Nopea poistuminen Siirry sisältöön

Miten Vastaamo-tapaus etenee uhrin näkökulmasta?

Päivitetty 28.10.2022 kello 10.15

Lokakuussa 2022 poliisi tiedotti, että tietomurrosta epäilty on vangittu poissa olevana ja etsintäkuulutettu: Vastaamo-tietomurron uhrit ehtivät vielä tehdä rikosilmoituksen ja täyttää kuulustelulomakkeen


Psykoterapiakeskus Vastaamon tietomurto on Suomessa ennennäkemätön rikoskokonaisuus. Tässä artikkelissa käymme läpi erilaisia mahdollisuuksia, mitä prosessissa voi tapahtua uhrien näkökulmasta. Vaihtoehtoja on useita, sillä tapauksen tutkinta on käynnissä. Tässä vaiheessa uhri voi lähinnä seurata poliisin tiedotusta ja odottaa ohjeita. Tärkeintä on, että rikosilmoitus on tehty ja sähköinen lausumalomake täytetty.

Jos haluat käytännön neuvoja rikosprosessissa tai henkistä tukea, ota yhteyttä Rikosuhripäivystys 116 006 -puhelinpalveluun, RIKUchat-palveluun tai jätä yhteydenottopyyntö.

Lue lisää: Neuvoja kuulustelulomakkeen täyttöön  |  Vahingonkorvausten vaatiminen Vastaamon konkurssipesältä

Vastaamon tietomurrosta on tehty yli 22 000 rikosilmoitusta. Tapausta tutkitaan rikosnimikkeillä törkeä tietomurto, törkeä yksityiselämää loukkaava tiedon levittäminen ja törkeä kiristys.

Poliisin rikostutkinta etenee, ja tietomurrosta epäilty on vangittu poissaolevana ja etsintäkuulutettu. Jos tietomurtaja jää kiinni, uhreille aukeaa mahdollisuus vaatia rikoksentekijältä vahingonkorvauksia.

Vahingonkorvausvastuu voi olla usealla taholla

Tietomurtaja ei ole ainoa taho, joka saattaa olla vahingonkorvausvelvollinen tapauksessa. EU:n tietosuoja-asetus määrittelee organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat vaatimukset, joiden laiminlyömisestä voi seurata sanktioita. Asetuksessa on määritelty myös kaksi roolia, jotka hoitavat henkilötietojen käsittelyä. Rekisterinpitäjä päättää henkilötietojen käsittelytarkoituksesta ja -tavasta, ja henkilötietojen käsittelijä säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta.

Vastaamo on toiminut pääasiassa tietomurrossa vuotaneiden henkilötietojen rekisterinpitäjänä. Poikkeuksen tähän muodostaa tilanteet, joissa terveydenhuollon organisaatio on ostanut Vastaamolta palveluja – tällöin rekisterinpitäjä on ollut tämä kyseinen terveydenhuollon organisaatio, kun taas Vastaamo on toiminut henkilötietojen käsittelijän roolissa.

Tietosuoja-asetuksen mukaisesti Vastaamolla rekisterinpitäjänä on ollut vastuu tietosuojasta. Niinpä myös Vastaamoon voidaan kohdistaa oikeustoimia, jos sen katsotaan rikkoneen tätä vastuutaan. Yritysten osalta sanktiointi tietosuojarikoksissa on toteutettu hallinnollisilla seuraamuksilla. Julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta kertookin, että siinä missä tietomurtajan osalta asiaa käsiteltäisiin vahingonkorvauslain perusteella, Vastaamon osalta asiaa käsitellään tietosuoja-asetuksessa säädettyjen vahingonkorvaussäännösten perusteella.

Voutilainen huomauttaa, että Vastaamon ja tietomurtajan korvausvastuu ei koske samoja vahinkoja. Esimerkiksi tietomurtajan aiheuttama vahinko, joka ei ole enää rekisterinpitäjään sidoksissa, ei ole rekisterinpitäjän vastuulla. Tämän eron tiedostaminen on oleellista myös tapauksen uhrien näkökulmasta, sillä Vastaamoa ja tietomurtajaa koskevat vahingonkorvausprosessit ovat keskenään varsin erilaisia.

