Julkisuudessa on tällä hetkellä laajasti esillä Psykoterapiakeskus Vastaamoon kohdistunut tietomurto ja tietomurrosta saaduilla tiedoilla kiristäminen. Tapaus on erittäin valitettava ja avoimia kysymyksiä ja epäselvyyttä on paljon ilmassa. Moneen kysymyksistä on vielä mahdoton vastata, mutta tässä artikkelissa tuodaan esille, mikä on mahdollisesti Vastaamon vastuu tapahtuneesta tietomurrosta.
Asiaa on hyvä lähteä tarkastelemaan EU:n yleisen tietosuoja-asetuksen kautta. GDPR on EU:n yleinen tietosuoja-asetus, joka sääntelee henkilötietojen käsittelyä. Vastaamo on pitänyt asiakkaistaan reksiteriä, joka on ollut henkilötietorekisteri. Tämä tarkoittaa, että Vastaamon on tullut noudattaa GDPR:n edellyttämiä vaatimuksia henkilötietojen hallinnoin ja käsittelyn suhteen.
Mitä sitten GDPR edellyttää? GDPR:llä pyritään varmistamaan henkilötietojen asianmukainen turvallisuus. Turvallisuuden takaamisessa oleellisessa asemassa on se, että vain tarvittavat ja oleelliset henkilötiedot säilytetään ainoastaan niin kauan kuin on tarpeellista. Henkilötietoja käsittelevän ja hallinnoivan toimijan on myös tehtävä riskianalyysi. Riskianalyysillä pyritään kartoittamaan, kuinka vakavasta tilanteesta on kyse, mikäli tiedot joutuvat vääriin käsiin. Lisäksi tulee arvioida tällaisten tietojen vääriin käsiin joutumisen todennäköisyyttä.
Vastaamo on säilyttänyt äärimmäisen arkaluonteisia henkilötietoja laajassa rekisterissä, jossa yksilöistä on pidetty laajaa tietomäärää. Koska Vastaamon henkilötiedot ovat koskeneet arkaluonteisia terveystietoja, edellyttää GDPR tällaisissa tilanteissa henkilötietojen hallinnoijalta ja käsittelijältä tietojen erityistä suojaamista. Myös edellä mainittu riskianalyysi huomioiden, Vastaamon tietoturvan olisi tullut olla huipputasolla. Tapahtunut tietomurto kuitenkin osoittaa, että kaikkia GDPR:n edellyttämiä suojaustoimenpiteitä ei hyvin todennäköisesti noudatettu, sillä rekisterissä olevia tietoja on pystynyt yhdistämään yksilöihin.
GDPR:ssä turvataan vahingonkärsijälle oikeus korvaukseen aiheutuneesta vahingosta, mikäli henkilötietojen hallinnoja taikka käsittelijä rikkoo GDPR:n vaatimuksia. Vaikka edellä todettiin, että Vastaamo ei ole noudattanut kaikkia GDPR:n tietoturvavaatimuksia, ei vielä ole selvää kuitenkaan se, joutuuko Vastaamo vastuuseen tietomurrosta kärsineitä asiakkaitaan kohtaan. Tämä johtuu siitä, että säännökset koskien GDPR:n rikkomista huonon tietosuojan vuoksi on säännelty melko avoimesti ja häilyvästi. Tämä tarjoaa siten mahdollisuuden erilaisille tulkinnoille. Asia voidaan nimittäin nähdä siten, että tietomurron tapahtuminen ja tietojen leviäminen ovat jo itsessään aina GDPR:ää rikkovia tapahtumia ja siten korvaukseen oikeuttavia asioita. Toinen vaihtoehto on se, että henkilötietojen hallinnoijan tai käsittelijän on täytynyt olla huolimaton, jotta GDPR:ää voidaan katsoa rikotun. Tähän saanemme kuitenkin vastauksen vasta tutkinnan edetessä.
Mikäli tutkinnan lopputuloksena on se, että Vastaamon katsotaan rikkoneen GDPR:ää vahingonkorvauksiin velvoittavalla tavalla, turvaa GDPR vahingonkärsijälle korvauksen sekä aineellisista että aineettomista vahingoista. Aineellisia korvaukseen oikeuttavia vahinkoja ovat suojautumistoimenpiteistä aiheutuneet kulut, esimerkiksi vapaaehtoinen luottokielto sekä ansionmenetykset suojaamistoimenpiteiden nopean järjestämisen vuoksi. Myös todellisesti aiheutuneista kuluista, kuten pikavipeistä, on mahdollista saada korvauksia. Aineettomien vahinkojen korvausperusteena voi taas olla esimerkiksi se, että erityisen arkaluontoinen materiaali on päässyt levitykseen.
Tapauksessa on ollut esillä myös se, voidaanko Vastaamon toimitusjohtaja asettaa vastuuseen tapahtuneesta ja mikäli voidaan, millä perusteella. Rikoslain 38 luvun 9 §:n perusteella Vastaamon toimitusjohtaja voidaan asettaa rikosoikeudelliseen vastuuseen, mikäli katsotaan, että hän on toiminut vastoin sitä, mitä edellytetään henkilötietojen käsittelyn turvallisuudesta. Vastuun asettaminen Vastaamon toimitusjohtajalle voi kuitenkin olla haastavaa, sillä toimitusjohtajan menettelyn on tullut olla törkeän huolimatonta, jotta rikosoikeudellinen vastuu voidaan langettaa.
Jos tietosi ovat vaarassa levitä tietomurron seurauksesta taikka olet saanut kiristysviestejä, on tärkeä noudattaa virallisia toimintaohjeita. Näitä on netistä useita, esimerkiksi tietosuojavaltuutetun toimiston nettisivuilta löytyy ohjeet kuinka toimia tällaisessa tilanteessa.
Linkki tietosuojavaltuutetun toimiston ohjeisiin: https://tietosuoja.fi/-/neuvoja-tietovuodon-kohteeksi-joutuneille.
