Browsing by Title

Kansainvälisten rikostuomioistuinten perussäännöissä luetellaan joukko vakavia rikostekoja, jotka ovat rikoksia ihmisyyttä vastaan silloin, kun ne tehdään osana siviiliväestöön kohdistettua laajamittaista tai systemaattista hyökkäystä. Rikosten ihmisyyttä vastaan rikostunnusmerkistöön sisältyvä yksittäisten rikostekojen luettelo päättyy säännökseen, joka täydentää rikosluetteloa kriminalisoimalla muutoin erikseen lueteltujen rikosten lisäksi ’muut epäinhimilliset teot’, jotka tehdään osana laajamittaista tai systemaattista hyökkäystä siviiliväestöä kohtaan. Tutkielman tarkoituksena on selvittää rikosten ihmisyyttä vastaan ’muiden epäinhimillisten tekojen’ kiellon sisältöä ja ulottuvuutta osana kansainvälistä rikosoikeutta. Ilmaisun ’muut epäinhimilliset teot’ ollessa lähtökohtaisesti melko epätäsmällinen ja laaja-alainen, tarkastellaan kieltoa erityisesti rikosoikeudellisen laillisuusperiaatteen näkökulmasta. Tutkielmassa pyritään kokoamaan ja systematisoimaan ’muihin epäinhimillisiin tekoihin’ liittyvää säädännäisaineistoa ja oikeuskäytäntöä sekä tarkastelemaan normin sisältöä osana kansainvälistä tapaoikeutta. Historiallisen näkökulman kautta pyritään esittelemään ’muiden epäinhimillisten tekojen’ oikeudellista sisältöä eri aikoina ja kiellon yhteensopivuutta laillisuusperiaatteen kanssa rikostunnusmerkistön eri kehitysvaiheissa. ’Muiden epäinhimillisten tekojen’ kielto on pyritty asettamaan osaksi laajempaa oikeudellista kontekstia ja tulkitsemaan kieltoa soveltuvien oikeusperiaatteiden, etenkin laillisuusperiaatteen ja kansallisista rikosoikeusjärjestelmistä johdettavissa olevien periaatteiden valossa. ’Muiden epäinhimillisten tekojen’ kielto on sisällytetty kaikkien kansainvälisten rikostuomioistuinten perussääntöihin ja sitä on sovellettu laajalti oikeuskäytännössä. Kriminalisoinnin tunnusmerkistö ja ulottuvuus on täsmentynyt merkittävästi oikeuskäytännön kautta. ’Muiden epäinhimillisten tekojen’ tunnusmerkistön asteittaisesta kehityksestä ja eri määritelmien eroavaisuuksista huolimatta voidaan kiellon katsoa tulleen määritellyksi kansainvälisessä tapaoikeudessa kansainvälisen rikostuomioistuimen (ICC) perustamisasiakirjoista ilmenevällä tavalla. Rajanvedossa ’muiden epäinhimillisten tekojen’ ja mahdollisten muiden vakavaa kärsimystä tai vakavan vamman aiheuttavien tekojen välillä muodostuu tärkeäksi ’muiden epäinhimillisten tekojen’ samanlaisen luonteen ja vakavuuden toteaminen suhteessa muihin rikoksiin ihmisyyttä vastaan. Tutkielmassa katsotaan, että mahdollisten ’muiden epäinhimillisten tekojen’ luonnetta arvioitaessa tulee kiinnittää huomiota etenkin ihmisoikeusperiaatteisiin ja kansallisista oikeusjärjestelmistä johdettavissa oleviin tietyntyyppisten vakivallantekojen rikollista luonnetta koskeviin periaatteisiin. ’Muista epäinhimillisistä teoista’ tuomittaessa tulee kiinnittää erityistä huomiota laillisuusperiaatteeseen ja tutkia rikosvastuun toteuttamisen yhteensopivuus laillisuusperiaatteen kanssa tapauskohtaisesti.

