KHO:2024:115

Suomalaisiin diplomaatteihin oli kohdistettu verkkovakoilua vakoiluhaittaohjelmalla, joka oli pystytty tuomaan käyttäjän puhelimeen hänen huomaamattaan ja ilman käyttäjän toimenpiteitä. Vakoiluohjelma oli voinut mahdollistaa hyvin laajasti puhelimessa olevan tiedon ja sen ominaisuuksien hyväksikäytön.

Asiassa oli ratkaistavana, oliko rekisterinpitäjä ulkoministeriö ilmoittanut tapahtuneesta vakoiluhaittaohjelmalla toteutetusta verkkovakoilusta aiheutuneesta henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle ja rekisteröidyille yleisen tietosuoja-asetuksen 33 ja 34 artikloissa säädettyjen aikarajojen mukaisesti.

Korkein hallinto-oikeus katsoi ensinnäkin, että käsillä olevassa kansalliseen turvallisuuteen ja ulkopolitiikkaan kytkeytyvässä asiassa sovellettiin tietosuojalain 2 §:n 1 momentin perusteella yleistä tietosuoja-asetusta. Ottaen kuitenkin huomioon, että unionin oikeudessa oli säädetty nimenomaisesti kansalliseen turvallisuuteen ja yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvien toimien jäämisestä yleisen tietosuoja-asetuksen soveltamisalan ulkopuolelle ja että tietosuojalain 2 §:n 1 momentissa oli myös pidätetty kansalliselle lainsäätäjälle toimivalta supistaa yleisen tietosuoja-asetuksen soveltamisalan kansallista laajennusta, yleisen tietosuoja-asetuksen 33 ja 34 artiklat tulivat käsillä olevassa asiassa sovellettaviksi sillä tavoin kuin kansallista lainsäädäntöä sovelletaan. Mainituilla artikloilla ei siten ollut unionin oikeuden oikeusvaikutuksia, kuten etusijaa kansalliseen lainsäädäntöön nähden. Tästä seurasi se, että artikloita sovellettaessa tuli täysimääräisesti ottaa huomioon muukin kansallinen lainsäädäntö, kuten julkisuuslain säännökset.

Tietosuojavaltuutetulle tehtävää ilmoitusta koskevan 33 artiklan osalta korkein hallinto-oikeus viittasi salassapidettävien tietojen luovuttamista ja saamista koskeviin tietosuojalain ja julkisuuslain säännöksiin ja katsoi, ettei salassapidettävien tietojen sisältymisellä valvontaviranomaiselle tehtävään ilmoitukseen ollut merkitystä arvioitaessa, oliko rekisterinpitäjä noudattanut säädettyjä aikarajoja ilmoittaessaan tietoturvaloukkauksesta tietosuojavaltuutetulle. Ilmoittaminen oli viivästynyt eikä ilmennyt, että viivästymiselle olisi ollut yleisen tietosuoja-asetuksen 33 artiklassa tarkoitettu aiheellinen peruste.

Rekisteröidylle tehtävää ilmoitusta koskevan 34 artiklan osalta korkein hallinto-oikeus katsoi, että julkisuuslain salassapitosäännöksiä oli pidettävä erityissäännöksinä suhteessa tietosuoja-asetuksen ilmoitusvelvollisuutta koskevaan säännökseen. Artiklassa tarkoitetun ilmoituksen antamisajankohtaa arvioidessaan rekisterinpitäjän tuli ottaa huomioon, merkitsisikö ilmoituksen antaminen samalla salassa pidettävien tietojen ilmaisemista rekisteröidyille.

Kun otettiin huomioon julkisuuslain 24 §:n 1 momentin 2, 7 ja 9 kohdilla suojatut Suomen kansainvälisiin suhteisiin ja valtion turvallisuuteen liittyvät intressit, ulkoministeriön voitiin katsoa ilmoittaneen henkilötietojen tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa edellytetysti ilman aiheetonta viivytystä niille rekisteröidyille, joiden tietoja oli sisältynyt puhelimeen, johon vakoiluhaittaohjelma oli pystytty tuomaan.

Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 2 artikla 2 kohta a ja b alakohta, 4 artikla 12 kohta, 33 artikla 1, 2, 3 ja 4 kohta, 34 artikla ja 58 artikla 2 kohta b alakohta
Tietosuojalaki 1 §, 2 § 1 ja 3 momentti, 8 § 1 momentti ja 18 § 1 momentti
Laki viranomaisten toiminnan julkisuudesta (julkisuuslaki) 24 § 1 momentti 2, 7 ja 9 kohta ja 29 § 1 momentti 1 kohta

Päätös, jota muutoksenhaku koskee

Helsingin hallinto-oikeus 18.12.2023 nro 7408/2023

Korkeimman hallinto-oikeuden ratkaisu

Korkein hallinto-oikeus myöntää ulkoministeriölle valitusluvan ja tutkii asian.

1. Valitus hylätään siltä osin kuin se kohdistuu hallinto-oikeuden päätökseen hylätä ulkoministeriön valitus apulaistietosuojavaltuutetun päätöksestä siltä osin kuin viimeksi mainittu päätös koskee yleisen tietosuoja-asetuksen 33 artiklassa tarkoitetun valvontaviranomaiselle tehtävän ilmoituksen viivästymistä ja tästä viivästymisestä annettua huomautusta. Hallinto-oikeuden päätöksen lopputulosta ei tältä osin muuteta.

2. Hallinto-oikeuden ja apulaistietosuojavaltuutetun päätökset kumotaan siltä osin kuin niissä on kysymys yleisen tietosuoja-asetuksen 34 artiklassa tarkoitetun rekisteröidylle tehtävän ilmoituksen viivästymisestä ja tästä viivästymisestä annetusta huomautuksesta.

