Hyppää pääsisältöön

Ilmoita henkilötietojen tietoturvaloukkauksesta

Jos olet Tampereen korkeakouluyhteisön henkilöstön jäsen, opiskelija tai palveluidemme käyttäjä ja havaitset tietoturvaloukkauksen tai epäilet sellaista, alla on ohjeistus, kuinka toimit tapauksessa. Nopea reagointisi edistää mahdollisen tietoturvaloukkauksen selvittämistä.

Määritelmä

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole tietojen käsittelyoikeutta.

 

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen: ohje henkilöstölle, opiskelijoille ja palveluidemme käyttäjille

Henkilötietojen tietoturvaloukkauksesta tai sen epäilystä saa ilmoittaa matalalla kynnyksellä. Yhteydenoton perusteella käynnistämme tietoturvaloukkauksen selvittämisen ja ryhdymme tarvittaviin toimenpiteisiin. 

Ilmoita henkilötietojen tietoturvaloukkaus tai muu tietoturvapoikkeama organisaatioon, joka käsittelee rekisterinpitäjänä henkilötietojasi: 

  • Tampereen yliopistolle (TAU) osoitteisiin: dpo [at] tuni.fi ja tietoturva [at] tuni.fi (2 osoitteeseen) 
  • Tampereen ammattikorkeakoululle (TAMK) osoitteisiin: tietosuoja.tamk [at] tuni.fi ja tietoturva [at] tuni.fi (2 osoitteeseen).

Kirjoita sähköpostiviestin otsikoksi “Tietoturvaloukkausilmoitus” tai muu kuvaava otsikko. Kerro ilmoituksessa: 

  • Miten havaitsit asian tai sait siitä tiedot? 
  • Milloin (päivämäärä ja kellonaika) havaitsit asian tai sait siitä tiedot? 
  • Mistä tapahtuneessa on kyse? 
  • Mitä käsittelyä, ohjelmaa, sovellusta tai järjestelmää ilmoituksesi koskee? 
  • Puhelinnumerosi ja sähköpostiosoitteesi lisätietoja varten. 

Tietoturvaloukkauksen selvittämiseen tarvitaan yleensä ilmoittajalta lisätietoja, joten toivomme, että ilmoitat myös yhteystietosi. Ethän lähetä suojaamattomalla sähköpostilla suojattavia henkilötietoja (kuten henkilötunnusta) tai salassa pidettäviä tietoja. Suojaamattomalla sähköpostilla saa lähettää vain tiedon siitä, että tietoturvaloukkaus on tapahtunut tai että epäilee sellaisen tapahtuneen. 
 
Jos olet saanut tiedon laittomaksi epäilemästäsi henkilötietojen käsittelystä tai tietoturvaloukkauksesta hoitaessasi työtehtäviäsi ja haluat ilmoittaa havaintosi anonyymisti, voit pyytää asian selvittämistä anonyymisti ilmoittajansuojelulain tarkoittaman ilmoituskanavan kautta. Ohjeet ilmoittajansuojelulain tarkoittaman selvityspyynnön tekemiseen löydät intrasta. 

Neuvontaa ilmoittamiseen saat tietosuojavastaavalta. Yhteystiedot löydät tältä sivulta kohdasta Neuvonta

 

Henkilötietojen tietoturvaloukkauksesta ilmoittaminen: ohje palvelun toimittajalle tai muulle käsittelijälle

Jokaisella korkeakoulun puolesta ja lukuun tietoja käsittelevällä ('käsittelijällä') on velvollisuus ilmoittaa viipymättä havaitsemansa tai tietoonsa saama henkilötietojen tietoturvaloukkaus rekisterinpitäjänä toimivalle korkeakoululle.  

Henkilötietojen tietoturvaloukkaus ilmoitetaan rekisterinpitäjälle sähköpostitse: 

  • Tampereen yliopistolle (TAU): dpo [at] tuni.fi ja tietoturva [at] tuni.fi
  • Tampereen ammattikorkeakoululle (TAMK): tietosuoja.tamk [at] tuni.fi ja tietoturva [at] tuni.fi.

Sähköpostiviesti pyydetään otsikoimaan Tietoturvaloukkausilmoitus tai muulla asian selkeästi ilmaisevalla tavalla. 