Two Abstracts

The Directive (2019/2121) on cross-border conversions, mergers and divisions entered into force on 1 January 2020, bringing cross-border conversions and divisions finally under the same legal framework that already existed for cross-border mergers. The Directive is the last in a long line of regulatory efforts spanning many decades seeking to further facilitate the cross-border activity of corporations within EU and thus enhancing the working of the Single Market. This thesis seeks to critically examine the new Directive and the reasons behind its adoption. The thesis provides evidence that there indeed existed a real need for new legislation further harmonising cross-border operations within EU. The normative analysis of the legal reality before the adoption of the new Directive shows evidence that the freedom of establishment as granted by the Treaty on the Functioning of the European Union was, especially with relation to cross-border conversions and divisions, quite illusory without proper procedural framework set in place. The analysis also shows that while the rules concerning cross-border mergers were already harmonised to a degree, there were still clear deficits in the legislation that hindered companies’ possibilities to fully utilise the opportunities granted by the Single Market. The adoption of the new Directive is thus a tremendous achievement, if not just for the fact that it brings cross-border conversions and divisions under EU level legislation for the first time. Further analysis of the Directive shows that it also contains many sensible amendments made to the old legislation, one of which is the newly constructed framework concerning the protection of different stakeholders. Sadly, the analysis shows that the new Directive is not completely without problems. The Directive contains numerous inconsistencies in how it regulates the different operations, and the new rules set out for the scrutiny of legality are likely to further complicate cross-border operation procedures. The Directive also does not solve the problems relating to different corporate laws between Member States, even though it offers rules harmonising the operation procedures. The thesis concludes offering some possible solutions to these most glaring problems with the new Directive.

Certain software products employing digital techniques for encryption of data are subject to export controls in the EU Member States pursuant to Community law and relevant laws in the Member States. These controls are agreed globally in the framework of the so-called Wassenaar Arrangement. Wassenaar is an informal non-proliferation regime aimed at promoting international stability and responsibility in transfers of strategic (dual-use) products and technology. This thesis covers provisions of Wassenaar, Community export control laws and export control laws of Finland, Sweden, Germany, France and United Kingdom. This thesis consists of five chapters. The first chapter discusses the ratio of export control laws and the impact they have on global trade. The ratio is originally defence-related - in general to prevent potential adversaries of participating States from having the same tools, and in particular in the case of cryptographic software to enable signals intelligence efforts. Increasingly as the use of cryptography in a civilian context has mushroomed, export restrictions can have negative effects on civilian trade. Information security solutions may also be took weak because of export restrictions on cryptography. The second chapter covers the OECD's Cryptography Policy, which had a significant effect on its member nations' national cryptography policies and legislation. The OECD is a significant organization,because it acts as a meeting forum for most important industrialized nations. The third chapter covers the Wassenaar Arrangement. The Arrangement is covered from the viewpoint of international law and politics. The Wassenaar control list provisions affecting cryptographic software transfers are also covered in detail. Control lists in the EU and in Member States are usually directly copied from Wassenaar control lists. Controls agreed in its framework set only a minimum level for participating States. However, Wassenaar countries can adopt stricter controls. The fourth chapter covers Community export control law. Export controls are viewed in Community law as falling within the domain of Common Commercial Policy pursuant to Article 133 of the EC Treaty. Therefore the Community has exclusive competence in export matters, save where a national measure is authorized by the Community or falls under foreign or security policy derogations established in Community law. The Member States still have a considerable amount of power in the domain of Common Foreign and Security Policy. They are able to maintain national export controls because export control laws are not fully harmonized. This can also have possible detrimental effects on the functioning of internal market and common export policies. In 1995 the EU adopted Dual-Use Regulation 3381/94/EC, which sets common rules for exports in Member States. Provisions of this regulation receive detailed coverage in this chapter. The fifth chapter covers national legislation and export authorization practices in five different Member States - in Finland, Sweden, Germany, France and in United Kingdom. Export control laws of those Member States are covered when the national laws differ from the uniform approach of the Community's acquis communautaire.

