Dataintrånget i psykoterapicentret Vastaamo är en brottshelhet som aldrig tidigare skådats i Finland. I den här artikeln går vi igenom olika möjligheter för vad som kan hända i processen ur offrens perspektiv. Det finns flera alternativ eftersom undersökningen av fallet pågår. I det här skedet kan offret närmast följa polisens information och vänta på anvisningar. Det viktigaste är att brottsanmälan har gjorts och att all dokumentation om möjliga skador har sparats.
Om du vill ha praktiska råd i brottsprocessen eller mentalt stöd ska du kontakta telefontjänsten Brottsofferjouren 116 006, RIKUchat-tjänsten eller lämna en kontaktbegäran.
Läs mer: Dataintrånget i Vastaamo – råd till offren | Ansökan om skadestånd från Vastaamos konkursbo
Det har gjorts över 25 000 brottsanmälningar för dataintrånget i Vastaamo. Fallet undersöks under brottsrubriceringarna grovt dataintrång, grovt spridande av information som kränker privatlivet och grov utpressning.
Polisens brottsundersökning framskrider men gärningsmannen eller -männen som utfört dataintrånget har ännu inte gripits. Om personen som gjort dataintrånget grips blir det möjligt för offren att yrka på skadestånd av gärningsmannen.
Flera instanser kan vara skadeståndsansvariga
Gärningsmannen är inte den enda instansen som kan vara skadeståndsskyldig i fallet. EU:s dataskyddsförordning definierar krav för organisationer för insamling, lagring och hantering av personuppgifter och försummelse av dessa kan leda till sanktioner. I förordningen har även två roller definierats som sköter om behandlingen av personuppgifter. Den personuppgiftsansvarige beslutar om syftet med och sättet för behandlingen av personuppgifter och personuppgiftsbiträdet lagrar och hanterar uppgifterna för den personuppgiftsansvarige.
Vastaamo har huvudsakligen fungerat som personuppgiftsansvarig för personuppgifterna som läckt ut vid dataintrånget. Undantag här utgörs av situationer där en hälsovårdsorganisation har köpt tjänster från Vastaamo – då har ifrågavarande hälsovårdsorganisation varit personuppgiftsansvarig medan Vastaamo har fungerat som personuppgiftsbiträde.
Enligt dataskyddsförordningen har Vastaamo i egenskap av personuppgiftsansvarig haft ansvar över dataskyddet. På så sätt kan rättshandlingar även riktas mot Vastaamo om man anser att Vastaamo brutit mot detta ansvar. För företag har sanktionerna i dataskyddsbrott genomförts med administrativa sanktioner. Professorn i offentlig rätt Tomi Voutilainen från Östra Finlands universitet berättar att med avseende på personen som utfört dataintrånget behandlas ärendet på grundval av skadeståndslagen och för Vastaamos del behandlas ärendet på grundval av skadeståndsbestämmelserna som föreskrivs i dataskyddsförordningen.
Voutilainen påpekar att Vastaamos och gärningsmannens skadeståndsansvar inte gäller samma skador. Skadan som orsakats av personen som gjort dataintrånget och som inte längre är bunden till den personuppgiftsansvarige är inte den personuppgiftsansvariges ansvar. Medvetenhet om den här skillnaden är även väsentlig ur offrens perspektiv eftersom skadeståndsprocesserna för Vastaamo och gärningsmannen är tämligen olika.
Dataombudsmannens byrå utreder för närvarande om Vastaamo har agerat i strid mot dataskyddslagstiftningen. Resultatet från utredningen förväntas komma under hösten 2021. Efter resultatet är det möjligt att noggrant bedöma offrens faktiska möjligheter till skadestånd från Vastaamo.
Ärendet försvåras av att Vastaamo försattes i konkurs och att dess verksamhet såldes till ett annat bolag i februari. Skulderna på miljontals euro blev kvar hos Vastaamo. Om man vill ansöka om skadestånd från konkursboet ska yrkandet på skadestånd lämnas in före konkursbevakningens förfallodag (29.6.2021). Läs mer: Ansökan om skadestånd från Vastaamos konkursbo
Möjlig brottsprocess mot personen som gjort dataintrånget
Centralkriminalpolisen uppmanar offren att följa polisens information om anvisningar för offren.
Det är praktiskt omöjligt att informera varje offer individuellt om processens olika skeden eftersom det finns så många offer.
Hörandet av offer inleds under år 2021 och genomförs genom specialarrangemang.
På grund av den oavslutade brottsprocessen är det för tidigt att bedöma sannolikheten för att få skadestånd från gärningsmannen.
