Dataintrånget i psykoterapicentret Vastaamo är en brottshelhet som till sin omfattning och till sitt innehåll aldrig tidigare skådats i Finland. I den här artikeln går vi igenom möjliga scenarier för vad som kommer att hända i fallet ur offrens perspektiv. Det finns flera alternativ eftersom undersökningen av fallet fortfarande pågår. I det här skedet kan offret närmast följa polisens information och vänta på eventuella anvisningar. Det viktigaste är att brottsanmälan har gjorts och att all dokumentation om möjliga skador har sparats.
Läs mer: Gör så här om dina uppgifter har läckt ut på nätet
Om du önskar praktiska råd kring brottsprocessen eller psykiskt stöd, ta kontakt med Brottsofferjourens telefonjour 116 006 på svenska må-fre kl. 12-14.
I november 2020 meddelade polisen att över 25 000 offer har gjort brottsanmälan om dataintrånget i Vastaamo. Fallet undersöks under brottsrubriceringarna grovt dataintrång, grovt spridande av information som kränker privatlivet och grov utpressning.
Polisens brottsundersökning framskrider men personen som utfört dataintrånget har ännu inte gripits. Dessutom är det ännu oklart om det är fler än en person som gjort sig skyldiga till ovannämnda brott. Om personen som gjort dataintrånget grips inleds en brottsprocess som gör det möjligt för offren att yrka på skadestånd av gärningsmannen.
Gärningsmannen är dock inte den enda parten som kan vara skadeståndsskyldig i fallet. EU:s dataskyddsförordning som trädde i kraft våren 2018 definierar exakta krav för företag och organisationer för insamling, lagring och hantering av personuppgifter och försummelse av dessa kan leda till sanktioner. I förordningen definieras även två roller som sköter om behandlingen av personuppgifter. Den personuppgiftsansvarige beslutar om syftet med och sättet för behandlingen av personuppgifter och personuppgiftsbiträdet lagrar och hanterar uppgifterna för den personuppgiftsansvarige.
Vastaamo har huvudsakligen fungerat som personuppgiftsansvarig för personuppgifterna som läckt ut vid dataintrånget. Undantag här utgörs av situationer där en hälsovårdsorganisation har köpt tjänster från Vastaamo – då har ifrågavarande hälsovårdsorganisation varit personuppgiftsansvarig medan Vastaamo har fungerat som personuppgiftsbiträde.
Enligt dataskyddsförordningen har Vastaamo i egenskap av personuppgiftsansvarig haft ansvar för dataskyddet. På så sätt kan rättshandlingar även riktas mot Vastaamo om man anser att Vastaamo brutit mot detta ansvar. För företag har sanktionerna i dataskyddsbrott verkställt genom administrativa sanktioner. Professorn i offentlig rätt Tomi Voutilainen från Östra Finlands universitet berättar att med avseende på personen som utfört dataintrånget behandlas ärendet baserat på skadeståndslagen och för Vastaamos del behandlas ärendet baserat på skadeståndsbestämmelserna som föreskrivs i dataskyddsförordningen.
Voutilainen understryker att Vastaamo och den som utfört dataintrånget har olika ersättningsansvar pga. att skadorna är av olika typ. Till exempel en skada orsakad av den som utfört dataintrånget, och inte mera är bundet till den som upprätthållit registret, är inte registerupprätthållaren ansvarig för. Förståelsen för denna skillnad är väsentlig även för offret, eftersom skadeståndsprocessen är annorlunda för Vastaamo än för den som har utfört dataintrånget.
Dataombudsmannens byrå utreder just nu om Vastaamo har agerat enligt dataskyddsförordningen. Utredningens resultat väntas färdigställas till sommaren. Först när resultaten finns tillgängliga är det möjligt att bedöma ifall offrena för dataintrånget har rätt till ersättning från Vastaamo. På grund av att brottsprocessen fortfarande pågår är det för tidigt att säga hur sannolikt det är att klienterna får ersättning av den som utfört dataintrånget.
Möjlig brottsprocess mot personen som gjort dataintrånget
Kriminalöverkommissarie Tero Muurman från Centralkriminalpolisen uppmanar offren att följa polisens information om ärendets framskridande samt för eventuella anvisningar till offren.
Vi strävar naturligtvis efter att informera om förundersökningen på olika sätt så mycket som möjligt.
– Det är tyvärr omöjligt att personligen informera varje offer om processens olika skeden på grund av det stora antalet offer. Vi strävar naturligtvis efter att informera om förundersökningen på olika sätt så mycket som möjligt, säger Muurman.
