Syyttäjä ilmoitti, että Vastaamon entinen toimitusjohtaja saa syytteen tietosuojarikoksesta. Aikaisemmin epäiltyinä oli kaksi Vastaamon työntekijää. Edustimme Vastaamon tietosuojavastaavana toiminutta työntekijää tutkinnassa. Poliisi tutki asiaa lähes kaksi vuotta. Tutkinta oli erittäin laaja ja sen seuruksena syntyi yli 2000 sivuinen esitutkintamateriaali. Tietosuojavastaavan osalta syyttäjä teki syyttämättäjättämispäätöksen. Toimitusjohtajan osalta syyttäjä päätti nostaa syytteen.
Vastuu tietosuojasta on rekisterinpitäjällä ja näin ollen yrityksen ylimmällä johdolla. Myös tietosuojavastaavalla on joukko tehtäviä ja niistä seuraa vastuuasema. Suomessa on yli 15 000 yritystä ja niissä sadoissa on tietosuojavastaavan tehtävää hoitavia työntekijöitä. Vastaamon tietomurto herätti kysymyksen siitä, miten vastuu jakautuu johdon, tietosuojavastaavan, tietoturvavastaavan ja työntekijöiden välillä. Ensimmäinen artikkeli käsittelee Hallituksen ja toimitusjohtajan vastuuta tietosuojasta. Seuraava osa käsittelee tietosuojavastaavan vastuuta sekä muiden työntekijöiden vastuuta.
Mikä Vastaamossa meni pieleen?
Esitutkintamateriaali antaa kuvan yrityskulttuurista, jossa johdon toiminta jätti paljon toivomisen varaa.
Vastaamon tietojärjestelmässä on vielä lokakuussa 2020 ollut puutteita koskien yleisen tietosuoja-asetuksen vaatimuksia käsiteltävien henkilötietojen pseudonymisoinnista,
salauksesta, käyttöjärjestelmien luottamuksellisuudesta ja eheydestä.
Tietoturvayrityksen jälkikäteen tekemä analyysi
Tietosuojasta on vastannut henkilö, jolla ei ollut pätevyyttä, samoin tietoturvakontrollit ovat olleet yhden henkilön takana.
IT DD -raportti
Esitutkinnan muussa yhteydessä on ilmennyt, että tietoturvaloukkauksesta ei ole tehty yleisessä tietosuoja-asetuksessa säädettyä paikkansa pitävää dokumentointia ja ilmoitusta tietoturvaloukkauksesta
Vastaamon tietoturvasta huolehtiminen olisi edellyttänyt ainakin 5-6 IT -ammattilaisen työpanoksen tai sitten vastaavat resurssit olisi pitänyt hankki ostopalveluina.
Kyberturvallisuuskeskuksen lausunto
Kuulusteluissa ilmeni, ettei resursseihin ja IT:hen oltu juurikaan panostettu rahallisesti, sen sijaan pääpaino oli yrityksen laajenemisessa ja uusien toimipisteiden perustamisessa.
Vastaamon IT oli alimiehitetty. Ongelma oli siinä, ettei Vastaamo ostanut ulkopuolelta palveluita ylläpitoon ja tietoturvatestaukseen.
IT palveluja tuottanut yrittäjä
Vastaamon IT -väellä ei ollut mitenkään riittävä osaamisen taso ilman, että käyttäisivät erillistä asiantuntija-apua. Myös budjetit Vastaamon puolelta ovat olleet aivan liian alhaisia, lähinnä hankittiin ilmaisia työkaluja, mm. virtualisointialusta oli piraattiversio, ilman ostettua lisenssiä.
Palvelinresursseja Vastaamolle vuokranneen yrityksen johtaja
Esitutkinnan perusteella IT -henkilöstölle ei oltu juurikaan tarjottu koulutusta. Konsultaatioapua on jonkin verran ollut tarjolla vuosien varrella, erityisesti GDPR:ään ja tietosuojaan liittyen, mutta esitutkinnan aikana ei selvinnyt, että Vastaamo olisi tukenut IT -henkilöstön osaamisen ylläpitämistä tietotekniseen osaamiseen liittyvillä koulutuksilla, vaan tämä on ollut työntekijöiden oman aktiivisuuden varassa.
