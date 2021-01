Vastaamon asettaminen selvitystilaan ei estä mahdollisuutta määrätä yhtiölle sakko EU:n tietoturva-asetuksen rikkomisesta. Niin sanottu GDPR-sakko voi olla erittäin tuntuva, jopa kymmeniä miljoonia euroja.

Tietomurron uhreilla on useita mahdollisia väyliä saada korvauksia, mutta tässä vaiheessa on ennenaikaista sanoa asiasta mitään varmaa.

Vastaamon vaikeudet johtuvat yhtiön potilastietokannan varastamisesta ja siihen liittyvästä poikkeuksellisen laajasta kiristysvyyhdistä.

Yhtiön asettaminen selvitystilaan kertoo todennäköisesti siitä, että yhtiön asiakasvirta on ehtynyt kriittisesti. Tästä on jo saatu merkkejä muun muassa, kun Kela ilmoitti purkavansa sopimuksiaan Vastaamon kanssa. Myös esimerkiksi Pirkanmaan sairaanhoitopiiri on ilmoittanut, että se ei toistaiseksi lähetä uusia potilaita Vastaamoon.

Yhtiöön mahdollisesti kohdistuvat vahingonkorvausvaatimukset eivät julkisoikeuden professorin mielestä voi olla selvitystilaan hakeutumisen syy.

– Ne eivät ole vielä muuttuneet velaksi, sanoo julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta.

Vastaamoa uhkaa konkurssi

Yhtiön asetti selvitystilaan Psykoterapiakeskus Vastaamo Oy:n yhtiökokous. Selvitystilamenettely on tarkoitettu osakeyhtiön purkamiseen.

Vastaamo tiedotti asiasta perjantaina ja mainitsi syyksi suuret kertaluontoiset kulut sekä tietomurron aiheuttaman epävarmuuden. Yhtiön mukaan sen taloudelliset toimintaedellytykset ovat vaarantuneet.

Selvitystilamenettelyn tarkoitus on selvittää yhtiön varallisuus ja muun muassa muuttaa omaisuutta tarpeellisissa määrin varallisuudeksi. Tällä on tarkoitus maksaa velat ja tilittää ylijäämä osakkeenomistajille.

On kuitenkin mahdollista, että tuloksena on konkurssi. Tiedotteessaan Vastaamo itsekin väläyttää tätä: ”Mikäli selvityksen tuloksena yhtiön velat ovat suuremmat kuin varat, yhtiö joudutaan hakemaan konkurssiin.”

Vahingonkorvauksiin selvyyttä myöhemmin

Voutilaisen mukaan on ennenaikaista tarkasti arvioida vahingonkorvauksia ennen kuin tietosuojavaltuutettu on ottanut kantaa mahdolliseen tietosuoja-asetuksen rikkomiseen. Voutilainen viittaa siihen, että jos tietosuoja-asetusta on rikottu, tietovuodon uhrit voivat mahdollisesti saada korvauksia tietosuoja-asetuksen perusteella rekisterinpitäjältä. Rekisterinpitäjä on Vastaamo oikeushenkilönä.

Voutilaisen mukaan osa uhreista voi saada vahingonkorvauksia myös muualta. Vastaamo on tuottanut palvelua esimerkiksi sairaanhoitopiireille. Tällöin sairaanhoitopiiri voi olla vahingonkorvausvastuussa tietosuoja-asetuksen perusteella.

Voutilaisen mukaan on epäselvää, voisivatko asianomistajat (Vastaamon asiakkaana olleet tietovuodon uhrit) saada korvauksia rikosperusteisesti, jos jonkun Vastaamossa katsotaan syyllistyneen tietosuojarikokseen esimerkiksi tietoturvapuutteiden takia.

Tietomurron tekijän tai tietojen levittäjien jääminen kiinni on mahdollista. Sen sijaan voidaan pitää epätodennäköisenä, että heiltä saataisiin koskaan kuin murto-osa vaadituista korvauksista.

Sinänsä rikoksentekijä on kyllä vahingonkorvausvastuussa esimerkiksi aiheuttamastaan kärsimyksestä.

Tietosuojavaltuutetun selvitys käynnissä

Vastaamon selvitystila ei poista yrityksen yllä häämöttävän GDPR-sakon uhkaa. Esimerkiksi yrityksen liiketoimintaa jatkava uusi omistaja saattaa joutua maksamaan edeltäjänsä virheistä.

Tietosuojavaltuutetun toimisto selvittää parhaillaan, onko Vastaamo rikkonut tietosuoja-asetusta. Päätöstä odotetaan kesään mennessä.

Jos rikkomus todetaan, Vastaamolle voidaan määrätä tietosuojaloukkauksesta seuraamusmaksu, joka on enimmillään 20 miljoonaa euroa tai neljä prosenttia yrityksen vuoden 2020 liikevaihdosta. Apulaistietosuojavaltuutettu Jari Råman kuitenkin kertoo, että maksimisakko olisi hyvin poikkeuksellinen ratkaisu.

– Siinä otetaan huomioon monia tekijöitä, kuten yrityksen sen hetkinen maksukyky. Ei ole tarkoitus sakottaa organisaatiota hengiltä, Råman sanoo.

Råmanin mukaan maailmalla on ollut yksittäisiä yrityksiä, jotka ovat ajautuneet konkurssiin tietoturvaloukkauksen vuoksi.

Myös poliisi tutkii, ovatko Vastaamon vastuuhenkilöt syyllistyneet tietosuojarikokseen. Kummankaan prosessin lopputulosta ei voi tässä vaiheessa ennakoida, mutta ratkaisut vaikuttavat toisiinsa. Samasta teosta ei voi saada sekä rangaistusta tuomioistuimessa että tietosuoja-asetuksen mukaista sakkoa.

Råman kuitenkin kertoo, että vaikka Vastaamon entiset vastuuhenkilöt saisivat tuomion tietosuojarikoksesta, se ei vapauttaisi uusia omistajia rekisterinpitäjän edustajina mahdollisesta GDPR-seuraamusmaksusta.

– Se riippuu paljon siitä, miten yrityskauppa tai muu liiketoiminnan jatkaminen tehdään.

Råmanin mukaan joku voi esimerkiksi ostaa konkurssin jälkeen liiketoiminnasta pienen palan, joka ei ole ollut tietosuojaloukkauksen kohteensa. Hänen mukaansa tällaisessa tilanteessa velvoitteet yleensä lakkaavat.

