Euroopa Andmekaitsenõukogu on 2018.a vastu võtnud rikkumisteadete suunise WP 250, mis uuendatult võeti vastu oktoobris 2022 (9/2022).a ja 2021.a rikkumisteadete näidete suunise 01/2021. Käsitleme siinses ülevaates mõlemaid suuniseid. Rikkumisi ananlüüsib ja rikkumisteadetest annab ülevaate ka inspektsiooni koostatud isikuandmete töötleja üldjuhendi 7. peatükk.
Mis?
Isikuandmetega seotud rikkumine on turvanõuete rikkumine, mis põhjustab edastatavate, salvestatud või muul viisil töödeldavate isikuandmete juhusliku või ebaseadusliku hävitamise, kaotsimineku, muutmise või loata avalikustamise või neile juurdepääsu.
Hävitamine tähendab, et andmeid enam ei ole või on vormis, millest ei ole andmetöötlejale kasu. Andmete kaotsimineku all tuleks mõelda olukordi, kus andmed on olemas, kuid andmetöötlejal ei ole neile enam juurdepääsu või andmed ei ole andmetöötleja valduses.
Kõik isikuandmetega seotud rikkumised on turvanõuete rikkumised, kuid mitte vastupidi.
Rikkumisi saab jagada kolmeks:
- Konfidentsiaalsuse rikkumine – lubamatu juurdepääs;
- Käideldavuse rikkumine – juurdepääsu kaotamine või andmete hävimine;
- Terviklikkuse rikkumine – lubamatu muutmine.
Millal?
Järelevalveasutust tuleks teavitada rikkumisest põhjendamatu viivituseta ja võimaluse korral 72 tunni jooksul pärast teada saamist. Andmetöötlejat tuleb pidada teadlikuks, kui andmetöötleja on kindel, et toimunud on turvanõuete rikkumine, mis on viinud isikuandmete ohustamiseni.
Kuivõrd andmekaitseasutust tuleb teavitada põhjendamatu viivituseta (võttes arvesse rikkumise loomust ning raskust), paneb see andmetöötlejale kohustuse veenduda, et ta on kõikidest rikkumistest aegsasti teada, et vajalikke samme astuda.
Andmetöötleja teada saamine sõltub ka konkreetsest rikkumisest. Mõne rikkumise puhul on see selge, et rikkumine on toimunud, kuid mõningatel juhtudel võib selle kindlakstegemine võtta aega.
Kui andmetöötlejal on kahtlus, et rikkumine on toimunud ning ta on seda välja selgitamas, ei saa seda perioodi pidada nn rikkumisest teada saamiseks.
Pärast rikkumisest teada saamist tuleb andmetöötlejal hinnata, kas tuleks teavitada järelevalveasutust (artikkel 33) ja/või andmesubjekte (artikkel 34). Teavitada tuleks ka vastavat taset juhtkonnas.
Millal saab teatavaks?
- Saab teada, et mälupulk isikuandmetega on kadunud;
- Saab teada, et kliendi andmeid on kogemata kolmandate isikutega jagatud;
- Saab teada, et võrku on tungitud;
- Küberkurjategija võtab ühendust ja nõuab lunaraha.
IKÜM artikkel 32 toob selgelt välja, et vastutaval ja volitatud töötlejal peavad olema paigas asjakohased tehnilised ja korralduslikud meetmed, sh kes vastutab artiklites 33 ja 34 väljatoodud kohustuste täitmise eest. Kaasvastutavad töötlejad peaksid lepinguga määrama, milline vastutav töötleja vastutab rikkumisteadete esitamise eest.
Volitatud töötleja peab IKÜM artikli 33 lg 2 kohaselt teatama vastutavat töötlejat rikkumisest põhjendamatu viivituseta. Volitatud töötleja ei pea riske hindama, kuivõrd see ülesanne jääb vastutavale töötlejale. Juhul, kui vastutav töötleja kasutab volitatud töötlejat, saab vastutav töötleja rikkumisest teada sellel hetkel, kui volitatud töötleja sellest teda teavitab. Juhul, kui volitatud töötleja teenuseid kasutab mitu vastutavat töötlejat, peab volitatud töötleja teavitama kõiki vastutavaid töötlejaid eraldi.
