Yhdysvaltalainen kuljetusyhtiö Uber tiedotti viime viikolla, että hakkerit ovat onnistuneet varastamaan henkilökohtaisia tietoja 57 miljoonalta yhtiön asiakkaalta sekä kuljettajalta eri puolilla maailmaa vuoden 2016 loppupuolella. Uber maksoi mediatietojen mukaan hakkereille 100.000 dollaria varastettujen tietojen tuhoamisesta sekä asiasta vaikenemisesta. Tiedoissa oli muun muassa sähköpostiosoitteita, nimiä sekä puhelinnumeroita. Yhtiön mukaan varastetuissa tiedoissa ei ollut kuitenkaan matkojen sijaintietoja, luottokorttinumeroita, pankkitilinumeroita, henkilötunnuksia tai syntymäaikoja.

Leikitäänpä hetki ajatuksella, että tämä olisi tapahtunut EU:n uuden yleisen tietosuoja-asetuksen (GDPR) aikakaudella. Yleinen tietosuoja-asetus astuu voimaan 25.5.2018 kahden vuoden siirtymäajan jälkeen. Miksi tapaus Uber on siis mielenkiintoinen GDPR:n näkökulmasta?

EU:n yleisen tietosuoja-asetuksen tavoitteina ovat yksilön oikeuksien vahvistaminen, sisämarkkinaulottuvuuden lujittaminen, tietosuojan globaalin ulottuvuuden huomioiminen sekä tietosuojasääntöjen täytäntöönpanon valvonnan tehostaminen. Tietosuoja-asetusta sovelletaan sekä automaattiseen että manuaaliseen henkilötietojen käsittelyyn. Henkilötiedoilla asetuksessa taas tarkoitetaan tunnistettavaan tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvää tietoa, kuten nimeä, henkilötunnusta, sähköpostiosoitetta tai sijaintitietoa. Ja jos tietosuoja-asetuksen mukainen henkilötiedon määritelmä on laaja, niin on myös sen soveltamisala. GDPR ei siis sovellu ainoastaan rekisterinpitäjiin ja henkilötietojen käsittelijöihin EU:n sisällä, vaan kaikkiin yrityksiin, jotka käsittelevät EU-kansalaisten tietoja.

Miten Uber mokasi ja mitä voimme oppia siitä?

1. Yhtiö ei ilmoittanut tietomurrosta viranomaisille eikä niille, joiden henkilötietoja varastettiin.

Tietosuoja-asetus asettaa rekisterinpitäjälle velvollisuuden ilmoittaa henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle. Lisäksi rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle (eli sille, jonka henkilötietoja tietoturvaloukkaus koskee) ilman aiheetonta viivytystä, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille.

Noudattaakseen tietosuoja-asetuksen vaatimuksia, yritysten tulee siis huolehtia siitä, että niillä on käytössään asianmukaiset tekniset ja organisatoriset toimenpiteet sen selvittämiseksi, onko tapahtunut henkilötietojen tietoturvaloukkaus. Näin asia saadaan saatettua viipymättä valvontaviranomaisen ja rekisteröidyn tiedoksi, jolloin yritys välttyy tämän toimenpiteen rikkomisen aiheuttamilta sanktioilta.

2. Yhtiö ei ollut huolehtinut henkilötietojen riittävästä suojauksesta.

Yhtiön tiedotteen mukaan hakkeroituja tietoja säilytettiin alihankkijan pilvipalvelussa, eikä yhtiön sisäisellä serverillä. GDPR:n mukaan tällä ei kuitenkaan ole merkitystä rekisterinpitäjän vastuun kannalta, sillä rekisterinpitäjä saa käyttää ainoastaan sellaisia henkilötietojen käsittelijöitä (mm. yritys, jonka pilvipalvelussa säilytetään ja käsitellään toisen yrityksen asiakastietoja), jotka toteuttavat riittävät suojatoimet niin, että käsittely täyttää tietosuoja-asetuksen vaatimukset ja varmistetaan rekisteröidyn oikeuksien suojelu. Rekisterinpitäjä ei voi siis uuden tietosuoja-asetuksen mukaan välttää vastuuta osoittamalla syyttävällä sormella sitä tahoa, jolle se on ulkoistanut henkilötietojen käsittelyn.

Yritysten tulisi ulkoistaessaan henkilötietojen käsittelyä huolehtia siitä, että käsittelyn ulkoistamisesta tehdään sopimus, jossa määritellään kaikki tietosuoja-asetuksen noudattamisen kannalta merkittävät seikat. Tällaisia ovat muun muassa ne tekniset ja organisatoriset toimenpiteet, jotka henkilötietojen käsittelijän on toteutettava henkilötietojen turvallisen käsittelyn varmistamiseksi sekä käytännöt henkilötietojen tietoturvaloukkauksista ilmoittamiseksi.

3. Uber maksoi hakkereille tietojen tuhoamisesta.

Uutistoimisto Bloombergin mukaan Uber maksoi hakkereille 100.000 dollaria (n.85.000 euroa) varastettujen tietojen tuhoamisesta. Taustalla tässä toimintamallissa on saattanut olla pelko sanktioista. Jos tietomurto ja sen piilottelu olisi tapahtunut tietosuoja-asetuksen voimassaoloaikana, sakot tietosuoja-asetuksen määräysten rikkomisesta voivat olla enintään 20 miljoonaa euroa tai 4% yrityksen maailmanlaajuisesta liikevaihdosta. Uber saattoi säästää maksamalla hakkereille, mutta lähetti samalla huolestuttavan viestin hakkereille ympäri maailmaa: yhtiö toisin sanoen suostuu rikollisten vaatimuksiin mieluummin, kuin ottaa vastuun virheistään.

Uberin monin tavoin pieleen mennyt toiminta tietomurron jälkimainingeissa voi kuitenkin toimia varoituksena muille yrityksille. Henkilötietojen suojaaminen ja tietomurtoihin varautuminen on äärimmäisen tärkeää jokaiselle yritykselle, ei vain sakkojen välttämiseksi vaan myös yrityksen maineen kannalta. Riskien minimointi, hyvän maineen rakentaminen, kansalaisten ja kuluttajien luottamuksen säilyttäminen ovat asioita, jotka ovat tärkeitä toiminnan menestymiselle kaikilla aloilla. 


Sofia Lindqvist