Browsing by Subject "tietosuoja"

Tiedolla johtamisen merkitys on korostunut urheilussa. Sattuman rooli pyritään minimoimaan urheiluorganisaatioiden strategisessa päätöksenteossa. Yksi merkittävä tekijä tässä toiminnan optimoinnissa on data-analytiikka, jolla tarkoitetaan urheilijoita koskevan datan keräämistä, käsittelyä ja hyödyntämistä urheilullisen ja taloudellisen menestyksen tavoittelussa. Datan avulla voidaan esimerkiksi parantaa yksilöiden suorituskykyä ja ehkäistä loukkaantumisia, tehostaa joukkueiden rekrytointia, valita ottelupäivän kokoonpanoja tai päättää nuoren akatemiaurheilijan uran etenemisestä. Ideaalitilanteessa datan perusteella tehdyt ratkaisut johtavat kaikkien osapuolten menestykseen. Käytännön tasolla urheilun data-analytiikkaan liittyy kuitenkin useita juridisia haasteita. Nämä haasteet ovat seurausta eri suuntiin viettävistä intresseistä, kuten esimerkiksi siitä, tavoitteellaanko menestystä lyhyellä vai pitkällä aikavälillä. Yksilön ja kollektiivin välisten valtasuhteiden epätasapaino voi johtaa siihen, että urheilijat eivät kykene täysipainoisesti toteuttamaan tiedollista itsemääräämisoikeuttaan tai suojaamaan yksityisyyttään. Ammattiurheilu on poikkeuksellinen toimintaympäristö, sillä sen piirissä työntekijöiden teknologiavälitteinen seuranta voi olla jatkuvaa. Sillä, miten urheilijat syövät, palautuvat ja nukkuvat, on työnantajille merkitystä. Juridisesti mielenkiintoisen tarkastelukohteen muodostaa erityisesti puettaviin teknologioihin perustuva analytiikka, jossa keskiössä ovat urheilijoiden suorituskykyä ja ominaisuuksia kuvaavat, osittain sensitiiviset data-aineistot. Tutkielmassa perehdytään ensin tällaisten tietojen oikeudellisiin määritelmiin sekä selvitetään, millaisia intressejä niihin liittyy ja miten urheilutoimijat voivat toteuttaa näitä intressejään sopimusoikeudellisesti. Dataa voidaan määritellä tarkemmin esimerkiksi jalostusasteensa mukaan. Yksittäisistä biteistä koostuvan raakadatan luonne poikkeaa niin tietosuojaoikeudellisesti kuin varallisuusoikeudellisesti algoritmin avulla ymmärrettävään muotoon muunnetuista tietoaineistoista. Keskeisiä data-analytiikan intressiryhmiä ovat urheilijat, joukkueet, seurat, liigat ja lajiliitot sekä analytiikkayhtiöt. Näiden toimijoiden välinen sopimusverkko sisältää mm. kahdenvälisiä urheilijasopimuksia, työehtosopimuksia, lisenssijärjestelyjä sekä urheiluanalytiikkapalveluiden tarjoamista koskevia asiakassopimuksia. Tällaisissa sopimuksissa on mahdollista määritellä tarkemmin, milloin dataa kerätään, mihin tarkoituksiin ja millä perustein. Tärkeää olisi, että urheilijan edulle ja heikomman suojalle annetaan sopimuksellisia reunaehtoja määriteltäessä erityistä painoarvoa. Intressiperusteisen ja sopimusoikeudellisen tarkastelun ohella tutkielmassa selvitetään data-analytiikan kannalta keskeisiä Euroopan unionin oikeussääntöjä sekä niiden vaikutusta osapuolten sopimusvapauteen. Perus-oikeuksista merkityksellisimpiä tässä tarkastelussa