Browsing by Subject "tietosuoja"

Vuonna 2018 voimaan astunut tietosuoja-asetus toi mukanaan monia uudistuksia, joiden tarkoituksena on mm. taata parempaa tietosuojaa alati digitalisoituvassa maailmassa. Yhtenä tärkeänä osana tätä tavoitetta on 15 artiklan mukainen oikeus saada pääsy tietoihin, eli ns. tarkastusoikeus: Sen nojalla rekisteröidyllä on lähtökohtaisesti oikeus saada pääsy omiin henkilötietoihin sekä saada jäljennös niistä. Tarkastusoikeus on kuitenkin käytännössä aiheuttanut päänvaivaa, ja se on ollut kansallisten tietosuojaviranomaisten työpöydillä yhä kasvavassa määrin. Myös Euroopan unionin tuomioistuin on ottanut kantaa tarkastusoikeuteen useamman kerran. Yhtenä ongelmakohtana on ollut 15 artiklan 4 kohdan sisältämä rajoitusmahdollisuus muiden oikeuksien ja vapauksien perusteella. Kysymys siitä, milloin tätä merkittävää tietosuojaoikeutta voi rajoittaa tietosuoja-asetuksen sallimalla tavalla, on jäänyt paikoin epäselväksi. Tutkielmassani on käsitelty kattavasti 15 artiklan sisältöä ja tarkastusoikeuden toteuttamista käytännössä, sekä EUT:n ja kansallisen tietosuojavaltuutetun toimiston tarkastusoikeutta ja sen rajoittamista koskevaa ratkaisukäytäntöä. Metodeina ovat olleet lainoppi ja oikeusvertailu. Tutkielman tarkoituksena on ollut selventää tarkastusoikeuden rajoittamista luonnollisten henkilöiden oikeuksien perusteella koskevaa lainkohtaa, sekä selvittää minkälaisia linjauksia EUT ja tietosuojavaltuutetun toimisto ovat tehneet sen suhteen. Tutkielmassa on myös tehty yleisluontoisia havaintoja tarkastusoikeutta ja sen rajoittamista koskevasta ratkaisukäytännöstä. Tutkielmani osoittaa, että sekä EUT:n että tietosuojavaltuutetun toimiston ratkaisukäytännöistä on löydettävissä aihetta koskevia linjauksia, sekä yhtäläisyyksiä ja eroavaisuuksia. Tutkielman lopussa on esitetty ratkaisukäytäntöön ja muihin oikeuslähteisiin perustuvia tulkintasuosituksia käytännön tilanteita varten ja ratkaisukäytännöstä tehtyjä havaintoja.

Viestintä- ja informaatioteknologian murros muuttaa jatkuvasti tapoja, joilla luonnollisia henkilöitä koskevia tietoja kerätään, säilytetään ja käytetään. Kehityksen seurauksena Euroopan unioni on pyrkinyt yhdenmukaistamaan tietosuojasääntelyä unionin alueella vuonna 2018 sovellettavaksi tulleen yleisen tietosuoja-asetuksen muodossa. Asetuksen säännösten rikkominen voi johtaa hallinnollisiin seuraamuksiin, vahingonkorvausvastuuseen, henkilötietojen käyttökieltoon sekä mahdollisesti rikosoikeudelliseen vastuuseen. Yrityksen liiketoiminnan kannalta merkityksellisen riskin muodostavat myös tietosuojarikkomusten mahdolliset muut seuraukset, kuten maineen ja luottamuksen menetys kuluttajien silmissä. Tutkimuksen keskiössä on sopimus yrityskauppaan liittyvien tietosuojariskien hallinnan välineenä yrityskaupan osapuolten välisessä suhteessa sekä osapuolten ja muiden kauppaprosessiin osallistuvien tahojen välisissä suhteissa. Pyrkimyksenä on hahmottaa systemaattisesti niin soveltuvien tietosuojasäännösten kuin sopimusoikeuden periaatteiden asettamat rajat ja edellytykset tietosuojariskien tehokkaalle hallinnalle yrityskauppatilanteissa. Tutkimuksessa tarkastellaan sopimusoikeudellisia keinoja hallita yrityskauppaan liittyviä tietosuojariskejä mahdollisimman tehokkaalla tavalla ostajan edun mukaisesti. Toisin kuin monet muut yrityskauppoihin liittyvät oikeudelliset vastuuriskit