Supo lähetti vahingossa työntekijöidensä salaisia tietoja ulkopuoliseen sähköpostiin
Supon mukaan syynä tietoturvaloukkaukselle oli huolimattomuusvirhe sekä palvelukeskuksessa että supossa.
Maria Rosvall / STT
Tänään 10:33 | Päivitetty tänään 17:30
Suojelupoliisi lähetti viime vuonna vahingossa kaikkien työntekijöidensä tietoja viraston ulkopuoliseen sähköpostiin. Erehdyksessä lähetetyssä tiedostossa oli tietoja supon kaikista, lähes 600 työntekijästä. Osa niistä oli salassa pidettäviä.
Virhe tapahtui viime kesänä, kun eräs supon virkavapaalla ollut työntekijä oli pyytänyt supon henkilöstöhallinnosta omia palkkakuittejaan. Supo teki asiasta palvelupyynnön valtion talous- ja henkilöstöhallinnon palvelukeskukseen.
Keskuksesta toimitettiin supolle kolme liitetiedostoa, jotka oli nimetty virkamiehen nimellä sekä pyydettyjen palkkakuittien päivämäärällä. Supon tietosuojavaltuutetulle tekemän ilmoituksen mukaan supossa vain yksi liitetiedostoista avattiin. Kun sen todettiin sisältävän sitä, mitä oli pyydetty, kaikki kolme liitetiedostoa lähetettiin virkavapaalla olleelle virkamiehelle. Tiedostot kulkivat turvapostipalvelun kautta virkamiehen gmail-sähköpostiin.
Virkamies ilmoitti supolle samana päivänä, että yksi palkkakuiteista puuttui ja sen tilalla oli tiedosto, jossa näytti olevan koko supon henkilöstön palkkatiedot.
Joukossa salaisia palkkatietoja
Supon tietosuojavaltuutetulle antaman ilmoituksen mukaan virkamiehelle vahingossa lähetetty liitetiedosto sisälsi koko viraston palkkalaskelmakoonnin, jossa oli enintään 586:n supon työntekijän tietoja.
Listauksessa näkyi muun muassa ihmisten titteleitä, yhteystietoja, rekrytointiprosessiin liittyviä tietoja sekä palkkauksesta myös henkilökohtaisen palkanosuuden määrä, joka on supon mukaan salassa pidettävä tieto. Muutamalla työntekijällä oli listauksessa myös näkyvillä kotiosoite.
Supon mukaan syynä tietoturvaloukkaukselle oli huolimattomuusvirhe sekä palvelukeskuksessa että supossa. Supo arvioi loukkauksen olevan kuitenkin niin lievä, ettei työntekijöille ollut syytä ilmoittaa tietojensa leviämisestä.
Virkamies oli ilmoittanut supolle poistaneensa tiedoston. Tietosuojavaltuutetulle supo kertoi, että se aikoo vielä kehottaa virkamiestä varmistamaan, ettei tiedostosta jäänyt kopioita tämän laitteelle.
Supon mukaan todennäköisyys tietojen väärinkäytölle tai niiden leviämiselle eteenpäin oli "olemattoman pieni".
– Rekisteröidyille aiheutuva haitta on se, että heidän henkilötietojaan on päätynyt sellaiselle henkilölle/kollegalle, jolla ei ole oikeutta niitä käsitellä. Haitta rinnastuu siten lähinnä mainehaittaan, ilmoituksessa katsottiin.
Myös tietosuojavaltuutetun toimisto katsoi, ettei ilmoitus antanut aihetta ryhtyä enempiin toimenpiteisiin.