Vakuutusalan yritys on toimittanut erehdyksessä mitenkään asiaan liittyvälle kolmannelle osapuolelle salassapidettäviä asiakirjoja, jotka käsittelevät mm. henkilötietoja (hetu) ja tietoja terveydentilasta, lääkärilausuntoja jne. Olen tämä henkilö jonka tiedot ovat päätyneet vääriin käsiin. Mitä teen?
1 vastaus
Aiheeseen liittyvät kysymykset
778 vastausta
Kiitos kysymyksestä.
Henkilötietojen tietoturvaloukkauksena pidetään esimerkiksi niiden luvatonta luovuttamista tai muuta tapahtumaa, jolloin niihin pääsee käsiksi käsittelyoikeudeton henkilö. Tapauksessa henkilötietoja on erehdyksestä luovutettu kolmannelle osapuolelle, jolle tietoja ei olisi kuulunut luovuttaa. Luovuttamista voidaan siis tässä tapauksessa pitää luvattomana ja näin tietoturvaloukkauksena. Tietosuojalain mukaan henkilöllä on oikeus saattaa asia tietosuojavaltuutetun käsiteltäväksi, jos katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan sitä koskevaa lainsäädäntöä. Tapauksessa voisi siis saattaa asian tietosuojavaltuutetun käsiteltäväksi, jolloin tietosuojavaltuutettu tutkii tietoturvaloukkauksen tasoa ja ryhtyy mahdollisesti tietosuojalaissa määriteltyihin toimenpiteisiin, joita ovat asian saattaminen Helsingin hallinto-oikeuden ratkaistavaksi sekä uhkasakon tai hallinnollisen sakon asettaminen tietoturvaa loukanneelle osapuolelle.
Tietosuojarikoksesta säädetään myös rikoslain 38 luvun 9 §:ssä. Pykälän mukaan, joka tahallaan tai törkeästä huolimattomuudesta hankkii henkilötietoja niiden käyttötarkoituksen kanssa yhteensopimattomalla tavalla, luovuttaa henkilötietoja tai siirtää henkilötietoja vastoin jonkin henkilötietojen käsittelyä koskevan lain henkilötietojen käyttötarkoitussidonnaisuutta, luovuttamista tai siirtämistä koskevaa säännöstä ja siten loukkaa rekisteröidyn yksityisyyden suojaa tai aiheuttaa hänelle muuta vahinkoa tai olennaista haittaa, on tuomittava tietosuojarikoksesta sakkoon tai vankeuteen enintään yhdeksi vuodeksi.
Tapauksessa yritys on huolimattomuudesta luovuttanut henkilötietoja väärälle henkilölle, jolloin tietosuojarikoksen tunnusmerkistö saattaisi täyttyä. Kuitenkin se, pidetäänkö huolimattomuutta törkeänä, ratkaistaan aina kokonaisarvostelun perusteella, ja huomioon otetaan esimerkiksi huolellisuusvelvollisuuden merkitys, vaarannettujen etujen tärkeys ja loukkauksen todennäköisyys, riskinoton tietoisuus sekä muut tekoon ja tekijään liittyvät olosuhteet.