Mitä tehdä, jos henkilötietoja on vuotanut? Selitämme yritysten tulisi toteuttaa hallinnollisia toimenpiteitä

Internetin kehittyessä ja online-tiedonvaihdon mahdollistuessa, on myös tapaukset, joissa yrityksen tärkeät tiedot vuotavat odottamattomalla tavalla, lisääntyneet.

Viime vuosina tiedon arvo on kasvanut, ja jos tietovuoto tapahtuu, se voi johtaa suuriin ongelmiin, jotka vahingoittavat luottamusta. Yrityksenä on vaadittu, että jos tietovuoto tapahtuu, on ryhdyttävä nopeasti asianmukaisiin toimenpiteisiin.

Tässä yhteydessä selitämme yksityiskohtaisesti hallinnolliset toimenpiteet, jotka yrityksen tulisi toteuttaa, jos tietovuoto tapahtuu.

Myös tietovuotoja, jotka vaativat hallinnollisia toimenpiteitä

Tietovuodot voivat vaihdella tietojen sisällön ja merkityksen suhteen. Hallinnollisia toimenpiteitä vaaditaan, kun henkilötietoja on vuotanut.

Henkilötietojen määritelmä on määritelty seuraavasti Japanin henkilötietojen suojelulain (jäljempänä ‘henkilötietojen suojelulaki’) 2 artiklan 1 kohdassa:

(Määritelmä)
Artikla 2 Tässä laissa ‘henkilötiedot’ tarkoittaa tietoa, joka koskee elävää henkilöä ja joka täyttää seuraavat ehdot:
1. Tieto, joka sisältää nimen, syntymäajan tai muun kuvauksen (asiakirja, piirros tai sähköinen tallennus (tarkoittaa tallennusta, joka on tehty sähköisellä, magneettisella tai muulla tavalla, jota ei voida havaita ihmisen aistien avulla. Sama pätee seuraavassa kohdassa.) ja joka on kirjattu tai tallennettu tai ilmaistu äänen, liikkeen tai muun menetelmän avulla (pois lukien henkilökohtaiset tunnuskoodit). Sama pätee jatkossa.) ja jonka avulla voidaan tunnistaa tietty henkilö (mukaan lukien tiedot, jotka voidaan helposti verrata muihin tietoihin ja joiden avulla voidaan tunnistaa tietty henkilö).
2. Tieto, joka sisältää henkilökohtaisen tunnuskoodin

e-GOV｜Henkilötietojen suojelulaki[ja]

Tieto, joka täyttää edellä mainitun määritelmän, suojataan henkilötietoina henkilötietojen suojelulain mukaisesti.

Liittyvä artikkeli: Mitä henkilötietojen suojelulaki ja henkilötiedot ovat? Asianajaja selittää[ja]

Lisäksi, kun tietovuoto tapahtuu, yrityksen on toteutettava toimenpiteitä, kuten hallinnollisia toimenpiteitä ja tietojen julkistamista. Katso lisätietoja alla olevasta artikkelista.

Liittyvä artikkeli: Mitä tietojen julkistaminen yrityksen tulisi tehdä tietovuodon sattuessa[ja]

Velvollisuus ilmoittaa henkilötietojen vuodoista

Henkilötietojen käsittelijöillä on velvollisuus ilmoittaa henkilötietojen vuodoista tai vuodon mahdollisuudesta Japanin henkilötietojen suojelukomitealle (Japanese Personal Information Protection Commission), jos tällainen tilanne ilmenee.

Huomautettakoon, että ennen vuotta 2022 (Reiwa 4 vuosi), ilmoitus henkilötietojen suojelukomitealle henkilötietojen vuodosta tai vuodon mahdollisuudesta ei ollut velvollisuus, vaan sitä pidettiin pyrkimyksenä. Henkilötietojen suojelulaki (Japanese Personal Information Protection Act) muutettiin, ja vuodesta 2022 (Reiwa 4 vuosi) alkaen ilmoitus henkilötietojen suojelukomitealle on ollut velvollisuus.

Tässä yhteydessä “henkilötietojen käsittelijä” tarkoittaa henkilöä, joka käyttää henkilötietokantoja liiketoiminnassaan (Japanese Personal Information Protection Act, Article 16, Paragraph 2). Kuitenkin valtion virastot, paikallishallinnot, itsenäiset hallintovirastot jne. eivät kuulu henkilötietojen käsittelijöihin.

