Psykoterapiakeskus Vastaamon tietomurto on Suomessa ennennäkemätön rikoskokonaisuus. Tällä sivulla käydään läpi erilaisia mahdollisuuksia, mitä prosessissa voi tapahtua uhrien näkökulmasta.
Käräjäoikeus tuomitsi keväällä 2024 Aleksanteri Kivimäen tietomurrosta ja sitä seuranneista tapahtumista. Tuomiosta on valitettu Helsingin hovioikeuteen. Rikosasiaa käsitellään nyt Helsingin hovioikeudessa.
Valtiokonttori on avannut oman asiointikanavan Vastaamo-tietomurron uhreille. Valtiokonttori on aloittanut Vastaamoon liittyvien korvaushakemusten käsittelemisen.
Jos tarvitset tukea tai käytännön neuvoja rikosprosessissa, ota yhteyttä Rikosuhripäivystys 116 006 -puhelinpalveluun tai RIKUchatiin. Kaikki palvelumme ovat maksuttomia. Usein kysyttyjä kysymyksiä alempana tällä sivulla ⏬
Syyttäjän kirje syyskuussa 2025: Syyttämättäjättämispäätös Kivimäen avustajaksi epäillyn kohdalla
Syyttäjä lähetti syyskuussa 2025 asianomistajille kirjeen, jossa kerrotaan, ettei syytettä nosteta sitä henkilöä kohtaan, jonka epäillään avustaneen Kivimäkeä levittämään yksityiselämää loukkaavia tietoja Vastaamon asiakkaista.
Syyttäjä on päättänyt tehdä tälle henkilölle syyttämättäjättämispäätöksen avunannosta yksityiselämää loukkaavien tietojen levittämiseen.
Syyttäjä kuitenkin nostaa häntä kohtaan syytteen toisesta teosta: Häntä syytetään avunannosta Vastaamoon kohdistuneeseen törkeän kiristyksen yritykseen. Vastaamon asiakkaat eivät kuitenkaan ole tässä rikoksessa asianomistajina.
Lue syyttäjän tiedote: Syyttäjä on nostanut syytteen avunannosta törkeän kiristyksen yritykseen Vastaamo-asian uudessa tutkinnassa
Miksi sain kirjeen? Sait kirjeen, koska tieto syyttäjän päätöksestä pitää lain mukaan lähettää henkilökohtaisesti kaikille, joita asia koskee.
Syyttäjälaitoksen verkkosivuilla on lisätietoa asian käsittelystä sekä vastauksia yleisimpiin kysymyksiin ja yhteystiedot: syyttajalaitos.fi/vastaamo
Syyttäjälaitoksen viestintä vastaa mahdollisiin lisäkysymyksiin arkisin 9–15 numerossa 0295 620 829 tai sähköpostitse kyber.syyttaja@oikeus.fi
Rikosprosessi tietomurtajaa vastaan ja erillinen oikeudenkäynti asianomistajien korvausvaatimuksista
Rikosasian käsittely käräjäoikeudessa on päättynyt, ja asia käsitellään nyt Helsingin hovioikeudessa.
Käräjäoikeus päätti jo oikeudenkäynnin alussa erottaa uhrien vahingonkorvausvaatimuksia koskevat asiat käsiteltäväksi erillisessä prosessissa. Sen aikataulusta ilmoitetaan myöhemmin.
Usein kysyttyjä kysymyksiä
Vahingonkorvausvastuu voi olla usealla taholla
Tietomurtaja ei ole ainoa taho, joka saattaa olla vahingonkorvausvelvollinen tapauksessa. EU:n tietosuoja-asetus määrittelee organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat vaatimukset, joiden laiminlyömisestä voi seurata sanktioita. Asetuksessa on määritelty myös kaksi roolia, jotka hoitavat henkilötietojen käsittelyä. Rekisterinpitäjä päättää henkilötietojen käsittelytarkoituksesta ja -tavasta, ja henkilötietojen käsittelijä säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta.
Vastaamo on toiminut pääasiassa tietomurrossa vuotaneiden henkilötietojen rekisterinpitäjänä. Poikkeuksen tähän muodostaa tilanteet, joissa terveydenhuollon organisaatio on ostanut Vastaamolta palveluja – tällöin rekisterinpitäjä on ollut tämä kyseinen terveydenhuollon organisaatio, kun taas Vastaamo on toiminut henkilötietojen käsittelijän roolissa.
Tietosuoja-asetuksen mukaisesti Vastaamolla rekisterinpitäjänä on ollut vastuu tietosuojasta. Niinpä myös Vastaamoon on kohdistettu oikeustoimia, koska sen on katsottu rikkoneen tätä vastuutaan. Yritysten osalta sanktiointi tietosuojarikoksissa on toteutettu hallinnollisilla seuraamuksilla. Julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta kertoi keväällä 2021, että siinä missä tietomurtajan osalta asiaa käsitellään vahingonkorvauslain perusteella, Vastaamon osalta asiaa käsitellään tietosuoja-asetuksessa säädettyjen vahingonkorvaussäännösten perusteella.
