Käräjäoikeus antoi hiljan Vastaamo-asiassa tietosuojarikosta koskevan tuomion. Tuomio ei ole lainvoimainen. Syyttäjät ja vastaaja ilmoittivat tyytymättömyyttä koko tuomioon ja valituksen määräpäivä oli 19.5.2023. Sen sijaan Vastaamon asiakkailla eli katastrofin varsinaisilla uhreilla ei tässä prosessissa ole sananvaltaa. Vastaamon asiakkaiden asema on herättänyt tietosuojarikosjutussa ihmetystä. Miksi nyt käsitellyssä tietosuojarikosasiassa syyttäjä viesti, ettei se aja mahdollisia potilaiden entiseen toimitusjohtajaan kohdistamia vahingonkorvausvaatimuksia yhdessä syytteen kanssa? Eikö se kuuluisi syyttäjän työhön?
Lain mukaan asianomistajan pyynnöstä syyttäjän on vireille panemansa syyteasian yhteydessä ajettava rikokseen perustuvaa asianomistajan yksityisoikeudellista vaatimusta rikosasian vastaajaa vastaan. Tämä edellyttää että vaatimuksen ajaminen voi tapahtua ilman olennaista haittaa eikä vaatimus ole ilmeisen perusteeton. Oikeudellisesti asiassa oli siis kyse sen harkitsemisesta, voisiko vahingonkorvausvaatimusten ajamisesta aiheutua olennaista haittaa syyttäjän rikosjuttuun keskittyvälle työlle ja olisivatko ne ilmeisen perusteettomia. Tässä tapauksessa asiaa on lisäksi arvioitu siitä näkökulmasta, kuka ylipäätään voisi olla käsitellyn kaltaisen tietosuojarikoksen asianomistaja.
Syyttäjän kohtuuton työmäärä ja viivästymisen riski
Vastaamolla oli kymmeniä tuhansia asiakkaita. On ymmärrettävää, jos syyttäjä ei käytännön syistä halunnut jo nyt 10-päiväiseksi venyneeseen istuntoon tuhansia asianomistajia. Monimutkaisen tietosuojarikoksen osalta syytteen vanhenemisaika tuli myös syksyllä 2022 vastaan. Syyttäjä saattoi pitää riskinä sitä, että asianomistajien vaatimukset olisivat viivästyttäneet prosessia ja tämän vuoksi johtaneet pahimmillaan syyteoikeuden vanhentumiseen.
Laissa tarkoitettua olennaista haittaa, joka oikeuttaa syyttäjän kieltäytymään yksityisoikeudellisen vaatimuksen ajamisesta, on avattu lain esitöissä. Hallituksen esityksen mukaan “olennainen haitta voi olla esimerkiksi se, että yksityisoikeudellisen vaatimuksen ratkaiseminen edellyttää sellaista selvittämistä, että syyteasian ratkaiseminen sen vuoksi viivästyy. […] Momentin nojalla syyttäjä voi kieltäytyä asianomistajan yksityisoikeudellisten vaatimusten ajamisesta myös silloin, kun niiden ajaminen syytteeseen verrattuna veisi kohtuuttoman paljon voimavaroja.” (HE 82/1995 vp. s. 58.)
Tätä on oikeuskirjallisuudessa jäsennetty siten, että olennaista haittaa olisi esim. vaatimuksen ajamisesta aiheutuva käsittelyn pitkittyminen verrattuna siihen, kuinka kauan pelkän syyteasian käsittely kestäisi. Myös syyttäjän työmäärän merkityksellinen lisääntyminen täyttäisi olennaisen haitan kriteerin. Harkintaan vaikuttaa muun ohella se, että syyttäjän on nostettava syyte tietyissä aikarajoissa, joista ei voi joustaa. (Vuorenpää: Asianomistajan oikeudet rikosprosessissa. 2014. s. 126–127).
Keneltä uhrit voivat vaatia korvauksia?
Edellä kuvatut syyt eivät tässä tapauksessa yksin selitä asiaa, vaan myös vaatimusten ilmeisen perusteettomuuden näkökulma nousee esiin. Lain esitöiden mukaan “vaatimus on puolestaan ilmeisen perusteeton silloin, kun syyttäjä pitää selvänä, ettei tuomioistuin tule hyväksymään vaatimusta. Tämä voi johtua esimerkiksi siitä, että asianomistajan vaatimus on täysin kohtuuton, taikka siitä, ettei vahingon syntymisen tai sen määrän tueksi ole ilmeisestikään esitettävissä riittävää näyttöä.” (HE 82/1995 vp. s. 58.)