ovat henkilötietojen suoja, yksityisyydensuoja ja omaisuudensuoja sekä tietynlaisena perusvapautena datan vapaa liikkuvuus. Erityinen huomio kiinnittyy siten tietosuojasääntelyn soveltumisen arviointiin, rekisteripitäjinä toimivien urheiluorganisaatioiden ja analytiikkayhtiöiden keskeisten velvoitteiden tunnistamiseen sekä urheilijoiden, niin täysi-ikäisten kuin vajaavaltaisten, tieto-suojaoikeuksiin. Omaisuudensuojan kannalta mielenkiintoisia ovat immateriaalioikeudellisen tietokantasuojan sekä liikesalaisuus- ja salassapitosääntelyn luomat puitteet taloudellisesti arvokkaiden urheilijadata-aineistojen, suojaamiselle ja hyödyntämiselle. Samaten EU:n datastrategiaan perustuvat säädösehdotukset, kuten datasäädös, tuovat kiinnostavaa tarttumapintaa urheilijadataan kohdistuvien oikeuksien tarkasteluun. Tutkielman lopuksi arvioidaan eri perusoikeuksista johdettujen säädösten välisiä kollisiotilanteita, joita aiheutuu, kun pelaajatietokantoihin ja vastaaviin data-aineistoihin kohdistuu samanaikaisesti niin rekisteröidyn (urheilijan) oikeuksia kuin urheiluorganisaatioiden tai analytiikkayhtiöiden taloudellisia oikeuksia.

Verohallinto tekee vuosittain yli 15 miljoonaa verotusta koskevaa päätöstä. Näistä päätöksistä valtaosa tehdään automaattisesti ilman ihmisten osallistumista päätöksentekoon. Vuonna 2019 eduskunnan apulaisoikeusasiamies antoi päätöksen, jonka mukaan Verohallinnon automatisoitu päätöksenteko ei täytä perustuslain vaatimuksia. Päätöksen jälkeen Suomessa on ryhdytty lainsäädäntöhankkeisiin, joilla pyritään turvaamaan Verohallinnon toiminnan edellytykset perustuslain edellytykset täyttäen. Tämä tutkielma esittää kattavan kuvan viranomaisten harjoittamaan automaattiseen päätöksentekoon vaikuttavasta moninaisesta ja monimutkaisesta sääntelykokonaisuudesta, Verohallinnon automaattisen päätöksenteon hyödyntämiseen liittyvistä oikeudellisista ongelmista sekä uudesta suomalaisesta sääntelystä, jolla pyritään korjaamaan automaattisen päätöksenteon ongelmakohtia. Tutkielmassa käsitellään Verohallinnon automaattiseen päätöksentekoon välillisesti vaikuttavaa sääntelyä ihmis- ja perusoikeuksien, julkisen vallan ja hyvän hallinnon, tietosuojan sekä verotusmenettelyn kannalta. Taustasääntelyä ja verotuksen aineellista sääntelyä peilataan Verohallinnon käytännössä harjoittamaan automaattiseen päätöksentekoon ja siinä havaittuihin oikeudellisiin puutteisiin. Puutteet liittyvät erityisesti hallinnon lakisidonnaisuuteen, virkavastuun toteutumiseen, hyvän hallinnon ja oikeusturvan toteutumiseen sekä tietosuojaan. Tutkielma esittelee uuden automaattista päätöksentekoa koskevan lainsäädännön ja arvioi korjaako lainsäädäntö aiemmat puutteet. Johtopäätöksenä uuden sääntelyn arvioidaan korjaavan enimmän osan toimintaan liittyneistä puutteista mutta esiin nostetaan myös mahdollisia aukkoja uudessa sääntelyssä, joiden osalta Verohallinnon automaattisen päätöksenteon lainmukaisuutta voidaan joutua arvioimaan vielä uudemman kerran.

