Siirry sisältöön

Miten Vastaamo-tapaus etenee uhrin näkökulmasta?

Psykoterapiakeskus Vastaamon tietomurto on Suomessa ennennäkemätön rikoskokonaisuus laajuudeltaan ja sisällöltään. Tässä artikkelissa käymme läpi mahdollisia skenaarioita siitä, mitä tapauksessa tulee tapahtumaan uhrien näkökulmasta. Vaihtoehtoja on useita, sillä tapauksen tutkinta on edelleen käynnissä. Tässä vaiheessa uhri voi lähinnä seurata poliisin tiedotusta ja odottaa mahdollisia ohjeita. Tärkeintä on, että rikosilmoitus on tehty ja kaikki dokumentaatio mahdollisista aiheutuneista vahingoista otettu talteen.

Marraskuussa 2020 poliisi ilmoitti yli 25 000 uhrin tehneen Vastaamon tietomurrosta rikosilmoituksen. Tapausta tutkitaan rikosnimikkeillä törkeä tietomurto, törkeä yksityiselämää loukkaava tiedon levittäminen ja törkeä kiristys.

Poliisin rikostutkinta etenee, mutta tietomurron tehnyttä henkilöä ei ole vielä saatu kiinni. Lisäksi vielä on epäselvää, onko yllämainittuihin rikoksiin syyllistynyt useampi henkilö kuin vain yksi. Jos tietomurtaja jää kiinni, käynnistyy rikosprosessi, jonka seurauksena uhreille aukeaa mahdollisuus vaatia rikoksentekijältä vahingonkorvauksia.

Tietomurtaja ei kuitenkaan ole ainoa taho, joka saattaa olla vahingonkorvausvelvollinen tapauksessa. Keväällä 2018 voimaantullut EU:n tietosuoja-asetus määrittelee yrityksille ja organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat tarkat vaatimukset, joiden laiminlyömisestä voi seurata sanktioita. Asetuksessa on määritelty myös kaksi roolia, jotka hoitavat henkilötietojen käsittelyä. Rekisterinpitäjä päättää henkilötietojen käsittelytarkoituksesta ja -tavasta ja henkilötietojen käsittelijä säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta.

Vastaamo on toiminut pääasiassa tietomurrossa vuotaneiden henkilötietojen rekisterinpitäjänä. Poikkeuksen tähän muodostaa tilanteet, joissa terveydenhuollon organisaatio on ostanut Vastaamolta palveluja – tällöin rekisterinpitäjä on ollut tämä kyseinen terveydenhuollon organisaatio, kun taas Vastaamo on toiminut henkilötietojen käsittelijän roolissa.

Tietosuoja-asetuksen mukaisesti Vastaamolla rekisterinpitäjänä on ollut vastuu tietosuojasta. Niinpä myös Vastaamoon voidaan kohdistaa oikeustoimia, jos sen katsotaan rikkoneen tätä vastuutaan. Yritysten osalta sanktiointi tietosuojarikoksissa on toteutettu hallinnollisilla seuraamuksilla. Julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta kertookin, että siinä missä tietomurtajan osalta asiaa käsiteltäisiin vahingonkorvauslain perusteella, Vastaamon osalta asiaa käsitellään tietosuoja-asetuksessa säädettyjen vahingonkorvaussäännösten perusteella.

Voutilainen huomauttaa, että Vastaamon ja tietomurtajan korvausvastuu ei koske samoja vahinkoja.  Esimerkiksi tietomurtajan aiheuttama vahinko, joka ei ole enää rekisterinpitäjään sidoksissa, ei ole rekisterinpitäjän vastuulla. Tämän eron tiedostaminen on oleellista myös tapauksen uhrien näkökulmasta, sillä Vastaamoa ja tietomurtajaa koskevat vahingonkorvausprosessit ovat keskenään varsin erilaisia.