“Henkilötietokanta” tarkoittaa tietojen kokoelmaa, joka sisältää henkilötietoja ja joka täyttää seuraavat kaksi vaatimusta, lukuun ottamatta niitä, jotka asetuksella määritellään sellaisiksi, joilla on vähän mahdollisuuksia loukata yksilön oikeuksia ja etuja (Japanese Personal Information Protection Act, Article 16, Paragraph 1):

• Järjestelmä, joka on järjestetty siten, että tiettyjä henkilötietoja voidaan etsiä tietokoneella
• Järjestelmä, joka on järjestetty siten, että tiettyjä henkilötietoja voidaan helposti etsiä

Henkilötietojen käsittelijät, jotka käyttävät henkilötietokantoja liiketoiminnassaan, ovat velvollisia ilmoittamaan henkilötietojen suojelukomitealle.

Liittyvä artikkeli: Selitys vuoden 2022 muutoksista henkilötietojen suojelulakiin – “Liiketoiminnan vastuut”[ja]

Henkilötietojen suojelukomitealle ilmoitettavat neljä tapausta

Henkilötietojen vuotamisen sattuessa on neljä tapausta, joissa on tarpeen ilmoittaa asiasta Henkilötietojen suojelukomitealle (Japanin henkilötietojen suojelulain täytäntöönpanosäännöksen 7 §).

1. Kun henkilötietoja, jotka sisältävät erityistä huomiota vaativia henkilötietoja, on vuotanut tai on olemassa vuotamisen vaara
2. Kun henkilötietoja, joiden väärinkäytöstä voi aiheutua taloudellista vahinkoa, on vuotanut tai on olemassa vuotamisen vaara
3. Kun henkilötietoja, joiden vuotamisen epäillään tapahtuneen väärinkäytöstarkoituksessa, on vuotanut tai on olemassa vuotamisen vaara
4. Kun henkilötietoja, jotka koskevat yli 1000 henkilöä, on vuotanut tai on olemassa vuotamisen vaara

Alla selitämme nämä tapaukset tarkemmin.

Erityistä huomiota vaativien henkilötietojen vuotaminen

“Erityistä huomiota vaativat henkilötiedot” tarkoittavat henkilötietoja, jotka koskevat henkilön rotua, uskontoa, sosiaalista asemaa, sairaushistoriaa, rikoshistoriaa, rikoksen uhriksi joutumista jne., ja joiden käsittelyssä on erityisesti otettava huomioon, ettei henkilölle aiheudu epäoikeudenmukaista syrjintää, ennakkoluuloja tai muita haittoja.

Esimerkiksi työntekijän terveystarkastuksen tulokset, jotka koskevat työntekijän sairaushistoriaa, kuuluvat erityistä huomiota vaativiin henkilötietoihin.

Henkilötietojen vuotaminen, josta voi aiheutua taloudellista vahinkoa

Tässä tarkoitetaan tapauksia, joissa henkilötietoja, joiden väärinkäytöstä voi aiheutua taloudellista vahinkoa, on vuotanut.

Esimerkkinä voidaan mainita tapaus, jossa yritys on vuotanut asiakkaidensa luottokorttitiedot.

Henkilötietojen vuotaminen väärinkäytöstarkoituksessa

Tämä koskee tapauksia, joissa henkilötietojen vuotamisen taustalla on väärinkäytöstarkoitus.

Esimerkiksi, jos kolmas osapuoli tai yrityksen työntekijä on luvattomasti päässyt yrityksen verkkoon ja vuotanut henkilötietoja väärinkäytöstarkoituksessa, tämä kuuluu tähän kategoriaan.

Laajamittainen henkilötietojen vuotaminen

Tämä koskee tapauksia, joissa on vuotanut henkilötietoja, jotka koskevat yli 1000 henkilöä.

Yritysten, jotka käsittelevät suuria määriä henkilötietoja, on oltava varovaisia, sillä on mahdollista, että suuri määrä henkilötietoja vuotaa kerralla.

Ilmoitusvelvollisuus henkilötietojen suojavaliokunnalle tietovuodon sattuessa

Jos tilanne vaatii ilmoituksen tekemistä henkilötietojen suojavaliokunnalle, on tarpeen tehdä ilmoitus seuraavista asioista, jotka on määritelty Japanin henkilötietojen suojalain (Japanese Personal Information Protection Act) täytäntöönpanosäännöksen 8 artiklan 1 kohdassa.