Asian tausta

(1) Ulkoministeriö on 24.1.2022 tehnyt tietosuojavaltuutetulle yleisen tietosuoja-asetuksen 33 artiklassa tarkoitetun ilmoituksen henkilötietojen tietoturvaloukkauksesta. Ilmoituksen mukaan suomalaisiin diplomaatteihin on kohdistettu verkkovakoilua NSO Groupin Pegasus -vakoiluhaittaohjelmalla, joka oli pystytty tuomaan käyttäjän puhelimeen hänen huomaamattaan ja ilman käyttäjän toimenpiteitä. Vakoiluohjelma on voinut mahdollistaa hyvin laajasti puhelimessa olevan tiedon ja sen ominaisuuksien hyväksikäytön. Ministeriö on ilmoituksen mukaan selvittänyt kysymyksessä olevaa Suomen ulkomailla työskentelevään lähetettyyn henkilökuntaan kohdistunutta tapausta eri viranomaisten ja sidosryhmien kanssa syksyn 2021 ja talven 2022 aikana.

(2) Ulkoministeriö on 16.3.2022 antanut tietosuojavaltuutetulle selvityksen yleisen tietosuoja-asetuksen 33 ja 34 artiklassa tarkoitettujen ilmoitusten tekemisen ajankohdista.

(3) Apulaistietosuojavaltuutettu on päätöksessään 23.3.2022 katsonut, että rekisterinpitäjä ulkoministeriö ei ole noudattanut yleisen tietosuoja-asetuksen 33 artiklan 1 kohdan mukaista valvontaviranomaiselle tehtävää ilmoitusta koskevaa 72 tunnin aikarajaa eikä esittänyt sanotussa artiklankohdassa tarkoitettua perusteltua selitystä henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle tehtävän ilmoituksen myöhästymisestä. Edelleen päätöksessä on katsottu, että rekisterinpitäjä ei ole noudattanut yleisen tietosuoja-asetuksen 34 artiklan 1 kohtaa, jonka mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä. Koska ulkoministeriö ei ole noudattanut toiminnassaan yleisen tietosuoja-asetuksen 33 ja 34 artikloja, apulaistietosuojavaltuutettu on antanut ministeriölle yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaisen huomautuksen.

(4) Helsingin hallinto-oikeus on muutoksenhaun kohteena olevalla päätöksellään, järjestettyään asiassa suullisen käsittelyn, hylännyt ulkoministeriön valituksen apulaistietosuojavaltuutetun päätöksestä. Hallinto-oikeuden päätöksen perusteluina on lausuttu muun ohella seuraavaa:

Yleisen tietosuoja-asetuksen soveltaminen

(5) Hallinto-oikeus toteaa, että yleinen tietosuoja-asetus ei lähtökohtaisesti tule sen 2 artiklan 2 kohdan a alakohdan ja johdanto-osan perustelukappaleen 16 perusteella sovellettavaksi kansalliseen ulko- ja turvallisuuspolitiikkaan liittyvään henkilötietojen käsittelyyn. Tietosuojalain 2 §:n 1 momentissa on kuitenkin laajennettu yleisen tietosuoja-asetuksen soveltamista siten, että asetusta sovelletaan myös sellaiseen henkilötietojen käsittelyyn, joka jää asetuksen 2 artiklan 2 kohdan a alakohdan perusteella asetuksen soveltamisen ulkopuolelle. Tietosuojalain esitöiden mukaan edellä mainittu yleisen tietosuoja-asetuksen soveltamisalan laajentaminen ei koskisi tilanteita, joissa unionin lainsäädännön soveltamisalan ulkopuolelle jäävässä asiassa olisi kansallisella lailla toisin säädetty.

(6) Hallinto-oikeus katsoo, että koska yleisen tietosuoja-asetuksen soveltamisalaa on kansallisesti laajennettu, Suomi voisi unionin oikeuden estämättä kansallisessa lainsäädännössä säätää, ettei yleisen tietosuoja-asetuksen 33 ja 34 artiklan tietoturvaloukkauksen ilmoittamisvelvollisuuksia ja määräaikoja sovelleta kansalliseen ulko- ja turvallisuuspolitiikkaan ja kansalliseen turvallisuuteen liittyvien henkilötietojen käsittelyyn. Suomessa ei kuitenkaan ole säädetty tällaista poikkeamaa. Näin ollen hallinto-oikeus katsoo, että asiassa sovelletaan yleistä tietosuoja-asetusta tietosuojalain 2 §:n 1 momentin nojalla ja myös asetuksen 33 ja 34 artiklat tulevat siten tässä asiassa sellaisinaan sovellettavaksi. Lainsäätäjän tarkoituksen on ilmettävä laista ja lainvalmisteluaineistosta eikä tietosuojalain valmisteluaineisto sisällä kansalliseen turvallisuuteen liittyviä näkökohtia tai varauksia koskien yleisen tietosuoja-asetuksen soveltamisalan laajennusta sen varsinaisen soveltamisalan ulkopuolelle. Hallinto-oikeus katsoo sen vuoksi, ettei valituksessa, vastaselityksessä ja suullisessa käsittelyssä esitettyjä näkökohtia liittyen muun ohella rikosasioiden tietosuojalakiin voida käyttää tulkinta-apuna arvioitaessa lainsäätäjän tarkoitusta sen suhteen, missä laajuudessa yleistä tietosuoja-asetusta sovelletaan tai ei sovelleta kansalliseen ulko- ja turvallisuuspolitiikkaan liittyviin asioihin.

Tietoturvaloukkauksesta ilmoittaminen rekisteröidyille

(7) Hallinto-oikeus katsoo, että kysymyksessä oleva henkilötietojen tietoturvaloukkaus, joka on kohdistunut Suomen ulkomailla olevan edustuston käytössä oleviin mobiililaitteisiin, aiheuttaa yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa tarkoitetulla tavalla todennäköisesti korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Ulkoministeriö on suullisessa käsittelyssä tarkemmin esittämällään tavalla ilmoittanut tietoturvaloukkauksesta henkilökohtaisesti verkkovakoilun kohteena olevalle kohdehenkilölle ja tämän henkilön lähipiirille sekä edustuston työntekijöille.