Currency undervaluation is a well-known and commonly used method for stimulating economic growth. Although the exact effects of exchange rate arrangements on international trade are highly debated, the fact that strong interlinkages between the two exist is unquestionable. This thesis departs from the generally accepted truth that an undervalued currency functions in practice as a subsidy to exports and tariff on imports. By using the method of legal dogmatics, the thesis analyzes how currency undervaluation can be assessed under international law, focusing on the examination of whether invoking the provisions of the IMF Articles of Agreement or WTO agreements to challenge currency undervaluation could be successful. In order to understand the issues behind this question, the first part of this thesis provides a short overview of the history of international regulation of currencies and the rise and fall of the Bretton Woods system. Parting from the principle of monetary sovereignty and its implications, the thesis provides a cursory glance at the development of international obligations regarding currencies and exchange rates. The second part deals shortly with the relevant provisions of the IMF’s Articles of Agreement and the shortcomings related thereto. Article IV(1)(iii) of the IMF Articles of Agreement places an obligation on member states to avoid manipulating exchange rates in order to gain an unfair competitive advantage over other members. Despite in theory providing an answer to the problem of currency undervaluation, this provision is in practice essentially inoperative, due to the subjective element included in it. Even in the unlikely case that the IMF were to reach the decision that one of its members was in breach of this Article, it has no effective dispute settlement system it could avail itself of if the said member state did not comply with the IMF’s recommendations to remove the breach. With the IMF being unable to effectively deal with the issue, the attention of politicians and academics alike has turned to the WTO, which provides an extremely effective dispute settlement mechanism. Due to its tariff-cum-subsidy effects, currency undervaluation makes it possible for WTO members to circumvent their obligations under the WTO agreements by nullifying, or at least diminishing, the effects of tariff concessions and eluding the prohibition on granting export subsidies. This thesis aims to provide an in-depth analysis of the WTO provisions that are most probable to be invoked with the aim of curbing currency undervaluation: Article XV of the General Agreement on Tariffs and Trade and the WTO provisions on subsidies. As an integral part of this examination, the thesis first discusses the relationship between the International Monetary Fund and the World Trade Organization in currency-related matters and the division of jurisdiction between the two institutions. The main finding in this regard is that although the interpretation of these provisions could in theory be stretched in order to cover currency undervaluation, the WTO cannot at present provide a sustainable answer to the issue of currency undervaluation. This thesis argues that the problems in adjudicating currency manipulation essentially arise from historical developments and the failure to adapt the instruments of international law to a new economic reality. This, together with the fear of overlapping jurisdictions between international institutions, has led to a loophole in international economic law. Initially the division of authority between the WTO and the IMF was clear: exchange rate issues under the par value system were a matter to be dealt with exclusively within the IMF. After the breakdown of the par value system, misuse of monetary policies became easier and more frequent, but nothing was done to reinforce the authority of the IMF. This has led to a situation where the IMF has the jurisdiction to deal with exchange rate issues, but lacks an effective enforcement mechanism to ensure that its rulings are followed. The WTO on the other hand has at its disposal an extremely effective dispute resolution mechanism but lacks jurisdiction regarding currency issues.

This research will be comprised of five main parts which are directly correlated to achieve some well-based conclusions. The first part will be regarding cybersecurity in general and cybersecurity in the European Union. Here we will give some data that will show the relevance of the topic in our daily life, while at the same time demonstrating why it is so important to have a good cybersecurity strategy to protect the Union’s citizens. In the second part, we will analyse the cybersecurity-related legislation in the European Union, which will give us a good head start as to how we stand in the European Union. The third part will consist of the analysis and description of the law enforcement agencies cooperation with companies in the European Union and how this cooperation can be successful enough for the benefit of the whole Union. In the fourth part we will discuss injunctions in the European Union, in general, and then we will specifically discuss injunctions in the United Kingdom, Germany and Spain. Last, but not least, we will analyse the United States’ legislation and law enforcement agency regarding cybersecurity. Also, during the course of our research, we will interview two Associate General Counsels of one of the biggest technology firms in the world, Microsoft. Microsoft is a leading company in the cybersecurity space with a broad range of experience of working to disrupt malware and botnets, through private law and through law enforcement partnership.

