Browsing by Subject "Tietosuoja"

Sen vaikutukset ulottuvat kaikkialle yhteiskuntaan. Digitalisaatio näkyy esimerkiksi tehokkaampana terveydenhuoltona ja tuo esimerkiksi mukanaan enemmän ja tasa-arvoisemmin mahdollisuuksia koulutukseen. Tekoälyn ja erityisesti koneoppimisen keksiminen on merkinnyt digitalisaatiolle yhtä suurta mullistusta kuin mitä digitalisaatio oli yhteiskunnalle. Tämän merkityksen on tunnistanut niin yritykset kuin lainsäätäjäkin. Datasta on tekoälyn kehittymisen myötä toden totta tullut uusi öljy. Jos data on modernin yhteiskunnan uusi öljy, on tietosuoja sen ilmastonmuutos. Tietystä kulmasta katsottuna sen voi katsoa olevan uhka öljylle, mutta se voi myös tarjota mahdollisuuksia uudistaa datan päälle rakentuvien liiketoiminnan tapoja toimia kestävämmällä pohjalla. Henkilötietojen suojan voi nähdä liiketoimintaa rajoittavana tekijänä tai sen voi ottaa liiketoiminnan parhaaksi kilpailuvaltiksi. Tässä tutkielmassa pureudutaan Euroopan unionin tietosuojasääntelyn tavoitteiden intressitasapainon juuriin ja sen vaikutukseen tekoälyyn ja erityisesti koneoppimiseen liittyvän tietosuojasääntelyn ongelmiin ”right to explanation”-oikeuden näkökulmasta. Tutkimus tarkastelee ensin tietosuojalainsäädännön historiaa 1970-luvulta eteenpäin sitä leimaavan ja hallitsevan kahden vahvan intressin, digitaalisten sisämarkkinoiden kasvattamisen ja perusoikeuksien suojan, tasapainottelun näkökulmasta. Kun paino 1970-luvulla oli selvästi enemmän taloudellisten intressien edistämisessä, on se sittemmin siirtynyt toiseen päähän tavoitteenaan tehdä vahvasta perusoikeuksien suojasta kilpailuetu, jolla EU voi kilpailla erityisesti Yhdysvaltojen ja Kiinan kanssa. Sen jälkeen tutkielma siirtyy käsittelemään Euroopan unionin tekoälystrategian ensiaskelia ja saman intressien tasapainottelun vaikutuksia siihen. Keskeiseksi nousee jälleen tietosuojasta tutut arvot: teknologian läpinäkyvyyden ja luottamuksen painottaminen perusoikeuksien vakuutena. Samalla unioni strategiaksi muodostuu luoda globaali standardi eettiselle tekoälylle. Kehitykseen on vaikuttanut ympäröivässä maailmassa tapahtuneet muutokset ja se voima, millä teknologian kehitys on yhteiskuntaa ajanut. Teknologian kehityksen luonne on voimakas, rimpuileva ja ennakoimaton, joka asettaa lainsäätäjän kilpajuoksuun, jossa se on aina muutaman askeleen jäljessä. Tasapainottelun tarkastelu on tärkeää, sillä siitä on seurannut yritys luoda "joustavaa" lainsäädäntöä unionin lainsäädäntöinstrumenteilla. Tällä yrityksellä on ollut seurauksensa, joka näkyy hyvin koneoppimista koskevassa tietosuojasääntelyssä ja sen oikeusvarmuudessa. Keskeinen ongelma on right to explanation -oikeuden olemassaolon epävarmuus, joka on keskeinen elementti koneoppimisen innovaatiolle. Erityisesti, kuin tietosuojalainsäädännön mukana tulee myös mahdollisesti merkittävät sanktiot. Oikeusvarmuus on myös keskeistä unionin taloudellisten intressien saavuttamiselle. Näyttääkin siltä, että unionin intressitasapainottelun tuloksena syntynyt lainsäädäntö onkin johtanut tilanteeseen, joka voi potentiaalisesti estää unionin tavoitteiden saavuttamista.