Suunised selgitavad mh, vähemalt milliseid andmeid peaks rikkumisteade sisaldama ning milliste andmete esitamine on soovituslik. Lisaks on võimalik järelevalveasutusel küsida ükskõik, millist lisateavet, mis on rikkumisega seotud.
Järelevalveasutuse teavitamine
Järelevalveasutust võib teavitada etappide kaupa, kuivõrd andmetöötlejal ei pruugi olla 72 tunni möödudes kõiki andmeid rikkumise kohta. Näiteks küberturvalisuse intsidentide puhul võib uurimine võtta kauem aega, et täies mahus rikkumise ulatust hoomata.
Teavituse kohustus on tehtud selle jaoks, et andmetöötlejad rikkumisest teada saamisel koheselt tegutseksid: selgitaksid välja rikkumise suuruse, taastaksid muundatud andmed ning saaksid järelevalveasutuselt asjakohaseid nõuandeid. Samuti esimese 72 tunni jooksul järelevalveasutuse teatamine annab võimaluse andmetöötlejale aru saada, kas andmesubjekte on vaja teavitada või mitte.
Kui andmetöötleja ei teavita järelevalveasutust esimese 72 tunni jooksul, peab ta hilinemist põhjendama. Ka hilinenud teavitused võivad olla vastuvõetavad, sõltuvalt rikkumise loomusest.
Piiriülesed rikkumised
Piiriüleste rikkumiste korral peab andmetöötleja hindama, milline järelevalveasutus on käesoleval juhul juhtivaks järelevalveasutuseks. Andmetöötleja peab sellisel juhul järelevalveasutust teavitama, kas rikkumine hõlmab ka teiste liikmesriikide tegevuskohti või andmesubjekte.
Juhul, kui tegemist on EL-välise andmetöötlejaga, peab EL-väline andmetöötleja teavitama igat järelevalveasutust, kelle territooriumil rikkumisega seotud andmesubjektid elavad.
Juhtumid, mil teavitus ei ole vajalik
Kui rikkumine ei kujuta tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele, ei ole vaja andmetöötlejal rikkumisteadet esitada. Juhul, kui andmed on juba avalikud, ei aseta andmete avalikustamine füüsiliste isikute õigusi ja vabadusi ohtu.
Kui andmed on tehtud kättesaadavaks kolmandatele isikutele ning need andmed on krüpteeritud, võib juhtuda, et füüsiliste isikute õigused ja vabadused ei ole ohus ning rikkumisteadet esitada ei tule. Selliste olukordade kohta loe täpsemalt suunistest.
Andmesubjekti teavitamine
Kui rikkumine kujutab endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele tuleb vastutaval töötlejal andmesubjekti teavitada. Seega ei pea andmesubjekte kõikidest rikkumistest teavitama. Suuniste lisa B sisaldab endas mittetäielikku listi, millal tuleb andmesubjekte teavitada.
Suunistes on välja toodud, millist teavet tuleb andmesubjektile esitada, kui rikkumisest teavitada ning muuhulgas kuidas ja milliste kanalite kaudu andmesubjekte teavitada tuleb.
Teatud tingimuste täitmisel, mis on välja toodud IKÜM artikli 34 lõikes 3, ei pea andmesubjekte teavitama.
Ohtude hindamine
IKÜM räägib kahest ohust:
- järelevalveasutust ei pea teavitama, kui rikkumine ei kujuta endast tõenäoliselt ohtu füüsiliste isikute õigustele ja vabadustele;
- andmesubjekti ei pea teavitama, kui rikkumine ei kujuta endast tõenäoliselt suurt ohtu füüsiliste isikute õigustele ja vabadustele.
Seega on oluline, et andmetöötleja hindaks mh ohu suurust: esmalt seetõttu, et teada andmesubjektile avalduva mõju tõsidust ning sellest tulenevalt võtta meetmeid ning teisalt selleks, et kindlaks määrata järelevalveasutuse või andmesubjekti teavitamine.
