28.5.2021

Työntekijän sairauspoissaolotiedon julkaisu yrityksen verkkosivuilla ja tietoturvaloukkauksesta ilmoittaminen

Asia

Tietosuojavaltuutetun toimisto on saanut kantelun tapauksesta, jossa tieto rekisterinpitäjän työntekijän sairauslomasta on julkaistu rekisterinpitäjän verkkosivuilla. Vireillesaattaja on kannellut asiasta tietosuojavaltuutetulle, sillä rekisterinpitäjä ei ollut tehnyt tapahtuneesta tietoturvaloukkausilmoitusta tietosuojavaltuutetun toimistolle oma-aloitteisesti.

Hakijalta saatu selvitys

Hakijan mukaan rekisterinpitäjä on julkaissut tiedon hänen sairauspoissaolostaan yrityksen julkisilla nettisivuilla ilman vireillesaattajan lupaa. Huomattuaan asian 9.9.2020 vireillesaattaja on kertomansa mukaan lähettänyt yhtiön toimitusjohtajalle vaatimuksen poistaa tieto. Rekisterinpitäjä on pyynnön johdosta poistanut tiedon ja korvannut sen tiedolla ”toistaiseksi poissaoleva”.

Tietosuojavaltuutetun toimisto on arvioinut rekisterinpitäjän toimintaa vireillesaattajan kantelun pohjalta. Asiassa annettava päätös ei kuitenkaan tule koskemaan nimenomaan hänen oikeuttaan, etuaan tai velvollisuuttaan, joten vireillesaattajaa ei ole pidettävä hallintolain 11 §:n mukaisena asianosaisena. Päätös tullaan kuitenkin antamaan vireillesaattajalle tiedoksi.

Rekisterinpitäjältä saatu selvitys

Rekisterinpitäjän mukaan sairauslomaa koskeva tieto on lainattu työntekijän automaattisesta poissaoloviestistä rekisterinpitäjän verkkosivuille, jossa se on ollut näkyvillä n. 12 – 24 tuntia, jonka jälkeen se on poistettu. Tiedon päivitys rekisterinpitäjän verkkosivuille on ollut inhimillinen virhe, ja toimitusjohtaja määräsi tiedon poistettavaksi välittömästi, kun kävi ilmi, että tällainen tieto on julkistettu. Verkkosivuilla olleen tiedon työntekijän sairauslomasta on nähnyt analytiikkatyökalun mukaan 4 henkilöä, joista yksi on ollut selvityspyynnön liitteen mukaan työntekijä itse ja toinen on ollut rekisterinpitäjä. Näin ollen tiedon on voinut nähdä korkeintaan 2 ulkopuolista henkilöä.

Rekisterinpitäjän arvion mukaan tapauksessa ei ole ollut kyse arkaluonteisesta tiedosta, sillä työntekijä on itse kirjoittanut tiedon automaattiseen sähköpostiviestiinsä asiakkaiden nähtäväksi ja tieto on jo tällöin ollut yleisesti tiedossa. Lisäksi kyse ei ole ylipäätään tietosuoja-asetuksen tai tietosuojavaltuutetun toimiston ohjeistuksen mukaisesta tietoturvaloukkauksesta, jossa kolmas taho olisi päässyt käsiksi rekisterinpitäjän henkilötietoihin. Tämän vuoksi rekisterinpitäjän näkemyksen mukaan työntekijän tietoa verkkosivuilla ei voida pitää edes tietosuoja-asetuksen tarkoittaman tietoturvaloukkauksena.

Vaikka katsottaisiin, että kyse olisi tietoturvaloukkauksesta, ei rekisterinpitäjällä ole näkemyksensä mukaan ollut velvollisuutta tietosuoja-asetuksen 33 artiklan mukaisesti ilmoittaa tietoturvaloukkauksesta.

Työntekijä on itse lisännyt sähköpostiinsa automaattisen poissaoloviestin, jossa todetaan hänen olevan sairauslomalla. Rekisterinpitäjä on epähuomiossa ilmoittanut verkkosivuillaan työntekijän poissaolon syyksi saman kuin mitä työntekijä on itse ilmoittanut automaattisessa poissaoloviestissään. Rekisterinpitäjä oli siinä käsityksessä, että koska työntekijä on itse ilmoittanut poissaoloviestissään poissaolon syyksi sairausloman, voidaan tämä tieto laittaa myös verkkosivuille.

