Browsing by discipline "Communication and information law"
Now showing items 41-60 of 68
-
(2020)Tarkastelen potilaan tiedollista itsemääräämisoikeutta luovutettaessa potilastietoja alkuperäisen käyttötilanteen ulkopuolelle: toisiin terveydenhuollon yksiköihin tai toisiokäyttöön, muuhun kuin alkuperäiseen käyttötarkoitukseen. Tutkin potilaan tiedollista itsemääräämisoikeutta potilaan informoinnin sekä vastustamis- ja kielto-oikeuden näkökulmasta. Potilaan tiedollinen itsemääräämisoikeus on osa potilaan itsemääräämisoikeutta ja tarkoittaa sitä, että potilas voi päättää omista potilastiedoistaan. Potilaan informointi on edellytys sille, että hän voi käyttää muita tiedollisia oikeuksiaan, esimerkiksi vastustamis- ja kielto-oikeutta. Tutkimusmenetelmänä on pääasiallisesti lainoppi. Tutkimus sisältää myös de lege ferenda -pohdintaa. Ensimmäisenä tutkimusongelmana selvitän, onko potilaalla oikeutta tulla informoiduksi tietojensa luovuttamisesta. Toisena tutkimusongelmana tarkastelen, onko potilaalla oikeutta vastustaa tietojensa luovuttamista tai kieltää se. Tarkastelun pohjalta voidaan todeta, että potilaan oikeus saada riittävästi informaatiota tietojensa luovutuksesta ja hänen mahdollisuutensa vastustaa tai kieltää tietojensa luovutus ovat rajallisia. Molemmat vaativat potilaalta vaivannäköä. Potilastietojen käsittelyssä on pääsääntöisesti siirrytty sähköisiin tietojärjestelmiin, mikä merkitsee muutosta potilastietojen luovutukseen. Aiemmin tietojen luovuttaja toimitti tiedot tietojen vastaanottajalle, mutta nyt ne näkyvät samassa järjestelmässä olevalle taholle, mikäli näkyvyyttä ei ole teknisesti estetty. Valtakunnallisiin Kanta-palveluihin ja terveydenhuollon tietojärjestelmiin suunnitellaan laajennuksia, jotka lisäävät saatavilla olevan tiedon määrää. Esimerkiksi koekäytössä olevaan Kanta-palvelujen Omatietovarantoon potilaan on itse mahdollista kerätä hyvinvointitietojaan, joita voi sitten käyttää potilaan suostumuksella vaikkapa lääkäri. Potilaan aktiivinen informointi tietojen luovutuksesta rajoittuu lähinnä informointiin tietojen luovutuksesta toiseen terveydenhuollon yksikköön. Potilastietojen luovutus Kanta-palveluihin kuuluvasta Potilastiedon arkistosta tai terveydenhuoltolain mukaisesta yhteisrekisteristä edellyttää potilaan informointia. Yhteisrekisterissä olevat terveydenhuollon yksiköt voivat luovuttaa potilastietoja toisilleen ilman potilaan antamaa nimenomaista suostumusta, ellei potilas ole kieltänyt tietojensa luovutusta. Potilastiedon arkistossa tarvitaan potilaan laajaa suostumusta ja potilaalla on oikeus kieltää tietojensa luovutus palvelutapahtuman tai palvelunantajan perusteella. Kielto-oikeuden käyttäminen ei estä lakisääteistä tiedon luovutusta. Kielto-oikeus on siis käytännössä varsin rajattu, sillä potilastietoja voidaan lakisääteisesti luovuttaa hyvin moniin tarkoituksiin. Potilaan tiedollinen itsemääräämisoikeus on kansallisen lainsäädännön muutosten myötä supistunut asteittain. Potilaan suostumuksen rooli on vähentynyt terveydenhuoltolain, asiakastietolain sekä toisiolain myötä. Potilaslaki edellyttää pääsääntöisesti potilaan suostumusta, jolloin potilas yleensä tietää, mitä tietoja luovutetaan ja minne. Terveydenhuoltolain 9 § muutti tilanteen, sillä potilastietoja voidaan kertainformoinnin jälkeen luovuttaa yhteisrekisteristä, ellei potilas ole käyttänyt kielto-oikeuttaan. Alkuun asiakastietolaissa säädettiin prosessista, jossa tarvittiin potilaan suullista suostumusta ja hänen allekirjoittamaansa