Oht võib olla juhul, kui rikkumine viib füüsilise, varalise või mittevaralise kahju tekkele (nt identiteedivargus või pettus, rahaline kahju, maine kahjustamine, pseudonümiseerimise loata tühistamine jt). Täpsemalt vaata IKÜM põhjenduspunktist 75.
Ohu hindamine
IKÜMi põhjenduspunktide 75 ja 76 alusel tuleks hinnata ohu tõenäosust ja tõsidust. Oluline on märkida, et rikkumisest tuleneva ohu hindamine on erinev võrreldes mõjuhinnangu tegemisega. Mõjuhinnang on suunatud hüpoteetiliselt võimaliku ohu tõrjumisele, kuid juba toimunud rikkumise puhul tuleb keskenduda sellele, et oht võib avaldada andmesubjektidele mõju.
Ohu hindamise ning isikuandmete loomuse, tundlikkuse ning mahu kohta saab lähemalt lugeda suunistest.
Vastutus ja arvestuse pidamine
Kuivõrd andmetöötleja peab kõik rikkumised dokumenteerida, on soovituslik pidada sisemist registrit rikkumiste kohta. Registrit võib järelevalveasutus välja küsida (vt IKÜM artikkel 24).
Registri ülesehitus on iga andmetöötleja enda otsustada, kuid teatavad elemendid peavad siiski olemas olema, näiteks IKÜM artikli 33 lõikes 5 on sätestatud, et kirjas peavad olema rikkumise asjaolud, selle mõju ja võetud parandusmeetmed.
Sellise registri pidamise kohta ei ole IKÜMis säilitustähtaega määratud.
Rikkumistest teavitamise kohustus teiste õigusaktide alusel
Lisaks IKÜMile on rikkumistest teavitamise kohustus ka muude õigusaktide alusel, vaata näiteks eIDAS määrus artikkel 19 lg 2 ning NIS direktiivi artiklid 14 ja 16.
Suunised 01/2021 näidetest isikuandmete kaitse rikkumise teadete kohta
1. Lunavara ründed
1.1. Lunavara varukoopiaga ning andmete lekkimiseta
Näide. Väikese tootmisettevõtte arvutisüsteemid puutusid kokku lunavararünnakuga ja nendes süsteemides salvestatud andmed krüpteeriti. Logid ei andmete leket rünnaku ajal. Rikkumisest mõjutatud isikuandmed on seotud ettevõtte klientide ja töötajatega, kokku paarikümne üksikisikuga. Varukoopia oli hõlpsasti saadaval ja andmed taastati mõni tund pärast rünnaku toimumist.
Vastutaval töötlejal ei tule kedagi teavitada.
1.2. Lunavara varukoopiata
Näide. Ettevõte arvuti puutus kokku lunavararünnakuga ja ründaja krüpteeris andmed. Andmed ei lekkinud. Elektroonilisel kujul varukoopia puudub. Suurem osa andmetest taastati pabervarukoopiatest. Andmete taastamine võttis aega 5 tööpäeva.
Vastutaval töötlejal tuleb teavitada järelevalveasutust.
1.3. Lunavara varukoopiaga ning andmete lekkimiseta haiglas
Näide. Ründaja krüpteeris olulise osa haigla andmetest. Andmed ei lekkinud.. Rikkumisest on mõjutatud töötajad ja patsiendid. Suurem osa andmetest taastati, kuid see võttis aega 2 tööpäeva ning patsientide ravimise edasi lükkamisi või tühistamisi.
Vastutaval töötlejal tuleb teavitada nii järelevalveasutust kui ka andmesubjekte.
1.4. Lunavara varukoopiata ning andmete lekkimine
Näide. Ettevõtte servereid rünnati ning andmed krüpteeriti. Selgus, et ründaja tegevuse tulemusel lekkisid ka andmed. Rikutud andmeteks on klientide ja töötajate ning tuhandete ettevõtte teenuseid kasutava inimese isikuandmed. Rikkumisega on seotud ka isikukoodid ja finantsandmed, sh krediitkaardiandmed. Varuandmebaas on olemas, kuid ründaja krüpteeris ka selle.