(8) Hyökkäyksen kohdistuessa henkilöiden mobiililaitteisiin kyseinen vakoiluohjelma on voinut käsitellä myös laitteen tietosisällössä mainittujen muiden henkilöiden tietoja. Tällaisille henkilöille ei saadun selvityksen perusteella ole henkilökohtaisesti ilmoitettu tapahtuneesta, vaan ulkoministeriö on 28.1.2022 julkaissut verkkosivuillaan tiedotteen asiasta.

(9) Apulaistietosuojavaltuutettu on katsonut, ettei ulkoministeriö ole noudattanut yleisen tietosuoja-asetuksen 34 artiklan 1 kohtaa, jonka mukaan rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä. Apulaistietosuojavaltuutettu on lausunnossaan tuonut esiin, että tietosuojavaltuutetun ulkoministeriöltä saaman suullisen selvityksen ja tietoturvaloukkausta koskevan ilmoituksen sekä ulkoministeriön kotisivuilla olevan tiedotteen mukaan loukkaus on tapahtunut jo vuoden 2021 aikana. Tietoturvaloukkauksesta tiedon saamisen ja rekisteröidylle tehtävän ilmoituksen välissä on lausunnon mukaan ollut aika, jota voidaan pitää erityisesti tietoturvaloukkauksen syynä olevan haittaohjelman luonteen ja rekisteröityjen aseman ulkoministeriön ulkomailla työskentelevinä virkamiehinä huomioon ottaen liian pitkänä.

(10) Hallinto-oikeus katsoo saadun selvityksen perusteella, että ulkoministeriö on tietoturvaloukkauksesta riittävän varmuuden saatuaan ilmoittanut siitä asetuksen 34 artiklan 1 kohdan tarkoittamalla tavalla ilman aiheetonta viivästystä niille rekisteröidyille, joiden mobiililaitteisiin verkkovakoilu on kohdistunut. Ilmoittamisen tietoturvaloukkauksesta kaikille mobiililaitteiden tietosisällössä mainituille rekisteröidyille on katsottava tapahtuneen ulkoministeriön 28.1.2022 verkkosivuilla julkaistulla tiedotteella. Asiassa saadun selvityksen perusteella ulkoministeriöllä on kuitenkin ollut riittävä varmuus tietoturvaloukkauksesta jo selvästi ennen tätä ajankohtaa. Kun otetaan huomioon tietoturvaloukkauksen laatu ja rekisteröidyille siitä aiheutuvien mahdollisten vaikutusten vakavuus sekä toisaalta ulkoministeriön suorittamat toimet ja se, ettei Suomessa ole säädetty yleisen tietosuoja-asetuksen 23 artiklassa sinänsä sallittuja rajoituksia 34 artiklan soveltamiselle kansallisen turvallisuuden takaamisen perusteella, hallinto-oikeus katsoo, ettei ulkoministeriö ole ilmoittanut loukkauksesta viimeksi mainituille tahoille ilman aiheetonta viivästystä.

Huomautus

(11) Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan b alakohdan mukaan jokaisella valvontaviranomaisella on toimivaltuudet antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia.

(12) Hallinto-oikeus toteaa, ettei ulkoministeriö ole ilmoittanut tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 33 artiklan 1 kohdassa edellytetyllä tavalla 72 tunnin kuluessa valvontaviranomaiselle eli tietosuojavaltuutetulle eikä myöskään ole esittänyt sellaista selitystä, jonka perusteella artiklassa mahdollistettu vaiheittainen ilmoittaminen ei olisi ollut mahdollista. Ilmoitus on tehty vasta 24.1.2022. Hallinto-oikeus on myös edellä todetulla tavalla katsonut, ettei kaikille rekisteröidyille ole ilmoitettu tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 34 artiklassa edellyttämässä määräajassa. Näin ollen hallinto-oikeus katsoo, että apulaistietosuojavaltuutetulla on ollut edellytykset antaa ulkoministeriölle asetuksen 58 artiklan 2 kohdan b alakohdan mukainen huomautus 33 ja 34 artikloiden rikkomisen vuoksi.

Asian ovat ratkaisseet hallinto-oikeuden jäsenet Marja Viima, Anna-Kristiina Karikko ja Nina Tuominen, joka on myös esitellyt asian.

Vaatimukset ja selvitykset korkeimmassa hallinto-oikeudessa

(13) Ulkoministeriö on pyytänyt lupaa valittaa hallinto-oikeuden päätöksestä, ja on valituksessaan vaatinut, että hallinto-oikeuden ja apulaistietosuojavaltuutetun päätökset kumotaan kokonaisuudessaan tai ainakin väitettyä yleisen tietosuoja-asetuksen 34 artiklan vastaista menettelyä koskevin osin. Vaatimusten tueksi on esitetty muun ohella seuraavaa:

(14) Ulkoministeriölle on annettu huomautus tietoturvaloukkausta koskevien ilmoitusvelvollisuuksien laiminlyönnistä, vaikka yleinen tietosuoja-asetus ei suoraan sovellu ulko- ja turvallisuuspolitiikkaan. Tällöin myöskään asetuksen 33 ja 34 artiklan mukaiset ilmoitusvelvollisuudet eivät sovellu käsillä olevaan tilanteeseen.