Euroopan komissio julkaisi helmikuussa 2022 ehdotuksen datasäädökselle, jonka tarkoituksena on ratkaista ne oikeudelliset, taloudelliset ja tekniset juurisyyt, jotka ovat johtaneet siihen, että esineiden internetiin yhdistettyjen tuotteiden tuottama teollinen data on jäänyt täydessä potentiaalissaan hyödyntämättä unionin alueella. Asetusehdotus varmentaa sen, että käyttäjillä on unionin alueella pääsy tällaisten tuotteiden ja siihen liittyvien palvelujen tuottamaan dataan sekä käyttäjillä on lisäksi vapaus käyttää tällaista dataa haluamallaan tavalla, kuten esimerkiksi jakaa sitä kolmannelle osapuolelle hyödynnettäväksi. Komissio on nimittäin esittänyt, että yksi merkittävä syy teollisen datan hyödyntämättömyydelle on se, että esineiden internetiin yhdistettyjen tuotteiden ja siihen liittyvien palvelujen valmistajat, eli niin sanotut datan haltijat, tyypillisesti teknisen suunnittelun valvonnan kautta määrittävät, mitä dataa erinäinen tuote tai palvelu tuottaa ja ketkä siihen pääsevät käsiksi. Asetusehdotus pyrkii siten siihen, että unionin datamarkkinat vapautuisivat niin, että tällaisen tuotteen tai siihen liittyvän palvelun tuottaman datan arvo jakautuisi tasapuolisemmin sen eri toimijoiden kesken. Asetusehdotus pyrkii kuitenkin myös samalla säilyttämään kannustimet investoida menetelmiin tuottaa tällaisesta datasta arvoa, vaikka sitä velvoitettaisiin jakamaan hyödynnettäväksi käyttäjille sekä mahdollisesti myös kilpaileville kolmansille osapuolille. Lähtökohtaisesti tästä tavoitteiden välisestä konfliktista on muodostunut tutkielman päätutkimuskysymys, joka on "Miten komission asetusehdotuksen tavoitteet toteutuvat, jos se tulee voimaan sellaisenaan ehdotetun asetuksen mukaisen datan vallitsevaan kansalliseen lakisääteiseen ja sopimusoikeudelliseen oikeustilaan?" Tutkielman päämääränä on siten oikeusdogmaattisesti selvittää, ottaako asetusehdotus riittävällä tavalla huomioon valmistajien ja muiden datan haltijoiden kannustimet, eli toisin sanoen intressit suojata erinäisen tuotteen tai siihen liittyvän palvelun tuottamaa teollista dataa. Komissio on nimittäin nostanut esille, että teollis- ja tekijänoikeudet sekä liikesalaisuuden suoja voivat soveltuessaan asettaa tietyt rajat valmistajan tai muun datan haltijan velvollisuudelle asettaa ehdotetun asetuksen mukainen data saataville käyttäjille sekä mahdollisesti myös kilpaileville kolmansille osapuolille. Ei ole kuitenkaan kansallisesti itsestään selvää, suojaa teollis- ja tekijänoikeudet sekä liikesalaisuuden suoja ehdotetun asetuksen mukaista dataa, minkä takia tutkielman ensimmäinen alatutkimuskysymys on "Suojaako teollis- ja tekijänoikeudet sekä liikesalaisuuden suoja kansallisesti ehdotetun asetuksen mukaista dataa, ja millä tavalla asetusehdotus suhtautuu niihin?" Komissio on lisäksi esittänyt, että yksityisoikeudelliset säännöt ovat keskeisessä asemassa ehdotetun asetuksen mukaisen datan jakamisessa toiselle osapuolelle hyödynnettäväksi. Lähtökohtaisesti kansallinen sopimuskäytäntö on kuitenkin hajanainen, sillä tyypillisesti erinäisestä teollisesta datasta on sovittu standardimuotoisten salassapitoehtojen kautta tai vasta viime vuosina lanseerattujen erillisten tällaista dataa koskevien mallisopimusehtojen kautta, jonka takia tutkielman toinen alatutkimuskysymys on "Suojaako standardimuotoiset salassapitoehdot tai erilliset datalle luodut mallisopimusehdot kansallisesti ehdotetun asetuksen mukaista dataa, ja millä tavalla asetusehdotus suhtautuu niihin?" Tutkielmassa esitetään johtopäätökseksi, että tavoite säilyttää kannustimet investoida toteutuu heikosti, sillä lähtökohtaisesti kansallisesti teollis- ja tekijänoikeudet sekä liikesalaisuuden suoja eivät tyypillisesti suojaa ehdotetun asetuksen mukaista dataa, eikä kansallinen sopimuskäytäntö ole kehittynyt suojaamaan tällaista dataa.