Vastutaval töötlejal tuleb teavitada nii järelevalveasutust kui ka andmesubjekte.
2. Andmete lekkimise põhjustanud rünnakud
2.1. Tööle kandideerijate avalduste andmete lekkimine veebilehelt
Näide. Värbamisettevõte sattus küberrünnaku ohvriks, kui nende veebilehele sisestati pahatahtlik kood. See muutis kandideerimisavalduste kaud esitatud ja serverisse salvestatud teabe ründajale juurdepääsetavaks. Tõenäoliselt pääseti juurde 213 taotlusele. Ründajal oli võimalik jälgida ka serveris toimuvad andmetöötlust ning jäädvustada isikuandmeid. Selline pahavara avastati alles kuu aega pärast selle sisestamist.
Vastutaval töötlejal tuleb teavitada nii järelevalveasutust kui ka andmesubjekte.
2.2. Räsitud paroolide lekkimine veebisaidilt
Näide. Ründaja sai ligipääsu veebisaidi serveri andmebaasile. Veebisaidil on kasutajad valinud kasutajanimedeks suvalised pseudonüümid; e-postiaadressi kasutamist sellel eesmärgil ei soovitatud. Paroolid olid räsitud tugeva algoritmiga. Vastutav töötleja teavitas siiski andmesubjekte ja soovitas paroole muuta.
Vastutaval töötlejal ei tule kedagi teavitada.
2.3. Rünnak panga veebisaidil
Näide. Panga veebisaidi rünnaku eesmärk oli triviaalsete paroolide abil siseneda pangakontodele. Ründajale lekkis andmesubjektide kohta käiv teave, kokku umbes 100 000 andmesubjekti. Ründaja sai edukalt siseneda umbes 2000 kontole. Vastutav töötleja oli rünnakust teadlik, kuna tuvastati suur hulk veebisaidile suunatud sisselogimistaotlusi. Vastutav töötleja keelas seejärel sisselogimise ja lülitas selle välja.
Vastutaval töötlejal tuleb teavitada nii järelevalveasutust kui ka andmesubjekte.
3. Inimlik eksimus või väärkäitumine
3.1. Töötaja tõttu äriteabe lekkimine
Näide. Enne töölt lahkumist kopeerib töötaja ettevõtte andmebaasist ettevõtte äriandmeid, mida ta kasutab hiljem uue andmetöötluse alustamiseks, et meelitada eelmise ettevõtte kliente uude äritegevusse.
Vastutaval töötlejal tuleb teavitada järelevalveasutust.
3.2. Andmete juhuslik edastamine usaldusväärsele kolmandale osapoolele
Näide. Vastutav töötleja edastas Exceli failiga kindlustusagendile mh teabe isikute kohta, kes ei ole kindlustusagendi kliendid. Vastutava töötleja ja kindlustusagendi vahelise kokkuleppe kohaselt peab agent andma isikuandmetega seotud rikkumistest viivitamata vastutavale töötlejale teada. Vastutav töötleja palus agendil andmed kustutada. Agent kinnitas kustutamist kirjaliku avaldusega.
Vastutaval töötlejal ei tule kedagi teavitada.
4. Kaotatud või varastatud andmekandjad või paberdokumendid
4.1. Varastatud andmekandja sisaldab krüptitud isikuandmeid
Näide. Varastati kaks tahvelarvutit, milles sisaldusid lasteaias käivate laste isikuandmed. Tahvelarvutid ning rakendus olid mõlemad kaitstud tugeva parooliga. Varukoopiad andmetest olid vastutaval töötlejal olemas. Vastutav töötleja sai kaugjuhtimise teel tahvelarvutid puhastada.
Vastutaval töötlejal ei tule kedagi teavitada.
4.2. Varastatud andmekandja sisaldab mittekrüpteeritud isikuandmeid
Näide. Töötajalt varastati elektrooniline märkmik, mis sisaldas enam kui 100 000 kliendi isikuandmeid. Juurdepääs märkmikule ei olnud kaitstud ühegi parooliga. Isikuandmeid saab varukoopiatest taastada.
