KHO:2022:131
Asianajotoimiston palveluksessa olleen henkilön sähköpostitunnukset olivat niin sanotun kalastelusähköpostiviestin kautta joutuneet ulkopuolisen tahon haltuun. Sähköpostitunnukset olivat olleet tämän tahon hallussa noin kahden vuorokauden ajan. Asianajotoimiston tietosuojavaltuutetun toimistolle esittämän selvityksen mukaan sähköposteissa, OneDrive-palvelussa ja Sharepoint-palvelussa oli ollut henkilöiden nimiä ja sähköpostiosoitteita oletettavasti noin 2 000–2 500, yksityishenkilöiden osoitteita arviolta 250–500 ja henkilötunnuksia 100–200.
Tietosuojavaltuutettu oli päätöksensä mukaan voinut todentaa, että sähköposti oli avattu, sitä oli käytetty useisiin operaatioihin ja että sähköposti avautuessaan synkronoitui hyökkääjälle. Korkein hallinto-oikeus totesi, että vaikka esitetyn selvityksen perusteella ei ollut varmuutta siitä, kuinka laajasti hyökkääjä oli ottanut tietoja käyttöönsä, hyökkääjällä oli ollut pääsy suurehkoon joukkoon tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, jollaisia olivat esimerkiksi nimet ja henkilötunnukset. Osa näistä henkilötiedoista liittyi asianajotoimiston luottamuksellisiin toimeksiantoihin.
Korkein hallinto-oikeus katsoi, että tietoturvaloukkauksesta aiheutunutta riskiä rekisteröityjen oikeuksille ja vapauksille voitiin esitettyjen tietojen perusteella pitää sekä todennäköisenä että vakavana.
Edelleen korkein hallinto-oikeus katsoi, että kysymyksessä ollut henkilötietojen tietoturvaloukkaus todennäköisesti aiheutti yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa tarkoitetulla tavalla korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille niissä tapauksissa, joissa hyökkääjällä oli ollut pääsy henkilötietoihin, jotka mahdollistivat identiteettivarkauden, sekä niissä tapauksissa, joissa oli kysymys tunnistettavissa olevaan luonnolliseen henkilöön liittyvistä luottamuksellisista tiedoista. Saadun selvityksen perusteella asiassa ei täyttynyt mikään yleisen tietosuoja-asetuksen 34 artiklan 3 kohdan edellytyksistä, joiden mukaan ilmoitusta rekisteröidylle ei vaadittaisi.
Tietosuojavaltuutettu oli voinut näin ollen, kun otettiin huomioon yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan e alakohta, määrätä asianajotoimiston ilmoittamaan tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisteröidyille niiltä osin kuin loukkaus todennäköisesti aiheutti rekisteröidyille identiteettivarkauden riskin tai kun kysymys oli tunnistettavissa olevaan luonnolliseen henkilöön liittyneen salassa pidettävän tiedon oikeudettomasta paljastumisesta ulkopuolisille.
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) 4 artikla 12 kohta, 34 artikla 1, 3 ja 4 kohta ja 58 artikla 2 kohta e alakohta
Päätös, jota valitus koskee
Helsingin hallinto-oikeus 30.12.2020 nro H1736/2020
Korkeimman hallinto-oikeuden ratkaisu
Korkein hallinto-oikeus myöntää valitusluvan ja tutkii asian.
1. Vaatimus ennakkoratkaisun pyytämisestä Euroopan unionin tuomioistuimelta hylätään.
2. Valitus hylätään. Helsingin hallinto-oikeuden päätöksen lopputulosta ei muuteta.
3. Asianajotoimisto MK-Law Oy:n vaatimus oikeudenkäyntikulujen korvaamisesta korkeimmassa hallinto-oikeudessa hylätään.
Asian tausta
(1) Asianajotoimisto MK-Law Oy (jäljempänä myös yhtiö) on 23.9.2019 tehnyt tietosuojavaltuutetun toimistolle ilmoituksen tietoturvaloukkauksesta. Ilmoituksen mukaan yhtiön palveluksessa olevan henkilön sähköpostitunnukset olivat niin sanotun kalastelusähköpostiviestin kautta joutuneet ulkopuolisen tahon haltuun.
(2) Tietosuojavaltuutettu on ilmoituksen johdosta 16.12.2019 antamallaan päätöksellä määrännyt Asianajotoimisto MK-Law Oy:n ilmoittamaan tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisteröidyille niiltä osin kuin henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröidyille. Tältä osin päätöksessä on lausuttu muun ohella seuraavaa:
(3) ”Tietosuojavaltuutettu toteaa, että on yleisessä tiedossa, että henkilötunnuksen joutuminen ulkopuolisten käsiin ja muun esimerkiksi nimitiedon kanssa aiheuttaa henkilölle identiteettivarkauden riskin. Lisäksi rekisterinpitäjä on sanonut, vaikka ristiriitaisesti muun selvityksen suhteen, että ”Toimeksiantojamme koskevat tiedot ovat luonnollisesti luottamuksellisia eikä kaikki niihin liittyvä tieto ole julkista”. Arvion mukaan seuraavat todennäköiset korkeat riskit rekisteröityjen oikeuksille ja vapauksilla näyttäisi toteutuvan:
1. henkilötunnuksen ja muun identiteettitiedon mukaan, identiteettivarkauden riski
2. salassa pidettävän tiedon oikeudeton paljastuminen ulkopuolisille.”
(4) Lisäksi päätöksen kohdassa ”Yleinen ohjaus” on todettu seuraavaa:
”- Rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu (tietosuoja-asetus 33 artikla 5 kohta).- Ilmoittajan mukaan osan henkilöistä henkilötunnus löytyisi muista yleisesti saatavilla olevista palveluista Internetistä. Ilmoittajan tulee ilmoittaa tietosuojavaltuutetulle tarkasti mitkä palvelut ovat kyseessä ja arvio siitä keiden ja kuinka monen henkilön henkilötunnus ja tiedot löytyvät ko. palveluista.
- Rekisterinpitäjän tulee ilmoittaa 31.1.2020 mennessä mihin toimenpiteisiin on ryhtynyt, ettei tietoturvaloukkaus tapahtuisi uudestaan. Ilmoituksen tulee lisäksi sisältää seuraavat tiedot:
- Kuinka monelle rekisteröidylle rekisterinpitäjä on ilmoittanut
- Päivämäärä, koska rekisterinpitäjä on ilmoittanut rekisteröidylle
- Ilmoituksen sisällön.”