(Ilmoitus henkilötietojen suojavaliokunnalle)
Artikla 8 Henkilötietojen käsittelijän on, kun hän tekee ilmoituksen lain 26 artiklan 1 kohdan mukaisesti, ilmoitettava viipymättä seuraavat seikat, jotka liittyvät kyseiseen tilanteeseen (rajoittuen niihin, jotka hän ymmärtää ilmoitusta tehdessään. Sama koskee seuraavaa artiklaa.)

e-GOV｜Henkilötietojen suojalaki[ja]

Jos jokin seuraavista neljästä tapauksesta, joissa ilmoitus on tarpeen, toteutuu, yrityksen on viipymättä ilmoitettava seuraavat asiat henkilötietojen suojavaliokunnalle:

• Yleiskatsaus
• Tietojen vuotaminen tai sen mahdollisuus
• Vuotaneiden tai mahdollisesti vuotaneiden henkilötietojen määrä
• Syy
• Toissijaisten vahinkojen tai niiden mahdollisuuden olemassaolo ja niiden sisältö
• Toimenpiteet asianomaisille henkilöille
• Julkistamisen tila
• Toimenpiteet uusiutumisen estämiseksi
• Muut huomioon otettavat seikat

Kuitenkin, ilmoituksen tekemiseen riittää ne asiat, jotka tiedetään ilmoituksen tekohetkellä.

Ilmoitusmääräajat henkilötietojen suojavaliokunnalle tietovuodon sattuessa

Henkilötietojen suojavaliokunnalle tehtävän ilmoituksen määräajasta on säädetty (Japanin henkilötietojen suojelulain täytäntöönpanosäännöksen 8 artiklan 2 kohta).

Periaatteessa henkilötietojen suojavaliokunnalle tulee tehdä ilmoitus 30 päivän kuluessa siitä päivästä, kun tietovuoto tai vastaava tilanne on tullut tietoon. Jos henkilötietoja vuotaneella taholla on ollut vilpillinen tarkoitus, ilmoitus tulee tehdä 60 päivän kuluessa.

Ilmoitusvelvollisuus henkilölle

Henkilötietojen vuotamisen tapahtuessa, on määrätty paitsi ilmoitusvelvollisuus Japanin henkilötietosuojavaliokunnalle, myös ilmoitusvelvollisuus asianomaiselle henkilölle (Japanin henkilötietosuojalaki, 26. pykälän 2. momentti).

Ilmoituksen tekeminen henkilölle on tarkoitettu estämään henkilön oikeuksien ja etujen loukkaaminen mahdollistamalla henkilön reagointi mahdollisimman nopeasti henkilötietojen vuotamiseen. Siksi henkilötietojen käsittelijöiden on ilmoitettava asiasta asianomaiselle henkilölle viipymättä.

Yhteenveto: Konsultoi asianajajaa henkilötietojen vuotojen hallinnassa

Olemme keskittyneet selittämään, mitä yrityksen on tehtävä, jos henkilötietojen vuoto tapahtuu, erityisesti hallinnollisten toimenpiteiden näkökulmasta.

Yrityksenä on tietenkin tärkeää luoda järjestelmä, joka estää tietovuodot. Kuitenkin, jos tietovuoto sattuu tapahtumaan, on välttämätöntä reagoida asianmukaisesti.

‘Japanilaisen henkilötietojen suojelulain’ osalta, koska se on usein muutettu laki ja sillä on monimutkainen rakenne, suosittelemme konsultoimaan asianajajaa, jolla on erikoistunutta tietoa, jotta voidaan reagoida asianmukaisesti.

Toimenpiteet, joita toimistomme tarjoaa

Monolis Lakitoimisto on lakitoimisto, jolla on korkea asiantuntemus IT:stä, erityisesti internetistä ja laista. Nykyään henkilötietojen vuotaminen on suuri ongelma. Jos henkilötietoja vuotaa, se voi joissakin tapauksissa vaikuttaa yritystoimintaan kohtalokkaasti. Yrityksellämme on asiantuntemusta tietovuotojen estämisestä ja vastatoimista. Yksityiskohdat on esitetty alla olevassa artikkelissa.