Komissio esitti helmikuussa 2022 ehdotuksen Euroopan parlamentin ja neuvoston asetukseksi datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä (datasäädös). Datasäädöksen tavoitteena on edistää datan käyttöä ja saatavuutta EU:ssa. Datasäädöksen säännöksiä sovelletaan niin kutsuttuun teolliseen dataan sekä henkilötietoihin. EU:ssa on sitouduttu korkeaan henkilötietojen suojan tasoon. Yleinen tietosuoja-asetus sisältää säännöt luonnollisten henkilöiden suojelulle henkilötietojen käsittelyssä. Tutkielmassa vastataan ensin kysymyksiin mitkä ovat yleisen tietosuoja-asetuksen ja EU:n uuden datasäädöksen tavoitteet ja vuorovaikutus. Datasäädöksellä ei poiketa tietosuoja-asetuksen säännöksistä, joiden katsotaan tutkielmassa täydentävän datasäädöstä Euroopan datastrategian tavoitteiden valossa. Tietosuoja-asetuksen ja datasäädöksen tavoitteiden voidaan kuitenkin katsoa olevan jännitteiset. Koska datasäädöksen lainsäädäntöprosessi on tutkielmaa kirjoittaessa kesken, tutkielmassa otetaan kantaa säädöstekstiin ja esitetään myös de lege ferenda -tyylisiä kannanottoja erityisesti yleisen tietosuoja-asetuksen valossa. Tutkielman tarkoituksena on toiseksi tunnistaa henkilötietojen käsittelyyn liittyvät velvollisuudet, jotka julkisen sektorin toimijan ja yksityisen sektorin datan haltijan on erityisesti huomioitava datasäädöksen V luvun tilanteessa, jossa yksityisen sektorin datan haltija asettaa julkisen sektorin saataville henkilötietoja poikkeuksellisen tarpeen tilanteessa. Tutkielmassa tehdään muun muassa johtopäätös, että datasäädöksen V luvun tilanteessa on lähtökohtaisesti kysymys kahden erillisen rekisterinpitäjän välisestä tietojen luovutuksesta.

