Browsing by discipline "Communication and information law"
Now showing items 1-20 of 68
-
(2014)Tutkielmassa arvioidaan alaikäisiin kohdistettujen Internetin yhteisöpalveluiden ja pelisovellusten markkinoinnin sallittavuutta niin kuluttajansuojan, lasten vajaavaltaisuuden kuin henkilötietojen suojan näkökulmasta. Tutkielma on erityisesti kirjoitettu yhteisöpalveluita ja pelisovelluksia silmällä pitäen, mutta sinällään muunlaista Internet-sisältöä ei ole suljettu pois. Yhteisöpalveluista ja pelisovelluksista käytetään yhteisnimitystä Internet-palvelu. Suomessa on vuoden 1995 perusoikeusuudistukseen jälkeen on vakiintunut tulkinta, jonka mukaan kaupallinen viestintä markkinointi mukaan lukien kuuluu sananvapauden soveltamisalaan. Koska markkinointi kuuluu perusoikeutena turvatun sananvapaussäännöksen soveltamisalaan, on markkinoinnin rajoituksia arvioitaessa huomioitava perusoikeuksien yleiset rajoitusperusteet. Hyväksyttävien rajoitusperusteiden osalta tutkielman aiheen kannalta merkityksellisem- mät ovat kuluttajansuoja sekä yksityiselämän suojaan kuuluva henkilötietojen suoja. Suomessa alle 18-vuotiaat ovat alaikäisiä ja vajaavaltaisia. Alaikäiset eivät ole samanlaisia sopijakumppaneita kuin täysi-ikäiset. Alaikäisten tekemien sopimusten ja muiden oikeustoimien tulee olla tavanomaisia ja vähämerkityksellisiä. Vakiintuneen tulkinnan mukaan alaikäisiin kohdistuvaa markkinointia arvioidaan muuta markkinointia tiukemmin. Lisäksi myös alaikäisten henkilötietojen käsittelyssä on huomioitava vajaavaltaisuus. Kuluttajansuojalain markkinointia koskeva 2 luku uudistettiin vuonna 2008, kun pantiin täytäntöön Euroopan unionin sopimattomia kaupallisia menettelyjä koskeva direktiivi. Suomen kuluttajansuojalaki sisältää hyvän tavan vastaisen ja sopimattoman markkinoinnin kiellon. Hyvän tavan vastaisen ja sopimattoman markkinoinnin kieltävän kuluttajansuojalain yleislausekkeen lisäksi on syytä huomata kuluttajansuojalain erityissäännökset, jotka koskevat markkinoinnin tunnistettavuutta, markkinointiarpajaisia ja kilpailuja sekä yhdistettyjä tarjouksia ja kylkiäistarjouksia. Markkinoinnissa käytettyjen ilmaisujen osalta tulee huomioida EU-direktiivin musta lista. Oikeuskäytännön ja viranomaisen tulkintakäytännön perusteella juuri kyseisiä markkinoinnin muotoja arvostellaan tiukemmin, kun kyseessä ovat alaikäiset. Alaikäisen vajaavaltaisuuden näkökulmasta on arvioitava myös ostoja, jotka alaikäinen tekee Internet-palvelussa. Sähköinen suoramarkkinointi, kerro kaverille –markkinointi, paikkatietoihin perustuva markkinointi sekä profilointi ovat hyvin tyypillisiä markkinoinnin muotoja Internet-palveluille. Keskeistä on se, voiko alaikäinen antaa suostumuksen henkilötietojen käsittelyyn, jota nämä markkinointikeinot edellyttävät. Suomen henkilötietolaissa ei ole määritelty alaikäisen itsemääräämisoikeuden alaikärajaa henkilötietojen käsittelyssä. Myöskään EU-direktiivissä 95/46/EY ei ole erityisiä säännöksiä suostumuksen saamisesta henkilöiltä, joilla ei ole täyttä oikeustoimikelpoisuutta. Ehdotuksessa Euroopan unionin yleiseksi tietosuoja-asetukseksi kiellettäisiin henkilötietojen käsittely alle 13-vuotiailta ilman huoltajan suostumusta. Suomessa tärkein markkinointia valvova viranomainen on kuluttaja-asiamies. Lainvastaista markkinointia voidaan käsitellä markkinaoikeudessa. Markkinaoikeuden päätöksistä valitetaan korkeimpaan oikeuteen. Mainonnan eettinen neuvosto on tärkein markkinointia valvova itsesääntelyelin. Tietosuojavaltuutettu valvoo henkilötietojen käsittelyä.
-
(2018)Tässä opinnäytetyössä tarkastellaan Suomen Punaisen Ristin Veripalvelun istukkaveripankin biopankkisiirrossa tapahtuvaa käyttötarkoituksen muutostilannetta. Tarkastelun kohteena on istukkaveripankissa säilytettävien istukkaveriyksiköiden siirto biopankkiin biopankkilain 13 §:n mukaisella menettelyllä. Opinnäytetyön oikeudellinen metodi on perinteinen lainoppi. Tutkielman tutkimuskohde on istukkaveripankin suostumusasiakirjojen mallipainokset. Perinteisen lainopin avulla systematisoidaan niihin vaikuttavat oikeussäännökset ja niiden tulkinta. Tutkielman aihe on sijoitettavissa lääkintä- ja bio-oikeuden sekä viestintä- ja informaatio-oikeuden alalle. Tutkimuskysymystä lähestytään yleisen tietosuoja-asetuksen eurooppalaisen käyttötarkoitussidonnaisuuden periaatteen mukaisella tarkastelulla. Eurooppalainen käyttötarkoitussidonnaisuuden periaate on löydettävissä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdasta, joka muodostuu kahdesta elementistä: 1) rekisterinpitäjän tulee kerätä tietoa yksilöityihin, yksiselitteisiin ja laillisiin tarkoituksiin sekä 2) jo kerättyä tietoa ei saa käsitellä myöhemmissä tarkoituksissa näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Eurooppalainen käyttötarkoitussidonnaisuuden periaate on tärkeä tietosuojan kulmakivi, jonka pyrkimyksenä on rajata sitä, missä määrin kerättyjä henkilötietoja voidaan käyttää myöhemmissä tarkoituksissa. Periaatteen taustalla on Euroopan unionin keskeisimpiä perusoikeuksia, erityisesti tiedollinen itsemääräämisoikeus. Periaatteen mukaisessa tarkastelussa keskiössä ovat Euroopan unionin yleinen tietosuoja-asetus, Suomen biopankkilain 13 § sekä Suomen Punaisen Ristin Veripalvelun istukkaveripankissa käytössä olleet suostumusasiakirjapainokset vuosina 1999-2013, jotka kertovat, minkälaisia suostumuksia on annettu istukkaveripankin keräystoiminnan aikana. Eurooppalaisen käyttötarkoitussidonnaisuuden periaatteen mukaisen tarkastelun tuloksena voidaan arvioida, että istukkaveripankin siirto biopankkiin on oikeudellisesti hyväksyttävissä. Tehdyssä tarkastelussa havaitaan, että istukkaveripankin keräystoiminnan ajanjaksona 1999-2013 aikana annettujen alkuperäisten suostumusten käyttötarkoituksen kuvauksissa on ollut tietoa aiotuista, myöhemmistä tutkimuksellisista käyttötarkoituksista. Niiden suostumusten osalta, joiden alkuperäisissä istukkaveren talteenoton käyttötarkoituksissa on ollut viitteitä myöhemmistä käyttötarkoituksista, voidaan käyttää biopankkilain 13 §:n menettelyn mahdollistamaa kieltäytymistahdonilmaisuun perustuvaa tiedottamismenettelyä. Tapauksissa, joissa myöhempi käyttötarkoitus on jo ilmennyt aikaisemmasta käyttötarkoituksesta, myöhempi käyttötarkoitus antaa yksilöidymmän kuvauksen istukkaverellä tapahtuvasta tieteellisestä käyttötarkoituksesta kuin alkuperäinen suostumus. Tällöin myöhemmän käyttötarkoituksen voi katsoa sisältyvän aikaisemmin annetun suostumuksen käyttötarkoitukseen ja näin ollen tilanteessa toteutuu käyttötarkoituksen täsmentyminen. Istukkaveripankille annetuissa suostumuksissa kuvattujen tutkimuksellisten käyttötarkoituksien yksilöitävyyden ongelmallisuus, etenkin ajanjaksona 3.8.1999-29.1.2003, on kompensoitavissa biopankkilain 13 §:n menettelyyn sisältyvillä suojatoimilla. Näitä ovat alueellisen eettisen toimikunnan lausunto, Valviran hallintopäätös biopankkisiirrosta sekä siirron loppuvaiheessa tapahtuva biopankkisiirrosta tiedottaminen rekisteröidyille. Edellä kuvatun menettelytavan voi kokonaisuudessaan arvioida niin vahvaksi suojakeinoksi, että kyseisellä menettelyllä on mahdollista kompensoida käsiteltävässä biopankkisiirrossa aikaisemmin ilmennyttä yksilöitävyyteen liittyvää ongelmallisuutta. Tämä kompensaatio riittää siirron toteuttamiseen. Vaikka biopankkilain 13 §:n mukaisessa biopankkisiirrossa toteutuukin yleisen tietosuoja-asetuksen johdanto-osan 33 perustelukappaleen laajan suostumuksen määritelmä, kyseinen suostumus ei sellaisenaan riitä sallimaan biopankkitutkimusta. Jotta istukkaverta voitaisiin käyttää myöhemmässä, yksittäisessä biopankkitutkimuksessa, tulee biopankkitutkimus voida yksilöidä, esimerkiksi tutkimussuunnitelmalla, minkä jälkeen suostumuksenantajaa tulee lähestyä yksilöidyn suostumuksen saamiseksi. Näin toimien biopankkitutkimus Suomessa voisi toteutua samankaltaisesti kuin miten on ollut mahdollista tutkimuslain nojalla siihen asti, kunnes tietosuoja-asetukseen liittyvät kansallisen lainsäädännön ongelmallisuudet on ratkaistu.
