Oikeusoppineiden mukaan tietojen levittäminen esimerkiksi sosiaalisessa mediassa on rikos.

Psykoterapiakeskus Vastaamon tietomurrossa on vuotanut jopa tuhansien ihmisten arkaluontoisia tietoja verkkoon. Samalla sosiaalisessa mediassa on levinnyt kampanja, jossa ihmiset vakuuttavat, että he eivät avaa tai lue tietoja.

Onko tietojen lukeminen ainoastaan moraalisesti väärin vai liittyykö siihen myös mahdollinen rikos?

Tietojen sivullinen lukija voi mahdollisesti syyllistyä tietosuojarikokseen. Julkisoikeuden professori Tomi Voutilaisen mukaan laki ei kuitenkaan annata yksiselitteistä vastausta siihen, että onko Vastaamon asiakkaiden arkaluonteisten tietojen lukeminen rikos.

Vaikka valtaosa tietosuojarikoksen tunnusmerkeistä täyttyy, rikoksen tulkinnassa on epävarmuutta.

Voutilaisen mukaan tietosuojarikoksen kolme tunnusmerkkiä voivat täyttyä arkaluonteisia tietoja lukiessa. Nämä tunnusmerkit ovat tietojen lukeminen niiden käyttötarkoituksen vastaisesti, tietojen lukeminen törkeän huolimattomasti tai tahallaan sekä se, että lukeminen loukkaa yksityisyyden suojaa.

Voutilaisen mukaan lain heikko kohta liittyy lukijan käyttötarkoitukseen.

”Kun sivullinen henkilö käy lukemassa verkosta toisen henkilöiden arkaluontoisia tietoja, pitäisi selvittää se, onko hänellä tietoihin yksityinen tai henkilökohtainen käyttötarkoitus”, Itä-Suomen yliopistossa työskentelevä Voutilainen sanoo.

Henkilökohtainen käyttötarkoitus voi liittyä esimerkiksi jonkun oman asian eteenpäin viemiseen. Jos lukeminen liittyy yksityiseen tai henkilökohtaiseen tarkoitukseen, toiminta ei kuulu tietosuojalain piiriin, joten se ei ole tietosuojarikos.

”Tulkinta laille saadaan aikanaan oikeuskäytännön kautta”, Voutilainen sanoo.

Tietosuojalainsäädäntöä uudistettiin pari vuotta sitten, ja uusi laki astui voimaan viime vuoden alussa. Rikoslakiin kirjatun tietosuojarikoksen aiempi nimi oli henkilörekisteririkos.

”Henkilörekisteririkoksen epämääräiset säännökset aiheuttivat tulkinnanvaraisuuksia tuomioistuimissa. Oikeusministeriöllä oli mahdollisuus selkeyttää lainsäädäntöä, mutta mahdollisuus jätettiin käyttämättä. Tietosuojarikos on yhtä hötöllä pohjalla kuin henkilörekisteririkos”, Voutilainen moittii.

Voutilaisen mukaan mukaan tietomurron uhrit voivat vaatia mahdollisesti Vastaamolta vahingonkorvauksia. Poliisi on kertonut, että se selvittää myös Vastaamon toimia. Maanantaina uutisoitiin, että Vastaamon toimitusjohtaja Ville Tapio sai tietää tietomurrosta mahdollisesti jo maaliskuussa 2019 ja pimitti tietoja yli puolentoista vuoden ajan. Yhtiön hallitus irtisanoi hänet maanantaina.

Vahingonkorvauksia voi vaatia, jos Vastaamon henkilökunnan jäsen tuomitaan tapauksen yhteydessä tietosuojarikoksesta.

Rikoslaissa on säädetty, että se, joka rikkoo henkilötietojen suojaamista koskevia säädöksiä, syyllistyy tietosuojarikokseen.

Säännökset ovat kuitenkin epäselvät.

”Ongelma on se, että tietosuoja-asetuksessa ei kerrota, miten suojaaminen tulee tehdä vaan siinä puhutaan muun muassa riskiperusteisesta arviosta. Yksi voi siis katsoa, että tietyt toimet ovat riittäviä, kun toinen katsoo, että ne ovat riittämättömiä. Aika heikolta pohjalta lähdetään selvittämään rikosvastuuta”, Voutilainen sanoo.

Tietosuojavaltuutetun toimiston seuraamuskollegio voi määrätä yritykselle seuraamusmaksun tietosuojalainsäädännön rikkomisesta. Maksun suuruus voi olla neljä prosenttia yrityksen liikevaihdosta tai enimmillään 20 miljoonaa euroa.

Rikosoikeuden professorien mukaan tietojen pelkkä lukeminen ei ole rikoslain mukainen rikos.

”Tietojen lukeminen on ehdottomasti moraalisesti moitittavaa, ja minun neuvoni on, että jos arkaluonteisia tietoa tulee sähköpostiin tai somessa vastaan, ne kannattaa hävittää välittömästi. Rikosoikeudellisesti tietojen lukija ei kuitenkaan syyllisty rikokseen”, rikos- ja prosessioikeuden Matti Tolvanen Itä-Suomen yliopistosta sanoo.

Samoilla linjoilla on myös rikosoikeuden professori Kimmo Nuotio Helsingin yliopistosta.

”Jos kyse on täysin sivullisesta, joka lukee näitä tietoja, se ei nähdäkseni olisi rikoslain nojalla rangaistavaa, eikä mahdollisesti tietosuojalainsäädännönkään”, Nuotio kertoo.

Nuotio korostaa, että tietojen levittäminen on rikoslakirikos. Silloin rikosnimikkeenä on yksityiselämää loukkaavan tiedon levittäminen, josta voidaan tuomita sakkoja tai enintään kaksi vuotta vankeutta.

Matti Tolvanen kertoo, että levittämisrikosta arvioidessa katsotaan sitä, miten laajalle tieto on levinnyt. Tietojen näyttämistä tuttaville ei lasketa rikokseksi, sillä loukkaavan tiedon levittäminen on rikos, jos tieto saatetaan julkisuuteen.

”Tietojen näyttäminen yhdelle henkilölle ei täytä rikoksen tunnusmerkkejä, mutta oikeuskäytännössä on katsottu, että parille kymmenelle hengelle tiedon levittäminen esimerkiksi sosiaalisessa mediassa on jo rikos. Tiedon levittäjä voi myös syyllistyä tietyin edellytyksin kunnianloukkaukseen”, Tolvanen arvioi.

Verkossa on julkaistu palvelu, josta Vastaamon asiakkaat voivat katsoa sähköpostin avulla, ovatko heidän tietonsa vuotaneet jo verkkoon. Lainoppineet pitävät palvelua arveluttavana, sillä verkkosivuston tekijä on luonut oman henkilörekisterin potilaista.

”Nyt tietosuojavaltuutettu joutuu selvittämään, onko kyseessä laiton henkilörekisteri”, Tomi Voutilainen sanoo.

HS on nähnyt tietomurrossa vuodetun listauksen, jossa oli noin 300 ihmisen nimitietoja ja heihin liitettyjä tiedostoja. HS ei ole avannut listan takaa avautuvia tietoja. HS:n päätoimittajat Kaius Niemi, Anu Ubaud ja Antero Mukka puolestaan vetoavat yhteiskirjoituksessaan, ettei kiristäjille tule antaa periksi.

”Vetoamme tässä meihin kaikkiin, jotta kukaan meistä ei katso, levitä tai kommentoi rikollisesti hankittua, vahvasti yksityisyyden suojan alaista sisältöä”, päätoimittajat kirjoittavat.