(5) Helsingin hallinto-oikeus on valituksenalaisella päätöksellään jättänyt tutkimatta yhtiön valituksen siltä osin kuin se on kohdistunut tietosuojavaltuutetun päätökseen sisältyvään yleiseen ohjaukseen ja hylännyt valituksen muilta osin sekä hylännyt yhtiön vaatimuksen oikeudenkäyntikulujen korvaamisesta. Hallinto-oikeuden päätöksen perusteluissa on edellä tarkoitetuilta osin lausuttu muun ohella seuraavaa:
(6) Valittajaa on valituksenalaisen päätöksen kohdassa Yleinen ohjaus ohjeistettu toimittamaan tietosuojavaltuutetulle tiettyjä tietoturvaloukkauksiin ja rekisteröidyille ilmoittamiseen liittyviä tietoja. Hallinto-oikeus toteaa, että valvontaviranomainen voi toimivaltansa puitteissa antaa rekisterinpitäjälle ohjausta sen menettelyä koskien. Kohdassa Yleinen ohjaus esitettyjen velvoitteiden osalta kyse ei ole hallintolainkäyttölain 5 §:n 1 momentissa tarkoitetusta valituskelpoisesta päätöksestä, jolla viranomainen on ratkaissut hallintoasian tai jättänyt sen tutkimatta. Valitus on siten jätettävä tutkimatta siltä osin kuin se on kohdistunut päätöksen kohdassa Yleinen ohjaus esitettyihin velvoitteisiin.
(7) Asiakirjoista ei ilmene, että valittajalle olisi varattu nimenomainen tilaisuus antaa selityksensä tai esitetty määräaika selityksen antamiselle. Asiakirjoista käy kuitenkin ilmi, että valittajan ilmoittamaa tietoturvaloukkausta ja sen seurauksia on selvitelty useilla valittajan ja tietosuojavaltuutetun toimiston välisillä sähköpostiviesteillä. Valittaja on lisäksi oma-aloitteisesti toimittanut tietosuojavaltuutetulle lausuman ennen asian ratkaisemista. Hallinto-oikeus toteaa, että valituksenalainen päätös perustuu valittajan itsensä viranomaiselle toimittamaan selvitykseen, eikä päätös perustu sellaisiin selvityksiin, joista valittajalla ei ole ollut tilaisuutta lausua mielipidettään. Hallinto-oikeus katsoo, kun otetaan huomioon asian selvittämisestä edellä esitetyt seikat, että valittajan kuulemisessa ei näissä oloissa ole tapahtunut sellaista virhettä, että päätös sen johdosta olisi kumottava. Viranomainen on myös hankkinut asian ratkaisemiseksi tarpeelliset tiedot ja selvitykset, eikä päätös siten perustu puutteellisiin tai virheellisiin tietoihin tai selvityksiin.
(8) Edelleen hallinto-oikeuden päätöksessä on todettu, että tietosuojavaltuutetun päätöksessä ei ole yksilöity niitä henkilöitä, joille tietoturvaloukkauksesta on ilmoitettava. Asiayhteys ja muu päätöksestä ilmenevä selvitys huomioon ottaen tietosuojavaltuutetun määräyksen voidaan todeta tarkoittavan, että rekisteröidyille aiheutuu nyt kyseessä olevasta tietoturvaloukkauksesta todennäköisesti korkea riski silloin, kun kyse on identiteettivarkauden mahdollistavista tiedoista eli henkilötunnuksesta tai mahdollisesti muusta yhtä yksilöivästä identiteettitiedosta, kuten nimi- ja syntymäaikatiedot yhdessä ja/tai tunnistettavaan henkilöön liitettävistä salassa pidettävistä tiedoista. Näissä tilanteissa, joissa tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröidyille, valittajan on määräyksen mukaan ilmoitettava rekisteröidyille tietoturvaloukkauksesta. Päätöksen lainmukaisuus ei siten ole edellyttänyt, että rekisteröidyt henkilöt yksilöidään päätöksessä esimerkiksi nimellä. Hallinto-oikeus katsoo, että päätös on tältä osin riittävästi yksilöity velvoitteen osalta, ja se täyttää hallintolain 44 §:ssä säädetyt päätöksen sisältövaatimukset.
(9) Valittaja on esittänyt, että tietojen luottamuksellisuudella ei ole merkitystä asian arvioinnin kannalta. Hallinto-oikeus toteaa, että asianajosalaisuuden piiriin kuuluvien tai muutoin salassa pidettävien tietojen joutuminen tietoturvaloukkauksen kohteeksi kuuluu yleisen tietosuoja-asetuksen soveltamisalaan ja tietosuojavaltuutetun valvontatoimivallan piiriin silloin, kun kyse on yleisen tietosuoja-asetuksen 4 artiklan 1 kohdan määritelmän mukaisista henkilötiedoista eli tiedoista, jotka ovat liitettävissä tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Se, että tietoturvaloukkaus on kohdistunut luottamuksellisiin tietoihin, voidaan ottaa huomioon arvioitaessa tietoturvaloukkauksesta rekisteröidyille aiheutuvaa riskiä.
(10) Hallinto-oikeus toteaa, että nyt käsillä olevassa tietoturvaloukkauksessa on ollut kyse pahantahtoisesta ulkopuolisesta hyökkäyksestä rekisterinpitäjänä olevan valittajan tietoihin, eikä ole tietoa siitä, mihin tietoturvaloukkauksen kohteeksi joutuneet tiedot ovat päätyneet. Vaikka esitetyn selvityksen perusteella ei ole varmuutta siitä, miten laajasti hyökkääjä on ottanut tietoja käyttöönsä, hyökkääjällä on ollut pääsy melko suureen joukkoon henkilötietoja. Esitetyn selvityksen perusteella tietoturvaloukkauksen kohteeksi joutuneiden tietojen joukossa on tietoja, joiden perusteella rekisteröidyt ovat helposti tunnistettavissa ja jotka mahdollistavat identiteettivarkauden. Osa tiedoista liittyy valittajan luottamuksellisiin toimeksiantoihin. Nämä seikat lisäävät tietoturvaloukkauksesta mahdollisesti aiheutuvien seurausten vakavuutta ja todennäköisyyttä. Toisaalta esitetyn selvityksen perusteella kyse ei ole ollut arkaluonteisista tai henkilöiden erityisiä ominaisuuksia kuvaavista tiedoista, mikä puolestaan pienentää tietoturvaloukkauksesta aiheutuvaa riskiä. Lisäksi osa tietoturvaloukkauksen kohteeksi joutuneista henkilötiedoista on mahdollisesti saatavissa muista julkisista lähteistä.