-
(2015)Tutkimus käsittelee BitTorrent-vertaisverkkoympäristössä tapahtuvia tekijänoikeuden loukkauksia vertaisverkon ylläpitäjän rikosoikeudellisen vastuun näkökulmasta. Tutkimuksen pääkysymyksenä voidaan pitää seuraavaa: Voidaanko BitTorrent-vertaisverkon ylläpitäjää pitää rikosoikeudellisessa vastuussa verkossa tapahtuneista tekijänoikeuden loukkauksista? Tutkimuksessa käytettävä metodi on lainopillinen, eli tarkoituksena on selvittää BitTorrent-vertaisverkkoja koskevaa oikeudentilaa tulkinnallisin menetelmin eri oikeuslähteistä saatavan tiedon avulla. Tavoitteena on selvittää, kuinka tekijänoikeuksia koskevaa lainsäädäntöä voidaan soveltaa vertaisverkkoympäristössä ja miten niiden rikkomisesta seuraava rikosoikeudellinen vastuu asetetaan. Tarkastelu keskittyy vertaisverkossa tapahtuviin tekijänoikeuden loukkauksiin ja mahdolliset muut vertaisverkossa tapahtuvat rangaistavat teot jätetään tutkimuksen ulkopuolelle. Tutkimuksessa ei käsitellä erikseen tekijänoikeuden loukkauksesta seuraavaa mahdollista siviilioikeudellista hyvitys- ja korvausvastuuta eikä rangaistuksen määräämistä, vaan keskitytään niihin sääntöihin ja periaatteisiin, joiden kautta vertaisverkon ylläpitäjä voi joutua rikosoikeudelliseen vastuuseen tekijänoikeuden loukkaamisesta. Tutkimuksen pääasiallisina lähteinä toimivat kotimainen oikeuskirjallisuus, kansallinen oikeuskäytäntö ja virallislähteet. Ulkomaisia lähteitä käytetään vertaisverkko-käsitteen määrittelyn apuna ja erityisesti tuomaan syvyyttä tutkimukseen vertaisverkkotoimintaa koskevien lukujen valossa. Aluksi tutkimuksessa selvitetään yleisesti, mitä vertaisverkolla tarkoitetaan ja mikä on sen toimintaperiaate. Seuraavaksi käsitellään tekijän taloudellisia oikeuksia, joista tarkastellaan erityisesti kappaleen valmistamista ja teoksen välittämistä yleisölle. Tämän jälkeen käydään läpi tekijänoikeusrikosta ja tekijänoikeusrikkomusta koskevat rangaistussäännökset sekä laiminlyönnistä mahdollisesti seuraava rangaistusvastuu. Vertaisverkon tekniikasta johtuen verkon ylläpitäjän osallistuminen varsinaisiin tekijänoikeuden loukkauksiin ei ole tarpeen. Koska verkon ylläpitäjä ei täytä tekijänoikeuden loukkauksen tunnusmerkistöä, tulee ylläpitäjän mahdollinen rikosoikeudellinen vastuu kysymykseen osallisuusopin kautta. Osallisuusopin osalta tarkemmin käsitellään rikoskumppanuutta ja avunantoa osallisuuden muotoina. Osallisuusopin käsittelyn jälkeen sovelletaan aikaisemmin tutkimuksessa käsiteltyjä asioita verkon ylläpitäjän rikosoikeudellisen vastuun kannalta. Lisäksi tutkitaan, soveltavatko tietoyhteiskuntakaaren ja kieltoerehdyksen vastuuvapausperusteet vertaisverkon ylläpitäjän kohdalla. Lopuksi tehdään lyhyt yhteenveto tutkimuksessa käsitellyistä asioista ja vastataan tutkimuksen alussa esitettyyn pääkysymykseen.
-
(2017)Blockchain- eli lohkoketjuteknologia on uudenlainen hajautettu teknologiaratkaisu, joka mahdollistaa kryptografian keinoin digitaalisten tietokantojen ylläpitämisen toisilleen tuntemattomien käyttäjien kesken ilman kolmannen luotetun tahon varmistustoimenpiteitä. Vaikka teknologian kuuluisin sovellus lienee virtuaalivaluutta bitcoin, ovat viime vuosina nousseet keskiöön niin kutsutut smart contractit eli älykkäät sopimukset. Näille digitaalisille ja sopimuksenkaltaisille tietokoneohjelmille on ominaista se, että ne toimeenpanevat sisäisen logiikkansa automaattisesti ennalta määriteltyjen lähtötilanteiden toteutuessa ja toisaalta myös hajautetun rakenteensa ansiosta kykenevät estämään sisäisen logiikkansa muuttamisen oikeudettomasti. Lohkoketjuteknologiaa ja älykkäitä sopimuksia on arvioitu etenkin kansallisessa oikeustieteellisessä tutkimuksessamme varsin vähän. Samaan aikaan teknologian ja sen sovellusten lisääntynyt käyttö ja tästä nousevat juridiset kysymykset ovat muodostamassa aiemmin puhtaan teknologisesta ilmiöstä oikeudellista ilmiötä. Tutkielmassa pyritäänkin kuvaamaan lohkoketjuteknologiaa ja älykkäitä sopimuksia kansallisen lainsäädäntömme kontekstissa yleisesityksen muodossa, samalla avaten teemaan liittyvää käsitteistöä ja aihepiirin teknisiä ulottuvuuksia. Tutkielmassa tarkastellaan älykkäiden sopimusten oikeudellista luonnetta, arvioiden samalla sopimusoikeudellisen lainsäädäntömme tilaa uudenlaisille teknologioille perustuvien sopimuskäytäntöjen vallatessa alaa. Tutkielman keskeisenä tavoitteena on selvittää, mikäli sopimuksia voidaan tehdä älykkään sopimuksen muodossa siten, kuin lain varallisuusoikeudellisista oikeustoimista (228/1929) mukainen tarjous-vastaus–mekanismi asiaa sääntelee tai muut oikeuskirjallisuudessa määritellyt sopimuksen konkludenttiset, tosiseikoille perustuvat syntytavat määrittävät. Arviointi perustuu keskeisiltä osin analogiatulkinnan hyödyntämiselle ja sen avulla pyritään ratkaisemaan, mikäli sopimuksen kaltaisesta digitaalisesta ohjelmasta voidaan erottaa sitovalta oikeustoimelta edellytetyt tahdonilmaisut. Erityistä huomioita kiinnitetään lisäksi automaattien kanssa tehtävien oikeustoimien tarkasteluun. Tutkielmassa selvitetään toiseksi oikeustoimilain 32 §:n soveltumista tietokonekoodin muodossa tapahtuneisiin virheisiin ja erehdystilanteisiin. Arviointi tehdään punnintana ilmaisuerehdystä koskevan tulkinnan ja viestin välittämisessä tapahtuneen virheen välillä. Tutkielmassa pyritään selvittämään, missä määrin oikeustoimilakia voidaan hyödyntää uudenlaisten teknisten sopimuskäytäntöjen aiheuttamien ongelmien korjaamiseksi. Tutkielmassa osoitetaan, että sopimuksia voidaan tehdä lähtökohtaisesti myös älykkään sopimuksen muodossa vallitsevan lainsäädäntömme asettamien säännösten puitteissa, joskin tapauskohtaisen arvioinnin merkitys korostuu huomattavasti erimuotoisten älykkäiden sopimusten välillä. Erityistä merkitystä kohdistuu osapuolten toiminnan ulkoisiin tunnusmerkkeihin ja näiden tahdonilmaisut vaikuttavat selittyvän parhaiten automaattiesimerkkiin rinnastuvissa, suorituksia vaihtamalla tapahtuvissa hiljaisissa tahdonilmaisuissa. Älykkäillä sopimuksilla tehtävät, digitaalisessa ympäristössä tapahtuvat erehdykset ja virheet voivat synnyttää suuria haittavaikutuksia. Koodissa oleva virhe voi johtaa älykkään sopimuksen toimimiseen täysin toisella tavalla kuin osapuolet alun perin tarkoittivat. Tutkimuksessa katsotaankin, että tällaisiin tilanteisiin vaikuttaa mahdolliselta soveltaa OikTL 32.1 §:n mukaista ilmaisuerehdystä koskevaa säännöstä. Tätä vastoin, välitysvirhettä koskevan OikTL 32.2 §:n soveltamisala ei vaikuta ulottuvan älykkäisiin sopimuksiin. Tutkielmassa pyritään lopuksi arvioimaan kokoavasti oikeustoimilain tilaa suhteessa erityisesti älykkäiden sopimusten kaltaisiin teknologisiin sovelluksiin. Arvioinnin vertailukohtana hyödynnetään erityisesti oikeustoimilakitoimikunnan mietintöä lain varallisuusoikeudellisista oikeustoimista ajanmukaistamis- sekä uudistamistarpeesta erityisesti automaation ja tietotekniikan kehitystä huomioiden. Tutkielmassa katsotaan oikeustoimilain soveltuneen erityisesti tulkinnan ansiosta melko hyvin kehityksen synnyttämiin uudenlaisiin malleihin, mutta nostetaan samalla esille huomio siitä, tulisiko lain tilaa arvioiva ja teknologiakehityksen huomioiva tarkastelu aloittaa kuitenkin mahdollisimman pian, kun uudenlaiset sopimuksentekovälineet soveltuvat lainsäädäntömme vallitsevaan sopimuskäsitykseen ainoastaan analogian keinoin.
-
(2017)Technology has had an undeniable impact on both society and law, particularly in the realm of personal data. The use of bots has allowed for the processing of information on an unprecedented scale. This thesis asks whether the General Data Protection Regulation (“the GDPR”) will be able to provide appropriate protection for data subjects when processing is performed by bots, while also balancing the rights and interests of data controllers, and promoting the healthy and socially desirable development of technology. In chapter I, this thesis begins by searching for a common definition of bots. It is concluded that “what is a bot?” cannot be answered with a simple definition, but should instead involve asking whether a particular program exhibits a number of different factors, including whether it is self-executing, whether it acts without human interference and whether it operates within a wider network. The thesis then divides bots into three broad categories: automated process bots, data miners and decision makers. The thesis then turns to the law. It begins with an overview of data protection law in Europe, summarising the hierarchy of laws and their purposes. It concludes that European data protection law operates on three levels: human rights (e.g. the ECHR), general regulation (e.g. the GDPR) and then specific regulation (e.g. the ePrivacy Directive). Chapter II of this thesis contains an in-depth analysis of the GDPR. It examines the most important aspects of data protection law raised by processing by bots: the basic concepts of data protection law (being the concepts of personal data, processing, controller and processor); the justification for processing (with a particular focus on consent); data quality principles and data subject rights; and the right to data portability, the right to object and the right not to be subject to an automated decision. As part of this examination, the thesis looks at the contents of the legal rules, how they apply to processing by bots and whether this is desirable or not. The general findings of this section are that the GDPR has a number of issues when applied to processing by bots, but that none of these issues necessarily prevent data controllers from using bots, and many provisions do encourage bots to develop in a socially desirable way. However, notable issues with the law include that the definition of personal data is extremely wide when considering the capabilities of bots to identify, or re-identify, data subjects from supposedly anonymous data sets; that consent may not provide an adequate level of protection for data subjects (both in general and particularly in relation to bots); that the data quality principles are extremely vague and may not fit processing by bots particularly neatly; that the right to object, although clearly intended to apply to bots, is somewhat limited by other factors; and that the right not to be subject to automated individual decision making suffers from a number of drafting ambiguities, but (if interpreted correctly) could provide good protection, although there is a risk that the ability to consent to such decisions will render this protection useless in practice. Chapter III then examines the impact of the different regulatory approaches. This chapter begins by looking at the weaknesses of the general regulatory approach, before considering whether a specific regulatory approach aimed directly at bots would be able to address these issues. It is concluded that although the specific regulatory approach does have some strengths, its weaknesses (e.g. difficulties with defining the scope of the regulation) render it unattractive as a solution. Instead, the thesis recommends a hybrid approach, where a general regulatory structure is complimented by specific rules where necessary. Finally, ch. III looks at non-legal regulation and concludes that it can be a useful compliment to help address some of the ambiguities caused by a general regulatory approach. The thesis concludes by considering the arguments discussed above and finding that, on balance, the GDPR is capable of providing adequate protection to data subjects, while balancing the rights and interests of data controllers and promoting the healthy and socially desirable development of technology. However, the current implementation of the GDPR is not perfect. There is, therefore, still work to be done on improving the law, both in terms of statutory interpretation of the existing laws, the use of amending legislation where necessary, and the growth of complimentary non-legal regulatory methods.