Vastutaval töötlejal tuleb teavitada nii järelevalveasutust kui ka andmesubjekte.
4.3. Varastatud paberdokumendid tundlike andmetega
Näide. Taastusraviasutusest varastati paberpäevik, mis sisaldas patsientide isiku- ja terviseandmeid. Varukoopia puudus. Päevikut ei hoitud lukustatuna, vastutaval töötlejal puudus paberdokumentide juurdepääsukontroll või muud kaitsemeetmed.
Vastutaval töötlejal tuleb teavitada nii järelevalveasutust kui ka andmesubjekte.
5. Eksimused e-kirjade või posti saatmisel
5.1. Postiviga
Näide. Kaks tellimust aeti segi, mistõttu kliendid said paki koos teise isiku isikuandmetega. Pärast rikkumisest teada saamist saadeti tellimused tagasi vastutavale töötlejale, kes edastas pakid õigetele klientidele.
Vastutaval töötlejal ei tule kedagi teavitada.
5.2. Konfidentsiaalsed isikuandmed, mis saadeti kogemata posti teel
Näide. Avaliku sektori personaliosakond saatis kõikidele tööotsijana registreeritud isikutele e-kirja tulevaste koolituste kohta, kuid e-kirjale lisati ka dokument kõikide tööotsijate isikuandmetega. Kõikide adressaatidega võeti ühendust ja paluti teavet mitte kasutada.
Vastutaval töötlejal tuleb teavitada nii järelevalveasutust kui ka andmesubjekte.
5.3. Isikuandmete saatmine posti teel
Näide. Kursusel osalejate nimekiri saadetakse hotelli asemel endistele kursusel osalejatele. Vastutav töötleja avastab vea kohe ning teatab saajaid veast.
Vastutaval töötlejal ei tule kedagi teavitada.
5.4. Postiviga
Näide. Tehnilise vea tõttu saadetakse kindlustusvõtjale posti teel ka teise kindlustusvõtja andmed.
Vastutaval töötlejal tuleb teavitada järelevalveasutust.
6. Muud näited
6.1. Identiteedivargus
Näide. Väidetav klient helistab telekommunikatsiooni ettevõttele ning palub muuta e-postiaadressi, kuhu arveldusinfo saadetakse. Väidetav klient märgib õigesti kliendi maksunumbri ja postiaadressi. Seaduslik klient võtab ettevõttega järgmisel kuul ühendust, et küsida, miks ta ei ole arvet saanud.
Vastutaval töötlejal tuleb teavitada nii järelevalveasutust kui ka andmesubjekte.
6.2. Õngitsusründed
Näide. Poekett tuvastas, et mõnda meilikontot on muudetud selliselt, et e-kirjad, mis sisaldavad teatud väljendeid (nt arve, makse, pangakonto andmed) saadetakse välisele e-postiaadressile. Tarnijana esinenud ründaja oli lasknud mh tarnija pangakonto andmed muuta enda omadeks. Ettevõte ei tuvastanud rünnaku algust. Ründaja sai teavet 99 töötaja kohta.
Vastutaval töötlejal tuleb teavitada nii järelevalveasutust kui ka andmesubjekte.
Andmete väljafiltreerimine (ik exfiltration) toimub siis, kui pahavara ja/või pahatahtlik toimija teostab arvutist volitamata andmeedastust. Seda nimetatakse tavaliselt ka andmete väljapressimiseks või andmete lekkimiseks. Andmete väljafiltreerimist peetakse ka andmete varguse vormiks.
Lunavara, tuntud ka kui krüptoviirus või krüptouss, on pahavara, mis krüpteerib kasutaja arvutis kas teatud olulised andmed või terve kõvaketta, mille järel kurjategijad nõuavad andmete dešifreerimisvõtme eest lunaraha. Seda tüüpi ründe võib tavaliselt liigitada kättesaadavuse rikkumiseks, kuid sageli võib juhtuda ka konfidentsiaalsuse rikkumine.
2018.a versioon: Suunis rikkumisteadete kohta (eesti k.)
Last updated: 05.03.2024