Muut

Neuvoja tietovuodon kohteeksi joutuneille

26.10.2020 | Kuluttajaliitto

Kädet tietokoneella

Kuluttajaliitto on avannut neuvontanumeron Vastaamon tietosuojamurron uhreille.

  • Mitkä ovat tietosuojamurron kohteeksi joutuneen oikeudet?
  • Onko juuri minulla oikeus vahingonkorvaukseen?
  • Miten nyt tulisi toimia?
  • Miten voin suojautua identiteettivarkaudelta mahdollisimman hyvin?
  • Muun muassa näitä kysymyksiä voi kysyä kaikille avoimesta kuluttajan ja potilaan lakineuvontanumerosta.

Kuluttajaliiton kuluttajan ja potilaan lakineuvonta palvelee tietosuojamurtoasioissa: ma–pe klo 9–12 ja klo 13–16 numerossa 09-454 22150 (mpm/pvm).

Advice in english about consumers’ and patients’ rights: please use the number above.
Rådgivning om konsumenters rättigheter på svenska: info@kuluttajaliitto.fi

Huom! Kuluttajaliiton neuvontanumero ei tarjoa varsinaista kriisiapua, vaan sitä tarvitsevat voivat soittaa esimerkiksi Rikosuhripäivystyksen tai Suomen Punaisen Ristin auttavaan puhelimeen.

Toimi näin, jos tietojasi on vuodettu verkkoon

Rikosuhripäivystyksen sivuille on koottu neuvoja ja toimintaohjeita tietomurron uhriksi joutuneille.

Kuluttajaliitto on koonnut alle omassa neuvonnassaan yleisimmin kysyttyjä kysymyksiä ja vastauksia

Toimintaan ja toimintatapoihin liittyvät kysymykset

1. En tiedä, onko tietoni vuotaneet, mitä voin tehdä?

Viranomainen määräsi tietomurron kohteeksi joutuneen Psykoterapiakeskus Vastaamon ilmoittamaan rekisteröidyille tietoturvaloukkauksesta henkilökohtaisesti ilman aiheetonta viivytystä.

Rekisterinpitäjän on tullut ilmoittaa tiedossaan oleville tietoturvaloukkauksen kohteena oleville rekisteröidyille tietoturvaloukkauksesta henkilökohtaisesti, esimerkiksi postitse tai sähköposti- tai tekstiviestillä.

Rekisteröidylle annettavassa ilmoituksessa on pitänyt kuvata selkeästi tietoturvaloukkaus ja sen todennäköiset seuraukset rekisteröidylle sekä toimenpiteet, jotka rekisterinpitäjä on toteuttanut tai aikoo toteuttaa tietoturvaloukkauksen vuoksi. Lisäksi ilmoituksessa on pitänyt kertoa rekisterinpitäjän yhteystiedot, josta rekisteröity voi saada lisätietoa.

Jos et ole saanut tällaista yhteydenottoa Psykoterapiakeskus Vastaamolta, et ole välttämättä ollut tietoturvaloukkauksen kohteena. Jos et ole varma onko tietojasi vuodettu, voit tarkistaa asian Psykoterapiakeskus Vastaamolta.

2. Miten voin selvittää, mitä tietoja minusta on Psykoterapiakeskus Vastaamon rekistereissä?

Kaikilla on oikeus omien tietojensa tarkastamiseen. Voit esittää Psykoterapiakeskus Vastaamolle tarkastuspyynnön. Rekisterinpitäjän on toimitettava sinulle jäljennös sinua koskevista henkilötiedoista, joita se käsittelee. Jäljennös on lähtökohtaisesti maksuton. Jos pyydät useampia jäljennöksiä, rekisterinpitäjä voi periä niistä maksun, joka kattaa toimenpiteen kustannukset.