henkilötietojen käsittely muodostaa ostajan kannalta merkityksellisen riskin useammalla tasolla. Ostajan on ensinnäkin otettava tietosuojasääntelyn vaatimukset huomioon arvioidessaan kaupan kohteen ominaisuuksia ja siihen liittyviä riskejä. Ostaja saattaa joutua oikeudelliseen vastuuseen tai kärsiä taloudellisia vahinkoja esimerkiksi tilanteessa, jossa kohdeyhtiön ennen kaupan solmimista tekemä tietosuojarikkomus ilmenee vasta kaupan täytäntöönpanon jälkeen. Mahdollisessa kaupan jälkeisessä sopimusriitatilanteessa arvioitavaksi saattaa nousta kysymys siitä, miten ostaja on täyttänyt velvollisuutensa tarkastaa kaupan kohde. Kaupan osapuolten väliseen sopimussuhteeseen liittyvien mahdollisten riitojen lisäksi ostajan due diligence -toimien huolellisuus voi tulla arvioitavaksi tietosuojaviranomaisen tai tuomioistuimen toimesta ratkaistaessa mahdollista tietosuojasääntelyn rikkomista ja siihen liittyviä vastuukysymyksiä. Ennen sitoutumista kauppaan ostajan on näin ollen tärkeää saada kokonaisvaltainen käsitys siitä, miten kohdeyhtiö käsittelee toiminnassaan henkilötietoja. Kauppaprosessin aikaisiin henkilötietojen siirtoihin ja muuhun käsittelyyn liittyy riski siitä, että tietoja käsitellään kaupan toteuttamisen kannalta oikeutetun tahon toimesta mutta soveltuvien tietosuojasäännösten vastaisesti. Toisaalta henkilötietojen käsittelyyn osallistuvan tahon puutteelliset tietoturvatoimet voivat johtaa tietovuotoihin sekä henkilötietojen päätymiseen oikeudettomille tahoille. Myyjän ja ostajan välisen tietojenvaihdon lisäksi kauppaprosessin eri vaiheissa kaupan osapuolet käyttävät pääsääntöisesti apunaan ulkopuolisia asiantuntijoita kaupan toteuttamiseksi. Ostajan on osaltaan toimeksiantokohtaisesti varmistettava tällaisten järjestelyjen aikaisten henkilötietojen käsittelyjen lainmukaisuus. Tutkimus on rakenteeltaan jaettavissa neljään eri vaiheeseen, ja tutkimus etenee johdonmukaisesti läpi yrityskauppaprosessin kaupan esivaiheesta kaupan jälkihoitoon. Tutkimuksen ensimmäisessä vaiheessa (2 luku) tarkastellaan yleisen tietosuoja-asetuksen vastuujärjestelmää ja vastuiden kohdentumista yrityskauppatilanteissa. Vaiheen tarkoituksena on jäsentää tietosuojariskit hallittavana riskinä yrityskauppatilanteissa. Tutkimuksen toisessa vaiheessa (3 luku) tarkastellaan sitä, miten yrityskaupan toteuttamisen kannalta välttämättömään tietojenvaihtoon liittyviä tietosuojariskejä voidaan hallita sopimuksin sekä, miksi ja miten ostajan tulee ottaa kohdeyhtiöön liittyvät tietosuojariskit huomioon due diligence -tarkastuksessa. Toisen vaiheen tarkoituksena on jäsentää tarve ja keinot hallita kauppaprosessin aikaiseen tietojenvaihtoon liittyvät tietosuojariskit sekä ostajan tietosuojariskejä koskevan ennakkoselvityksen merkitys ja sisältö. Tutkimuksen kolmannessa vaiheessa (4 luku) käsitellään keinoja, joilla ostaja voi hallita kohdeyhtiöön liittyviä tietosuojariskejä kauppakirjan ehdoissa. Kolmannen vaiheen tarkoituksena on selvittää, millä tavoin ostajan on otettava tietosuojariskien erityispiirteet huomioon tietosuojariskien hallintaa koskevien sopimusehtojen muotoilussa. Tutkimuksen neljännessä vaiheessa (5 luku) tarkastelu kohdistuu yrityskaupan jälkihoitoon. Neljännen vaiheen tarkoituksena on jäsentää ostajan kaupan jälkeisten toimien merkitys kaupan kohteeseen ja kaupan jälkeiseen tietojenvaihtoon liittyvien tietosuojariskien hallinnassa.