Eftersom det finns många offer i dataintrånget är det inte troligt att åklagarna börjar behandla offrens skadeståndsyrkanden i en brottsprocess.
Före förhöret är det bra att bereda sig på att offren tillfrågas om de har yrkanden på skadestånd och om de yrkar på straff för gärningsmannen. Då offret yrkar på straff kan åklagaren även väcka åtal för målsägandebrott, som för exempelvis spridande av information som kränker privatlivet. Målsägandebrott är brott som polisen undersöker och som åklagaren åtalar endast om offret själv kräver att gärningsmannen straffas.
I dylika fall ska offret även meddela vad hen yrkar på skadestånd för och hur mycket samt lämna in skriftliga utredningar om skadan till polisen.
Eftersom det finns många offer i dataintrånget är det inte troligt att åklagarna börjar behandla offrens skadeståndsyrkanden i en brottsprocess.
Detta innebär att det lönar sig för offren att förbereda sig på att presentera sina skadeståndsanspråk som riktas till själva gärningsmannen. I polisförhöret ska offret meddela polisen att hen kommer att yrka på skadestånd men lämna in mer exakta motiverade summor närmare rättegången. I det här skedet kan man ännu meddela riktgivande summor och motiveringar till yrkandet. Tingsrätten ber vanligtvis att lämna in skadeståndsyrkanden skriftligen på förhand och senast då är det bra om offret vänder sig till en jurist.
Vad är Vastaamos ansvar?
Vastaamos kunder har rätt att kontrollera vilka uppgifter som har sparats om dem själva i företagets register. Eftersom Vastaamos verksamhet har upphört förvaras inga kunduppgifter där länge. Om du har varit Vastaamos kund via kommunen, samkommunen, sjukvårdsdistriktet eller någon annan motsvarande organisation kan du be om dina kunduppgifter via ifrågavarande organisation.
Alla andra kunduppgifter har överförts till Fpa för arkivering. Från Fpa kan kunden göra en begäran om information genom krypterad e-post. Anvisningar för begäran om information från Fpa
Enligt dataskyddsförordningen ansvarar Vastaamo i egenskap av personuppgiftsansvarig både för dataintrångets materiella och immateriella skador om man anser att de försummat dataskyddsförordningen. Materiell skada kan till exempel syfta till ekonomisk förlust och en immateriell skada till exempelvis psykiskt lidande. I Vastaamo-fallet kan det vara fråga om båda typerna av skador.
Läs mer: Ansökan om skadestånd från Vastaamos konkursbo
Eventuella administrativa sanktioner för Vastaamos konkursbo utfärdas av Dataombudsmannens byrå som utreder om företaget har agerat i enlighet med dataskyddsförordningen. Vid överträdelser mot förordningen kan dataombudsmannen påföra sanktioner, såsom administrativ påföljdsavgift. Påföljdsavgiften ska betalas till staten och leder således inte till direkta ersättningar för offren.
Konkursen inverkar inte på de offers situation som har överförts från till exempel sjukvårdsdistriktet för vård till Vastaamo. I dessa fall ligger ansvaret hos det avsändande sjukvårdsdistriktet till vilket yrkandet på skadestånd ska lämnas in i enlighet med dataskyddsförordningen.
Hur går man vidare?
Offrens rätt till ersättning för skada till följd av brottet skyddas av specialbestämmelser. Skadeståndsskyldigheten upphör inte under tiden som åtal väcks, då ärendet behandlas i domstol eller då den åtalade besvärar sig över beslutet till hovrätten eller högsta domstolen. Specialbestämmelsen grundar sig på att rättegångar och relaterade besvärsprocesser i värsta fall kan anhängiggöra ärendet i flera år.
Enligt polisen är det viktigaste i det här skedet av brottsundersökningen att brottsanmälan har gjorts. Dessutom ska till exempel utpressningsmeddelanden och eventuella andra kontaktförsök eller bevis sparas och exempelvis en skärmdump tas. Dessa kan bifogas som bilagor till brottsanmälan eller senare skickas till polisen.
Anvisningar för brottsanmälan finns på polisens webbsidor.
Viktiga termer
- • I dataskyddsförordningen definieras två roller som sköter om behandlingen av personuppgifter.
- Den personuppgiftsansvarige beslutar om personuppgifternas användningsändamål.
- Personuppgiftsbiträdet sparar och behandlar uppgifterna för den personuppgiftsansvariges del.
Läs mer
- Gör så här om dina uppgifter har läckt ut på nätet – Dataintrånget mot psykoterapicentret Vastaamo
- Dataintrånget är på många sätt chockerande, men hjälp finns att få
Källor
- Konsumentförbundet (på finska), YLE (på finska) och Dataombudsmannens byrå