(15) Yleisen tietosuoja-asetuksen soveltamisalaa ei myöskään ole kansallisesti laajennettu siten, että ilmoitusvelvollisuudet tällä perusteella soveltuisivat. Tietosuojalain 2 §:n 3 momentissa on ensinnäkin säädetty poikkeuksesta pykälän 1 momentin mukaiseen soveltamisalalaajennukseen. Lisäksi julkisuuslain 24 §:n 1 momentin 1, 2, 7 ja 9 kohdat ovat sellaista erityislainsäädäntöä, jotka saavat etusijan suhteessa tietosuojalain 2 §:n yleislakina tehtyyn laajennukseen. Ainakin tietosuojalain 2 §:n kansallinen laajennus, sanotun pykälän 3 momentin mukainen poikkeus siihen sekä julkisuuslain salassapitosäännökset muodostavat sellaisen kokonaisuuden, jota on tulkittava yhdessä ja yhdenmukaisesti. Käsillä olevassa tilanteessa on kyse tiedoista, jotka ovat salassapidon kohteena ainakin, kunnes tiedon julkistamiseen liittyvä kansallisen turvallisuuden tai ulkopolitiikan hoitamiseen liittyvä uhka väistyy esimerkiksi ajan kulumisen ja/tai tiedon vanhentumisen myötä.

(16) Ministeriö myöntää, ettei se ole tehnyt yleisen tietosuoja-asetuksen 33 artiklan mukaista viranomaisilmoitusta lainkohdassa edellytetyssä 72 tunnin määräajassa. Viranomaisilmoitusta koskevan huomautuksen osalta asia ratkeaa siten sen mukaan, soveltuuko asetuksen 33 artikla lainkaan.

(17) Tilanne ei kuitenkaan ole sama yleisen tietosuoja-asetuksen 34 artiklassa tarkoitetun rekisteröidyille annettavan ilmoituksen osalta. Ensinnäkin tietoturvaloukkaus on tullut sen välittömänä kohteena oleville henkilöille tietoon välittömästi, kun ministeriö on saanut asiasta tiedon. Toiseksi, sikäli kuin tietoturvaloukkauksen kohteena olleiksi rekisteröidyiksi katsotaan myös muita murron kohteena olevassa laitteessa jollakin tapaa mainittuja henkilöitä, ministeriö on tiedottanut tilanteesta kotisivuillaan 28.1.2022.

(18) Yleisen tietosuoja-asetuksen 34 artiklan aikamääre ”ilman aiheetonta viivästystä” on tulkinnalle avoin ja sallii tilannekohtaiset ja intressipunnintaan perustuvat tulkinnat. Jos artiklan katsotaan soveltuvan, olisi ensiarvoisen tärkeää, että ulkoministeriölle jää riittävä mahdollisuus vaihteluun julkisten tiedotteiden aikatauluttamisessa. Julkinen tiedottaminen jo itsessään vaarantaa Suomen ulko- ja turvallisuuspoliittiset edut, kun vihamielinen valtio voi sen avulla helposti päätellä, mitkä sen vakoiluyrityksistä on havaittu ja mitkä ei. Tämä taas puolestaan sallisi vihamielisen valtion kohdistavan vakoiluaan Suomen etujen vastaisella tavalla. Asetuksen 34 artiklan viittausta ”aiheettomaan viivästykseen” on tulkittava niin, että Suomen valtion ulko- ja turvallisuuspoliittisten intressien turvaamiseen tarvittava väliaika vakoilutapauksen ja sitä koskevan julkisen tiedottamisen välillä ei ole ”aiheeton”. Ministeriön on siten katsottava menetelleen asetuksen 34 artiklan sallimissa puitteissa.

(19) Apulaistietosuojavaltuutettu on lausunnossaan todennut, että tietosuojalain 2 §:n 1 momentissa yleisen tietosuoja-asetuksen soveltamisalaa ei ole rajattu siten, että kansalliset salassapitoa koskevat säännökset voisivat saada etusijan asetuksen säännöksiin nähden. Tietosuojalailla on säädetty yleisen tietosuoja-asetuksen soveltamisalan laajennuksesta ilman poikkeuksia, joten asetus tulee sellaisenaan täysimääräisesti sovellettavaksi rekisterinpitäjän toimintaan.

(20) Ulkoministeriö on vastauksessaan todennut, että tietosuojasääntely soveltuu käsillä olevassa tapauksessa enintään täysin kansallisena oikeutena, ei unionin oikeutena.

Korkeimman hallinto-oikeuden ratkaisun perustelut

Kysymyksenasettelu

(21) Ratkaistavana on, onko rekisterinpitäjä ulkoministeriö ilmoittanut tapahtuneesta vakoiluhaittaohjelmalla toteutetusta verkkovakoilusta aiheutuneesta henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ja rekisteröidyille yleisen tietosuoja-asetuksen 33 ja 34 artikloissa säädettyjen aikarajojen mukaisesti.

(22) Kun kysymys on mainittujen artiklojen soveltamisesta sellaisella soveltamisalueella, joka ei varsinaisesti kuulu yleisen tietosuoja-asetuksen unionioikeudelliseen soveltamisalaan, asiassa on ensin otettava kantaa kysymykseen siitä, sovelletaanko mainittuja artikloja tässä tilanteessa kuten unionin oikeutta yleensä vai kuten kansallista lainsäädäntöä.

(23) Jos nimittäin mainittuja artikloja sovelletaan täysin kuten unionin oikeutta yleensä, sovellettavaksi tulevat myös unionioikeuden oikeusvaikutuksia koskevat yleiset oikeusperiaatteet, kuten etusijaperiaate. Jos taas yleistä tietosuoja-asetusta sovelletaan kansallisesti laajennetulla soveltamisalalla kuten kansallista lainsäädäntöä, arvioitavaksi tulee täysimääräisesti muun ohella se, mikä merkitys julkisuuslaille ja erityisesti sen salassapitoa koskeville säännöksille tulee antaa suhteessa tietosuoja-asetuksessa säädettyyn tietoturvaloukkausta koskevaan ilmoittamisvelvollisuuteen ja sitä koskeviin määräaikoihin. Tämä kysymys liittyy sekä 33 artiklassa tarkoitetun valvontaviranomaiselle tehtävän ilmoituksen mahdollista viivästymistä koskevaan että 34 artiklassa tarkoitetun rekisteröidylle annettavan ilmoituksen mahdollista viivästymistä koskevaan tarkasteluun.

