Browsing by Subject "GDPR"

Tässä tutkielmassa perehdytään EU:n datatalouden sääntely-ympäristöön. Olemme keskellä digitaalista vallankumousta, joka on yli kahden vuosikymmenen intensiivisen kryptografian ja hajautetun tiedonkäsittelyn tutkimuksen tulos. Kehitys on synnyttänyt uraauurtavan teknologian: lohkoketjun. Lohkoketjuteknologia on hajautettu pääkirjajärjestelmä, joka mahdollistaa transaktioiden turvallisen ja muuttumattoman kirjaamisen tietoverkossa. Lisäksi lohkoketju helpottaa uusien hallintojärjestelmien luomista hajautettujen organisaatioiden avulla, jotka pystyvät toimimaan itsenäisesti tietokoneverkossa ilman ihmisen väliintuloa. Nämä innovatiiviset sovellukset ovat johtaneet vertailuihin lohkoketjun ja internetin välillä, mikä on taas ruokkinut ennusteita siitä, että tämä teknologia häiritsee keskitettyjen viranomaisten vaikutusvaltaa. Vastatakseen yhteiskunnassa tapahtuviin muutoksiin EU on ottanut käyttöön uuden toimintasuunnitelman, jonka tavoitteena on säännellä digitaalisia sisämarkkinoita. Lähtökohtana tässä tutkielmassa tarkastellaan uusia sääntelyjärjestelmiä ja esitellään lohkoketjuteknologioiden pääpiirteet (tunnetaan myös nimellä Distributed Ledger Technologies eli hajautetut kirjanpitoteknologiat), sekä tarkastellaan samalla niitä konkreettisia haasteita, joita tämä teknologia asettaa lainvalvonnalle. Sen jälkeen siirrytään kolmeen tapaustutkimukseen sääntely- ja käyttöesimerkkeinä. Ensimmäisessä tapaustutkimuksessa keskitytään lohkoketjun ja yleisen tietosuoja-asetuksen yhteensopivuuteen. Lohkoketjujen rakenne itsessään asettaa merkittäviä haasteita yhteensopivuudelle GDPR:n kanssa. Tämä johtuu lohkoketjuun tallennettujen tietojen muuttumattomuudesta, joka onkin yksi lohkoketjun keskeisistä ominaisuuksista. Toisessa tapaustutkimuksessa valotetaan sitten sitä, miten lohkoketjujärjestelmää voidaan hyödyntää immateriaalioikeuden yhteydessä, esimerkiksi teollis- ja tekijänoikeuksien rekisteröinnissä. Kolmannessa tapaustutkimuksessa tarkastellaan, miten lohkoketjua ja NFT:tä voidaan hyödyntää luovalla alalla, ja esitetään suosituksia havaittuihin haasteisiin.

The rise of the Internet of Things (IoT) has brought with itself an unimaginable ease to large-scale collection and sharing of personal data. Such large-scale collection and sharing are often done on the basis of data subject’s consent. Consent enjoys a prominent role in the European data protection framework. Consent has, however, been criticised for not providing individuals with adequate protection in online environments. This problem will only be exacerbated with the rise of IoT as IoT extends the data collection practices of the online environments also to offline environments. The purpose of this thesis is to explore the use of consent in the processing of personal data in the IoT. There are two research questions this thesis aims to answer: i) what are the problems and challenges related to the traditional consent based model in relation to IoT, and ii) is there an alternative way forward to user consent? This will be done through legal doctrinal methodology. However, this thesis will also take an interdisciplinary approach as it also draws from different disciplines than law such as technology, behavioural sciences and economics. This thesis shows that, in digitalized world, consent is neither freely given nor informed; thus, challenging the notion of valid consent. These problems arise from information and power asymmetries that are present between data subjects and controllers. However, IoT also brings with itself a unique set of problems as most IoT devices lack screens and input methods making it hard for individuals to access information and provide consent. Moreover, the unobtrusive and ubiquitous nature of IoT makes data collection activities invisible making it hard to apply transparency principle. It is also predicted that the presence of IoT in public spaces leads to the diminishment of private spaces. In light of this, this thesis discusses some alternative ways forward to user consent. The first approach focuses on improving consent, while the second approach aims to shift the focus away from consent by placing accountability on controllers. While both of these alternatives have appeal, they do not come without challenges. Therefore, more research is needed in the field of IoT and data protection.

