Nopea poistuminen Siirry sisältöön

Miten Vastaamo-tapaus etenee uhrin näkökulmasta?

Psykoterapiakeskus Vastaamon tietomurto on Suomessa ennennäkemätön rikoskokonaisuus laajuudeltaan ja sisällöltään. Tässä artikkelissa käymme läpi mahdollisia skenaarioita siitä, mitä tapauksessa tulee tapahtumaan uhrien näkökulmasta. Vaihtoehtoja on useita, sillä tapauksen tutkinta on edelleen käynnissä. Tässä vaiheessa uhri voi lähinnä seurata poliisin tiedotusta ja odottaa mahdollisia ohjeita. Tärkeintä on, että rikosilmoitus on tehty ja kaikki dokumentaatio mahdollisista aiheutuneista vahingoista otettu talteen.

Jos haluat käytännön neuvoja rikosprosessissa tai henkistä tukea, ota yhteyttä Rikosuhripäivystys 116 006 -puhelinpalveluun tai RIKUchat-palveluun.

Vahingonkorvausten hakeminen Vastaamon konkurssipesältä

Päivitys 12.2.2021

Torstaina 11.2. uutisoitiin, että Vastaamo on haettu konkurssiin ja liiketoiminta myyty Vervelle. Tämä mutkistaa myös uhrien mahdollisuuksia saada vahingonkorvauksia Vastaamolta.

– Lähtökohtaisesti jos Vastaamolta tai sen konkurssipesältä on saamisia, tulee tällainen vaade esittää konkurssipesälle. Tässä tapauksessa vahingonkorvausvaatimus pitäisi esittää Vastaamon konkurssipesälle perusteluineen pikaisesti. Riippuen konkurssipesän varoista ja veloista voi teoriassa olla mahdollista, että tietosuoja-asetuksen perusteella vahingonkorvausta on mahdollista saada – mutta siis vain teoriassa, sanoo julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta.

MTV-Uutisten mukaan liiketoimintakaupan esisopimuksessa on sovittu, että kaupassa Vervelle siirtyvät vain henkilöstö ja käyttöomaisuus. Esimerkiksi miljoonien eurojen velat jäävät Vastaamolle.

– Sitä en sitten tiedä, miten liiketoimintakauppaa koskevassa sopimuksessa on sovittu siitä, ettei ostaja joudu vastuuseen syntyneestä vahingosta. Sinällään rekisterinpitäjyys siirtyy liiketoimintakaupassa ostaneelle yritykselle, Voutilainen sanoo.

Jos Vastaamo tuomittaisiin vahingonkorvauksiin, mutta sen varallisuus ei niihin riittäisi, valtio ei kuitenkaan korvaisi Vastaamon puolesta tällaisessa tilanteessa syntyneitä vahinkoja.

– Jos Vastaamon henkilöstöstä joku tai jotkut joutuvat syytteeseen ja tuomitaan tietosuojarikoksesta, koska henkilötietoja ei ole suojattu riittävästi, voi tällaisissa tapauksissa olla mahdollisuus vaatia vahingonkorvausta syytetyltä samassa prosessissa kuin rikosasiaa käsitellään. Tämäkin on tällä hetkellä lähinnä teoriatasolla. Sama koskee tietomurron tekijän kiinnijäämistä ja sitä kautta mahdollisesti vahingonkorvauksien vaatimista kyseisen rikosprosessin ohessa, Voutilainen kertoo.

– Konkurssilla ei ole vaikutusta niille uhreille, jotka on lähetetty esimerkiksi sairaanhoitopiiristä hoitoon Vastaamoon. Näissä vastuussa on lähettänyt sairaanhoitopiiri, jolle vahingonkorvausvaatimus on esitettävä tietosuoja-asetuksen perusteella.

