Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) anser att utrikesdepartementet borde ha följt de tidsfrister som anges i dataskyddsförordningen för att anmäla personuppgiftsincidenter till tillsynsmyndigheten efter ett dataintrång.
I januari 2022 informerade utrikesdepartementet Dataombudsmannens byrå om att departementet varit föremål för ett dataintrång på grund av NSO Groups Pegasus antispionageprogram. Utrikesdepartementet hade med rimlig säkerhet information om säkerhetsöverträdelsen en tid innan tillsynsmyndigheten underrättades. Utrikesdepartementet motiverade förseningen av anmälan främst med hänsyn till utredningen av säkerhetsöverträdelsen och de nationella säkerhetsaspekterna i samband med utredningen. Säkerhetsintrånget riktade sig till utstationerad personal som arbetar utomlands i Finland. De som drabbats av säkerhetsintrånget fick information om ärendet från utrikesdepartementet.
Enligt Dataombudsmannens byrå ska den personuppgiftsansvarige anmäla personuppgiftsincidenten till tillsynsmyndigheten inom 72 timmar efter upptäckten av intrånget, om intrånget innebär en risk för de utsatta personerna. Om ett säkerhetsintrång kan innebära en hög risk ska även de berörda underrättas så snart som möjligt. Om inte all information finns tillgänglig omedelbart kan den också lämnas till myndigheten i etapper.
Dataombudsmannens byrå anser att utrikesdepartementet inte lämnat några skäl varför departementet inte skulle haft möjlighet att uppfylla anmälningsskyldigheten. Lagstiftning kan enligt Dataombudsmannens byrå begränsa vissa rättigheter enligt dataskyddsförordningen för att säkerställa nationell säkerhet. För att skjuta upp anmälan om en personuppgiftsincident på grund av nationell säkerhet måste emellertid möjligheten föreskrivas i lag. Enligt Dataombudsmannens byrå finns inte några sådana begränsningar enligt gällande speciallagstiftning. Dataombudsmannens byrå anser därför att utrikesdepartementet borde ha följt de tidsfrister som anges i dataskyddsförordningen för att anmäla till tillsynsmyndigheten och de som drabbats av dataintrånget.