Yhä useammat toimialat ovat riippuvaisia digitaalisista palveluista, minkä takia myös tietomurrot ja muut tietoturvahaasteet tulevat yleistymään. Tietomurto voi aiheuttaa yksilölle merkittäviä taloudellisia ja sosiaalisia vahinkoja, joista henkilöllä on oikeus saada korvaus EU:n yleisen tietosuoja-asetuksen mukaisesti. Tässä lainopillisessa tutkielmassa selvitetään tietosuoja-asetuksen mukaista rekisterinpitäjän vahingonkorvausvastuuta rekisteröityä kohtaan tietomurtotapauksissa. Tutkielmassa käsitellään rekisterinpitäjän tietoturvavelvoitteita ja vahingonkorvausvastuun edellytyksiä sekä sitä, miten toteutetut tietoturvatoimenpiteet vaikuttavat rekisterinpitäjän korvausvastuuseen. Tietosuoja-asetuksen 82 artiklan mukaan yksilöllä on oikeus saada rekisterinpitäjältä ja henkilötietojen käsittelijältä korvaus vahingosta, joka on aiheutunut tietosuoja-asetuksen rikkomisesta. Tietomurroissa tietosuoja-asetuksen rikkominen merkitsee usein tietoturvatoimenpiteiden, eritoten tietosuoja-asetuksen 32 artiklan mukaisten asianmukaisten teknisten ja organisatoristen toimenpiteiden laiminlyömistä, joten vahingonkorvausvastuun syntymisen kannalta tulee harkita sitä, onko tietoturva ollut asianmukaista. Asianmukainen tietoturvan taso vaatii rekisterinpitäjältä tapauskohtaista arviointia, jossa huomioidaan kunkin käsittelytilanteen erikoispiirteet. Tutkielmassa on tuotu esiin, että rekisterinpitäjän vahingonkorvausvastuuseen tietomurtotapauksissa liittyy useita monitulkintaisia kysymyksiä. On esimerkiksi epäselvää, mikä on tietosuoja-asetuksen mukaisen vahingonkorvausvastuun vastuumuoto ja millä perusteilla vastuusta voi vapautua. Toisaalta epäselvää on, mitä tarkoitetaan teknisten ja organisatoristen toimenpiteiden asianmukaisuudella. Koska EU-tuomioistuin ei ole vielä antanut oikeustilaa selkeyttäviä ratkaisuja aiheesta, tulkinnanvaraisiin kysymyksiin on haettu vastauksia oikeuskirjallisuudesta sekä EU-jäsenvaltioiden tuomioistuinten ja tietosuojaviranomaisten ratkaisukäytännöstä. Selvää on, että tietosuoja-asetus asettaa rekisterinpitäjälle korkeatasoiset tietoturvavelvoitteet, sillä rekisterinpitäjä on viimesijaisesti vastuussa käsittelyn lainmukaisuudesta. Tutkielmassa on tultu siihen lopputulokseen, että rekisterinpitäjä ei pysty varmuudella estämään vahingonkorvausvastuun syntymistä tietomurtotilanteissa. Koska tietomurrot johtuvat usein yleisistä haavoittuvuuksista tietoturvajärjestelmissä, organisaatioiden toteuttamilla tietoturvatoimenpiteillä on kuitenkin suuri merkitys vahingonkorvausvastuun kannalta, sillä tietoturvatoimenpiteet ehkäisevät tietomurtoja ja pienentävät tietomurrosta aiheutuvaa vahinkoa.

