Helsingin käräjäoikeus on tuominnut Vastaamon entisen toimitusjohtajan Ville Tapion kolmen kuukauden ehdolliseen vankeusrangaistukseen tietosuojarikoksesta.
Oikeuden mukaan Tapio syyllistyi tietosuojarikokseen, kun hän ei toteuttanut Vastaamossa yleisen tietosuoja-asetuksen vaatimusta käsiteltävien henkilötietojen pseudonymisoinnista ja salauksesta. Muilta osin syyte hylättiin.
Tuomioistuin katsoo, että potilastietokantaan on tallennettu asiakkaiden henkilötietoja ja käyntimerkintöjä selkokielisinä ilman riittävää salausta ja sellaisessa muodossa, että ne ovat olleet yhdistettävissä toisiinsa.
Oikeus pitää tietojen määrän ja niiden korostetun arkaluonteisuuden vuoksi tekoa erityisen moitittavana.
– Kun huomioon lisäksi otetaan pitkä tekoaika, käräjäoikeus katsoo, ettei teko ole sakoilla sovitettavissa, vaan Tapiolle on tuomittava teosta vankeusrangaistus, tuomiolauselmassa mainitaan.
Käräjäoikeuden mukaan rikoksen vakavuus puoltaa sinällään vankeusrangaistuksen määräämistä ehdottomana, mutta asiaa kokonaisuutena harkittuaan käräjäoikeus katsoo, että vankeusrangaistus voidaan määrätä ehdollisena.
Päätöstä perustellaan muun muassa sillä, että Ville Tapiota ei ole aiemmin tuomittu rikoksesta. Lisäksi oikeus toteaa, että asiasta on uutisoitu erittäin laajasti eri tiedotusvälineissä asian eri vaiheissa. Se huomioi myös, että Tapio on kertonut saaneensa tapauksen vuoksi uhkauksia.
– Käräjäoikeus pitää oikeudenmukaisena ja riittävänä seuraamuksena teosta kolmen kuukauden ehdollista vankeusrangaistusta.
Tietosuojarikoksesta voidaan tuomitaan sakkoa tai enintään vuosi vankeutta.
Tuomio ei ole lainvoimainen.
Puolustus valittanee tuomiosta
Käräjäoikeus kumosi syyttäjien vaatimukset suurelta osin.
Syyttäjät olivat vaatineet Tapiolle yhdeksän kuukauden ehdollista vankeusrangaistusta. Heidän mukaansa Tapio toimi tahallisesti tai törkeän huolimattomasti, koska ei huolehtinut riittävästi Vastaamon tietoturvasta, tietosuojasta eikä henkilötietojen käsittelyn turvallisuudesta.
Ville Tapio on kiistänyt syyllistyneensä rikokseen.
Tapio kertoo Ylelle olevansa osittain tyytyväinen käräjäoikeuden ratkaisuun.
– Syyttäjän väitteet on pääosin hylätty. Olen tyytyväinen, että käräjäoikeuden käsittelyssä esille tulivat todelliset syyt, mistä tämä tietovuoto pääsi aiheutumaan, eli ihan oman it-henkilöstön toimesta.
Poliisi epäili myös entisiä it-työntekijöitä tietosuojarikoksesta, mutta syyttäjä ei nostanut syytteitä heitä vastaan.
Ville Tapio aikoo todennäköisesti valittaa saamastaan tuomiosta.
– Tässä on katsottu yksi esimerkinomainen tekninen suojauskeino ja sen puuttuminen perusteeksi tuomiolle, vaikka se ei ole lain edellyttämä ehdoton vaatimus eikä myöskään käsittääkseni kovin yleisesti tunnettu ja käytössä oleva tekninen suojauskäytäntö tämäntyyppisissä palveluissa, Tapio sanoo.
Tapion asianajaja Liina Kokko näkee ratkaisussa olevan ennakkotapauksen aineksia, mikä puoltaa valittamisen todennäköisyyttä.
