Tietosuoja

Tietoturvaloukkauksen ilmoittaminen 2026: 72 tuntia (GDPR 33–34 art.)

Tietoturvaloukkauksen ilmoittaminen GDPR 33–34 artiklan mukaan: 72 tunnin määräaika, milloin ilmoitat viranomaiselle ja rekisteröidyille sekä mitä seuraa viiveestä.

Also available in:English·Français·Español

Tietoturvaloukkaus on ilmoitettava Tietosuojavaltuutetun toimistolle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut siitä tietoiseksi. Näin määrää yleisen tietosuoja-asetuksen (GDPR) 33 artikla. Jos loukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille, siitä on 34 artiklan mukaan ilmoitettava myös rekisteröidyille itselleen ilman aiheetonta viivytystä. Ilmoitusvelvollisuus ei koske vain hakkerointia: myös vahingossa lähetetty sähköposti, kadonnut kannettava tai virheellinen käyttöoikeus voi olla loukkaus. Tässä oppaassa käydään läpi, mikä on loukkaus, milloin ja miten ilmoitat sekä mitä viivyttelystä seuraa.

Mikä on henkilötietojen tietoturvaloukkaus?

GDPR 4 artiklan 12 kohta määrittelee tietoturvaloukkauksen tapahtumaksi, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn tietoihin. Loukkaukset jaetaan kolmeen tyyppiin:

  • Luottamuksellisuusloukkaus: tietoja paljastuu tai niihin pääsee luvatta (esimerkiksi hakkerointi tai väärälle vastaanottajalle lähetetty viesti);
  • Eheysloukkaus: tietoja muutetaan luvatta;
  • Saatavuusloukkaus: tietoja häviää tai niihin ei pääse käsiksi (esimerkiksi kiristyshaittaohjelma tai kadonnut varmuuskopio).

Kaikki loukkaukset eivät edellytä ilmoitusta viranomaiselle – vain ne, jotka todennäköisesti aiheuttavat riskin rekisteröityjen oikeuksille. Riskiä arvioidaan tietojen luonteen (ovatko ne erityisiä henkilötietoryhmiä), määrän, rekisteröityjen lukumäärän ja mahdollisten seurausten perusteella. Jos tiedot ovat vahvasti salattuja eikä avainta ole vaarantunut, riski voi olla niin pieni, ettei ilmoitusta tarvita – mutta tämä on aina dokumentoitava.

72 tunnin määräaika käytännössä

Määräaika alkaa siitä hetkestä, kun rekisterinpitäjä tulee tietoiseksi loukkauksesta – eli kun on kohtuullisen varmaa, että tietoturvatapahtuma on johtanut henkilötietojen vaarantumiseen. 72 tuntia on kalenteriaikaa, ei työaikaa: siihen sisältyvät illat ja viikonloput. Tämä tarkoittaa, että sinulla on oltava valmis prosessi ennen loukkausta, ei vasta sen jälkeen.

33 artiklan 3 kohta luettelee ilmoituksen vähimmäissisällön:

  1. Loukkauksen kuvaus: mitä tapahtui, rekisteröityjen ja tietueiden lukumäärä;
  2. Tietosuojavastaavan tai muun yhteyshenkilön yhteystiedot;
  3. Todennäköiset seuraukset;
  4. Toteutetut tai ehdotetut toimenpiteet, mukaan lukien haittavaikutusten lieventäminen.

Jos kaikkia tietoja ei ole 72 tunnissa saatavilla, ilmoituksen voi tehdä vaiheittain (33 artiklan 4 kohta): tee alustava ilmoitus määräajassa ja täydennä sitä myöhemmin. Jos ilmoitus tehdään myöhässä kuin 72 tuntia, siihen on liitettävä perustelu viivästykselle. Ilmoituksen voi tehdä sähköisesti Tietosuojavaltuutetun toimiston tietoturvaloukkausten ilmoitussivun kautta.

Käsittelijän rooli on tässä ratkaiseva. 33 artiklan 2 kohta velvoittaa henkilötietojen käsittelijän ilmoittamaan loukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä. Siksi käsittelysopimuksessa on syytä sopia lyhyt, täsmällinen määräaika (esimerkiksi 24 tuntia), jotta oma 72 tunnin määräaikasi ei karkaa.

Käytännössä 72 tunnin määräaika edellyttää selkeää sisäistä eskalointipolkua. Kun työntekijä havaitsee epäillyn loukkauksen, hänen on tiedettävä välittömästi, kenelle asiasta ilmoitetaan – ei etsittävä vastuuhenkilöä tapahtuman hetkellä. Monissa organisaatioissa kriittinen viive syntyy juuri havaitsemisen ja sisäisen ilmoituksen välillä: loukkaus tunnistetaan perjantai-iltana, mutta se tavoittaa vastuuhenkilön vasta maanantaina, jolloin määräajasta on kulunut jo suuri osa. Siksi sisäinen ilmoituskanava ja päivystysjärjestely on rakennettava etukäteen osaksi tietoturvaloukkausten käsittelyprosessia. Määräaikaa ei myöskään pysäytä se, että selvitys on kesken – vaiheittainen ilmoitus on nimenomaan tätä tilannetta varten.