Rekisterinpitäjän arvion mukaan kyse on ollut sellaisesta tilanteesta, josta ei hyvin todennäköisesti ole aiheutunut työntekijän oikeuksiin ja vapauksiin kohdistuvaa riskiä. Seurausten voidaan katsoa olevan erityisen vakavia esimerkiksi silloin, kun siitä voi seurata tietosuojavaltuutetun toimiston ohjeistuksen mukainen seuraus. Tässä tapauksessa kyse on työntekijän poissaoloa koskevasta tiedosta, joka on ollut verkkosivuilla hyvin lyhyen aikaa. Poissaoloa koskevasta tiedosta ei voi aiheutua mitään sellaista, josta aiheutuisi työntekijän oikeuksiin tai vapauksiin kohdistuvaa riskiä.

Edellä mainittujen tietojen perusteella rekisterinpitäjä ei ole voinut katsoa, että tapahtuneesta olisi aiheutunut jotain riskiä työntekijän oikeuksille tai vapauksille, saati vakavaa riskiä. On riidatonta, että työntekijä on itse omassa automaattisessa poissaoloviestissään ilmoittanut poissaolon syyksi sairausloman, jolloin tieto sairauslomasta on ollut useammalla henkilöllä kuin mitä kolmas taho on voinut saada verkkosivujen kautta. Rekisterinpitäjän arvion mukaan työntekijä ei ole voinut esimerkiksi kokea, että hän oli menettänyt omien henkilötietojensa valvomiskyvyn tai maineen menettämisen, kun hänen itsensä kirjoittama tai muotoilema viesti, jonka hän oli tarkoittanut asiakkaidensa nähtäväksi, oli ollut rekisterinpitäjän verkkosivuilla n. 12 – 24 tuntia. Työntekijän terveydentilasta, sairausloman syystä tai pituudesta ei tässä tapauksessa ole ollut mitään tietoja.

Edellä mainittujen perusteella, mikäli henkilötiedon osalta katsottaisiin kyseessä olleen tietoturvaloukkaus, ei rekisterinpitäjä ole rikkonut tietosuoja-asetuksen artiklan 33 mukaista ilmoitusvelvollisuuttaan.

Sovellettava lainsäädäntö

Euroopan parlamentin ja neuvoston yleinen tietosuoja-asetus (EU) 2016/679 (myöhemmin tietosuoja-asetus) 33 (1), (3) ja (5) artikla

Tietosuoja-asetus 4 (12) artikla

Tietosuoja-asetus 58 (2) (b) artikla

Tietosuoja-asetus johdanto-osan kappale 148

Laki yksityisyyden suojasta työelämässä (759/2004, myöhemmin työelämän tietosuojalaki) 5 §

Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta, direktiivillä 95/46/EY perustettu tietosuojatyöryhmä, s. 23–24 ja s. 26.

Kysymyksenasettelu

1. Onko kyseessä ollut tietosuoja-asetuksen 4 (12) artiklan mukainen tietoturvaloukkaus.

Mikäli vastaus edelliseen on kyllä:

2. Onko tapahtuneen tietoturvaloukkauksen käsittelyn yhteydessä noudatettu tietosuoja-asetuksen 33 (1) (3) ja (5) artiklaa.

3. Mikäli katsotaan, että rekisterinpitäjän toiminta on ollut tietosuoja-asetuksen vastaista tai puutteellista, asiassa on ratkaistavana se, mikä seuraamus laiminlyönnistä on rekisterinpitäjälle määrättävä.

Tietosuojavaltuutetun päätös ja perustelut

Päätös

1. Tapahtuneessa on kyse tietosuoja-asetuksen 4 (12) artiklan mukaisesta tietoturvaloukkauksesta.

2. Rekisterinpitäjä ei ole täyttänyt tietosuoja-asetuksen 33 (1) artiklan mukaista velvollisuuttaan ilmoittaa tapahtuneesta tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle. Rekisterinpitäjä on myös laiminlyönyt velvollisuuden dokumentoida nyt kyseessä olevan tietoturvaloukkauksen siten kuin tietosuoja-asetuksen 33 (5) artiklassa edellytetään.