 

Marraskuussa 2020 poliisi ilmoitti yli 25 000 uhrin tehneen Vastaamon tietomurrosta rikosilmoituksen. Tapausta tutkitaan rikosnimikkeillä törkeä tietomurto, törkeä yksityiselämää loukkaava tiedon levittäminen ja törkeä kiristys.

Poliisin rikostutkinta etenee, mutta tietomurron tehnyttä henkilöä ei ole saatu kiinni. Lisäksi vielä on epäselvää, onko yllämainittuihin rikoksiin syyllistynyt useampi henkilö kuin vain yksi. Jos tietomurtaja jää kiinni, käynnistyy rikosprosessi, jonka seurauksena uhreille aukeaa mahdollisuus vaatia rikoksentekijältä vahingonkorvauksia.

Tietomurtaja ei kuitenkaan ole ainoa taho, joka saattaa olla vahingonkorvausvelvollinen tapauksessa. Keväällä 2018 voimaantullut EU:n tietosuoja-asetus määrittelee yrityksille ja organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat tarkat vaatimukset, joiden laiminlyömisestä voi seurata sanktioita. Asetuksessa on määritelty myös kaksi roolia, jotka hoitavat henkilötietojen käsittelyä. Rekisterinpitäjä päättää henkilötietojen käsittelytarkoituksesta ja -tavasta ja henkilötietojen käsittelijä säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta.

Vastaamo on toiminut pääasiassa tietomurrossa vuotaneiden henkilötietojen rekisterinpitäjänä. Poikkeuksen tähän muodostaa tilanteet, joissa terveydenhuollon organisaatio on ostanut Vastaamolta palveluja – tällöin rekisterinpitäjä on ollut tämä kyseinen terveydenhuollon organisaatio, kun taas Vastaamo on toiminut henkilötietojen käsittelijän roolissa.

Tietosuoja-asetuksen mukaisesti Vastaamolla rekisterinpitäjänä on ollut vastuu tietosuojasta. Niinpä myös Vastaamoon voidaan kohdistaa oikeustoimia, jos sen katsotaan rikkoneen tätä vastuutaan. Yritysten osalta sanktiointi tietosuojarikoksissa on toteutettu hallinnollisilla seuraamuksilla. Julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta kertookin, että siinä missä tietomurtajan osalta asiaa käsiteltäisiin vahingonkorvauslain perusteella, Vastaamon osalta asiaa käsitellään tietosuoja-asetuksessa säädettyjen vahingonkorvaussäännösten perusteella.

Voutilainen huomauttaa, että Vastaamon ja tietomurtajan korvausvastuu ei koske samoja vahinkoja.  Esimerkiksi tietomurtajan aiheuttama vahinko, joka ei ole enää rekisterinpitäjään sidoksissa, ei ole rekisterinpitäjän vastuulla. Tämän eron tiedostaminen on oleellista myös tapauksen uhrien näkökulmasta, sillä Vastaamoa ja tietomurtajaa koskevat vahingonkorvausprosessit ovat keskenään varsin erilaisia.

Tällä hetkellä tietosuojavaltuutetun toimisto selvittää, onko Vastaamo toiminut tietosuoja-asetuksen mukaisesti. Selvityksen tuloksia odotetaan saatavaksi kesään mennessä. Vasta tulosten jälkeen on mahdollista tarkasti arvioida tietomurron uhrien tosiasiallisia mahdollisuuksia vahingonkorvausten saamiseen Vastaamolta. Rikosprosessin keskeneräisyyden vuoksi on ennenaikaista arvioida myös sitä, kuinka todennäköistä on saada vahingonkorvauksia tietomurtajalta.

 

Eri vaihtoehdot vahingonkorvausvaatimusten hakemiseen Vastaamon tietomurrossa

Mahdollinen rikosprosessi tietomurtajaa vastaan

Rikosylikomisario Tero Muurman keskusrikospoliisista kehottaa uhreja seuraamaan poliisin tiedottamista asian etenemistä koskevien tietojen sekä mahdollisten uhreja koskevien ohjeiden varalta.