Komissio esitti helmikuussa 2022 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä (datasäädös). Datasäädöksen tavoitteena on edistää datan käyttöä ja saatavuutta EU:ssa. Datasäädöksen säännöksiä sovelletaan niin kutsuttuun teolliseen dataan sekä henkilötietoihin. EU:ssa on sitouduttu korkeaan henkilötietojen suojan tasoon. Yleinen tietosuoja-asetus sisältää säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä. Tutkielmassa vastataan ensin kysymyksiin mitkä ovat yleisen tietosuoja-asetuksen ja EU:n uuden datasäädöksen tavoitteet ja vuorovaikutus. Datasäädöksellä ei poiketa tietosuoja-asetuksen säännöksistä, joiden katsotaan tutkielmassa täydentävän datasäädöstä Euroopan datastrategian tavoitteiden valossa. Tietosuoja-asetuksen ja datasäädöksen tavoitteiden voidaan kuitenkin katsoa olevan jännitteiset. Koska datasäädöksen lainsäädäntöprosessi on tutkielmaa kirjoittaessa kesken, tutkielmassa otetaan kantaa säädöstekstiin ja esitetään myös de lege ferenda -tyylisiä kannanottoja erityisesti yleisen tietosuoja-asetuksen valossa. Tutkielman tarkoituksena on toiseksi tunnistaa henkilötietojen käsittelyyn liittyvät velvollisuudet, jotka julkisen sektorin toimijan ja yksityisen sektorin datan haltijan on erityisesti huomioitava datasäädöksen V luvun tilanteessa, jossa yksityisen sektorin datan haltija asettaa julkisen sektorin saataville henkilötietoja poikkeuksellisen tarpeen tilanteessa. Tutkielmassa tehdään muun muassa johtopäätös, että datasäädöksen V luvun tilanteessa on lähtökohtaisesti kysymys kahden erillisen rekisterinpitäjän välisestä tietojen luovutuksesta.

As everyday life becomes digital, more and more daily things are done online. In particular, the increased use of mobile devices has accelerated this development. People are increasingly leaving information online about themselves that can be used to identify a person. On 25 May 2018, the European Union’s General Data Protection Regulation, the GDPR, was repealed in the European Union, repealing the previous European Union Data Protection Directive. The GDPR sets out how personal information should be stored and who can process it. The thesis examined how the introduction of GDPR has affected the customer data storage solutions and IT processes of Finnish SMEs during 2018-2020. The companies were examined in three phases: before, during and after the introduction of the GDPR. The study looked at the number of data breaches in the EU and the penalties imposed for them, and compared the situation in Finland. In addition, Finnish SMEs were interviewed for the dissertation. The interview was conducted as a questionnaire interview with 15 companies. The thesis found that Finland did not stand out in any way among other EU countries in GDPR violations. The answers received as a result of the survey revealed that there has been a clear variation in the interpretation of the content of the GDPR in Finland, which has affected the measures taken by companies. Based on the survey, the measures have also been influenced by the organization and organizational culture. However, the reliability of the results is affected by the small sample size.

