Käräjäoikeus antoi hiljan Vastaamo-asiassa tietosuojarikosta koskevan tuomion. Tuomio ei ole lainvoimainen. Syyttäjät ja vastaaja ilmoittivat tyytymättömyyttä koko tuomioon ja valituksen määräpäivä oli 19.5.2023. Sen sijaan Vastaamon asiakkailla eli katastrofin varsinaisilla uhreilla ei tässä prosessissa ole sananvaltaa. Vastaamon asiakkaiden asema on herättänyt tietosuojarikosjutussa ihmetystä. Miksi nyt käsitellyssä tietosuojarikosasiassa syyttäjä viesti, ettei se aja mahdollisia potilaiden entiseen toimitusjohtajaan kohdistamia vahingonkorvausvaatimuksia yhdessä syytteen kanssa? Eikö se kuuluisi syyttäjän työhön?
Lain mukaan asianomistajan pyynnöstä syyttäjän on vireille panemansa syyteasian yhteydessä ajettava rikokseen perustuvaa asianomistajan yksityisoikeudellista vaatimusta rikosasian vastaajaa vastaan. Tämä edellyttää että vaatimuksen ajaminen voi tapahtua ilman olennaista haittaa eikä vaatimus ole ilmeisen perusteeton. Oikeudellisesti asiassa oli siis kyse sen harkitsemisesta, voisiko vahingonkorvausvaatimusten ajamisesta aiheutua olennaista haittaa syyttäjän rikosjuttuun keskittyvälle työlle ja olisivatko ne ilmeisen perusteettomia. Tässä tapauksessa asiaa on lisäksi arvioitu siitä näkökulmasta, kuka ylipäätään voisi olla käsitellyn kaltaisen tietosuojarikoksen asianomistaja.
Syyttäjän kohtuuton työmäärä ja viivästymisen riski
Vastaamolla oli kymmeniä tuhansia asiakkaita. On ymmärrettävää, jos syyttäjä ei käytännön syistä halunnut jo nyt 10-päiväiseksi venyneeseen istuntoon tuhansia asianomistajia. Monimutkaisen tietosuojarikoksen osalta syytteen vanhenemisaika tuli myös syksyllä 2022 vastaan. Syyttäjä saattoi pitää riskinä sitä, että asianomistajien vaatimukset olisivat viivästyttäneet prosessia ja tämän vuoksi johtaneet pahimmillaan syyteoikeuden vanhentumiseen.
Laissa tarkoitettua olennaista haittaa, joka oikeuttaa syyttäjän kieltäytymään yksityisoikeudellisen vaatimuksen ajamisesta, on avattu lain esitöissä. Hallituksen esityksen mukaan “olennainen haitta voi olla esimerkiksi se, että yksityisoikeudellisen vaatimuksen ratkaiseminen edellyttää sellaista selvittämistä, että syyteasian ratkaiseminen sen vuoksi viivästyy. […] Momentin nojalla syyttäjä voi kieltäytyä asianomistajan yksityisoikeudellisten vaatimusten ajamisesta myös silloin, kun niiden ajaminen syytteeseen verrattuna veisi kohtuuttoman paljon voimavaroja.” (HE 82/1995 vp. s. 58.)
Tätä on oikeuskirjallisuudessa jäsennetty siten, että olennaista haittaa olisi esim. vaatimuksen ajamisesta aiheutuva käsittelyn pitkittyminen verrattuna siihen, kuinka kauan pelkän syyteasian käsittely kestäisi. Myös syyttäjän työmäärän merkityksellinen lisääntyminen täyttäisi olennaisen haitan kriteerin. Harkintaan vaikuttaa muun ohella se, että syyttäjän on nostettava syyte tietyissä aikarajoissa, joista ei voi joustaa. (Vuorenpää: Asianomistajan oikeudet rikosprosessissa. 2014. s. 126–127).
Keneltä uhrit voivat vaatia korvauksia?
Edellä kuvatut syyt eivät tässä tapauksessa yksin selitä asiaa, vaan myös vaatimusten ilmeisen perusteettomuuden näkökulma nousee esiin. Lain esitöiden mukaan “vaatimus on puolestaan ilmeisen perusteeton silloin, kun syyttäjä pitää selvänä, ettei tuomioistuin tule hyväksymään vaatimusta. Tämä voi johtua esimerkiksi siitä, että asianomistajan vaatimus on täysin kohtuuton, taikka siitä, ettei vahingon syntymisen tai sen määrän tueksi ole ilmeisestikään esitettävissä riittävää näyttöä.” (HE 82/1995 vp. s. 58.)