3. Apulaistietosuojavaltuutettu antaa rekisterinpitäjälle tietosuoja-asetuksen 58 (2) (b) artiklan mukaisen huomautuksen tietosuoja-asetuksen 33 (1) artiklan mukaisen ilmoitusvelvollisuuden laiminlyönnin sekä 33 (5) artiklan mukaisen dokumentoinnin laiminlyönnin johdosta.

Perustelut
1. Sovellettu lainsäädäntö ja oikeusohjeet

Tietosuoja-asetuksen 4 (12) artiklan mukaan henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

Tietosuojatyöryhmän ohjeen ”Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta sivulla 6 todetaan seuraavaa: Luvattomaan tai lainvastaiseen käsittelyyn saattaa sisältyä myös henkilötietojen luovuttaminen vastaanottajille, joilla ei ole lupaa ottaa niitä vastaan (tai tällaisten vastaanottajien pääsy tietoihin), tai mikä tahansa muu yleisen tietosuoja-asetuksen vastainen tietojen käsittelyn muoto.

Työelämän tietosuojalain 5 §:n 2 momentissa säädetään työntekijän terveystietoihin liittyvästä työnantajan salassapitovelvoitteesta seuraavaa: Terveydentilaa koskevia tietoja saavat käsitellä vain ne henkilöt, jotka näiden tietojen perusteella valmistelevat tai tekevät työsuhdetta koskevia päätöksiä taikka panevat niitä toimeen. Työnantajan on nimettävä nämä henkilöt tai määriteltävä tehtävät, joihin sisältyy terveydentilaa koskevien tietojen käsittelyä. Tietoja käsittelevät henkilöt eivät saa ilmaista näitä tietoja sivulliselle työsuhteen aikana eikä sen päättymisen jälkeen.

Saatu selvitys

Rekisterinpitäjä on julkaissut tiedon työntekijänsä terveydentilaa koskevasta tiedosta yhtiön verkkosivuilla. Rekisterinpitäjän mukaan tästä ei kuitenkaan ole aiheutunut tietosuoja-asetuksessa tarkoitettua tietoturvaloukkausta, sillä työntekijä on itse kirjoittanut kyseisen tiedon sähköpostinsa automaattivastaukseen asiakkaiden nähtäväksi.

Johtopäätökset

Työnantajalla on työelämän tietosuojalain 5 §:n 2 momentin mukainen salassapitovelvollisuus työntekijöidensä terveydentilaa koskevia tietoja kohtaan. Näitä tietoja ei edellä mainitun lainkohdan mukaan saa ilmaista sivullisille työsuhteen aikana eikä sen päättymisen jälkeen. Näin ollen voidaan todeta, että rekisterinpitäjän julkaistua työntekijän terveydentilaa koskevaa tietoa verkkosivuilla, on tästä seurannut salassapitovelvollisuuden alaisten henkilötietojen paljastuminen sekä luvaton pääsy kyseisiin tietoihin.

Vaikka työntekijä on itse ilmoittanut sairauslomaa koskevan tiedon sähköpostinsa automaattivastauksena, ei sairautta koskeva tieto kuitenkaan ole ollut yleisesti tiedossa rekisterinpitäjän esittämällä tavalla. Sähköpostitse annettu automaattivastaus on tavoittanut ainoastaan sellaiset henkilöt, jotka kyseiseen sähköpostiosoitteeseen ovat lähettäneet viestejä. Rekisterinpitäjän verkkosivujen kautta sen sijaan tieto sairaudesta voi päätyä huomattavasti laajemman joukon tietoon. Tieto voi tulla esiin esimerkiksi hakukoneiden tuloksissa vireillesaattajan nimellä tehtyjen hakujen yhteydessä. Lisäksi on huomattava, että työntekijällä itsellään on oikeus kertoa sairaudestaan esimerkiksi sähköpostinsa poissaoloviestissään. Tämä ei kuitenkaan oikeuta työnantajaa poikkeamaan työntekijän terveystietoja koskevasta salassapitovelvollisuudesta ja asettamaan tätä tietoa verkkosivuilleen yleisesti saataville.