Data protection has become a pivotal topic in modern democratic societies. Lawmakers have, however, faced challenges in protecting data in the face of rapid technological growth and development in the online environment. ‘Cookies’ are a prominent tool for website operators that enable the collection and processing of vast amounts of personal data of internet users. The use of cookies is based on user’s consent as required under Article 5(3) of Directive 2002/58/EC (ePrivacy Directive). It is, however, questionable whether cookie consent and notice practices are de facto effective in protecting internet users and providing them control over the use of their data obtained via cookies. The goal of this master’s thesis is to analyse whether the traditional model of consent and notice is the appropriate legal basis for the use of website cookies. The research question is divided into two parts. The first part concerns whether consent and notice are an effective tool in providing control and protection to individuals with respect to personal data processed through internet cookies. The second part concerns whether the EU’s data protection framework provides clear and harmonised rules on cookie consents and notices. It will focus especially on the General Data Protection Regulation 2016/679 (GDPR) and the ePrivacy Directive. This thesis uses mainly the legal doctrinal method and qualitative empirical evidence in answering its research question. After the introductory chapter, this thesis will in chapter 2 define cookies and its purposes, as well as outline the legal framework used in this research. Chapter 3 introduces the reader to the concept of consent and its different components, as well as the transparency principle and the accompanying information obligation. Consent consists of freely given, specific, informed and unambiguous elements. Chapter 4 will then discuss the first part of the research question. It will be seen that cookie consents and notices are burdened by many factors as evidenced through behavioural economics, cognitive and structural problems, as well as other factors. It is concluded, therefore, that cookie consents and notices in their traditional form are not an effective tool in providing control and data protection to internet users. Nevertheless, consent and notice are so enshrined in the EU’s data protection regime that they will not be easily abandoned. Chapter 5 discusses the second part of the research question by looking at practical examples in order to see how websites from the legal sector and different national data protection authorities have complied with cookie consent and notice obligations. It will be seen that cookie rules are interpreted inconsistently by even these websites, which has resulted in noncompliance in some instances. Hence, it is concluded that the GDPR and the ePrivacy Directive have failed to harmonise cookie consents and notices. Chapter 6 will look to the future and discuss briefly the proposed Regulation on Privacy and Electronic Communications (ePrivacy Regulation) in terms of i) ‘cookie walls’, which basically coerces website users to accept cookies or otherwise they will be denied access to the site or service, and ii) the legitimate interests ground, which has been introduced as an alternative legal basis to consent with respect to cookies in the latest revised draft of the ePrivacy Regulation adopted on 21 February 2020 by the Croatian Presidency. It will be concluded in chapter 7 that the traditional model of consent and notice might not always be the appropriate legal basis for cookies, hence legislators should look into other legal bases as well, such as, the legitimate interest ground. However, whether or not this ground will be able to provide better protection and control to internet users remains to be seen.

The research group dLearn.Helsinki has created a software for defining the work life competence skills of a person, working as a part of a group. The software is a research tool for developing the mentioned skills of users, and users can be of any age, from school children to employees in a company. As the users can be of different age groups, the data privacy of different groups has to be taken into consideration from different aspects. Children are more vulnerable than adults, and may not understand all the risks imposed to-wards them. Thus in the European Union the General Data Protection Regulation (GDPR)determines the privacy and data of children are more protected, and this has to be taken into account when designing software which uses said data. For dLearn.Helsinki this caused changes not only in the data handling of children, but also other users. To tackle this problem, existing and future use cases needed to be planned and possibly implemented. Another solution was to implement different versions of the software, where the organizations would be separate. One option would be determining organizational differences in the existing SaaS solution. The other option would be creating on-premise versions, where organizations would be locked in accordance to the customer type. This thesis introduces said use cases, as well as installation options for both SaaS and on-premise. With these, broader views of data privacy and the different approaches are investigated, and it can be concluded that no matter the approach, the data privacy of children will always prove a challenge.