Tässä tutkielmassa tarkastellaan kameravalvontaa osana yhteiskuntaa ja osana rikosoikeusjärjestelmää. Ihmisistä kerätään nykyään runsaasti tietoja, ja ihmiset myös luovuttavat itsestään tietoja muiden käyttöön tietoisesti tai tiedostamatta. Massavalvonta ja big data ovat käsitteitä, jotka kuvastavat nykyajan informaatioyhteiskuntia ja datataloutta, jossa tiedolla on aiempaa suurempi merkitys. Tietoa voidaan kerätä monin eri tavoin; yksi keino on kameravalvonta. Osa valvontakameroiden keräämistä tiedoista ovat hyvinkin henkilökohtaisia, kun taas joitakin tietoja annamme ihan mielellämme itsestämme, jos koemme saavamme vastineeksi jotakin. Joskus puolestaan emme välttämättä haluaisi altistaa itseämme tietojen keruulle ja valvonnalle. Tähän kuitenkin saatetaan päätyä, jos jonkin hyväksyttävän tavoitteen nimissä pystytään saavuttamaan jotakin arvokasta, joka palvelee yksilöä tai laajemmin koko yhteiskuntaa. On myös mahdollista, että emme edes tiedä, missä ja milloin meistä on kameravalvonnan keinoin hankittu tietoja tai mihin näitä tietoja on hyödynnetty. Valvontakameroita käyteään erityisesti rikosten ehkäisyssä ja selvittämisessä. Kameroita käytetään nykyään myös moniin muihin tarkoituksiin, kuten työpaikan tuotantoprosessien varmistamiseen, yleisen järjestyksen ja turvallisuuden varmistamiseen, turvallisuuden tunteen lisäämiseen, tehokkaampien valvontakäytäntöjen toteuttamiseen, jälkikäteiseen faktantarkistukseen ja puhtaasti viihteellisiin tarkoituksiin sekä moniin muihin. Kameravalvonta on siten hyvin moninainen ilmiö, joka on yleisesti koettu yhteiskunnissa kuitenkin hyväksyttäväksi. Kameravalvonta liittyy vahvasti niin yksityisyyden ja yksityiselämän suojaan kuin henkilötietojen suojaankin. Suomessa ei ole kuitenkaan nimenomaisesti kameravalvontaa koskevaa yleislakia, jollainen esimerkiksi Ruotsin lainsäädännössä on (kamerabevakningslag 2018:1200). Kameravalvonta ei kuitenkaan ole jäänyt Suomessa täysin sääntelemättä, sillä lainsäädännöstämme on johdettavissa kameravalvonnan käytölle pelisääntöjä ja reunaehtoja useasta eri suunnasta. Myös EU:n tietosuojalainsäädäntö asettaa kameravalvonnalle rajoja. Voidaan puhua yhtäältä laillisesta kameravalvonnasta ja toisaalta laittomasta kameravalvonnasta. Viime kädessä rikoslaki asettaa rajat rikosoikeudellisesti moitittavalle menettelylle kameravalvonnassa. Rikosoikeudellinen laillisuusperiaatteen mukaisesti ketään ei saa tuomita sellaisesta teosta, joka ei ole tekohetkellä laissa nimenomaisesti säädetty rangaistavaksi. Rikosoikeudellisen säännön tulee olla selkeä ja täsmällinen. Yksilöllä tulee olla kyky tietää, mikä on rikosoikeudellisesti moitittavaa ja paheksuttavaa kameravalvontaa, jotta yksilö pystyy mitoittamaan oman toimintansa oikein. Laillisuusperiaate asettaa vaateita myös lainsäätäjälle, sillä rikosoikeudelliset säännöt on kyettävä muotoilemaan sanamuodoltaan niin, että rangaistavan käyttäytymisen ala on mahdollisimman hyvin ennakoitavissa. Ideaalitilanteessa tunnusmerkistöstä käy selvästi ilmi, mitä tarkoitusta varten tietty käyttäytymismalli on kriminalisoitu. Rikosoikeudellisesti moitittavaa kameravalvontaa voi lähestyä esimerkiski itse kuvaamisteon tai kuvadatan levittämisen kautta. Laittomalle kameravalvonnalle rangaistavuuden rajat asettavat tällöin ennen muuta rikoslain (39/1889) salakatselua ja