(11) Edellä kuvattujen seikkojen kokonaisarvioinnin perusteella hallinto-oikeus katsoo, että nyt kyseessä olevasta tietoturvaloukkauksesta todennäköisesti aiheutuu korkea riski rekisteröidyille niissä tapauksissa, joissa hyökkääjä on saanut pääsyn henkilötunnuksiin tai mahdollisiin muihin tietoihin, joiden perusteella rekisteröidyt ovat yksiselitteisesti tunnistettavissa ja jotka mahdollistavat identiteettivarkauden, sekä niissä tapauksissa, joissa on kyse tunnistettavissa olevaan luonnolliseen henkilöön liittyvistä luottamuksellisista tiedoista. Asiassa esitetyn selvityksen perusteella on arvioitavissa, että tällaisten henkilöiden määrä on muutamia satoja.
(12) Asiassa saadun selvityksen perusteella hallinto-oikeus katsoo, ettei asiassa täyty mikään yleisen tietosuoja-asetuksen 34 artiklan 3 kohdan edellytyksistä, joiden täyttyessä ilmoitusta rekisteröidyille ei vaadita.
(13) Edellä sanotun perusteella hallinto-oikeus katsoo, että tietosuojavaltuutettu on yleisen tietosuoja-asetuksen 34 artiklan 4 kohdan ja 58 artiklan 2 kohdan e alakohdan perusteella voinut määrätä valittajan ilmoittamaan tietoturvaloukkauksesta kyseisille rekisteröidyille.
(14) Asian lopputulos huomioon ottaen ei ole kohtuutonta, että valittaja vastaa itse oikeudenkäyntikuluistaan.
Asian ovat ratkaisseet hallinto-oikeuden jäsenet Marja Viima, Riikka Valli-Jaakola ja Liisa Selvenius-Hurme, joka on myös esitellyt asian.
Vaatimukset ja selvitykset korkeimmassa hallinto-oikeudessa
(15) Asianajotoimisto MK-Law Oy on pyytänyt lupaa valittaa Helsingin hallinto-oikeuden päätöksestä ja on valituksessaan vaatinut, että unionin tuomioistuimelta pyydetään ennakkoratkaisu ja että hallinto-oikeuden ja tietosuojavaltuutetun päätökset kumotaan. Yhtiö on lisäksi vaatinut, että tietosuojavaltuutettu velvoitetaan korvaamaan yhtiön oikeudenkäyntikulut hallinto-oikeudessa ja korkeimmassa hallinto-oikeudessa viivästyskorkoineen. Vaatimusten perusteluina on esitetty muun ohella seuraavaa:
(16) Yhtiölle ei ole syntynyt yleisen tietosuoja-asetuksen 34 artiklan mukaista ilmoitusvelvollisuutta. Tietosuojavaltuutetun antama määräys on virheellinen.
(17) Tietosuojavaltuutetun päätöksen mukaan korkea todennäköinen riski syntyy, koska ”on yleisessä tiedossa, että henkilötunnuksen joutuminen ulkopuolisten käsiin ja muun esimerkiksi nimitiedon kanssa aiheuttaa henkilölle identiteettivarkauden riskin”. Päätöstä on siten perusteltu yleisellä tiedolla laintulkintaohjeiden ja -aineiston sijasta. Mainittu yleinen tieto ei ole yhteneväinen tietosuojatyöryhmän 4.4.2017 antamien ohjeiden (Ohjeet tietosuojaa koskevasta vaikutustenarvioinnista ja keinoista selvittää ”liittyykö käsittelyyn todennäköisesti” asetuksessa (EU) 2016/679 tarkoitettu ”korkea riski”) kanssa. Tämä ”yleisen tiedon” paikkansapitävyys voidaan myös kyseenalaistaa, kun otetaan huomioon, että julkisista rekistereistä, kuten lainhuutorekisteristä tiedot kiinteistönomistajien henkilötunnuksista, täydellisistä nimistä ja kotiosoitteista ovat saatavilla ilman minkäänlaisia perusteita, tunnistautumista tai valvontaa. Henkilötunnus ei ole henkilötodistus eikä salainen tieto.
(18) Pelkkä ”salassa pidettävän tiedon paljastuminen ulkopuoliselle” ei johda todennäköisen korkean riskin toteutumiseen, koska tämän tiedon pitäisi sisältää henkilötietoja, jotta asiassa ylipäänsä voitaisiin soveltaa yleistä tietosuoja-asetusta.
(19) Kun otetaan huomioon, että yhtiön päämiehet ovat pääosin yhteisöjä ja sen toimeksiannot koskevat näiden yhteisöjen liiketoimintaa, yhtiölle ei ole syntynyt yleisen tietosuoja-asetuksen 34 artiklan mukaista ilmoitusvelvollisuutta, joka syntyisi, jos käsittelystä asetuksen 35 artiklan mukaan seuraisi korkea todennäköinen riski.
(20) Tietosuojavaltuutetun päätöksessä todetaan, että päätöksessä mainituissa tapauksissa todennäköinen korkea riski rekisteröityjen oikeuksille näyttäisi toteutuvan. Todennäköisen korkean riskin toteutumisesta päätöksessä mainituissa tapauksissa ei siis ole varmuutta. Yleisen tietosuoja-asetuksen 34 artiklan mukaan ilmoitusvelvollisuutta ei synny, jos tietoturvaloukkaus vain näyttäisi aiheuttavan todennäköisen korkean riskin.
(21) Epäselvää on, mihin ”identiteettitiedolla” tietosuojavaltuutetun päätöksessä viitataan. Epäselvää on samoin, tuleeko ”identiteettitieto” rinnastaa henkilötietoon vai johonkin muuhun tietoon, ja siinä tapauksessa, minkä ”identiteettitiedon” yhteydessä todennäköinen korkea riski toteutuu. Epäselväksi kokonaisuudessaan jää se, missä tapauksissa tietosuojavaltuutettu katsoo todennäköisen korkean riskin näyttävän toteutuvan henkilötunnuksen käsittelyn yhteydessä.
(22) Yleisessä tietosuoja-asetuksessa ei liene tarkoitettu, että todennäköisen korkean riskin arvioimisessa sovellettaisiin eri periaatteita riippuen siitä, missä tilanteessa riskiä arvioidaan. Tietosuojavaltuutetun lausunnossa hallinto-oikeudessa esitetty käsitys siitä, että todennäköinen korkea riski arvioitaisiin asetuksen 34 artiklan yhteydessä eri tavalla kuin 35 artiklan yhteydessä, on virheellinen. Käsitys siitä, että tietosuojatyöryhmän 4.4.2017 antamat ohjeet olisivat epäolennaisia, on samoin virheellinen.
