KHO: Tietomurron kohteeksi joutuneen asianajotoimiston tuli tehdä ilmoitus mahdollisen oikeudenloukkauksen uhreille
Ilmoitus tuli tehdä niiltä osin kuin loukkaus todennäköisesti aiheutti riskin identiteettivarkaudesta tai luonnolliseen henkilöön liittyvän salassa pidettävän tiedon oikeudettomasta paljastumisesta ulkopuolisille.
Asianajotoimiston palveluksessa olleen henkilön sähköpostitunnukset olivat niin sanotun kalastelusähköpostiviestin kautta joutuneet ulkopuolisen tahon haltuun. Sähköpostitunnukset olivat olleet tämän tahon hallussa noin kahden vuorokauden ajan. Asianajotoimiston tietosuojavaltuutetun toimistolle esittämän selvityksen mukaan sähköposteissa, OneDrive-palvelussa ja Sharepoint-palvelussa oli ollut henkilöiden nimiä ja sähköpostiosoitteita oletettavasti noin 2 000–2 500, yksityishenkilöiden osoitteita arviolta 250–500 ja henkilötunnuksia 100–200.
Tietosuojavaltuutettu oli päätöksensä mukaan voinut todentaa, että sähköposti oli avattu, sitä oli käytetty useisiin operaatioihin ja että sähköposti avautuessaan synkronoitui hyökkääjälle. Korkein hallinto-oikeus totesi, että vaikka esitetyn selvityksen perusteella ei ollut varmuutta siitä, kuinka laajasti hyökkääjä oli ottanut tietoja käyttöönsä, hyökkääjällä oli ollut pääsy suurehkoon joukkoon tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, jollaisia olivat esimerkiksi nimet ja henkilötunnukset. Osa näistä henkilötiedoista liittyi asianajotoimiston luottamuksellisiin toimeksiantoihin.
Korkein hallinto-oikeus katsoi, että tietoturvaloukkauksesta aiheutunutta riskiä rekisteröityjen oikeuksille ja vapauksille voitiin esitettyjen tietojen perusteella pitää sekä todennäköisenä että vakavana.
Edelleen korkein hallinto-oikeus katsoi, että kysymyksessä ollut henkilötietojen tietoturvaloukkaus todennäköisesti aiheutti yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa tarkoitetulla tavalla korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille niissä tapauksissa, joissa hyökkääjällä oli ollut pääsy henkilötietoihin, jotka mahdollistivat identiteettivarkauden, sekä niissä tapauksissa, joissa oli kysymys tunnistettavissa olevaan luonnolliseen henkilöön liittyvistä luottamuksellisista tiedoista. Saadun selvityksen perusteella asiassa ei täyttynyt mikään yleisen tietosuoja-asetuksen 34 artiklan 3 kohdan edellytyksistä, joiden mukaan ilmoitusta rekisteröidylle ei vaadittaisi.
Tietosuojavaltuutettu oli voinut näin ollen, kun otettiin huomioon yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan e alakohta, määrätä asianajotoimiston ilmoittamaan tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisteröidyille niiltä osin kuin loukkaus todennäköisesti aiheutti rekisteröidyille identiteettivarkauden riskin tai kun kysymys oli tunnistettavissa olevaan luonnolliseen henkilöön liittyneen salassa pidettävän tiedon oikeudettomasta paljastumisesta ulkopuolisille.
Lue koko ratkaisu KHO 2022:131 Suomen Laki -hakupalvelussa.
Kirjoittaja Suomen Laki -toimitus
Juridiikan ja talouden uutiskirje
Juridiikan ja talouden uutiskirje kokoaa uutiset ja ajankohtaiset sisällöt talouden, verotuksen ja juridiikan eri osa-alueista yhteen kirjeeseen. Voit räätälöidä kirjeen sisällön sinua kiinnostavista aihealueista. Uutiskirje ilmestyy joka arkipäivä.