Yleinen tietosuoja-asetus (EU 2016/679) asettaa velvollisuuksia henkilötietoja käsitteleville toimijoille. Asetuksen vastaisesta toiminnasta voi seurata esimerkiksi vahingonkorvausvelvollisuus tai hallinnollisen sakon määrääminen. Yliopistot käsittelevät usein henkilötietoja tieteellisen tutkimuksen yhteydessä. Usein henkilötietojen käsittelyssä on mukana toinenkin taho, esimerkiksi käsittelijänä tai yhteisrekisterinpitäjänä. Tällöin henkilötietojen käsittelystä on määrättävä osapuolten välillä asetuksen edellyttämin tavoin, ja näiden tahojen välillä on tyypillisesti henkilötietojen käsittelyä koskeva sopimus. Tämän tutkielman tutkimuskohteena on vastuunhallitseminen sopimusehdoin henkilötietojen käsittelyssä. Tutkimuskohde tarkentui vielä niin, että tutkielmassa arvioidaan kysymystä siitä, että vaikuttaako yliopistojen tieteelliseen tutkimukseen liittyvä henkilötietojen käsittely vastuunhallitsemisen arviointiin. Päähuomio tutkielmassa on siinä, että vaikuttaako asetus henkilötietojen käsittelyyn osallistuvien sopijapuolten mahdollisuuksiin sopia keskinäisestä vastuustaan sen vahingon korvaamiseen suhteen, joka aiheutuu sopimukseen nähden kolmannelle. Hallinnollinen sakko rajattiin tarkemman tarkastelun ulkopuolelle. Kyseiseen seuraamukseen liittyy kuitenkin tiettyjä erityispiirteitä yliopistojen osalta, minkä vuoksi se huomioidaan tutkielmassa tältä osin. Tieteellinen tutkimus vaikuttaa siihen, miten asetus soveltuu tarkasteltavaan toimintaan, ja siten siihen, millaisiksi toimintaan liittyvät tietosuojavelvoitteet muodostuvat. Sopimusehdoilla voidaan puolestaan osaltaan vaikuttaa siihen, että tutkimus täyttää tieteellisyyden kriteerit, vaikka tutkimuksessa olisi osallisena myös yliopiston ulkopuolinen toimija. Henkilötietojen käsittelyyn liittyvistä riskeistä kiinnitetään huomiota siihen, ettei tietosuojalain (1050/2018) mukaan yliopistoille voida määrätä hallinnollista sakkoa. Vahingonkorvauksen osalta tutkielmassa selvitetään sitä, mikä taho on oikeutettu korvaukseen asetuksen 82 (1) artiklan nojalla. Kysymys on tulkinnanvarainen mutta tutkielmassa päädyttiin siihen, että painavat perusteet kuten sääntelyn tarkoitus perustelevat sitä, että vain rekisteröity on oikeutettu tähän korvaukseen. Osapuolten roolilla rekisterinpitäjänä tai käsittelijänä on merkittävä vaikutus siihen, millaiseksi niiden vastuu muodostuu asetuksen 82 artiklan 2-5 kohtien nojalla. Asetuksen korvaussääntelyn tarkoituksena voidaan nähdä olevan se, että se kohdentaa vastuun