Kuluttajat käyttävät nykyisin monia erilaisia pilvipalveluja ja teknologian kehittymisen myötä palveluissa pystytään käsittelemään entistä enemmän myös käyttäjien henkilötietoja. Pilvipalveluja tarjoavien yritysten tyypillisesti hyvin kansainvälinen toimintaympäristö saattaa aiheuttaa monia lainsäädännöllisiä haasteita erityisesti tietosuojan kannalta ja henkilötietojen käsittelyyn sovellettavan lainsäädännön määrittäminen voi olla ongelmallista.
Tutkielmassa käsitellään sitä, miten sovellettava laki (lex causae) määritetään, kun kyse on henkilötietojen käsittelystä pilvipalveluissa. Tutkielmassa tarkastellaan kansainvälisiä, kuluttajille tarjottavia Software as a Service (SaaS) -tyyppisiä pilvipalveluja, joissa on liittymiä eri maihin. Tutkimuskysymystä tarkastellaan Suomen lain soveltamisen kannalta. Siksi tutkielmassa selvitetään, millä edellytyksillä Suomen voimassa olevaa tietosuojalainsäädäntöä voidaan soveltaa, kun tapaus koskee kuluttajille tarjottavia pilvipalveluja ja niissä käsiteltäviä henkilötietoja.
Lainvalintasäännöt erityisesti tietosuojan alalla ovat hyvin fragmentaarisia. Henkilötietolain (523/1999) 4 § sisältää Suomen lain soveltamista koskevat säännökset, jotka perustuvat EU:n tietosuojadirektiivin (95/46/EY) 4 artiklaan. Henkilötietolain 4 §:n edellytykset koskevat 1) Suomessa sijaitsevaa toimipaikkaa, 2) kansainvälistä julkisoikeutta ja 3) Suomessa sijaitsevien laitteiden käyttämistä. Käytännössä nämä edellytykset ovat kuitenkin hyvin monitulkintaisia. EU:n muita yhtenäistettyjä lainvalintasääntöjä, kuten Rooma I- ja Rooma II -asetuksia, ei kuitenkaan henkilötietojen käsittelyä koskevaan lainvalintaan voida soveltaa, koska tietosuojadirektiivin 4 artikla toimii itsessään kollisionormina, joka syrjäyttää yhtenäistetyt lainvalintasäännöt.
Lisäksi tutkielmassa käsitellään sitä, millä tavalla ehdotetun yleisen tietosuoja-asetuksen (COM(2012) 11 final) soveltamisalaa koskevat muutokset tulisivat vaikuttamaan pilvipalveluissa tapahtuvaan henkilötietojen käsittelyyn ja sitä koskevaan lainvalintaan. Tietosuoja-asetusehdotus voisi helpottaa lainvalintaa, mutta se voisi myös lisätä entisestään aihetta koskevan säädännäisen oikeuden fragmentaarisuutta.
