Psykoterapiakeskus Vastaamon kaltaisissa isoissa tietovuotojutuissa syytettyjen penkille voi periaatteessa joutua iso joukko ihmisiä. Syytteiden lisäksi ihmisten arkaluonteisten ja luottamuksellisten tietojen päätyminen julki voi poikia tuntuvia vahingonkorvausvaateita sekä muita seurauksia, kuten isoja hallinnollisia seuraamusmaksuja.
Vastaamon tapauksessa rikoksen esitutkinta on vasta aika alussa, eikä tapahtumien yksityiskohdista tai taustoista ole kerrottu kovinkaan paljoa julkisuudessa.
STT kysyi kuitenkin yleisellä tasolla asiantuntijoilta, kuka tai ketkä voisivat joutua esimerkiksi rikosoikeudelliseen vastuuseen Vastaamon tyyppisissä tapauksissa.
Lue myös: Vastaamo-kiristäjä sai lunnasrahoja ainakin 14 uhrilta ja liikutteli niitä eteenpäin – F-Securen Hyppönen: "Palapelin palasia on"
Vastaamon tapauksessa poliisi on kertonut tutkivansa juttua tässä vaiheessa törkeänä tietomurtona, törkeänä kiristyksenä ja törkeänä yksityiselämää loukkaavana tiedon levittämisenä. Näistä kaikista teoista voi joutua vankilaan.
Esimerkiksi törkeässä tietomurrossa maksimirangaistus on kolme vuotta ja törkeässä kiristyksessä neljä vuotta vankeutta.
Vaikka onkin selvää, että jo pelkästään luvaton tunkeutuminen tietojärjestelmään on rangaistava teko muusta laittomasta toiminnasta puhumattakaan, eri asia on, jäävätkö tekijä tai tekijät kiinni.
– Kiinnijäämisen todennäköisyys on ollut tämäntyyppisissä tapauksissa hyvin alhainen. Tosin koskaan aiemmin tutkintaan ei ole kohdistettu näin merkittäviä resursseja, sanoo tietosuojaan erikoistunut asianajaja Jukka Lång asianajotoimisto Dittmar & Indreniukselta.
Rikosprosessi yritystä vastaan ei ole mahdollinen
Tietomurtotapauksissa vastuuseen voi joutua myös se taho, kuten yritys, jonka tietojärjestelmään on murtauduttu.
Näin on esimerkiksi silloin, kun arkaluonteisia tietoja ei ole suojattu määräysten edellyttämällä tavalla.
Rikosprosessin käynnistäminen yritystä vastaan ei kuitenkaan ole tietosuoja-asioissa Suomessa mahdollista.
Yritykselle ei voi vaatia eikä langettaa tuomioistuimessa yhteisösakkoa tietosuojarikoksesta. Yrityksen osalta sanktiointi on toteutettu hallinnollisilla seuraamuksilla.
Asian taustalla on toukokuussa 2018 voimaan tullut EU:n yleinen tietosuoja-asetus. Sitä täydennettiin Suomessa uudella tietosuojalailla, joka tuli voimaan vuoden 2019 alusta.
Mahdolliset hallinnolliset seuraamusmaksut tietosuojalainsäädännön rikkomisesta määrää tietosuojavaltuutetusta ja kahdesta apulaistietosuojavaltuutetusta muodostuva seuraamuskollegio.
Sekä Lång että Helsingin yliopiston rikosoikeuden professori Kimmo Nuotio toteavat, että seuraamusmaksut voivat nousta miljooniin euroihin.
Lue myös: Tietoturvapomo uskoo Vastaamo-kiristäjän tehneen kiristysoperaatiolla jopa tappiota – "Kuvittelisin, että hän on erittäin peloissaan"
Rikotusta tietosuoja-asetuksen artiklasta riippuen maksimisumma voi olla 20 miljoonaa euroa tai neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta liikevaihdosta tai vaihtoehtoisesti enintään 10 miljoonaa tai kaksi prosenttia liikevaihdosta.
Jos tietoja ei ole suojattu teknisesti tai muutoin riittävällä tavalla, kyse on lähtökohtaisesti alemman seuraamusmaksuluokan asiasta.
Jos asiassa todettaisiin rikotun laajemmin myös muita tietosuojan toteuttamiseen liittyviä velvoitteita tai henkilötietojen käsittelyä koskevia periaatteita, saattaa ylempi seuraamusmaksuluokka soveltua.
– Seuraamusmaksuja ei arvioida pelkästään yksittäisten artiklojen rikkomisen näkökulmasta. Seuraamuskollegio arvioi seuraamuksen tapauskohtaisesti kokonaisuutena ja seuraamusten määräämisen on oltava tehokasta, oikeasuhteista ja varoittavaa, sanoo apulaistietosuojavaltuutettu Jari Råman.
Tietosuojavaltuutetun työkalupakissa on muitakin keinoja kuin seuraamusmaksu.
Viranomainen voi esimerkiksi kieltää käyttämästä tietoturvattomaksi todettua järjestelmää tai määrätä tietojen käsittelyn saatettavaksi säännösten mukaiseksi.
Samasta teosta ei saa rangaista kahta kertaa
Tietomurtojutuissa pohdittavaksi voi tulla myös se, onko joku tai ovatko jotkut henkilöt tietomurron kohteeksi joutuneen yrityksen sisällä tai muussa organisaatiossa syyllistyneet rikokseksi katsottaviin tahallisiin tekoihin tai vakaviin laiminlyönteihin.
Jos tietoturvaa koskevia säännöksiä rikotaan, kyseessä voi olla tietosuojarikos. Tietosuojarikosta koskeva uudistus tuli voimaan vuoden 2019 alusta.
