Vastaamon tietomurron uhrit voivat jäädä pahimmillaan ilman vahingonkorvauksia. Rikos- ja prosessioikeuden professori Matti Tolvanen Itä-Suomen yliopistosta sanoo, paras ratkaisu olisi korvauksista sopiminen yhtiön ja uhrien välillä.
Vastaamon tietomurtotapauksessa on ihmetyttänyt muun muassa se, miksi yhtiöltä kesti niin pitkään tiedottaa asiakkailleen, että nämä ovat joutuneet tietomurron uhreiksi. Osaltaan sitä selittää poliisin yhtiölle määräämä ilmaisukielto, joka on sittemmin purettu.
Professori Matti Tolvasen mukaan viiveestä saattaa tulla vielä jälkiseuraamuksia.
– Esimerkiksi jos käy ilmi, että vuodettuja tietoja on käytetty jonkun vahingoksi esimerkiksi ottamalla pikavippejä tai ostamalla luotolla tavaraa. Jos ihminen olisi ollut tietoinen teosta, olisi hän voinut ehkäistä tietojen väärinkäyttöä.
Vastaamon tapauksessa on pohdittu myös ryhmäkanteen mahdollisuutta. Kilpailu- ja kuluttajavirasto on kuitenkin todennut, että kyse on tietosuojaloukkauksesta, eikä ryhmäkanne sovellu tällaiseen tapaukseen.
Vastaamon palveluja ovat ostaneet myös useat sairaanhoitopiirit ja Kela. Voiko osaa vastuusta sälyttää niille?
– Lähtökohta on, että palvelujen ostajat ovat voineet luottaa yrityksen toimivan tietosuoja-asetuksen mukaisesti. Vastuun ulottaminen palvelujen tilaajiin ja ostajiin ei käsittääkseni tule kyseeseen. Tässä tapauksessa edes Vastaamon hallitus ei ollut tietoinen tietosuojaongelmista, joten ei sitä voi edellyttää muiltakaan, Tolvanen sanoo.
Suuri seuraamusmaksu ja vahingonkorvaukset kilpailevat
Vastaamo voi joutua maksamaan tietosuoja-asetuksen rikkomisesta niin suuret seuraamusmaksut, että koko yhtiö on vaarassa kaatua. Silloin uhrit voisivat jäädä kokonaan ilman korvauksia.