KKO: Poliisi ei voi hyödyntää arkaluontoisia asiakastietoja Vastaamon rikosjutun tutkinnassa
Kymmenien tuhansien asiakkaiden potilastiedot päätyivät ladattavaksi pimeään verkkoon. Asiakastietoja ei voi kuitenkaan hyödyntää törkeän tietomurron, törkeän kiristyksen ja törkeän yksityiselämää loukkaavan tiedon levittämisen tutkinnassa.
Pyskoterapiakeskus Vastaamoa on pyritty kiristämään, ja sen potilastietoja on vuodettu pimeään verkkoon. KUVA: EMMI KORHONEN / LEHTIKUVA
Mikko Gustafsson HS
6.10. 10:03
KORKEIN oikeus (KKO) on kieltänyt arkaluontoisten asiakastietojen käytön Psykoterapiakeskus Vastaamoon kohdistuneen tietomurron tutkinnan yhteydessä.
Vastaamo joutui myrskyn silmään sen jälkeen, kun julkisuuteen tuli kaksi sen järjestelmiin kohdistunutta tietomurtoa. Hyökkäysten seurauksena alkoi kiristys ja potilastietojen vuotaminen.
Yhteensä kymmeniä tuhansia potilastietoja päätyi ladattavaksi pimeään verkkoon.
TIETOTUMURTO kohdistui Vastaamon tuotantopalvelimeen.
Helsingin käräjäoikeus antoi marraskuussa 2020 keskusrikospoliisille luvan toimittaa erityinen laite-etsintä tuotantopalvelimeen epäiltyjen törkeän tietomurron, törkeän kiristyksen ja törkeän yksityiselämää loukkaavan tiedon levittämisen selvittämiseksi. Oikeus määräsi etsintävaltuutetun varmistamaan, ettei laite-etsinnän yhteydessä takavarikoida aineistoa, jota ei voi hyödyntää tutkinnassa.
MAINOS (TEKSTI JATKUU ALLA)
MAINOS PÄÄTTYY
Sittemmin käräjäoikeus katsoi aineiston sisältävän henkilön terveydentilaa koskevia arkaluonteisia tietoja, joista terveydenhuollon ammattihenkilö ei saa todistaa. Siksi tuota aineistoa ei saanut takavarikoida, tutkia tai hyödyntää.
KORKEIN oikeus päätyi samaan lopputulokseen.
Sen mukaan Vastaamon asiakastiedot sisältävät henkilön terveydentilaa koskevia arkaluonteisia tietoja, joita koskee terveydenhuollon ammattihenkilön todistamiskielto. Siksi aineistoa ei saa rikosasian esitutkinnassa takavarikoida, tutkia tai hyödyntää.
Esitutkinnassa tuotantopalvelimeen suoritettiin erityinen laite-etsintä, jonka yhteydessä yrityksen asiakastietokannasta eriteltiin teknisesti siihen sisältyvien henkilöiden nimet ja yhteystiedot.
Etsintävaltuutettu vastusti tietojen takavarikoimista ja jäljentämistä. Aineisto sinetöitiin, ja sen hyödyntäminen saatettiin tuomioistuimen ratkaistavaksi.
KKO katsoi, että yrityksen asiakastiedoista eritellyt henkilön nimi ja yhteystiedot eivät sellaisenaan ole henkilön terveydentilaa koskevia tietoja. Kyseisessä tapauksessa ne viittaavat kuitenkin hoitosuhteeseen, ja siksi asiakastiedot ovat lähtökohtaisesti laissa tarkoitettuja henkilön terveydentilaa koskevia arkaluonteisia tietoja.
Siksi KKO päätti, että käräjäoikeuden ratkaisua ei muuteta.
MAINOS (TEKSTI JATKUU ALLA)
MAINOS PÄÄTTYY
”Tieto mielenterveyspalveluiden käytöstä kuuluu yksilön yksityisyyden suojan ydinalueelle. Tässä tapauksessa hoitosuhdetta koskevien tietojen paljastuminen ei ollut niin selvästi potilaalle edullista, että tiedot eivät kuuluisi todistamiskiellon piiriin.”
VASTAAMON tietomurtoon liittyy myös yrityskauppaa koskeva tutkinta. Tässä haarassa on kyse siitä, tiedettiinkö yhtiössä sitä myytäessä tietomurtoasiasta.
Yhtiön entistä toimitusjohtajaa
Ville Tapiota epäillään törkeästä petoksesta, ja oikeus
on asettanut takavarikkoon lähes 10 miljoonaa euroa Tapion ja hänen vanhempiensa omaisuutta.
Ville Tapio on kiistänyt väitteen, että hän olisi tiennyt tietomurrosta. Hän on syyttänyt tietoturvaongelmasta ja tietomurron salailusta kahta työntekijää.
Vastaamo asetettiin konkurssiin helmikuussa.