salakuuntelua koskevat tunnusmerkistöt sekä yksityisyyden suojasta työelämässä annetun lain (759/2004) kriminalisointi. EU:n tietosuoja-asetuksen vastaisesta menettelystä voi vain rajoitetusti seurata rikosoikeudellinen seuraamus. Tunnusmerkistöjä ja oikeuskäytäntöä tarkastelemalla ilmenee, että kriminalisoitu kameravalvonta on sidottu muiden tunnusmerkistötekijöiden ohella pitkälti alueellisiin edellytyksiin, joiden perusteella teon moitittavuutta arvotetaan. Tällöin suojeluintressin toteuttaminen – yksityisyyden suoja – on sidottu katseltavan tai tarkkailtavan henkilön fyysiseen sijaintiin. Sääntelyn hyväksyttävyyttä voi tällöin perustellusti tarkastella kriittisesti huomioiden esimerkiksi Euroopan unionin tuomioistuimen ja Euroopan ihmisoikeustuomioistuimen ratkaisukäytäntö itsemääräämisoikeuteen ja henkilötietojen suojaan liittyen. Rikosoikeudelliset tulkintaopit rajoittavat kuitenkin sitä, missä määrin pelkkä suojelutavoite määrittää rangaistavuuden alaa. Jos monitulkintainen yksityisyyden suoja sidotaan kriminalisoinneissa alueellisiin edellytyksiin, kriminalisointien hyväksyttävyyden arvioimisen mittapuuna oikeushyvien suojelun periaate on merkittävässä roolissa. Nykyistä kameravalvontasääntelyä ei voida pitää rikosoikeudellisesti täysin ongelmattomana eikä selkeänä.

Henkilötietojen suoja on tunnustettu omana perusoikeutena Euroopan unionissa, ja tietosuojasääntely on noussut merkittävään asemaan henkilötietojen moninkertaistuneen keräyksen ja käsittelyn myötä. On tärkeää, että henkilötietojen suojaa turvaava sääntely pysyy ajan tasalla teknologisen kehityksen kanssa. Euroopan unioin yleinen tietosuoja-asetus tuli sovellettavaksi vuonna 2018 ja rekisteröidyille säädettiin siinä uusi oikeus siirtää tiedot rekisterinpitäjältä toiselle, turvaamaan rekisteröityjen oikeuksia. Tutkielmassa tarkastellaan lyhyesti henkilötietojen suojan asemaan Euroopan unionissa ja henkilötiedon käsitettä. Tutkielma keskittyy käsittelemään Euroopan unionin yleisen tietosuoja-asetuksen 20 artiklan oikeutta siirtää tiedot järjestelmästä toiseen. Tarkoituksena on selventää, miten rekisteröidyn siirto-oikeutta tulisi soveltaa ja mitä edellytyksiä oikeuden soveltamiselle on asetettu. Lisäksi selvitetään, mitä velvoitteita siirto-oikeus tuo rekisterinpitäjille. Tutkielmassa on haluttu ottaa selvää, miten siirto-oikeutta on todellisuudessa sovellettu. Tutkielmassa on siksi hyödynnetty erinäisiä tutkimuksia, joissa on tarkasteltu siirto-oikeuden käyttämistä tosielämässä. Näiden tutkimusten avulla pyritään luomaan katsaus siihen, miten siirto-oikeutta on käytännön tasolla sovellettu ja minkälaisia haasteita siihen on liittynyt. Tutkielmassa luodaan katsaus myös siirto-oikeuden ja kilpailuoikeuden suhteeseen. Lopuksi pyritään löytämään keinoja, miten siirto-oikeutta voitaisiin kehittää, jotta sen koko potentiaali saataisiin rekisteröityjen ja yhteiskunnan hyödynnettäväksi. Tutkielmasta selviää, että siirto-oikeuteen liittyy nykyisellään tiettyjä epätäsmällisyyksiä ja haasteita. Vaikuttaa siltä, että oikeutta on rekisteröityjen taholta käytetty melko vähän, mutta tutkituissa tapauksissa rekisteröity on pystynyt saamaan itseään koskevat henkilötiedot rekisterinpitäjältä. Harva rekisterinpitäjä on kuitenkaan mahdollistanut henkilötietojen siirtämisen suoraan rekisterinpitäjältä toiselle.

