« Takaisin

Tietosuojavaltuutettu on päättänyt Verohallinnon tietoturvaloukkauksen käsittelyn

Tietosuojavaltuutetun toimisto. 30.09.2019

Vääriä henkilötietoja sisältäneistä Verohallinnon kirjeistä aiheutuneen tietoturvaloukkauksen käsittely tietosuojavaltuutetun toimistossa on päättynyt. Päätöksessään apulaistietosuojavaltuutettu Jari Råman toteaa, että Verohallinto on pystynyt selvittämään tietoturvaloukkauksen kulun sekä sitoutunut ilmoittamaan loukkauksesta rekisteröidyille. Näin ollen tietosuojavaltuutetun toimistolla ei ole tarvetta antaa Verohallinnolle määräystä tietosuoja-asetuksen mukaisten velvoitteiden täyttämiseksi.

Verohallinnon mukaan tietoturvaloukkauksen syyksi paljastui ohjelmistovirhe, joka on selvitystyön jälkeen saatu korjatuksi. Verohallinto on myös pystynyt jäljittämään, mitä henkilötietoja tietoturvaloukkauksessa on päätynyt vääriin osoitteisiin. Tiedot olivat valtaosin sellaisessa muodossa, ettei niitä voi yhdistää tunnistettavaan henkilöön. Tunnistettavassa muodossa olevia tietoja, kuten henkilötunnuksia, oli alle kymmenessä väärälle vastaanottajalle lähetetyssä kirjeessä.

Verohallinto on sitoutunut lähettämään kirjallisen ilmoituksen niille noin 2 300 henkilölle, joiden henkilötietoja on päätynyt virheellisiin kirjeisiin. Nämä toimenpiteet ovat apulaistietosuojavaltuutetun mukaan riittäviä tietosuoja-asetuksen velvoitteiden täyttämiseksi, eikä asiassa ole tarvetta jatkotoimenpiteisiin.

Tietosuoja-asetuksen mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidyille, jos loukkaus aiheuttaa näiden oikeuksille ja vapauksille korkean riskin. Ilmoituksessa on kerrottava muun muassa ne toimenpiteet, joihin rekisterinpitäjä on tietoturvaloukkauksen johdosta ryhtynyt sekä tarvittaessa toimenpiteet loukkauksesta aiheutuvien haittavaikutusten lieventämiseksi.

« Takaisin