-
(2020)Data protection has become a pivotal topic in modern democratic societies. Lawmakers have, however, faced challenges in protecting data in the face of rapid technological growth and development in the online environment. ‘Cookies’ are a prominent tool for website operators that enable the collection and processing of vast amounts of personal data of internet users. The use of cookies is based on user’s consent as required under Article 5(3) of Directive 2002/58/EC (ePrivacy Directive). It is, however, questionable whether cookie consent and notice practices are de facto effective in protecting internet users and providing them control over the use of their data obtained via cookies. The goal of this master’s thesis is to analyse whether the traditional model of consent and notice is the appropriate legal basis for the use of website cookies. The research question is divided into two parts. The first part concerns whether consent and notice are an effective tool in providing control and protection to individuals with respect to personal data processed through internet cookies. The second part concerns whether the EU’s data protection framework provides clear and harmonised rules on cookie consents and notices. It will focus especially on the General Data Protection Regulation 2016/679 (GDPR) and the ePrivacy Directive. This thesis uses mainly the legal doctrinal method and qualitative empirical evidence in answering its research question. After the introductory chapter, this thesis will in chapter 2 define cookies and its purposes, as well as outline the legal framework used in this research. Chapter 3 introduces the reader to the concept of consent and its different components, as well as the transparency principle and the accompanying information obligation. Consent consists of freely given, specific, informed and unambiguous elements. Chapter 4 will then discuss the first part of the research question. It will be seen that cookie consents and notices are burdened by many factors as evidenced through behavioural economics, cognitive and structural problems, as well as other factors. It is concluded, therefore, that cookie consents and notices in their traditional form are not an effective tool in providing control and data protection to internet users. Nevertheless, consent and notice are so enshrined in the EU’s data protection regime that they will not be easily abandoned. Chapter 5 discusses the second part of the research question by looking at practical examples in order to see how websites from the legal sector and different national data protection authorities have complied with cookie consent and notice obligations. It will be seen that cookie rules are interpreted inconsistently by even these websites, which has resulted in noncompliance in some instances. Hence, it is concluded that the GDPR and the ePrivacy Directive have failed to harmonise cookie consents and notices. Chapter 6 will look to the future and discuss briefly the proposed Regulation on Privacy and Electronic Communications (ePrivacy Regulation) in terms of i) ‘cookie walls’, which basically coerces website users to accept cookies or otherwise they will be denied access to the site or service, and ii) the legitimate interests ground, which has been introduced as an alternative legal basis to consent with respect to cookies in the latest revised draft of the ePrivacy Regulation adopted on 21 February 2020 by the Croatian Presidency. It will be concluded in chapter 7 that the traditional model of consent and notice might not always be the appropriate legal basis for cookies, hence legislators should look into other legal bases as well, such as, the legitimate interest ground. However, whether or not this ground will be able to provide better protection and control to internet users remains to be seen.
-
(2019)It has long been the starting point in international law that a sovereign state is entitled to exclusively have control over the activity taking place on its soil, and that states should abstain from attempts to intervene in such internal affairs of each other. However, increasing globalisation and the advent of internet have shaken up this status quo – a traditional territorial approach to the regulation of novel phenomena in the online world is simply no longer sufficient. At the same time, overly broad extraterritorial claims by one state can be seen unacceptable by other states that are also interested in regulating the matter themselves. As it is discussed in this work, the contrast between these two approaches is highly relevant in the field of protection of personal data. The aim of this work is to (1) examine the extent of the extraterritorial mechanisms of the EU General Data Protection Regu-lation, after which (2) a critical assessment of these mechanisms will be performed from the perspective of international law. Both of these questions will be reviewed from a mainly doctrinal point of view, with certain additional sociological argu-ments being presented in relation to question (1). When examining question (2), the doctrinal method will take on a critical dimension, as the assessment of reasonableness of the extraterritorial mechanisms of the GDPR will be performed using principles of public international law as a normative framework. In order to establish said framework, a review of the con-cepts of sovereignty, jurisdiction and extraterritoriality will take place in the beginning of the work. Due to the political nature of extraterritoriality, political viewpoints will also be considered, where relevant. The GDPR employs several different mechanisms that stretch the Regulation’s effects beyond the borders of the EU. Some of these effects are more direct than the others. First of all, the GDPR has a rather broad territorial scope under Article 3, pursuant to which the Regulation applies to non-EU controllers and processors that either have an establishment in the EU or target data subjects in the EU. In addition, the GDPR has an effect on controllers and processors receiving personal data from a data exporter in the EU, even if they would not be otherwise subject to the Regulation under its territorial scope. Furthermore, the European influence abroad is visible through the European Commission’s adequacy decisions, bilaterally and multilaterally negotiated instruments, the Regulation’s Brussels effect and even the public awareness concerning privacy matters that has been affected, at least indirectly, by the strict requirements of the EU data protection law. In order to critically assess these mechanisms, a novel approach that accounts for all relevant factors when evaluating an extraterritorial assertion is assumed. While it is not possible to definitively claim that an extraterritorial claim is unacceptable, an overall assessment considering the principles of comity and sovereign equality can be helpful in order to establish whether certain extraterritorial assertions are questionable and to find alternative regulatory solutions that would be better in line with international law. Therefore, considering multiple factors, such as fairness, proportionality, justification, and predictability, it is concluded that certain extraterritorial mechanisms of the GDPR can be considered overly broad, especial-ly when there is no real chance that they could be enforced. For this reason, the study suggests that special emphasis should be given to those extraterritorial mechanisms that are enforceable within the EU and to mechanisms that require no enforcement action in order to function. Additionally, a proper balance between the interests between the EU and other independent regulators needs to be sought when determining the extent of the requirements of the GDPR, as it was cau-tiously implied in the recent CJEU judgment in C-507/17 – Google.
-
(2014)This research will be comprised of five main parts which are directly correlated to achieve some well-based conclusions. The first part will be regarding cybersecurity in general and cybersecurity in the European Union. Here we will give some data that will show the relevance of the topic in our daily life, while at the same time demonstrating why it is so important to have a good cybersecurity strategy to protect the Union’s citizens. In the second part, we will analyse the cybersecurity-related legislation in the European Union, which will give us a good head start as to how we stand in the European Union. The third part will consist of the analysis and description of the law enforcement agencies cooperation with companies in the European Union and how this cooperation can be successful enough for the benefit of the whole Union. In the fourth part we will discuss injunctions in the European Union, in general, and then we will specifically discuss injunctions in the United Kingdom, Germany and Spain. Last, but not least, we will analyse the United States’ legislation and law enforcement agency regarding cybersecurity. Also, during the course of our research, we will interview two Associate General Counsels of one of the biggest technology firms in the world, Microsoft. Microsoft is a leading company in the cybersecurity space with a broad range of experience of working to disrupt malware and botnets, through private law and through law enforcement partnership.
