Hyppää sisältöön

Apulaistietosuojavaltuutetulta huomautus ulkoministeriölle tietoturvaloukkausilmoitusten määräaikojen noudattamatta jättämisestä

Julkaisuajankohta 12.4.2022 9.28
Tiedote

Ulkoministeriö ilmoitti tammikuussa 2022 tietosuojavaltuutetun toimistolle joutuneensa NSO Groupin Pegasus-vakoiluhaittaohjelmasta johtuneen tietoturvaloukkauksen kohteeksi. Apulaistietosuojavaltuutettu katsoo, että ulkoministeriön olisi tullut noudattaa yleisessä tietosuoja-asetuksessa säädettyjä määräaikoja tietoturvaloukkauksesta ilmoittamiseen valvontaviranomaiselle ja kohteeksi joutuneille henkilöille.

Ulkoministeriön antaman selvityksen perusteella se sai kohtuullisen varmuuden tietoturvaloukkauksesta huomattavasti ennen ilmoituksen tekemistä valvontaviranomaiselle. Ministeriö perusteli ilmoituksen myöhästymistä pääasiassa tietoturvaloukkauksen selvittämisellä ja selvitykseen liittyvillä kansallisen turvallisuuden näkökohdilla.

Tietoturvaloukkaus kohdistui Suomen ulkomailla työskentelevään lähetettyyn henkilöstöön. Tietoturvaloukkauksen kohteeksi joutuneet saivat tiedon asiasta ulkoministeriöltä. Ulkoministeriön tiedotteen mukaan vakoiluohjelma on voinut mahdollistaa laajasti puhelimessa olevan tiedon ja sen ominaisuuksien hyväksikäytön.

Ilmoitusvelvollisuudesta rekisteröidyille voidaan poiketa kansallisen turvallisuuden nimissä vain, jos poikkeuksesta säädetään laissa

Rekisterinpitäjän on ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle eli tietosuojavaltuutetun toimistolle 72 tunnin kuluessa loukkauksen havaitsemisesta, jos loukkaus aiheuttaa riskin kohteeksi joutuneille henkilöille. Jos tietoturvaloukkaus voi aiheuttaa korkean riskin, on loukkauksesta ilmoitettava myös sen kohteeksi joutuneille niin pian kuin mahdollista. Jos kaikkia tietoja ei ole saatavilla heti, ne voidaan toimittaa viranomaiselle myös vaiheittain.

Apulaistietosuojavaltuutettu katsoo, ettei ulkoministeriö esittänyt ilmoituksen myöhästymiselle sellaisia syitä, joiden perusteella ilmoitusvelvollisuuksien noudattaminen ei olisi ollut mahdollista.

Lainsäädännössä voidaan rajoittaa tiettyjä tietosuoja-asetuksen mukaisia oikeuksia kansallisen turvallisuuden takaamiseksi. Jotta tietoturvaloukkauksesta ilmoittamista kohteeksi joutuneille henkilöille voidaan lykätä kansallisen turvallisuuden nimissä, on rajoitusmahdollisuudesta säädettävä erikseen laissa. Apulaistietosuojavaltuutettu toteaa, ettei ulkoministeriötä koskevassa erityislainsäädännössä ole säädetty rajoituksia ilmoitusvelvollisuuteen rekisteröidylle kansallisen turvallisuuden takaamiseksi.

Asia on saatettu myös ulkoministeriön ja oikeusministeriön tietoon mahdollisten lainsäädännön muutostarpeiden arvioimista varten.

Päätös ei ole vielä lainvoimainen.

Apulaistietosuojavaltuutetun päätös Finlexissä

Lisätietoja:

​​​​​​​Apulaistietosuojavaltuutettu Jari Råman, jari.raman(at)om.fi, puh. 029 566 6757

Lisätietoa henkilötietojen tietoturvaloukkauksia koskevista velvollisuusista verkkosivuillamme

Sivun alkuun