Äkkiseltään voi vaikuttaa, että vahingonkorvausten vaatiminen henkilötietojen käsittelystä vastanneilta työntekijöiltä tai johdolta olisi perusteltua. Tietovuoto ja sen järkyttävät seuraukset kun ovat ainakin laajasti ottaen osa samaa asiakokonaisuutta, johon myös tietosuojarikos liittyy. Kysymys on kuitenkin tätä monimutkaisempi ja vaatii ymmärrystä oikeusjärjestelmän toiminnasta.
Asianomistajaa ei ole määritelty laissa, vaan tulkinta perustuu oikeustieteessä kehitettyihin oppeihin. Kysymys asianomistajan asemasta on noussut esiin aika ajoin eri tyyppisten rikosten kohdalla. Tässä tietosuojarikostapauksessa poliisi ja syyttäjä katsoivat julkisuudessa esittämiensä kommenttien perusteella, ettei asiassa ollut lainkaan asianomistajia. Näkemystä perusteltiin sillä, että henkilötietojen turvallisessa käsittelyssä tehdyt virheet eivät itsessään aiheuttaneet asiakkaille suoraa ja välitöntä vahinkoa. (Rikosuhripäivystyksen verkkojulkaisu 27.9.2022)
Asianomistajuuteen liittyen on myös huomattava tietosuojarikosta koskevan syytteen teonkuvaus ja tekoaika: 15.03.2019–21.10.2020. Moni on saattanut miettiä, olisiko murto onnistunut, mikäli tietoturva olisi ollut korkeammalla tasolla. Syyte ei kuitenkaan koske tätä. Sen sijaan teonkuvauksessa on tiivistetysti kyse siitä, mihin toimiin toimitusjohtajan olisi pitänyt ryhtyä potilastietojärjestelmän turvallisuuden osalta tultuaan tietoturvaloukkauksesta tietoiseksi. Ulkopuolinen henkilö oli teknisten tutkimusten mukaan jo murtautunut potilastietokantaan ennen tietosuojarikosprosessissa arvioitavana olevan teon alkuhetkeä ja potilaiden tiedot vietiin ilmeisesti jo vuoden 2018 alkupuolella. Näin ollen murrosta seuranneeseen vahinkoon liittyvät vaatimukset eivät olisi menestyneet tässä rikosprosessissa. Tältä osin kokonaisuuteen liittyy niin ikään se, että tietosuojarikos on uusi, vasta vuoden 2018 lopussa voimaan tullut säännös. Säännöksen nojalla ei voi arvioida tekoja, jotka tapahtuivat ennen sen voimaantuloa.
Voiko potilastiedot jättää heitteille?
Kirjoittajan tiedossa ei ole, että asiassa olisi aloitettu siviilioikeudellisia vahingonkorvausoikeudenkäyntejä Vastaamon toimitusjohtajaa tai muita työntekijöitä vastaan asiakkaiden toimesta. Tietosuojan tasoa ja tietomurtoa koskevat syy-yhteys -ketjut (tai niiden puuttuminen) tuskin siis tulevat tuomioistuimen arvioitavaksi. Syy-yhteyden vaatimuksen lisäksi vahingonkorvausvelvollisuuteen liittyy kysymys siitä, mikä itse asiassa olisi korvattavaksi vaadittava vahinko.
Henkilövahinkoasiain neuvottelukunnan suositukset tunnistavat yksityisyyden loukkauksesta johtuvan kärsimyksen korvaamisen. Tietosuojarikosta koskevat esimerkit ovat henkilörekisteririkoksen ajalta. Aineistoon valikoituneet tapaukset edustavat kyseisen tunnusmerkistön perinteistä alaa eli ns. urkintaa, jossa toisten henkilötietoja on katseltu ilman asiallista syytä. Vastaamon vireillä olevassa tietosuojarikosprosessissa ei ole tämän tyyppisestä toiminnasta kyse.
Yleisellä tasolla on hyvä muistaa, että tietyissä tilanteissa merkityksellinen toissijainen syyteoikeus on erillinen oikeudesta vahingonkorvaukseen. Tässä mielessä voidaan pohtia, voisiko tietosuojan laiminlyönti tai “datan heitteillejättö” jo itsessään olla tietynlainen vaarantamisrikos. Tällöin asianomistajina olisivat henkilöt, joiden yksityisyyden teko on vaarantanut. Tällainen päättely voisi mahdollisesti puoltaa sitä, että kyseisillä henkilöillä olisi mahdollisuus vaatia teosta rangaistusta, mikäli syyttäjä ei lähtisi syytettä ajamaan (riippumatta siitä, johtiko tietojen turvaton käsittely lopulta vahinkoon). Vastaamon tietosuojarikosasiassa syyttäjä nosti syytteen toimitusjohtajaa vastaan, joten kysymys toissijaisesta syyteoikeudesta jää teoreettiseksi.