Todistajana kuultu juristi X on esitutkinnassa kertonut, että hänen mennessään Vastaamolle oli yrityksen tietosuoja ”metsässä”, koska ei ymmärretty lainsäädäntöä. Samoin hänen ammattitaitoaan ei oikein osattu käyttää ja hänen konsultaatiotaan pyydettiin aina liian myöhään.
Mikä on hallituksen ja toimitusjohtajan vastuu tietosuojasta?
Johdon vastuu tietosuojasta on yleisluonteista. Yrityksen ollessa rekisterinpitäjä, vastuu henkilöityy ylimpään johtoon, toimitusjohtajaan ja hallitukseen. Tietosuoja-asetuksen mukaan johdon tehtävänä on järjestää tietosuojan vaatimat tekniset ja organisatooriset resurssit. Teknisillä resursseilla tarkoitetaan tietoturvallisia tiloja, koulutusresursseja, palvelimia, ohjelmistoja ja ylipäätänsä riittävää budjetointia, jonka tietosuojan menestyksekäs hoitaminen edellyttää. Organisatoorisilla resursseilla tarkoitetaan sopivan henkilökunnan palkkaamista, kouluttamista sekä ohjeistusta, valvomista ja osaamisen kehittämistä. Tietoturvajohtaminen on kaikkea tätä.
Johto voi pahimmillaan joutua henkilökohtaiseen vastuuseen. Vastuu jakautuu taloudelliseen- ja rikosvastuuseen.
- Taloudellisia korvauksia voivat vaatia yrityksen omistajat sekä ne rekisteröidyt, joiden oikeuksia laiminlyönnit ovat loukanneet. Johdon vastuu on kuitenkin toissijaista. Yhtiö vastaa esimerkiksi sakoista, joita tietosuojaviranomaiset voivat määrätä yritykselle ja korvauksista, joita yritys joutuu maksamaan loukatuille.
Johdon rikosvastuu
Lainsäätäjä on huomioinut tietosuojarikoksen rikosoikeudellisen vastuun edellytyksiä. Hallituksen esityksen 38 lukua käsittelevässä kohdassa todetaan hallinnollisten seuraamusmaksujen ja rikosoikeudellisen vastuun suhteesta:
… rikosoikeudellinen vastuu tulisi kyseeseen vain tilanteissa, joissa lainvastainen henkilötietojen käsittely ei olisi asetuksen nojalla hallinnollisten seuraamusmaksujen piirissä.
hallituksen esitys eduskunnalle EU:n yleistä tietosuoja-asetusta täydentäväksi lainsäädännöksi
Tietosuojavaltuutetun toimiston seuraamuskollegio katsoo, että tietosuoja-asetuksen 5 artiklan 1 kohdan f alakohdan, 33 artiklan 1 kohdan ja 34 artiklan 1 kohdan rikkomisesta on huomautuksen lisäksi määrättävä seuraamukseksi hallinnollinen seuraamusmaksu. Seuraamuskollegio määrää tietosuoja-asetuksen 58 artiklan 2 kohdan i alakohdan, 83 artiklan 4 kohdan a alakohdan ja 83 artiklan 5 kohdan a alakohdan nojalla Vastaamon maksamaan valtiolle hallinnollisen seuraamusmaksun, jonka suuruus on 608 000 euroa.
Tietosuojavaltuutetun toimiston 07.12.2021 päivätyssä päätöksessään 1150/161/2021
“Tietosuojarikoksesta tuomitaan myös se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä 1 momentin 1–4 kohdassa tarkoitetussa säädöksessä säädetään henkilötietojen käsittelyn turvallisuudesta.”
Rikoslain 38 luvun 9 Pykälän 2. momentti
Toisen momentin osalta huomionarvoista on se, että se edellyttää toimimista. 2 momentti ei kriminaisoi laiminlyöntiä. Näin ollen rikoslain 3 luvun 3§ mukainen varsinainen laiminlyöntirikos ei tule kyseeseen.
3§ mukainen epävarsinainen laiminlyöntirikos edellyttää, että tekijä on jättänyt estämättä tunnusmerkistön mukaisen seurauksen syntymisen, vaikka hänellä on ollut erityinen asemaan perustuva oikeudellinen velvollisuus estää seurauksen syntyminen.
