietojen leviäminen, identiteettivarkaus, taloudellinen vahinko ja salassapitovelvollisuuden suojaamien tietojen paljastuminen.

Tietosuojavaltuutettu pitää rekisteröityjen oikeuksien kannalta tärkeänä lisäksi sitä, että heiltä saattaa jäädä saamatta esim. heidän hakemansa etuus, jos he eivät ymmärrä kysyä asiaa, eikä asiasta mitenkään tiedoteta.

Tietosuojavaltuutettu katsoo edellä mainituilla perusteilla, että henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille. Tietosuojavaltuutettu ei määrää rekisterinpitäjää ilmoittamaan tietoturvaloukkauksesta niille rekisteröidyille, jotka ovat jo kyselemällä tai puhelimitse saaneet tiedon asiasta. Rekisterinpitäjän on kuitenkin varmistettava, että näille rekisteröidylle annettu ilmoitus sisältää tietosuoja-asetuksen 34 artiklan 1 kohdassa mainitut asiat ja tarvittaessa täydennettävä ilmoitusta.

Osa tietoturvaloukkauksen kohteena olleista rekisteröidyistä ei ole rekisterinpitäjän tiedossa, jonka vuoksi heille ilmoittaminen henkilökohtaisesti on mahdotonta.

Euroopan unionin tietosuojatyöryhmä on laatinut suosituksen ”Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta” (annettu 3.10.2017, tarkistettu ja hyväksytty 6.2.2018). Sen mukaan yhteydenotto vaatisi kohtuutonta vaivaa esimerkiksi, jos näiden yhteystiedot ovat hävinneet tietoturvaloukkauksen seurauksena tai niitä ei ole ollut alun perinkään. Esimerkkinä tästä on tapaus, jossa tilastotoimiston varastossa on tapahtunut vesivahinko ja henkilötietoja sisältävät asiakirjat oli tallennettu vain paperimuodossa. Tällöin rekisterinpitäjän on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla henkilöille voidaan tiedottaa yhtä tehokkaalla tavalla. Kyseisessä oppaassa on myös suositeltu, että rekisterinpitäjät valitsevat välineen, jolla mahdollisuus saada tieto kaikille asianomaisille henkilöille on mahdollisimman suuri. Tämä saattaa olosuhteista riippuen edellyttää, että rekisterinpitäjä käyttää useita viestintämenetelmiä vain yhden viestintäkanavan sijasta.

Edellä mainituista syistä tietosuojavaltuutettu määrää tietosuoja-asetuksen 58 artiklan nojalla rekisterinpitäjän tiedottamaan tietoturvaloukkauksesta käyttämällä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille voidaan tiedottaa tietoturvaloukkauksesta yhtä tehokkaalla tavalla.

Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tietosuoja-asetuksen 33 artiklan 5 kohtaa on noudatettu.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.