Tietosuojarikos on vain pieni osa kokonaisuutta
Suurinta vahinkoa asiassa ovat kärsineet Vastaamon entiset asiakkaat eli ihmiset, joiden arkaluontoisia tietoja vuosi internettiin ja joita tämän lisäksi vielä kiristettiin mainittuja tietoja hyväksi käyttäen. Tietomurron käsittelyn yhteydessä tullaan näkemään tarkemmin, miten asianomistajuutta ja oikeuksia vahingonkorvauksiin jäsennetään suhteessa tietomurtoon, sitä seuranneeseen tietojen levitykseen ja kiristämiseen. Aihetta on käsitelty tarkemmin mm. Rikosuhripäivystyksen Vastaamon uhreille suuntaamassa ohjeistuksessa. Tässä rikosprosessissa asianomistajilla on mahdollisuus esittää rangaistus- ja vahingonkorvausvaatimuksia sekä pyytää syyttäjää ajamaan esitetty korvausvaatimus. Tämä edellyttää poliisin prosessia varten luoman sähköisen lausumalomakkeen täyttämistä 31.5.2023 mennessä.
Poliisin on uutisoitu saaneen noin 24 000 rikosilmoitusta ja 9800 lausumaa asiassa (MTV -verkkouutiset 25.05.2023). Prosessi on huomattavan suuresta uhrimäärästä johtuen poikkeuksellinen sekä esitutkintaa tekevälle poliisille, syyttäjille että myöhemmin myös asiaa käsittelevälle tuomioistuimelle. Järjestelyt on toteutettava rikosprosessia koskevien lakien ja oikeusperiaatteiden mukaisesti. Järjestelyjä suunniteltaessa olisi tärkeä kiinnittää huomiota myös ns. prosessuaaliseen oikeudenmukaisuuteen.
Tutkimuksesta tiedetään, että itse menettely vaikuttaa huomattavan paljon siihen, kokevatko osalliset prosessin ja sen lopputuloksen oikeudenmukaiseksi (Ks. Kainulainen & Saarikkomäki: Rikosprosessi väkivaltarikosten uhrien näkökulmasta, 2014). Uhrimäärästä johtuen prosessi saa väistämättä massaluonteisen käsittelyn piirteitä. Onkin oma kiinnostava kysymyksensä, miten mm. kuulluksi tulemisen kokemusta voidaan tukea tällaisessa tilanteessa ja voiko hyvä sähköinen asiointi parantaa prosessista uhreille jäävää kokemusta.
Poikkeuksellinen oikeudenkäynti mahdollisesti pian edessä
18.10.2023 eli määräpäivä varsinaista tietomurto-asiaa koskevan syytteen nostamiselle lähestyy (kyse laajasta kokonaisuudesta rikosepäilyjä). Mahdollinen oikeudenkäynti on luonteeltaan niin poikkeuksellinen, että sen valmistelut on aloitettu hyvissä ajoin. Länsi-Uudenmaan käräjäoikeus on tiedottanut, että “mikäli syyttäjä päättää nostaa syytteen epäiltyä kohtaan, alkaa rikosasian istuntokäsittely marraskuun alussa 2023”.
Mediassa kerrottujen tietojen perusteella tiloja olisi varattu nyt noin 600 asianomistajalle (Yle 11.10.2023). Samassa yhteydessä on kerrottu, että asianomistajien oikeus osallistua oikeudenkäyntiin toteutettaisiin varsinaiseen istuntosaliin otettavalla etäyhteydellä. Kotoa oikeudenkäyntiä ei kuitenkaan voisi seurata, vaan asianomistajille on järjestetty kaksi erillistä tilaa pääkaupunkiseudulta.
Länsi-Uudenmaan käräjäoikeus on avannut sivuilleen erillisen Vastaamo-osion, jolla se jakaa syksyn 2023 aikana tietoa aiheesta. Sekä valmistelut että mahdollisen oikeudenkäynnin läpivieminen tulee analysoida tarkasti läpi jälkikäteen; missä onnistuttiin, mitä olisi voinut tehdä toisin ja miten mm. asiassa tietoturvasta ja viestinnästä saatua kokemusta voisi hyödyntää muissa yhteyksissä.
Blogikirjoitusta päivitetty 12.10.2023 mahdollista oikeudenkäyntiä koskevilla tiedoilla.