Type something to search...
to navigateto selectESC to close

Tietoturvaloukkauksesta ilmoittaminen

Tietoturvaloukkauksesta ilmoittaminen on lakisääteinen velvoite ilmoittaa valvontaviranomaisille ja tietyissä tapauksissa asianomaisille henkilöille, kun henkilötiedot ovat vaarantuneet tietoturvaloukkauksen seurauksena. Tietosuoja-asetuksen mukaan rekisterinpitäjien on ilmoitettava valvontaviranomaiselleen 72 tunnin kuluessa siitä, kun he ovat saaneet tietää loukkauksesta, joka aiheuttaa riskin ihmisten oikeuksille ja vapauksille, ja ilmoitettava suoraan asianomaisille henkilöille, jos loukkaus aiheuttaa korkean riskin.

Oikeusperusta

"Henkilötietojen tietoturvaloukkauksen sattuessa rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mikäli mahdollista viimeistään 72 tunnin kuluessa siitä, kun on saanut tiedon tietoturvaloukkauksesta, toimivaltaiselle valvontaviranomaiselle 55 artiklan mukaisesti, paitsi jos on epätodennäköistä, että henkilötietojen tietoturvaloukkauksesta aiheutuu riski luonnollisten henkilöiden oikeuksille ja vapauksille."

— 33 artikla 1 kohta, asetus (EU) 2016/679 (tietosuoja-asetus)

"Jos henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä."

— 34 artikla 1 kohta, asetus (EU) 2016/679 (tietosuoja-asetus)

Miksi se on tärkeää

Tietoturvaloukkauksesta ilmoittamisen velvoitteet koskevat kaikkia organisaatioita, jotka käsittelevät henkilötietoja poliittisen mainonnan palveluiden yhteydessä. Asetuksen 2024/900 mukaisille poliittisen mainonnan sponsoreille, julkaisijoille ja palveluntarjoajille tämä tarkoittaa, että jokainen luvaton pääsy, menetys tai muuttaminen kohdentamiseen tai mainonnan toimittamiseen käytettävistä henkilötiedoista on ilmoitettava viipymättä asianomaiselle tietosuojaviranomaiselle.

72 tunnin ilmoitusaika on tiukka ja alkaa siitä, kun organisaatio saa tiedon loukkauksesta, ei siitä, kun he saavat tutkimuksen päätökseen. Organisaatioilla on oltava sisäiset prosessit loukkausten havaitsemiseksi, tutkimiseksi ja raportoimiseksi nopeasti. Ilmoittamatta jättäminen voi johtaa jopa 10 miljoonan euron tai 2 prosentin vuotuisesta maailmanlaajuisesta liikevaihdosta määrättäviin sakkoihin tietosuoja-asetuksen mukaisesti.

Erityisesti poliittisen mainonnan osalta loukkaukset, jotka koskevat kohdentamistietoja, äänestäjäprofiileja tai poliittisia mieltymyksiä, ovat erityisen arkaluonteisia. Nämä loukkaukset voivat altistaa yksilöt manipuloinnille, syrjinnälle tai kostotoimille, mikä tekee oikea-aikaisesta ilmoittamisesta kriittistä demokraattisten prosessien ja yksilöiden oikeuksien suojelemiseksi.

Keskeiset kohdat

  • Rekisterinpitäjien on ilmoitettava valvontaviranomaiselleen 72 tunnin kuluessa siitä, kun he ovat saaneet tiedon loukkauksesta, ellei loukkaus todennäköisesti aiheuta riskiä yksilöiden oikeuksille ja vapauksille
  • Jos loukkaus aiheuttaa korkean riskin yksilöille, heille on ilmoitettava suoraan ilman aiheetonta viivytystä
  • Ilmoitusten on kuvattava loukkauksen luonne, asianomaisten henkilöiden ja tietueiden luokat ja likimääräinen lukumäärä sekä toimenpiteet, joihin on ryhdytty sen käsittelemiseksi
  • Henkilötietojen käsittelijöiden on ilmoitettava rekisterinpitäjille välittömästi loukkauksen havaitsemisen jälkeen, jotta rekisterinpitäjät voivat täyttää omat ilmoitusvelvoitteensa
  • Organisaatioiden tulee ylläpitää dokumentaatiota kaikista loukkauksista, myös niistä, joista ei ole ilmoitettu, vaatimustenmukaisuuden osoittamiseksi
  • Ilmoittamatta jättämisestä määrättävät rangaistukset voivat olla jopa 10 miljoonaa euroa tai 2 prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta sen mukaan, kumpi on suurempi

Tietoturvaloukkauksesta ilmoittaminen verrattuna avoimuustiedotteeseen

Vaikka molemmat sisältävät tiedonantovelvoitteita, tietoturvaloukkauksesta ilmoittaminen ja avoimuustiedotteet palvelevat eri tarkoituksia. Tietoturvaloukkauksesta ilmoittaminen on reaktiivinen, tapahtumalähtöinen vaatimus, joka laukeaa, kun henkilötietojen turvallisuus vaarantuu. Se on toimitettava valvontaviranomaisille 72 tunnin kuluessa ja asianomaisille henkilöille, kun on olemassa korkea riski.