Tutkielmassa tarkastellaan henkilötietojen käsittelijän vastuuaseman muuttumista EU:n tietosuoja-asetuksen (asetus 2016/679) myötä. Olennainen osa käsittelijän vastuista määräytyy rekisterinpitäjän ja tietojenkäsittelijän välisen tietojenkäsittelysopimuksen perusteella, joten tutkimuskysymyksistä toinen keskittyy tarkastelemaan tietojenkäsittelysopimuksiin kohdistuvia muutospaineita. Metodina tutkielmassa on lainoppi. Koska tutkielman painopisteenä on nimenomaan tietosuoja-asetuksen tulkinta, pyrkii tutkielma pysymään pääasiallisesti EU-oikeuden tasolla. Lisäksi tutkielmaa varten on haastateltu noin kahtakymmentä tietosuoja-asiantuntijaa, tarkoituksena saada parempi kuva tietojenkäsittelysopimusten nykytilasta ja mahdollisia suuntaviivoja kehitystarpeille. Vertailun lähtökohtana tutkielmassa on tietosuoja-direktiivin (direktiivi 95/46/EY) ja siitä johtuvien kansallisten lakien tietojenkäsittelijää koskevat säännökset. Direktiivistä johtuvat, henkilötietojen käsittelijää koskevat velvoitteet löytyvät direktiivin artikloista 16 ja 17, joissa säädetään yleisluontoisella tasolla käsittelijän velvollisuudesta noudattaa rekiste-rinpitäjän ohjeita sekä tietojenkäsittelysopimuksen tekemisestä. Tutkielmassa huomautetaan lyhyesti, että näiden artiklojen kansallisessa implementoinnissa löytyy eroja jäsenvaltioiden välillä, mutta lähtökohtaisesti tietojenkäsittelijän vastuuasema direktiivin mukaan on tähän mennessä ollut selkeästi rekisterinpitäjän asemasta riippuvainen ja sille alisteinen. Tietojenkäsittelijän velvoitteiden tunnistaminen tietosuoja-asetuksesta vaatii asetuksen huolellista lukemista ja tulkitsemista. Tässä tutkielmassa käsittelijän velvoitteet on ensinnäkin jaettu suoriin ja epäsuoriin velvollisuuksiin, lisäksi käsittelijällä on velvollisuus avustaa rekisterinpitäjää tietyissä rekisterinpitäjän velvoitteiden toteuttamisessa. Suorat velvoitteet käyvät ilmi suoraan kyseisistä artikloista, missä tietojenkäsittelijä on mainittu rekisterinpitäjän ohella velvoitteen kohteena. Epäsuorat velvoitteet puolestaan ovat luettavissa artikloista, joissa tietojenkäsittelijää ei nimenomaisesti mainita ja joihin ei muissakaan käsittelijää koskevissa artikloissa viitata, mutta jotka koskevat henkilötietojen lainmukaista käsittelyä siinä määrin perustavalla tavalla, että käytännössä käsittelijä voi joutua ottamaan myös kyseiset artiklat toiminnassaan huomioon. Tämä voi johtua kehittyvästä markkinakäytännöstä, taikka käsittelijälle tietojenkäsittelysopimukses-sa annetusta ohjeistuksesta. Toiseksi käsittelijän velvoitteita on tarkasteltu tutkielmassa eri vastuutyyppien pohjalta. Vastuutyypeiksi on eroteltu vahingonkorvausvastuu rekisteröityjä kohtaan, sopimusperusteinen vahingonkorvaus rekisterinpitäjä-käsittelijä-suhteessa, vastuu hallinnollisista sanktioista sekä rikosvastuu. Suurimmat muutokset lainsäädännön osalta kohdistuvat käsittelijän vahingonkorvausvastuuseen rekisteröityjä kohtaan sekä hallinnollisiin sanktioihin. Asetuksessa on viitattu selkeästi molempien vastuutyyppien kohdalla, minkä säännöksien rikkomisesta käsittelijä voi joutua vahingonkorvaus- tai sanktiovastuuseen. Lisäksi asetuksessa on säädetty, että käsittelijän vahingonkorvausvastuu tai vastuu hallinnollisesta sanktiosta voi myös aiheutua siitä, että käsittelijä on rikkonut rekisterinpitäjän antamia kirjallisia ohjeita. Tutkielmassa pohditaan, kuinka rekisterinpitäjä ja henkilötietojen käsittelijä voivat tässä uudessa lainsäädännöllisessä tilanteessa sopia vahingonkorvausvastuun jakautumisesta enää keskenään, vai onko kyseisenlaisille sopimuslausekkeille ylipäätään enää tarvetta. Tietojenkäsittelysopimuksista säädetään tietosuoja-asetuksen artiklassa 28. Verrattuna tietosuojadirektiivin asettamiin vaatimuksiin artikla 28 on huomattavasti yksityiskohtaisempi, jättäen kuitenkin tulkinnanvaraa yrityksille vaatimusten toteuttamisessa. Tutkimusta varten tehdyissä haastatteluissa kävi ilmi, että suuri osa artiklan 28 vaatimuksista on ollut osa markkinakäytäntöä jo ennen kuin kaikki kansalliset henkilötietolait ovat tätä vaatineet. Tämä koskee kuitenkin lähinnä suuryrityksiä; pienemmissä yrityksissä, joissa tietosuoja-asiat eivät ole olleet suuren huomion kohteena, tilanne on toinen. Yleisellä tasolla voidaan sanoa, että tietojenkäsittelysopimuksien lausekkeet tulevat yksityiskohtaistumaan, koska niillä on suora vaikutus vastuun jakautumiseen sekä vahingonkorvauksen että sanktioiden osalta.

