Viime päivinä on laajalti uutisoitu Psykoterapiakeskus Vastaamoon kohdistuneesta tietomurrosta. Tästä johtunut tietovuoto on käsillä olevan tiedon valossa erittäin laaja, koskien useiden tuhansien yksityishenkilöiden arkaluontoisia tietoja.
Kiristyksen kohteeksi ovat joutuneet Vastaamon lisäksi myös sen palveluita käyttäneet yksityishenkilöt. Mittakaava ja tekijöiden röyhkeys tekevät tapauksesta poikkeuksellisen. Tässä tarjoammekin tietomurron uhreille oikeuskeinoja koskevat alustavat toimintaohjeet.
KIRISTYSKIRJEISTÄ
Kiristäjille ei tule vastata, saati suorittaa heidän vaatimiaan summia. Kiristäjien vaatimuksista tulee tehdä rikosilmoitus, ja kaikki heiltä saapuneet viestit on syytä tallentaa alkanutta esitutkintaa ja mahdollista rikosoikeudenkäyntiä varten.
MUUTAMA SANA RIKOKSISTA
Esitutkinnassa rikosnimikkeet näyttävät olevan törkeä tietomurto, törkeä kiristys ja törkeä yksityiselämää loukkaavan tiedon levittäminen. Nämä voivat kuitenkin muuttua tutkinnan edetessä.
Törkeä tietomurto
Tietomurrosta tuomitaan se, joka turvajärjestelyn murtamalla oikeudettomasti tunkeutuu tietojärjestelmään, jossa käsitellään, varastoidaan tai siirretään tietoja tai dataa sähköisesti. Mediatietojen perusteella näyttää siltä, että tietomurrolla on yhteys järjestäytyneeseen rikollisuuteen ja että se on toteutettu erityisen suunnitelmallisesti, mitkä seikkoina kvalifioivat teon törkeäksi tietomurroksi. Tästä voi seurata tekijälle enintään kolmen vuoden vankeusrangaistus.
Törkeä kiristys
Kun pakottaa toisen luopumaan sellaisesta taloudellisesta edusta, johon ei ole laillista oikeutta, syyllistyy kiristykseen. Tässä tapauksessa muun muassa tekijöiden häikäilemätön tapa käyttää hyödyksi uhrien erityistä heikkoutta ja turvattomuutta sekä tavoitellun taloudellisen edun määrä puhuvat törkeän tekomuodon puolesta. Törkeästä kiristyksestä voidaan tuomiota enintään neljän vuoden vankeusrangaistus.
Sekä uhrit, eli psykoterapiakeskuksen palveluiden käyttäjät, että Vastaamo eivät voi estää heidän yksityisten ja arkaluontoisten potilaskertomustensa vuotamista yleisön saataville. Kiristäjien toiminta kun on tunnetusti häikäilemätöntä.
Törkeä yksityiselämää loukkaavan tiedon levittäminen
Tapaukseen liittyy myös yksityiselämää loukkaavan tiedon levittäminen. Tämän hetken tiedon mukaan tähän olisi syyllistytty ainakin Tor-verkossa.
Tästä on kyse, kun joku oikeudettomasti levittää lukuisten ihmisten saataville toisen yksityiselämästä tiedon tavalla, joka on omiaan aiheuttamaan vahinkoa tai kärsimystä loukatulle. Myös tästä voi seurata vankeustuomio.
Kärsimyksen suurudella viitataan sen intensiteettiin ja voimakkuuteen. Tämä korostuu silloin, kun kyse on potilaskertomuksista ja uhri on helposti tunnistettavissa.
Kokonaisarviossa huomioidaan paitsi ilmaisun laatu ja sisältö, myös se, kuinka laajalti tieto leviää sekä tekijän motiiviin liittyvät seikat. Myös teon kohdistuminen lapseen vaikuttaa ankaroittavasti kokonaisarvosteluun. Arkaluontoisen ja ilmeisen tunnistettavan tiedon levittäminen kiristystarkoituksessa puoltaakin rikoksen törkeää tekomuotoa.
Uhri on oikeutettu korvaukseen yksityiselämää loukkaavan tiedon levittämisestä aiheutetusta kärsimyksestä.
KUINKA TÄSTÄ ETEENPÄIN?
Poliisi tutkii tapausta kaikin käytössään olevin resurssein. Vielä on vaikea sanoa, onnistutaanko tekijä saamaan kiinni. Mikäli esitutkinnassa onnistutaan ja syyte nostetaan, on tiedossa varsin suuri rikosoikeudenkäynti. Uhrit voivat asianomistajina yhtyä syyttäjän rangaistusvaatimukseen sekä esittää rikokseen liittyviä itsenäisiä vaatimuksiaan.
Asianomistajan kannalta olennaista ovat hänen yksityisoikeudelliset vaateensa. Ja näiden vaatimusten esittäminen ajankohtaistuu myöhemmin prosessin edetessä.
Tietosuojasääntelyyn perustuva vahingonkorvaus
Arvioitavaksi tulee myös rekisterinpitäjän vahingonkorvausvelvollisuus, mikäli sen toiminnassa havaitaan tietosuojasääntöjen vastaista menettelyä. Tästä saadaan kuitenkin selvyys vasta, kun tietomurtotapauksesta – ja rekisterinpitäjän menettelystä – tiedetään enemmän. Myöhemmin tullee ajankohtaiseksi tältä osin siviilikanne, jossa uhrit voivat vaatia korvauksia Vastaamolta.
Euroopan unionin tietosuoja-asetuksen mukaan henkilöillä, joille aiheutuu aineellista tai aineetonta vahinkoa asetuksen rikkomisesta, on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvausta aiheutuneesta vahingosta. Vain tietyissä, hyvin poikkeuksellisissa tilanteissa voi rekisterinpitäjä välttää korvausvastuun rikottuaan tietosuoja-asetusta.
Lainvastaisesta henkilötietojen käsittelystä syntynyt vahinko jaotellaan taloudellisiin vahinkoihin ja muuhun kärsimykseen. Kärsimyksestä johtuvan korvaussumman suuruuteen vaikuttaa muun ohella loukkauksen laatu (esimerkiksi tiedon arkaluontoisuus), loukatun asema ja loukkauksen julkisuus.
VAROITUKSEN SANA UTELIAILLE
Tekijä on ilmoittanut julkaisevansa potilaskertomuksia Tor-verkkoon, ja on hyvin mahdollista, että ne leviävät sieltä muuallekin.
Sanotun laittoman sisällön avaaminen urkintatarkoituksessa on kriminalisoitu, joten jos tällainen aineisto on saatavillasi, jätä tiedosto avaamatta. Myös tiedon levittäminen, esimerkiksi internetin keskustelupalstoille, johtaa rikosvastuuseen, josta voi seurata jopa vankeusrangaistus.
Lisätietoja antaa:
Varatuomari Matti Sankamo
Puhelin 044 019 5577
Sähköposti: matti.sankamo@almgren-sankamo.fi
