Päivitetty 19.9.2023 kello 10.00
Psykoterapiakeskus Vastaamon tietomurto on Suomessa ennennäkemätön rikoskokonaisuus. Tällä sivulla käydään läpi erilaisia mahdollisuuksia, mitä prosessissa voi tapahtua uhrien näkökulmasta. Vaihtoehtoja on useita, ja tapauksen käsittely jatkunee vielä vuosia. Tässä vaiheessa uhrin kannattaa seurata viranomaisten tiedotusta ja odottaa ohjeita.
Jos haluat käytännön neuvoja rikosprosessissa tai henkistä tukea, ota yhteyttä maksuttomiin palveluihimme:
- Rikosuhripäivystys 116 006 -puhelinpalvelu palvelee arkisin suomeksi kello 9–20 ja ruotsiksi kello 12–14.
- RIKUchat palvelee arkisin kello 9–15 ja lisäksi maanantai-iltaisin kello 17–19.
- Jätä yhteydenottopyyntö
Rikosprosessi tietomurtajaa vastaan
Tietomurrosta epäilty on otettu kiinni. Elokuussa 2023 keskusrikospoliisi kertoi, että esitutkinta on valmistumassa ja asia on siirtymässä syyttäjälle. Poliisi on saanut selvitettyä kaikki asianomistajat, jotka joutuivat kiristysyrityksen ja yksityiselämää loukkaavan tiedon levittämisen uhriksi Vastaamo-tietomurtotapauksessa lokakuussa 2020. Heitä on yhteensä noin 33 000. Lue lisää: Vastaamo-tietomurron esitutkinta on valmistumassa
Oikeudenkäynnin myötä uhreilla on mahdollisuus vaatia rikoksentekijältä vahingonkorvauksia. Käräjäoikeus voi mahdollisesti erottaa uhrien vahingonkorvausvaatimuksia koskevat asiat käsiteltäväksi erikseen siviiliprosessissa.
Rikosprosessin keskeneräisyyden vuoksi on ennenaikaista arvioida sitä, kuinka todennäköistä on saada vahingonkorvauksia tietomurtajalta.
Vahingonkorvauksia voi vaatia itse
Syyttäjälaitos on elokuussa 2023 lähettänyt kirjeen niille asianomistajille, jotka ovat tehneet asiasta rikosilmoituksen. Syyttäjä ilmoitti kirjeessä, ettei tule ajamaan asianomistajien vahingonkorvausvaatimuksia, koska asianomistajia on niin paljon.
Tämä tarkoittaa sitä, että uhrien kannattaa varautua esittämään itse rikoksen tekijään kohdistuvat mahdolliset korvausvaatimuksensa. Poliisin kuulusteluvaiheessa uhria neuvottiin ilmoittamaan, että hän tulee vaatimaan korvauksia, mutta esittää tarkemmat perustellut summat lähempänä oikeudenkäyntiä.
Käräjäoikeus pyytää yleensä asianomistajia, jotka ovat ilmoittaneet poliisille vaativansa korvauksia, toimittamaan korvausvaatimukset etukäteen kirjallisesti. Viranomaisilta tulee lisätietoja myöhemmin.
Lue lisää: Vahingonkorvaukset rikosvahingoissa
Jos käyttää avustajaa, kulujen kattaminen kannattaa selvittää etukäteen
Jos uhri haluaa apua korvausvaatimusten esittämiseen, hän voi olla yhteydessä oikeusaputoimistoon, yksityiseen asianajajaan tai lupalakimieheen, jonka tulee selvittää, kattaako uhrin oikeusturvavakuutus kulut tai onko ne mahdollista saada katettua julkisista varoista. Lue lisää: Oikeusavustajan kulujen kattaminen
Syyte on nostettava viimeistään 18.10.2023, eli syyttäjä kertoo silloin, viekö hän asian oikeuteen. Vasta tämän jälkeen käräjäoikeus mahdollisesti päättää, erotetaanko vahingonkorvauksia koskevat asiat käsiteltäväksi erikseen riita-asiain oikeudenkäynnistä säädetyssä järjestyksessä. Mikäli näin tehdään, sillä voi olla vaikutusta siihen, saako asianomistaja katettua lakimiehensä kulut rikosprosessissa oikeusturvavakuutuksesta tai valtion varoista. Uhrin kannattaa keskustella kuluasiasta valitsemansa lakimiesavustajan kanssa.
