GDPR-asetus muutti tietoturvaloukkauksista ilmoittamisen velvollisuutta aiempaa tiukemmaksi.

Tietoturvakohu riepottelee Giganttia. Ismo Pekkarinen / AOP

Myymäläketju Gigantti teki yleisen tietosuoja-asetuksen mukaisesti yrityksen nettisivuilta löytyneestä tietoturva-aukosta ilmoituksen tietosuojavaltuutetulle viime tipassa 72 tunnin aikarajan sisällä.

Iltalehti uutisoi lauantaina, että yhtiön sivuilta pystyi katsomaan kenen tahansa julkisia yhteystietoja. Tietoturvakohu laajeni viikonloppuna. Gigantti myönsi Iltalehdelle, että julkisten tietojen lisäksi käyttäjille paljastui myös ihmisten arkaluontoisia henkilötietoja.

– Emme ole saaneet ilmoitusta yrityksen suunnalta. Toki nyt tässä täytyy ensimmäisenä selvittää sitä, mistä syystä meille ei ole tehty sitä ilmoitusta. Tietoturvaloukkauksissa on 72 tunnin aikaraja, jossa siitä tulisi ilmoittaa, kertoi apulaistietosuojavaltuutettu Anu Talus Iltalehdelle tiistaina.

Taluksen mukaan ilmoitusvelvollisuus kiristyi aiempaan nähden GDPR-tietosuoja-asetuksen tultua voimaan.

– Velvollisuus ilmoittaa tietoturvaloukkauksista tuli tämän GDPR:n myötä. Tietoturvaloukkaukset ovat meillekin uusi asia.

Vaikka Gigantti itse ei ole ilmoitusta tehnyt, palvelun käyttäjiltä Gigantti-asia on tullut vireille.

Gigantin markkinointijohtaja Sami Särkelä kertoi tiistaina illalla Iltalehdelle, että Gigantti on tehnyt vaaditun ilmoituksen viranomaisille.

– Gigantin lakiosasto on tehnyt ilmoituksen tietosuojavaltuutetun toimistolle tänään tiistaina illalla puoli seitsemän ja seitsemän välillä, Särkelä sanoo.

Särkelän mukaan ilmoitus on tehty 72 tunnin sisällä siitä, kun Gigantti on itse todentanut tietoturvaloukkauksen tapahtuneen.

Tuhansia asioita

Ilmoituksia tietoturvaloukkauksista on tullut valtava määrä viimeisen vuoden aikana. GDPR astui voimaan viime vuoden toukokuussa.

– Näitä on tullut vuoden 2019 aikana yli kolme tuhatta.

Tietoturvaloukkauksista voidaan langettaa erilaisia seuraamuksia.

– Se riippuu hyvin paljon siitä, minkälainen tämä loukkaus on kokonaisuutena arvioituna. Seuraamukset voivat olla monenlaisia, joskus neuvontaa, huomautus, toki voi tulla hallinnollisia seuraamusmaksuja, joita ei vielä Suomessa ole määrätty. Asia selvitetään ja tutkitaan. Yritys voidaan velvoittaa ilmoittamaan näille, keiden tietoja on vuotanut.

Talus ei vielä osaa ottaa kantaa siihen, onko tietosuojavaltuutetun toimistolla tarpeeksi käsipareja hoitamaan moista tuhansien ilmoitusten määrää.

– Toki koko ajan mietitään, miten saadaan prosesseista mahdollisimman tehokkaita. Resursseja on saatu lisää. Arvio resurssien riittävyydestä on mahdollista tehdä sisään tulevien asioiden määrän tasaannuttua.

Esimerkiksi huomautus on Gigantille mahdollinen seuraamus kyseisessä tapauksessa.

– Harkinnan mukaan näistä myös tiedotetaan. Toki ratkaisut ovat lähtökohtaisesti julkisia.

Juttua ja otsikkoa muokattu klo 21.44: Gigantti kertoi jutun julkaisun jälkeen tehneensä vaaditun ilmoituksen tietosuojavaltuutetulle 72 tunnin sisällä siitä, kun tietoturvaloukkaus oli todennettu.