Henkilötietojen tietoturvaloukkauksesta täytyy ilmoittaa valvontaviranomaiselle, mikäli loukkauksesta voi aiheutua riski ihmisten oikeuksille ja vapauksille. Rekisteröidyille on puolestaan ilmoitettava, mikäli loukkauksestta todennäköisesti aiheutuu korkean riski oikeuksille ja vapauksille. Ilmoituksen perusteella rekisteröidyt voivat esimerkiksi ryhtyä toimiin haittavaikutuksen pienentämiseksi (esim. sulkemalla luottokorttinsa).

Ilmoitukseen on sisällytettävä seuraavat tiedot:

• selkeä kuvaus henkilötietojen tietoturvaloukkauksesta
• tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa
• henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset
• toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on jo toteuttanut; tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.

Organisaation on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset sekä niiden vaikutukset ja toteutetut korjaavat toimet riippumatta siitä, mitä toimenpiteitä tietoturvaloukkauksesta lopulta seuraa.

Dokumentointivelvollisuuden tai ilmoituksen tekemisen laiminlyöminen on tietosuoja-asetuksen vastaista. Se voi johtaa tietosuoja-asetuksessa määritettyihin seuraamuksiin.

Organisaation on ilmoitettava henkilötietojen tietoturvaloukkauksesta toimivaltaiselle viranomaiselle 72 tunnin kuluessa siitä, kun se on tullut tietoon, jos se voi vaarantaa yksilöiden oikeudet tai vapaudet. Jos tietoturvaloukkaus aiheuttaa suuren riskin, myös asianomaisille henkilöille on ilmoitettava asiasta ilman aiheetonta viivytystä.

Jos kaikki tiedot eivät ole saatavilla 72 tunnin kuluessa, organisaation on perusteltava viivästys ja toimitettava loput tiedot mahdollisimman pian. Ilmoituksiin on sisällyttävä:

• Kuvaus tietoturvaloukkauksesta, mukaan lukien ajankohta, luonne ja syy.
• niiden henkilöiden ja tietotyyppien luokat ja likimääräinen lukumäärä, joita asia koskee.
• Arvio riskeistä ja mahdollisista vaikutuksista.
• toimet, jotka on toteutettu rikkomuksen lieventämiseksi, ja suunnitellut toimenpiteet rikkomuksen toistumisen estämiseksi.
• Vastuuhenkilön tai tietosuojayhteyshenkilön yhteystiedot.

Organisaation on säilytettävä jäljennökset kaikista ilmoituksista, dokumentoitava korjaavat ja ehkäisevät toimet, kirjattava saadut kokemukset ja säilytettävä tositteet vaatimustenmukaisuuden osoittamiseksi. Kaikkien raportointi- ja dokumentointiprosessien on oltava kansallisen kyberturvallisuusviranomaisen tai muiden sovellettavien säännösten vaatimusten mukaisia.

Organisaation on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet kerättyjen henkilötietojen suojaamiseksi luvattomalta käytöltä, luovuttamiselta, muuttamiselta, vahingoittumiselta tai katoamiselta.

Jos henkilötiedot ovat vaarantuneet tai saattavat vaarantua, organisaation on:

• ryhdyttävä välittömästi korjaaviin toimiin tapahtuman rajoittamiseksi ja lieventämiseksi, jos henkilötiedot ovat vaarantuneet tai saattavat vaarantua.
• Ilmoitettava viipymättä asianomaisille henkilöille sovellettavien oikeudellisten ja sääntelyvaatimusten mukaisesti.
• Ilmoitettava tapahtumasta asianomaisille toimivaltaisille viranomaisille ilman aiheetonta viivytystä.
• Dokumentoi tietoturvaloukkaus, mukaan lukien sen syy, vaikutus ja korjaavat toimenpiteet, jotka on toteutettu sen toistumisen estämiseksi.

Organisaation on määriteltävä toimintatavat, joita noudattaen tiedotetaan toimitusketjun tietoturvaloukkauksista. Prosessin on huomioitava kaikenlaiset omat roolit toimitusketjussa, olimmepa itse lopputuotteen tilaaja tai yksi ketjuun kuuluva toimittaja.

Toimintatapojen on huomioitava kumppanien sekä asiakkaiden kanssa tehdyt sopimukset ja niihin sisältyvät sitoumukset molempien osapuolten velvollisuuksista loukkauksien ilmoittamiseen liittyen.

Organisaatiomme on ennalta määritellyt toimintatavat, joiden kautta havaittua tietoturvaloukkausta aletaan käsitellä. Prosessi voivat sisältää mm. seuraavia asioita:

• ketkä kuuluvat tiimiin, joka on valmiina reagoimaan loukkauksiin
• kuinka ja mitä kanavaa myöten loukkauksesta tiedotetaan välittömästi koko tiimia
• tiimi määrittää loukkaukselle vakavuuden (matala, keskiverto, korkea) ennaltamääriteltyjen kriteerien perusteella
• loukkauksen käsittelyä jatketaan isommalla porukalla vakavuustason mukaisesti

Rekisterinpitäjän on arvioitava, millainen riski tietoturvaloukkauksesta aiheutuu vuodon kohteena olevalle henkilölle. Arviossa on huomioitava esimerkiksi seuraavat asiat:

• Miten todennäköistä on, että tietoja käytetään haitantekoon?
• Millaista haittaa tietojen avulla voitaisiin tehdä (mahdollistuuko esim. identiteettivarkaus, petos, psyykkisen ahdistuksen tuottaminen, nöyryyttäminen tai mainevahingon tuottaminen)?
• Henkilötietojen luonne, arkaluonteisuus ja määrä
• Kuinka helppoa rekisteröity on tunnistaa tiedoista?
• Onko rekisteröityjen joukossa paljon esimerkiksi lapsia tai muuten heikossa asemassa olevia?

Riskiarvio vaikuttaa loukkauksesta ilmoittamisen kiireellisyyteen ja laajuuteen.