Sinulla on oikeus saada rekisterinpitäjältä tietoa myös seuraavista asioista:

♦ mistä henkilötietosi on hankittu

♦ miksi niitä tarvitaan

♦ kuinka kauan niitä tarvitaan

♦ onko henkilötietojasi luovutettu tai aiotaanko niitä luovuttaa eteenpäin – jos kyllä, kenelle

♦ onko tietoja siirretty EU:n ulkopuolelle – jos kyllä, miten ne on suojattu

♦ käytetäänkö tietojen käsittelyssä automaattista käsittelyä – jos, miten se toimii

♦ miten voit käyttää henkilötietoihin liittyviä oikeuksiasi.

Voit saada nämä tiedot paperilla, sähköisesti jossakin yleisesti käytetyssä tiedostomuodossa tai suullisesti.

Lisäksi potilaalla on aina oikeus tutustua omiin potilastietoihin myös terveydenhuoltolainsäädännön perusteella.

3. Voinko saada kaikki tietoni poistetuksi Vastaamon rekistereistä?

Valitettavasti et voi. Terveydenhuollon ammattihenkilöillä on velvollisuus laatia potilasasiakirjamerkinnät kaikista potilaan palvelutapahtumista. Nämä merkinnät on säilytettävä potilasasiakirja-asetuksen liitteenä olevassa taulukossa määritellyn ajan. Laissa säädetty velvollisuus käsitellä (käytännössä säilyttää) potilastietoja sulkee pois mahdollisuuden poistaa kaikki potilastiedot.

Myöskään yksittäistä, jotakin palvelutapahtumaa koskevaa merkintää ei voida poistaa kokonaan. Merkinnän sisältämät virheelliset kohdat sen sijaan voidaan oikaista, puutteelliset täydentää ja tarpeettomat poistaa. Virheellisyyttä, puutteellisuutta ja tarpeettomuutta arvioidaan suhteessa potilastietojen käyttötarkoitukseen. Arviointi tehdään merkinnän laatimishetkellä vallinneen käsityksen näkökulmasta.

4. Mitä tulisi tehdä, kun tietoni ovat vuotaneet?

Tärkeintä on tehdä rikosilmoitus, suojata identiteetti mahdollisimman hyvin väärinkäytöksiltä sekä huolehtia omasta jaksamisesta.

Rikosuhripäivystyksen sivuilla on kattava ja jatkuvasti päivittyvä lista linkkeineen siitä, mitä toimia tietomurron uhrien tulisi tehdä oman identiteetin suojaamiseksi.

https://www.riku.fi/toimi-nain-jos-tietojasi-on-vuodettu-verkkoon/

Suosittelemme tutustumaan myös https://tietovuotoapu.fi/fi/neuvoja-ja-ohjeita-tietovuodon-uhreille

5. Mikä on oma luottokielto ja kuinka pitkään se on voimassa?

Oma luottokielto estää tekemästä mitään luotollisia ostoksia. Se on ikään kuin maksuhäiriömerkintä, jonka voit asettaa itse itsellesi; sen jälkeen sinun henkilötiedoillasi ei voi saada uutta luottokorttia, ottaa uutta pankkilainaa tai tehdä ostoksia osamaksulla. Luottokiellon voi asettaa vain itselleen, ja maksullinen palvelu on kerrallaan voimassa kaksi vuotta. Luottokiellon voi kuitenkin itse purkaa koska tahansa.

6. Kannattaako alaikäisen puolesta tehdä luottokielto?

Alaikäinen ei voi saada luottokorttia, ottaa pankkilainaa tai tehdä ostoksia osamaksulla tai ottaa muutenkaan luottoa, joten sen puolesta tällaisten väärinkäytösten uhka on vähäisempi. Mitään estettä kiellon tekemiselle ei kuitenkaan ymmärtääksemme ole, lisätietoja voi kysyä palveluntarjoajilta (Suomen Asiakastieto Oy ja Bisnode Finland Oy).

7. Kuinka kauan luottokielto on syytä pitää voimassa tämän takia?

Tähän ei ole olemassa yksiselitteistä oikeaa vastausta. Vuodettuja tietoja voidaan mahdollisesti käyttää pitkänkin ajan kuluttua. Toisaalta kiellon ylläpidosta aiheutuu koko ajan kustannuksia. Nähtäväksi jää prosessin edetessä, mitä pidetään tarpeellisena aikana.