Sovellettavat oikeusohjeet

Yleinen tietosuoja-asetus (luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettu Euroopan parlamentin ja neuvoston asetus (EU) 2016/679)

(24) Yleisen tietosuoja-asetuksen 2 artiklan 2 kohdan mukaan tätä asetusta ei sovelleta henkilötietojen käsittelyyn,
a) jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan;
b) jota suorittavat jäsenvaltiot toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa;
(---).

(25) Yleisen tietosuoja-asetuksen johdanto-osan 16 kohdan mukaan tämä asetus ei koske unionin oikeuden soveltamisalaan kuulumattomia perusoikeuksien ja -vapauksien suojeluun tai henkilötietojen vapaaseen liikkuvuuteen liittyviä kysymyksiä, kuten kansallista turvallisuutta koskevia toimia. Tämä asetus ei koske henkilötietojen käsittelyä jäsenvaltioissa niiden toteuttaessa unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvää toimia.

(26) Yleisen tietosuoja-asetuksen 4 artiklan 12 kohdan mukaan tässä asetuksessa tarkoitetaan ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.

(27) Yleisen tietosuoja-asetuksen 33 artiklan 1 kohdan mukaan, jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on toimitettava valvontaviranomaiselle perusteltu selitys. Artiklan 2 kohdan mukaan henkilötietojen käsittelijän on ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Artiklan 3 kohdan mukaan edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät; b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa; c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset; d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi. Artiklan 4 kohdan mukaan, jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

(28) Yleisen tietosuoja-asetuksen johdanto-osan 85 kohdan mukaan, jos henkilötietojen tietoturvaloukkaukseen ei puututa riittävän tehokkaasti ja nopeasti, siitä voi aiheutua luonnollisille henkilöille fyysisiä, aineellisia tai aineettomia vahinkoja, kuten omien henkilötietojen hallitsemiskyvyn menettäminen tai omien oikeuksien rajoittaminen, syrjintää, identiteettivarkaus tai petos, taloudellisia menetyksiä, pseudonymisoinnin luvaton purkautuminen, maineen vahingoittuminen, salassapitovelvollisuuden alaisten henkilötietojen luottamuksellisuuden menetys tai muuta merkittävää taloudellista tai sosiaalista vahinkoa. Sen vuoksi rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ilman aiheetonta viivytystä heti, kun se on tullut rekisterinpitäjän tietoon, ja mahdollisuuksien mukaan 72 tunnin kuluessa, paitsi jos rekisterinpitäjä pystyy osoittamaan osoitusvelvollisuusperiaatteen mukaisesti, että henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos tällaista ilmoitusta ei voida tehdä 72 tunnin kuluessa, ilmoitukseen olisi liitettävä selvitys viivytyksen syistä, ja tietoa voidaan antaa vaiheittain ilman aiheetonta lisäviivytystä.

(29) Yleisen tietosuoja-asetuksen 34 artiklan 1 kohdan mukaan, kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä. Artiklan 2 kohdan mukaan tämän artiklan 1 kohdassa tarkoitetussa rekisteröidylle annettavassa ilmoituksessa on kuvattava selkeällä ja yksinkertaisella kielellä henkilötietojen tietoturvaloukkauksen luonne ja annettava ainakin 33 artiklan 3 kohdan b, c ja d alakohdassa tarkoitetut tiedot ja toimenpiteet. Artiklan 3 kohdan mukaan edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy: a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta; b) rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu; c) se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla. Artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.

(30) Yleisen tietosuoja-asetuksen johdanto-osan 86 kohdan mukaan rekisterinpitäjän olisi ilmoitettava henkilötietojen tietoturvaloukkauksesta rekisteröidylle viipymättä, jos tämä tietoturvaloukkaus todennäköisesti aiheuttaa luonnollisen henkilön oikeuksia ja vapauksia koskevan suuren riskin, jotta rekisteröity voi toteuttaa tarvittavat varotoimet. Ilmoituksessa olisi kuvattava henkilötietojen tietoturvaloukkauksen luonne ja esitettävä suosituksia siitä, miten asianomainen luonnollinen henkilö voi lieventää sen mahdollisia haittavaikutuksia. Tällainen ilmoitus rekisteröidylle olisi tehtävä niin pian kuin se on kohtuudella mahdollista ja tiiviissä yhteistyössä valvontaviranomaisen kanssa noudattaen valvontaviranomaisen tai muiden asiaankuuluvien viranomaisten, kuten lainvalvontaviranomaisten, antamia ohjeita. Esimerkiksi tarve lieventää välittömien haittojen riskiä edellyttää sitä, että rekisteröidyille ilmoitetaan viipymättä, kun taas tarve toteuttaa asianmukaiset toimenpiteet tietoturvaloukkauksen jatkumisen tai vastaavien henkilötietojen tietoturvaloukkausten estämiseksi voivat olla perusteena pidemmälle ilmoitusajalle.

(31) Yleisen tietosuoja-asetuksen johdanto-osan 87 kohdan mukaan olisi tarkistettava, onko kaikki asianmukaiset tekniset suojatoimenpiteet ja organisatoriset toimenpiteet toteutettu, jotta voidaan selvittää välittömästi, onko tapahtunut henkilötietojen tietoturvaloukkaus, ja saattaa asia viipymättä valvontaviranomaisen ja rekisteröidyn tiedoksi. Se, että ilmoitus tehtiin ilman aiheetonta viivytystä, olisi selvitettävä ottaen huomioon erityisesti henkilötietojen tietoturvaloukkauksen luonne ja vakavuus sekä tästä rekisteröidylle aiheutuvat seuraukset ja haittavaikutukset. Kyseinen ilmoitus voi johtaa siihen, että valvontaviranomainen puuttuu asiaan sille tässä asetuksessa säädettyjen tehtävien ja toimivaltuuksien mukaisesti.