suostumusasiakirjaa, joka koski palvelutapahtumaa tai palvelukokonaisuutta. Nykyisin riittää potilaan kertainformointi tietojärjestelmästä, laaja suostumus sekä kielto-oikeus. Valmisteilla olevassa asiakastietolaissa esitetään luopumista laajasta suostumuksesta. Sähköisissä järjestelmissä näyttääkin olevan suuntana se, että potilastietoja näkyy yhä laajemmin ja potilaalta vaaditaan aktiivisuutta, mikäli hän haluaa käyttää kielto-oikeuttaan. Potilastietojen toisiokäyttöä on laajennettu uudella toisiolailla, joka mahdollistaa entistä helpommin erilaisten rekisteritietojen yhdistämisen ja käytön. Helsingin ja Uudenmaan sairaanhoitopiirissä on jo aiemmin kerätty HUS-tietoaltaaseen suuret määrät potilastietoja, joita voidaan yhdistellä eri tietojärjestelmistä ja liittää yhteen tietyn yksilön tietoja. Potilaan tiedollisen itsemääräämisoikeuden toteuttaminen edellyttäisi nykyistä laajempaa informointia tietojen luovuttamisesta, mitä voidaan perustella potilaan tiedonsaantioikeuksia tukevalla tietosuoja-asetuksen läpinäkyvyyden periaatteella. Potilaan tiedollista itsemääräämisoikeutta parantaisi Kanta-palveluihin lisättävä kielto-oikeusrekisteri, jolloin potilas voisi halutessaan kieltää terveystietojensa toisiokäytön. Tuleva ratkaisukäytäntö osoittaa, edistääkö tietosuoja-asetus potilaan tiedollista itsemääräämisoikeutta toisin kuin kansallisessa terveydenhuollon lainsäädännössä tapahtunut kehitys.
-
(2016)Profilointitekniikoiden ja massadatan avulla henkilöistä voidaan muodostaa tarkkoja profiileja, jotka mahdollistavat henkilöitä koskevien päätösten ja ennusteiden tekemisen. Profilointia voidaan hyödyntää useisiin tarkoituksiin, kuten markkinoinnin kohdentamiseen tai hinnoittelun optimoimiseen ostajakohtaisesti. Hinnoittelun optimointia ei vielä hyödynnetä laajamittaisesti. Kuitenkin profilointityökalut mahdollistavat parempien palveluiden luomisen ja, etenkin hinnoittelutarkoituksessa suoritettu profilointi, paremman tuottavuuden yritykselle. Tästä johtuen profilointiin perustuva hinnoittelu tulee todennäköisesti olemaan tulevaisuudessa enemmän esillä niin arjessa kuin oikeustieteellisessä keskustelussa. Personoitu hinnoittelu ei sellaisenaan ole uusi ilmiö, mutta digitalisaation ja kehittyneiden profilointityökalujen johdosta syntyvä valtava määrä informaatiota ja toisaalta myös informaation epätasainen jakautuminen muodostavat ongelmia etenkin yksityisyydensuojan, mutta myös muiden perusoikeuksien, näkökulmasta. Profilointi kytkeytyy luonnostaan vahvasti syrjintään, sillä profilointi tähtää henkilöiden luokitteluun ja lokerointiin. Kun tuotteita hinnoitellaan profiloinnin perusteella, voi mahdollinen syrjintä muodostua ongelmalliseksi, ja jopa laittomaksi, mikäli henkilölle tarjotaan korkeampaa hintaa tämän varallisuuden tai tiettyyn etniseen ryhmään kuulumisen perusteella. Tässä tutkielmassa selvitetään, miten voimassaoleva ja pian voimaan tuleva henkilötietojen käsittelyä koskeva kotimainen ja eurooppalainen sääntely vaikuttavat profilointiin perustuvaan hinnoitteluun. Käsittely kohdistuu etenkin profilointia koskevien säännösten tarkasteluun, mutta tutkielmassa selvitetään myös, mitä lainsäädännöllisiä ongelmia ja mahdollisia rajoitteita lainsäädäntö tuo hinnoittelun personoimiselle profiloinnin avulla etenkin käyttäjän perusoikeuksien, kuten yhdenvertaisuuden, näkökulmasta. Henkilötietojen käsittelyä ja profilointia koskeva sääntely tulee muuttumaan merkittävästi tämän vuoden alkupuolella hyväksytyn tietosuoja-asetuksen