”Pyrimme luonnollisesti tiedottamaan esitutkinnan kulusta eri tavoin niin paljon kuin mahdollista.”

– Jokaisen uhrin henkilökohtainen informointi prosessin eri vaiheista on valitettavasti käytännössä mahdotonta uhrien hyvin suuren määrän vuoksi. Pyrimme luonnollisesti tiedottamaan esitutkinnan kulusta eri tavoin niin paljon kuin mahdollista, Muurman kertoo.

Muurmanin mukaan vielä on liian aikaista sanoa, tuleeko uhrien kuuleminen olemaan tarpeen mahdollisessa rikosprosessissa. Lähtökohtaisesti poliisi kuulustelee jokaista uhria, mutta on todennäköistä, että uhrien suuresta määrästä johtuen uhrien kuulustelut tullaan tekemään useilla eri tavoilla.

– Sinänsä yhteydenotto ja kuulustelujen aloittaminen ei ole sidoksissa tekijän kiinnijäämiseen ja voi hyvinkin tapahtua jo ennen tekijän kiinnijäämistä, Muurman huomauttaa.

Muurmanin mukaan tämänhetkisen tiedon mukaan poliisi on yhteydessä uhriin vain kerran tutkinnan aikana kuulustelun yhteydessä.

– Tapauskohtaisesti joidenkin osalta voi toki olla tarvetta esimerkiksi täydentäville kysymyksille.

Tapauksen poikkeuksellisuuden ja uhrien suuren määrän vuoksi poliisi ei todennäköisesti odota uhreilta merkittävää itsenäistä aktiivista panosta rikosprosessin eteenpäinviemiseksi. Yleisellä tasolla voidaan todeta, että mikäli uhria ei ole tarvetta kuulla oikeudenkäynnissä, riittää että hän toimittaa oikeudelle mahdollisen kirjallisen vahingonkorvausvaatimuksen.

– Ensimmäisen kerran vahingonkorvausvaatimus on mahdollista esittää, kun poliisi kuulustelee uhria. Tällöin uhri voi alustavasti ilmoittaa, tuleeko hän ylipäätään vaatimaan korvauksia ja vaatiiko hän rangaistusta tekijälle. Mikäli asianomistaja vaatii korvauksia, käräjäoikeus lähettää ennen mahdollista oikeudenkäyntiä uhrille kirjeen, jossa käräjäoikeus pyytää toimittamaan sille mahdollisen korvausvaatimuksen kirjallisesti. Uhrin on vielä suullisessa oikeudenkäynnissä mahdollisuus ilmoittaa korvausvaatimuksestaan, kertoo erikoissyyttäjä Tuomas Soosalu Etelä-Suomen syyttäjäalueelta.

Soosalun mukaan käräjäoikeus voi itsenäisesti ratkaista kysymyksen vahingonkorvauksista ilman uhrin läsnäoloa. Täten jää uhrin itsensä harkittavaksi, osallistuuko hän oikeudenkäyntiin.

Syyttäjä voi kuitenkin nähdä tarpeelliseksi kuulla uhria oikeudenkäynnissä. Mikäli näin on, käräjäoikeus lähettää uhrille kutsun oikeudenkäyntiin.

– Oikeudenkäynnit ovat sinänsä julkisia, joten sinne voi osallistua kuka tahansa, mutta on luonnollista, että oikeussalien kapasiteetin ollessa rajallinen, kaikki eivät välttämättä mahdu tiloihin yhtä aikaa. Sen ratkaiseminen, kuinka toimitaan mahdollisessa tapauksessa, jossa kaikki uhrit eivät mahdu seuraamaan oikeudenkäyntiä yhtä aikaa, kuuluu oikeusistuimelle, Soosalu kertoo.

Mikä on Vastaamon vastuu?