Eri vaihtoehdot vahingonkorvausvaatimusten hakemiseen Vastaamon tietomurrossa

Mahdollinen rikosprosessi tietomurtajaa vastaan

Rikosylikomisario Tero Muurman keskusrikospoliisista kehottaa uhreja seuraamaan poliisin tiedottamista asian etenemistä koskevien tietojen sekä mahdollisten uhreja koskevien ohjeiden varalta.

”Pyrimme luonnollisesti tiedottamaan esitutkinnan kulusta eri tavoin niin paljon kuin mahdollista.”

– Jokaisen uhrin henkilökohtainen informointi prosessin eri vaiheista on valitettavasti käytännössä mahdotonta uhrien hyvin suuren määrän vuoksi. Pyrimme luonnollisesti tiedottamaan esitutkinnan kulusta eri tavoin niin paljon kuin mahdollista, Muurman kertoo.

Muurmanin mukaan vielä on liian aikaista sanoa, tuleeko uhrien kuuleminen olemaan tarpeen mahdollisessa rikosprosessissa. Lähtökohtaisesti poliisi kuulustelee jokaista uhria, mutta on todennäköistä, että uhrien suuresta määrästä johtuen uhrien kuulustelut tullaan tekemään useilla eri tavoilla.

– Sinänsä yhteydenotto ja kuulustelujen aloittaminen ei ole sidoksissa tekijän kiinnijäämiseen ja voi hyvinkin tapahtua jo ennen tekijän kiinnijäämistä, Muurman huomauttaa.

Muurmanin mukaan tämänhetkisen tiedon mukaan poliisi on yhteydessä uhriin vain kerran tutkinnan aikana kuulustelun yhteydessä.

– Tapauskohtaisesti joidenkin osalta voi toki olla tarvetta esimerkiksi täydentäville kysymyksille.

Tapauksen poikkeuksellisuuden ja uhrien suuren määrän vuoksi poliisi ei todennäköisesti odota uhreilta merkittävää itsenäistä aktiivista panosta rikosprosessin eteenpäinviemiseksi. Yleisellä tasolla voidaan todeta, että mikäli uhria ei ole tarvetta kuulla oikeudenkäynnissä, riittää että hän toimittaa oikeudelle mahdollisen kirjallisen vahingonkorvausvaatimuksen.

– Ensimmäisen kerran vahingonkorvausvaatimus on mahdollista esittää, kun poliisi kuulustelee uhria. Tällöin uhri voi alustavasti ilmoittaa, tuleeko hän ylipäätään vaatimaan korvauksia ja vaatiiko hän rangaistusta tekijälle. Mikäli asianomistaja vaatii korvauksia, käräjäoikeus lähettää ennen mahdollista oikeudenkäyntiä uhrille kirjeen, jossa käräjäoikeus pyytää toimittamaan sille mahdollisen korvausvaatimuksen kirjallisesti. Uhrin on vielä suullisessa oikeudenkäynnissä mahdollisuus ilmoittaa korvausvaatimuksestaan, kertoo erikoissyyttäjä Tuomas Soosalu Etelä-Suomen syyttäjäalueelta.

Soosalun mukaan käräjäoikeus voi itsenäisesti ratkaista kysymyksen vahingonkorvauksista ilman uhrin läsnäoloa. Täten jää uhrin itsensä harkittavaksi, osallistuuko hän oikeudenkäyntiin.

Syyttäjä voi kuitenkin nähdä tarpeelliseksi kuulla uhria oikeudenkäynnissä. Mikäli näin on, käräjäoikeus lähettää uhrille kutsun oikeudenkäyntiin.

– Oikeudenkäynnit ovat sinänsä julkisia, joten sinne voi osallistua kuka tahansa, mutta on luonnollista, että oikeussalien kapasiteetin ollessa rajallinen, kaikki eivät välttämättä mahdu tiloihin yhtä aikaa. Sen ratkaiseminen, kuinka toimitaan mahdollisessa tapauksessa, jossa kaikki uhrit eivät mahdu seuraamaan oikeudenkäyntiä yhtä aikaa, kuuluu oikeusistuimelle, Soosalu kertoo.