The introductory section of the thesis discusses on the European General Data Protection Regulation, abbreviated GDPR, background information and historical facts. The second section covers basic concepts of personal data and GDPR enforcement. The third section gives detailed analysis on data subject rights as well as best practices for GDPR compliance to avoid penalties. The fourth section concentrates on the technical aspects of the right to be forgotten, solely concentrating on the technical aspects of permanent erasure/deletion of personal or corporate data in compliance with the customer’s desire. Permanent deletion or erasure of data, technically addressing the issue of the right to be forgotten and block chain network technology are the main focus areas of the thesis. The fifth section of the thesis profoundly elaborates block chain and the relation with GDPR compliance in particular. Then the thesis resumes explaining about security aspects and encryption, confidentiality, integrity and availability of data as well as authentication, authorization and auditing mechanisms in relation to the GDPR. The last section of the thesis is the conclusion and recommendation section which briefly summarizes the entire discussion and tries to suggest further improvements

Teknologins och digitaliseringens utveckling har möjliggjort att allt mer verksamhet flyttat till onlinemiljön. Företag och andra aktörer kan dra nytta från människornas handlande på internet genom att samla in uppgifter om dem och exempelvis använda informationen för att utveckla sina tjänster eller sin verksamhet. Uppgifterna har därmed blivit värdefulla för handeln och denna data kan överföras mellan aktörerna och över statsgränserna. Utvecklingen har förtydligat behovet att säkerställa skyddet av personuppgifterna och deras säkra behandling, också i situationer då de överförs. Avhandlingens syfte är att granska det skydd av personuppgifter som säkerställs i dataskyddslagstiftningen i Europeiska unionen. Det mest centrala instrumentet i dataskyddslagstiftningen är den allmänna dataskyddsförordningen, som kommer att fungera som grund för avhandlingen. Vidare granskas hur skyddet av personuppgifterna utsträcks till situationer då personuppgifterna överförs utanför unionens gränser. Därtill granskar avhandlingen dataskyddsförordningens verkan utanför unionens gränser, då den kan tillämpas på aktörer som inte är etablerade inom unionen. Avhandlingen presenterar även två rättsfall från Europeiska unionens domstol som varit betydelsefulla för överföring av personuppgifter. Avhandlingen består av tre huvuddelar. I avhandlingens andra kapitel granskas hur personuppgifter definieras, hur skyddet av personuppgifter byggs upp och behandling av personuppgifter regleras i dataskyddsförordningen. I avhandlingens tredje kapitel behandlas dataskyddsförordningen närmare och hur dess territoriella utsträckning kan anses som extraterritoriell. Även utmaningar som kan uppkomma med den breda territoriella utsträckningen behandlas i kapitlet. I det fjärde kapitlet behandlas överföringar av personuppgifter i ljuset av dataskyddsförordningen samt de olika överföringssätt som dataskyddsförordningen tillåter. I kapitlet presenteras även rättsfallen Schrems I och II, som har medfört osäkerhet på området för överföring av personuppgifter från Europeiska unionen till Förenta staterna. Genom domarna ogiltigförklarades mekanismerna som tidigare möjliggjorde överföring av personuppgifter för att säkerställa en tillräcklig skyddsnivå för personuppgifterna. Avhandlingen kommer att presentera olika förslagna utvecklingsmöjligheter på området för att undvika en likadan situation i framtiden. Avhandlingen avslutas med konklusioner.

Tiivistelmä - Referat - Abstract In the modern European data economy two central ideals are in tension. Collection and processing of personal data is central to the commerce, development and innovation in Europe, but these interests must be balanced with robust protections for the human right to privacy. Anonymisation of personal data has been seen by some to have high potential to ease the tension between the interest to use data and the protection of the individual’s privacy. This approach has been examined by many European actors, including Data Protection Authorities. Further, there is precedent of anonymisation being interpreted as an equal alternative to erasure, in a specific case after a right to erasure request was made by a data subject in a commercial relationship. In this thesis I discuss anonymisation in the European data law, and specifically whether the approaches that promote the view that anonymisation can be understood as an erasure alternative are in line with the European Data law. I examine anonymisation with a dogmatic method and connect the legal understanding to perspectives of how anonymisation and erasure are understood in data science. To discover whether these approaches are incompatible with the European data law, I pose the question of whether anonymisation fulfils the protections laid out in Article 17 of General Data Protection Regulation (EU) 2016/679. To answer this question, I define the framework of successful application of the protections of the right to erasure, and with this methodology comparatively analyse erasure and anonymisation against the common criteria. It emerges that the concept of anonymisation is not clearly defined by the European primary sources, and further that the Data Protection Authorities’ approaches vary. Concepts of personal data and anonymous data are not in symmetry, and there is grey area around these terms. European legal understanding anonymisation as a concept, and to a lesser degree erasure, are distanced from the data science understanding of the terms. Developing a more nuanced understanding of anonymisation, both as a concept and its types and goals specifically, would provide tools for the European Data Law to create a more robust and future-proof legal framework. These findings show that European Data Law develop a more full and nuanced understanding of these concepts and their connections. In this way, the European Data Law could foster a bright, secure and balanced legal framework, creating opportunities and security for both data subjects and data controllers alike.