Äkkiseltään voi vaikuttaa, että vahingonkorvausten vaatiminen henkilötietojen käsittelystä vastanneilta työntekijöiltä tai johdolta olisi perusteltua. Tietovuoto ja sen järkyttävät seuraukset kun ovat ainakin laajasti ottaen osa samaa asiakokonaisuutta, johon myös tietosuojarikos liittyy. Kysymys on kuitenkin tätä monimutkaisempi ja vaatii ymmärrystä oikeusjärjestelmän toiminnasta.
Asianomistajaa ei ole määritelty laissa, vaan tulkinta perustuu oikeustieteessä kehitettyihin oppeihin. Kysymys asianomistajan asemasta on noussut esiin aika ajoin eri tyyppisten rikosten kohdalla. Tässä tietosuojarikostapauksessa poliisi ja syyttäjä katsoivat julkisuudessa esittämiensä kommenttien perusteella, ettei asiassa ollut lainkaan asianomistajia. Näkemystä perusteltiin sillä, että henkilötietojen turvallisessa käsittelyssä tehdyt virheet eivät itsessään aiheuttaneet asiakkaille suoraa ja välitöntä vahinkoa. (Rikosuhripäivystyksen verkkojulkaisu 27.9.2022)
Asianomistajuuteen liittyen on myös huomattava tietosuojarikosta koskevan syytteen teonkuvaus ja tekoaika: 15.03.2019–21.10.2020. Moni on saattanut miettiä, olisiko murto onnistunut, mikäli tietoturva olisi ollut korkeammalla tasolla. Syyte ei kuitenkaan koske tätä. Sen sijaan teonkuvauksessa on tiivistetysti kyse siitä, mihin toimiin toimitusjohtajan olisi pitänyt ryhtyä potilastietojärjestelmän turvallisuuden osalta tultuaan tietoturvaloukkauksesta tietoiseksi. Ulkopuolinen henkilö oli teknisten tutkimusten mukaan jo murtautunut potilastietokantaan ennen tietosuojarikosprosessissa arvioitavana olevan teon alkuhetkeä ja potilaiden tiedot vietiin ilmeisesti jo vuoden 2018 alkupuolella. Näin ollen murrosta seuranneeseen vahinkoon liittyvät vaatimukset eivät olisi menestyneet tässä rikosprosessissa. Tältä osin kokonaisuuteen liittyy niin ikään se, että tietosuojarikos on uusi, vasta vuoden 2018 lopussa voimaan tullut säännös. Säännöksen nojalla ei voi arvioida tekoja, jotka tapahtuivat ennen sen voimaantuloa.
Voiko potilastiedot jättää heitteille?
Kirjoittajan tiedossa ei ole, että asiassa olisi aloitettu siviilioikeudellisia vahingonkorvausoikeudenkäyntejä Vastaamon toimitusjohtajaa tai muita työntekijöitä vastaan asiakkaiden toimesta. Tietosuojan tasoa ja tietomurtoa koskevat syy-yhteys -ketjut (tai niiden puuttuminen) tuskin siis tulevat tuomioistuimen arvioitavaksi. Syy-yhteyden vaatimuksen lisäksi vahingonkorvausvelvollisuuteen liittyy kysymys siitä, mikä itse asiassa olisi korvattavaksi vaadittava vahinko.
Henkilövahinkoasiain neuvottelukunnan suositukset tunnistavat yksityisyyden loukkauksesta johtuvan kärsimyksen korvaamisen. Tietosuojarikosta koskevat esimerkit ovat henkilörekisteririkoksen ajalta. Aineistoon valikoituneet tapaukset edustavat kyseisen tunnusmerkistön perinteistä alaa eli ns. urkintaa, jossa toisten henkilötietoja on katseltu ilman asiallista syytä. Vastaamon vireillä olevassa tietosuojarikosprosessissa ei ole tämän tyyppisestä toiminnasta kyse.
Yleisellä tasolla on hyvä muistaa, että tietyissä tilanteissa merkityksellinen toissijainen syyteoikeus on erillinen oikeudesta vahingonkorvaukseen. Tässä mielessä voidaan pohtia, voisiko tietosuojan laiminlyönti tai “datan heitteillejättö” jo itsessään olla tietynlainen vaarantamisrikos. Tällöin asianomistajina olisivat henkilöt, joiden yksityisyyden teko on vaarantanut. Tällainen päättely voisi mahdollisesti puoltaa sitä, että kyseisillä henkilöillä olisi mahdollisuus vaatia teosta rangaistusta, mikäli syyttäjä ei lähtisi syytettä ajamaan (riippumatta siitä, johtiko tietojen turvaton käsittely lopulta vahinkoon). Vastaamon tietosuojarikosasiassa syyttäjä nosti syytteen toimitusjohtajaa vastaan, joten kysymys toissijaisesta syyteoikeudesta jää teoreettiseksi.