vahingon aiheuttajalle. Asetuksen nojalla yliopistojen roolia rekisterinpitäjänä, ja siten niiden vastuuta ja lähtökohtaisesti myös vastuusta sopimista tulee arvioida samoin kuin muiden toimijoiden osalta. Sopimusvapaudella on puolestaan keskeinen asema oikeudessamme, ja sopijapuolilla on yleisesti mahdollisuus sopia myös sopimusriskeistään. Sopimusvapaus ei ole kuitenkaan poikkeuksetonta ja sitä rajoittaa pakottava lainsäädäntö. Asetus vaikuttaa monin tavoin sopimusvapautta kaventavasti. Asetuksen tarkoituksena voidaan katsoa olevan rekisteröidyn suojaaminen. Tästä näkökulmasta tutkielmassa päädyttiin siihen, että tämä tarkoitus on myös asetuksen edellyttämillä sopimuksilla tai sen edellyttämiin järjestelyihin pohjautuvilla sopimuksilla, ja siksi niiden osalta sopimusvapaus on yleisesti ottaen kapeampaa kuin tutkimussopimuksen osalta. Tutkielmassa arvioidaan edellä esitettyyn perustuen kysymystä siitä, onko asetuksen 82 artikla tulkittava pakottavaksi keskinäisen vastuunjaon suhteen, ja rajautuuko sopimusvapaus myös tässä suhteessa. Kysymystä artiklan pakottavuudesta ei ole ratkaistu tuomioistuimessa, ja argumentteja on esitettävissä kumpaankin suuntaan. Tutkielmassa päädyttiin rekisteröidyn suojaa painottamalla siihen, että asetuksen 82 artiklan mukainen vastuunjakosääntely on tulkittavissa pakottavaksi. Henkilötietojen suoja on perusoikeus, ja rekisteröidyn suojan painottuminen on näkynyt EUT:n oikeuskäytännössä. Asetuksen mukainen korvausvastuu menettäisi merkitystään sääntelyn noudattamisen varmistusmekanismina, jos vastuusta voisi sopia toisin. Tutkielmassa arvioitiin, että vastuusta toisin sopiminen voisi siten vaikuttaa siihen, miten osapuolet suhtautuvat ja toteuttavat vastuullaan olevia tietosuojavelvoitteita. Vastuusta toisin sopiminen voisi mahdollistaa myös sääntelyn kiertämisen. TSA 82 artiklan pakottavuus turvaisi siten sääntelyn päämääränä olevaa rekisteröidyn suojaa. Tutkielmassa päädyttiin siihen, että asetuksen vastaista sopimusehtoa voisi pakottavan sääntelyn vastaisena pitää pätemättömänä, ja asetus tulisi ehdon sijasta noudatettavaksi. Tutkielmassa esitetään lopuksi vielä eräitä tarkentavia näkökohtia. Ensinnäkin huomioidaan, että pakottavuus koskee vain sopimista sen vahingon suhteen, joka tulee asetuksen nojalla korvattavaksi. Lisäksi kiinnitetään huomiota keskeisiin sopimusoikeudellisiin periaatteisiin koskien vastuunrajoitusehtoja, sovinnon mahdollisuuksiin ja siihen, ettei asetus estä sopimasta korvaukseen liitännäisistä kuluista.