– Sehän on ollut tiedossa jo alusta asti, että tähän liittyy varsin monimutkaisia tulkinnanvaraisia oikeudellisia kysymyksiä, Kokko lausuu.
Tapio: ”Ymmärrän hyvin sen tuskan”
Yhtiön järjestelmiin oli syntynyt tietoturva-aukko, jonka vuoksi yli 30 000 asiakkaan arkaluonteiset tiedot varastettiin tietomurrossa.
– Tapahtuma on kokonaisuudessaan äärimmäisen ikävä, ja olen todella pahoillani kaikkien uhrien puolesta. Olen itsekin tässä ollut myös uhrin asemassa, kaikissa mahdollisissa rooleissa. Ymmärrän erittäin hyvin sen tuskan, mitä ihmiset tähän liittyen ovat kärsineet, Tapio sanoo.
Tapio kertoo että Vastaamon tietomurto on vaikuttanut hänen henkilökohtaiseen elämäänsä rankalla tavalla.
– Olen itse tätä yritystä kehittänyt sillä ajatuksella, että tämä on elämäni tärkein tehtävä ja suhtautunut siihen äärimmäisen vakavasti ja huolellisesti. Jälkikäteen pystyy varmasti löytämään asioita, joita olisi voinut tehdä toisin.
Puolustuksen mukaan Tapio ei toimitusjohtajana toimiessaan tiennyt, että yrityksen tietoturva oli huono jopa useiden vuosien ajan.
Käräjäoikeudessa hän vieritti vastuuta yhtiön kahden entisen it-työntekijän niskoille.
Syyttäjä harkitsee valittamista
Syyttäjät katsovat, että Tapio pyrki salaamaan maaliskuussa 2019 tapahtuneen Vastaamoon kohdistuneen tietomurron eikä ollut ilmoittanut asiasta Tietosuojavaltuutetun toimistoon ja Valviralle. Lisäksi syyttäjien mielestä Tapio ei ryhtynyt tietomurron jälkeen riittäviin toimiin tietoturvan parantamiseksi.
Käräjäoikeuden mukaan ilmoitusvelvollisuuden laiminlyönti on jo vanhentunut. Lisäksi oikeus katsoo jääneen näyttämättä, että Tapio olisi syyttäjän esittämällä tavalla määrännyt tietoturvaloukkaukseen liittyvän verkkoliikennedatan tuhottavaksi.
Aluesyyttäjä Pasi Vainio sanoo, että syyttäjät pohtivat valituksen jättämistä hovioikeuteen.
– Päätöksessä osa syyttäjän vaatimuksista oli hyväksytty, ja toisaalta taas osa puolustuksen näkemyksistä sinänsä hyväksytty. Tämä on tuomio, jossa on osapuolilla tyytymisen aihetta, mutta osittain myös tyytymättömyyden aihetta.
Vainio muistuttaa, että oikeuskäytäntöä ei ole ollut olemassa ennen Tapion oikeudenkäyntiä.
– Yleisen oikeustajun kannalta tässä tapauksessa voi tuntua asteikko melko vähäiseltä. Toisaalta käräjäoikeus punnitsi tuomiossaan sitä, että teon vakavuusaste voisi puoltaa ehdottoman vankeusrangaistuksen tuomitsemista ensikertalaiselle, Vainio sanoo.
Poikkeuksellista mediajulkisuutta ja seuraamuksia Tapion yksityiselämään syyttäjät eivät oikeudessa lähteneet kiistämään.
Käräjäoikeuden mukaan sakko ei olisi kuitenkaan ollut riittävä seuraamus.
Vastaamon tietomurron tutkinta on yhä kesken. Tietomurrosta ja kiristyksestä epäilty Aleksanteri Kivimäki otettiin kiinni Ranskassa, hänet tuotiin Suomeen ja vangittiin helmikuun lopulla. Kivimäki on kiistänyt rikokset. Hänen kuulustelunsa jatkuvat edelleen.