-
(2016)Tutkielmassa tarkastellaan henkilötietojen käsittelijän vastuuaseman muuttumista EU:n tietosuoja-asetuksen (asetus 2016/679) myötä. Olennainen osa käsittelijän vastuista määräytyy rekisterinpitäjän ja tietojenkäsittelijän välisen tietojenkäsittelysopimuksen perusteella, joten tutkimuskysymyksistä toinen keskittyy tarkastelemaan tietojenkäsittelysopimuksiin kohdistuvia muutospaineita. Metodina tutkielmassa on lainoppi. Koska tutkielman painopisteenä on nimenomaan tietosuoja-asetuksen tulkinta, pyrkii tutkielma pysymään pääasiallisesti EU-oikeuden tasolla. Lisäksi tutkielmaa varten on haastateltu noin kahtakymmentä tietosuoja-asiantuntijaa, tarkoituksena saada parempi kuva tietojenkäsittelysopimusten nykytilasta ja mahdollisia suuntaviivoja kehitystarpeille. Vertailun lähtökohtana tutkielmassa on tietosuoja-direktiivin (direktiivi 95/46/EY) ja siitä johtuvien kansallisten lakien tietojenkäsittelijää koskevat säännökset. Direktiivistä johtuvat, henkilötietojen käsittelijää koskevat velvoitteet löytyvät direktiivin artikloista 16 ja 17, joissa säädetään yleisluontoisella tasolla käsittelijän velvollisuudesta noudattaa rekiste-rinpitäjän ohjeita sekä tietojenkäsittelysopimuksen tekemisestä. Tutkielmassa huomautetaan lyhyesti, että näiden artiklojen kansallisessa implementoinnissa löytyy eroja jäsenvaltioiden välillä, mutta lähtökohtaisesti tietojenkäsittelijän vastuuasema direktiivin mukaan on tähän mennessä ollut selkeästi rekisterinpitäjän asemasta riippuvainen ja sille alisteinen. Tietojenkäsittelijän velvoitteiden tunnistaminen tietosuoja-asetuksesta vaatii asetuksen huolellista lukemista ja tulkitsemista. Tässä tutkielmassa käsittelijän velvoitteet on ensinnäkin jaettu suoriin ja epäsuoriin velvollisuuksiin, lisäksi käsittelijällä on velvollisuus avustaa rekisterinpitäjää tietyissä rekisterinpitäjän velvoitteiden toteuttamisessa. Suorat velvoitteet käyvät ilmi suoraan kyseisistä artikloista, missä tietojenkäsittelijä on mainittu rekisterinpitäjän ohella velvoitteen kohteena. Epäsuorat velvoitteet puolestaan ovat luettavissa artikloista, joissa tietojenkäsittelijää ei nimenomaisesti mainita ja joihin ei muissakaan käsittelijää koskevissa artikloissa viitata, mutta jotka koskevat henkilötietojen lainmukaista käsittelyä siinä määrin perustavalla tavalla, että käytännössä käsittelijä voi joutua ottamaan myös kyseiset artiklat toiminnassaan huomioon. Tämä voi johtua kehittyvästä markkinakäytännöstä, taikka käsittelijälle tietojenkäsittelysopimukses-sa annetusta ohjeistuksesta. Toiseksi käsittelijän velvoitteita on tarkasteltu tutkielmassa eri vastuutyyppien pohjalta. Vastuutyypeiksi on eroteltu vahingonkorvausvastuu rekisteröityjä kohtaan, sopimusperusteinen vahingonkorvaus rekisterinpitäjä-käsittelijä-suhteessa, vastuu hallinnollisista sanktioista sekä rikosvastuu. Suurimmat muutokset lainsäädännön osalta kohdistuvat käsittelijän vahingonkorvausvastuuseen rekisteröityjä kohtaan sekä hallinnollisiin sanktioihin. Asetuksessa on viitattu selkeästi molempien vastuutyyppien kohdalla, minkä säännöksien rikkomisesta käsittelijä voi joutua vahingonkorvaus- tai sanktiovastuuseen. Lisäksi asetuksessa on säädetty, että käsittelijän vahingonkorvausvastuu tai vastuu hallinnollisesta sanktiosta voi myös aiheutua siitä, että käsittelijä on rikkonut rekisterinpitäjän antamia kirjallisia ohjeita. Tutkielmassa pohditaan, kuinka rekisterinpitäjä ja henkilötietojen käsittelijä voivat tässä uudessa lainsäädännöllisessä tilanteessa sopia vahingonkorvausvastuun jakautumisesta enää keskenään, vai onko kyseisenlaisille sopimuslausekkeille ylipäätään enää tarvetta. Tietojenkäsittelysopimuksista säädetään tietosuoja-asetuksen artiklassa 28. Verrattuna tietosuojadirektiivin asettamiin vaatimuksiin artikla 28 on huomattavasti yksityiskohtaisempi, jättäen kuitenkin tulkinnanvaraa yrityksille vaatimusten toteuttamisessa. Tutkimusta varten tehdyissä haastatteluissa kävi ilmi, että suuri osa artiklan 28 vaatimuksista on ollut osa markkinakäytäntöä jo ennen kuin kaikki kansalliset henkilötietolait ovat tätä vaatineet. Tämä koskee kuitenkin lähinnä suuryrityksiä; pienemmissä yrityksissä, joissa tietosuoja-asiat eivät ole olleet suuren huomion kohteena, tilanne on toinen. Yleisellä tasolla voidaan sanoa, että tietojenkäsittelysopimuksien lausekkeet tulevat yksityiskohtaistumaan, koska niillä on suora vaikutus vastuun jakautumiseen sekä vahingonkorvauksen että sanktioiden osalta.
-
(2020)Whistleblowing has been on legislators’ and private entities’ agenda for the past decade. EU legislators have introduced industry-specific legislation on whistleblowing and in October 2019 the EU Directive 2019/1937 on the protection of persons who report breaches of Union law (“the Whistleblowing Directive”) was formally adopted. When the Whistleblowing Directive has been implemented in Member States, all private entities with 50 or more employees are obliged to establish safe reporting channels, i.e. whistleblowing channels, for those who in their work related activities come across breaches of EU law. Moreover, companies are interested in setting up whistleblowing channels even without a statutory obligation. Whistleblowing channels are used to implement code of conducts. Through internal whistleblowing channels entities collect information on misconducts in its operations and, if necessary, conduct internal investigations based on that information. When information is collected and handled, there is likely to be processing of personal data involved which is subject to data protection legislation. In 2016 EU’s General Data Protection Regulation (“the GDPR”) entered into force setting renewed data protection framework for the entire EU. Especially more transparent processing of personal data and sharpening data subject’s informational rights was focal points in the reform. Principle of transparency and Article 14 of the GDPR provides that data subjects are informed about processing of their personal data and sources of the personal data collected. Article 14 applies where personal data is not collected directly from the data subject. On the contrary, whistleblowing channels rely on confidentiality. Without confidentiality, the protection of whistleblower and the investigation is jeopardized which can jeopardize the whole purpose of internal whistleblowing. Thus, there seems to be a contradiction between the principle of transparency and confidentiality of whistleblowing. The purpose of this thesis is to assess and determine the scope of the Article 14 of the GDPR when personal data is processed in the context of whistleblowing and to assess how principle of transparency can be reconciled to confidentiality of the whistleblowing schemes. This research is conducted by exploiting legal dogmatic method. It can be concluded that the most problematic aspects of reconciling providing information to the data subject and ensuring confidentiality of the internal investigation and keeping confidentiality of the whistleblower is the timing when the information must be provided and how precise the information shall be as well as applicability of limitations. In order to comply with the obligation set out in Article 14 and principle of transparency in the context of whistleblowing, it is reasoned to apply two-step approach. Firstly, general information shall be provided prior to taking the internal whistleblowing scheme into use and this information should be kept available to employees and other data subjects that may be reported through the whistleblowing channel. Secondly, more precise information shall be provided where something is reported through the whistleblowing channel. If providing the second set of information would jeopardize the internal investigation there are grounds to derogate from the obligation to inform on the grounds of Article 14(5)(2) as providing the information is likely to render impossible or seriously impair the achievement of the objectives of that processing. However, grounds to derogate from the obligation to provide information for purposes of protecting identity of the whistleblower cannot be found in the GDPR or in the national legislation. However, where confidentiality is provided to the data subject on the grounds of statutory obligation, this obligation to keep the identity concealed shall override interpretation that providing the source of data under Article 14 would require providing the exact source, i.e., the identity of the whistleblower. In such case shall be provided more general information. In all cases the procedural safeguards and fair handling of the matter is to be ensured and malicious reporting shall not enjoy any protection.
-
(2018)The research question of this thesis is about the effect of network neutrality on human rights. As network neutrality is a relatively difficult concept to define and there are several related concepts and practices, attention is also paid to how these different concepts and practices relate to network neutrality. These different practices include zero-rating, preferential agreements and traffic management practices like deep-packet inspection. These practices are analysed from the viewpoint of three different actors in the network neutrality relation: users, access providers and content providers. All three parties are, as evident from historic development, for the most part private actors with little involvement from public authorities. The human rights chosen for further analysis are freedom of expression, freedom of trade and industry and privacy. These particular rights were chosen because of the multitude of effects of different non-neutral practices, and because network neutrality affects the rights of different parties differently. The human rights are analysed mainly through the context of European Convention of Human Rights and the protections it affords, with comparisons to the United States Constitution. In addition to the three freedoms, effects on political rights and global politics are also discussed. The fourth chapter of this thesis discusses network neutrality regulation in the European Union and the United States of America, and how non-harmonised legislation is affecting human rights of individuals. Results of the research show support for calls of harmonised international regulation, as well as strengthened and expanded positive obligations of states to protect human rights within private relationships.
-
(2019)Viime vuosikymmenien aikana jatkuvassa kehityksessä ollut viestintäteknologia on helpottanut arkipäiväistä elämäämme monilla tavoin. Yksi merkittävä ero sähköisen viestinnän ja esimerkiksi kirjeitse käydyn keskustelun välillä on myös se, että tietoliikenneverkkojen välityksellä käydystä viestinnästä jää helposti jälki. On selvää, että tällaiset jäljet kuten viestijöitä, viestijöiden sijaintia, puhelun ajankohtaa, kestoa ja muuta tietoa sisältävät välitystiedot voivat tarjota viranomaisille suuren hyödyn rikostorjunnassa. Yhtä lailla on kuitenkin myös selvää, että nämä yksityiselämää herkästi kuvaavat henkilötiedoiksi lukeutuvat välitystiedot ovat massaluontoisesti säilytettyinä alttiita joutumaan tietomurtojen ja muunlaisten väärinkäyttöjen kohteiksi. Ottaen yhtäältä huomioon Euroopassa vallitsevan turvallisuuspoliittisen tilateen ja esimerkiksi Suomessa juuri hyväksytyt tiedustelulait ja toisaalta EU:n viimeaikaiset toimet yksityiselämän ja henkilötietojen suojan korostamiseksi, on rikostorjunnan ja yksityisyyden suojan välisen tasapainon etsiminen sähköisen viestinnän kontekstissa hyvin ajankohtainen. Tässä lainopillisessa tutkielmassa selvitetään EU-oikeuden rajoja välitystietojen säilytysvelvollisuudesta määräämiselle ja säilytysvelvollisuuden alaisten välitystietojen luovuttamiselle rikostutkintaan. Ensimmäisen tutkimuskysymyksen tarkoituksena onkin tarjota vastaus siihen, mitä EU- oikeus ja erityisesti EUT:n tulkinta välitystietojen säilytysvelvollisuuden asettamisesta ja säilytettyjen tietojen luovuttamisesta, pitää sisällään. Milloin EU-oikeus sallii jäsenvaltioiden asettaa teleyrityksille velvollisuuden säilyttää asiakkaidensa välitystietoja – ja milloin ei? Lisäksi pohditaan minkälaisia puutteita EU-oikeuteen ja EUT:n tulkintoihin liittyy, ja kuinka säilytysvelvollisuutta tulisi kehittää de lege ferenda. Esimerkiksi ei tutkielmassa jaeta EUT:n omaksumaa näkemystä yksityiselämää tarkkaa kuvaavien välitystietojen asettamisesta yksityiselämän suojan perusoikeuden ydinalueen reuna-alueille. Jäsenvaltioiden välitystietojen säilytysvelvollisuutta ja luovuttamista koskeva lainsäädäntö voidaan EUT:n Tele 2 ja Watson -ratkaisun mukaan sallia unionin oikeuden mukaisesti ensinnäkin ainoastaan vakavan rikollisuuden torjunnan tarkoituksiin. Toiseksi sallii unionin oikeus EUT:n mukaan välitystietojen kohdennetun säilyttämisen, kun säilytysvelvollisuus on rajattu täysin välttämättömään. EUT:n keskittymistä lähinnä sellaisten keinojen etsimiseen, joilla säilytysvelvollisuus voitaisiin toteuttaa, pidetään tutkielmassa ongelmallisena. Olisi ollut toivottavaa, että se olisi välttämättömyysharkinnassaan pohtinut sitä, onko välitystietojen säilytettäväksi velvoittaminen unionin oikeuden mukaan ylipäätänsä katsottavissa välttämättömäksi rikostorjunnan toimenpiteeksi. Ensimmäisen tutkimuskysymyksen vastauksia peilaten, vastataan toiseen tutkimuskysymykseen siitä, millä tavalla säilytysvelvollisuudesta voidaan jäsenvaltioissa määrätä, jotta edellä mainitut ja muut EU-oikeuden asettamat edellytykset täyttyisivät. EUT:n Tele 2 ja Watson - ratkaisussa väläyttämiä vaihtoehtoja säilytysvelvollisuuden kohdentamista tiettyyn henkilöpiiriin, jonka välitystiedot voi paljastaa vähintään epäsuoran yhteyden vakavaan rikollisuuteen tai sellaiselle maantieteelliselle alueelle, jossa on kohonnut riski vakavien rikosten valmistelulle tai toteuttamiselle, on yhdenvertaisuus- ja tehokkuusnäkökulmista pidetty tutkielmassa hyvin ongelmallisina. Sen sijaan voitaisiin säilytysvelvollisuus tutkielman mukaan kohdistaa tiettyyn ajanjaksoon, esimerkiksi terroriuhkaluokitukseen perustuen. Unionin oikeuden edellytykset voitaisiin tutkielman mukaan toteuttaa myös viranomaisen päätöksestä alkavasta säilytysvelvollisuuden kohdentamisesta sellaisen henkilön välitystietoihin, johon kohdistuu epäily vakavasta rikoksesta. Tällaiseen kohdennettuun säilytysvelvollisuuteen pidetään mahdollisena yhdistää jäädytystoimenpide, jolla viranomainen voisi estää teleyrityksiä poistamasta niitä itseään varten säilyttämiään tiettyä henkilöä tai esimerkiksi tiettyä tukiasemaa koskevia välitystietoja määrätyn ajan tai kunnes tiedot todetaan rikostorjunnassa tarpeettomiksi. Kolmantena vaihtoehtona unionin oikeuden toteuttamiselle pidetään säilytysvelvollisuuden poistamista kokonaan. Näin jäisivät rikostorjunnassa hyödynnettävät välitystiedot riippumaan siitä, mitä välitystietoja teleyrityksellä sattuu tietojen luovutuspyynnön hetkellä olemaan itseään varten säilöttynä. Tutkielmassa tarkastellaan myös välitystietojen säilytysvelvollisuutta ja luovuttamista koskevaa Suomen lainsäädäntöä. Suomen lainsäädännön ei tutkielman kannalta relevanteilta osin katsota täyttävän kaikkia EU-oikeuden vaatimuksia.