8. Mitä seurauksia tietojeni vuotamisella voi olla?

Tietojen vuotamisella voi olla monenlaisia seurauksia riippuen siitä, miten ja mihin niitä käytetään, vai käytetäänkö laisinkaan. Keskeisimpinä seikkoina on pidetty suojautumista identiteettivarkauksilta ja esimerkiksi luottojen ottamiselta tai ostosten tekemiseltä vuodettujen tietojen turvin. Lue lisää identiteettivarkauksista kyberturvallisuuskeskuksen sivuilta: https://www.kyberturvallisuuskeskus.fi/fi/

9. Mitä jos tietojani käytetään hyväksi ja niillä tehdään esimerkiksi verkko-ostoksia, voinko joutua maksuvastuuseen?

Identiteettivarkaus on rikoslaissa rangaistavaksi säädetty teko. Aina toisen identiteetin käyttäminen ei ole rangaistavaa juuri identiteettivarkautena, se voi olla rangaistavaa myös jonkin muun rikossäännöksen nojalla. Tällöin voi olla esimerkiksi kyse petoksesta, väärennöksestä, kunnianloukkauksesta tai yksityiselämää loukkaavan tiedon levittämisestä. On tärkeää tehdä ilmoitus tapahtuneesta poliisille, joka ratkaisee, millä rikosnimikkeellä asiaa tutkitaan. Teon kohteeksi joutunut ei ole vastuussa tehdyistä ostoksista, mutta käytännössä tilanteen selvittäminen vaatii paljon työtä ja vaivaa siltä, jonka nimissä ostoksia on tehty, kun pitää olla yhteydessä myyjään ja selvittää tilannetta usein moneen kertaan ja monille tahoille.

10. Miten suojaustoimet vaikuttavat toiminimeen?

Omaehtoinen luottokielto voi vaikuttaa toiminimen lainansaantiin. Toiminimelle lainaa haettaessa tarkistetaan myös yrittäjän luottotiedot. Jos yrittäjällä on merkintä luottotiedoissaan, se voi estää myös toiminimen lainansaannin. Omaehtoinen luottokielto on kuitenkin mahdollista hetkellisesti kumota esittämällä todistus luottokiellosta, ja tällöin lainansaanti voi olla mahdollista. Tämä koskee sekä yksityishenkilön että toiminimen lainansaantia.

Jos henkilö tekee Postissa muuttosuojauksen itselleen, ei sillä ole vaikutusta toiminimeen. Muuttosuojausta ei voi tehdä yritykselle, vaan ainoastaan henkilöasiakkaille.

Vahingonkorvausvastuu ja korvausten vaatiminen

1. Luottokiellon hakemisesta aiheutuu minulle kuluja, kuka niistä vastaa?

Vastaamo ilmoitti 26.10. illalla, että tietomurron uhri, joka on saanut Vastaamolta ilmoituksen joutumisestaan tietoturvailmoituksen kohteeksi, voi saada Vastaamolta hyvityksen alla mainituista Asiakastiedon turvapalveluista. Asiakas tilaa ja maksaa valitsemansa palvelut itse Asiakastiedon Omatiedosta ja Asiakastieto palauttaa vuosimaksut sitten, kun Psykoterapiakeskus Vastaamo on varmistanut asiakkaan henkilöllisyyden ja suostumuksen hyvitykseen.