(32) Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaan jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:
(---)
b) antaa huomautus rekisterinpitäjälle tai henkilötietojen käsittelijälle, jos käsittelytoimet ovat olleet tämän asetuksen säännösten vastaisia;
(---).

Tietosuojalaki

(33) Tietosuojalain 1 §:n mukaan tällä lailla täsmennetään ja täydennetään luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 (yleinen tietosuoja-asetus), jäljempänä tietosuoja-asetus, ja sen kansallista soveltamista.

(34) Tietosuojalain 2 §:n 1 momentin mukaan tätä lakia sovelletaan tietosuoja-asetuksen 2 artiklan soveltamisalan mukaisesti. Tätä lakia ja tietosuoja-asetusta sovelletaan lisäksi, lukuun ottamatta asetuksen 56 artiklaa ja VII lukua, sellaiseen henkilötietojen käsittelyyn, jota suoritetaan mainitun 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä. Pykälän 3 momentin mukaan tätä lakia ei sovelleta sellaiseen henkilötietojen käsittelyyn, josta säädetään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetussa laissa.

(35) Tietosuojalain 8 §:n 1 momentin mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena oikeusministeriön yhteydessä on tietosuojavaltuutettu.

(36) Tietosuojalain 18 §:n 1 momentin mukaan sen lisäksi, mitä tietosuoja-asetuksen 58 artiklan 1 kohdassa säädetään valvontaviranomaisen tiedonsaanti- ja tarkastusoikeudesta, tietosuojavaltuutetulla on oikeus salassapitosäännösten estämättä saada maksutta tehtäviensä hoidon kannalta tarpeelliset tiedot.

Laki viranomaisten toiminnan julkisuudesta (julkisuuslaki)

(37) Julkisuuslain 24 §:n 1 momentin mukaan salassa pidettäviä viranomaisen asiakirjoja ovat, jollei erikseen toisin säädetä:
(---)
2) muut kuin 1 kohdassa tarkoitetut asiakirjat, jotka koskevat Suomen suhteita toiseen valtioon tai kansainväliseen järjestöön, asiakirjat, jotka liittyvät kansainvälisessä lainkäyttö- tai tutkintaelimessä tai muussa kansainvälisessä toimielimessä käsiteltävään asiaan, ja asiakirjat, jotka koskevat Suomen valtion, Suomen kansalaisten, Suomessa oleskelevien henkilöiden tai Suomessa toimivien yhteisöjen suhteita toisen valtion viranomaisiin, henkilöihin tai yhteisöihin, jos tiedon antaminen niistä aiheuttaisi vahinkoa tai haittaa Suomen kansainvälisille suhteille tai edellytyksille toimia kansainvälisessä yhteistyössä;
(---)
7) henkilöiden, rakennusten, laitosten, rakennelmien sekä tieto- ja viestintäjärjestelmien turvajärjestelyjä koskevat ja niiden toteuttamiseen vaikuttavat asiakirjat, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna turvajärjestelyjen tarkoituksen toteutumista;
(---)
9) suojelupoliisin ja muiden viranomaisten asiakirjat, jotka koskevat valtion turvallisuuden ylläpitämistä, jollei ole ilmeistä, että tiedon antaminen niistä ei vaaranna valtion turvallisuutta;
(---).

(38) Julkisuuslain 29 §:n 1 momentin 1 kohdan mukaan viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty.

Oikeudellinen arviointi ja johtopäätökset

Yleisen tietosuoja-asetuksen soveltaminen ja julkisuuslain säännösten merkitys

(39) Yleistä tietosuoja-asetusta ei asetuksen 2 artiklan 2 kohdan a alakohdan mukaan sovelleta henkilötietojen käsittelyyn, jota suoritetaan sellaisen toiminnan yhteydessä, joka ei kuulu unionin lainsäädännön soveltamisalaan eikä b alakohdan mukaan henkilötietojen käsittelyyn, jota jäsenvaltiot suorittavat toteuttaessaan SEU V osaston 2 luvun soveltamisalaan kuuluvaa toimintaa. Asetuksen soveltamisalan ulkopuolelle jää siten esimerkiksi kansalliseen turvallisuuteen ja unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvä henkilötietojen käsittely.

(40) Tietosuojalain 2 §:n 1 momentilla yleisen tietosuoja-asetuksen soveltamisala on kuitenkin Suomessa kansallisesti laajennettu koskemaan sellaista henkilötietojen käsittelyä, jota suoritetaan asetuksen 2 artiklan 2 kohdan a ja b alakohdassa tarkoitetun toiminnan yhteydessä, jollei muualla laissa toisin säädetä. Nyt käsillä olevassa henkilötietojen tietoturvaloukkauksesta ilmoittamista koskevassa kansalliseen turvallisuuteen ja ulkopolitiikkaan kytkeytyvässä asiassa sovelletaan siten yleistä tietosuoja-asetusta, jollei muualla laissa toisin säädetä.

(41) Unionin oikeuden estämättä yleisen tietosuoja-asetuksen soveltamisalan kansallinen laajennus olisi voitu toteuttaa siten, että asetuksen 33 ja 34 artiklan säännöksiä henkilötietojen tietoturvaloukkauksesta ilmoittamisesta ei sovelleta kansalliseen turvallisuuteen ja ulkopolitiikkaan liittyvissä yhteyksissä. Näin ei tietosuojalaissa kuitenkaan ole säädetty eikä myöskään henkilötietojen käsittelystä rikosasioissa ja kansallisen turvallisuuden ylläpitämisen yhteydessä annetusta laissa säädetystä seuraa, että edellä mainitut yleisen tietosuoja-asetuksen artiklat eivät nyt käsillä olevassa asiassa tulisi sovellettaviksi.

(42) Asiassa on seuraavaksi arvioitava, sovelletaanko yleisen tietosuoja-asetuksen 33 ja 34 artikloita nyt käsillä olevassa asiassa unionin oikeuden oikeusvaikutuksin vai kuten kansallista lainsäädäntöä. Unionin oikeuden oikeusvaikutuksiin kuuluu muun ohella se, että sillä on ristiriitatilanteissa etusija kansalliseen lainsäädäntöön nähden.