(23) Yhtiön mukaan unionin tuomioistuimelta olisi pyydettävä ennakkoratkaisu etenkin seuraavista kysymyksistä: 1. Missä määrin yleisen tietosuoja-asetuksen 34 ja 35 artikla ovat sidoksissa toisiinsa, eli voiko rekisterinpitäjälle syntyä 34 artiklan mukainen ilmoitusvelvollisuus, vaikka sille ei ole syntynyt 35 artiklan mukaista velvollisuutta tehdä vaikutustenarviointi? 2. Millä perusteilla todennäköisen ja korkean riskin toteutuminen on arvioitava 34 artiklan soveltamisen yhteydessä? 3. Johtaako henkilötunnuksen ja nimen tai nimen sisältävän sähköpostiosoitteen käsittely korkean todennäköisen riskin toteutumiseen?
(24) Yhtiön mukaan tietosuojavaltuutettu ei ole asian selvittämisessä noudattanut hallintolain 33 ja 34 §:ää. Tietosuojavaltuutetun toimisto ei asian esittelijän viestin 22.10.2019 jälkeen antanut yhtiölle minkäänlaista tietoa niistä perusteista, joilla se katsoo todennäköisen korkean riskin toteutuvan, eikä yhtiölle myöskään annettu hallintolain 34 §:n mukaista mahdollisuutta lausua mielipidettään asiassa. Viestissä 22.10.2019 esittelijä on todennut ilmoittavansa tietosuojavaltuutetun konsultoinnin tuloksen, mutta minkäänlaista tietoa siitä yhtiö ei saanut ennen tietosuojavaltuutetun päätöksen tiedoksisaantia yli kaksi kuukautta myöhemmin.
(25) Tietosuojavaltuutetun päätös perustuu siihen, että on yleisessä tiedossa, että henkilötunnuksen joutuminen ulkopuolisen käsiin ja muun esimerkiksi nimitiedon kanssa aiheuttaa henkilölle identiteettivarkauden riskin. Tätä perustetta ei tuotu yhtiölle ilmi ennen tietosuojavaltuutetun päätöksen antamista eikä yhtiölle annettu mahdollisuutta lausua siitä. Lisäksi tietosuojavaltuutettu on hallinto-oikeudessa vedonnut tietosuojatyöryhmän antamiin suuntaviivoihin yleisen tietosuoja-asetuksen mukaisesta tietoturvaloukkauksen ilmoittamisesta, josta yhtiölle ei varattu mahdollisuutta lausua ennen tietosuojavaltuutetun päätöksen antamista ja johon päätöksessä ei ole vedottu. Vaikka asianosainen olisi esittänyt joitakin asiaan vaikuttavia seikkoja viranomaiselle, tämä ei poista hallintolain 33 ja 34 §:n mukaista velvollisuutta varata asianosaiselle mahdollisuus lausua asiaan vaikuttavista seikoista.
(26) Tietosuojavaltuutetun päätös ei täytä päätökselle hallintolain 44 §:ssä asetettuja vaatimuksia. Epäselväksi jää, mikä on identiteettitieto (vertaa henkilötieto) ja mikä on sellainen identiteettitieto, joka yhdessä henkilötunnuksen kanssa aiheuttaa todennäköisen korkean riskin toteutumisen. Tietosuojavaltuutetun päätöksen kohdan 2 osalta tietosuojavaltuutettu on ilmeisesti ylittänyt toimivaltansa tehdessään päätöksen, joka ei koske henkilötietoja. Päätöksestä olisi käytävä ilmi, mikä on sellainen salassa pidettävä tieto, josta aiheutuu todennäköinen korkea riski. Päätöksestä ei käy ilmi yksilöity tieto siitä, mihin yhtiö on velvoitettu, eli missä tapauksissa yhtiö on velvoitettu ilmoittamaan rekisteröidyille.
(27) Tietosuojavaltuutettu on lausunnossaan esittänyt, että valitus ja oikeudenkäyntikulujen korvaamista koskeva vaatimus hylätään, sekä lausunut muun ohella seuraavaa:
(28) Yleisessä tietosuoja-asetuksessa ei ole määritelty, mitä korkealla riskillä tarkoitetaan asetuksen 34 artiklassa. Tulkinnassa voidaan käyttää apuna tietosuojatyöryhmän 3.10.2017 antamia ja 6.2.2018 tarkistettuja suuntaviivoja yleisen tietosuoja-asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta. Suuntaviivojen mukaan keskeinen seikka rekisteröidyille tehtävän ilmoituksen kannalta on se, aiheuttaako tietoturvaloukkaus todennäköisesti korkean riskin henkilöiden oikeuksille ja vapauksille. Tällainen riski on olemassa, jos tietoturvaloukkaus voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja henkilöille, joiden tietosuojaa on loukattu. Tällaisia vahinkoja ovat esimerkiksi syrjintä, identiteettivarkaus tai petos, taloudelliset menetykset ja maineen vahingoittuminen.
(29) Vaikka käsillä olevassa tapauksessa ei ole varmuutta siitä, miten laajasti hyökkääjä on ottanut tietoja käyttöönsä, hyökkääjällä on ollut pääsy melko suureen joukkoon henkilötietoja. Esitetyn selvityksen perusteella tietoturvaloukkauksen kohteeksi joutuneiden tietojen joukossa oli henkilötunnuksia ja muita tietoja, joiden perusteella rekisteröidyt ovat helposti tunnistettavissa ja jotka mahdollistavat identiteettivarkauden.
(30) Yhtiön ilmoittamaa tapahtunutta tietoturvaloukkausta on yleisen tietosuoja-asetuksen 31 artiklan mukaisesti pyritty selvittämään yhteistyössä rekisterinpitäjän kanssa. Loukkausta ja sen seurauksia on selvitelty useilla yhtiön ja tietosuojavaltuutetun toimiston välisillä sähköpostiviesteillä. Yleisessä tietosuoja-asetuksessa edellytetään, että kaikki asianmukaiset tekniset suojatoimenpiteet ja organisatoriset toimenpiteet on toteutettu, jotta voidaan selvittää viivytyksettä, onko tapahtunut tietoturvaloukkaus. Tämän perusteella arvioidaan, sovelletaanko asetuksen 34 artiklan mukaista ilmoittamisvelvoitetta. Kyseisessä asiassa selvittämistä ovat vaikeuttaneet rekisterinpitojärjestelmässä olleet puutteet. Näin ollen tietosuojavaltuutettu pyrki erityisen huolellisesti selvittämään tietoturvaloukkauksen vakavuuden ja vaikutukset.
(31) Yhtiö on lisäksi oma-aloitteisesti toimittanut tietosuojavaltuutetulle lausuman ennen asian ratkaisemista. Tietosuojavaltuutetun päätös on perustunut yhtiön itsensä toimittamaan selvitykseen, eikä päätös perustu sellaisiin selvityksiin, joista yhtiöllä ei ole ollut tilaisuutta lausua mielipidettään. Tietosuojavaltuutettu on myös hankkinut asian ratkaisemiseksi tarpeelliset tiedot ja selvitykset, eikä päätös siten perustu puutteellisiin tai virheellisiin tietoihin tai selvityksiin.
(32) Tietosuojavaltuutettu katsoo, että yhtiötä on hallintolain 34 §:n mukaisesti kuultu, sille on annettu mahdollisuus esittää omat näkemyksensä asiassa ja sen esittämät seikat on huomioitu asian selvittämisen yhteydessä ja päätöstä tehtäessä.
(33) Tietosuojavaltuutetun päätöksessä on kuvattu valtuutetun toimivalta, sovellettavat yleisen tietosuoja-asetuksen kohdat, asian selvittäminen ja päätöksen perustelut. Yhtiö on velvoitettu ilmoittamaan tietoturvaloukkauksesta rekisteröidyille niiltä osin kuin henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin rekisteröidyille. Päätöksen mukaan korkea riski näyttäisi toteutuvan henkilötunnuksen ja muun identiteettitiedon osalta identiteettivarkauden riskin muodossa ja salassa pidettävän tiedon oikeudettoman ulkopuolisille paljastumisen muodossa. Toisin kuin yhtiö on valituksessaan esittänyt, se on itse käyttänyt ilmoituksessaan ilmausta "identiteettitiedot”, joka on myös julkisissa sanastoissa käytetty termi. Kuten hallinto-oikeus on todennut, tietosuojavaltuutetun päätöksen lainmukaisuus ei ole edellyttänyt, että rekisteröidyt henkilöt yksilöidään esimerkiksi nimellä. Tietoturvaloukkaustapauksissa rekisterinpitäjällä on itsellään paras tieto loukattujen rekisteröityjen henkilöllisyydestä. Tietosuojavaltuutetun päätös on hallintolain 44 §:n mukainen ja määräyksestä ilmenevät sanotussa lainkohdassa säädetyt seikat.
(34) Asianajotoimisto MK-Law Oy on vastaselityksessään esittänyt muun ohella seuraavaa:
(35) Yhtiö ei ole esittänyt, että tietosuojavaltuutetun päätöksestä pitäisi ilmetä ne rekisteröidyt, joille ilmoitus pitää tehdä. Jotta päätös täyttäisi hallintolain vaatimukset, pitää siitä kuitenkin selvästi käydä ilmi, missä tapauksissa ilmoitus on tehtävä.
(36) Tietosuojavaltuutetun päätöksen mukaan ilmoitus olisi tehtävä seuraavissa tapauksissa: 1. Henkilötunnuksen ja muun identiteettitiedon mukaan, identiteettivarkauden riski, ja 2. salassa pidettävän tiedon oikeudeton paljastuminen ulkopuolisille. Kohdan 1 mukaan ilmoitus olisi tehtävä, kun kyseessä on henkilötunnus ja ”muu identiteettitieto”. Päätöksestä ei kuitenkaan ilmene, mikä sellainen muu (identiteetti)tieto on, joka yhdessä henkilötunnuksen kanssa laukaisee ilmoitusvelvollisuuden. Lisäksi on epäselvää, mikä on identiteettitieto, kun sitä ei ole määritelty yleisessä tietosuoja-asetuksessa tai muualla lainsäädännössä. Kohdan 2 mukaan kaikki salassa pidettävä tieto laukaisee ilmoitusvelvollisuuden. Yhtiön toimialalla kuitenkin lähtökohtaisesti kaikki tieto on luottamuksellista, vaikka kyseessä ei olisi henkilötieto.
Korkeimman hallinto-oikeuden ratkaisun perustelut
1. Ennakkoratkaisupyynnön hylkääminen
(37) Euroopan unionin toiminnasta tehdyn sopimuksen 267 artiklan mukaan unionin tuomioistuimella on toimivalta antaa ennakkoratkaisu muun ohella perussopimuksen ja unionin toimielimen säädöksen tulkinnasta. Jos tällainen kysymys tulee esille sellaisessa kansallisessa tuomioistuimessa käsiteltävänä olevassa asiassa, jonka päätöksiin ei kansallisen lainsäädännön mukaan saa hakea muutosta, tämän tuomioistuimen on saatettava kysymys unionin tuomioistuimen käsiteltäväksi. Korkein hallinto-oikeus käyttää Suomessa ylintä tuomiovaltaa hallintolainkäyttöasioissa.
(38) Unionin tuomioistuimen oikeuskäytännöstä ilmenee, että velvollisuutta tehdä Euroopan unionin toiminnasta tehdyn sopimuksen 267 artiklassa tarkoitettu ennakkoratkaisupyyntö ei kuitenkaan ole silloin, jos kansallisessa tuomioistuimessa ei esiinny todellista epäilyä unionin tuomioistuimen olemassa olevan oikeuskäytännön soveltamismahdollisuudesta asiaan tai jos on täysin selvää, miten unionin oikeutta on kyseisessä tilanteessa asianmukaisesti sovellettava.
(39) Asiassa ei ole tullut esille sellaista kysymystä, jonka johdosta ennakkoratkaisupyynnön esittäminen olisi edellä mainittu huomioon ottaen tarpeen.
2. Valituksen hylkääminen
Kysymyksenasettelu
(40) Asiassa on kysymys siitä, onko tapahtunut henkilötietojen tietoturvaloukkaus yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa tarkoitetulla tavalla todennäköisesti aiheuttanut korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille ja onko tietosuojavaltuutettu voinut määrätä Asianajotoimisto MK-Law Oy:n ilmoittamaan tietoturvaloukkauksesta rekisteröidyille. Tähän kysymykseen liittyen on valituksessa esitetyn johdosta otettava kantaa muun ohella siihen, arvioidaanko korkeaa riskiä yleisen tietosuoja-asetuksen 34 ja 35 artiklassa tarkoitetuissa tilanteissa yhdenmukaisin perustein vai eri tavalla painottaen.
(41) Jos ilmoittamisvelvollisuuden katsotaan syntyneen, ratkaistavaksi tulee, onko velvoitteiden yksilöinti tietosuojavaltuutetun päätöksessä ollut hallintolain 44 §:n 1 momentin 3 kohdan vaatimukset huomioon ottaen riittävää.
(42) Kysymys on lisäksi siitä, olisiko yhtiölle ennen tietosuojavaltuutetun päätöksen antamista tullut hallintolain 34 §:n perusteella vielä varata erikseen tilaisuus lausua asiasta.
Sovellettavat ja asiaan muutoin liittyvät oikeusohjeet
Yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta)
(43) Yleisen tietosuoja-asetuksen 4 artiklan 12 kohdan mukaan asetuksessa tarkoitetaan ’henkilötietojen tietoturvaloukkauksella’ tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
(44) Yleisen tietosuoja-asetuksen 33 artiklan 1 kohdan ensimmäisen virkkeen mukaan, jos tapahtuu henkilötietojen tietoturvaloukkaus, rekisterinpitäjän on ilmoitettava siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta 55 artiklan mukaisesti toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä.
(45) Yleisen tietosuoja-asetuksen 33 artiklan 3 kohdan mukaan edellä 1 kohdassa tarkoitetussa ilmoituksessa on vähintään
a) kuvattava henkilötietojen tietoturvaloukkaus, mukaan lukien mahdollisuuksien mukaan asianomaisten rekisteröityjen ryhmät ja arvioidut lukumäärät sekä henkilötietotyyppien ryhmät ja arvioidut lukumäärät;
b) ilmoitettava tietosuojavastaavan nimi ja yhteystiedot tai muu yhteyspiste, josta voi saada lisätietoa;
c) kuvattava henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset;
d) kuvattava toimenpiteet, joita rekisterinpitäjä on ehdottanut tai jotka se on toteuttanut henkilötietojen tietoturvaloukkauksen johdosta, tarvittaessa myös toimenpiteet mahdollisten haittavaikutusten lieventämiseksi.
(46) Yleisen tietosuoja-asetuksen 33 artiklan 5 kohdan mukaan rekisterinpitäjän on dokumentoitava kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Valvontaviranomaisen on voitava tämän dokumentoinnin avulla tarkistaa, että tätä artiklaa on noudatettu.
(47) Yleisen tietosuoja-asetuksen 34 artiklan 1 kohdan mukaan, kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, rekisterinpitäjän on ilmoitettava tietoturvaloukkauksesta rekisteröidylle ilman aiheetonta viivytystä.
(48) Yleisen tietosuoja-asetuksen 34 artiklan 3 kohdan mukaan edellä 1 kohdassa tarkoitettua ilmoitusta rekisteröidylle ei vaadita, jos jokin seuraavista edellytyksistä täyttyy:
a) rekisterinpitäjä on toteuttanut asianmukaiset tekniset ja organisatoriset suojatoimenpiteet ja henkilötietojen tietoturvaloukkauksen kohteena oleviin henkilötietoihin on sovellettu kyseisiä toimenpiteitä, erityisesti niitä, joiden avulla henkilötiedot muutetaan muotoon, jossa ne eivät ole sellaisten henkilöiden ymmärrettävissä, joilla ei ole lupaa päästä tietoihin, kuten salausta;
b) rekisterinpitäjä on toteuttanut jatkotoimenpiteitä, joilla varmistetaan, että 1 kohdassa tarkoitettu rekisteröidyn oikeuksiin ja vapauksiin kohdistuva korkea riski ei enää todennäköisesti toteudu;
c) se vaatisi kohtuutonta vaivaa. Tällaisissa tapauksissa on käytettävä julkista tiedonantoa tai vastaavaa toimenpidettä, jolla rekisteröidyille tiedotetaan yhtä tehokkaalla tavalla.
(49) Yleisen tietosuoja-asetuksen 34 artiklan 4 kohdan mukaan, jos rekisterinpitäjä ei ole vielä ilmoittanut henkilötietojen tietoturvaloukkauksesta rekisteröidylle, valvontaviranomainen voi vaatia ilmoituksen tekemistä tai päättää, että jokin 3 kohdan edellytyksistä täyttyy, arvioituaan, kuinka todennäköisesti henkilötietojen tietoturvaloukkaus aiheuttaa suuren riskin.
(50) Yleisen tietosuoja-asetuksen 35 artiklan 1 kohdan mukaan, jos tietyntyyppinen käsittely etenkin uutta teknologiaa käytettäessä todennäköisesti aiheuttaa – käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset huomioon ottaen – luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin, rekisterinpitäjän on ennen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Yhtä arviota voidaan käyttää samankaltaisiin vastaavia korkeita riskejä aiheuttaviin käsittelytoimiin.
(51) Yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan mukaan jokaisella valvontaviranomaisella on kaikki seuraavat korjaavat toimivaltuudet:
(---)
e) määrätä rekisterinpitäjä ilmoittamaan henkilötietojen tietoturvaloukkauksesta rekisteröidylle;
(---).
Hallintolaki
(52) Hallintolain 31 §:n mukaan viranomaisen on huolehdittava asian riittävästä ja asianmukaisesta selvittämisestä hankkimalla asian ratkaisemiseksi tarpeelliset tiedot sekä selvitykset. Pykälän 2 momentin mukaan asianosaisen on esitettävä selvitystä vaatimuksensa perusteista. Asianosaisen on muutoinkin myötävaikutettava vireille panemansa asian selvittämiseen.
(53) Hallintolain 33 §:n 1 momentin mukaan asiakirjan täydentämistä, selityksen antamista ja selvityksen esittämistä varten on asetettava asian laatuun nähden riittävä määräaika.
(54) Hallintolain 34 §:n 1 momentin mukaan asianosaiselle on ennen asian ratkaisemista varattava tilaisuus lausua mielipiteensä asiasta sekä antaa selityksensä sellaisista vaatimuksista ja selvityksistä, jotka saattavat vaikuttaa asian ratkaisuun. Pykälän 2 momentin mukaan asian saa ratkaista asianosaista kuulematta, jos:
1) vaatimus jätetään tutkimatta tai hylätään heti perusteettomana;
2) asia koskee palvelussuhteeseen tai vapaaehtoiseen koulutukseen ottamista;
3) asia koskee hakijan ominaisuuksien arviointiin perustuvan edun myöntämistä;
4) kuuleminen saattaa vaarantaa päätöksen tarkoituksen toteutumisen tai kuulemisesta aiheutuva asian käsittelyn viivästyminen aiheuttaa huomattavaa haittaa ihmisten terveydelle, yleiselle turvallisuudelle taikka ympäristölle; tai
5) hyväksytään vaatimus, joka ei koske toista asianosaista tai kuuleminen on muusta syystä ilmeisen tarpeetonta.
(55) Hallintolain 44 §:n 1 momentin mukaan kirjallisesta päätöksestä on käytävä selvästi ilmi:
1) päätöksen tehnyt viranomainen ja päätöksen tekemisen ajankohta;
2) asianosaiset, joihin päätös välittömästi kohdistuu;
3) päätöksen perustelut ja yksilöity tieto siitä, mihin asianosainen on oikeutettu tai velvoitettu taikka miten asia on muutoin ratkaistu; sekä
4) sen henkilön nimi ja yhteystiedot, jolta asianosainen voi pyytää tarvittaessa lisätietoja päätöksestä.
Oikeudellinen arviointi ja johtopäätös
Yhtiön kuulemista koskeva kysymys
(56) Asiakirjoista ilmenee, että yhtiön ilmoittamaa tietoturvaloukkausta ja sen seurauksia on selvitetty useilla yhtiön ja tietosuojavaltuutetun toimiston esittelijän välisillä sähköpostiviesteillä. Yhtiö on lisäksi oma-aloitteisesti toimittanut tietosuojavaltuutetun toimistolle lausuman ennen asian ratkaisemista. Tietosuojavaltuutetun päätös perustuu yhtiön itsensä toimittamaan selvitykseen. Korkein hallinto-oikeus katsoo, että edellä lausuttuun nähden asian käsittelyssä ei ole tapahtunut sellaista virhettä, että tietosuojavaltuutetun päätös olisi kumottava ja asia palautettava tietosuojavaltuutetulle yhtiön asianmukaista kuulemista varten.
Korkean riskin arviointi yleisen tietosuoja-asetuksen 34 ja 35 artiklassa tarkoitetuissa tilanteissa
(57) Sekä yleisen tietosuoja-asetuksen 34 artiklassa, joka koskee henkilötietojen tietoturvaloukkauksesta ilmoittamista rekisteröidylle, että 35 artiklassa, joka koskee tietosuojaa koskevaa vaikutustenarviointia, käytetään todennäköisesti aiheutuvan korkean riskin käsitettä.
(58) Euroopan unionin neuvoa-antavan elimen tietosuojatyöryhmän antamissa suuntaviivoissa asetuksen (EU) 2016/679 mukaisesta henkilötietojen tietoturvaloukkauksen ilmoittamisesta (WP250rev.01, annettu 3.10.2017, viimeksi tarkistettu ja hyväksytty 6.2.2018) todetaan, että arvioitaessa tietoturvaloukkauksen aiheuttamaa riskiä henkilöiden oikeuksille ja vapauksille keskitytään eri asioihin kuin tietosuojaa koskevassa vaikutustenarvioinnissa. Tietosuojaa koskevassa vaikutustenarvioinnissa otetaan huomioon sekä riskit, jotka aiheutuvat, kun tiedonkäsittely suoritetaan suunnitellusti, että tietoturvaloukkauksen aiheuttamat riskit. Mahdollisen tietoturvaloukkauksen yhteydessä siinä tarkastellaan yleisesti tietoturvaloukkauksen todennäköisyyttä ja siitä rekisteröidylle mahdollisesti aiheutuvia vahinkoja; toisin sanoen siinä arvioidaan hypoteettista tapahtumaa. Todellisen tietoturvaloukkauksen kohdalla tapahtuma on jo tapahtunut, ja näin ollen painopiste on siitä aiheutuvassa henkilöihin kohdistuvien vaikutusten riskissä.
(59) Korkein hallinto-oikeus katsoo, että yleisen tietosuoja-asetuksen 35 artiklassa (Tietosuojaa koskeva vaikutustenarviointi) on kyse henkilötietojen käsittelystä aiheutuvien vaikutusten arvioinnista jo ennen kuin mainitussa artiklassa tarkoitettu henkilötietojen käsittely aloitetaan. Vaikutustenarviointi liittyy rekisterinpitäjän velvollisuuteen osoittaa henkilötietojen asianmukainen käsittely, johon samalla sisältyy henkilötietojen käsittelystä aiheutuvien etukäteen tunnistettujen hypoteettisten riskien hallinta. Yleisen tietosuoja-asetuksen 34 artiklan mukaisessa tilanteessa on puolestaan kysymys henkilöihin kohdistuvan riskin arvioimisesta jo tapahtuneen tietoturvaloukkauksen johdosta. Korkeaa riskiä arvioidaan mainittuja artikloja sovellettaessa asianomaisen artiklan tarkoituksen ja siinä säännellyn asiayhteyden näkökulmasta. Näin ollen arviointien lähtökohdat ja painopisteet eroavat toisistaan.
Tietosuojavaltuutetun päätöstä koskeva oikeudellinen arviointi
(60) Yleisessä tietosuoja-asetuksessa ei ole nimenomaisesti määritelty, mitä asetuksen 34 artiklan 1 kohdassa tarkoitetaan korkealla riskillä. Korkein hallinto-oikeus toteaa, että käsitteen tulkinnassa voidaan käyttää apuna tietosuojatyöryhmän antamassa edellä mainitussa suuntaviivoja koskevassa asiakirjassa esitettyä.
(61) Suuntaviivojen mukaan keskeinen rekisteröidyille tehtävän ilmoituksen laukaiseva seikka on se, aiheuttaako tietoturvaloukkaus todennäköisesti korkean riskin henkilöiden oikeuksille ja vapauksille. Tällainen riski on olemassa, jos tietoturvaloukkaus voi aiheuttaa fyysisiä, aineellisia tai aineettomia vahinkoja henkilöille, joiden tietosuojaa on loukattu. Tällaisia vahinkoja ovat esimerkiksi syrjintä, identiteettivarkaus tai petos, taloudelliset menetykset ja maineen vahingoittuminen. Jos tietoturvaloukkaukseen liittyy henkilötietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollista tai filosofista vakaumusta tai ammattiliittoon kuulumista tai jotka sisältävät geneettisiä tietoja tai terveyttä ja seksuaalista käyttäytymistä tai rikostuomioita ja rikkomuksia tai niihin liittyviä turvatoimia koskevia tietoja, tällaisten vahinkojen aiheutumista olisi pidettävä todennäköisenä.
(62) Edelleen suuntaviivojen mukaan rekisterinpitäjän olisi tietoturvaloukkauksesta henkilöille aiheutuvaa riskiä arvioidessaan otettava huomioon tietoturvaloukkauksen erityiset olosuhteet, muun muassa mahdollisten vaikutusten vakavuus ja niiden toteutumisen todennäköisyys. Tästä syystä tietosuojatyöryhmä on suosittanut, että arvioinnissa olisi otettava huomioon seuraavat kriteerit: tietoturvaloukkausten tyypit, henkilötietojen luonne, arkaluonteisuus ja määrä, henkilöiden tunnistamisen helppous, henkilöille aiheutuvien seurausten vakavuus, henkilön erityiset ominaisuudet, rekisterinpitäjän erityiset ominaisuudet sekä niiden henkilöiden määrä, joihin tietoturvaloukkaus vaikuttaa.