Vakuutusalalle on luonteensa vuoksi ominaista, että vakuutustoiminnassa käsitellään runsaasti henkilötietoja. Henkilötietojen käsittelyn sääntely rakentuu Euroopan unionin yleisen tietosuoja-asetuksen (”tietosuoja-asetus”) varaan, kansallisen tietosuojalain sitä täydentäessä. Tutkielma koostuu kahdesta ydinkysymyksestä, joita tarkastellaan oikeusdogmaattisella metodilla. Ensinnäkin tarkasteluun otetaan tietosuoja-asetuksen 6 artiklan mukainen henkilötietojen käsittelyn oikeusperuste, ja asian käsitteleminen voidaan tiivistää kysymykseen ”millä tietosuoja-asetuksen lainmukaisuuden perusteella henkilötietojen käsitteleminen vakuutustoiminnassa on lainmukaista?” Toisena kysymyksenä tarkastellaan sitä, kuinka laajasti vakuutustoiminnassa voidaan käsitellä henkilötietoja, kun otetaan huomioon tietosuoja-asetuksen 5 (1) (c) artiklassa säädetty tietojen minimoinnin periaate suhteessa vakuutusalan sääntelyyn. On otettava huomioon, että henkilötietojen suoja on tunnustettu perusoikeutena niin kotimaisessa, kuin kansainvälisessä sääntelyssä. Lisäksi henkilötiedon käsite ja henkilötietojen käsittelyn käsite on ymmärrettävä laajasti. Myös vakuutusalalla on runsaasti olemassa vakuutussuhteen osapuolia velvoittavaa sääntelyä. Vakuutussopimuslain mukaan sekä vakuutuksen-, että korvauksenhakijalla on velvollisuus antaa määrättyjä tietoja vakuutuksenantajalle. Alalla on vakiintunut myös hyvän vakuutustavan käsite, ja osansa on myös hallinto-oikeudellisilla ja perusoikeudellisilla näkökulmilla. Suostumusta henkilötietojen käsittelyn oikeusperusteena arvioitaessa tulee huomiota kiinnittää niihin edellytyksiin, joiden mukaan suostumus on pätevä. Sen tulee esimerkiksi olla yksilöity, nimenomaista tarkoitusta varten annettu, ja erityisiin henkilötietoryhmiin kuuluvia tietoja käsitellessä nimenomainen. Suostumusta voidaan käyttää henkilötietojen lainmukaisen käsittelyn perusteena, mutta vakuutustoiminnassa lainmukaisuuden perusteena voi olla myös sopimus, rekisterinpitäjän lakisääteinen velvoite, tai rekisterinpitäjän taikka kolmannen oikeutettu etu. Tietosuojalain 6.1 §:n 1 kohta sallii erityisiin henkilötietoryhmiin kuuluvien henkilötietojen käsittelyn korvausta hakiessa, mutta laajemmin erityisiin henkilötietoryhmiin kuuluvia henkilötietoja voidaan käsitellä nimenomaisen suostumuksen perusteella. Vakuutus- tai korvausasian ratkaisemisen kannalta olennaisia ja näin ollen käsittelyssä tarvittavia tietoja on arvioitava siten, että minimointiperiaatteen soveltaminen ei saa johtaa korvauskäsittelyn sattumanvaraisuuteen eikä rekisteröidyn oikeusturvan vaarantumiseen. Korvauslinjan on säilyttävä johdonmukaisena ja yhdenvertaisena. Lakisääteisen vakuutuksen osalta merkitystä on myös hyvän hallinnon vaatimuksilla. Hyvä vakuutustapa tarkastelee vakuutusalaa suhteessa laajemminkin yhteiskuntaan ja se asettaa vakuutusyhtiöille myös omat velvoitteensa. Vakuutusyhtiön tulee tehdä itsenäinen harkinta siitä, mitä henkilötietoja on pidettävä tarpeellisena vakuutus- tai korvausasian ratkaisemissa. Henkilötietojen käsittelyyn liittyviä riskejä voidaan torjua myös toteuttamalla tehokkaasti sisäänrakennetun ja oletusarvoisen tietosuojan vaatimuksia.