Tutkielmassa käsitellään vastuun samastukseksi kutsuttua osakeyhtiölaissa (OYL) sääntelemätöntä poikkeusta osakkeenomistajien rajoitetusta vastuusta. Samastus on ilmiönä tunnistettu ja pitkälti hyväksytty oikeuskäytännössä ja -kirjallisuudessa. Kiintopisteeseen otetaan yleisen tietosuoja-asetuksen (TSA) mukaisten vahingonkorvausten sekä hallinnollisten sanktioiden kohdentaminen ja samastus niiden jokseenkin erityisen luonteen takia. Aihe on monien yhtiöiden kannalta merkittävä, koska edellä mainitut TSA:n mukaiset seuraamukset voivat nousta rahalliselta arvoltaan hyvinkin korkeiksi ja vaikuttaa kohtalokkaasti etenkin pienten ja keskisuurten yritysten toimintaan. Maksuvaikeuksiin joutuvan yhtiön osakkeenomistajia voi kiinnostaa, voivatko he joutua vastuuseen yhtiön velvoitteista maksukyvyttömyyden uhatessa. Intuitiivinen vastaus on, että osakkeenomistajat eivät ole henkilökohtaisessa vastuussa yhtiön veloista edes konkurssissa, mutta tutkielmassa huomataan, että tähän pääsääntöön on varsin yllättävä ja jokseenkin epäselvä poikkeus TSA:ssa. Havaitusta poikkeuksesta ei kuitenkaan ole vielä sitovaa alaspesifiä oikeuskäytäntöä kansallisella eikä unionin tasolla. Ennen tietosuojavastuiden erityispiirteisiin tutustumista tutkielmassa syvennytään vastuun samastukseen yhtiöoikeudessa. Samastus on tietoisesti osakeyhtiölain muutostarpeita tutkittaessa jätetty kehittymään oikeuskäytännön varaan. Tätä kotimaista oikeuskäytäntöä sekä sitä tulkitsevaa kirjallisuutta hyödyntäen samastukselle pyritään tässä tutkielmassa luomaan mahdollisimman yleisesti pätevät edellytykset, joiden täyttyessä osakkeenomistajien rajoitetusta vastuusta voidaan poikkeuksellisissa tilanteissa poiketa. TSA:n mukaisten vahingonkorvausten ja sanktioiden osalta perehdytään siihen, mille taholle ne asetuksen mukaan kohdennetaan ja vaikuttaako se osakkeenomistajien vastuuasemaan. Itse asetus on vastuiden kohdentamisen suhteen melko selkeäsanainen, mutta sen johdanto-osassa oleva viittaus SEUT 101 ja 102 artikloihin sekoittaa pakkaa. Niitä koskevan EUT:n oikeuskäytännön mukaan vastuut kilpailuoikeudellisista rikkomuksista voidaan kohdentaa taloudellisille yksiköille, jotka voivat koostua useista oikeushenkilöistä. Tämän perusteella Euroopan tietosuojaneuvosto on ohjeistuksessaan linjannut, että myös emoyhtiö voidaan asettaa vastuuseen tytäryhtiönsä hallinnollisten sanktioiden maksamisesta. Lopuksi otetaan kantaa siihen, miten tämä soft law -luonteinen linjaus vaikuttaa osakkeenomistajien vastuuseen TSA:n mukaisista seuraamuksista. Asiantila ei ole täysin selvä, koska EUT ei ole vielä ottanut siihen kantaa, eikä kansallistakaan käytäntöä juurikaan ole. Lisäksi, jos ohjeistusta on tulkittava niin, että emoyhtiö voidaan asettaa vastuuseen vain hallinnollisista sanktioista, niitä kohdellaan eri tavalla kuin vahingonkorvauksia. Tämä asettaa haavoittuvassa asemassa olevat vahingonkorvausvelkojat epäedulliseen asemaan. Konsernien näkökulmasta vastuun rajoittumien vain yksittäiseen yhtiöön on osakkeenomistajan oikeusturvan kannalta hyvä asia, mutta asetuksen soveltamisen epäjohdonmukaisuuden takia jää nähtäväksi, miten oikeuskäytännössä eri seuraamuksia lopulta tullaan kohtelemaan.

