HFD:2022:131
- Ämnesord
- Dataskydd, Personuppgiftsincident, Information till den registrerade om en personuppgiftsincident, Hög risk för fysiska personers rättigheter och friheter, Personuppgift, Personbeteckning, Risk för identitetsstöld, Obehörigt avslöjande av sekretessbelagda uppgifter gällande en identifierbar naturlig person till utomstående
- År för fallet
- 2022
- Meddelats
- Diarienummer
- 20397/2021
- Liggare
- H3377
- ECLI-kod
- ECLI:FI:KHO:2022:131
En person som arbetade på en advokatbyrå råkade ut för nätfiske (phishing) varpå hens epost-lösen kom i utomstående händer. Eposten hade varit i utomstående händer i ungefär två dygn. Enligt den utredning advokatbyrån lämnade dataombudsmannens byrå fanns troligtvis cirka 2000 — 2500 personers namn och e-postadresser och omkring 250-500 privatpersoners adresser och cirka 100-200 personbeteckningar i eposten, One-Drive- och Sharepoint-tjänsterna.
Dataombudsmannen hade enligt sitt beslut kunnat konstatera att eposten hade öppnats, den hade använts för nya operationer och att eposten när den öppnades synkroniserades till attackeraren. Högsta förvaltningsdomstolen konstaterade att trots att det inte utgående från utredningen gick att fastställa hur omfattande attackeraren tagit i bruk uppgifterna, hade attackeraren haft tillgång till en stor mängd personuppgifter gällande identifierbara naturliga personer, som till exempel namn och personbeteckningar. En del av dessa personuppgifter sammanhängde med advokatbyråns konfidentiella uppdrag.
Högsta förvaltningsdomstolen ansåg att den risk personuppgiftsincidenten hade orsakat de registrerades rättigheter och friheter utgående från utredningen kunde anses vara både sannolik och allvarlig.
Vidare ansåg högsta förvaltningsdomstolen att den ifrågavarande personuppgiftsincidenten sannolikt ledde till en hög risk för fysiska personers rättigheter och friheter enligt art. 34.1 i den allmänna dataskyddsförordningen i de fall där attackeraren hade haft tillgång till personuppgifter som möjliggör identitetsstöld, och i de fall där det var fråga om konfidentiella uppgifter gällande en identifierbar naturlig person. Enligt utredningen uppfylldes i ärendet inget av kriterierna i art. 34.3 i den allmänna dataskyddsförordningen enligt vilka ingen information till de registrerade hade behövts.
Dataombudsmannen hade således med beaktande av art. 58.2 e i den allmänna dataskyddsförordningen kunnat förelägga advokatbyrån att utan obefogat dröjsmål meddela de registrerade om personuppgiftsincidenten till de delar incidenten sannolikt orsakade de registrerade en risk för identitetsstöld eller det var fråga om obehörigt avslöjande av sekretessbelagda uppgifter gällande en identifierbar naturlig person till utomstående.
Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) art. 4.12, art. 34.1, 3 och 4 samt art. 58.2 e
Ärendet har avgjorts av justitieråden Eija Siitari, Kari Tornikoski, Taina Pyysaari, Jaakko Autio och Robert Utter. Föredragande Mikko Rautamaa.