Erilaisten verkkoalustojen ja sosiaalisen median yleistymisen myötä myös poliittinen mainonta on ajan saatossa siirtynyt verkkoon. Nykypäivänä mainonnassa käytettävä profilointi ja muu mikrokohdentaminen ovat lisänneet verkossa levitettävän disinformaation ja manipulaation määrää. Monet sosiaalisen median palvelut tarjoavat erilaisia kohdentamispalveluita, joilla esimerkiksi poliittiset toimijat voivat kohdentaa viestintää sosiaalisen median käyttäjille heidän poliittisten tai muiden kiinnostuksen kohteidensa perusteella. Yksityisyyteen puuttuva kohdennettu poliittinen mainonta luo riskejä niin yksilöille kuin myös yhteiskunnallisella tasolla koko demokraattisen järjestelmän toimivuudelle. Tutkielmassa tarkastellaan poliittista mainontaa kohdennettaessa tapahtuvaa henkilötietojen käsittelyä Euroopan unionin (EU) yleisen tietosuoja-asetuksen lainmukaisuuden periaatteeseen sisältyvän oikeusperusteen valinnan kautta. Tutkielmassa systematisoidaan ja analysoidaan eri käsittelyperusteita sekä niiden soveltuvuutta vaalimainonnan kohdentamiseen. Rekisterinpitäjän on käsitellessään henkilötietoja mainonnan kohdentamiseen otettava huomioon tietosuoja-asetuksen 6, 9 ja 22 artiklan säännökset. Tietojen käsittelylle tulee löytyä lainmukainen peruste 6 artiklasta, ja käsitellessä erityisiä henkilötietoryhmiä 9 artiklan poikkeusperusteista jonkun tulee soveltua. Poliittista mainontaa kohdennettaessa käsitellään nimittäin usein tietoa rekisteröidyn poliittisesta mielipiteestä. Rekisterinpitäjän on lisäksi huomioitava 22 artiklan vaatimukset automaattisesta päätöksenteosta. Tutkielman aihe on ajankohtainen, sillä Euroopan komissio on antanut vuonna 2021 asetusehdotuksen poliittisen mainonnan läpinäkyvyydestä ja kohdentamisesta. Tutkielmassa tarkastellaan lisäksi tätä uutta asetusehdotusta ja sen mahdollisesti tuomia muutoksia poliittista mainontaa kohdennettaessa käytettävän oikeusperusteen valintaan. Asetusehdotuksen tarkastelussa keskitytään siihen sisältyvän erityisten henkilötietoryhmien käsittelyn kieltoon käytettäessä kohdentamis- ja voimistamistekniikoita poliittisessa mainonnassa. Myös digipalvelusäädöksen vaikutuksia tutkielman aiheeseen sivutaan lyhyesti. Tutkielmassa esitetyin perustein vaalimainonnan kohdentaminen perustuu tietosuoja-asetuksen nojalla suurimmassa osassa tapauksia rekisteröidyn suostumukseen tai nimenomaiseen sellaiseen, eikä komission asetusehdotus ehdotetussa muodossaan toisi tähän suuria muutoksia. Vaikka ehdotuksessa kielletään arkaluonteisten tietojen käsittely kohdentamis- ja voimistamistekniikoiden yhteydessä, kieltoon ehdotetut poikkeukset tekisivät sen pitkälti tehottomaksi eikä ehdotus sellaisenaan palvelisi tarpeeksi tehokkaasti sääntelyn tarkoitusta ehkäistä kohdennetun poliittisen mainonnan aiheuttamia negatiivisia seurauksia. Asetusehdotuksen käsittely on kuitenkin tutkielman kirjoittamisen hetkellä kesken EU:ssa ja ehdotukseen on esitetty muutoksia, jotka pääosin tiukentaisivat kohdentamis- ja voimistamistekniikoiden käytölle esitettyjä rajoituksia poliittisessa mainonnassa.