Julkishallinnon automatisointi on noussut viime vuosina hallinto-oikeudellisen keskustelun keskiöön. Suomessa oikeusministeriö selvittää tarvetta säännellä automaattista päätöksentekoa yleislailla, ja automaattisen päätöksenteon ongelmakohtiin julkista valtaa käytettäessä ovat kiinnittäneet huomiota niin perustuslakivaliokunta, ylimmät laillisuusvalvojat kuin oikeustieteen tutkijatkin. Samanaikaisesti myös Euroopan unionin (EU) yleisen tietosuoja-asetuksen (TSA) 22 artikla pitää sisällään automaattista päätöksentekoa koskevaa sääntelyä. Viranomaisessa sovellettuna TSA 22 artikla voidaankin tulkita hallintomenettelynormiksi, joka määrittää viranomaisen toimivallan ja menettelymuodot automaattisen päätöksenteon saralla. Asetelma pitää sisällään toimivaltajännitteen, sillä Euroopan unionille ei ole annettu toimivaltaa harmonisoida jäsenvaltioiden viranomaisia koskevia hallintomenettelysäännöksiä. Tutkielman tavoitteena on selvittää, antavako Euroopan unionista tehdyn sopimuksen (SEUT) 16 artikla sekä Euroopan unionin perusoikeuskirjan (PeOK) 8 artikla Euroopan unionille toimivallan säännellä viranomaisen menettelyä automaattisessa päätöksenteossa. Toisekseen tutkielma pyrkii selvittämään, missä laajuudessa muut EU-perusoikeudet turvaavat yksilön menettelyllisiä oikeusturvatakeita automaattisessa päätöksenteossa. Tutkielma on luonteeltaan lainopillinen tutkimus Euroopan unionin oikeudesta. Jäsenvaltion viranomaisen toiminnan osalta tutkielma käyttää esimerkkeinä myös suomalaisia säännöksiä, sillä tutkielma pyrkii tuomaan EU-oikeudellisen näkökulman nimenomaan Suomessa käynnissä olevaan keskusteluun julkishallinnon automaattisesta päätöksenteosta. Tutkimuskohteena ovat Euroopan unionin perussopimukset, Euroopan unionin perusoikeuskirja sekä Euroopan unionin yleinen tietosuoja-asetus. PeOK 8 artiklan tulkinnassa merkitystä saa myös Euroopan ihmisoikeustuomioistuimen (EIT) Euroopan ihmisoikeussopimuksen (EIS) 8 artiklaa (oikeus nauttia yksityisyyden ja perhe-elämän kunnioitusta) koskeva oikeuskäytäntö. Euroopan unionin oikeusperusta henkilötietojen suojan alalla on SEUT 16 artikla, jonka laajuus määräytyy viime kädessä henkilötietojen suojaa koskevan PeOK 8 artiklan mukaisesti. Vaikka automaattista päätöksentekoa ei mainita kummankaan artiklan sanamuodossa, soveltuu automaattisen päätöksenteon sääntely hyvin yhteen PeOK 8 artiklan menettelylliseen luonteen ja henkilötietojen suojaan liittyvän tiedollisen itsemääräämisoikeuden ulottuvuuden kanssa. Lisäksi EIT on EIS 8 artiklaa koskevassa vakiintuneessa oikeuskäytännössään katsonut, että yksilön EIS 8 artiklassa vahvistettujen oikeuksien toteutuminen edellyttää myös menettelyn asianmukaisuutta viranomaisessa, vaikka EIS:ssa ei varsinaista hyvää hallintoa koskevaa artiklaa olekaan. Edellä mainitusta huolimatta automaattista päätöksentekoa koskeva TSA 22 artikla on soveltamisalaltaan hyvin suppea, ja sen sisältämästä lähtökohtaisesta automaattisen päätöksenteon kiellosta voidaan poiketa monella perusteella. Jäsenvaltion viranomaistoimintaa koskee erityisesti TSA 22 (2) (b) artikla, jonka mukaan automaattisia päätöksiä voidaan tehdä, mikäli näin on erikseen säädetty jäsenvaltion lainsäädännössä, jossa vahvistetaan myös asianmukaiset toimenpiteet yksilön oikeuksien ja vapauksien sekä oikeutettujen etujen suojelemiseksi. Tietosuoja-asetuksessa ei kuitenkaan täsmennetä, mitä nämä