myötä. Tässä tutkielmassa selvitetään profilointiin perustuvan hinnoittelun sallittavuutta myös tietosuoja-asetuksen velvoitteiden osalta sekä arvioidaan uudistuvan sääntelyn tarpeellisuutta ja muutosten mahdollisia vaikutuksia profilointiin perustuvaan hinnoitteluun. Tietosuoja-asetus muuttaa sääntelyä tiukempaan suuntaan ja tarjoaa rekisteröidylle aiempaa enemmän oikeuksia ja mahdollisuuksia valvoa omia henkilötietojaan. Yhdenvertaisuutta turvaavat syrjintäsäännökset suojaavat henkilöitä syrjivältä kohtelulta. Tutkielmassa osoitetaan, että tietyissä tilanteissa profilointiin perustuva hinnoittelu saatetaan katsoa syrjivän ostajaa. Tutkielmassa selvitetään syrjinnän suojan laajuutta ja tarkastellaan, milloin profilointiin perustuvan hinnoittelun voidaan katsoa rikkovan syrjinnän kieltoa. Viimeiseksi tutkielmassa tarkastellaan vielä profilointiin perustuvan hinnoittelun yhteydessä ostajaa suojaavaa sääntelyä kokonaisuutena. Tutkielmassa osoitetaan, että voimassaoleva sääntely rajoittaa profilointiin perustuvaa hinnoittelua merkittävästi ja muodostaa rekisterinpitäjän kannalta kestämättömän kokonaisuuden. Tutkielmassa osoitetaan sääntelyn ristiriitaisuus, mutta myös, että profilointiin perustuva hinnoittelu on henkilötietojen käsittelyä koskevan sääntelyn näkökulmasta rekisteröidyn oikeuksiin siinä määrin puuttuvaa, että rekisteröidyn oikeuksien turvaamiseen on kiinnitettävä huomiota.
-
(2014)Profilointi on Euroopan neuvoston profilointisuosituksen mukaan automaattista tietojenkäsitte-lyä, jossa yksittäisen henkilön käyttäytymisen, ominaisuuksien tai hänen itsensä antamien tieto-jen perusteella luotua profiilia hyödynnetään, jotta tämän mieltymyksiä, käyttäytymistä ja asen-netta voitaisiin ennustaa. Suomen nykyisessä lainsäädännössä ei ole määritelty profilointia, mutta kun profiloinnissa käsi-tellään henkilötietoja, profilointiin sovelletaan henkilötietolakia. Profilointi ja siihen liittyvät ongelmat ovat ajankohtaisessa asemassa Euroopan unionin tietosuojasääntelyn uudistuksen an-siosta. Tietosuoja-asetusehdotukseen on ehdotettu lisättäväksi profilointia koskevat säännökset. Profilointia käytetään muun muassa kohdennetun mainonnan kohdentamiseen. Käyttötottumuk-siin perustuvassa markkinoinnissa verkkokäyttäjiä seurataan evästeiden ja muiden seurantatek-niikoiden avulla ja pyritään luomaan hyvinkin yksityiskohtainen kuva tietyn käyttäjän liikkumi-sesta verkossa, muun muassa siitä, millä sivuilla hän on vieraillut, mitä hän on ostanut verkko-kaupasta ja mitä mainoksia hän on klikannut. Myös sähköinen suoramarkkinointi profiloinnin avulla voi johtaa erittäin tarkasti kohdennettuun markkinointiin, joka toisaalta voi vastaanottajan näkökulmasta tuntua epämiellyttävältä yksityisyyden suojan piiriin tunkeutumiselta. Toisaalta profilointi ja oikein kohdistettu mainonta voivat edistää olennaisesti elinkeinonharjoittajien liiketoimintaa ja samalla vähentää niin sanotun roskapostin ja ”turhan” mainonnan lähettämistä. Profiloinnin problematiikassa tulee tasapainotella yksityiselämän suojelemisen ja elinkeinonhar-joittajien etujen välillä. Profiloinnissa kuitenkin käsitellään usein henkilötietoja, jolloin profi-loinnille on oltava lainmukainen peruste. Nykyisin profilointia suoritetaan varsin yleisesti markkinointitarkoituksissa informoimatta profiloinnin kohteita tai pyytämättä heidän suostu-mustaan profilointiin. Nähdäkseni nykyisin suoritettu profilointi verkkomarkkinointitarkoituksiin on siis usein henkilötietolain vastaista.
