Psykoterapiakeskus Vastaamolle voi lätkähtää maksettavaksi jättikorvaukset: "Tästä voi tulla Suomen suurin sakkoratkaisu"

Långin mukaan korvausta voivat saada myös tietovuodon uhrien läheiset, jos myös nämä kärsivät vahinkoa. Esimerkiksi jos Vastaamon asiakas on kertonut terapeutille arkaluonteisia tietoja äidistään, myös äiti voi saada vahingonkorvauksia, jos tälle on tullut asiasta kärsimystä.

Uhrit voivat hakea lisäksi myöhemmin vahingonkorvausta, jos henkilötietoja aletaan käyttää väärin kuten vaikka pikavippien ottamiseen.

"Digiympäristössä tiedot voivat olla hamaan loppuun saakka"

Voutilaisen mukaan viime vuosina korvaukset ovat nousseet tapauksissa, joissa arkaluonteista tietoa on käsitelty lainvastaisesti. Minimikorvaus on 300 euroa henkilöä kohden, mutta korvaus voi nousta 1 800 euroon tai sen yli.

– Luulisin, että tässä tapauksessa sovelletaan asteikon korkeampaa päätä. Pitäisin poikkeuksellisena, jos se ei olisi 1 800 euroa tai enemmänkin, Voutilainen sanoo.

Långin mukaan myös muualla Euroopassa trendi on ollut, että korvaukset nousevat.

– Digiympäristössä tiedot voivat olla pahimmillaan hamaan loppuun saakka, niin silloin vahingonkorvausta pitäisi pitää tuntuvampana, hän sanoo.

Långin mukaan aiemmat tapaukset Suomessa liittyvät enemmänkin tietojen urkintaan kuin niiden laajaan leviämiseen verkossa. Esimerkiksi poliiseja kävi luvatta katsomassa entisen ammattihiihtäjä Mika Myllylän tietoja, kun tämä oli kuollut.

Tuomioistuinkäsittely voi olla hankala sekä potilaille että rekisterinpitäjälle

Voutilainen sanoo, että vahingonkorvausasiaa ei välttämättä kannata edes lähteä käsittelemään tuomioistuimessa. Hänen mukaansa rekisterinpitäjien kannattaisi ensisijaisesti vain maksaa vahingonkorvaukset ja rekisterinpitäjien kannattaisi sopia keskenään, miten korvaukset yhteisvastuutapauksessa jaetaan.

Långin mukaan tuomioistuinkäsittelystä voi olla haittaa myös niille, joiden tietoja on vuodettu. Lång sanoo, että vaikka arkaluonteiset tiedot olisivat vuotaneet pimeään verkkoon, ne eivät välttämättä tule niin sanotusti yleiseen tietoisuuteen.

– Jos lähtee kantajaksi oikeudenkäyntiin, tulee tavallaan uudelleen julki, että ne tiedot ovat siellä. Vahingonkorvausta ei voi hakea anonyymina.
Korvausoikeudenkäynti on muutoinkin isotöinen, ja siihen voi liittyä myös taloudellinen riski, Lång sanoo.

Suomessa ei ole mahdollistettu ryhmäkannetta tietosuoja-asioissa, vaikka yksittäisten kanteiden yhdistäminen yhdeksi korvausoikeudenkäynniksi onkin mahdollista toteuttaa.

Lue myös: Asiantuntija kertoo: näin helposti Vastaamon tietomurto olisi ollut estettävissä

Tietosuojaviranomainen on ottanut Vastaamon tapauksen viran puolesta käsittelyyn, ja Vastaamolle voi vahingonkorvausten lisäksi tulla hallinnollinen seuraamusmaksu. Hallinnollinen seuraamusmaksu voi olla jopa 20 miljoonaa euroa tai neljä prosenttia globaalista liikevaihdosta, Lång sanoo.

Seuraamusmaksun määrää seuraamuskollegio, joka koostuu tietosuojavaltuutetusta ja kahdesta apulaistietosuojavaltuutetusta.
Kollegio arvioi sakon määräämisen myötä, onko Vastaamo toiminut väärin.

– Jos tämä on hakkerin tietomurto ja tietoja ei ole suojattu oikein, epäilen, että tästä tulee Suomen suurin sakkoratkaisu, Lång sanoo.

Sakolla on myös pelotevaikutus muille tahoille. Långin mukaan sillä halutaan myös osoittaa, että vaikka tietojen suojaaminen ei ole välttämättä helppoa tai halpaa, se on työtä, joka on pakko tehdä.

– Muuten kriittiset ja hyvin tärkeät tiedot joutuvat vääriin käsiin, Lång sanoo.

Sairaanhoitopiireihin ei voi kohdistaa hallinnollista seuraamusmaksua, koska ne ovat viranomaisia. Asiaa voidaan arvioida tarvittaessa vain rikosvastuun kautta.

Tekijän kiinni saaminen on epävarmaa

Aiemmin tällä viikolla on kerrottu, että Vastaamo on ollut tietomurron kohteena ja ainakin osaa asiakasrekisterin tiedoista on levitetty pimeässä verkossa.

Tietojen levittäminen on yksityiselämää koskevan tiedon laitonta levittämistä eli rikos.

Lång pitää epävarmana sitä, että tekijä saataisiin joskus kiinni.

– Keinot tähän ovat valitettavasti hyvin rajalliset, ellei kiristäjä tee jotain virhettä, jolla hänet tunnistetaan ja saadaan taho kiinni.
Jos tekijä saadaan kiinni, häntä odottaa rikosoikeudellinen vastuu.

Myös Vastaamon henkilökuntaan tai sairaanhoitopiirin henkilökuntaan voi koitua rikosoikeudellisia seuraamuksia.

– Tällainen voi poikkeuksellisesti tulla kyseeseen, jos esimerkiksi Vastaamon johdossa joku on toiminut törkeän huolimattomasti ja laiminlyönyt jonkin oman työtehtävänsä, Lång sanoo.

Voutilaisen mukaan sairaanhoitopiirissä kyse voisi olla virkavelvollisuuden rikkomisesta. Tämä on kuitenkin epätodennäköinen vaihtoehto tällä hetkellä.