Koska kyseessä olevassa tapauksessa on verkkosivujen kautta annettu sivullisille luvaton pääsy työntekijän terveydentilaa koskevaan henkilötietoon, on apulaistietosuojavaltuutetun käsityksen mukaan selvää, että on tapahtunut tietosuoja-asetuksen 4 (12) artiklassa tarkoitettu henkilötietojen tietoturvaloukkaus.

2. Sovellettu lainsäädäntö ja oikeusohjeet

Tietosuoja-asetuksen 33 (1) artiklassa todetaan seuraavaa: Jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys.

Tietosuoja-asetuksen 33 (5) artiklan mukaan rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.

Keskeinen rekisteröidyille tehtävän ilmoituksen laukaiseva seikka on se, aiheuttaako tietoturvaloukkaus todennäköisesti korkean riskin henkilöiden oikeuksille ja vapauksille. Tietosuojatyöryhmän ohjeen ” Suuntaviivat asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta” mukaan tällainen riski on olemassa, jos tietoturvaloukkaus voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja henkilöille, joiden tietosuojaa on loukattu. Tällaisia vahinkoja ovat esimerkiksi syrjintä, identiteettivarkaus tai petos, taloudelliset menetykset ja maineen vahingoittuminen. Jos tietoturvaloukkaukseen liittyy henkilötietoja, jotka koskevat terveyttä, tällaisten vahinkojen aiheutumista olisi tietosuojatyöryhmän ohjeen mukaan pidettävä todennäköisenä. Edelleen edellä mainitun ohjeen mukaan rekisterinpitäjän tieto siitä, että henkilötietoja on sellaisten henkilöiden hallussa, joiden tarkoitusperät ovat tuntemattomat tai mahdollisesti pahantahtoiset, saattaa vaikuttaa mahdollisen riskin tasoon.

Saatu selvitys

Työntekijän terveydentilaa koskeva tieto on ollut rekisterinpitäjän verkkosivuilla rekisterinpitäjän mukaan noin 12-24 tuntia ja sen on tänä aikana nähnyt 2 ulkopuolista henkilöä.

Rekisterinpitäjä ei ole ilmoittanut tietoturvaloukkauksesta tietosuojavaltuutetun toimistolle, koska ensisijaisesti sen näkemyksen mukaan ei ole ollut kyse tietoturvaloukkauksesta. Rekisterinpitäjä on lisäksi todennut, että vaikka katsottaisiin tietoturvaloukkauksen tapahtuneen, on rekisterinpitäjän arvion mukaan kyse ollut sellaisesta tilanteesta, josta ei hyvin todennäköisesti ole aiheutunut työntekijän oikeuksiin ja vapauksiin kohdistuvaa riskiä. Rekisterinpitäjä on perustellut näkemystään sillä, että tieto on ollut verkkosivuilla lyhyen ajan, sen on nähnyt vain kaksi ulkopuolista henkilöä, minkä lisäksi työntekijä on itse ilmoittanut tiedon sähköpostin automaattivastauksessaan. Näin ollen tapahtuneesta ei ole aiheutunut riskiä työntekijän oikeuksille eikä rekisterinpitäjällä näkemyksensä mukaan ole ollut velvollisuutta ilmoittaa tapahtuneesta tietosuojavaltuutetun toimistolle siten kuin tietosuoja-asetuksen 33 (1) artiklassa säädetään.

Johtopäätökset

Rekisterinpitäjän velvollisuuden ilmoittaa tietoturvaloukkauksesta tietosuojavaltuutetulle ratkaisee se, aiheuttaako tietoturvaloukkaus riskin henkilöiden oikeuksille ja vapauksille. Riski on olemassa, jos tietoturvaloukkaus voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja henkilöille, joiden tietosuojaa on loukattu. Tällaisia vahinkoja ovat esimerkiksi identiteettivarkaus tai petos, taloudelliset menetykset ja maineen vahingoittuminen. Tietosuojatyöryhmän ohjeen mukaan, jos tietoturvaloukkaukseen liittyy terveyteen liittyviä tietoja, tällaisten vahinkojen aiheutumista olisi pidettävä todennäköisenä.