Tarkempi ohje Asiakastiedon turvapalveluista tietomurron uhreille

  • Mene sivustolle www.asiakastieto.fi/omatieto/fi/tuotteet/turva2020 (Palvelu aukeaa tiistaina 27.10.2020). Valitse kumman tuotteen haluat tai molemmat. Maksa kumpikin tuote erikseen itse.
    • Tietovahti luottotietokyselyiden seurantaan (14,90€ per vuosi)
    • OmaLuottokielto (9,90€ per vuosi)
  • Saat Asiakastiedolta vahvistuksen palvelun käyttöönotosta ja kuitin ostoksesta sähköpostitse.
  • Vastaamon verkkosivuille on tulossa lähipäivinä lomake, jolla voit ilmoittaa haluavasi hyvityksen ja annat Vastaamolle luvan luovuttaa tiedon asiakkuudestasi ja suostumuksesi hyvitykseen Asiakastiedolle.
  • Vastaamo toimittaa tiedot suostumuksestasi Asiakastiedolle, joka tekee tietomurron uhrille hyvityksen ostoksista. Asiakastieto sitoutuu tuhoamaan suostumukseen liittyvät tiedot viipymättä, kun niitä ei enää tarvita.
  • Tulet saamaan hyvityksen Asiakastiedolta.

Mikäli olet jo ostanut itsellesi Asiakastiedosta laajempia palveluita 22.10. jälkeen (Minun Omatietoni vuositilauksen tai OmaLuottokiellon 2 vuodeksi), tee suostumus hyvitykseen Vastaamolle yllä kuvatulla tavalla. Asiakastieto hyvittää sinulle osana Minun Omatietoni-palvelua Tietovahdista 14,90€ ja OmaLuottokiellosta yhden vuoden osuuden 9,90€ ylläolevan mukaan.

2. Voinko vaatia vahingonkorvauksia minulle aiheutuneista vahingoista?

Luottokiellon tekemisestä Suomen Asiakastieto Oy:n ylläpitämään rekisteriin aiheutuvista kustannuksista voit hakea hyvitystä edellä kuvatulla tavalla.

Sinulla saattaa olla myös laajempi vahingonkorvausoikeus aiheutuneista vahingoista. Nyt kannattaa kerätä talteen kaikki dokumentaatio aiheutuneista vahingoista, jotta mahdollisessa myöhemmässä prosessissa voit osoittaa vahingot todellisiksi.

3. Miten korvausta tulisi hakea?

Luottokiellon osalta Psykoterapiakeskus Vastaamo on luonut käytännön, jolla voit hakea hyvitystä. Muilta osin kannattaa vielä odottaa rauhassa ja katsoa, miten asia etenee. Olethan muistanut tehdä rikosilmoituksen? Rikosprosessin yhteydessä aikanaan voidaan selvittää myös vahingonkorvausasioita. Siksi on tärkeää kerätä talteen kaikki saatavilla oleva dokumentaatio aiheutuneista vahingoista. Prosessin edetessä selviää tarkemmin, miten ja missä yhteydessä mahdolliset vahingonkorvausvaatimukset kannattaa esittää.

4. Pitääkö vahingonkorvausvaatimus tehdä nyt heti?

Koska vahingontekoa pidetään erityisen moitittavana, jos vahinko on syntynyt rikoksen seurauksena, vahingonkärsijän oikeutta saada korvaus rikokseen perustuvasta vahingosta on suojattu erityissääntelyllä. Rikokseen perustuvaa vahingonkorvaussaatavaa ei katsota vanhentuneeksi niin kauan, kun rikosasiassa voidaan nostaa syyte tai kun kyseisen rikosasian käsittely on vireillä tuomioistuimessa. Säännös koskee vanhentumista riippumatta siitä, perustuuko se lakiin velan vanhentumisesta vai johonkin erityislakiin.

Vahingonkorvausvelvollisuus ei siis vanhene sinä aikana, kun syyte on nostettuna, asia on käsittelyssä tuomioistuimessa, tai syytetyn valittaessa hovioikeuteen tai korkeimpaan oikeuteen. Tämä sääntely on perusteltu sillä, että oikeudenkäynnit ja niihin liittyvät valitusprosessit voivat pitää asiaa vireillä pahimmillaan vuosia. Ei olisi kohtuullista, että oikeus vahingonkorvaukseen voisi vanheta kesken sen prosessin, jossa tutkitaan vahingon aiheuttanut pääteko.