-
(2018)People, devices, and networks are generating data incessantly. The rapid growth in personal information processing and the new developments in technology have led to the situation in which private actors, such as the network operators in the telecommunications (telecom) industry, process and transform remarkable volumes of data. The Internet of Things makes it possible for any devices or components of machines to be connected to the Internet and to exchange sensitive data with each other and network services. Interaction between objects, and between objects and individuals are generating data flows which are difficult to control. Data controllers and processors are responsible for ensuring that the data is protected adequately by implementing appropriate technical and organizational measures in order to protect the rights of the data subjects. Also, regulatory requirements on privacy, data protection, and security auditing are increasing the need for different approaches to managing security and privacy compliance. A new legislative act, the General Data Protection Regulation (GDPR), recognizes the importance of applying techniques which mitigate the risk for identification of individuals. One such technique is a newly codified concept in the European Union (EU) legislation: pseudonymization. It is a data de-identification procedure in which the pieces of personal data that identify a person are replaced by artificial identifiers, pseudonyms. As a result, the individual cannot be identified without the use of additional information. The function of pseudonymization is to reduce the possibility to link information with the original identity of a data subject. Pseudonymization could be often applied to personal data in the telecom industry, for instance, in troubleshooting cases when a copy of the identifying information will be provided on demand to a third party, who is responsible for performing the troubleshooting. The troubleshooters may not have the need to know the actual identifying information but can perform a troubleshooting of a software product based on the pseudonymized data. The GDPR refers to pseudonymization multiple times and encourages data controllers and processors to apply it to personal data. However, at the time of writing, no further guidelines on pseudonymization under the GDPR have been provided. Pseudonymized data qualifies as personal data and the data protection requirements of the GDPR fully apply to it. Data controllers and processors may feel that they do not have enough incentives to apply pseudonymization to personal data, since the GDPR does not seem to provide clear legal advantages with regards to pseudonymization, like limitation of liability or similar. On the other hand, pseudonymization can be a useful technique to enhance the level of data protection in general compared with a situation where personal data would be processed in a “raw” form, allowing direct identification of the data subjects. This study focuses on the meaning and usability of pseudonymization of personal data with respect to the GDPR, with its primary focus on the telecom industry perspective. The study aims to provide answers to the following questions: What qualifies as pseudonymization of personal data, and do different degrees of identifiability exist as pseudonymization according to the General Data Protection Regulation? What are the advantages for the data subject and for the data controller or processor when personal data is processed in a pseudonymous form? The study intends to interpret the concept of pseudonymization according to the GDPR and analyze its current status in the EU data protection regime in the context of the telecom industry.
-
(2019)Tiivistelmä/Referat – Abstract Yhteiskunnan muutoksen ja teknologian kehityksen myötä henkilötietojen suojan merkitys on korostunut kasvavalla nopeudella viimeisten vuosikymmenten aikana. Henkilötietojen suoja on Euroopan unionin perusoikeuskirjassa vahvistettu perusoikeus, ja keväällä 2018 sovellettavaksi tulleen Euroopan unionin yleisen tietosuoja-asetuksen myötä henkilötietojen suojan merkitys kasvoi entisestään. Tutkielmassa keskitytään rekisterinpitäjän ja henkilötietojen käsittelijän määritelmien tulkintaan ja erityisesti niiden väliseen rajanvetoon. Tutkielmassa tarkastellaan myös yhteisrekisterinpitäjyyden määräytymistä. Tutkielman ensisijainen tutkimustavoite on tarkentaa edellä mainittujen määritelmien soveltamiskriteerejä ja tulkintaa. Rekisteröidyn oikeudet pidetään tarkastelussa mukana läpi työn. Lisäksi tarkastellaan määritelmien tulkinnan pohjalta esiin nousevia rekisterinpitäjä – henkilötietojen käsittelijä -konseptiin liittyviä oikeudellisia haasteita. Tutkimuksen menetelmällisenä lähestymistapana käytetään lähtökohtaisesti lainoppia. Rekisterinpitäjä – henkilötietojen käsittelijä -konsepti toimii EU-oikeudessa perustana tietosuojavastuiden allokoinnille. Tehokas tietosuojalainsäädäntö ja rekisteröidyn oikeudet edellyttävät, että henkilötietojen käsittelyyn osallistuvat toimijat tietävät velvoitteensa. Rekisterinpitäjän ja henkilötietojen käsittelijän määritelmien tulkintaa on oikeuskäytännössä ja muissa lähteissä kuvattu funktionaaliseksi. Funktionaalisuus voidaan nähdä keinona tai tietosuojaoikeuden tulkintaperiaatteena, jonka avulla rekisteröidyn oikeussuojan tarve ja tosiasiallisesti vastuussa oleva taho saadaan kohtaamaan. Yksi tutkielman keskeisistä havainnoista on, että rekisterinpitäjän ja henkilötietojen käsittelijän määritelmien tulkinta riippuu aina rekisteröidyn tapauskohtaisesta oikeussuojan tarpeesta, eikä tulkintaa näin ollen voida tarkoin sitoa tiettyihin määritelmien elementteihin. Vaikka rekisteröidyn tarve henkilötietojen suojaan on määräävä tekijä rekisterinpitäjän ja henkilötietojen käsittelijän määritelmien tulkinnassa, pyritään tutkielmassa tarkentamaan niitä kriteereitä, joiden pohjalta rekisterinpitäjän ja henkilötietojen käsittelijän määritelmiä tulkitaan. Oikeuskäytännön, oikeudellisen kirjallisuuden ja viranomaisohjeiden pohjalta on tunnistettavissa joitakin toistuvia kriteereitä sekä määrääviä tekijöitä rekisterinpitäjän ja henkilötietojen käsittelijän määritelmien välisen rajanvedon ja määritelmien yleisen tulkinnan selkeyttämiseksi. Laaja ja funktionaalinen tulkinta ei selkeytä rekisterinpitäjän ja henkilötietojen käsittelijän välistä rajanvetoa. Rekisterinpitäjän ja henkilötietojen käsittelijän näkökulmasta funktionaalisuus voi näyttäytyä ennakoimattomuutena. Tutkielman lopussa tarkastellaan rekisterinpitäjä – henkilötietojen käsittelijä -konseptia myös rekisterinpitäjän ja henkilötietojen käsittelijän näkökulmasta, arvioiden määritelmien tulkinnassa esiin nousseita haasteita.