-
(2020)Tekoälypohjaisten järjestelmien käyttö on merkittävästi lisääntynyt viime vuosien aikana. Vaikka tekoälypohjaisia järjestelmiä kehitetään ja käytetään perinteisesti yksityisten toimijoiden toimesta, myös viranomaiset ovat alkaneet hyödyntämään tekoälypohjaisia järjestelmiä enenevissä määrin. Samalla, kun näiden järjestelmien käyttöaste kasvaa, on herännyt huoli siitä, kuinka vastuullisesti algoritmit toimivat. Vaikka kasvojentunnistus ei ole uusi ilmiö, on sen käyttö huomattavasti lisääntynyt viime vuosina tekoälypohjaisten algoritmien antamien tehokkuushyötyjen vuoksi. Etenkin rajavalvonnan osa-alueella kasvojentunnistuksen hyödyntämisen merkitys on kasvanut ja sen lisäämisestä keskustellaan laajemmin Euroopan Unionin alueella. Helmikuussa 2020 Euroopan komissio painotti Euroopan digitaalista tulevaisuutta rakentamassa -hankkeen yhteydessä luottamuksen ekosysteemin muodostamista tekoälyn suhteen. Hankkeen taustalla vaikuttaa muun muassa se, että lukuisat tutkimukset ovat osoittaneet, että tekoälyn kehitysprosessin aikana tehtävät toimet vaikuttavat siihen, miten järjestelmä oppii malleja sekä tekee päätöksiä. Tämän osalta etenkin koneoppimista varten tarvittava harjoitusdata määrittelee hyvinkin laajasti sen, miten järjestelmä toimii tulevaisuudessa. Näin ollen huomiota on alettu enenevissä määrin kiinnittää siihen, sisältääkö harjoitusdata mahdollisia piileviä ennakkoasenteita tai muutoin syrjiviä elementtejä. Etenkin kasvojentunnistuksen osalta on käynyt ilmi, että tällaisia elementtejä sisältäviä datasettejä on käytetty kasvojentunnistusjärjestelmien opettamiseen, joka puolestaan on johtanut näiden järjestelmien kykenemättömyyteen tunnistaa esimerkiksi vähemmistöjä. Yleisen tietosuoja-asetuksen 35 artiklan perusteella rekisterinpitäjän on ennen henkilötietojen käsittelyä toteutettava arviointi suunniteltujen käsittelytoimien vaikutuksista henkilötietojen suojalle. Vaikutustenarviointi on toteutettava etenkin silloin, jos käsittely todennäköisesti aiheuttaa luonnollisen henkilön oikeuksien ja vapauksien kannalta korkean riskin. Kasvojentunnistuksen käyttäminen rajavalvontatarkoituksiin on korostetun perusoikeusliitännäinen aihealue, joten 35 artiklan vaatimukset mitä todennäköisimmin täyttyvät. Kyseisten vaikutustenarviointien toimivuus on kuitenkin laajasti kyseenalaistettu, ja on esitetty, että algoritmien vaikutustenarviointi pystyisi paremmin arvioimaan tämän tyyppisten käsittelytoimien vaikutuksia. Tämän tutkielman tarkoituksena on selventää yleisen tietosuoja-asetuksen 35 artiklan perusteella tehtävien vaikutustenarviointien suhdetta algoritmien vaikutustenarviointeihin. Tutkielmassa selvitetään, miten kyseiset arvioinnit eroavat toisistaan ja voidaanko ne katsoa erillisiksi arvioinneiksi, vai ovatko kyseiset vaikutustenarvioinnit läheisesti liitoksissa toisiinsa. Tutkimuskysymyksiä lähestytään lainopillisen metodin näkökulmasta siten, että ensin tarkastellaan kyseisten vaikutustenarviointien normitasoista sääntelyä. Tämän jälkeen tutkielmassa selvitetään, mitä ongelmia yleisen tietosuoja-asetuksen 35 artiklan perusteella tehtäviin vaikutustenarviointeihin liittyy ja samalla selvitetään, olisiko algoritmien vaikutustenarviointien lisääminen oikeudelliseen viitekehykseen tärkeää algoritmipohjaisten järjestelmien tuottamien laajojen, yli tietosuojan oikeudenalan menevien vaikutusten arvioimiseksi. Tutkimuskysymyksiä lähestytään rajavalvonnassa käytettävän kasvojentunnistusjärjestelmien näkökannalta, mutta kuitenkin siten, ettei jo olemassa olevia niin sanottuja pelkkiin todentamiseen perustuvia järjestelmiä tarkastella lähempää. Tutkielman tarkoituksena ei ole selventää, milloin kasvojentunnistusta voidaan käyttää rajavalvonnassa, vaan tarkoituksena on arvioida edellä mainittujen vaikutustenarviointien käytön toimivuutta silloin, kun kasvojentunnistusta käytetään. Tutkielman keskeinen johtopäätös on, että yleisen tietosuoja-asetuksen tietosuojakeskeinen viitekehys rajoittaa tietosuojaa koskevien vaikutustenarviointien laajuutta siten, että 35 artiklan perusteella tehtävät vaikutustenarvioinnit ovat kykenemättömiä arvioimaan rajavalvonnassa käytettävien kasvojentunnistusjärjestelmien aiheuttamia vaikutuksia. Tämän pohjalta tutkielmassa suositellaan, että algoritmien vaikutustenarviointi tulisi saattaa osaksi tekoälypohjaisia järjestelmiä koskevaa oikeudellista viitekehystä.
-
(2015)Tutkielman aiheena on henkilörekisteririkos, josta on säädetty rikoslain 38 luvun 9 §:ssä. Henkilörekisteririkoksena on säädetty rangaistavaksi eräiden tunnusmerkistössä tarkemmin määriteltyjen henkilötietolain pykälien ja henkilötietojen käsittelyä koskevien erityissäännösten vastainen toiminta. Koska kyseessä on rikoksen tunnusmerkistö, joka saa tarkemman sisältönsä henkilötietojen suojaa koskevasta lainsäädännöstä, tutkielmassa tarkastellaan henkilörekisteririkoksen tunnusmerkistöä sekä rikosoikeudelliselta että informaatio-oikeudelliselta kannalta. Tutkimusmenetelmä on pääosin lainopillinen, rikoksen tunnusmerkistöä tulkitseva. Tutkielmassa esitetään kritiik-kiä rikoksen nykyistä muotoilua ja oikeuskäytäntöä kohtaan sekä esitetään muutosehdotuksia. Tutkielmassa oikeuspoliittinen näkökulma on esillä arvioitaessa, onko rikoksen tunnusmerkistö ja oikeuskäytännön kehittyminen ollut onnistunutta. Tutkielmassa pyritään tarkentamaan henkilörekisteririkoksen sisältöä ja sen soveltamista oikeuskäytännössä. Henkilörekisteririkos on otettu henkilörekisterilakiin jo 1988, mutta sitä on sovellettu harvakseltaan. Henkilörekisteririkosta on käsitelty vain kahdesti korkeimmassa oikeudessa. Lisäksi henkilörekisteririkos on profiloitunut vahvasti henkilötietolain 7 §:n vastaiseksi urkintaa koskevaksi rikokseksi. Tämä on ristiriidassa sen kanssa, että henkilörekisteririkoksen tunnusmerkistö kattaa monenlaista toimintaa. Oikeuskäytännön vähyyden vuoksi henkilörekisteririkos onkin vielä jäsentymätön muilta osin. Koska urkintateoista on henkilörekisteririkoksena eniten oikeuskäytäntöä, keskittyy tutkielma tunnusmerkistön tulkinnassa vahvasti henkilötietolain käyttötarkoitussidonnaisuuden vastaisen käyttäytymisen tutkimiseen. Tutkielmassa on esitetty, miten urkintarikos on kehittynyt osaksi henkilörekisteririkosta ja mitä ongelmia tähän kehitykseen liittyy. Tutkielmassa ehdotetaan, että oikeustilan selvyyden vuoksi olisi mielekästä ottaa urkintaa koskeva oma rikostunnusmerkistönsä rikoslakiin. Tutkielman johtopäätöksenä todetaan, että henkilörekisteririkos nykyisessä muodossaan ei ole onnistunut. Henkilörekisteririkokseen liittyy monia ongelmia, jotka tulisi ratkaista uuden tietosuoja-asetuksen myötä. Tietosuoja-asetuksessa ei ole otettu kantaa rikosoikeudellisiin sanktioihin, mutta se silti vaikuttaa henkilörekisteririkokseen, koske rikoksen tunnusmerkistö on yhteydessä henkilötietojen suojaa koskevan aineellisen lainsäädännön kanssa.. Lisäksi tutkielman johtopäätöksenä esitetään, että henkilörekisteririkoksen käyttöalaa tulisi rohkeammin oikeuskäytännössä monipuolistaa nykyisestä koskemaan myös muun tyyppistä käyttäytymistä kuin urkintarikoksia. Tutkielmassa on esitetty, että monipuolisuuden vähyys johtuisi rikosten matalasta ilmituloprosentista sekä päällekkäisyydestä muiden rikosten kanssa.
