Hovioikeus hylkäsi Vastaamo Oy:n entisen
toimitusjohtajan tietosuojarikossyytteen (R 23/1330)

Helsingin hovioikeus on tänään antanut tuomion tietosuojarikosta koskevassa asiassa.

Helsingin käräjäoikeus oli 18.4.2023 antamallaan tuomiolla tuominnut Psykoterapiakeskus Vastaamo Oy:n entisen toimitusjohtajan tietosuojarikoksesta kolmen kuukauden ehdolliseen vankeusrangaistukseen.

Hovioikeus hylkäsi syytteen ja siihen perustuvat vaatimukset kokonaan.

Hovioikeus katsoi, että yleisen tietosuoja-asetuksen 33 artiklan mukainen ilmoitusvelvollisuuden laiminlyönti ei ollut sellainen tekotapa, jonka voitaisiin katsoa toteuttavan rikoslaissa säädetyn tietosuojarikoksen tunnusmerkistön.

Hovioikeus hyväksyi käräjäoikeuden perustelut ja johtopäätökset niiltä osin kuin käräjäoikeus oli arvioinut Vastaamo Oy:n Valviralle antamaa ilmoitusta väärän todistuksen antamisena viranomaiselle ja sitä koskevan syyteoikeuden vanhentumista, sekä tekemillään lisäyksillä siltä osin kuin käräjäoikeus oli hylännyt syytteen koskien toimitusjohtajan väitettyä menettelyä määrätä tietoturvaloukkaukseen liittynyt verkkoliikennedata tuhottavaksi. Potilastietojärjestelmän turvallisuuteen liittyen hovioikeus toisin kuin käräjäoikeus hylkäsi syytteen henkilötietojen pseudonymisointiin ja salaukseen liittyvien teknisten toimenpiteiden toteuttamatta jättämiseen perustuvilta osin. Hovioikeus katsoi, että yleisen tietosuoja-asetuksen 32 artiklan kohdan 1 alakohdan a luettelo oli esimerkinomainen, eikä myöskään terveydenhuollon erityislainsäädäntö syytteenalaisena aikana edellyttänyt sanotunlaisia toimia.

Lisäksi hovioikeus käräjäoikeuden tavoin hylkäsi syytteen potilasrekisterin palomuurisuojaukseen, potilasrekisterin ylläpitotunnusten käyttöön ja hallinnointiin, potilasrekisterin salasana- ja kirjautumiskäytäntöihin ja potilasrekisterin VPN-yhteyksien toteuttamiseen, potilasrekisterin palvelimien eriyttämiseen ja tietoturvapäivityksiin liittyvien teknisten toimenpiteiden toteuttamatta jättämiseen perustuvilta osin.

Hovioikeus katsoi, että asiassa ei ollut näiltä osin osoitettu sellaista toimitusjohtajan vastuulla ollutta laiminlyöntiä tai tietoturvaa tältä osin koskevaa yksiselitteistä lainsäädännöstä seuraavaa vaatimusta, jonka perusteella hänelle olisi voitu perustaa tai johtaa rikosoikeudellinen vastuu yhtiön toimitusjohtajana. Hovioikeus hylkäsi syytteen myös siltä osin kuin syytteessä oli vedottu yleisen tietosuoja-asetuksen 32 artiklan kohdan 1 alakohdassa d tarkoitettuun menettelyyn, jolla testataan, tutkitaan ja arvioidaan säännöllisesti teknisten ja organisatoristen toimenpiteiden tehokkuutta tietojenkäsittelyn turvallisuuden varmistamiseksi. Hovioikeus otti tältä osin huomioon muun ohella rikosoikeudellisen sääntelyn tarkkarajaisuudelle asetetut vaatimukset.

Asian ovat hovioikeudessa ratkaisseet hovioikeudenneuvos Jaana Hemminki, hovioikeudenneuvos Arto Perälä (puheenjohtaja) ja hovioikeudenneuvos Maiju Päivärinne. Valmistelijana on toiminut hovioikeuden esittelijä Iida Ryhänen. Ratkaisu on yksimielinen.

Mahdollisiin tiedusteluihin vastaavat hovioikeudenneuvos Jaana Hemminki ja hovioikeuden esittelijä Iida Ryhänen (vaihde 029 56 40500, [email protected]).

Tuomio on tilattavissa hovioikeuden kirjaamosta (029 56 40789, [email protected]).

Julkaisuvapaa klo 10.00.