Tutkin poliittisen historian pro gradu -työssäni vuonna 2009 säädetyn Lex Nokiana tunnetun sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien valmistelua hallinnan analyysin kautta. Historiallisena kontekstina tutkielmassani on useiden tutkijoiden raportoima viimeisen parinkymmenen vuoden aikana tapahtunut politiikan katoaminen vallan käytöstä ja sen korvautuminen valmentajavaltiolla. Valmentajavaltiossa päätökset pyritään tekemään ilman ideologisia painotuksia perustellen ne taloudellisina välttämättömyyksinä. Pyrin selvittämään, olivatko valmentajavaltion hallinnan strategiat läpäisseet lainsäädäntökoneiston niin tehokkaasti, että Lex Nokia perusteltiin epäpoliittisella rationalisoinnilla ilman ideologisia painotuksia. Olin kiinnostunut tutkielmassani myös lain valmisteluasiakirjojen hallituksen esityksen ja eduskunnan vastauksen hallinnan tapojen mahdollisista eroista. Tutkielmani alkuperäislähteinä toimivat Lex Nokian valmisteluasiakirjat Hallituksen esitys 48/2008 vp ja Eduskunnan vastaus 3/2009 vp. Tarkastelin aineistoani hallinnan näkökulman kautta. Hallinnan näkökulma on yhteiskuntatieteellinen tutkimussuuntaus, johon on vaikuttanut ranskalaisen filosofin Michel Foucault’n ajattelun perintö. Hallinnan analyysissä hallinnan tapoja voidaan analysoida tutkimalla puhetapoja, käsitteitä ja tiedon tuottamisen tapoja. Minua kiinnostikin erityisesti lain valmistelussa ilmenneet uusliberaalin paradigman mukaiset hallinnan tavat, joita pyrin erittelemään aineistostani analysoimalla tiedon tuottamisen strategioita ja käsitteitä. Valmentajavaltion hallinnan eetos oli ilmeinen Lex Nokian valmistelussa. Lakia perusteltiin yritysten eduilla, kilpailukyvyn säilyttämisellä ja välttämättömyytenä. Jonkin verran lakia myös kritisoitiin eduskunnan vastauksessa toteamalla sen lähtevän yritysten tarpeista. Lakia moitittiin myös suoraan käyttökelvottomaksi. Kritiikissäkin muistettiin kuitenkin usein mainita yrityksillä olevan oikeus omaisuuteensa. Johtopäätöksinä pro gradustani voidaan todeta, että Lex Nokian valmistelu ilmensi hyvin historiallista kehitystä, jossa päätöksentekoa perustellaan yhä enenevissä määrin taloudellisilla välttämättömyyksillä. Päätöksenteon ei ylipäätänsä haluta nähdä olevan poliittista, vaan se viedään läpi vetoamalla rationaalisuuteen. Asia ei kuitenkaan ollut aivan näin yksiselitteinen, vaikka Lex Nokian valmisteluasiakirjojen hallinnan tavat näyttivät vahvasti edustavan managerivaltion oppeja, niin lakiehdotus myös haastettiin eduskunnan vastauksessa. Sitä vaadittiin ja saatiin muutetuksi siten, että sen varsinaisesta käyttämisestä tuli vaikeaa. Tästä kohdin löysin vielä ideologian päätöksentekoketjusta.

Tutkielmassa tarkastellaan EU:n tietosuoja-asetuksen asettamia edellytyksiä automaattiselle päätöksenteolle ja verrataan näitä kansalliseen terveydenhuollon sääntelykehikkoon. Tutkielmassa tunnistetaan tekoälyn käyttöönotolle ennakoivassa palveluntarjonnassa terveydenhuollossa liittyviä riskejä esimerkiksi yhdenvertaisuuteen, oikeusturvaan ja henkilötietojen suojaan liittyen. Näihin teemoihin liittyvää sääntelyä on runsaasti sekä EU-oikeuden, kansallisen oikeuden, että kansainvälisen oikeuden kentällä. Tutkielmassa esitetään, että tekoälypohjaisten järjestelmien käyttöönotto terveydenhuollon palveluntarjoamiseen edellyttäisi erityissääntelyä, joka huomioisi säännöskokonaisuuden, tekoälyjärjestelmien erityisen luonteen sekä erityiset riskit terveydenhuollon kontekstissa. Tutkielmassa tuodaan esille sääntelyn soveltumattomuus tekoälypohjaisten ratkaisujen ongelmien ehkäisyssä. Lopputuloksena muodostetaan kuvaus siitä, millaisilla juridisilla ratkaisuilla tekoälyjärjestelmien käyttö olisi mahdollista terveydenhuollon palveluiden tarjoamisessa ennaltaehkäisevän terveydenhuollon tavoitteiden ja siitä seuraavien kustannushyötyjen saavuttamiseksi. Näiden sääntelyratkaisujen ytimessä on niissä määritellyt suojakeinot rekisteröityjen oikeuksien suojaamiseksi. Tutkielmassa tarkastellaan yksilön itsemääräämisoikeuteen ja ihmisen interventioon nojaavien suojakeinojen toimivuutta tekoälyratkaisujen käyttöönotossa. Tietosuojajuridiikan itsemääräämisoikeutta ja tiedonsaantioikeuksia korostavaa kehystä verrataan kansalliseen lääkintäoikeuden perinteeseen potilaiden itsemääräämisoikeudesta, sekä kansalliseen terveydenhuollon oikeussuojajärjestelmään.