-
(2019)Nykyajalle on leimallista, että ihmisistä kerätään huomattavasti enemmän tietoa kuin koskaan aikaisemmin ja yhä useamman toimijan liiketoiminta perustuu tiedon hyödyntämiseen. Ennennäkemätön tiedonkeruu on johtanut siihen, että anonymiteetti on nyky-yhteiskunnassa entistä vaikeampi saavuttaa, sillä yksilöistä kerätyn tiedon määrän kasvaessa ja teknologian edelleen kehittyessä yksittäisiä tiedonpalasia on mahdollista yhdistää toisiin tietoihin entistä useammin henkilön tunnistamisen mahdollistavalla tavalla. Tällaisessa tilanteessa henkilötietojen suojaa koskevan lainsäädännön merkitys korostuu, kun yhä useammin niin julkiset kuin yksittäiset toimijat käsittelevät toimintansa yhteydessä henkilötietoja. Eurooppalaisen tietosuojalainsäädännön perusta muodostuu Euroopan unionin perusoikeuskirjan henkilötietojen suojaa koskevasta 8 artiklasta, Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklasta ja näistä ajankohtaisimmasta ja samalla yksityiskohtaisimmasta EU:n yleisestä tietosuoja-asetuksesta. Tutkielmassa tarkastellaan henkilötiedon käsitteen määritelmää eurooppalaisessa tietosuojalainsäädännössä. Henkilötiedon käsitteen tulkinnalla – sillä, millaiset tiedot katsotaan henkilötiedoiksi – on huomattava merkitys niin julkisille kuin yksityisille toimijoille Euroopassa. Jos käsittelyn kohteena olevien tietojen katsotaan olevan henkilötietoja, tulee niihin soveltaa tietosuojalainsäädännön velvoitteita. Tutkielman tarkoituksena on selvittää, mitä kaikkea henkilötiedon määritelmän alaan eurooppalaisessa tietosuojalainsäädännössä sisältyy. Olennainen osa tätä on sen arvioiminen, mitä kaikkea itse asiassa jää henkilötiedon käsitteen määritelmän ulkopuolelle. Lisäksi kysymys tietosuojalainsäädännön mukaisen henkilötietojen anonymisoinnin mahdollisuudesta, tai toisaalta mahdottomuudesta, liittyy tutkielman aiheeseen olennaisesti. Henkilötiedon käsitteen määritelmä muodostuu neljästä toisiinsa vahvasti linkittyneestä osatekijästä, jotka ovat ”kaikenlaiset tiedot”, ”liittyvä”, ”tunnistettu tai tunnistettavissa oleva” ja ”luonnollinen henkilö”. Näin ollen henkilötiedon määritelmä on erittäin laaja, muttei kuitenkaan rajaton. Henkilötiedon käsitteen tarkastelu näiden osatekijöiden valossa osoittaa, että kaikenlaiset tiedot voivat olla henkilötietoja ja tiedot voivat liittyä henkilöön tietosuoja-asetuksen edellyttämällä tavalla, kun niiden käsittelyllä on todennäköisesti vaikutuksia henkilön etujen ja oikeuksien kannalta. Henkilötiedon käsitteen ja samalla koko tietosuojalainsäädännön soveltamisalan kannalta merkityksellisin osatekijä on kuitenkin tunnistettavuus, joka useimmiten määrittää sen, ovatko kyseessä olevat tiedot henkilötietoja. Tunnistettavuuden arviointi perustuu kohtuullisen todennäköisesti käytettävissä olevien keinojen arviointiin, joiden alaa sekä tietosuojatyöryhmä että Euroopan unionin tuomioistuin ovat tulkinneet laveasti. Muutenkin viimeaikaista Euroopan unionin tuomioistuimen ratkaisukäytäntöä on leimannut toive varmistaa tehokas henkilötietojen suoja, jonka seurauksena henkilötiedon käsitteen tulkinnankin on nähty laajentuvan koskemaan mitä moninaisempia tietoja. Henkilötiedon käsitteen neljännellä osatekijällä, eli luonnollisella henkilöllä tarkoitetaan tietosuojalainsäädännön kontekstissa sitä, että henkilötietojen suojaa koskevia säännöksiä sovelletaan eläviin henkilöihin heidän kansalaisuudestaan ja asuinpaikastaan riippumatta. Henkilötietojen anonymisoinnilla tarkoitetaan prosessia, jonka seurauksena henkilötiedoista poistetaan tunnistettavuus siten, ettei rekisteröidyn tunnistaminen ole enää mahdollista. Tietosuojalainsäädännön vaatimukset täyttävän henkilötietojen anonymisoinnin kynnys on eurooppalaisessa tietosuojalainsäädännössä asetettu erittäin korkealle, kun tehokkaasti toteutettu anonymisointi edellyttää sitä, että tietojen tulee pysyä anonyymeinä, vaikka ne yhdistettäisiin toisiin tietoihin, jotka voivat olla käytännössä kenen tahansa hallussa. Henkilötietojen anonymisoinnista voi seurata kuitenkin useita hyötyä rekisterinpitäjinä toimiville, joten useat organisaatiot pyrkivät muodostamaan hallussaan olevista henkilötiedoista anonyymejä tietoja siten, että kyseisiä tietoja olisi mahdollista analysoida vapaasti ilman tietosuojalainsäädännön velvoitteita.
-
(2015)Henkilötietojen vaihdannalla tarkoitetaan henkilötietojen henkilötietolain 3 §:n mukaista luovuttamista tietojen alkuperäi-seen käsittelytarkoitukseen nähden sivulliselle henkilölle vastiketta vastaan. Henkilötiedoille on digitalisaation myötä syntynyt entistä useampia käyttötarkoituksia, mikä on lisännyt tietojen rahallista arvoa huomattavasti. Merkittävimmät käyttötarkoitukset tiedoille ovat suurien tietomassojen analysointi paremman kokonaiskuvan saamiseksi yrityksen asi-akkaista sekä tietojen käyttö suoramarkkinointitarkoituksiin. Henkilötietojen lisääntyneet käyttömahdollisuudet ovat myös tehneet tiedoista aiempaa kiinnostavamman vaihdannan kohteen. Tiedollinen itsemääräämisoikeus on periaate, joka on nähtävissä niin henkilötietodirektiivin kuin henkilötietolainkin taustalla. Tutkielman tarkoituksena on selventää henkilötietojen vaihdannan oikeustilaa ja rekisteröidyn tiedollisen itsemäärää-misoikeuden toteutumista vaihdannassa. Tutkielmassa tarkastellaan ensinnäkin sitä, millaisin edellytyksin henkilötieto-ja on mahdollista luovuttaa vaihdantatarkoituksiin ja miten rekisteröidyn tiedollista itsemääräämisoikeutta voidaan tällöin toteuttaa. Lisäksi tutkielmassa pyritään selvittämään, miten henkilötietojen vaihdanta olisi käsitettävä varallisuusoikeu-den näkökulmasta ja mitä varallisuusoikeuksia henkilötietoihin voi kohdistua. Tutkielma on oikeusdogmaattinen tutki-mus, jossa käytetään sekä staattisesta että dynaamisesta lainopista omaksuttuja piirteitä sisältävää metodia. Henkilötietojen luovutus on yksi henkilötietojen käsittelyn muoto. Luovuttamiselle on aina oltava jokin henkilötietolakiin tai erityislainsäädäntöön nojautuva peruste. Rekisteröidyn suostumusta voidaan pitää ensisijaisena perusteena kaikelle henkilötietojen käsittelylle, sillä se toteuttaa parhaiten rekisteröidyn tiedollista itsemääräämisoikeutta. Henkilötietojen vaihdantatilanteissa rekisteröidyn suostumus on usein ainoa sovellettavissa oleva peruste tietojen luovuttamiselle. Eri-tyisesti sähköinen suoramarkkinointi on merkittävä syy henkilötietojen vaihdannalle. Sähköiseen suoramarkkinointiin vaaditaan aina rekisteröidyn ennalta antama suostumus. Jotta rekisteröidyn tietoja voidaan luovuttaa sähköiseen suo-ramarkkinointiin, rekisteröidyn on pitänyt olla tietoinen luovuttamisesta suostumusta antaessaan. Tällöinkään rekiste-rinpitäjä ei siten voi poiketa suostumusvaatimuksesta. Rekisterinpitäjän mahdollisuudet luovuttaa tietoja ilman rekiste-röidyn suostumusta ovat varsin kapeat. Tutkielmassa käydään myös läpi muita erityisesti vaihdantatilanteissa huomioi-tava yleisiä henkilötietojen suojaan liittyviä periaatteita, kuten käyttötarkoitussidonnaisuuden periaate. Vaihdantaan liittyvät kysymykset luetaan tavallisesti varallisuusoikeuden oikeudenalaan. Silloin, kun henkilötietojen luovutus perustuu rekisteröidyn suostumukseen, rekisteröity ja rekisterinpitäjä voivat sopia henkilötietojen käsittelystä ja luovuttamisesta henkilötietolain asettamissa rajoissa. Henkilötietojen suojaa on nykyään pidettävä perusoikeutena. Sen keskussisällöksi voidaan hahmottaa tiedollinen itsemääräämisoikeus. Koska henkilötietojen suoja on perusoikeus, re-kisteröity ei kuitenkaan voi pätevästi suostua sellaiseen tietojen käsittelyyn, joka estäisi häntä käyttämästä erityisesti henkilötietolain 6 luvun mukaisia oikeuksiaan, jotka toteuttavat tiedollista itsemääräämisoikeutta eli henkilötietojen suo-jan keskussisältöä. Henkilötietojen suojassa ja tiedollisessa itsemääräämisoikeudessa on kyse vaihdantakelvottomista oikeuksista. Sen sijaan tiedot itsessään voivat olla vaihdannan kohteina. Kun rekisterinpitäjä saa henkilötiedot haltuunsa joko rekisteröidyn suostumuksen perusteella tai muun laissa olevan perusteen kautta, rekisterinpitäjälle syntyy varallisuusoikeudellisesti käyttöoikeuteen rinnastettava oikeus tietoihin. Re-kisterinpitäjän oikeutta rajoittavat rekisteröidyn suojaksi säädetyt henkilötietolain säännökset. Jos rekisterinpitäjän käyt-töoikeus sisältää oikeuden luovuttaa tietoja eteenpäin, luovutuksensaaja saa tällöin korkeintaan samansisältöisen käyt-töoikeuden tietoihin, kuin tiedot luovuttaneella rekisterinpitäjällä alun perin oli. Tiedollinen itsemääräämisoikeus antaa rekisteröidylle kompetenssin määrätä itse tiedoistaan varsinkin suostumukseen perustuvissa tilanteissa. Rekisteröidyn tiedollista itsemääräämisoikeutta ei voida rinnastaa varallisuusoikeudeksi, sillä henkilötietojen suojassa on kyse vaihdantakelvottomasta perusoikeudesta.