Todennäköisesti asian istuntokäsittely alkaa Länsi-Uudenmaan käräjäoikeudessa marraskuun alussa. Tarkempaa tietoa oikeudenkäynnin ajankohdasta toimitetaan asianomistajille, kun syyttäjän syyte on tullut käräjäoikeuteen vireille. Lue lisää: Tuomioistuinlaitos: Vastaamo-kokonaisuuden tuomioistuinkäsittely Länsi-Uudenmaan käräjäoikeudessa
Lue lisää Syyttäjälaitoksen sivuilla syyteharkinnan vaiheista: syyttajalaitos.fi/vastaamo
Kannattaa aina keskustella lakimiehen kanssa, mistä varoista hänen palkkionsa maksetaan.
Vahingonkorvausvastuu voi olla usealla taholla
Tietomurtaja ei ole ainoa taho, joka saattaa olla vahingonkorvausvelvollinen tapauksessa. EU:n tietosuoja-asetus määrittelee organisaatioille henkilötietojen keräämistä, säilytystä ja hallinnointia koskevat vaatimukset, joiden laiminlyömisestä voi seurata sanktioita. Asetuksessa on määritelty myös kaksi roolia, jotka hoitavat henkilötietojen käsittelyä. Rekisterinpitäjä päättää henkilötietojen käsittelytarkoituksesta ja -tavasta, ja henkilötietojen käsittelijä säilyttää ja käsittelee tiedot rekisterinpitäjän puolesta.
Vastaamo on toiminut pääasiassa tietomurrossa vuotaneiden henkilötietojen rekisterinpitäjänä. Poikkeuksen tähän muodostaa tilanteet, joissa terveydenhuollon organisaatio on ostanut Vastaamolta palveluja – tällöin rekisterinpitäjä on ollut tämä kyseinen terveydenhuollon organisaatio, kun taas Vastaamo on toiminut henkilötietojen käsittelijän roolissa.
Tietosuoja-asetuksen mukaisesti Vastaamolla rekisterinpitäjänä on ollut vastuu tietosuojasta. Niinpä myös Vastaamoon on kohdistettu oikeustoimia, koska sen on katsottu rikkoneen tätä vastuutaan. Yritysten osalta sanktiointi tietosuojarikoksissa on toteutettu hallinnollisilla seuraamuksilla. Julkisoikeuden professori Tomi Voutilainen Itä-Suomen yliopistosta kertoi keväällä 2021, että siinä missä tietomurtajan osalta asiaa käsitellään vahingonkorvauslain perusteella, Vastaamon osalta asiaa käsitellään tietosuoja-asetuksessa säädettyjen vahingonkorvaussäännösten perusteella.
Voutilainen huomauttaa, että Vastaamon ja tietomurtajan korvausvastuu ei koske samoja vahinkoja. Esimerkiksi tietomurtajan aiheuttama vahinko, joka ei ole enää rekisterinpitäjään sidoksissa, ei ole rekisterinpitäjän vastuulla. Tämän eron tiedostaminen on oleellista myös tapauksen uhrien näkökulmasta, sillä Vastaamoa ja tietomurtajaa koskevat vahingonkorvausprosessit ovat keskenään varsin erilaisia.
Vastaamo haettiin helmikuussa 2021 konkurssiin ja sen liiketoiminta myytiin helmikuussa toiselle yhtiölle. Miljoonien eurojen velat jäivät Vastaamolle. Lue lisää: Vahingonkorvausten hakeminen Vastaamon konkurssipesältä
Tietosuojavaltuutetun toimisto totesi joulukuussa 2021, että Vastaamo on rikkonut yleisen tietosuoja-asetuksen säännöksiä, ja määräsi sille hallinnollisen seuraamusmaksun. Tietosuojavaltuutetun toimisto: Psykoterapiakeskus Vastaamolle seuraamusmaksu tietosuojarikkomuksista
608 000 euron seuraamusmaksu määrättiin maksettavaksi valtiolle, joten siitä ei seuraa suoraan korvauksia uhreille. ”Hallinnollinen sakko on konkurssissa viimesijainen saatava. Seuraamusmaksu ei siis pienennä muihin konkurssisaataviin, kuten mahdollisiin vahingonkorvauksiin käytettävissä olevia varoja”, tietosuojavaltuutetun päätöksessä kirjoitetaan.
