GDPR:n mukainen tietomurtoilmoitus

Lue, kuinka Microsoft havaitsee henkilökohtaisiin tietoihin liittyvät tietomurrot ja kuinka niistä ilmoitetaan GDPR:n mukaisesti.

GDPR määrää rekisterinpitäjille ja henkilötietojen käsittelijöille tietyt ilmoitusvaatimukset, jos ilmenee henkilötietojen tietoturvaloukkaus. Alla käsitellään näitä säännöksiä sekä sitä, kuinka Microsoft yrittää alun alkaen estää tietomurrot, kuinka Microsoft havaitsee tietomurrot ja kuinka Microsoft vastaa tietomurron tapahtuessa ja ilmoittaa sinulle rekisterinpitäjänä.


Online Services -palveluiden dokumentaatio tietomurtoihin liittyen

Office 365

Dynamics 365

Microsoftin ammattilaispalvelut

Hallintatyökalut

Määritä organisaatiolle tietosuojayhteyshenkilö. Vuokraajan järjestelmänvalvojat voivat Azure Active Directoryn hallintaportaalissa määrittää organisaation tietosuojayhteyshenkilön, jotta Microsoftin voi olla häneen yhteydessä.

Tietomurtoilmoituksiin liittyvät usein kysytyt kysymykset

Alla on tietomurtoilmoituksiin liittyviä tärkeitä kysymyksiä ja vastauksia:
|

Henkilötietoja ovat kaikki yksityishenkilöihin liittyvät tiedot, joiden avulla henkilö voidaan tunnistaa suoraan tai epäsuorasti. Henkilötietojen tietoturvaloukkaus on “tietoturvaloukkaus, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.”

Jos henkilötietojen tietoturvaloukkaus todennäköisesti vaarantaa yksityishenkilöiden oikeudet ja vapaudet (kuten syrjintä, identiteettivarkaus, vilppi, taloudelliset tappiot tai maineen vahingoittuminen), GDPR asettaa seuraavat toimintavaatimukset:
  • Ilmoita vastaavalle tietosuojausviranomaiselle (Data Protection Authority, DPA) 72 tunnin sisällä siitä, kun saat itse kuulla asiasta – esimerkiksi saatuasi ilmoituksen Microsoftilta. Jos et ilmoita asiasta DPA:lle kyseisenä ajanjaksona, on sinun kerrottava DPA:lle syy tähän. Ilmoitus on annettava DPA:lle, vaikka kyseessä olisi henkilöihin kohdistuva riski, joka ei oletettavasti aiheuta suurta riskiä.
  • Ilmoita rekisteröidyille tietomurrosta ilman aiheetonta viivytystä.
  • Dokumentoi tietomurto ja sisällytä kuvaus tietomurron luonteesta – moneenko henkilöön ja moneenko datatietueeseen tietomurto vaikutti, mitkä olivat tietomurron seuraukset sekä millaisia korjaavia toimenpiteitä organisaatiosi ehdottaa tai mihin toimenpiteisiin se on ryhtynyt.

Kun Microsoft on saanut tietää henkilötietojen tietoturvaloukkauksesta, GDPR:n mukaan Microsoftin on tiedotettava asiasta ilman aiheetonta viivytystä. Kun Microsoft toimii henkilötietojen käsittelijänä, Microsoftin velvollisuudet vastaavat sekä GDPR:n vaatimuksia että Microsoftin omia maailmanlaajuisia sopimussäännöksiä. Microsoft katsoo, että samat toimet tulee kohdistaa kaikkiin vahvistettuihin henkilötietojen tietoturvaloukkauksiin; minkäänlaista riskitason kynnysarvoa ei ole. Microsoft ilmoittaa asiakkailleen, onko tietomurto kohdistunut suoraan Microsoftiin vai johonkin käsittelijänä toimivaan alihankkijaan. Käytössä on prosesseja, joiden avulla voidaan nopeasti tunnistaa organisaation tietoturvaongelmien yhteyshenkilöiksi määritetyt käyttäjät sekä ottaa heihin yhteyttä. Lisäksi kaikki käsittelijöinä toimivat alihankkijat ovat sopimuksen perusteella velvollisia ilmoittamaan omista tietomurroistaan Microsoftille, ja alihankkijat antavat tästä takuut.

Kaikki Microsoftin palvelut sekä henkilökunnan jäsenet noudattavat sisäisiä tapauksenhallintamenettelyjä, joiden avulla voidaan varmistaa, että varotoimiin ryhdytään ja tietomurrot vältetään alun alkaen. Lisäksi Online Services -palveluilla on käytössä tietoturvatoimenpiteitä, joiden avulla tietomurrot voidaan havaita silloin harvoin, kun niitä ilmenee.

Jotta Microsoft voisi tukea asiakkaitaan henkilötietoihin liittyvien tietomurtojen yhteydessä, Microsoftilla on:
  • tietoturvaan erikoistunutta henkilöstöä, joka on koulutettu noudattamaan tiettyjä toimia
  • käytäntöjä, proseduureja ja hallintatoimintoja, joiden avulla varmistetaan, että Microsoft säilyttää yksityiskohtaiset tietueet. Tähän sisältyy dokumentaatio, johon tallennetaan tapaukseen liittyvät tosiasiat, tapauksen vaikutukset ja korjaavat toimenpiteet, sekä seuranta- ja säilytystietoja tapaustenhallintajärjestelmissä.

Microsoftilla on käytäntöjä ja proseduureja, joiden avulla asiakkaat saavat ilmoituksen nopeasti. Jotta asiakkaat saavat täytettyä ilmoitusvaatimukset DPA:lle, Microsoft tarjoaa kuvauksen siitä prosessista, jonka avulla henkilötietoihin liittyvä tietomurto todetaan tapahtuneeksi, kuvauksen tietomurron luonteesta sekä kuvauksen niistä toimista, joihin on ryhdytty tietomurron vaikutusten ehkäisemiseksi.