(43) Ensinnäkin voidaan todeta, että yleisessä tietosuoja-asetuksessa on nimenomaisella säännöksellä rajattu asetuksen soveltamisalan ulkopuolelle kansalliseen turvallisuuteen ja unionin yhteiseen ulko- ja turvallisuuspolitiikkaan liittyvä henkilötietojen käsittely. Yleisen tietosuoja-asetuksen soveltamisalan laajennus on siten toteutettu sellaisella kansallisella lainsäädäntötoimella, jota asetuksessa ei ole miltään osin edellytetty tehtävän.

(44) Mainitulla tietosuojalain 2 §:n 1 momentti säätäen toteutetulla lainsäädäntötoimella on myös pidätetty kansalliselle lainsäätäjälle toimivalta supistaa yleisen tietosuoja-asetuksen soveltamisalan kansallista laajennusta, koska momentissa on nimenomaisesti viitattu mahdollisuuteen säätää asiasta lailla toisin.

(45) Toisin säätämisen mahdollisuus osoittaa, että yleisen tietosuoja-asetuksen soveltamisalaa ei ole laajennettu kansallisesti ”suoraan ja ehdottomasti”. Tältä osin voidaan todeta unionin tuomioistuimen oikeuskäytännöstä (kuten tuomiosta 13.3.2019 asiassa C-635/17, E.) ilmenevän, että se on katsonut toimivaltaansa kuuluvan ratkaista ennakkoratkaisupyyntö sellaisissa tapauksissa, joissa siitä huolimatta, että pääasian tosiseikat eivät suoraan kuulu unionin oikeuden soveltamisalaan, unionin oikeussääntöjä sovelletaan kansallisen oikeuden nojalla unionin oikeussääntöjen sisältöön tehdyn viittauksen vuoksi. Edellytyksenä kuitenkin on ollut, että unionin säännöstä sovelletaan kysymyksessä olevaan tilanteeseen kansallisen oikeuden perusteella ”suoraan ja ehdottomasti”. Sen sijaan tilanteissa, joissa unionin oikeussäännössä säädetään nimenomaisesti sen soveltamisalan ulkopuolelle jäävistä tapauksista ja joissa unionin oikeuden säännöksen kansallista soveltamisalaa ei ole laajennettu tälle alueelle ”suoraan ja ehdottomasti”, ei unionilla ole unionin tuomioistuimen mukaan intressiä valvoa tällaisen oikeussäännön yhdenmukaista tulkintaa. (ks. tuomio 18.10.2012 asiassa C-583/10, Nolan).

(46) Edellä lausutun perusteella korkein hallinto-oikeus katsoo, että yleisen tietosuoja-asetuksen 33 ja 34 artiklat tulevat nyt käsillä olevassa asiassa sovellettaviksi sillä tavoin kuin kansallista lainsäädäntöä sovelletaan. Mainituilla artikloilla ei siten ole tällä puhtaasti kansallisella soveltamisalalla unionin oikeuden oikeusvaikutuksia, kuten etusijaa kansalliseen lainsäädäntöön nähden.

(47) Tästä seuraa se, että mainittuja artikloita sovellettaessa tulee täysimääräisesti ottaa huomioon muukin kansallinen lainsäädäntö, kuten julkisuuslain säännökset.

Yleisen tietosuoja-asetuksen 33 artiklassa tarkoitetun valvontaviranomaiselle tehtävän ilmoituksen viivästyminen ja tästä viivästymisestä annettu huomautus

(48) Nyt kysymyksessä olevasta, vakoiluhaittaohjelmalla toteutetusta verkkovakoilusta aiheutuneesta henkilötietojen tietoturvaloukkauksesta voidaan arvioida todennäköisesti aiheutuneen luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvan riskin. Tällaisesta tietoturvaloukkauksesta rekisterinpitäjän on yleisen tietosuoja-asetuksen 33 artiklan 1 kohdan mukaan ilmoitettava valvontaviranomaiselle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta. Jos ilmoitusta ei anneta 72 tunnin kuluessa, rekisterinpitäjän on edellä mainitun asetuksenkohdan mukaan toimitettava valvontaviranomaiselle perusteltu selitys. Sanotun artiklan 4 kohdan mukaan, jos ja siltä osin kuin tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot voidaan toimittaa vaiheittain ilman aiheetonta viivytystä.

(49) Viranomainen voi julkisuuslain 29 §:n 1 momentin 1 kohdan mukaan antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta, jos tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty. Tietosuojavaltuutetulla on tietosuojalain 18 §:n 1 momentin mukaan oikeus saada salassapitosäännösten estämättä tehtäviensä hoidon kannalta tarpeelliset tiedot. Mainituista säännöksistä johtuu, että vaikka henkilötietojen tietoturvaloukkausta koskeva ilmoitus tulisikin sisältämään salassa pidettäviä tietoja, tällä seikalla ei ole merkitystä yleisen tietosuoja-asetuksen 33 artiklan 1 kohdan mukaisten ilmoittamisen aikarajojen noudattamista ja perustellun selityksen aiheellisuutta arvioitaessa eikä artiklan 4 kohdassa tarkoitetun tietojen vaiheittaisen toimittamisen edellytyksiä arvioitaessa.

(50) Rekisterinpitäjä ulkoministeriö on ilmoittanut henkilötietojen tietoturvaloukkauksesta tietosuojavaltuutetulle 24.1.2022. Ilmoituksen mukaan ministeriö on selvittänyt kysymyksessä olevaa tapausta eri viranomaisten ja sidosryhmien kanssa syksyn 2021 ja talven 2022 aikana, joten tietoturvaloukkauksen on katsottava tulleen ministeriölle ilmi huomattavasti aikaisemmin kuin se ilmoituksen oli tehnyt. Tietoturvaloukkauksesta ilmoittamisen on katsottava viivästyneen eikä asiassa ole ilmennyt, että viivästymiselle olisi ollut aiheellinen peruste.

