Vastaamo, sen toimitusjohtaja, yhtiön hallitus, Vastaamoon asiakkaita lähettäneet sairaanhoitopiirit...
Kaikki lienevät samaa mieltä, että suurin syypää on kiristäjä ja tietomurron tekijä. Moni muukin joutuu kuitenkin tarkkaan syyniin osallisuudestaan Suomen tähän mennessä merkittävimpään tietosuojaloukkaukseen.
Yle kävi asiantuntijoiden kanssa läpi, millaisia vastuita Vastaamo-tapauksen osapuolilla on.
Ainakin seuraavia kysymyksiä tullaan esittämään viranomaisten, yhtiön omistajien ja etenkin sen asiakkaiden toimesta:
- Onko Vastaamossa noudatettu tietosuoja-asetusta? Tätä selvittää tietosuojavaltuutetun toimisto.
- Millaisiin korvauksiin tietomurron uhreilla on oikeus? Sitä käsitellään erillisissä oikeudenkäynneissä.
- Onko joku henkilö menetellyt niin, että asiassa olisi tapahtunut myös tietosuojarikos? Tätä tutkii poliisi.
- Pitäisikö selvittää sairaanhoitopiirien vastuu? Asiantuntijoiden ja tietosuojavaltuutetun toimiston mukaan pitäisi.
- Voivatko myös Vastaamon omistajat hakea vahingonkorvausta? Tämä prosessi on jo alkanut entisen toimitusjohtajan miljoonaomaisuuden takavarikolla.
Ylen haastattelemat tietosuojan asiantuntijat korostavat, että he puhuvat asioista yleisellä tasolla, tuntematta tapauksen yksityiskohtia.
Tarina on pitkä, mutta sen luettuasi ymmärrät, miten vastuunkantajia ja vahingonkorvauksia jatkossa haetaan.
Aloitetaan.
1. Yhtiön vastuu ja "seuraamusmaksu"
Tietosuoja-asetuksen mukaan tietoa kerännyt rekisterinpitäjä on vastuussa siitä, että tietosuoja toteutuu.
Tämän tahon on etukäteen arvioitava toimintansa tietosuojariskit ja niiden vaikutukset sekä tehtävä tarvittavat toimet.
Työn huolellisuus ja riittävä tietoturvan taso on kyettävä myös osoittamaan.
Tätä selvitetään nyt Vastaamon tapauksessa.
Tutkimusta ei kuitenkaan johda poliisi vaan tietosuojavaltuutetun toimisto. Tietosuojavaltuutetun ja kahden apulaistietosuojavaltuutetun muodostama seuraamuskollegio jakaa harkintansa mukaan “hallinnollisista seuraamusmaksuja”.
Muutos tapahtui pari vuotta sitten eurooppalaisen tietosuoja-asetuksen myötä.
Tietosuoja ei siis ole yrityksen kannalta enää rikosasia. Tämä ei kuitenkaan tarkoita, että tietosuojarikkeistä pääsisi vähemmällä kuin aiemmin, arvioi Dittmar & Indreniuksen osakas, asianajaja Jukka Lång.
– Tänään prosessi on kevyempi ja kynnys on paljon matalampi siihen, että yritys saa tietosuojarikkomuksesta merkittäviä seurauksia, hän arvioi.
Samaa mieltä on Castrén & Snellmanin asianajaja Eija Warma-Lehtinen.
– Uusi tietosuojasääntely on ehdottomasti kiristys entiseen verrattuna. Rikoslain pykälä oli ennen suunnilleen samansisältöinen kun nyt – mutta tänään lisänä on tietosuoja-asetus, jossa on enemmän ja kovempia viranomaiskeinoja.
Suomessa on annettu parin vuoden aikana seuraamusmaksuja kourallinen. Niistä suurin on Postille määrätty yli sadan tuhannen euron maksu, joka ei vielä ole lainvoimainen.
Lång huomauttaa, että Euroopassa on nähty jo paljon suurempiakin sakkoja. Esimerkiksi kauppaketju H&M sai henkilötietojen käsittelystä 32 miljoonan euron sakon. British Airwaysin yli 400 000 asiakkaan yhteys- ja maksukorttitietoihin kohdistunut tietoturvaloukkaus johti 20 miljoonan punnan sakkoon.
Enimmillään hallinnollinen maksu voi olla 20 miljoonaa euroa tai suurten yritysten kohdalla neljä prosenttia globaalista liikevaihdosta.
Sellaisia rangaistuksia ei ole vielä nähty. Långin ja Warma-Lehtisen mukaan tietosuojarangaistusten linja on kuitenkin uuden sääntelyn myötä kiristymässä myös pienempien yritysten kohdalla.
– Euroopassa on nähty korkeita summia. Suomessa ollaan saman trendin piirissä, vaikka kaikki kansalliset viranomaiset toimivatkin itsenäisesti, Warma-Lehtinen sanoo.
EU:ssa jaettujen sanktioiden yhdenmukaisuutta ohjaa tietosuojaneuvosto, jonka tehtävä on tasapainottaa sääntelyn soveltamista.
