Finland: Utrikesdepartementet varnas för sen anmälan av dataintrång

Den finska dataskyddsmyndigheten Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) anser att utrikesdepartementet borde ha följt de tidsfrister som anges i dataskyddsförordningen för att anmäla personuppgiftsincidenter till tillsynsmyndigheten efter ett dataintrång.

I januari 2022 informerade utrikesdepartementet Dataombudsmannens byrå om att departementet varit föremål för ett dataintrång på grund av NSO Groups Pegasus antispionageprogram. Utrikesdepartementet hade med rimlig säkerhet information om säkerhetsöverträdelsen en tid innan tillsynsmyndigheten underrättades. Utrikesdepartementet motiverade förseningen av anmälan främst med hänsyn till utredningen av säkerhetsöverträdelsen och de nationella säkerhetsaspekterna i samband med utredningen. Säkerhetsintrånget riktade sig till utstationerad personal som arbetar utomlands i Finland. De som drabbats av säkerhetsintrånget fick information om ärendet från utrikesdepartementet.

Enligt Dataombudsmannens byrå ska den personuppgiftsansvarige anmäla personuppgiftsincidenten till tillsynsmyndigheten inom 72 timmar efter upptäckten av intrånget, om intrånget innebär en risk för de utsatta personerna. Om ett säkerhetsintrång kan innebära en hög risk ska även de berörda underrättas så snart som möjligt. Om inte all information finns tillgänglig omedelbart kan den också lämnas till myndigheten i etapper.

Dataombudsmannens byrå anser att utrikesdepartementet inte lämnat några skäl varför departementet inte skulle haft möjlighet att uppfylla anmälningsskyldigheten. Lagstiftning kan enligt Dataombudsmannens byrå begränsa vissa rättigheter enligt dataskyddsförordningen för att säkerställa nationell säkerhet. För att skjuta upp anmälan om en personuppgiftsincident på grund av nationell säkerhet måste emellertid möjligheten föreskrivas i lag. Enligt Dataombudsmannens byrå finns inte några sådana begränsningar enligt gällande speciallagstiftning. Dataombudsmannens byrå anser därför att utrikesdepartementet borde ha följt de tidsfrister som anges i dataskyddsförordningen för att anmäla till tillsynsmyndigheten och de som drabbats av dataintrånget.

Du kan läsa pressmeddelandet här och beslutet här, båda endast tillgängliga på finska.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.