Enligt Muurman är det ännu för tidigt att säga om det kommer att finnas behov att höra offren vid en eventuell brottsprocess. Utgångsmässigt förhör polisen varje offer men det är troligt att förhören kommer att genomföras på flera olika sätt på grund av den stora mängden offer.
– Kontakten och inledningen av förhör är i sig inte bundet till att gripa gärningsmannen och det kan mycket väl äga rum redan innan gärningsmannen har gripits, säger Muurman.
Muurman säger att polisen enligt nuvarande information är i kontakt med offren endast en gång under undersökningen i samband med förhöret.
– Från fall till fall kan det dock finnas behov av till exempel kompletterande frågor för vissa.
På grund av det exceptionella fallet och det stora antalet offer förväntar sig polisen troligtvis inte någon betydande aktiv insats av offren för att driva brottsprocessen framåt. Rent allmänt kan man konstatera att ifall det inte finns behov att höra offret i rättegången räcker det om hen tillhandahåller rätten ett eventuellt skriftligt krav på skadestånd.
– Det är möjligt att första gången lägga fram krav på skadestånd då polisen förhör offret. Då kan offret preliminärt meddela om hen överhuvudtaget kommer att kräva ersättning och om hen yrkar på straff för gärningsmannen. Ifall målsägande kräver ersättning skickar tingsrätten före en eventuell rättegång ett brev till offret där tingsrätten ber offret skriftligen skicka ett eventuellt krav på skadestånd. Offret har ännu möjlighet att meddela om sitt krav på skadestånd under den muntliga rättegången, berättar specialiståklagare Tuomas Soosalu från Södra Finlands åklagardistrikt.
Enligt Soosalu kan tingsrätten självständigt lösa frågan om skadeståndskrav utan offrets närvaro. På så sätt får offret själv överväga om hen deltar i rättegången eller inte.
Åklagaren kan dock anse det nödvändigt att höra offret i rättegången. Om så är fallet skickar tingsrätten en kallelse till rättegången till offret.
– Rättegångarna är i sig offentliga så vem som helst kan delta men det är självklart att alla nödvändigtvis inte ryms i samma sal samtidigt på grund av rättssalarnas begränsade kapacitet. Det är domstolen som löser eventuella situationer där alla offer inte ryms in samtidigt för att följa en rättegång, säger Soosalu.
Vad är Vastaamos ansvar?
Alla Vastaamos kunder har rätt att granska vilka uppgifter har sparats om dem själva och för vilket syfte dessa har sparats i företagets register. Efter att begäran om granskning mottagits ska Vastaamo ge en kopia av de sparade uppgifterna. Kopian är utgångsmässigt avgiftsfri men om flera kopior begärs kan Vastaamo ta ut en avgift för dessa som täcker åtgärdskostnaderna. Tyvärr är det inom ramarna för lagstiftningen inte möjligt att radera uppgifterna i sin helhet ur registret.
Enligt dataskyddsförordningen ansvarar Vastaamo i egenskap av personuppgiftsansvarig både för dataintrångets materiella och immateriella skador om man anser att de försummat dataskyddsförordningen. Enligt Voutilainen kan materiell skada till exempel hänföra sig till ekonomisk förlust och en immateriell skada till exempelvis psykiskt lidande. I Vastaamo-fallet kan det vara fråga om båda typerna av skador.
Eventuella administrativa sanktioner för Vastaamo utfärdas av Dataombudsmannens byrå som utreder om företaget har agerat i enlighet med dataskyddsförordningen. Vid överträdelser mot förordningen kan dataombudsmannen påföra företaget sanktioner, såsom administrativ påföljdsavgift. Påföljdsavgiften ska betalas till staten och leder således inte till direkta ersättningar för offren.
– Påförandet av administrativ påföljdsavgift är dataombudsmannens beslut där det konstateras att dataskyddsförordningen inte har iakttagits i Vastaamos verksamhet, berättar Voutilainen.
Om Dataombudsmannens byrå konstaterar att Vastaamo i egenskap av personuppgiftsansvarig har försummat sina skyldigheter avseende dataskydd och personuppgifter har offren för dataintrånget två möjliga vägar att gå vid krav av skadestånd av företaget: via domstol eller överenskommelse med företaget.
Problemet är att det finns så många offer så det är väldigt svårt att nå en överenskommelse i ett dylikt fall.