Tietosuojatyöryhmän mukaan rekisterinpitäjän tieto siitä, että henkilötietoja on sellaisten henkilöiden hallussa, joiden tarkoitusperät ovat tuntemattomat tai mahdollisesti pahantahtoiset, saattaa vaikuttaa mahdollisen riskin tasoon. Tässä tapauksessa tietoturvaloukkauksen kohteena olleiden tietojen kaikkia vastaanottajia ei ole kyetty tunnistamaan. Tietoihin on ollut pääsy ainakin kahdella sattumanvaraisella henkilöllä, joiden henkilöllisyys ei varmuudella ole rekisterinpitäjän tiedossa. Näin ollen rekisterinpitäjällä tai tietosuojavaltuutetulla ei ole tosiasiassa ollut mahdollisuutta arvioida tietojen vastaanottajan luotettavuutta tai tarkoitusperiä. Näin ollen vastaanottajan tarkoitusperiä on pidettävä tuntemattomina ja riskiä työntekijän oikeuksille ja vapauksille ei voida poissulkea.

Koska tapauksessa työntekijän terveydentilaa tietoja on päätynyt tunnistamattomien sivullisten henkilöiden saataville, on tietoturvaloukkauksesta aiheutunut riski henkilön oikeuksille ja vapauksille erityisesti, kun otetaan huomioon, terveydentilaa koskevien tietojen erityisen yksityinen luonne sekä niiden paljastumisesta henkilölle mahdollisesti aiheutuva mainehaitta.

Näin ollen apulaistietosuojavaltuutettu katsoo, että rekisterinpitäjän olisi tullut ilmoittaa tapahtuneesta henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetun toimistoon tietosuoja-asetuksen 33 (1) artiklan mukaisesti.

Rekisterinpitäjä on myös laiminlyönyt tietosuoja-asetuksen 33 (5) artiklan mukaisen velvollisuuden dokumentoida tapahtuneet tietoturvaloukkaukset, eikä tälläkään perusteella näin ollen ole voitu osoittaa, että tietosuoja-asetuksen 33 artiklaa olisi noudatettu arvioitaessa tapahtunutta tietoturvaloukkausta. Tältä osin apulaistietosuojavaltuutettu korostaa tietosuoja-asetuksen 33 (5) artiklan mukaisen dokumentointivelvollisuuden merkitystä. Vaikka rekisterinpitäjä riskiarvioinnissaan tulisikin siihen tulokseen, että ilmoitusta tietosuojavaltuutetulle ja/ tai rekisteröidyille ei tarvitse tehdä, tulee edellä mainittua dokumentointivelvollisuutta kuitenkin noudattaa, jotta tietosuojavaltuutetun toimisto voi tarvittaessa dokumentoinnin pohjalta tarkistaa, että riskejä on kuitenkin arvioitu asianmukaisesti ja tietosuoja-asetuksen 33 artiklaa on noudatettu.

3. Sovellettava lainsäädäntö

Tietosuoja-asetuksen 58 (2) (b) artiklan mukaan tietosuojavaltuutettu voi antaa rekisterinpitäjälle huomautuksen, jos käsittelytoimet ovat olleet tietosuoja-setuksen säännösten vastaisia.

Tietosuoja-asetuksen johdanto-osan kappaleessa 148 todetaan seuraavaa: Jos kyseessä on vähäinen rikkominen tai jos määrättävä sakko olisi kohtuuton rasitus luonnolliselle henkilölle, voidaan sakon sijasta antaa huomautus. Rikkomisen luonteeseen, vakavuuteen ja kestoon, sen tahallisuuteen, aiheutuneen vahingon lieventämiseksi toteutettuihin toimiin, vastuun asteeseen tai mahdollisiin vastaaviin aiempiin rikkomisiin, tapaan, jolla rikkominen tuli valvontaviranomaisen tietoon, rekisterinpitäjälle tai henkilötietojen käsittelijälle määrättyjen toimenpiteiden noudattamiseen, käytännesääntöjen noudattamiseen ja mahdollisiin muihin raskauttaviin tai lieventäviin tekijöihin olisi kuitenkin kiinnitettävä asianmukaista huomiota.