Rekisteröidyllä on oikeus saada tutustua (right of access) häntä koskeviin tietoihin, joita rekisterinpitäjä käsittelee. Tästä henkilötietojen tarkastusoikeudesta säädetään EU:n yleisen tietosuoja-asetuksen 15 artiklassa. Tutkielmassa tarkastellaan rekisteröidyn tarkastusoikeuden rajoja lainopin keinoin. Tutkielma koostuu kahdesta pääasiallisesta tutkimuskysymyksestä. Ensiksi tarkastelussa on henkilötietojen määritelmä, sillä tarkastusoikeuden rajojen ymmärtämistä varten on tiedettävä, mitä tietosuoja-asetuksessa tarkoitetaan henkilötiedoilla. Toiseksi tutkielmassa selvitetään tarkastusoikeuden toteuttamista koskevien säännösten sisältöä ja tunnistetaan niistä tarkastusoikeutta rajoittavia tekijöitä. Kysymyksiä tarkastellessa mukana kulkee tietosuojalainsäädäntöön sisältyvä läpinäkyvyysperiaate. Tutkielmassa esitetään, että henkilötietojen määritelmä vaikuttaa keskeisellä tavalla rekisteröidyn tarkastusoikeuden rajoihin. Tietosuojalainsäädännössä henkilötiedot ymmärretään erittäin laajasti ja määritelmän alle kuuluvien tietojen moninaisuus haastaa rekisterinpitäjiä tarkastuspyyntöihin vastattaessa. Tutkielma onnistuu tunnistamaan useita yleisen tietosuoja-asetuksen säännöksiä, jotka rajoittavat rekisteröidyn tarkastusoikeutta. Merkittävimmät havainnot liittyvät rekisterinpitäjän toimintaan ilmeisen kohtuuttoman tai perusteettoman pyynnön tilanteessa sekä oikeuksien väliseen intressipunnintaan. Tarkastusoikeutta ei saa käyttää väärin, eikä oikeus käsiteltävien henkilötietojen jäljennökseen saa haitata muiden oikeuksia ja vapauksia. Tarkasteltavasta unionin oikeuskäytännöstä kuitenkin selviää, että rajoituksia rekisteröidyn oikeuksiin on tulkittava suppeasti. Tulkinnassa on erityisesti huomioitava tietosuoja-asetuksen tavoitteet ja asetuksella suojeltavat perusoikeudet.