Vastaamo haettiin helmikuussa 2021 konkurssiin ja sen liiketoiminta myytiin helmikuussa toiselle yhtiölle. Miljoonien eurojen velat jäivät Vastaamolle. Lue lisää: Vahingonkorvausten hakeminen Vastaamon konkurssipesältä

Tietosuojavaltuutetun toimisto totesi joulukuussa 2021, että Vastaamo on rikkonut yleisen tietosuoja-asetuksen säännöksiä, ja määräsi sille hallinnollisen seuraamusmaksun. Tietosuojavaltuutetun toimisto: Psykoterapiakeskus Vastaamolle seuraamusmaksu tietosuojarikkomuksista

608 000 euron seuraamusmaksu määrättiin maksettavaksi valtiolle, joten siitä ei seuraa suoraan korvauksia uhreille. ”Hallinnollinen sakko on konkurssissa viimesijainen saatava. Seuraamusmaksu ei siis pienennä muihin konkurssisaataviin, kuten mahdollisiin vahingonkorvauksiin käytettävissä olevia varoja”, tietosuojavaltuutetun päätöksessä kirjoitetaan.

 

Kaavio erilaisista mahdollisuuksista vaatia vahingonkorvauksia Vastaamo-tietomurtoon liittyen

Mahdollinen rikosprosessi tietomurtajaa vastaan

Keskusrikospoliisi kehottaa uhreja seuraamaan poliisin tiedottamista uhreja koskevien ohjeiden varalta.

Jokaisen uhrin henkilökohtainen informointi prosessin eri vaiheista on käytännössä mahdotonta, koska uhreja on niin paljon.

Uhrien kuulemiset aloitettiin lokakuussa 2021 ja ne toteutetaan sähköisesti. Lue lisää: Vastaamo-tietomurron kuulustelu – neuvoja ja tukea poliisin lomakkeen täyttämiseen

Rikosprosessin keskeneräisyyden vuoksi on ennenaikaista arvioida sitä, kuinka todennäköistä on saada vahingonkorvauksia tietomurtajalta.

Koska tietomurrossa on paljon uhreja, syyttäjät eivät todennäköisesti ryhdy ajamaan uhrien korvausvaatimuksia rikosprosessissa.

Ennen kuulemista kannattaa varautua siihen, että uhrilta kysytään, onko hänellä vahingonkorvausvaatimuksia ja vaatiiko hän rangaistusta tekijälle. Kun uhri vaatii rangaistusta, syyttäjä voi nostaa syytteen myös asianomistajarikoksesta kuten esimerkiksi yksityiselämää loukkaavasta tiedon levittämisestä. Asianomistajarikoksia ovat sellaiset rikokset, jotka poliisi tutkii ja joissa syyttäjä syyttää vain, jos uhri itse vaatii rikoksen tekijälle rangaistusta.

Tässä tapauksessa uhrin on myös ilmoitettava, mistä hän vaatii korvausta ja miten paljon, sekä toimitettava poliisille vahinkoon liittyvät kirjalliset selvitykset.

Koska tietomurrossa on paljon uhreja, syyttäjät eivät todennäköisesti ryhdy ajamaan uhrien korvausvaatimuksia rikosprosessissa.

Tämä tarkoittaa sitä, että uhrien kannattaa varautua esittämään itse rikoksen tekijään kohdistuvat korvausvaatimuksensa. Poliisin kuulustelussa uhrin kannattaa ilmoittaa, että hän tulee vaatimaan korvauksia, mutta esittää tarkemmat perustellut summat lähempänä oikeudenkäyntiä. Tässä vaiheessa voi vielä ilmoittaa suuntaa antavia summia ja perusteluja vaatimuksille. Käräjäoikeus yleensä pyytää toimittamaan korvausvaatimukset etukäteen kirjallisesti, jolloin uhrin on hyvä viimeistään kääntyä lakimiehen puoleen.

Mikä on Vastaamon vastuu?