Avoimuustiedote (kuten tietosuoja-asetuksen 13-14 artiklan mukainen tietosuojaseloste tai asetuksen 2024/900 mukainen poliittisen mainonnan avoimuustiedote) on ennakoiva, jatkuva velvoite ilmoittaa henkilöille, miten heidän tietojaan käsitellään ennen tietojen keräämistä tai sen yhteydessä. Avoimuustiedotteet ovat ennaltaehkäiseviä ja informatiivisia; loukkausilmoitukset ovat korjaavia ja kiireellisiä.

Näkökohta Tietoturvaloukkauksesta ilmoittaminen Avoimuustiedote
Laukaiseva tekijä Turvallisuusvälikohtaus Tietojen kerääminen/käsittely
Ajoitus 72 tuntia (viranomaiselle) Ennen keräämistä/keräämisen yhteydessä
Kohderyhmä Viranomainen + asianomaiset henkilöt Kaikki rekisteröidyt
Tarkoitus Välikohtaukseen reagoiminen Jatkuva avoimuus

Liittyvät termit

  • Henkilötiedot
  • Tietosuojaviranomainen
  • Rekisterinpitäjä
  • Henkilötietojen käsittelijä
  • Tietosuoja-asetuksen noudattaminen
  • Kohdentamistekniikat
  • Turvatoimenpiteet
  • Valvontaviranomainen
  • Tietosuojaseloste
  • Rekisteröidyn oikeudet

Tietoturvaloukkauksesta ilmoittaminen: Core Facts

Status
Active Definition
Verified
2026-03-07

Related

Kyllä. EU-asetuksena TTPA on suoraan sovellettavissa kaikissa jäsenvaltioissa ilman kansallista täytäntöönpanoa. Jäsenvaltioiden tarvitsee vain nimetä viranomaiset ja asettaa seuraamukset.
Läpinäkyvyysvaatimukset varmistavat, että kaikki poliittiset toimijat toimivat samojen sääntöjen mukaisesti. Äänestäjät voivat nähdä, kenellä on resursseja ja miten niitä käytetään, mikä tukee reilua kilpailua.
Avoimuus rakentaa luottamusta osoittamalla äänestäjille, että poliittiset toimijat toimivat avoimesti. Piilotettu rahoitus tai kohdentaminen heikentää luottamusta demokraattisiin prosesseihin.
Edellyttämällä selkeää merkintää ja helposti saatavilla olevia avoimuustietoja TTPA auttaa ihmisiä tunnistamaan poliittisen mainonnan ja ymmärtämään, kuka heitä yrittää vaikuttaa.
Poliittiseen mainontaan kuuluu jokainen maksettu viesti, joka edistää poliittista toimijaa, vaikuttaa äänestäjien käyttäytymiseen, vaikuttaa vaalien tai kansanäänestysten tulokseen tai vaikuttaa lainsäädäntö- tai sääntelyprosesseihin. Se sisältää myös kaikki poliittisen toimijan mainonnan tai poliittisen toimijan puolesta tehdyn mainonnan.
Ei. TTPA ei vaikuta kansallisiin sääntöihin, jotka koskevat poliittisten mainosten sisältöä, vaalikampanjoiden rahoitusta, vaalikausia tai yleisiä poliittisen mainonnan kieltoja. Se lisää avoimuusvaatimuksia olemassa olevien kansallisten lakien päälle.
Virallinen nimi on Euroopan parlamentin ja neuvoston asetus (EU) 2024/900 poliittisen mainonnan avoimuudesta ja kohdentamisesta. Se julkaistiin 20. maaliskuuta 2024.
Kyllä. TTPA kattaa kaiken poliittisen mainonnan, olipa se verkossa tai verkon ulkopuolella, mukaan lukien painetun mainonnan, mainostaulut, television, radion ja digitaaliset kanavat. Luvun III kohdentamissäännöt koskevat ainoastaan verkkomainontaa.