Mikä on Vastaamon vastuu?

Jokaisella Vastaamon asiakkaalla on oikeus tarkistaa, mitä tietoja ja mihin tarkoituksiin, itsestä on tallennettuna yrityksen rekisteriin. Saatuaan tarkistuspyynnön Vastaamon on toimitettava henkilölle jäljennös tallennetuista tiedoista. Jäljennös on lähtökohtaisesti maksuton, mutta jos pyydät useampia jäljennöksiä, Vastaamo voi periä niistä toimenpiteen kustannukset kattavan maksun. Valitettavasti tietojen poistaminen rekisteristä kokonaisuudessaan ei ole lainsäädännön puitteissa mahdollista

Tietosuoja-asetuksen perusteella Vastaamo on rekisterinpitäjänä vastuussa sekä tietomurron aineellisista että sen aineettomista vahingoista, jos sen katsotaan laiminlyöneen tietosuoja-asetusta. Voutilaisen mukaan aineellinen vahinko voi viitata esimerkiksi taloudelliseen menetykseen ja aineeton taas esimerkiksi henkiseen kärsimykseen. Vastaamo-tapauksessa kyseeseen voi tulla molemmat vahingon muodot.

Mahdolliset hallinnolliset seuraamukset Vastaamolle määrää tietosuojavaltuutetun toimisto, joka selvittää, onko yritys toiminut tietosuoja-asetuksen mukaisesti. Jos asetusta on rikottu, tietosuojavaltuutettu voi määrätä yritykselle sanktion, kuten hallinnollisen seuraamusmaksun. Seuraamusmaksu määrätään maksettavaksi valtiolle, joten siitä ei seuraa suoraan korvauksia uhreille.

– Hallinnollisen seuraamusmaksun määrääminen on tietosuojavaltuutetun ratkaisu, jossa todetaan, että tietosuoja-asetusta ei ole noudatettu Vastaamon toiminnassa, kertoo Voutilainen.

Jos tietosuojavaltuutetun toimisto toteaa, että Vastaamo on rekisterinpitäjänä laiminlyönyt tietoturvaan ja henkilötietoihin liittyviä velvollisuuksiaan, tietomurron uhreille avautuu kaksi mahdollista väylää vahingonkorvausten vaatimiseen yritykseltä: tuomioistuin tai yrityksen kanssa tehtävä sopimus.

”Ongelmana on se, että uhreja on niin paljon, että tällaisessa asiassa sopimuksen tekeminen on todella hankalaa.”

Voutilaisen mukaan sopimus olisi kaikkien kannalta parempi vaihtoehto kuin tuomioistuin, mutta muistuttaa, ettei sekään ole ongelmaton.

– Ongelmana on se, että uhreja on niin paljon, että tällaisessa asiassa sopimuksen tekeminen on todella hankalaa. Tuomioistuimen kautta korvauksia ei kannata lähteä hakemaan ainakaan yksittäisissä tapauksissa, koska esimerkiksi kärsimyskorvaukset näistä ovat todennäköisesti varsin vähäiset, maksimissaan joitakin tuhansia euroja.

Voutilainen muistuttaa, että vaikka on mahdollista, että uhrien yksittäiset kanteet yhdistetään yhdeksi korvausoikeudenkäynniksi, ryhmäkannetta ei Suomessa tietosuoja-asioissa ole mahdollista nostaa. Koska tuomioistuinten päätöksistä voi valittaa, pahimmillaan asian käsittely tuomioistuimessa voi viedä vuosia.

– Jos vahingonkorvauskysymystä arvioidaan tuomioistuimessa, pahimmillaan asia voi edetä prosessissa korkeimpaan oikeuteen. Tämä prosessi vie vuosia ja erityisesti jos vahingonkorvausprosesseja on samanaikaisesti useita, voivat nämä keskenäänkin aiheuttaa viivästystä asian käsittelyyn, Voutilainen huomauttaa.

