KHO: Asianajotoimistolle oli syntynyt velvollisuus ilmoittaa asiakkaileen tapahtuneesta tietoturvaloukkauksesta
23.11.2022 | OikeusuutisetKHO:2022:131 Tietosuoja – Henkilötietojen tietoturvaloukkaus – Tietoturvaloukkauksesta ilmoittaminen rekisteröidylle – Korkea riski luonnollisten henkilöiden oikeuksille ja vapauksille – Henkilötieto – Henkilötunnus – Identiteettivarkauden riski – Tunnistettavissa olevaan luonnolliseen henkilöön liittyvän salassa pidettävän tiedon oikeudeton paljastuminen ulkopuolisille
Asianajotoimiston palveluksessa olleen henkilön sähköpostitunnukset olivat niin sanotun kalastelusähköpostiviestin kautta joutuneet ulkopuolisen tahon haltuun. Sähköpostitunnukset olivat olleet tämän tahon hallussa noin kahden vuorokauden ajan. Asianajotoimiston tietosuojavaltuutetun toimistolle esittämän selvityksen mukaan sähköposteissa, OneDrive-palvelussa ja Sharepoint-palvelussa oli ollut henkilöiden nimiä ja sähköpostiosoitteita oletettavasti noin 2 000–2 500, yksityishenkilöiden osoitteita arviolta 250–500 ja henkilötunnuksia 100–200.
Tietosuojavaltuutettu oli päätöksensä mukaan voinut todentaa, että sähköposti oli avattu, sitä oli käytetty useisiin operaatioihin ja että sähköposti avautuessaan synkronoitui hyökkääjälle. Korkein hallinto-oikeus totesi, että vaikka esitetyn selvityksen perusteella ei ollut varmuutta siitä, kuinka laajasti hyökkääjä oli ottanut tietoja käyttöönsä, hyökkääjällä oli ollut pääsy suurehkoon joukkoon tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, jollaisia olivat esimerkiksi nimet ja henkilötunnukset. Osa näistä henkilötiedoista liittyi asianajotoimiston luottamuksellisiin toimeksiantoihin.
Korkein hallinto-oikeus katsoi, että tietoturvaloukkauksesta aiheutunutta riskiä rekisteröityjen oikeuksille ja vapauksille voitiin esitettyjen tietojen perusteella pitää sekä todennäköisenä että vakavana.
Edelleen korkein hallinto-oikeus katsoi, että kysymyksessä ollut henkilötietojen tietoturvaloukkaus todennäköisesti aiheutti yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa tarkoitetulla tavalla korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille niissä tapauksissa, joissa hyökkääjällä oli ollut pääsy henkilötietoihin, jotka mahdollistivat identiteettivarkauden, sekä niissä tapauksissa, joissa oli kysymys tunnistettavissa olevaan luonnolliseen henkilöön liittyvistä luottamuksellisista tiedoista. Saadun selvityksen perusteella asiassa ei täyttynyt mikään yleisen tietosuoja-asetuksen 34 artiklan 3 kohdan edellytyksistä, joiden mukaan ilmoitusta rekisteröidylle ei vaadittaisi.
Tietosuojavaltuutettu oli voinut näin ollen, kun otettiin huomioon yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan e alakohta, määrätä asianajotoimiston ilmoittamaan tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisteröidyille niiltä osin kuin loukkaus todennäköisesti aiheutti rekisteröidyille identiteettivarkauden riskin tai kun kysymys oli tunnistettavissa olevaan luonnolliseen henkilöön liittyneen salassa pidettävän tiedon oikeudettomasta paljastumisesta ulkopuolisille.