Whistleblowing has been on legislators’ and private entities’ agenda for the past decade. EU legislators have introduced industry-specific legislation on whistleblowing and in October 2019 the EU Directive 2019/1937 on the protection of persons who report breaches of Union law (“the Whistleblowing Directive”) was formally adopted. When the Whistleblowing Directive has been implemented in Member States, all private entities with 50 or more employees are obliged to establish safe reporting channels, i.e. whistleblowing channels, for those who in their work related activities come across breaches of EU law. Moreover, companies are interested in setting up whistleblowing channels even without a statutory obligation. Whistleblowing channels are used to implement code of conducts. Through internal whistleblowing channels entities collect information on misconducts in its operations and, if necessary, conduct internal investigations based on that information. When information is collected and handled, there is likely to be processing of personal data involved which is subject to data protection legislation. In 2016 EU’s General Data Protection Regulation (“the GDPR”) entered into force setting renewed data protection framework for the entire EU. Especially more transparent processing of personal data and sharpening data subject’s informational rights was focal points in the reform. Principle of transparency and Article 14 of the GDPR provides that data subjects are informed about processing of their personal data and sources of the personal data collected. Article 14 applies where personal data is not collected directly from the data subject. On the contrary, whistleblowing channels rely on confidentiality. Without confidentiality, the protection of whistleblower and the investigation is jeopardized which can jeopardize the whole purpose of internal whistleblowing. Thus, there seems to be a contradiction between the principle of transparency and confidentiality of whistleblowing. The purpose of this thesis is to assess and determine the scope of the Article 14 of the GDPR when personal data is processed in the context of whistleblowing and to assess how principle of transparency can be reconciled to confidentiality of the whistleblowing schemes. This research is conducted by exploiting legal dogmatic method. It can be concluded that the most problematic aspects of reconciling providing information to the data subject and ensuring confidentiality of the internal investigation and keeping confidentiality of the whistleblower is the timing when the information must be provided and how precise the information shall be as well as applicability of limitations. In order to comply with the obligation set out in Article 14 and principle of transparency in the context of whistleblowing, it is reasoned to apply two-step approach. Firstly, general information shall be provided prior to taking the internal whistleblowing scheme into use and this information should be kept available to employees and other data subjects that may be reported through the whistleblowing channel. Secondly, more precise information shall be provided where something is reported through the whistleblowing channel. If providing the second set of information would jeopardize the internal investigation there are grounds to derogate from the obligation to inform on the grounds of Article 14(5)(2) as providing the information is likely to render impossible or seriously impair the achievement of the objectives of that processing. However, grounds to derogate from the obligation to provide information for purposes of protecting identity of the whistleblower cannot be found in the GDPR or in the national legislation. However, where confidentiality is provided to the data subject on the grounds of statutory obligation, this obligation to keep the identity concealed shall override interpretation that providing the source of data under Article 14 would require providing the exact source, i.e., the identity of the whistleblower. In such case shall be provided more general information. In all cases the procedural safeguards and fair handling of the matter is to be ensured and malicious reporting shall not enjoy any protection.