Vahingonkorvaus, tietoturvaloukkaus 5.2.2020

Yksikön päällikkö päätti, että ********** (jäljempänä hakija) vaatimus saada vahingonkorvausta Helsingin kaupungin sosiaalitoimen toimitiloihin 4. ja 5.2.2020 tehdyn murron yhteydessä aiheutuneesta tietoturvaloukkauksesta, ei anna aihetta toimenpiteisiin.

Vahingonkorvaushakemuksessaan hakija kertoo, että hän on saanut ilmoituksen tietoturvaloukkauksesta, joka on tapahtunut murron yhteydessä 5.2.2020. Ilmoitus on päivätty 13.2.2020 ja hakijalle se on saapunut postitse 28.2.2020.

Hakija ihmettelee, miksi tieto tapahtuneesta on saapunut hänelle niin myöhään. Ilmoitus on aiheuttanut hänelle huolta, koska hän ei ole ollut varma, mitä henkilötietoja loukkauksen kohteeksi joutuneissa papereissa on ollut. Tässä ajassa olisi hakijan mukaan voinut tapahtua tietojen väärinkäyttöä, mihin hän ei ole voinut varautua. Hakija toivoo kohtuullista korvausta tietoturvaloukkauksesta aiheutuneesta huolesta ja epätietoisuudesta.

Euroopan unionin yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) 82 artiklan 1 kohdan mukaan, jos henkilölle aiheutuu tämän asetuksen rikkomisesta aineellista tai aineetonta vahinkoa, hänellä on oikeus saada rekisterinpitäjältä tai henkilötietojen käsittelijältä korvaus aiheutuneesta vahingosta.

Tietosuoja-asetuksen 82 artiklan 2 kohdan mukaan rekisterinpitäjä on vastuussa vahingosta, joka on aiheutunut käsittelystä, jolla on rikottu tätä asetusta. Henkilötietojen käsittelijä on vastuussa käsittelystä aiheutuneesta vahingosta vain, jos se ei ole noudattanut nimenomaisesti henkilötietojen käsittelijöille osoitettuja tämän asetuksen velvoitteita tai jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti.

Tietosuoja-asetukset 82 artiklan 3 kohdan mukaan rekisterinpitäjä tai henkilötietojen käsittelijä on vapautettava vastuusta 2 kohdan nojalla, jos se osoittaa, ettei se ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta.

Tietosuoja-asetukseen perustuva aineettoman vahingon korvaaminen ei kuulu vahingonkorvauslain soveltamisalaan, mutta vahingonkorvauslain 3 ja 5 luvun periaatteiden katsotaan kuitenkin tulevan sovellettaviksi.

Vahingonkorvauslain 3 luvun 1 §:n mukaan työnantaja on velvollinen korvaamaan vahingon, jonka työntekijä virheellään tai laiminlyönnillään työssä aiheuttaa. Virheellisellä teolla tai laiminlyönnillä ja vahingolla on oltava syy-yhteys.

Vahingonkorvauslain 5 luvun 6 §:n 2 momentin mukaan korvaus määrätään sen kärsimyksen perusteella, jonka loukkaus on omiaan aiheuttamaan ottaen erityisesti huomioon loukkauksen laatu, loukatun asema, loukkaajan ja loukatun välinen suhde sekä loukkauksen julkisuus.

Helsingin kaupungin sosiaalihuollon tiloihin on murtauduttu 4. ja 5.2.2020. Murron kohteena on ollut kahden työntekijän käytössä ollut työhuone, jossa säilytetään sosiaalihuollon asiakirjoja kahdessa eri kaapissa. Tiloista on varastettu sekalaista tavaraa. Työntekijät eivät ole havainneet, että asiakirjoja olisi käyty läpi tai varastettu. Mahdollista kuitenkin on, että murtautujat ovat nähneet asiakirjoissa olevia tietoja.

Murron kohteena olevan tilan ulko-ovi ja työhuoneen ovi sekä ikkunat ovat olleet lukittuina. Huoneen sisällä asiakirjoja on säilytetty lukittavissa kaapeissa, jotka on murrettu auki. Rakennuksessa on vartiointi. Vartija on saapunut molemmissa tilanteissa paikalle alle 10 minuutissa ja hälyttänyt poliisin.

Kuvauksen perusteella voidaan todeta, että tiloihin pääsyn eston ja valvonnan suhteen on toteutettu asianmukaiset tekniset ja organisatoriset toimenpiteet. Rekisterinpitäjä, eli tässä tapauksessa Helsingin kaupungin sosiaali- ja terveystoimiala, on tehnyt murroista rikosilmoitukset sekä murtojen välissä palauttanut tilat entiseen kuntoonsa. Poliisiviranomainen on 25.2.2020 tekemällään päätöksellä keskeyttänyt 4.2.2020 tapahtuneen murron tutkinnan. 5.2.2020 tapahtuneen murron esitutkinta on 7.2.2020 määrätty lopetettavaksi syyttäjän päätöksellä.

Yllä olevan perusteella voidaan todeta, ettei sosiaali- ja terveystoimiala ole rekisterinpitäjänä millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta, eikä se näin ollen ole velvollinen korvaamaan rekisteröidylle aiheutunutta vahinkoa tietosuoja-asetuksen 82 artiklan mukaisesti. Selvityksen mukaan ei voida myöskään osoittaa, että hakijalle aiheutunut aineeton vahinko olisi johtunut työntekijän virheellisestä menettelystä, huolimattomuudesta tai laiminlyönnistä.

Koska sosiaali- ja terveystoimialan korvausvastuun synnyttävää perustetta ei ole näytetty, ei se ole korvausvelvollinen aiheutuneesta vahingosta.

Päätöksenteon tuen päällikön toimivalta päättää vahingonkorvauksesta perustuu sosiaali- ja terveystoimialan toimialajohtajan päätökseen 23.8.2018 § 121.