Milloin ilmoitat rekisteröidyille? (34 artikla)

Kun loukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, heille on ilmoitettava suoraan ilman aiheetonta viivytystä (34 artikla). Ilmoituksen on oltava selkeäkielinen ja sisällettävä sama olennainen tieto kuin viranomaisilmoituksen. Tarkoitus on antaa rekisteröidyille mahdollisuus suojautua – esimerkiksi vaihtaa salasanat tai seurata tilitapahtumiaan.

Rekisteröidyille ei tarvitse ilmoittaa, jos (34 artiklan 3 kohta):

  • tiedot oli suojattu esimerkiksi vahvalla salauksella;
  • korkea riski on jälkitoimenpitein estetty; tai
  • ilmoittaminen jokaiselle erikseen vaatisi kohtuutonta vaivaa, jolloin voidaan käyttää julkista tiedotetta.

Mitä viivyttelystä seuraa? Vastaamo-tapaus

Suomen tähän mennessä opettavaisin loukkaustapaus on Psykoterapiakeskus Vastaamo. Tietosuojavaltuutetun toimiston seuraamuskollegio määräsi 17.12.2021 yhtiölle 608 000 euron seuraamusmaksun – tuolloin Suomen suurimman. Yhtiö oli havainnut tietomurron jo maaliskuussa 2019, mutta ilmoitti siitä valvontaviranomaiselle vasta syyskuussa 2020 – noin 18 kuukautta myöhässä. Viivästys katsottiin tahalliseksi. Lisäksi tietoturvassa oli vakavia puutteita: potilastietokannan MySQL-portti oli suojaamaton ja ilman palomuuria pitkään (IPRinfo).

Vastaamo osoittaa, että 33–34 artiklan velvoitteet ovat todellisia ja että viivyttely maksaa. Ilmoitusvelvollisuus ei myöskään poista taustalla olevaa 32 artiklan tietoturvavelvoitetta – päinvastoin, riittämätön tietoturva pahentaa seuraamusta. Loukkausilmoitus ja tietoturva ovat siis saman kolikon kaksi puolta: hyväkään ilmoitusprosessi ei korvaa puutteellisia turvatoimia, eivätkä hyvät turvatoimet poista ilmoitusvelvollisuutta, jos loukkaus silti tapahtuu.

Loukkausten kirjaaminen ja valmius

33 artiklan 5 kohta velvoittaa dokumentoimaan kaikki tietoturvaloukkaukset – myös ne, joista ei ilmoiteta viranomaiselle. Tähän tarvitaan loukkausrekisteri, josta käy ilmi tapahtuma, sen seuraukset ja korjaavat toimet. Valvontaviranomainen voi tarkastaa rekisterin varmistaakseen, että ilmoitusvelvollisuutta on noudatettu.

Paras suoja viivästyksiä vastaan on valmis prosessi. Rakenna tietoturvaloukkausten käsittelyprosessi ja loukkausrekisteri etukäteen, määritä vastuuhenkilöt ja harjoittele. Legiscopen kaltainen ratkaisu ohjaa loukkausprosessia vaiheittain ja ylläpitää loukkausrekisteriä automaattisesti. GDPR:n loukkaussäännökset löytyvät 33 ja 34 artiklasta EUR-Lexissä.

Esimerkkejä käytännöstä

Tietoturvaloukkaus ei ole vain hakkerointia. Tavallisimmat loukkaukset ovat inhimillisiä erehdyksiä, ja niiden tunnistaminen on ratkaisevaa, koska ilmoitusmääräaika alkaa kulua heti. Muutama esimerkki havainnollistaa arviointia.

Väärälle vastaanottajalle lähetetty sähköposti. Jos lähetät asiakaslistan tai palkkatiedot vahingossa väärään osoitteeseen, kyse on luottamuksellisuusloukkauksesta. Riski riippuu tietojen luonteesta: pelkkä nimi ja sähköposti on matalampi riski kuin henkilötunnukset tai terveystiedot. Arvioi, ovatko tiedot vielä saatavissa takaisin ja onko vastaanottaja luotettava.

Kadonnut tai varastettu laite. Kannettava tai puhelin, joka sisältää henkilötietoja, on loukkaus – ellei laite ole vahvasti salattu. Jos koko levy on salattu eikä avain ole vaarantunut, riski voi olla niin pieni, ettei ilmoitusta tarvita. Tämä on konkreettinen esimerkki siitä, miksi sisäänrakennettu tietosuoja ja salaus kannattaa – ne pienentävät loukkauksen seurauksia.