Mikä on Vastaamon vastuu?
Vastaamon asiakkailla on oikeus tarkistaa, mitä tietoja itsestä on tallennettuna yrityksen rekisteriin. Koska Vastaamon toiminta on lakannut, siellä ei enää säilytetä asiakastietoja. Jos olet ollut Vastaamon asiakkaana kunnan, kuntayhtymän, sairaanhoitopiirin tai muun vastaavan organisaation kautta, voit pyytää asiakastietosi kyseiseltä organisaatiolta.
Kaikki muut asiakastiedot on siirretty Kelan arkistoitavaksi. Kelasta asiakas voi tehdä tietopyynnön suojatulla sähköpostilla: Ohje tietopyynnön tekemiseen Kelasta
Tietosuoja-asetuksen perusteella Vastaamo on rekisterinpitäjänä vastuussa sekä tietomurron aineellisista että sen aineettomista vahingoista, jos sen katsotaan laiminlyöneen tietosuoja-asetusta. Aineellinen vahinko voi viitata esimerkiksi taloudelliseen menetykseen ja aineeton taas esimerkiksi henkiseen kärsimykseen. Tässä tapauksessa kyseeseen voivat tulla molemmat vahingon muodot.
Lue lisää: Vahingonkorvausten vaatiminen Vastaamon konkurssipesältä
Konkurssi ei vaikuta niiden uhrien tilanteeseen, jotka on lähetetty esimerkiksi sairaanhoitopiiristä hoitoon Vastaamoon. Näissä vastuussa on lähettänyt sairaanhoitopiiri, jolle vahingonkorvausvaatimus on esitettävä tietosuoja-asetuksen perusteella.
Sairaanhoitopiirien rooli ja vastuu tietomurrossa
Jotkut sairaanhoitopiirit ovat lähettäneet asiakkaita Vastaamon palveluihin. Sairaanhoitopiirit ovat silloin toimineet itsenäisinä rekisterinpitäjinä, ja Vastaamo on toiminut henkilötietojen käsittelijänä sairaanhoitopiirien lukuun.
Tietosuojavaltuutetun toimisto on selvittänyt niiden rekisterinpitäjien henkilötietojen käsittelyä, joiden lukuun Vastaamo on toiminut käsittelijänä, ja antanut joillekin rekisterinpitäjille huomautuksen.
Tietosuojavaltuutetun toimiston verkkosivuilta löytyy lisätietoa vahingonkorvausten vaatimisesta. Sivulla neuvotaan muun muassa ensisijaisesti esittämään korvausvaatimukset suoraan tietosuoja-asetusta rikkoneelle rekisterinpitäjälle tai henkilötietojen käsittelijälle. Lue lisää: Tietosuojavaltuutettu: Vahingonkorvausten vaatiminen tietosuoja-asetuksen rikkomisesta
Mikäli vastuullinen taho, esimerkiksi sairaanhoitopiiri, on sote-uudistuksen jälkeen hyvinvointialueen hallinnoima, voi vaatimuksen lähettää hyvinvointialueelle tai HUS-yhtymälle. Vaatimus kannattaa toimittaa aina kirjaamon osoitteeseen.
Miten tästä eteenpäin?
Uhrien oikeutta saada korvaus rikokseen perustuvasta vahingosta on suojattu erityissääntelyllä. Vahingonkorvausvelvollisuus ei vanhene sinä aikana, kun syyte on nostettuna, asia on käsittelyssä tuomioistuimessa tai syytetty on valittamassa päätöksestä hovioikeuteen tai korkeimpaan oikeuteen. Erityissääntely perustuu siihen, että oikeudenkäynnit ja niihin liittyvät valitusprosessit voivat pitää asiaa vireillä pahimmillaan vuosia.
Poliisin mukaan tässä vaiheessa uhri voi jäädä odottamaan lisätietoa. Esimerkiksi kiristysviestit ja mahdolliset muut yhteydenotot tai todisteet on syytä säilyttää ja ottaa niistä esimerkiksi kuvakaappaus. Ohjeet rikosilmoituksen tekemiseen löytyvät poliisin verkkosivuilta.