Nyt kannattaa siis katsoa rauhassa, miten asia etenee. Vahingonkorvausvaatimukset kannattaa useimmiten käsitellä samassa tuomioistuinmenettelyssä kuin itse rikosasia. Vahingonkärsijän ei tällöin tarvitse nostaa erillistä kannetta, vaan korvausvaatimus voidaan esittää rikosasian käsittelyn yhteydessä.

Jos vahingonkorvausasiaa käsitellään jollain muulla perusteella kuin rikosoikeudellisella perusteella, noudatetaan erilaista vanhentumisaikasääntelyä, mutta tässä tapauksessa näyttäisi siltä, että tämä tulee olemaan todennäköisin etenemistapa.

5. Kuka vastaa vahingoista?

Vastuukysymyksiä selvitellään. Vastuutahoja voi olla useitakin. Vastaamo on rekisterinpitäjänä vastuussa ainoastaan tietosuojasääntelyn mukaisista velvoitteistaan ja niiden laiminlyönneistä. Vastaamo ei ole asiakkailleen vahingonkorvausvastuussa tietomurrosta, yksityiselämää loukkaavan tiedon levittämisestä tai kiristämisestä (esitutkinnan nimikkeet). Näistä vastuussa on rikoksentekijä.

Rikoksentekijöillä on tietenkin vastuu rikoksella aiheutetuista vahingoista. Myös Psykoterapiakeskus Vastaamolla ja/tai sen vastuuhenkilöillä saattaa siis kuitenkin olla vastuu aiheutuneista vahingoista. Vahingonkorvausoikeudelliset näkökulmat ja tulkinnat ovat vielä avoinna, kun selvää kuvaa siitä, mitä on tapahtunut ja kenen toimesta, ei vielä ole saatavilla.

Vastaamo on rekisterinpitäjä, ja rekisterinpitäjä on vastuussa tietosuojavelvoitteiden noudattamisesta. Vastaamo on osakeyhtiö, joten yhtiö vastaa itse velvoitteistaan. Osakkeenomistajat vastaavat velvoitteista vain yhtiöön sijoittamallaan pääomalla, eivätkä siis joudu henkilökohtaisesti vastuuseen.

Periaatteessa myös yksittäiset henkilöt voivat joutua vastuuseen. Tällainen voi poikkeuksellisesti tulla kyseeseen, jos esimerkiksi Vastaamon johdossa joku on toiminut törkeän huolimattomasti ja laiminlyönyt jonkin oman työtehtävänsä.

Vastuuseen voivat joutua myös muut tahot, jotka ovat käyttäneet Vastaamon palveluja, kuten Kela ja tietyt sairaanhoitopiirit. Ainakin Turun, Tampereen ja Oulun yliopistolliset sairaalat ovat käyttäneet Vastaamon palveluja. Nämä sairaanhoitopiirit sekä Kela ovat rekisterinpitäjiä. Heidän vastuullaan on ollut huolehtia, että palveluntuottaja eli Vastaamo on järjestänyt tietoturvallisuustoimenpiteensä siten, että henkilötietojen suoja toteutuu. Sairaanhoitopiirit ja Kela voivat myös joutua maksamaan korvausta potilaille.

6. Voimmeko nostaa ryhmäkanteen asiassa?

Valitettavasti Suomen ryhmäkannelainsäädäntö ei sovellu tämänkaltaisiin tapauksiin. Käytännössä korvausvaatimukset tultaneen käsittelemään rikosprosessin yhteydessä, jolloin useiden asianomistajien vaatimukset käsitellään samassa prosessissa, mutta kyse ei ole suoranaisesta ryhmäkanteesta. Kuluttajaliitto ei valitettavasti nykylainsäädännön perusteella voi nostaa kannetta kuluttajien etujen ajamiseksi tässä asiassa.

Ongelmia tuotteen palautuksen kanssa? Kaipaatko lakimiehen apua?

Lakimiehemme on vain puhelinsoiton tai sähköpostin päässä jäsenillemme. Liity nyt – saat ensi vuoden maksutta!

Lue lisää