The Research aims to study the notions of responsibility and liability of controllers and processors and their development that led them to the current status under the GDPR. The Research will also evaluate the importance of the changes in business practices, whether the transmission to the GDPR regime was easy, and whether it was fully completed. The First Chapter of the Research studies the development of data protection legislation at the national and international levels, as well as the main points about data protection law in the EU, focusing is on the development of the responsibility and liability of controllers and processors. In the Second Chapter, the Research studies the approaches to the responsibility and liability of controllers and processors in the EU in detail. The provisions of the GDPR will be explored in comparison with the DPD, and the main changes for controllers or processors are discussed. In the Third Chapter, three recent cases related to non-compliance of different types of controllers: a public authority, a legal service provider and a retailer. This chapter studies the actual examples of challenges of the controllers and their consequences. The Research found that in any period of the development of legislation and at any level, the controller remained primarily responsible and liable, even when the concept of the processor was formed under the DPD. Even though the GDPR introduced several duties that aimed at both the controller and processor and those that were targeting the processor specifically, the existing available practice mainly concerns the controller. The Research also showed that there is still a need to improve the controller’s compliance with the obligations imposed under the GDPR.

Data-aineistojen merkitys kasvaa jatkuvasti: datasta on tullut liiketoiminnan keskeistä raaka-ainetta ja jopa sen elinehto. Alati digitalisoituvassa maailmassa mahdollisuudet datan keräämiseen ja hyödyntämiseen ovat monipuolisia. Arkiset palvelut ja sovellukset tuottavat huomaamattamme henkilökohtaista tietoa yritysten hyödynnettäväksi. Uuden teknologian mahdollistama nopea kehitys datan keräämisessä ja hyödyntämisessä on jättänyt aukkoja siitä viestimisessä ja nostanut samalla esiin siihen liittyvän eettisen problematiikan. Tässä tutkimuksessa tarkastellaan kaupallisten organisaatioiden asiantuntijoiden käsityksiä yksityisyydestä sekä sitä, miten yksityisyys ja läpinäkyvyys liitetään toisiinsa liiketoiminnallisessa kontekstissa. Lisäksi tutkimuksessa tuodaan esiin asiantuntijoiden puheessa ilmeneviä tyypillisiä näkökulmia aiheeseen eli yksityisyyden ja läpinäkyvyyden kehyksiä. Tutkimus edustaa laadullista tutkimusta. Tutkimuksen aineisto koostuu kahdeksasta, eri aloilla työskentelevien viestinnän, markkinoinnin, lainsäädännön ja IT-alan asiantuntijoiden teemahaastatteluista. Aineisto on kerätty keväällä 2018. Tutkimuksen aineiston analyysissa sovelletaan Erving Goffmanin (1974) tunnetuksi tekemää kehysanalyysia. Tutkimustulosten mukaan kuluttajien data näyttelee merkittävää roolia yritysten liiketoiminnan kehittämisessä. Dataa hyödynnetään yrityksissä muun muassa tuotteiden ja palveluiden kehittämisessä, markkinoinnin ja viestinnän kohdentamisessa sekä uusien innovaatioiden luomisessa. Yksityisyys-aihe on ollut aiempaa näkyvämmin esillä Euroopan unionin uuden tietosuoja-asetuksen (2016/679) myötä. Asetuksessa Euroopan unioni ottaa kantaa kuluttajien henkilötietojen käsittelyyn ja pakottaa yritykset viestimään aiempaa läpinäkyvämmin datan keräämisestä ja hyödyntämisestä. Sekä kaupallisessa liiketoiminnassa että lainsäädännössä siis piirretään uusia reunaehtoja yksityisyydelle. Tutkimuksessa lähestytään yksityisyyden ja läpinäkyvyyden teemoja laaja-alaisesti sekä monitieteisen yksityisyyden tutkimuksen että läpinäkyvyyden teorian kautta. Kuten aiemmassakaan tutkimuksessa, ei tässäkään