Jokaisella Vastaamon asiakkaalla on oikeus tarkistaa, mitä tietoja ja mihin tarkoituksiin, itsestä on tallennettuna yrityksen rekisteriin. Saatuaan tarkistuspyynnön Vastaamon on toimitettava henkilölle jäljennös tallennetuista tiedoista. Jäljennös on lähtökohtaisesti maksuton, mutta jos pyydät useampia jäljennöksiä, Vastaamo voi periä niistä toimenpiteen kustannukset kattavan maksun. Valitettavasti tietojen poistaminen rekisteristä kokonaisuudessaan ei ole lainsäädännön puitteissa mahdollista

Tietosuoja-asetuksen perusteella Vastaamo on rekisterinpitäjänä vastuussa sekä tietomurron aineellisista että sen aineettomista vahingoista, jos sen katsotaan laiminlyöneen tietosuoja-asetusta. Voutilaisen mukaan aineellinen vahinko voi viitata esimerkiksi taloudelliseen menetykseen ja aineeton taas esimerkiksi henkiseen kärsimykseen. Vastaamo-tapauksessa kyseeseen voi tulla molemmat vahingon muodot.

Mahdolliset hallinnolliset seuraamukset Vastaamolle määrää tietosuojavaltuutetun toimisto, joka selvittää, onko yritys toiminut tietosuoja-asetuksen mukaisesti. Jos asetusta on rikottu, tietosuojavaltuutettu voi määrätä yritykselle sanktion, kuten hallinnollisen seuraamusmaksun. Seuraamusmaksu määrätään maksettavaksi valtiolle, joten siitä ei seuraa suoraan korvauksia uhreille.

– Hallinnollisen seuraamusmaksun määrääminen on tietosuojavaltuutetun ratkaisu, jossa todetaan, että tietosuoja-asetusta ei ole noudatettu Vastaamon toiminnassa, kertoo Voutilainen.

Jos tietosuojavaltuutetun toimisto toteaa, että Vastaamo on rekisterinpitäjänä laiminlyönyt tietoturvaan ja henkilötietoihin liittyviä velvollisuuksiaan, tietomurron uhreille avautuu kaksi mahdollista väylää vahingonkorvausten vaatimiseen yritykseltä: tuomioistuin tai yrityksen kanssa tehtävä sopimus.

”Ongelmana on se, että uhreja on niin paljon, että tällaisessa asiassa sopimuksen tekeminen on todella hankalaa.”

Voutilaisen mukaan sopimus olisi kaikkien kannalta parempi vaihtoehto kuin tuomioistuin, mutta muistuttaa, ettei sekään ole ongelmaton.

– Ongelmana on se, että uhreja on niin paljon, että tällaisessa asiassa sopimuksen tekeminen on todella hankalaa. Tuomioistuimen kautta korvauksia ei kannata lähteä hakemaan ainakaan yksittäisissä tapauksissa, koska esimerkiksi kärsimyskorvaukset näistä ovat todennäköisesti varsin vähäiset, maksimissaan joitakin tuhansia euroja.

Voutilainen muistuttaa, että vaikka on mahdollista, että uhrien yksittäiset kanteet yhdistetään yhdeksi korvausoikeudenkäynniksi, ryhmäkannetta ei Suomessa tietosuoja-asioissa ole mahdollista nostaa. Koska tuomioistuinten päätöksistä voi valittaa, pahimmillaan asian käsittely tuomioistuimessa voi viedä vuosia.

– Jos vahingonkorvauskysymystä arvioidaan tuomioistuimessa, pahimmillaan asia voi edetä prosessissa korkeimpaan oikeuteen. Tämä prosessi vie vuosia ja erityisesti jos vahingonkorvausprosesseja on samanaikaisesti useita, voivat nämä keskenäänkin aiheuttaa viivästystä asian käsittelyyn, Voutilainen huomauttaa.

