Viime päivinä keskustelu Vastaamon tietomurrosta on käynyt kuumana. Tapaus herättää monenlaisia oikeudellisia kysymyksiä vastuusta. Mikä taho on vastuussa, mistä ja millä perustella? Keskityn tässä pohtimaan pelkästään Vastaamoa, enkä tarkastele tietomurron tekijää. En myöskään ota kantaa siihen hankalaan kysymykseen, onko löydettävissä pykälää, jonka perusteella murrettujen tietojen lukemisesta voitaisiin rangaista.
Vastaamo-tapaus ilmentää nykyään varsin yleistä tilannetta, jossa oikeudelliset pulmat eivät rajoitu vain yhden oikeudenalan alueelle. Merkittäviksi nousevat sekä tietosuojasääntely että rikosoikeus.
Tietosuojaoikeudellinen vastuu määräytyy sekä EU:n yleisen tietosuoja-asetuksen että tietosuojalain perusteella. Tietosuoja-asetuksen mukaan rekisterinpitäjälle, joka on laiminlyönyt velvollisuuksiaan, voidaan langettaa hallinnollinen sakko. Tämä rangaistusmuoto ei ole suinkaan yhdentekevä, sillä mahdollinen sakko voi olla suuri. Asetuksen mukaan se voi enimmillään olla jopa 20 miljoonaa euroa tai neljä prosenttia yrityksen edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Esimerkkinä voidaan todeta, että Ranskan tietosuojaviranomaiset langettivat Googlelle 50 miljoonan euron sakon, jonka ranskalainen valitustuomioistuin kesäkuisella päätöksellään piti voimassa.
Vastaamo-tapaus on saanut niin paljon julkisuutta, että siitä tullee ainakin jonkinlainen ennakkotapaus Suomessa.
Asetuksen 83 artiklassa säädetään sakon määräämisestä. Artiklassa riittää tulkittavaa, sillä sakon määräytymisen ehtoja on paljon. Ensimmäinen kohta on kuitenkin valaiseva. Siinä todetaan, että sakon määräämisen tulee kussakin tapauksessa olla ”tehokasta, oikeasuhteista ja varoittavaa”. Asetuksessa on näin pyritty siihen, että sakotuksella olisi ennaltaehkäisevä vaikutus.
Sakon määräämisessä viranomaisten on otettava huomioon lukuisia seikkoja, muun muassa rikkomisen luonne, vakavuus ja kesto sekä kyseisen tietojenkäsittelyn luonne, laajuus tai tarkoitus. Vastaamon tapauksessa merkittäväksi voivat nousta erityisesti kolme 83 artiklaan sisältyvää seikkaa: rekisteröityjen lukumäärä, heille aiheutuneen vahingon suuruus sekä henkilötietoryhmät, joihin rikkominen vaikuttaa.
Vaikuttaa siltä, että rekisteröityjä on varsin paljon, heille on aiheutunut monenlaista vahinkoa ja vuodetut tiedot ovat terveystietoja, eli arkaluonteisia, joiden käsittelyä koskevat tiukemmat vaatimukset. Nämä huomioon ottaen voi olla, että sakko tulee olemaan suurikin.
Mitä velvollisuuksia Vastaamo on sitten voinut laiminlyödä? Se, että tietomurto tapahtui, ei automaattisesti tarkoita sitä, että Vastaamoa voitaisiin pitää tietosuojaoikeudellisessa vastuussa. Vastuuta arvioitaessa asetusta tulee Unionin tuomioistuimen oikeuskäytännön perusteella tulkita holistisesti. Tämä tarkoittaa sitä, että kaikki asetuksessa määritellyt velvollisuudet voivat olla merkittäviä. On tarkasteltava, onko Vastaamo tehnyt sen, mitä siltä voidaan vaatia asetuksen valossa.
