Henkilötietojen suojan turvaaminen NIS2-direktiivin mukaisessa organisaation kyberturvallisuuspoikkeaman raportointiprosessissa

Abstract

Tutkimuksen tarkoituksena on selvittää, miten henkilötietojen suojan turvaaminen on NIS2-direktiivin mukaisessa organisaation kyberturvallisuuspoikkeaman raportointiprosessissa huomioitu. Lisäksi käsitellään, miten NIS2-direktiivin ja yleisen tietosuoja-asetuksen raportointivelvoitteet eroavat toisistaan ja kuinka organisaation tulee lain mukaan toimia tilanteessa, jossa kyberturvallisuuspoikkeama vaikuttaa myös henkilötietoihin sekä niiden käsittelyyn. Tutkielmassa käsitellään henkilötietojen käsittelyä ja kyberturvallisuuspoikkeamien raportointia pääasiassa julkishallinnollisen toimijan näkökulmasta.

Suomen perustuslain (731/1999) 10 pykälän mukaan jokaisen yksityiselämä, kunnia ja kotirauha on turvattu. Myös Euroopan unionin perusoikeuskirjan 8. artikla sekä Sopimus Euroopan unionin toiminnasta takaavat, että jokaisella on oikeus henkilötietojensa suojaan kansalaisuudesta tai asuinpaikasta riippumatta. Yleisen tietosuoja-asetuksen useat säädökset takaavat, että henkilötietojen suojan on toteuduttava myös verkkoympäristöissä, ja henkilötietojen käsittelylle tulee aina olla henkilötietojen omistajan suostumus tai jokin laillinen peruste.

NIS2-direktiivin vaatimusten on tarkoitus asettaa Euroopan unionin alueella vähimmäisvelvoitteet kyberturvallisuudelle. Direktiivissä on määritelty organisaation riskienhallintavelvoitteista kyberturvallisuuden tason takaamiseksi. Toimijat on velvoitettu NIS2-direktiivillä ja kansallisella kyberturvallisuuslailla (124/2025) ilmoittamaan valvoville viranomaisille havaitsemistaan kyberturvallisuuspoikkeamista kolmiportaisen raportointiprosessin kautta, joissa jokaisessa vaiheessa on ilmoituksen antamisessa noudatettavat aikamääreet. Yleisessä tietosuoja-asetuksessa on määritelty oma raportointiprosessi henkilötietojen tietosuojaloukkausten ilmoittamiseksi valvovalle viranomaiselle. Keskeinen havainto on, että NIS2-direktiivi ja yleinen tietosuoja-asetus asettavat erilaiset ilmoitusvelvollisuudet, vaikka samassa tapauksessa saatetaan tehdä ilmoitus sekä kyberturvallisuuspoikkeamasta että tietoturvaloukkauksesta. Käsittelyssä on myös tietojenkäsittelyssä tapahtuvista rikkomuksista tai laiminlyönneistä seuraavan hallinnollisen seuraamusmaksun määräytymisestä erityisesti julkishallinnon toimialaan kuuluvalle ja siihen liittyvän lakiuudistuksen valmistelu.

Tutkielman johtopäätöksissä todetaan, että sääntelyn kehityksessä korostuu erityisesti tarve selkeyttää vastuunjakoa sekä yhdenmukaistaa raportointiprosesseja, jotta sääntely ei olisi organisaatioille liian hajanaista ja raskasta soveltaa. Johtopäätöksissä todetaan myös hallinnollisten seuraamusmaksujen määräämisessä olevan tarvetta uudistukselle. Keskeisenä haasteena säädösten yhteensovittamisessa havaittiin poikkeamien tunnistamisen ja vastuiden epäselvyydet sekä säädösten asettamat eri aikamääreet ilmoituksille sekä eri valvovat viranomaiset.