Enligt Voutilainen är en överenskommelse ett bättre alternativ än domstol för alla parter, men påminner att inte heller det är problemfritt.
– Problemet är att det finns så många offer så det är väldigt svårt att nå en överenskommelse i ett dylikt fall. Det lönar sig åtminstone inte i enskilda fall att börja söka ersättning via domstol eftersom till exempel ersättningar för lidande sannolikt är rätt små, högst några tusen euro.
Voutilainen påminner att trots att det är möjligt att offers enskilda åtal sammanslås till en ersättningsrättegång är det inte möjligt att väcka gruppåtal i Finland i dataskyddsärenden. Eftersom man kan besvära sig över domstolarnas beslut kan beredningen i domstol i värsta fall ta flera år.
– Om skadeståndsärendet bedöms i domstol kan ärendet i värsta fall framskrida till Högsta domstolen. Den här processen tar flera år och särskilt om det samtidigt finns flera skadeståndsprocesser kan dessa sinsemellan också orsaka fördröjning i behandlingen av ärendet, säger Voutilainen.
Det går dock inte att besvära sig över överenskommelser och därför anser Voutilainen att detta troligtvis är ett snabbare sätt än domstolsbehandling för att erhålla skadestånd.
– Om överenskommelse om skadeståndet kan uppnås är processen klar i det avseendet.
Voutilainen påpekar att fördelen med överenskommelsebaserad skötsel av skadestånd även är att man åtminstone till viss del då undviker en offentlig rättegång. Den kan orsaka offret ytterligare psykisk belastning.
Vi vet att åtminstone en advokatbyrå på frivillig basis hittills berett enskilda personers ansökan om skadestånd till Vastaamo.
Hur går man vidare?
Den skadelidandes rätt till ersättning för skada till följd av brottet skyddas av specialbestämmelser. Skadeståndsskyldigheten upphör inte under tiden som åtal väcks, då ärendet behandlas i domstol eller då den åtalade besvärar sig över beslutet till hovrätten eller Högsta domstolen. Specialbestämmelsen grundar sig på att rättegångar och relaterade besvärsprocesser i värsta fall kan anhängiggöra ärendet i flera år.
Voutilainen anser det som osannolikt att skadestånd erhålls på straffrättsliga grunder. På grundval av dataskyddsförordningen finns det vissa möjligheter om företaget är solvent.
– Brottsgrunden förutsätter att dataintrångets gärningsman är känd. Undersökningen av dataintrång är inte enkel och antalet lösta fall är inte många. I omfattande dataintrång som skett tidigare har gärningsmannen inte heller gripits.
Enligt Muurman är det viktigaste i det här skedet av brottsundersökningen att brottsanmälan har gjorts.
– Vid utarbetandet av brottsanmälan är det viktigast att blanketten fylls i omsorgsfullt. Dessutom ska till exempel utpressningsmeddelanden och eventuella andra kontaktförsök eller andra bevis sparas och exempelvis en skärmdump tas. Dessa kan bifogas som bilagor till brottsanmälan eller alternativt skickas senare till polisen.
Anvisningar för brottsanmälan finns på polisens webbsidor.
Enligt Muurman är det svårt att förutspå brottsundersökningens framskridande eftersom många faktorer inverkar på undersökningstidtabellen och antalet kontakter.
– Vi önskar att offren framför allt har tålamod. Polisens förundersökning framskrider trots att det nödvändigtvis inte syns utåt. Vi kan inte svara på alla kontakter eller förfrågningar om ärendets framskridande avseende enskilda personer. Målsägande ska vänta att kontaktas av polisen som genomför förundersökningen och som bereder en eventuell brottsrättegång.
Om du önskar praktiska råd kring brottsprocessen eller psykiskt stöd, ta kontakt med Brottsofferjourens telefonjour 116 006 på svenska må-fre kl. 12-14.
Viktiga termer
- • I dataskyddsförordningen definieras två roller som sköter om behandlingen av personuppgifter.
- Den personuppgiftsansvarige beslutar om personuppgifternas användningsändamål.
- Personuppgiftsbiträdet sparar och behandlar uppgifterna för den personuppgiftsansvariges del.
Läs mer
- Gör så här om dina uppgifter har läckt ut på nätet – Dataintrånget mot psykoterapicentret Vastaamo
- Dataintrånget är på många sätt chockerande, men hjälp finns att få
Källor
- Konsumentförbundet (på finska), YLE (på finska) och Dataombudsmannens byrå