tutkimuksessa päästä yhteisymmärrykseen yksityisyyden ja läpinäkyvyyden syvimmistä merkityksistä. Tutkimuksessa kuitenkin erottuu viisi yksityisyyden ulottuvuutta, jotka edustavat tyypillisiä näkökulmia aiheeseen. Nämä ovat yksityisyys oikeutena, yksityisyys tunnistettavuutena, yksityisyys velvollisuutena, yksityisyys kauppatavarana ja yksityisyys kilpailuetuna. Kuluttajien yksityisyyden ja organisatorisen läpinäkyvyyden välillä nähtiin vahva yhteys: datan hyödyntämiseen yrityksissä kuuluu elimellisesti myös läpinäkyvyyden vastuu, jonka mukaan yritysten tulee viestiä toiminnastaan kuluttajille ymmärrettävästi. Läpinäkyvyys toimii raaka-aineena luottamukselle, joka asiakassuhteessa on puolestaan edellytys yrityksen kilpailuedun saavuttamiselle. Asiantuntijoiden puheesta nousi esiin viisi pääkehystä, joiden kautta keskustelua yksityisyydestä ja läpinäkyvyydestä käydään: lainsäädännön kehys, muutoksen kehys, teknologian kehys, kaupallisuuden kehys ja monimutkaisuuden kehys. Tutkimuksessa korostuu erityisesti lainsäädännön merkitys käsitteiden määrittelyssä ja puheen sanoittamisessa: nopeasti muuttuva teknologialähtöinen toimintaympäristö sekä aiheen kompleksinen luonne ajavat yritykset suuntaamaan toimintaansa ja käsityksiään ensisijaisesti lainsäädännön yksityisyystulkinnan mukaisesti. Toisaalta yksityisyyden ja läpinäkyvyyden puheesta erottuu perinteistä lainsäädäntölähtöistä ajattelutapaa konfliktoiva näkökulma, jossa yksityisyyttä ei nähty vain suojattavana asiana, vaan sillä nähtiin olevan myös kaupallista arvoa. Kaupallisista lähtökohdista ponnistavassa puheessa kuluttajien yksityisyyden ja yritysten liiketoiminnallisten intressien nähdään voivan elää tasapainossa ilman lainsäädännön tulkinnasta tuttua jännitteisyyttä. Yksityisyyden kunnioittaminen on uusi normi, mutta mahdollinen kilpailuetu ei rakennu vain yksin sen päälle. Kilpailuedun saavuttaminen vaatii kohderyhmälähtöistä viestintää, sillä sen nähdään syntyvän ennen kaikkea yksityisyyden kunnioittamisen ja organisatorisen läpinäkyvyyden synergiassa. Aiemmissa tutkimuksissa vahvana ilmenevää näkemystä siitä, että sidosryhmien vaatimukset organisaatioita kohtaan ovat kasvaneet, ei jaettu tämän tutkimuksen teemojen kontekstissa. Tilannetta voi jopa kuvailla päinvastaiseksi: yritykset odottavat kuluttajilta aktiivisuutta ja kiinnostusta oman yksityisyytensä suojelemiseen.

This thesis examines the principle of the Brussels Effect and its impact on privacy law and regulation between the EU and the US. The thesis explains how the Brussels Effect is the premise that the rules and regulations originating from Brussels have penetrated many aspects of economic life both inside and outside the EU through the process of “unilateral regulatory globalization”. It is argued that the US simply cannot afford to bypass the large internal market of the EU, and this gives US companies and regulators the incentive to conform with these EU standards. Furthermore, when it comes to global data transfers the EU primarily regulates an “inelastic” consumer market, which cannot simply be avoided or diverted to another jurisdiction due to the GDPR’s extraterritorial scope. Although a Brussels Effect clearly exists, this does not mean that it always results in compliance and the protection of data subject rights in daily practice. This proposition is supported by analysing a data subject complaint filed against Airbnb and by considering Article 22 of the GDPR, including the regulation of automatic decision making and profiling technologies. Ultimately, Schrems II and its finding which were reflected in the Trans-Atlantic Privacy Framework, are analysed to support the argument that the Brussels Effect is still operating strongly but its real impact can only be assessed after the Trans-Atlantic Privacy Framework has been implemented and operating in practice for a sufficient period.