Tietosuojarikos on vain pieni osa kokonaisuutta
Suurinta vahinkoa asiassa ovat kärsineet Vastaamon entiset asiakkaat eli ihmiset, joiden arkaluontoisia tietoja vuosi internettiin ja joita tämän lisäksi vielä kiristettiin mainittuja tietoja hyväksi käyttäen. Tietomurron käsittelyn yhteydessä tullaan näkemään tarkemmin, miten asianomistajuutta ja oikeuksia vahingonkorvauksiin jäsennetään suhteessa tietomurtoon, sitä seuranneeseen tietojen levitykseen ja kiristämiseen. Aihetta on käsitelty tarkemmin mm. Rikosuhripäivystyksen Vastaamon uhreille suuntaamassa ohjeistuksessa. Tässä rikosprosessissa asianomistajilla on mahdollisuus esittää rangaistus- ja vahingonkorvausvaatimuksia sekä pyytää syyttäjää ajamaan esitetty korvausvaatimus. Tämä edellyttää poliisin prosessia varten luoman sähköisen lausumalomakkeen täyttämistä 31.5.2023 mennessä.
Poliisin on uutisoitu saaneen noin 24 000 rikosilmoitusta ja 9800 lausumaa asiassa (MTV -verkkouutiset 25.05.2023). Prosessi on huomattavan suuresta uhrimäärästä johtuen poikkeuksellinen sekä esitutkintaa tekevälle poliisille, syyttäjille että myöhemmin myös asiaa käsittelevälle tuomioistuimelle. Järjestelyt on toteutettava rikosprosessia koskevien lakien ja oikeusperiaatteiden mukaisesti. Järjestelyjä suunniteltaessa olisi tärkeä kiinnittää huomiota myös ns. prosessuaaliseen oikeudenmukaisuuteen.
Tutkimuksesta tiedetään, että itse menettely vaikuttaa huomattavan paljon siihen, kokevatko osalliset prosessin ja sen lopputuloksen oikeudenmukaiseksi (Ks. Kainulainen & Saarikkomäki: Rikosprosessi väkivaltarikosten uhrien näkökulmasta, 2014). Uhrimäärästä johtuen prosessi saa väistämättä massaluonteisen käsittelyn piirteitä. Onkin oma kiinnostava kysymyksensä, miten mm. kuulluksi tulemisen kokemusta voidaan tukea tällaisessa tilanteessa ja voiko hyvä sähköinen asiointi parantaa prosessista uhreille jäävää kokemusta.
Tämän lisäksi tapaus on tavalla tai toisella koskettanut useita muitakin tahoja, jotka ovat käytettävissä olevin oikeudellisin keinoin pyrkineet saamaan oikeutta. Vastaamon tietomurto on poikinut ainakin seuraavat oikeudelliset prosessit:
- Tietomurtoa koskeva rikosprosessi. Poliisi on vanginnut epäillyn tietomurron tekijän. Syyttäjä on keväällä 2023 ilmoittanut palkkaavansa lisähenkilöstöä asian käsittelyyn. Syytteen nostamisen määräpäivä on 18.10.2023. Vastaajana tässä jutussa on epäilty tietomurron tekijä.
- Yrityskauppaa koskeva välimiesmenettely. Sijoitusyhtiö haastoi Vastaamon osakkeita sille myyneet tahot välimiesoikeuteen katsoen, että yrityksen myynnissä tapahtui sopimusrikkomus. Välitystuomio on annettu, mutta se ei ole julkinen. Käräjäoikeuden tuomion perusteella se ei ilmeisesti ole myöskään lainvoimainen.
- Petosta koskeva esitutkinta. Toimitusjohtaja ja joukko työntekijöitä on tutkittavana yrityskauppaan liittyvästä petoksesta. Kyse on siitä, harhauttivatko he ostajaa yrityksen tilan osalta rikollisella tavalla. KRP:n suorittama esitutkinta on kesällä 2023 yhä kesken.
- Vastaamon konkurssia koskeva insolvenssioikeudellinen prosessi. Tähän liittyy erityispiirteenä uhrien Vastaamolle osoittamat vahingonkorvausvaatimukset. Suomen Potilasvahinkoapu Oy on edustanut prosessissa Vastaamolta korvauksia hakevia asiakkaita. Vastaamon konkurssipesän jakoluettelo vahvistettiin 17.2.2023. Uhreille toukokuun lopussa maksettavan ennakkojako-osuuden on uutisoitu olevan 90 euroa (HS 25.5.2023).
Toimitusjohtajan tietosuojarikossyyte. Herkko Hietanen käsitteli blogikirjoituksessaan 5.5.2023 yritysjohdon vastuuta tietosuoja-asioista. Yritysjohdon vastuu asettuu mahdollista henkilökohtaista rikosvastuuta laajempaan kontekstiin, kun sitä peilaa tähän laajaan rikos- ja siviiliprosessien kokonaisuuteen.