-
(2020)Vielä henkilötietolain aikana korvausvelvollisuus henkilötietojen käsittelyssä tapahtuneesta vahingosta oli rekisterinpitäjällä (HetiL 47 §). Henkilötietodirektiivi jätti jäsenvaltioille mahdollisuuden ulottaa korvausvastuu kansallisessa sääntelyssä myös käsittelijään, mutta tätä mahdollisuutta käytti harva. Teknologian kehittyminen, lisääntynyt alihankkija-asemassa olevien henkilötietojen käsittelijöiden käyttö, sekä ennen kaikkea huomio siitä, miten tietojenkäsittelystä on nopeasti kehittynyt yhdessäkäsittelyä, ovat kuitenkin jatkuvasti kasvattaneet painetta saada henkilötietojen käsittelyyn liittyvää vastuuta jaettua useammille toimijoille. Tietosuoja-asetuksen 82 artiklassa (Vastuu ja oikeus korvauksen saamiseen) henkilötietojen käsittelijä on nyt tuotu näkyväksi vastuunkantajaksi. Artiklan mukaan henkilötietojen käsittelijä on vastuussa käsittelystä aiheutuneesta vahingosta, jos se on toiminut rekisterinpitäjän lainmukaisen ohjeistuksen ulkopuolella tai sen vastaisesti, ja vapautuminen edellyttää näyttöä siitä, ettei käsittelijä ole millään tavoin vastuussa vahingon aiheuttaneesta tapahtumasta. Lisäksi on huomioitava, että käsittelijä voi joutua edellä mainitut edellytykset täyttäessään vahingonkärsijää kohtaan yhteisvastuuseen, jos se on osallistunut samaan tietojenkäsittelyyn kuin missä vahinko on aiheutunut. Tässä pro gradu -tutkielmassa tarkastellaan henkilötietojen käsittelijän tietosuoja-asetuksen mukaista vahingonkorvausvastuuta. Työn ensimmäisessä osiossa tarkastellaan, millaisten tietosuoja-asetuksesta tulevien edellytysten täyttyessä käsittelijä on lähtökohtaisesti vastuussa vahingosta. Työn toinen osio keskittyy puolestaan siihen, milloin käsittelijä tosiasiallisesti päätyy maksamaan vahingonkärsijälle korvauksen. Tämä on eri kysymys kuin ensimmäisessä osiossa esitetty johtuen etenkin saman käsittelyn käsitteen ulottuvuudesta, rekisterinpitäjien ja käsittelijöiden solidaarisesta vahingonkorvausvastuusta suhteessa vahingonkärsijään, sekä elinkeinonharjoittajien välisestä sopimusvapaudesta. Saman käsittelyn käsitteen määritelmän puuttuminen nähdään työssä yhtenä keskeisenä asetuksen ongelmakohtana, ja käsitteelle annetaan vaihtoehtoisia määritelmiä, jotka johtavat erilaisiin lopputulemiin yhteisvelallisten piiriä määritettäessä. Yhteisvastuun osalta nostetaan myös esille muita siihen liittyviä tulkinnallisia ongelmakohtia, jotka tuovat epävarmuutta siihen, millaisissa tilanteissa käsittelijä on lopulta vastuussa. Tutkimuksessa on erityisesti pyritty löytämään sääntelyn jättämiä ongelmakohtia, jotka mahdollistavat erilaisten tulkintojen myötä erilaisia lopputuloksia. Tällä kun on erityisen merkittäviä seurauksia käsittelijän vastuun hahmottamisessa. Tällaisiksi auki jääviksi tai jätetyiksi elementeiksi on työssä katsottu edellisessä kappaleessa mainittujen ohella esimerkiksi roolituksen epävarmuus, lainvastaisen ohjeistuksen seuraukset, hyvin pienessä roolissa käsittelyyn osallistuneiden vastuu, sekä käsiteltävien tietojen luonteen virhearvioinnista seuraava vastuu. Kaikille näille on pyritty muodostamaan perusteltuja tulkintoja. Huomiota on kiinnitetty myös siihen, miten käsittelijä edelleen jää helposti piiloon korvausvaatimuksen kohdetta valittaessa, ja miten tällainen saattaa mahdollistaa välinpitämättömän asenteen asetuksen noudattamista kohtaan. Sama vaikutus voi olla myös sillä, jos käsittelijä on sijoittautunut EU:n ulkopuolelle ja seuraamusten täytäntöönpano on epävarmaa. Työssä on lisäksi päädytty siihen, etteivät toimijat voi keskenään sopia siitä, keneen vahingonkärsijä voi kohdistaa vahingonkorvausvaatimuksen, mutta sopimusvapauden myötä viimekätisestä maksajatahosta ja lopullisista vastuuosuuksista on mahdollista päättää. Vastuuosuuksista sopiminen taas tarkoittaa käytännössä myös artiklan 82(5) regressioikeudesta sopimista, ja regressioikeudestakin sopiminen on näin katsottu mahdolliseksi. Kaikilla näillä on merkittävä vaikutus siihen, päätyykö henkilötietojen käsittelijä vahingonkorvauksen maksajaksi.
-
(2013)IT-ulkoistukset ovat tavanomainen osa liiketoiminnan kehittämistä. Parhaimmillaan IT-ulkoistus karsii kustannuksia ja mahdollistaa keskittymisen yrityksen ydinosaamiseen. IT-ulkoistukset ovat saaneet uuden muodon pilvipalveluissa, jotka ovat tuoneet merkittäviä tehokkuusetuja sekä palveluntarjoajille että palveluiden käyttäjille. Pilvipalveluissa käytetty teknologia on kuitenkin edelleen kehitysvaiheessa, eikä tarvittavaa avoimuutta ole pystytty saavuttamaan. Tietojenkäsittelyn entistä verkottuneempi ympäristö luo haasteita tietosuojasääntelyn täytäntöönpanoon. Verkottumisen myötä myös kansainväliset tiedonsiirrot ovat yleistyneet. IT-ulkoistuksiin liittyy lähes poikkeuksetta henkilötietojen käsittelyä. Suomessa henkilötietolaki 22.4.1999/523 on henkilötietojen käsittelyä koskeva yleislaki. Henkilötietolaki perustuu rekisterinpitäjän vastuulle henkilötietojen käsittelystä. Lähtökohtaisesti IT-palvelun ostaja on ulkoistuksen kohteena olevien henkilötietojen rekisterinpitäjä ja ITpalveluntarjoaja henkilötietojen käsittelijä. Rekisterinpitäjän korostunut vastuuasema huomioiden on ensisijaisen tärkeää, että molemmat osapuolet tiedostavat omat tietosuojavelvoitteensa ulkoistushankkeen aikana. Rekisterinpitäjän ja henkilötietojen käsittelijän roolit eivät kuitenkaan ole automaattisesti sopimustekstiin sidotut, jos sopimusteksti ei vastaa tosiasiallisia olosuhteita. IT-ulkoistuksen kannalta tärkeimmät henkilötietolain asettamat vastuut liittyvät rekisteröityjen oikeuksiin, osapuolten ilmoitusvelvollisuuksiin, henkilötietojen siirtoihin Euroopan talousalueen ulkopuolelle sekä tietoturvakysymyksiin. Rekisterinpitäjänä toimivan IT-palvelun ostajan on tärkeää tuntea henkilötietojen käsittelyyn liittyvät velvoitteet, jotta se voi pyrkiä varmistumaan niiden toteutumisesta myös käsittelyä ulkoistettaessa. Vastuu henkilötietojen käsittelyn lainmukaisuudesta jää rekisterinpitäjän kannettavaksi ex parte, vaikka sen kontrolli tietojenkäsittelyyn heikkenee väistämättä ulkoistushankkeen aikana. Henkilötietolain seuraamusjärjestelmä voidaan jakaa kolmeen osa-alueeseen: tietosuojavaltuutetun ja tietosuojalautakunnan määräämiin hallinnollisiin seuraamuksiin, rekisterinpitäjän vahingonkorvausvastuuseen sekä rikosoikeudellisiin seuraamuksiin. Rekisterinpitäjän vastuu on ankaraa vastuuta. Henkilötietolain seuraamusjärjestelmän rinnalla vaikuttaa henkilötietojen käsittelyyn osallistuvien toimijoiden sopimusperusteiset seuraamukset inter partes. Hyvin laadittu IT-ulkoistussopimus on apuväline rekisterinpitäjän sopimusperusteiseen riskinhallintaan. Rekisterinpitäjään kohdistuvan pakottavan lainsäädännön vuoksi IT-palvelun ostajan näkökulmasta on tärkeää, että vastuuta jaetaan sopimusperusteisesti osapuolten kesken. Hankintasopimuksen huolellinen laadinta on yksi avain onnistuneeseen ulkoistushankkeeseen. EU:ssa on tällä hetkellä käynnissä tietosuojasääntelyn kokonaisvaltainen uudistus, jossa tavoitteena on lainsäädännön yhtenäistäminen jäsenvaltioissa suoraan sovellettavalla asetuksella. IT-ulkoistuksen näkökulmasta keskeisin muutos nykytilaan olisi asetusehdotuksessa henkilötietojen käsittelijälle asetetut itsenäiset velvoitteet ja vastuut, joiden noudattaminen on myös sanktioitu. Toteutuessaan uudistus muuttaisi merkittävästi IT-ulkoistuksen osapuolten dynamiikkaa.