Itä-Suomen yliopiston professori Tomi Voutilainen epäilee, onko rangaistusten linja sittenkään kiristymässä. Seuraamusharkintaa rajoittavat hänen mukaansa hallinnon oikeusperiaatteet.
– Niitä oikein tulkiten seuraamus ei voi olla sellainen, että yritys ajautuisi konkurssiin ainakaan seuraamuksen perusteella, hän kuvaa.
– Ei tässä Vastaamonkaan tapauksessa lähdettäisi miljoonaluokasta puhumaan.
Toisin sanoen seuraamusmaksuja suhteutetaan Voutilaisen mukaan yhtiön kokoon ja kykyyn selviytyä niistä.
Se voisi olla hyväkin asia.
Hallinnolliset seuraamusmaksut kilahtavat nimittäin valtion kassaan. Jos yritys menisi sanktioiden vuoksi konkurssiin, se ei voisi maksaa vahingonkorvauksia.
2. Kärsineet hakevat korvauksia – vuosien kuluttua
Jos tietosuojakollegio katsoo Vastaamon syyllistyneen virheisiin henkilötietojen suojaamisessa, siitä aukeaa asiakkaille peruste hakea vahingonkorvauksia oikeudessa.
Tähän voi kuitenkin kulua aikaa.
Seuraamuskollegion päätöstä voi seurata vuosien mittainen valituskierre hallinto-oikeudessa ja korkeimmassa hallinto-oikeudessa.
Periaatteessa vahingonkorvausta voisi hakea jo ennen päätöksen lainvoimaa, mutta syyllisen osoittaminen voisi olla käytännössä mahdotonta.
– Jos prosessi käydään perälautaan asti, kyllä me useamman vuoden kokonaisprosessista puhutaan, Eija Warma-Lehtinen sanoo.
Dittmar & Indreniuksen Långin mukaan mahdollisten vahingonkorvausten saamiseen voisi kulua jopa vuosikymmen.
– Muutama vuosi sitten, jolloin tietosuojakysymyksiä vielä käsiteltiin syyttäjän ajamina rikosasioina, tuomioistuin saattoi samalla määrätä korvauksia vahinkojen kärsijöille, hän kuvaa.
– Vaikka korvausmäärät olivat alhaisia ja tapaukset harvinaisia, tässä suhteessa se oli uhrin kannalta helpompaa.
Tilanteen tekee tietomurron uhrien kannalta hankalaksi se, ettei Suomessa tunneta ryhmäkannetta muualla kuin kuluttaja-asioissa.
Kärsijät joutuvat hakemaan yhtiöltä korvauksia henkilökohtaisesti – vaikka vahingonkorvauskanteita voidaankin prosessin kuluessa niputtaa.
Vahingonkorvaukset ovat tietosuoja-asioissa olleet toistaiseksi pieniä.
– Kärsimyskorvauksissa puhutaan sadoista ja muutamasta tuhannesta eurosta, Tomi Voutilainen sanoo.
Pitkä odotusaika, prosessin työläys ja korvausten pieni koko saattavat vähentää tietomurron uhreiksi joutuneiden suomalaisten halua hakea korvauksia.
3. Onko joku menetellyt niin, että kyseessä olisi rikos?
Kun tietosuojakysymykset käsitellään pääosin tietosuoja-asetuksen näkökulmasta, yrityksen johtoa ei ole helppoa saattaa korvausvelvollisiksi.
Asiantuntijoiden mukaan rikosprosessin mahdollisuuttakaan ei kuitenkaan voida sulkea pois.
– Johdon vastuu realisoituu, jos menettely olisi ollut törkeän huolimatonta ja täyttäisi jonkin rikoksen tunnusmerkistön. Silloin myös yhtiö voisi hakea toimitusjohtajaa vastuuseen tällä perusteella, Lång sanoo.
– Sen kynnys on tosin käytännössä todella korkea.
Itä-Suomen yliopiston Tomi Voutilaisen mukaan tässä yhteydessä jouduttaisiin tulkitsemaan Euroopan ihmisoikeussopimuksessa. Sinne on kirjattu, ettei yhdestä rikoksesta voi rangaista kahta kertaa (siirryt toiseen palveluun).
– Voisiko tässä tulla vastaan esimerkiksi kaksoisrangaistuskielto, jos samasta asiasta tulee ensin hallinnollinen seuraamusmaksu rekisterinpitäjälle ja vielä erikseen tuomio rekisteripitäjän edustajalle, Voutilainen pohtii.
4. Julkinen sektori ei voi ulkoistaa vastuutaan
Vastaamon mainekriisi ja tietomurron synnyttämä taloudellinen isku uhkaa yhtiön tulevaisuutta. Jos yhtiö ei selviydy, tietomurron uhrien mahdollisuudet korvausten hakemiseen ovat vähäiset.
Asiantuntijat kuitenkin muistuttavat, että iso osa Vastaamon asiakkaista on tullut psykoterapeutin vastaanotolle julkisten terveyspalveluiden kautta.