Voutilainen huomauttaa, että Vastaamon ja tietomurtajan korvausvastuu ei koske samoja vahinkoja. Esimerkiksi tietomurtajan aiheuttama vahinko, joka ei ole enää rekisterinpitäjään sidoksissa, ei ole rekisterinpitäjän vastuulla. Tämän eron tiedostaminen on oleellista myös tapauksen uhrien näkökulmasta, sillä Vastaamoa ja tietomurtajaa koskevat vahingonkorvausprosessit ovat keskenään varsin erilaisia.
Vastaamo haettiin helmikuussa 2021 konkurssiin ja sen liiketoiminta myytiin helmikuussa toiselle yhtiölle. Miljoonien eurojen velat jäivät Vastaamolle. Lue lisää: Vahingonkorvausten hakeminen Vastaamon konkurssipesältä
Tietosuojavaltuutetun toimisto totesi joulukuussa 2021, että Vastaamo on rikkonut yleisen tietosuoja-asetuksen säännöksiä, ja määräsi sille hallinnollisen seuraamusmaksun. Tietosuojavaltuutetun toimisto: Psykoterapiakeskus Vastaamolle seuraamusmaksu tietosuojarikkomuksista
608 000 euron seuraamusmaksu määrättiin maksettavaksi valtiolle, joten siitä ei seuraa suoraan korvauksia uhreille. ”Hallinnollinen sakko on konkurssissa viimesijainen saatava. Seuraamusmaksu ei siis pienennä muihin konkurssisaataviin, kuten mahdollisiin vahingonkorvauksiin käytettävissä olevia varoja”, tietosuojavaltuutetun päätöksessä kirjoitetaan.
Mikä on Vastaamon vastuu?
Vastaamon asiakkailla on oikeus tarkistaa, mitä tietoja itsestä on tallennettuna yrityksen rekisteriin. Koska Vastaamon toiminta on lakannut, siellä ei enää säilytetä asiakastietoja. Jos olet ollut Vastaamon asiakkaana kunnan, kuntayhtymän, sairaanhoitopiirin tai muun vastaavan organisaation kautta, voit pyytää asiakastietosi kyseiseltä organisaatiolta.
Kaikki muut asiakastiedot on siirretty Kelan arkistoitavaksi. Kelasta asiakas voi tehdä tietopyynnön suojatulla sähköpostilla: Ohje tietopyynnön tekemiseen Kelasta
Tietosuoja-asetuksen perusteella Vastaamo on rekisterinpitäjänä vastuussa sekä tietomurron aineellisista että sen aineettomista vahingoista, jos sen katsotaan laiminlyöneen tietosuoja-asetusta. Aineellinen vahinko voi viitata esimerkiksi taloudelliseen menetykseen ja aineeton taas esimerkiksi henkiseen kärsimykseen. Tässä tapauksessa kyseeseen voivat tulla molemmat vahingon muodot.
Lue lisää: Vahingonkorvausten vaatiminen Vastaamon konkurssipesältä
Konkurssi ei vaikuta niiden uhrien tilanteeseen, jotka on lähetetty esimerkiksi sairaanhoitopiiristä hoitoon Vastaamoon. Näissä vastuussa on lähettänyt sairaanhoitopiiri, jolle vahingonkorvausvaatimus on esitettävä tietosuoja-asetuksen perusteella.
Sairaanhoitopiirien rooli ja vastuu tietomurrossa
Jotkut sairaanhoitopiirit ovat lähettäneet asiakkaita Vastaamon palveluihin. Sairaanhoitopiirit ovat silloin toimineet itsenäisinä rekisterinpitäjinä, ja Vastaamo on toiminut henkilötietojen käsittelijänä sairaanhoitopiirien lukuun.
Tietosuojavaltuutetun toimisto on selvittänyt niiden rekisterinpitäjien henkilötietojen käsittelyä, joiden lukuun Vastaamo on toiminut käsittelijänä, ja antanut joillekin rekisterinpitäjille huomautuksen.
Tietosuojavaltuutetun toimiston verkkosivuilta löytyy lisätietoa vahingonkorvausten vaatimisesta. Sivulla neuvotaan muun muassa ensisijaisesti esittämään korvausvaatimukset suoraan tietosuoja-asetusta rikkoneelle rekisterinpitäjälle tai henkilötietojen käsittelijälle. Lue lisää: Tietosuojavaltuutettu: Vahingonkorvausten vaatiminen tietosuoja-asetuksen rikkomisesta
Mikäli vastuullinen taho, esimerkiksi sairaanhoitopiiri, on sote-uudistuksen jälkeen hyvinvointialueen hallinnoima, voi vaatimuksen lähettää hyvinvointialueelle tai HUS-yhtymälle. Vaatimus kannattaa toimittaa aina kirjaamon osoitteeseen.
Miten tästä eteenpäin?
Uhrien oikeutta saada korvaus rikokseen perustuvasta vahingosta on suojattu erityissääntelyllä. Vahingonkorvausvelvollisuus ei vanhene sinä aikana, kun syyte on nostettuna, asia on käsittelyssä tuomioistuimessa tai syytetty on valittamassa päätöksestä hovioikeuteen tai korkeimpaan oikeuteen. Erityissääntely perustuu siihen, että oikeudenkäynnit ja niihin liittyvät valitusprosessit voivat pitää asiaa vireillä vuosia.
Tässä vaiheessa kannattaa seurata erityisesti Länsi-Uudenmaan käräjäoikeuden viestintää: Vastaamo-kokonaisuuden tuomioistuinkäsittely Länsi-Uudenmaan käräjäoikeudessa