Tutkielmassa analysoin algoritmisen päätöksenteon mahdollisesti sisältävän piilevän syrjivyyden tunnistamisen haasteita päätöksenteon kohteena olevan henkilön näkökulmasta tarkasteltuna. Tutkielmassa arvioin sitä, millä tavoin algoritmisessa päätöksenteossa hyödynnettävissä koneoppimiseen perustuvissa tekoälyjärjestelmissä voi ilmetä syrjivyyttä. Tutkimuksen keskeinen kysymys on se, onko läpinäkyvyyden ja avoimuuden kautta ylipäänsä mahdollista luoda riittävä ymmärrys syrjivyydestä päätöksenteon kohteena olevalle henkilölle, jotta tämän olisi mahdollista reagoida asiaan. Tutkielmassa käytetään useita eri oikeustieteellisessä tutkimuksessa sovellettavia metodologioita, joista keskeisin on tietosuojaoikeuden ja hallinto-oikeuden osa-alueiden systematisointiin perustuva lainopillinen menetelmä. Tutkielma sisältää myös analyyttisen oikeustieteen menetelmän mukaista tutkimusta. Tutkielma sisältää elementtejä myös oikeus- ja yhteiskuntatieteellisestä tutkimuksesta, sillä tutkielmassa analysoidaan oikeutta sen yhteiskunnallisessa kontekstissa. Tutkielman olennainen havainto on se, että algoritmisen päätöksenteon syrjivyys voi saada alkunsa eri tavoin päätöksenteossa: kyseeseen saattaa tulla yhteiskunnassa vallitsevien epäkohtien tahaton hyödyntäminen tekoälyjärjestelmissä tai tarkoituksellinen toiminta, jossa päätöksenteossa hyödynnetään sellaisia valintoja, jotka johtavat syrjintään. Tästä seuraa, että syrjivyyden tunnistamista tulee lähestyä tapauskohtaisesti. Ongelmallisemmaksi muodostuu korrelaatiosuhteisiin perustuvan päätöksenteon luoma niin sanottu piilevä syrjintä, jota ei käytännössä ole mahdollista tunnistaa järjestelmän mustan laatikon sisältä. Tällöin hallinnon algoritmisen päätöksenteon syrjivyyden tunnistamista koskevan keskustelun osalta erityishuomion tulisi kiinnittyä tällaisten päätöksentekojärjestelmien riskien asianmukaiseen hallintaan.

Julkishallinnon digitalisaatio ja erityisesti automaattinen päätöksenteko osana sitä ovat asettaneet hallinto-oikeuden ja sen tutkimuksen entistä kiinteämpään vuorovaikutukseen muiden oikeudenalojen kanssa. Julkisoikeuden ja yksityisoikeuden rajan suhteellistuessa automaattisen päätöksenteon oikeustieteellinen tutkimus sisältää sen eri vaiheista riippuen useiden eri oikeudenalojen tutkimusperinteen piiriin kuuluvia aspekteja. Tutkittaessa julkishallinnon automaattista päätöksentekoa hallinto-oikeudelliseen tutkimusnäkökulmaan tulee täten olennaisia elementtejä muun muassa valtiosääntöoikeudesta, immateriaalioikeudesta ja oikeusinformatiikasta. Yleisen tietosuoja-asetuksen (2016/679, TSA) 13 (2) (f) ja 14 (2) (g) artikloissa asetetaan rekisteröidyn suojaamiseksi rekisterinpitäjälle velvollisuus antaa sekä vastaavasti 15 (1) (h) artiklassa rekisteröidylle oikeus saada merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyydestä ja mahdollisista seurauksista rekisteröidylle. Tutkielma käsittelee ensinnäkin merkityksellisten tietojen käsitteen sisältöä. Tutkielmassa todetaan EU-oikeuden teleologiseen tulkintaan perustuen, että yleisessä tietosuoja-asetuksessa käytetyn merkityksellisten tietojen käsitteen edellyttää rekisteröidyn oikeuksien kannalta parempaa läpinäkyvyyttä kuin ennen yleistä tietosuoja-asetusta voimassa olleen henkilötietodirektiivin (95/46/EY) 12 artiklan vastaava säännös. Merkityksellisten tietojen käsitettä on täten tulkittava niin, että TSA 