asianmukaiset toimenpiteet pitävät sisällään, jolloin EU jättää kansallisille lainsäätäjille varsin vapaat kädet. Toki esimerkiksi yhdenvertaisuutta ja syrjintäkieltoa koskevista PeOK 20 ja 21 artikloista sekä EU-oikeudellisen hyvän hallinnon periaatteesta voidaan johtaa julkishallinnollisen automaattisen päätöksenteon menettelyn laatua koskevia vähimmäisvaatimuksia. Tutkielman johtopäätös on, että yksilön menettelylliset oikeusturvatakeet automaattisessa päätöksenteossa ovat jääneet EU-oikeudessa toisarvoiseen asemaan, vaikka EU:lla olisi toimivaltaa säännellä automaattista päätöksentekoa laajemminkin. Tämän voi otaksua johtuvan siitä, että jäsenvaltion menettelyllisen itsemääräämisoikeuden periaate ohjaa yhä EU-lainsäätäjän toimintaa hallinnollisen integraation saralla. Samanaikaisesti sisämarkkina-argumentaatioon perustuva materiaalisen lainsäädännön harmonisointi ei kuitenkaan näyttäisi olevan EU-lainsäätäjälle ongelma, mikä osaltaan kertoo siitä, että perus- ja ihmisoikeuksien toteuttaminen on Euroopan unionin tärkeysjärjestyksessä vasta toisella sijalla taloudellisten intressien jälkeen. Samalla kuitenkin henkilötietojen suojalla on EU-perusoikeutena vahva asema, mikä kertonee EU-perusoikeuksien välisestä hierarkiasta. Tässä mielessä henkilötietojen suojaan sisältyvien yksilön oikeusturvaa koskevien menettelyllisten elementtien vahvistaminen olisi omiaan parantamaan yksityisen menettelyllistä perusoikeussuojaa Euroopan unionissa.

Yksityisyys ja tietosuoja ovat nykyisin keskeisiä perusoikeuksia, joita pidetään välttämättöminä nykyaikaisessa demokraattisessa yhteiskunnassa. Samalla yksityisyys on tutkijoille hankala käsite sen moniulotteisuuden sekä kulttuurin ja aikaan sitoutumisensa vuoksi, eikä yleismaailmallista määritelmää yksityisyydelle ole. Tutkielman rakenne ja taustalla oleva teoreettinen viitekehys pohjautuu oikeustieteilijä James Q. Whitmanin teorialle kahdesta yksityisyydestä, jolla hän kuvaa eurooppalaisten ja yhdysvaltalaisten perustavanlaatuisesti eroavaa suhdetta yksityisyyteen. Tutkimuskysymyksenä on selvittää lähdeaineiston avulla niitä tekijöitä, jotka ovat olleet vaikutta-massa yksityisyyden syntyyn ja kehittymiseen Yhdysvalloissa ja Euroopassa. Toisena tutkimuskysymyksenä on selvittää muutostekijöitä Whitmanin kuvaaman eron syntymisen taustalla. Varsinai-sesti yksityisyyden synty oikeutena voidaan ajoittaa yksittäiseen Yhdysvalloissa vuonna 1890 julkaistuun oikeustieteelliseen artikkeliin. Yksityisyyttä merkittävästi uudempi oikeus, tietosuoja, syntyi vasta 1960-luvulla tietotekniikan kehittymisen myötä ensin Yhdysvalloissa ja myöhemmin Euroo-passa. Tutkielmassa tarkastellaan niitä teknologisia ja yhteyskunnallisia muutoksia, joiden seurauksena yksityisyys lopulta tunnistettiin itsenäiseksi oikeudeksi ja lopulta perusoikeudeksi toisen maailman-sodan jälkeen ja miten tämä tapahtui. Tarkastelu tapahtuu kontekstuaalisen oikeushistorian keinoin ja tutkielmassa kuvataan ylätasolla yksityisyyden ja tietosuojan kehityskaari 1800-luvulta 1980-luvulle Yhdysvalloissa ja Euroopassa ja kiinnitetään se luontevilta vaikuttaviin käännepisteisiin. Näitä käännepisteitä tutkielmassa hahmotellaan sen selvittämiseksi, miten yksityisyys oikeudellise-na käsitteenä syntyi uuden ajan alussa common law’n puitteissa Englannissa ja siirtyi siirtolaisten mukana Yhdysvaltoihin ja miten tietosuoja syntyi Atlantin molemmin puolin.