Tästä syystä kuntayhtymä tai sairaanhoitopiiri voidaan myös katsoa vastuulliseksi tietomurron seurauksista.
– Sairaanhoitopiiri tai kuntayhtymä voi olla edelleen juridisessa vastuussa – vaikka se ei kerää tai käsittele tietoa eikä tarjoa terapiapalvelua, Lång sanoo.
Castrén & Snellmanin Warma-Lehtinenkin korostaa rekisterinpitäjien lopullista vastuuta.
– Rekisterinpitäjä kantaa vastuun vaikka valittu kumppani möhlisi. Jos sairaanhoitopiiri on ostanut palveluita, sen vastuulla on valita huolelliset ja luotettavat kumppanit.
Myös tietosuojavaltuutetun toimisto on todennut (siirryt toiseen palveluun), että jatkossa sen arvioitavaksi voivat tulla myös Vastaamolle tehtäviä ulkoistaneiden organisaatioiden toimenpiteet.
5. Yhtiön sisällä riidellään miljoonista
MTV3 kertoi eilen, että Helsingin käräjäoikeus määräsi Vastaamon entisen toimitusjohtajan Ville Tapion ja hänen vanhempiensa omaisuutta väliaikaiseen takavarikkoon lähes 10 miljoonan euron arvosta (siirryt toiseen palveluun).
Takavarikkoa haki Helsingin käräjäoikeudesta Vastaamon nykyinen pääomistaja Intera Partners.
Tämä kertoo siitä, että myös yhtiön sisällä haetaan nyt toden teolla syyllisiä.
Osakeyhtiölain mukaan toimitusjohtaja voi joutua vahingonkorvausvastuuseen johtamalleen yhtiölle, jos hän laiminlyö velvollisuutensa, on huolimaton tai muutoin aiheuttaa vahinkoa. Sama pätee myös hallituksen jäsenten valvontavastuuseen, kuten esimerkiksi Sunny Car Centerin tapaus muistuttaa.
– Yrityksen johdon on korvattava vahinko, jonka hän tehtävissään tahallisesti tai huolimattomuuttaan on aiheuttanut yhtiölle, Itä-Suomen yliopiston Tomi Voutilainen sanoo.
Tämä vastuukysymys sai kierroksia, kun Vastaamo maanantaina irtisanoi Ville Tapion ja väitti tämän pimittäneen tietoa murrosta yli puolentoista vuoden ajan.
Tapio korostaa Facebook-päivityksessään, että hän ei tiennyt vuoden 2018 vuodosta. Sijoittajien mukaan Vastaamossa oli toinen tietovuoto vuonna 2019, siihen entinen toimitusjohtaja ei ottanut kantaa.
Jos pimitysväite pitäisi paikkansa, teko saattaisi ylittää tietosuojarikoksen edellytykset tahallisuudesta tai törkeästä huolimattomuudesta.
Tilanne on herkkä myös siksi, että tuon puolentoista vuoden kuluessa Tapio ja muut yhtiön perustajat ovat myyneet enemmistön yhtiöstään pääomasijoittajalle noin kymmenellä miljoonalla eurolla.
Mikäli uusi pääomistaja Intera Partners löytää todisteita väitteilleen pimityksestä, se hakee aivan varmasti korvauksia.
Asia kulminoitu siihen, mitä kauppakirjassa on sovittu.
Asiantuntijoiden mukaan kyse olisi yksityisoikeudellisesta sopimusriidasta, joka käsiteltäisiin erillään mahdollisista tietosuojarikkomuksista tai rikosprosesseista.
Todennäköisesti asia selvitettäisiin välimieskäsittelyssä. Lopputulos voisi johtaa vahingonkorvauksiin, kauppahinnan alennukseen tai jopa sopimuksen purkuun.
Itä-Suomen yliopiston Tomi Voutilaisen mukaan kauppariita voisi äärimmillään olla myös rikosoikeudellinen kysymys.
– Jos osakkeiden ostaja näkisi, että heitä on tahallaan erehdytetty, siinä saattaisi täyttyä petoksenkin tunnusmerkit, hän sanoo.
Tämä olisi yrityskauppoihin liittyen äärimmäisen poikkeuksellista.
Tietovuodon väitetty pimitys ei kuitenkaan olisi suomalaisessa liike-elämässä täysin ainutlaatuinen tapaus.
Vuonna 2013 it-palveluyhtiö Fujitsun toimitusjohtaja tuomittiin ehdolliseen vankeuteen kahdesta törkeästä petoksesta. Syyttäjän mukaan hän oli pimittänyt tietovuotoa viiden vuoden ajan.
Tuo vuoto ei tapahtunut tietomurron seurauksena, eikä siitä aiheutunut ulkopuolisille kärsimystä.
Korjaus 30.10. Kaksoisrangaistuskiellosta on määräys Euroopan, ei EU:n, ihmisoikeussopimuksessa. Artikkelissa oli aiemmin mainittu virheellisesti viitattu myös EU:n perusoikeuskirjaan.