”Yksityisyydestään huolestuneiden kannattaa aina miettiä mitä sovelluksia puhelimeensa asentaa. Facebookin omistama Instagram myy jopa 79 prosenttia keräämästään datasta – eli tietoja sinun käyttäytymisestäsi.” Näin alkaa Alma Median Mikrobitti -sivustolla 15.3.2021 julkaistu uutinen. Teknologinen kehitys on mahdollistanut se, että miljardit ihmiset omistavat mobiililaitteen ja yhteydenpito on mahdollista ympäri maailmaa. Mobiililaitteet ovat pieniä tietokoneita, jotka kulkevat ihmisten mukana keräten jatkuvasti tietoja käyttäjästään. Tietoja on mahdollista hyödyntää monin eri tavoin. Sijaintitiedon avulla on mahdollista tunnistaa yksittäisiä ihmisiä ja käyttäjät voivat itse luovuttaa henkilötietojaan rekisterinpitäjälle vastineeksi palvelun käytöstä. Lisäksi palvelin kerää käyttäjiensä digitaalista jalanjälkeä eli käyttäjän jokaista digitaalista toimea tarkkaillaan ja analysoidaan. Tietoja voidaan myös myydä eteenpäin, mutta usein tiedot ovat arvokkaita myös tiedot keränneelle, sillä tietojen avulla voidaan kehittää palveluja ja tarjota käyttäjälle entistä parempi käyttökokemus. Mobiilisovellusten tarkoitus on usein saada käyttäjä palaamaan kyseiseen palveluun aina uudelleen. Tiedot, joista on mahdollista tunnistaa yksittäinen henkilö ovat henkilötietoja. Henkilötietojen käsittelyyn sovelletaan Euroopan unionin yleistä tietosuoja-asetusta ja kyseinen asetus asettaa tietyt ehdot, joiden perusteella henkilötietojen käsittely on mahdollista. Henkilötiedot ovat arvokkaita yrityksille ja mobiililaitteen sijaintitietojen hyödyntäminen mahdollistaa uudenlaisia palveluita. Kun automaattisen tekniikan avulla on mahdollista muodostaa tarkatkin tiedot käyttäjästä, voidaan tarjota esimerkiksi kohdennettua mainontaa. Mobiilisovelluksen toiminta tai ehdotettu video ovat suunniteltua perustuen laskelmoituihin oletuksiin ja tarkkoihin tietoihin käyttäjästä, yksityisyyden valitettavan usein jäädessä taka-alalle. Tutkielma käsittelee millä perusteella mobiilisovellukset saavat käsitellä henkilötiedoksi määriteltyä sijaintietoa eurooppalaisen tietosuojalainsäädännön valossa. Pääasiallisena tutkimuskohteena on sijaintitiedon käsittely suostumusperusteella. Euroopan unionin yleisen tietosuoja-asetuksen mukaan sijaintitieto on lähtökohtaisesti henkilötietoa. Tutkielma tarkastelee ensin tarkemmin sitä, milloin sijaintitieto on henkilötietoa ja milloin se luokitellaan anonyymiksi tiedoksi. Tutkielmassa käsitellään sijaintitietoon liittyvät käsitteet ja sijaintitietoja analysoidaan erotettuna muista henkilötiedoista niihin liittyvien erityispiirteiden vuoksi. Näitä erityispiirteitä, kuten erityiseen henkilötietoryhmään kuuluvia tietoja käsitellään ja tulkitaan voimassa olevan lainsäädännön mukaisesti. Sijaintitietojen kohdalla tietojen käsittely on usein laajamittaista ja jatkuvan sijaintitiedon käsittely vaarantaa käyttäjän yksityisyyden erityisesti, jos kyseisistä tiedoista muodostuu erityisiksi henkilötiedoiksi luokiteltuja arkaluonteisia tietoja. Oikeudet henkilötietojen suojaan ja yksityisyyteen ovat perus- ja ihmisoikeuksia. Tutkielman päätutkimuskysymykset koskevat sitä, milloin ja millä perusteella mobiilisovellukset saavat kerätä eli käsitellä käyttäjiensä sijaintitietoja. Tutkielma tarkastelee siis tietosuojalainsäädännön asettamia rajoja koskien sijaintitietojen käsittelyperusteita keskittyen erityisesti yleisimpään käsittelyperusteeseen eli suostumukseen ja sen ajalliseen ulottuvuuteen. Tarkastelu tehdään mobiilisovellusten näkökulmasta. Tutkielman tarkoituksena on löytää vastaus siihen, miten mobiilisovellus saa käsitellä henkilötietoja, kuten sijaintietoja ja mitkä tilanteet muodostavat ongelmia käyttäjän yksityisyyden kannalta. Tämän jälkeen tutkielmassa käsitellään vielä lyhyesti sitä, miten käyttäjä voi suojautua tietojensa käsittelyltä ja viimeisenä tarkastellaan tarkemmin kaupallisia mobiilisovelluksia.