Seuraamuksista

Julkaistu 28.7.2015

Sain kansainvälisiä yhteyksiämme pitkin tietooni seuraavanlaisen oikeustapaustiedotteen; englantilaisen vähittäiskauppaketjun työntekijä kaunaisena siitä, että työkaverit virheellisesti olivat syyttäneet häntä huumeiden välityksestä työpaikalla, vuoti kostoksi nettiin kauppaketjun työntekijöiden palkka-, pankkiyhteys- ja henkilötunnustietoja. Hän myös toimitti sanottuja henkilötietoja useille lehdille. Asioiden oikaiseminen maksoi kauppaketjulle enemmän kuin 2 miljoonaa puntaa. Mainittakoon, että tekijä oli tosiasiassa käyttänyt työpaikan postihuonetta tavaroiden ostamiseen ja myymiseen e-bayssa. Väitteet huumeiden välittämisestä olivat siis perusteettomia.

Tekijä sai teostaan 8 vuoden (!?) vankeusrangaistuksen !

Henkilötietolain vastaisesta toiminnasta voi maassamme seurata enimmillään vuoden vankeusrangaistus, virkarikosasiana se voi olla enimmillään 2 vuotta vankeutta. Toistaiseksi tuomioistuimet ovat tuominneet sakkorangaistuksia.

Rikosoikeudellinen henkilötietojen suojaa parantava järjestelmämme on pikku hiljaa kehittynyt. Verkkorikoksia on täsmennetty, vainoaminen on säädetty rangaistavaksi ja kesän sateiden jälkeen astuu voimaan identiteettivarkauden kriminalisointi. Samoin tietojärjestelmien suojaus, lokitietojen omaehtoinen valvonta ja yleinen tietämys henkilötietojen suojasta lienee myös parantunut. Edelleen on kuitenkin ratkaisematta kysymys siitä, miten vastuu tapauksissa jaetaan organisaation ja työntekijän kesken erityisesti suhteessa vahinkoa kärsineisiin.

Otetaan pohdiskeluihin mukaan toinen tuore tietovuototapaus. Pettämissivustoon kohdistuneen tietomurron jälkeen sen tehneet krakkerit saivat lähinnä kiitosta osakseen. Juuri kenenkään en huomannut verkkokeskusteluissa vaatineen heidän päätään vadille. Vaikka sivuston ylläpitäjä oli antanut rekisteröityneille lupauksen suojata palvelunsa, ei sitä rekisterinpitäjänä juurikaan moitittu.

Henkilötietorikosten osalta on arvioitava paitsi rangaistuksen tasoa myös sitä, kehen seuraamus kohdistetaan ja sitä, mikä olisi uhrien kannalta helpoin tapa "saada oikeutta". Ongelmana näyttää kuitenkin olevan järjestelmässämme oleva valuvika; lainsäädäntömme ei toistaiseksi tue riittävästi rekisterinpitäjän vastuun realisoitumista.

EU:n tietosuoja-asetus tulee osaltaan muuttamaan tilannetta. Tietoturvaloukkauksista ilmoittamisen velvoite koskee siinä rekisterinpitäjää. Krakkausten ilmitulo ei jää vain krakkereiden toimien varaan. Samoin hallinnollisten sanktioiden käyttö kohdistuu rekisterinpitäjäorganisaatioon. Niiden tasosta väännetään kättä käynnistyneissä trilogi -neuvotteluissa. Euroopan parlamentti kun haluaisi tason olevan seitsemän prosenttia liikevaihdosta tai 100 milj. euroa, komission tyytyessä paljon maltillisempaan määrään. Nämä korvaukset eivät mene uhreille, vaan he joutuvat jatkossakin vaatimaan korvauksiaan. Hallinnollisilla sanktioilla on nähty voimakas ennalta ehkäisevä merkitys. Menetetyn maineen palauttaminen tulee rekisterinpitäjille kalliiksi.

Mikä voisi sitten olla paikka ottaa tämä kokonaisuus haltuun tai toisin sanottuna, miksi meiltä puuttuu edelleen yleinen tietoturvalaki? Sitä kun tarvittaisiin muun ohella selkiyttämään myös näiltä osiltaan tilannetta ja parantamaan tietovuotojen uhrien eli tässä yhteydessä erityisesti rekisteröityjen asemaa.