Saatu selvitys

Saadun selvityksen perusteella rekisterinpitäjän käsittelytoimet ovat olleet edellä mainituissa kohdissa kuvatun tavoin tietosuoja-asetuksen säännösten vastaisia.

Tapauksessa on ollut kyse inhimillisestä virheestä. Rekisterinpitäjä on ryhtynyt korjaaviin toimenpiteisiin ja poistanut tiedon sairauslomasta heti havaittuaan menettelyn virheelliseksi. Koska virhe on havaittu melko nopeasti ja tapaus on jäänyt kestoltaan lyhyeksi, ovat myös haitat jääneet melko vähäisiksi ottaen huomioon, että tieto sairauslomasta on päätynyt hyvin todennäköisesti vain kahdelle tuntemattomaksi jääneelle henkilölle.

Rekisterinpitäjä on pieni perheyritys, joka työllistää 7 henkilöä eikä sen ydinliiketoimintaan kuulu henkilötietojen käsittely.

Johtopäätökset

Koska kyse on ollut lähinnä inhimillisestä virheestä tiedon julkistamisen osalta, voidaan rekisterinpitäjän tahallisuutta tai tuottamusta tapauksessa pitää melko vähäisenä. Toisaalta myös inhimillisten virheiden tapahtuessa keskeistä olisi noudattaa tietosuoja-asetuksen 33 (5) artiklan mukaista dokumentointivelvoitetta, minkä laiminlyöminen lisää rekisterinpitäjän laiminlyönnin moitittavuutta.

Tapauksessa korjaaviin toimenpiteisiin on ryhdytty melko nopeasti, jolloin aiheutuneen vahingon määräkin on jäänyt vähäiseksi suhteessa riskiin ja potentiaalisen vahingon määrään.

Seuraamusta arvioitaessa on otettu huomioon myös se, että kyseessä on pieni yritys, jonka ydinliiketoimintaan ei kuulu henkilötietojen käsittely.

Edellä mainituilla perustein apulaistietosuojavaltuutettu katsoo, että kyseessä on tietosuoja-asetuksen johdanto-osan kohdassa 148 tarkoitetusta vähäisestä rikkomisesta, ja tässä tapauksessa seuraamukseksi sakon sijaan voidaan antaa huomautus.

Sovelletut lainkohdat

Perusteluissa mainitut.

Muutoksenhaku

Tietosuojalain (1050/2018) 25 §:n mukaan tähän päätökseen voi hakea muutosta valittamalla hallinto-oikeuteen noudattaen mitä laissa oikeudenkäynnistä hallintoasioissa (808/2019) säädetään. Valitus tehdään hallinto-oikeuteen.

Apulaistietosuojavaltuutetun ohjaus

Apulaistietosuojavaltuutettu ohjaa rekisterinpitäjää jatkossa kiinnittämään huomiota tietoturvaloukkausten riskiarviointiin ja dokumentoimaan tietosuoja-asetuksen 33 (5) artiklan mukaisesti kaikki tapahtuneet henkilötietojen tietoturvaloukkaukset, vaikka riskiarvioinnin perusteella tultaisiinkin siihen tulokseen, että ilmoitusta tietosuojavaltuutetulle ja/tai rekisteröidyille tarvitse tehdä.

Päätös ei ole lainvoimainen.

Finlex ® on oikeusministeriön omistama oikeudellisen aineiston julkinen ja maksuton Internet-palvelu.
Finlexin sisällön tuottaa ja sitä ylläpitää Edita Publishing Oy. Oikeusministeriö tai Edita eivät vastaa tietokantojen sisällössä mahdollisesti esiintyvistä virheistä, niiden käytöstä käyttäjälle aiheutuvista välittömistä tai välillisistä vahingoista tai Internet-tietoverkossa esiintyvistä käyttökatkoista tai muista häiriöistä.