Kiristyshaittaohjelma. Kiristyshaittaohjelma, joka salaa tiedot, on saatavuusloukkaus (tiedot eivät ole käytettävissä) ja usein myös luottamuksellisuusloukkaus (tiedot on kopioitu). Nämä ovat lähes aina ilmoitettavia ja usein korkean riskin loukkauksia.

Virheellinen käyttöoikeus. Jos työntekijä pääsee järjestelmässä tietoihin, joihin hänellä ei pitäisi olla oikeutta, kyseessä on loukkaus, vaikka tietoja ei olisi viety ulos. Pääsynhallinnan puutteet ovat yleinen loukkausten lähde.

Jokainen näistä on kirjattava loukkausrekisteriin riskiarvioineen, myös silloin kun ilmoitusta viranomaiselle ei tehdä.

Usein kysytyt kysymykset

Onko jokaisesta tietoturvaloukkauksesta ilmoitettava viranomaiselle?

Ei. Viranomaiselle ilmoitetaan vain loukkauksista, jotka todennäköisesti aiheuttavat riskin rekisteröityjen oikeuksille. Riskittömiä loukkauksia ei tarvitse ilmoittaa, mutta kaikki loukkaukset – myös ilmoittamatta jätetyt – on kirjattava loukkausrekisteriin (33 artiklan 5 kohta) ja riskiarvio on dokumentoitava.

Mistä hetkestä 72 tuntia lasketaan?

Määräaika alkaa siitä, kun rekisterinpitäjä tulee tietoiseksi loukkauksesta – eli kun on kohtuullisen varmaa, että henkilötiedot ovat vaarantuneet. Aika on kalenteriaikaa, johon sisältyvät illat ja viikonloput. Jos käsittelijä havaitsee loukkauksen, hänen on ilmoitettava rekisterinpitäjälle heti, ja rekisterinpitäjän määräaika alkaa hänen tiedokseen tulostaan.

Voiko ilmoituksen tehdä vaiheittain?

Kyllä. 33 artiklan 4 kohta sallii vaiheittaisen ilmoittamisen, jos kaikkia tietoja ei ole heti saatavilla. Tee alustava ilmoitus 72 tunnin kuluessa ja täydennä sitä myöhemmin. Yli 72 tunnin viiveestä on esitettävä perustelu.

Milloin rekisteröidyille on ilmoitettava?

Rekisteröidyille ilmoitetaan, kun loukkaus todennäköisesti aiheuttaa korkean riskin heidän oikeuksilleen (34 artikla). Ilmoitusta ei tarvita, jos tiedot olivat vahvasti salattuja, riski on jälkitoimin estetty tai yksittäisilmoitus vaatisi kohtuutonta vaivaa (jolloin voidaan käyttää julkista tiedotetta).

Mitä tietoja viranomaisilmoituksessa on annettava?

33 artiklan 3 kohta edellyttää kuvauksen loukkauksesta (mitä tapahtui, rekisteröityjen ja tietueiden määrä), tietosuojavastaavan tai yhteyshenkilön tiedot, todennäköiset seuraukset sekä toteutetut tai ehdotetut toimenpiteet haittojen lieventämiseksi. Jos kaikkia tietoja ei ole heti, ilmoituksen voi tehdä vaiheittain ja täydentää myöhemmin.

Mitä tapahtuu, jos ilmoitus tehdään myöhässä?

Yli 72 tunnin viiveestä on esitettävä perustelu. Perusteltu viive (esimerkiksi tapahtuman monimutkaisuus) on hyväksyttävä, mutta perusteeton viivyttely on itsenäinen rikkomus. Vastaamon 608 000 euron seuraamusmaksu perustui muun muassa noin 18 kuukauden ilmoitusviiveeseen, joka katsottiin tahalliseksi.

Yhteenveto

Tietoturvaloukkaus on ilmoitettava Tietosuojavaltuutetun toimistolle 72 tunnin kuluessa siitä, kun rekisterinpitäjä on tullut siitä tietoiseksi, ja korkean riskin tilanteissa myös rekisteröidyille. Ilmoitus voidaan tehdä vaiheittain, mutta viivyttely maksaa: Vastaamon 608 000 euron seuraamusmaksu perustui muun muassa 18 kuukauden ilmoitusviiveeseen. Sovi käsittelijöiden kanssa lyhyestä ilmoitusmääräajasta, dokumentoi kaikki loukkaukset loukkausrekisteriin ja rakenna käsittelyprosessi etukäteen. Valmis prosessi ratkaisee sen, ehditkö määräaikaan.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →