HFD:2024:115

‍Finska diplomater hade varit föremål för cyberspionage genom ett spionprogram som man hade lyckats installera obemärkt i användarens telefon utan åtgärder av användaren. Spionprogrammet hade möjliggjort ett mycket omfattande utnyttjande av informationen i telefonen och dess egenskaper.

I ärendet skulle avgöras huruvida utrikesministeriet som personuppgiftsansvarig hade anmält den av cyberspionaget med hjälp av spionprogrammet orsakade personuppgiftsincidenten till dataskyddsombudsmannen och de registrerade inom de tidsfrister som föreskrivs i art. 33 och 34 i den allmänna dataskyddsförordningen.

Högsta förvaltningsdomstolen ansåg för det första, att den allmänna dataskyddsförordningen med stöd av 2 § 1 mom. i dataskyddslagen var tillämplig på det förevarande ärendet som hade koppling till nationell säkerhet och utrikespolitik. Med beaktande av att man inom unionsrätten uttryckligen har föreskrivit att verksamhet som gäller den nationella säkerheten och den gemensamma utrikes- och säkerhetspolitiken lämnas utanför tillämpningsområdet för den allmänna dataskyddsförordningen och att 2 § 1 mom. i dataskyddslagen förbehåller den nationella lagstiftaren behörighet att inskränka den nationella utvidgningen av tillämpningsområdet för den allmänna dataskyddsförordningen, skulle art. 33 och 34 i den allmänna dataskyddsförordningen i förevarande ärende tillämpas på det sätt som nationell rätt tillämpas. De nämnda artiklarna saknade följaktligen unionsrättens rättsverkningar såsom företräde i förhållande till nationell lagstiftning. Av detta följde att man i tillämpningen av artiklarna till fullo skulle beakta även övrig nationell lagstiftning, såsom offentlighetslagens bestämmelser.

Avseende art. 33 som gäller anmälan till dataskyddsombudsmannen hänvisade högsta förvaltningsdomstolen till bestämmelserna i dataskyddslagen och offentlighetslagen om att utlämna och få sekretessbelagda uppgifter. Högsta förvaltningsdomstolen ansåg, att det i bedömningen av om den personuppgiftsansvarige i sin anmälan om personuppgiftsincidenten till dataskyddsombudsmannen hade iakttagit de föreskrivna tidsfristerna saknade betydelse, om det i den anmälan som görs till tillsynsmyndigheten ingick sekretessbelagda uppgifter. Anmälan hade fördröjts och det framgick inte att fördröjningen hade varit befogad enligt art. 33 i den allmänna dataskyddsförordningen.

Avseende art. 34 som gäller information till den registrerade ansåg högsta förvaltningsdomstolen att sekretessbestämmelserna i offentlighetslagen skulle anses vara specialbestämmelser i förhållande till den allmänna dataskyddsförordningens bestämmelse om skyldigheten att informera. I sin bedömning av tidpunkten för den i artikeln avsedda informeringen skulle den personuppgiftsansvarige beakta huruvida informeringen samtidigt innebär att sekretessbelagda uppgifter yppas till de registrerade.

Med beaktande av de intressen i anslutning till Finlands internationella förhållanden och statens säkerhet som 24 § 1 mom. 2, 7 och 9 punkterna i offentlighetslagen skyddar, kunde man anse att utrikesministeriet i enlighet med art. 34.1 i den allmänna dataskyddsförordningen utan onödigt dröjsmål hade informerat om personuppgiftsincidenten till de registrerade, vars uppgifter fanns i den telefonen där man hade lyckats installera spionprogrammet.

Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) art. 2.2 a-b, art. 4.12, art. 33.1-4, art. 34 och art. 58.2 b

Dataskyddslagen 1 §, 2 § 1 och 3 mom., 8 § 1 mom. och 18 § 1 mom.

Lagen om offentlighet i myndigheternas verksamhet (offentlighetslagen) 24 § 1 mom. 2, 7 och 9 punkten samt 29 § 1 mom. 1 punkten

Ärendet har avgjorts av justitieråden Anne E. Niemi, Janne Aer, Petri Helander, Monica Gullans och Juha Lavapuro. Föredragande Mikko Rautamaa.