-
(2018)Due diligence -tarkastuksella tarkoitetaan yritysjärjestelyn kohteen tarkastusta, jonka tavoitteena on antaa tarkastuksen suorittavalle osapuolelle riittävän selkeä kuva yritysjärjestelyn kohteesta ja arvosta sekä vähentää yrityskaupan tuntemattomiin vastuisiin liittyvää riskiä. Tarkastuksen suorittamista varten yrityskauppaprosessin myyjä antaa ostajaehdokkaiden tutustua myytävän yrityksen tai organisaation asiakirjajäljennöksiin, jotka käytännössä aina sisältävät henkilötietoja. Tutkimuksessa selvitetään yrityskaupan kohdeyrityksen työntekijöiden ja asiakkaiden henkilötietojen luovuttamista Euroopan unionissa ja Euroopan talousalueella sekä erityisesti Suomessa tapahtuvissa yrityskaupoissa toukokuussa 2018 sovellettavaksi tulevan EU:n uuden yleisen tietosuoja-asetuksen (2016/679) ja Suomessa asetusta täydentämään ehdotetun tietosuojalain valossa. Tutkimuskysymyksiä lähestytään ensin tarkastelemalla henkilötietojen suojan ja omaisuuden suojan kollisiotilannetta, minkä jälkeen tarkastellaan henkilötietojen luovuttamisen perusteita ja henkilötietojen käsittelyä koskevia vaatimuksia. Henkilötietojen luovuttamisen kannalta keskiöön nousevat erityisesti käyttötarkoitussidonnaisuus ja tietojen minimointi, jotka yhdessä edellyttävät, että henkilötietoja ei luovuteta alkuperäisen käsittelytarkoituksen kanssa yhteen sopimattomalla tavalla ja että henkilötietojen luovuttaminen on tarpeellista yrityskaupan toteuttamiseksi. Yrityskaupoissa käytetään usein signing–closing -rakennetta, jolloin ensin tehdään yrityskauppasopimus (signing), jonka jälkeen omistusoikeus kaupan kohteeseen siirretään ja kauppa tulee varsinaisesti voimaan myöhemmin (closing). Tutkimuksessa osoitetaan, että käytettäessä signing–closing -rakennetta yrityskauppa toteutuu henkilötietolainsäädännön näkökulmasta closingissa. Kohdeyrityksen työntekijöiden ja asiakkaiden henkilötietoja sisältäviä kokonaisia asiakasrekistereitä voidaan luovuttaa vasta tämän jälkeen. Lisäksi tutkimuksessa katsotaan, että ennen closingia voidaan luovuttaa sellaisia työntekijöiden välittömästi tarpeellisia tietoja kuten pätevyystietoja, jotka ovat tarpeellisia yrityskaupan toteutumiseksi esimerkiksi kohdeyrityksen toimialan takia. Tutkimuksessa erotetaan kohdeyrityksen johtoryhmä ja muut avainhenkilöt muista työntekijöistä. Johtuen avainhenkilöiden merkittävyydestä kohdeyrityksen liiketoiminnalle ja siten yrityskaupan toteutumiselle, heistä voidaan luovuttaa yksityiskohtaisempia tietoja kuin muista työntekijöistä. Tutkimuksessa tällaisiksi yksityiskohtaisemmiksi tiedoiksi katsottiin esimerkiksi työsopimus. Asiakkaiden henkilötietojen osalta tutkimuksessa katsotaan, että merkittävien henkilöasiakkaiden sellaisia henkilötietoja, kuten nimi ja asiakassopimuksen sisältö, voidaan henkilötietolainsäädännön näkökulmasta luovuttaa ennen yrityskaupan toteutumista closingissa. Tavallisten henkilöasiakkaiden tietoja ei voida luovuttaa ennen closingia, koska nämä eivät ole välttämättömiä yrityskaupan toteuttamiseksi. Tutkimuksessa osoitetaan, että rekisteröityjen oikeussuoja edellyttäisi sitä, että rekisterinpitäjän informointivelvollisuudesta olisi säädetty tietosuoja-asetuksessa yksityiskohtaisemmin. Tietosuoja-asetuksen 13 ja 14 artiklan informointivelvollisuus ei edellytä, että yrityskaupan myyjä kertoo rekisteröidylle mitä henkilötietoja yrityskaupassa ollaan luovuttamassa tai kenelle tietoja luovutetaan. Ostajaehdokkaiden puolestaan ei tarvitse kertoa rekisteröidylle, koska henkilötiedot on luovutettu niille. Lisäksi yrityskaupan myyjä ja ostajaehdokkaat voivat myös laiminlyödä informointivelvollisuutensa ja velvollisuutensa ilmoittaa tietoturvaloukkauksesta tietosuoja-asetuksen 33 artiklan nojalla ilman varteenotettavaa riskiä kiinnijäämisestä. Rekisteröidyllä ei tällöin ole realistisia mahdollisuuksia käyttää tietosuoja-asetuksen mukaisia oikeuksiaan. Tutkimuksessa nähdään pilliinpuhaltaminen (englanniksi whistleblowing) keskeisenä kanavana henkilötietojen lainvastaisen luovuttamisen ilmi käymiseksi yrityskauppaprojekteissa ja katsotaan, että johdon henkilökohtainen vastuu edistäisi yritysten tietosuojavelvoitteiden noudattamista.
-
(2016)Tutkielman aiheena on henkilötietojen siirtäminen EU- ja ETA -maiden ulkopuolelle, erityisesti Yhdysvaltoihin, ja sitä koskevan sääntelyn muuttuminen Euroopan unionin tuomioistuimen 6.10.2015 antaman tuomion asiassa C-362/14 Schrems jälkeen. Komissio oli vuonna 2000 tehdyllä päätöksellään 2000/520/EY katsonut, että EU:n ja Yhdysvaltojen välinen niin sanottu Safe Harbor -järjestely, jota on kutsuttu myös turvasatamajärjestelyksi, takaisi riittävän tietosuojan tason sen nojalla Yhdysvaltoihin siirretyille henkilötiedoille. EUTI totesi Schrems -tuomiossa Safe Harbor -järjestelyä koskevan komission päätöksen pätemättömäksi perusoikeuksien vastaisena muun muassa sen perusteella, että se mahdollisti Yhdysvaltojen tiedusteluviranomaisten laajamittaisen ja rajaamattoman pääsyn EU-kansalaisten henkilötietoihin. Tämän seurauksena henkilötietojen siirtäminen EU- ja ETA -maista Yhdysvaltoihin Safe Harbor -järjestelyn puitteissa ei ollut enää lainmukaista. Helmikuussa 2016 Euroopan komissio ja Yhdysvallat sopivat uudesta Safe Harbor -järjestelyn korvaavasta järjestelystä, jota kutsutaan nimellä EU-US Privacy Shield. Tutkielman metodinen perusta on lainopissa. Tutkielmassa on viitteitä myös vertailevasta oikeustieteen tutkimuksesta, käsittelyn kohdistuessa paikoin Yhdysvaltojen oikeuteen. Sen lisäksi, että tutkielmassa pyritään selvittämään voimassaolevan oikeuden (lex lata) sisältöä, yhdistyy siinä piirteitä tutkimuksesta, jossa voimassa olevaa oikeutta pyritään kehittämään ja jonka tarkoituksena on esittää, mitä voimassaolevan oikeuden pitäisi olla (lex ferenda). Tämä johtuu siitä, että tutkielmassa käsitellään osaksi vielä voimaan astumatonta oikeutta. Tutkielmassa käsitellään niitä säännöksiä, jotka sääntelevät nykytilanteessa henkilötietojen siirtoa EU- ja ETA -maiden ulkopuolelle, erityisesti Yhdysvaltoihin ja henkilötietolainsäädännön tarjoamia eri vaihtoehtoja henkilötietojen kansainväliseen siirtoon. Tutkielmassa keskitytään erityisesti henkilötietojen siirtämiseen nimenomaan Yhdysvaltoihin, sillä tähän liittyvien lainsäädännöllisten muutosten seurauksena näkökulma on erittäin ajankohtainen. Jotta henkilötietojen kansainvälistä siirtämistä voidaan käsitellä, käydään tutkielmassa ensin läpi henkilötietolain keskeistä käsitteistöä, henkilötietojen käsittelyn edellytyksiä, käsittelyn yleisiä periaatteita sekä rekisteröidyn oikeuksia, niiden ollessa seikkoja, jotka tulee huomioida myös henkilötietoja siirrettäessä EU- ja ETA-maiden ulkopuolelle. Tutkielmassa käsitellään lisäksi EUTI:n Schrems -tuomiota ja sen vaikutuksia Yhdysvaltoihin henkilötietoja siirtäville rekisterinpitäjille. Tämä edellyttää kumotun Safe Harbor -järjestelyn sekä vaihtoehtoisten tiedonsiirtomenetelmien käsittelyä. Tässä yhteydessä tutkitaan myös, voidaanko henkilötietojen siirtoa Yhdysvaltoihin kumotun Safe Harbor -järjestelyä koskevan päätöksen nojalla katsoa henkilörekisteririkokseksi. Lisäksi eri siirtomenetelmiä verrataan toisiinsa lyhyesti erityisesti rekisterinpitäjän valintamahdollisuuksien näkökulmasta. Lopuksi tutkielmassa käsitellään Privacy Shield -järjestelyä erityisesti Schrems -tuomiossa esitettyjen näkökohtien valossa ja tutkitaan, täyttääkö se EUTI:n Schrems -tuomiossa esittämät vaatimukset erityisesti koskien viranomaisten pääsyä henkilötietoihin sekä tehokkaita oikeussuojakeinoja. Johtopäätöksenä tutkielmassa päädyttiin siihen, että Privacy Shield -järjestely kaipaa vielä muutoksia, ennen kuin sen voidaan katsoa täyttävän EU-oikeuden edellytykset riittävästä perusoikeuksien suojaamisesta mannertenvälisessä tiedonsiirrossa. Järjestelyn tuomien oikeussuojakeinojen tehokkuutta ja niiden moninaisuutta tulee arvioida uudelleen, mukaan lukien kysymystä Yhdysvaltoihin perustettavasta oikeusasiamiehestä, sen toimivaltuuksista ja itsenäisyydestä. Samoin Yhdysvaltojen viranomaisten massavalvonnan rajoituksia tulee tarkistaa ja pitää huoli, ettei Privacy Shield -järjestely mahdollista rajoittamatonta pääsyä EU-kansalaisten henkilötietoihin, minkä voidaan katsoa olevan yksityiselämän kunnioittamista koskevan perusoikeuden keskeisen sisällön vastaista.
Now showing items 1-20 of 68