13 (2) (f), 14 (2) (g) ja 15 (1) (h) artikloissa asetettu vaatimus on täytetty, kun rekisteröidylle on sekä annettu käsittelyn kannalta merkitykselliset tiedot ja hän on myös kohtuudella voinut ymmärtää ne. Tutkielmassa on lisäksi tutkittu sitä, millä tavoin julkishallinnon automaattisen päätöksentekojärjestelmän kehittänyt yksityinen ohjelmistokehittäjä voi pyrkiä rajaamaan rekisteröidylle annettavia merkityksellisiä tietoja sillä perusteella, että ne ovat ohjelmistokehittäjän liikesalaisuuksia. Tutkielman näkökulmana on erityisesti ollut yleisen tietosuoja-asetuksen 13 (2) (f), 14 (2) (g) ja 15 (1) (h) artiklojen sekä viranomaisten toiminnan julkisuudesta annetun lain (621/1999, JulkL) 24.1 §:n 20 kohdan välinen normikollisio. Tutkielmassa havaitaan, että normikollision ratkaiseminen riippuu rekisteröidyn mahdollisesta asianosaisasemasta, jolloin liikesalaisuussuoja voidaan turvata joko asianosaisjulkisuuteen liittyvän vaitiolovelvollisuuden ja hyväksikäyttökiellon turvin, tai vastaavasti yksityisoikeudellisella salassapitositoumuksella, mikäli rekisteröity ei ole asianosaisasemassa. Tällöin ohjelmistokehittäjän käytössä ovat mahdollisessa oikeudenloukkaustilanteessa liikesalaisuusdirektiivin (2016/943) ja siitä johdetun kansallisen lain eli liikesalaisuuslain (595/2018) mukaiset oikeussuojakeinot. Viimeiseksi tutkielmassa on käsitelty vastaavaa normikollisiota valtiosäännön tasolla, jolloin kyseeseen ovat tulleet Suomen perustuslain (731/1999, PL) 10.1 §:ssä turvattu henkilötietojen suoja ja 15.1 §:ssä turvattu omaisuudensuoja. Tutkielman näkökulma keskittyy tältä osin erityisesti saksalaisen oikeusteoreetikon Robert Alexyn kehittämään teoriaan perusoikeuksista periaatteina ja optimointikäskyinä. Tällöin periaateluontoisia perusoikeuksia voidaan soveltaa eriasteisesti kunkin soveltamiskonteksti ja tapauksen tosiseikasto huomioiden erotuksena sääntöluonteisten oikeusnormien jyrkkään dikotomiaan. Näin ollen periaateluontoisille perusoikeuksille ei voida asettaa etusijajärjestystä. Alexyn teoriassa on kuitenkin mahdollista hahmottaa perusoikeuksien keskinäisille suhteille suuntaa-antavia prima facie -etusijoja yleisiin olosuhteisiin ja soveltamiskontekstiin perustuen. Tutkielmassa esitetään, että PL 10.1 §:ssä turvatun henkilötietojen suojan ja vastaavasti liikesalaisuuksien PL 15.1 §:n nojalla nauttiman omaisuudensuojan periaatekollisiossa julkishallinnon automaattisen päätöksenteon soveltamiskontekstissa prima facie -etusija tulee antaa henkilötietojen suojalle pohjautuen sen välittömämmin luonnollista henkilöä turvaaviin tarkoitusperiin sekä yksilön oikeusturvanäkökohtiin. Optimointikäskyluonne edellyttää kuitenkin, että liikesalaisuuksien nauttimaa omaisuudensuojaa rajoitetaan niin vähän kuin mahdollista. Lisäksi tutkielmassa esitetyn näkökannan mukaan tämän soveltamiskontekstin prima facie -etusija on ehdollinen sille, että yksittäistapauksessa voidaan paikantaa riittävät oikeudelliset mekanismit, joilla poistetaan liikesalaisuuden haltijan omaisuuteen kohdistuvat, henkilötietojen suojasta johdettujen oikeuksien käytöstä johtuvat epäedulliset vaikutukset. Lopuksi on kuitenkin syytä korostaa prima facie -etusijan olevan aina vain suuntaa-antava etusijajärjestys. Näin ollen lopullinen optimointikäskyn toteutus ja punninta eri periaateluontoisten perusoikeuksien välillä tapahtuu yksittäistapauksessa in casu.