Muutoksen myötä pääosa aiemmin henkilörekisteririkoksina rangaistavaksi säädetyistä teoista dekriminalisoitiin. Hallinnollisista seuraamusmaksuista tuli ensisijaisia sanktiokeinoja.
Tietosuojarikoksen alla ovat nykyisin enää käytännössä vain lähinnä sellaiset urkintatyyppiset tapaukset, joissa esimerkiksi organisaation työntekijä katsoo ilman oikeutta jonkun toisen potilastietoja.
Tästä syystä tietosuojarikoksen soveltaminen tietomurtojutussa voi olla hankalaa.
– Lakiin otettu tietoturvallisuutta koskeva kakkosmomentti voisi tulla tässä sovellettavaksi, mutta se on kirjoitettu lain valmisteluvaiheessa esitetystä kritiikistä huolimatta niin epäselvällä ja yleisluonteisella tavalla, että sen soveltaminen aiheuttaa haasteita, Lång sanoo.
Lue myös: Täysin ainutlaatuinen tapaus: Siviilit auttavat poliisia Vastaamo-tutkinnassa – "Ei ole Suomen rikoshistoriassa aiemmin"
Asiaan vaikuttaa myös periaate, ettei samasta teosta saa rangaista kahteen kertaan.
Jos yritykselle määrätään tietosuojan puutteista hallinnollinen seuraamusmaksu ja esimerkiksi toimitusjohtajan katsotaan edustavan organisaatiota, toimitusjohtajaa ei voi tuomita tietosuojarikoksesta.
Asioita saattaa mutkistaa sekin, että tietosuojaan liittyvä lainsäädäntö on muuttunut vuosina 2018 ja 2019.
Esimerkiksi Vastaamon tapauksessa yhtiö on kertonut, että siihen kohdistui tietomurto sekä marraskuussa 2018 että maaliskuussa 2019.
Sen sijaan muusta rikoksesta toimitusjohtajaa saatetaan voida tilanteesta riippuen syyttää. Jos henkilö on esimerkiksi pimittänyt yrityskaupan yhteydessä ostajalta olennaista tietoa, voi Långin mukaan petoksen tunnusmerkistö täyttyä.
Nuotio nostaa esille myös mahdollisen luottamusaseman väärinkäytön.
– Se voisi tulla kysymykseen, jos esimerkiksi johtaja salaa tietoa ja aiheuttaa sitä kautta vahinkoa edustamalleen yritykselle, hän sanoo.
Myös sairaanhoitopiirin virkamies voi syyllistyä rikokseen
Myös terveydenhuollon palveluja yritykseltä ostaneet tahot eli esimerkiksi sairaanhoitopiirit voivat joutua vastuuseen tietomurtojutussa.
Ne voivat joutua esimerkiksi maksamaan vahingonkorvauksia uhreille.
Rekisterinpitäjänä sairaanhoitopiireillä on velvollisuus huolehtia siitä, että palvelutuottajan tietoturvatoimet ovat sellaisella tasolla, että ihmisten potilastiedot ovat suojassa.
Toisin kuin yrityksille, sairaanhoitopiireille ei voi määrätä hallinnollisia seuraamusmaksuja.
Kun tietosuoja-asioita koskevaa EU-sääntelyä tehtiin, jäsenvaltiolle jätettiin mahdollisuus rajata esimerkiksi viranomaiset hallinnollisen sakkoriskin ulkopuolelle. Ja Suomi toimi juuri näin.
Sairaanhoitopiireissä toimivien virkamiesten osalta arvioitavaksi voikin tulla se, ovatko he laiminlyöneet virkavelvollisuuksiaan.
– Siinä missä yksityisellä sektorilla sanktioidaan yritystä, julkisella puolella sanktioidaan yksilöä. Tämä voi johtaa aika epäoikeudenmukaiseen ja yksilön kannalta kohtuuttomaan tilanteeseen, Lång toteaa.
Mahdolliseen rikosoikeudelliseen vastuuseen joutuminen määräytyy sen mukaan, miten sairaanhoitopiireissä on järjestetty vastuut ja tehtävien jako. Viime kädessä vastuussa on sairaanhoitopiirin ylin johto.
Potilastietojen levittäjä saattaa saada vankeutta
Tuomioistuimen eteen voivat joutua myös esimerkiksi ne tahot, jotka ovat jakaneet verkosta löytämiään yksityiselämää koskevia tietoja eteenpäin tavalla, josta syntyy vahinkoa ja kärsimystä uhrille.
Tällöin kysymyksessä on yksityiselämää loukkaava tiedon levittäminen. Törkeässä tekomuodossa maksimirangaistus on kaksi vuotta vankeutta.
Tietovuodosta voi seurata myös esimerkiksi identiteettivarkauksia. Identiteettivarkaus tarkoittaa sitä, että joku esiintyy toisen henkilöllisyydellä ja tästä aiheutuu taloudellista tai muuta vähäistä suurempaa haittaa uhrille.
Lång pitää varmana, että Psykoterapiakeskus Vastaamon tapauksen osalta erilaisia vastuukysymyksiä tullaan puimaan oikeudessa.
Oikeusprosessit voivat kestää helposti useita vuosia, mikä on erityisesti uhrien kannalta harmillisen pitkä aika.
Lång arvioi, että asioita voidaan puida sekä hallintotuomioistuimissa että yleisissä tuomioistuimissa aina korkeimpia asteita myöten.
Lisäksi tapauksen tiimoilta voidaan tehdä ennakkoratkaisupyyntöjä EU-tuomioistuimeen ja lähestyä myös Euroopan ihmisoikeustuomioistuinta.
Koska vyyhden selvittely on vasta aika alkuvaiheessa, tapahtumien lopullisia seurauksia ei tiedä vielä kukaan.