Finland: Utrikesdepartementet varnas för sen anmälan av dataintrång

Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) anser att utrikesdepartementet borde ha följt de tidsfrister som anges i dataskyddsförordningen för att anmäla personuppgiftsincidenter till tillsynsmyndigheten efter ett dataintrång.

I januari 2022 informerade utrikesdepartementet Dataombudsmannens byrå om att departementet varit föremål för ett dataintrång på grund av NSO Groups Pegasus antispionageprogram. Utrikesdepartementet hade med rimlig säkerhet information om säkerhetsöverträdelsen en tid innan tillsynsmyndigheten underrättades. Utrikesdepartementet motiverade förseningen av anmälan främst med hänsyn till utredningen av säkerhetsöverträdelsen och de nationella säkerhetsaspekterna i samband med utredningen. Säkerhetsintrånget riktade sig till utstationerad personal som arbetar utomlands i Finland. De som drabbats av säkerhetsintrånget fick information om ärendet från utrikesdepartementet.

Enligt Dataombudsmannens byrå ska den personuppgiftsansvarige anmäla personuppgiftsincidenten till tillsynsmyndigheten inom 72 timmar efter upptäckten av intrånget, om intrånget innebär en risk för de utsatta personerna. Om ett säkerhetsintrång kan innebära en hög risk ska även de berörda underrättas så snart som möjligt. Om inte all information finns tillgänglig omedelbart kan den också lämnas till myndigheten i etapper.

Dataombudsmannens byrå anser att utrikesdepartementet inte lämnat några skäl varför departementet inte skulle haft möjlighet att uppfylla anmälningsskyldigheten. Lagstiftning kan enligt Dataombudsmannens byrå begränsa vissa rättigheter enligt dataskyddsförordningen för att säkerställa nationell säkerhet. För att skjuta upp anmälan om en personuppgiftsincident på grund av nationell säkerhet måste emellertid möjligheten föreskrivas i lag. Enligt Dataombudsmannens byrå finns inte några sådana begränsningar enligt gällande speciallagstiftning. Dataombudsmannens byrå anser därför att utrikesdepartementet borde ha följt de tidsfrister som anges i dataskyddsförordningen för att anmäla till tillsynsmyndigheten och de som drabbats av dataintrånget.

Mer information

Myndighet: Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå)

Land: Finland

Lagrum: Art. 33 GDPR, art. 34 GDPR

Sanktionsavgift: N/A

Mottagare: Utrikesdepartementet

Beslutsnummer: 2437/161/22

Beslutsdatum: 2022-03-23

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.