Hoppa till innehåll

Biträdande dataombudsmannen gav utrikesministeriet en anmärkning om underlåtenhet att följa tidsfristerna för anmälningar om personuppgiftsincidenter

Utgivningsdatum 12.4.2022 9.28 | Publicerad på svenska 27.4.2022 kl. 10.13
Pressmeddelande

Utrikesministeriet meddelade i januari 2022 till dataombudsmannens byrå att de hade blivit föremål för en personuppgiftsincident på grund av NSO Groups skadliga spionprogram Pegasus. Biträdande dataombudsmannen anser att utrikesministeriet borde ha följt de tidsfrister som föreskrivs i den allmänna dataskyddsförordningen om anmälan om personuppgiftsincidenten till tillsynsmyndigheten och de personer som incidenten gäller.

Enligt utrikesministeriets utredningen fick den rimlig säkerhet om personuppgiftsincidenten långt före anmälan till tillsynsmyndigheten gjordes. Ministeriet motiverade den försenade anmälan i huvudsak med att personuppgiftsincidenten utreddes och med synpunkter gällande den nationella säkerheten relaterade till utredningen.

Personuppgiftsincidenten gällde utsänd personal från Finland som arbetade utomlands. De som blivit föremål för personuppgiftsincidenten informerades om saken av utrikesministeriet. Enligt utrikesministeriets meddelande kan spionprogrammet ha gjort det möjligt att utnyttja information och egenskaper i telefonen.

Undantag från skyldigheten att informera de registrerade kan göras i den nationella säkerhetens namn endast om undantaget föreskrivs i lag

Den personuppgiftsansvarige ska anmäla en personuppgiftsincident till tillsynsmyndigheten, dvs. dataombudsmannens byrå, inom 72 timmar från att ha blivit medveten om incidenten, om incidenten medför en risk för de personer som incidenten gäller. Om personuppgiftsincidenten kan medföra en hög risk ska incidenten också anmälas till dem som den gäller så snabbt som möjligt. Om all information inte finns tillgänglig genast, får den tillhandahållas myndigheten även i omgångar.

Biträdande dataombudsmannen anser att utrikesministeriet inte framförde sådana orsaker till förseningen på grund av vilka det inte skulle ha varit möjligt att iaktta anmälningsskyldigheten.

I lagstiftningen kan vissa rättigheter enligt den allmänna dataskyddsförordningen inskränkas för att trygga den nationella säkerheten. För att anmälan om personuppgiftsincidenten till de personer som incidenten gäller ska kunna skjutas upp i den nationella säkerhetens namn, ska denna möjlighet föreskrivas särskilt i lag. Biträdande dataombudsmannen konstaterar att det i den speciallagstiftning som gäller utrikesministeriet inte föreskrivs om begränsningar i anmälningsskyldigheten till de registrerade för att trygga den nationella säkerheten.

Ärendet har också delgetts utrikesministeriet och justitieministeriet för en bedömning av eventuella ändringsbehov i lagstiftningen.

Beslutet har ännu inte vunnit laga kraft.

Beslut av biträdande dataombudsmannen i Finlex (på finska)

Mer information:

​​​​​​​Biträdande dataombudsman Jari Råman, jari.raman(at)om.fi, tfn 029 566 6757

Mer information om skyldigheter avseende personuppgiftsincidenter på vår webbplats

Tillbaka till toppen