Ulkoministeriö ei ollut laiminlyönyt ilmoittaa ilman aiheetonta viivästystä diplomaatteihin kohdistetusta verkkovakoilusta
1.11.2024 | OikeusuutisetKHO:2024:115 Tietosuoja – Yleinen tietosuoja-asetus – Unionioikeuden oikeusvaikutukset kansallisesti laajennetulla soveltamisalalla – Julkisuuslain salassapitosäännökset – Tietoturvaloukkausta koskeva ilmoitusvelvollisuus – Ilmoituksen viivästyminen – Huomautus
Suomalaisiin diplomaatteihin oli kohdistettu verkkovakoilua vakoiluhaittaohjelmalla, joka oli pystytty tuomaan käyttäjän puhelimeen hänen huomaamattaan ja ilman käyttäjän toimenpiteitä. Vakoiluohjelma oli voinut mahdollistaa hyvin laajasti puhelimessa olevan tiedon ja sen ominaisuuksien hyväksikäytön.
Asiassa oli ratkaistavana, oliko rekisterinpitäjä ulkoministeriö ilmoittanut tapahtuneesta vakoiluhaittaohjelmalla toteutetusta verkkovakoilusta aiheutuneesta henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle ja rekisteröidyille yleisen tietosuoja-asetuksen 33 ja 34 artikloissa säädettyjen aikarajojen mukaisesti.
Korkein hallinto-oikeus katsoi ensinnäkin, että käsillä olevassa kansalliseen turvallisuuteen ja ulkopolitiikkaan kytkeytyvässä asiassa sovellettiin tietosuojalain 2 §:n 1 momentin perusteella yleistä tietosuoja-asetusta. Ottaen kuitenkin huomioon, että unionin oikeudessa oli säädetty nimenomaisesti kansalliseen turvallisuuteen ja yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvien toimien jäämisestä yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle ja että tietosuojalain 2 §:n 1 momentissa oli myös pidätetty kansalliselle lainsäätäjälle toimivalta supistaa yleisen tietosuoja-asetuksen soveltamisalan kansallista laajennusta, yleisen tietosuoja-asetuksen 33 ja 34 artiklat tulivat käsillä olevassa asiassa sovellettaviksi sillä tavoin kuin kansallista lainsäädäntöä sovelletaan. Mainituilla artikloilla ei siten ollut unionin oikeuden oikeusvaikutuksia, kuten etusijaa kansalliseen lainsäädäntöön nähden. Tästä seurasi se, että artikloita sovellettaessa tuli täysimääräisesti ottaa huomioon muukin kansallinen lainsäädäntö, kuten julkisuuslain säännökset.
Tietosuojavaltuutetulle tehtävää ilmoitusta koskevan 33 artiklan osalta korkein hallinto-oikeus viittasi salassapidettävien tietojen luovuttamista ja saamista koskeviin tietosuojalain ja julkisuuslain säännöksiin ja katsoi, ettei salassapidettävien tietojen sisältymisellä valvontaviranomaiselle tehtävään ilmoitukseen ollut merkitystä arvioitaessa, oliko rekisterinpitäjä noudattanut säädettyjä aikarajoja ilmoittaessaan tietoturvaloukkauksesta tietosuojavaltuutetulle. Ilmoittaminen oli viivästynyt eikä ilmennyt, että viivästymiselle olisi ollut yleisen tietosuoja-asetuksen 33 artiklassa tarkoitettu aiheellinen peruste.
Rekisteröidylle tehtävää ilmoitusta koskevan 34 artiklan osalta korkein hallinto-oikeus katsoi, että julkisuuslain salassapitosäännöksiä oli pidettävä erityissäännöksinä suhteessa tietosuoja-asetuksen ilmoitusvelvollisuutta koskevaan säännökseen. Artiklassa tarkoitetun ilmoituksen antamisajankohtaa arvioidessaan rekisterinpitäjän tuli ottaa huomioon, merkitsisikö ilmoituksen antaminen samalla salassa pidettävien tietojen ilmaisemista rekisteröidyille.
Kun otettiin huomioon julkisuuslain 24 §:n 1 momentin 2, 7 ja 9 kohdilla suojatut Suomen kansainvälisiin suhteisiin ja valtion turvallisuuteen liittyvät intressit, ulkoministeriön voitiin katsoa ilmoittaneen henkilötietojen tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa edellytetysti ilman aiheetonta viivytystä niille rekisteröidyille, joiden tietoja oli sisältynyt puhelimeen, johon vakoiluhaittaohjelma oli pystytty tuomaan.