Varsinaisen ja epävarsinaisen laiminlyöntirikoksen struktuuri poikkeaa toimintarikoksen rakenteesta. Joka on toimimalla toteuttanut rikoksen, on osoittanut mitä selvimmin, että hänellä on ollut sekä tilaisuus että kyky toimia. Laiminlyönnin kohdalla on tutkinnan kohteena, olisiko epäilty voinut toimia vaaditulla tavalla seurauksen ehkäisemiseksi. On huomioitava, että epävarsinainen laiminlyöntirikos edellyttää paitsi asemaa, niin myös kykyä estää seuraus. Dan Frände käyttää esimerkkiä: “Perheen piirissä tulee huolehtia toisista, mistä muun muassa seuraa että isä, joka jättää lapsensa hukkumaan, vaikka olisi kyennyt tämän pelastamaan, tuomitaan taposta.” Tekijällä tulee olla kyky ja tilaisuus havaita riskit. Tämän lisäksi edellytetään, että tekijällä oli kyky ja tilaisuus toteuttaa se, mikä olisi estänyt seurauksen.
Johdon rikosvastuu edellyttää tahallisuutta tai törkeää huolimattomuutta. Hallituksen jäsenet, jotka ovat pyrkineet toimimaan huolellisesti, mutta joilta asioiden oikea tila on pimitetty voivat suojautua rikosvastuulta. Toisaalta hallituksen tulee osoittaa, että se on toiminut huolellisesti. Tällöin esimerkiksi ulkopuolisten ammattilaisten ajoittaiset tarkastukset, koulutus, päivitetty ohjeistus ja hallituksen tehtävään myöntämät riittävät resurssit voivat auttaa. Myös tietosuoja-asioiden kehittäminen, seuraaminen ja valvonta kuuluvat hallituksen toimenkuvaan. Kuten muutkaan tehtävät, eivät hallituksen tehtävä ole operatiivisella tasolla valvoa tietosuojaa. Riittää, että hallitus antaa vastuun ja siihen liittyvät resurssit sekä kerää vastuuhenkilöltä seurantatietoa. Hallituksen on vaikea olla tietoinen tosiasiallisesta päivittäisestä toiminnasta.
Muistilista hallitukselle:
- Määrää johtoryhmästä henkilö, joka vastaa tietosuojan kehittämisestä.
- Pidä huoli, että tehtävän hoitamiseksi on riittävät resurssit.
- Huolehdi, että tehtävää hoidetaan suunnitelmallisesti.
- Jos tilanteen arvioimiseksi ei löydy hallituksesta tai yrityksestä omia resursseja, hanki asiantuntemusta ulkopuolelta. Tietoturvayritykset auttavat teknisen infran tilan selvittämisessä ja kehittämisessä. Juristit auttavat lakisääteisten velvollisuuksien ja prosessien rakentamisessa.
- Vaadi toimintatapojen dokumentoimista ja dokumenttien ajoittaista läpikäymistä.
- Palkkaa tehtävään asiansa osaava henkilö ja pidä huoli, että hän kouluttaa itseään tehtävään myös jatkossa. Huolehdi, että työsopimuksissa on sovittu heidän tehtäväkseen tietosuoja- tai tietoturva-asiat.
- Valmistaudu kriiseihin. Ohjeista ja simuloi miten yritys toimii erilaisten tietoturvapoikkeuksen tullessa ilmi. Simuloi myös pahinta mahdollista tilannetta.
- Haasta kerättävän henkilötiedon tarpeellisuus. Jos yritys ei kerää tietoa, niin sen käsittely ei tuota päänvaivaa.
- Varaa tietosuojan kehittämiseen aikaa ja resursseja. Tietosuoja ei ole projekti vaan prosessi.
- Mieti onko yrityksen mahdollista suojautua lisäksi tietoturvavakuutuksella. Usein vakuutuksen saaminen edellyttää, että yllämainitut kohdat on jo hoidettu. Vakuutusyhtiöt tietävät, että asiansa hyvin hoitaville yrityksille vahingot ovat pienemmät.