Sopimuksista sen sijaan ei voi valittaa, minkä vuoksi Voutilainen näkee sen todennäköisesti tuomioistuinkäsittelyä nopeampana väylänä vahingonkorvausten saamiseen.

– Jos vahingonkorvauksesta päästäisiin sopimukseen, olisi prosessi tältä osin siinä.

Voutilainen huomauttaa, että etuna vahingonkorvausten sopimusperusteisessa hoitamisessa olisi myös se, että silloin vältyttäisiin ainakin osittain julkiselta oikeudenkäynniltä. Se voisi olla omiaan aiheuttamaan uhreille ylimääräistä henkistä kuormitusta.

Tiedetään, että tähän mennessä ainakin yksi lakitoimisto on vapaaehtoistyönä valmistellut yksittäisten henkilöiden vahingonkorvaushakemuksia Vastaamolle.

 

Miten tästä eteenpäin?

Uhrien oikeutta saada korvaus rikokseen perustuvasta vahingosta on suojattu erityissääntelyllä. Täten vahingonkorvausvelvollisuus ei vanhene sinä aikana, kun syyte on nostettuna, asia on käsittelyssä tuomioistuimessa, tai syytetty on valittamassa päätöksestä hovioikeuteen tai korkeimpaan oikeuteen. Erityissääntely perustuu siihen, että oikeudenkäynnit ja niihin liittyvät valitusprosessit voivat pitää asiaa vireillä pahimmillaan vuosia.

Voutilainen pitää vahingonkorvausten saamista rikosperusteisesti epätodennäköisenä. Tietosuoja-asetuksen perusteella jonkin verran mahdollisuuksia on, jos yrityksellä on maksukykyä.

– Rikosperusteisuus edellyttäisi sitä, että olisi tiedossa tietomurron tekijä. Tietomurtojen tutkinta ei ole yksinkertaista eikä ratkaistujen juttujen määrä ole korkea. Aiemminkin tapahtuneissa laajoissa tietomurroissa tekijä ei ole jäänyt kiinni.

Muurmanin mukaan rikostutkinnan tässä vaiheessa on tärkeintä, että rikosilmoitus on tehty.

– Rikosilmoitusta laadittaessa tärkeintä on täyttää lomake huolellisesti. Lisäksi esimerkiksi kiristysviestit ja mahdolliset muut yhteydenotot tai muut todisteet on syytä säilyttää ja ottaa niistä esimerkiksi kuvakaappaus. Nämä voi lisätä rikosilmoituksen liitteiksi tai vaihtoehtoisesti toimittaa poliisille myöhemmin.

Ohjeet rikosilmoituksen tekemiseen löytyvät poliisin verkkosivuilta.

Rikostutkinnan etenemisen aikajännettä on Muurmanin mukaan vaikea ennustaa, koska monet seikat vaikuttavat tutkinta-aikatauluun ja yhteydenottojen määriin.

– Toivomme uhreilta ennen kaikkea malttia. Poliisin rikostutkinta etenee, vaikka se ei ulospäin välttämättä näykään. Kaikkiin yhteydenottoihin tai tiedusteluihin yksittäistä henkilöä koskevan asian etenemisestä emme pysty välttämättä vastaamaan. Asianomistajien tulee odottaa yhteydenottoa poliisilta, joka suorittaa esitutkinnan, jolla valmistaudutaan mahdolliseen rikosoikeudenkäyntiin.

Jos haluat käytännön neuvoja rikosprosessissa tai henkistä tukea, ota yhteyttä Rikosuhripäivystys 116 006 -puhelinpalveluun tai RIKUchat-palveluun.

Tärkeitä termejä

  • Tietosuoja-asetuksessa on määritelty kaksi roolia, jotka hoitavat henkilötietojen käsittelyä.
    • Rekisterinpitäjä päättää henkilötietojen käsittelytarkoituksesta.
    • Tietojenkäsittelijä säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta

Lue lisää

Lähteet