Vastaamon asiakkailla on oikeus tarkistaa, mitä tietoja itsestä on tallennettuna yrityksen rekisteriin. Koska Vastaamon toiminta on lakannut, siellä ei enää säilytetä asiakastietoja. Jos olet ollut Vastaamon asiakkaana kunnan, kuntayhtymän, sairaanhoitopiirin tai muun vastaavan organisaation kautta, voit pyytää asiakastietosi kyseiseltä organisaatiolta.

Kaikki muut asiakastiedot on siirretty Kelan arkistoitavaksi. Kelasta asiakas voi tehdä tietopyynnön suojatulla sähköpostilla: Ohje tietopyynnön tekemiseen Kelasta

Tietosuoja-asetuksen perusteella Vastaamo on rekisterinpitäjänä vastuussa sekä tietomurron aineellisista että sen aineettomista vahingoista, jos sen katsotaan laiminlyöneen tietosuoja-asetusta. Aineellinen vahinko voi viitata esimerkiksi taloudelliseen menetykseen ja aineeton taas esimerkiksi henkiseen kärsimykseen. Vastaamo-tapauksessa kyseeseen voivat tulla molemmat vahingon muodot.

Lue lisää: Vahingonkorvausten hakeminen Vastaamon konkurssipesältä

Tietosuojavaltuutetun toimisto määräsi 16.12.2022 Vastaamolle hallinnollisen seuraamusmaksun yleisen tietosuoja-asetuksen säännösten rikkomisesta. Tietosuojavaltuutetun toimisto: Psykoterapiakeskus Vastaamolle seuraamusmaksu tietosuojarikkomuksista

Konkurssi ei vaikuta niiden uhrien tilanteeseen, jotka on lähetetty esimerkiksi sairaanhoitopiiristä hoitoon Vastaamoon. Näissä vastuussa on lähettänyt sairaanhoitopiiri, jolle vahingonkorvausvaatimus on esitettävä tietosuoja-asetuksen perusteella.

Sairaanhoitopiirien rooli ja vastuu tietomurrossa

Jotkut sairaanhoitopiirit ovat lähettäneet asiakkaita Vastaamon palveluihin. Sairaanhoitopiirit ovat silloin toimineet itsenäisinä rekisterinpitäjinä, ja Vastaamo on toiminut henkilötietojen käsittelijänä sairaanhoitopiirien lukuun.

Tietosuojavaltuutetun toimisto on selvittänyt niiden rekisterinpitäjien henkilötietojen käsittelyä, joiden lukuun Vastaamo on toiminut käsittelijänä, ja antanut joillekin rekisterinpitäjille huomautuksen.

Tietosuojavaltuutetun toimiston verkkosivuilta löytyy lisätietoa vahingonkorvausten vaatimisesta. Sivulla neuvotaan muun muassa ensisijaisesti esittämään korvausvaatimukset suoraan tietosuoja-asetusta rikkoneelle rekisterinpitäjälle tai henkilötietojen käsittelijälle. Lue lisää: Tietosuojavaltuutettu: Vahingonkorvausten vaatiminen tietosuoja-asetuksen rikkomisesta

Miten tästä eteenpäin?

Uhrien oikeutta saada korvaus rikokseen perustuvasta vahingosta on suojattu erityissääntelyllä. Vahingonkorvausvelvollisuus ei vanhene sinä aikana, kun syyte on nostettuna, asia on käsittelyssä tuomioistuimessa, tai syytetty on valittamassa päätöksestä hovioikeuteen tai korkeimpaan oikeuteen. Erityissääntely perustuu siihen, että oikeudenkäynnit ja niihin liittyvät valitusprosessit voivat pitää asiaa vireillä pahimmillaan vuosia.

Poliisin mukaan rikostutkinnan tässä vaiheessa on tärkeintä, että rikosilmoitus on tehty huolellisesti. Lisäksi esimerkiksi kiristysviestit ja mahdolliset muut yhteydenotot tai todisteet on syytä säilyttää ja ottaa niistä esimerkiksi kuvakaappaus. Nämä voi lisätä rikosilmoituksen liitteiksi tai toimittaa poliisille myöhemmin.

Ohjeet rikosilmoituksen tekemiseen löytyvät poliisin verkkosivuilta.

Lue lisää