(51) Edellä lausutun vuoksi hallinto-oikeuden päätöksen lopputuloksen muuttamiseen ei ole perusteita siltä osin kuin ulkoministeriön valitus apulaistietosuojavaltuutetun päätöksestä on hylätty siltä osin kuin viimeksi mainittu päätös koskee yleisen tietosuoja-asetuksen 33 artiklassa tarkoitetun valvontaviranomaiselle tehtävän ilmoituksen viivästymistä ja tästä viivästymisestä asetuksen 58 artiklan 2 kohdan b alakohdan perusteella annettua huomautusta (korkeimman hallinto-oikeuden ratkaisun kohta 1.).

Yleisen tietosuoja-asetuksen 34 artiklassa tarkoitetun rekisteröidylle tehtävän ilmoituksen viivästyminen ja tästä viivästymisestä annettu huomautus

(52) Nyt kysymyksessä olevasta, vakoiluhaittaohjelmalla toteutetusta verkkovakoilusta aiheutuneesta henkilötietojen tietoturvaloukkauksesta voidaan arvioida todennäköisesti aiheutuneen korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Tällaisesta tietoturvaloukkauksesta rekisterinpitäjän on yleisen tietosuoja-asetuksen 34 artiklan 1 kohdan mukaan ilmoitettava rekisteröidylle ilman aiheetonta viivytystä. Asiassa ei ole ilmennyt, että käsillä olisi sanotun artiklan 3 kohdan a tai b alakohdissa tarkoitettuja edellytyksiä tietoturvaloukkauksesta ilmoittamatta jättämiselle.

(53) Rekisterinpitäjän ulkoministeriön ilmoittaman mukaan tietoturvaloukkaus on tullut sen välittömänä kohteena oleville henkilöille tietoon välittömästi ministeriön saatua asiasta tiedon. Ulkoministeriön on tältä osin katsottava noudattaneen yleisen tietosuoja-asetuksen 34 artiklan 1 kohdan vaatimusta tietoturvaloukkauksesta ilmoittamisesta rekisteröidylle ilman aiheetonta viivytystä.

(54) Yleisen tietosuoja-asetuksen 34 artiklassa tarkoitettuina rekisteröityinä on lisäksi pidettävä niitä henkilöitä, joiden tietoja on sisältynyt puhelimeen, johon vakoiluhaittaohjelma oli pystytty tuomaan. Näille henkilöille tietoturvaloukkauksesta ei ole ilmoitettu henkilökohtaisesti, vaan ulkoministeriö on tältä osin viitannut siihen, että se on 28.1.2022 tiedottanut tilanteesta kotisivullaan. Kuten edeltä ilmenee, ministeriö on selvittänyt kysymyksessä olevaa tapausta eri viranomaisten ja sidosryhmien kanssa syksyn 2021 ja talven 2022 aikana, joten tietoturvaloukkauksen on katsottava tulleen ministeriölle ilmi huomattavasti aikaisemmin kuin se oli tiedottanut tilanteesta kotisivullaan.

(55) Tieto ulkoministeriöön kohdistuneesta verkkovakoilusta tai vakoilun paljastumisesta saattaa kunkin yksittäisen asian olosuhteista riippuen olla vahinkoedellytyslausekkeet sisältävien julkisuuslain 24 §:n 1 momentin 2, 7 ja/tai 9 kohtien perusteella salassa pidettävä. Yleisen tietosuoja-asetuksen 34 artiklan 2 kohdan mukaisista rekisteröidylle annettavan ilmoituksen sisältövaatimuksista puolestaan johtuu, että ilmoitukseen tulisi vastaavasti mahdollisesti sisällyttää salassa pidettäviä tietoja.

(56) Korkein hallinto-oikeus katsoo, että julkisuuslain salassapitosäännöksiä on pidettävä erityissäännöksinä yleisen tietosuoja-asetuksen 34 artiklassa säädettyyn nähden nyt käsillä olevassa tilanteessa, jossa mainittu artikla tulee sovellettavaksi sillä tavoin kuin kansallista lainsäädäntöä sovelletaan. Tästä seuraa se, että artiklassa tarkoitetun ilmoituksen antamisajankohtaa arvioidessaan rekisterinpitäjän tulee ottaa huomioon, merkitsisikö ilmoituksen antaminen samalla salassa pidettävien tietojen ilmaisemista rekisteröidyille.

(57) Kun otetaan huomioon edellä mainituilla salassapitosäännöksillä suojatut Suomen kansainvälisiin suhteisiin ja valtion turvallisuuteen liittyvät intressit, ulkoministeriön voidaan siitä huolimatta, että se on julkaissut edellä tarkoitetun tiedotteen kotisivullaan vasta 28.1.2022, katsoa ilmoittaneen henkilötietojen tietoturvaloukkauksesta yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa edellytetysti ilman aiheetonta viivytystä niille rekisteröidyille, joiden tietoja on sisältynyt puhelimeen, johon vakoiluhaittaohjelma oli pystytty tuomaan.

(58) Edellä lausutun vuoksi hallinto-oikeuden ja apulaistietosuojavaltuutetun päätökset on kumottava siltä osin kuin niissä on kysymys yleisen tietosuoja-asetuksen 34 artiklassa tarkoitetun rekisteröidylle tehtävän ilmoituksen viivästymisestä ja tästä viivästymisestä asetuksen 58 artiklan 2 kohdan b alakohdan perusteella annetusta huomautuksesta (korkeimman hallinto-oikeuden ratkaisun kohta 2.).

Asian ovat ratkaisseet oikeusneuvokset Anne E. Niemi, Janne Aer, Petri Helander, Monica Gullans ja Juha Lavapuro. Asian esittelijä Mikko Rautamaa.