Sopimuksista sen sijaan ei voi valittaa, minkä vuoksi Voutilainen näkee sen todennäköisesti tuomioistuinkäsittelyä nopeampana väylänä vahingonkorvausten saamiseen.

– Jos vahingonkorvauksesta päästäisiin sopimukseen, olisi prosessi tältä osin siinä.

Voutilainen huomauttaa, että etuna vahingonkorvausten sopimusperusteisessa hoitamisessa olisi myös se, että silloin vältyttäisiin ainakin osittain julkiselta oikeudenkäynniltä. Se voisi olla omiaan aiheuttamaan uhreille ylimääräistä henkistä kuormitusta.

Tiedetään, että tähän mennessä ainakin yksi lakitoimisto on vapaaehtoistyönä valmistellut yksittäisten henkilöiden vahingonkorvaushakemuksia Vastaamolle.

 

Miten tästä eteenpäin?

Uhrien oikeutta saada korvaus rikokseen perustuvasta vahingosta on suojattu erityissääntelyllä. Täten vahingonkorvausvelvollisuus ei vanhene sinä aikana, kun syyte on nostettuna, asia on käsittelyssä tuomioistuimessa, tai syytetty on valittamassa päätöksestä hovioikeuteen tai korkeimpaan oikeuteen. Erityissääntely perustuu siihen, että oikeudenkäynnit ja niihin liittyvät valitusprosessit voivat pitää asiaa vireillä pahimmillaan vuosia.

Voutilainen pitää vahingonkorvausten saamista rikosperusteisesti epätodennäköisenä. Tietosuoja-asetuksen perusteella jonkin verran mahdollisuuksia on, jos yrityksellä on maksukykyä.

– Rikosperusteisuus edellyttäisi sitä, että olisi tiedossa tietomurron tekijä. Tietomurtojen tutkinta ei ole yksinkertaista eikä ratkaistujen juttujen määrä ole korkea. Aiemminkin tapahtuneissa laajoissa tietomurroissa tekijä ei ole jäänyt kiinni.

Muurmanin mukaan rikostutkinnan tässä vaiheessa on tärkeintä, että rikosilmoitus on tehty.

– Rikosilmoitusta laadittaessa tärkeintä on täyttää lomake huolellisesti. Lisäksi esimerkiksi kiristysviestit ja mahdolliset muut yhteydenotot tai muut todisteet on syytä säilyttää ja ottaa niistä esimerkiksi kuvakaappaus. Nämä voi lisätä rikosilmoituksen liitteiksi tai vaihtoehtoisesti toimittaa poliisille myöhemmin.

Ohjeet rikosilmoituksen tekemiseen löytyvät poliisin verkkosivuilta.

Rikostutkinnan etenemisen aikajännettä on Muurmanin mukaan vaikea ennustaa, koska monet seikat vaikuttavat tutkinta-aikatauluun ja yhteydenottojen määriin.

– Toivomme uhreilta ennen kaikkea malttia. Poliisin rikostutkinta etenee, vaikka se ei ulospäin välttämättä näykään. Kaikkiin yhteydenottoihin tai tiedusteluihin yksittäistä henkilöä koskevan asian etenemisestä emme pysty välttämättä vastaamaan. Asianomistajien tulee odottaa yhteydenottoa poliisilta, joka suorittaa esitutkinnan, jolla valmistaudutaan mahdolliseen rikosoikeudenkäyntiin.

Tärkeitä termejä

  • Tietosuoja-asetuksessa on määritelty kaksi roolia, jotka hoitavat henkilötietojen käsittelyä.
    • Rekisterinpitäjä päättää henkilötietojen käsittelytarkoituksesta.
    • Tietojenkäsittelijä säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta

Lue lisää

Lähteet