(63) Yhtiön 23.9.2019 tietosuojavaltuutetun toimistolle tekemän tietoturvaloukkausta koskevan ilmoituksen mukaan yhtiön palveluksessa olevan henkilön sähköpostitunnukset olivat niin sanotun kalastelusähköpostiviestin kautta joutuneet ulkopuolisen tahon haltuun. Sähköpostitunnukset olivat olleet tämän tahon hallussa noin kahden vuorokauden ajan. Yhtiön tietosuojavaltuutetun toimistolle esittämän selvityksen mukaan sähköposteissa, OneDrive-palvelussa ja Sharepoint-palvelussa oli ollut henkilöiden nimiä ja sähköpostiosoitteita oletettavasti noin 2 000–2 500, yksityishenkilöiden osoitteita arviolta 250–500 ja henkilötunnuksia 100–200.
(64) Tietoturvaloukkauksessa on ollut kysymys pahantahtoisesta ulkopuolisesta hyökkäyksestä. Tietosuojavaltuutetun päätöksessä on todettu, että valtuutetulle ei ole toimitettu pyydettyjä sign-ins-lokia ja audit-lokia, joista näkisi selvästi, onko hyökkääjä käyttänyt esimerkiksi OneDriven/Sharepointin tiedostoja. Tietosuojavaltuutettu on päätöksen mukaan kuitenkin voinut todentaa, että sähköposti on avattu, sitä on käytetty useisiin operaatioihin ja että sähköposti avautuessaan synkronoituu hyökkääjälle, joka on käyttänyt tunnusta aikavyöhykkeeltä UTC-7.
(65) Korkein hallinto-oikeus toteaa, että vaikka esitetyn selvityksen perusteella ei ole varmuutta siitä, kuinka laajasti hyökkääjä on ottanut tietoja käyttöönsä, hyökkääjällä on ollut pääsy suurehkoon joukkoon tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja, jollaisia ovat esimerkiksi nimet ja henkilötunnukset. Osa näistä henkilötiedoista liittyy asianajotoimiston luottamuksellisiin toimeksiantoihin.
(66) Korkein hallinto-oikeus katsoo, että tietoturvaloukkauksesta aiheutuvaa riskiä rekisteröityjen oikeuksille ja vapauksille voidaan esitettyjen tietojen perusteella pitää sekä todennäköisenä että vakavana.
(67) Edelleen korkein hallinto-oikeus katsoo, että kysymyksessä oleva henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa yleisen tietosuoja-asetuksen 34 artiklan 1 kohdassa tarkoitetulla tavalla korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille niissä tapauksissa, joissa hyökkääjällä on ollut pääsy henkilötietoihin, jotka mahdollistavat identiteettivarkauden, sekä niissä tapauksissa, joissa on kysymys tunnistettavissa olevaan luonnolliseen henkilöön liittyvistä luottamuksellisista tiedoista.
(68) Asiassa saadun selvityksen perusteella asiassa ei täyty mikään yleisen tietosuoja-asetuksen 34 artiklan 3 kohdan edellytyksistä, joiden mukaan ilmoitusta rekisteröidyille ei vaadita.
(69) Edellä lausutun perusteella ja kun otetaan huomioon yleisen tietosuoja-asetuksen 58 artiklan 2 kohdan e alakohta, tietosuojavaltuutettu on voinut määrätä rekisterinpitäjän Asianajotoimisto MK-Law Oy:n ilmoittamaan henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä rekisteröidyille niiltä osin kuin tietoturvaloukkaus todennäköisesti aiheuttaa rekisteröidyille identiteettivarkauden riskin tai kun kysymys on tunnistettavissa olevaan luonnolliseen henkilöön liittyvän salassa pidettävän tiedon oikeudettomasta paljastumisesta ulkopuolisille.
(70) Tietosuojavaltuutetun päätöksen perusteluissa on kuvattu tietosuojavaltuutetun näkemys siitä, millaisten henkilötietojen joutuminen ulkopuolisten haltuun nyt käsillä olevassa tilanteessa aiheuttaa identiteettivarkauden riskin. Päätöksen ilmaisun ”muu identiteettitieto” on katsottava tarkoittavan sellaisia henkilötietoja, joita yhtiön tietoturvaloukkausta koskevan ilmoituksen kohdassa ”Identiteettitiedot (esim. nimi ja syntymäaika)” on tarkoitettu. Edellä lausutun perusteella ja kun ainoastaan rekisterinpitäjällä voi olla hallussaan yksityiskohtainen tieto siitä, keitä henkilöitä koskevia ja minkä laatuisia tietoja on sisältynyt siihen aineistoon, johon hyökkääjällä on ollut pääsy, velvoitteiden yksilöinti tietosuojavaltuutetun päätöksessä on ollut hallintolain 44 §:n 1 momentin 3 kohdan vaatimukset huomioon ottaen riittävää.
(71) Tietosuojavaltuutetun päätöksen kohtaan ”Yleinen ohjaus” sisältyvien ilmoitusvelvollisuutta tietosuojavaltuutetulle koskevien velvoitteiden on sisältöönsä nähden katsottava olevan osa yhtiölle annettua määräystä ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisteröidyille. Toisin kuin hallinto-oikeus on katsonut, tietosuojavaltuutetun päätös on tältäkin osin hallintolainkäyttölain 5 §:n 1 momentin perusteella valituskelpoinen ratkaisu. Korkein hallinto-oikeus toteaa selvyyden vuoksi, että kysymyksessä olevien velvoitteiden antaminen on kuulunut tietosuojavaltuutetun toimivaltaan ja ne ovat olleet tarpeellisia velvoitteen valvomiseksi.
Johtopäätös
(72) Edellä lausutun vuoksi ja kun oikeudenkäyntikulujen korvaamista koskevan vaatimuksen hylkäämisen osalta otetaan huomioon hallinto-oikeuden päätöksen perustelut, hallinto-oikeuden päätöksen lopputuloksen muuttamiseen ei ole perusteita. Yhtiön valitus on näin ollen hylättävä.
3. Oikeudenkäyntikulujen korvaamista korkeimmassa hallinto-oikeudessa koskevan vaatimuksen hylkääminen
(73) Asian näin päättyessä ja kun otetaan huomioon oikeudenkäynnistä hallintoasioissa annetun lain 95 §, Asianajotoimisto MK-Law Oy:lle ei ole määrättävä maksettavaksi korvausta oikeudenkäyntikuluista korkeimmassa hallinto-oikeudessa.
Asian ovat ratkaisseet oikeusneuvokset Eija Siitari, Kari Tornikoski, Taina Pyysaari, Jaakko Autio ja Robert Utter. Esittelijä Mikko Rautamaa.