Rikosoikeudellista vastuuta pohdittaessa kyseeseen voisi tulla rikoslain 38 luvun 9 §:n tietosuojarikos. Nykymuotoisesta tietosuojarikoksesta säädettiin 1.1.2019. Ajankohdalla voi olla merkitystä riippuen siitä, milloin teon katsotaan tapahtuneen. Tekoajankohdan arvioiminen voi osoittautua hyvinkin hankalaksi, riippuen teon (tai tekojen) luonteesta.
Merkittävin ero rikosoikeudellisen rangaistuksen ja tietosuoja-asetuksessa säädetyn sakon välillä on se, ettei Vastaamoa voida tuomita tietosuojarikoksesta. Rikoslaki ei tunne tietosuojarikoksen kohdalla oikeushenkilön rangaistusvastuuta.
Sen sijaan tietosuoja-asetuksen sakko kohdistuisi nimenomaan Vastaamoon rekisterinpitäjänä. Asetus ei kylläkään kategorisesti estä sitä, että yksityishenkilö saisi sakot. Sakkovastuu on rekisterinpitäjän, joka voi joissakin tapauksissa olla yksittäinen henkilö.
Tietosuojarikoksesta tuomitseminen edellyttää siis sitä, että löytyy joku, jonka teot vastaavat rikoksen tunnusmerkistöä. Lisäksi edellytetään tahallisuutta tai törkeää huolimattomuutta.
Mielenkiintoista on, että tietosuojarikos ja tietosuoja-asetuksen yksityiskohtainen sääntely kietoutuvat yhteen. Tunnusmerkistön täyttymistä arvioitaessa on nimittäin tarkasteltava muun muassa tietosuoja-asetuksen ja tietosuojalain asettamia vaatimuksia.
Rikoslain 38 luvun 9 §:n ensimmäisen momentin perusteella Vastaamon tapauksessa voi olla hankalaa tuomita ketään. Tunnusmerkistö edellyttää, että henkilö hankkii, luovuttaa tai siirtää henkilötietoja väärällä tavalla. Esimerkiksi heikon tietojärjestelmän rakentaminen ei täytä tätä tunnusmerkistöä.
Tietosuojarikoksesta voidaan kuitenkin pykälän toisen momentin perusteella tuomita se, joka tahallaan tai törkeästä huolimattomuudesta toimii vastoin sitä, mitä tietosuojasääntelyssä säädetään henkilötietojen käsittelyn turvallisuudesta. Tämä tunnusmerkistö on hyvin laaja ja tulkinnalle avoin, mutta se saattaisi soveltua tilanteeseen paremmin.
Vastaamo-tapausta pohdittaessa vaikuttaa siltä, että tämän tyyppisissä tilanteissa tietosuoja-asetuksen hallinnollinen sakko on ensisijainen rangaistusmuoto. Rikosoikeudellinen vastuu täydentää sitä. Tätä mieltä oltiin myös hallituksen esityksessä kun tietosuojarikoksesta säädettiin (HE 9/2018, s. 128).
Tietosuoja-asetuksen tullessa voimaan oli paljon puhetta siitä, että asetus menee liian pitkälle. Sakkoartiklaa kritisoitiin, kuten monia muitakin asetuksen kohtia. Vastaamo-tapaus tulee ehkä näyttämään, ettei tietosuojasääntely ole turhaa, eikä sen tarkoitus ole aiheuttaa yrityksille pelkkää harmia.
Uhrien ja työntekijöiden kärsimyksen ohella Vastaamon maine saanee kovan kolauksen. Tapaus osoittaakin, ettei tietosuojasääntelyä tule nähdä puhtaasti yksilöiden suojana, vaan sillä saavutetaan myös yleisempiä etuja. Sen noudattamisesta hyötyvät myös rekisterinpitäjät itse.
Susanna Lindroos-Hovinheimo
julkisoikeuden professori
Helsingin yliopisto
Perustuslakiblogi 
Mikä on hallinnollinen sakko, jota rikosoikeudellinen vastuu täydentää? Siis rangaistus kahdesti. Kirjoitus on muuten sisällötön ja epävarma, mitä osoittavat lukuisat voida- ja saattaa- verbit.