Käsittelijän on vahvistettava havainto henkilötietojen tietoturvaloukkauksesta oikeaksi ennen sen ilmoittamista. Käsittelijän on aina ilmoitettava henkilötietojen luottamuksellisuuden vaarantava tietoturvaloukkaus ilman aiheetonta viivytystä, kuten havaintonsa puutteista henkilötietojen suojatoimissa. Käsittelijän ei tarvitse arvioida tietoturvaloukkauksen aiheuttaman riskin todennäköisyyttä ennen kuin ilmoittaa siitä. Rekisterinpitäjän velvollisuutena on suorittaa tällainen arviointi. Käsittelijän on ainoastaan selvitettävä, onko tietoturvaloukkaus tapahtunut ja ilmoitettava siitä viipymättä. Tarkkojen tietojen puuttuminen ei ole este tehdä ilmoitusta viipymättä. 

Suojaamattomalla sähköpostilla saa lähettää vain tiedon siitä, että tietoturvaloukkaus on tapahtunut. Jos ilmoitus henkilötietojen tietoturvaloukkauksesta sisältää suojattavia henkilötietoja, erityisiin henkilötietoryhmiin kuuluvia tietoja tai salassa pidettäviä tietoja, on ilmoitus tehtävä suojatulla sähköpostilla tai muulla tiedot suojaavalla tavalla. 

Käsittelijän on ilmoituksessaan tietoturvaloukkauksesta vähintään: 

  1. kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
  2. ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;   
  3. kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset ja 
  4. kuvattava toimenpiteet, jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi ja toimenpiteet, joita se ehdottaa rekisterinpitäjälle. 

Ilmoituksen lisäksi käsittelijä toimittaa ilman aiheetonta viivytystä kirjallisen dokumentaation tai vastaavan raportin tapahtumasta. Siinä tulee kuvata korjaavat toimenpiteet, jotka käsittelijä on toteuttanut tietoturvaloukkauksen pysäyttämiseksi ja rekisteröidyille aiheutettujen vahinkojen pienentämiseksi. Sitä ei vaadita, jos ilmoitus tietoturvaloukkauksesta on sisältänyt kaikki tietosuoja-asetuksen mukaiset sekä korkeakoulun ja käsittelijän välisissä sopimuksissa ja ohjeistuksissa mainitut tiedot. Jos kaikkia tietoja ei ole mahdollista toimittaa samanaikaisesti, voi tiedot toimittaa vaiheittain.

 

Ilmoituksen käsittely

Dokumentoimme kaikki ilmoitukset ja tapahtuneet henkilötietojen tietoturvaloukkaukset. Sähköpostitse tehty ilmoitus henkilötietojen tietoturvaloukkauksesta välittyy korkeakoulun tietosuojavastaavalle ja tietoturvapäällikölle käsiteltäväksi. Heidän lisäkseen ilmoitukseen on pääsy tietosuojatiimin ja tietoturvatiimin jäsenillä, jotka voivat myös selvittää tapahtunutta.

Tarvittaessa eri asiantuntijoiden ja osapuolten kesken järjestetään selvitystilaisuus tai vastaava neuvottelu. Rekisterinpitäjänä ilmoitamme tapahtuneesta tarvittaessa tietosuojaviranomaisille, yhteisrekisterinpitäjille ja muille tahoille. Rekisterinpitäjänä ilmoitamme myös tarvittaessa tapahtuneesta niille, joiden henkilökohtaisista tiedoista on ollut kyse. 
 
Henkilötietojen tietoturvaloukkauksen käsittelyn tietoja säilytetään 10 vuotta siitä, kun ilmoitettu tai havaittu tietoturvaloukkaus on selvitetty ja siihen liittyvät asiat on ratkaistu. Aiheettomat ilmoitukset ja tarpeettomat henkilötiedot voidaan poistaa jo aiemmin. Yksittäistä ilmoitusta voidaan säilyttää pidempään, jos se on tarpeen oikeusvaateen laatimiseksi, puolustamiseksi tai sellaiseen vastaamiseksi. 

 

Neuvonta

Neuvontaa henkilötietojen tietoturvaloukkauksen ilmoittamiseen saat:

Tampereen yliopisto

tietosuojavastaava Sanna Vartia  
osoitteessa dpo [at] tuni.fi tai puhelimitse +358 (0)294 5211 (yliopiston vaihde), 
kun kyse on yliopiston tiedoista tai palveluista. 

Tampereen ammattikorkeakoulu (TAMK)

tietosuojavastaava Niku Hinkka
osoitteesta tietosuoja.tamk [at] tuni.fi tai puhelimitse + 358 (0)294 5222 (TAMKin vaihde), 
kun kyse on Tampereen ammattikorkeakoulun tiedoista tai palveluista. 

 

Lue lisää tietoturvaloukkauksista tietosuojavaltuutetun sivuilta