-
(2017)Euroopan unionin yleisen tietosuoja-asetuksen (2016/679) tavoitteena on varmistaa luonnollisten henkilöiden yhdenmukainen ja korkeatasoinen suoja henkilötietojen käsittelyssä koko EU:n alueella, sekä henkilötietojen vapaan liikkuvuus. Asetus on osa komission digitaalisten sisämarkkinoiden strategiaa, joka tähtää Euroopan digitaalitalouden kilpailukyvyn parantamiseen. Asetuksella pyritään lisäämään kuluttajien luottamusta digitaalisiin palveluihin tarjoamalla heille tehokasta suojaa, ja mahdollisuus valvoa henkilötietojen käsittelyä. Tietosuoja-asetus päivittää henkilötietodirektiivin 95/46/EY aikaiset säännökset vastaamaan paremmin digitalisoituvan yhteiskunnan tarpeisiin. Tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohta sisältää rekisterinpitäjän tai kolmannen osapuolen oikeutettua etua koskevan käsittelyn oikeusperusteen, eli oikeutetun edun edellytyksen. Säännöksen mukaan henkilötietojen käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut. Säännös on sanamuodoltaan avoin, ja asetuksen johdanto-osasta on löydettävissä vain muutamia ohjeita sen soveltamiseen. Oikeutetun edun edellytys on herättänyt keskustelua niin Suomessa kuin muissakin jäsenmaissa. Henkilötietodirektiivin 7 artiklan f kohdan vastaavaa säännöstä koskeva Euroopan unionin tuomioistuimen oikeuskäytäntö on vähäistä, ja säännöksen kansallisen implementoinnin ja soveltamiskäytännön välillä on selviä eroja. Suomi on ainoa jäsenmaa, jossa oikeutetun edun edellytykseen sisältyvän arvioinnin on tehnyt rekisterinpitäjien sijaan viranomainen, eli tietosuojalautakunta. Tarve säännöksen sisällön selventämiseen onkin suuri etenkin Suomessa, sillä tietosuoja-asetuksen soveltamisen alkamisen myötä 25.5.2018 rekisterinpitäjät arvioivat ensi kädessä itse, voivatko he käsitellä henkilötietoja oikeutetun edun edellytyksen nojalla. Tutkielmassa on pyritty vastaamaan tähän tietotarpeeseen selvittämällä, millaisia edellytyksiä tietosuoja-asetuksen oikeutetun edun edellytys asettaa henkilötietojen käsittelyn lainmukaisuudelle. Tarkastelu on keskittynyt erityisesti juuri rekisterinpitäjän oikeutettuun etuun. Tämän lisäksi tutkielmassa on selvitetty, vastaako henkilötietolain 7 artiklan f kohdalle kansallisessa laissa ja tietosuojalautakunnan soveltamiskäytännössä annettu sisältö tutkielmassa esitettyjä tietosuoja-asetuksen säännöksen edellytyksiä. Kysymykseen saadun vastauksen perusteella on mahdollista tehdä alustavia arvioita siitä, voivatko oikeutetun edun edellytykseen perustuvien henkilötietolain säännösten ja tietosuojalautakunnan käsittelyä koskevien lupien nojalla henkilötietoja käsittelevät reksiterinpitäjät jatkaa henkilötietojen käsittelyä tietosuoja-asetuksen oikeutetun edun edellytyksen nojalla. Tutkielmassa osoitetaan, että oikeutetun edun edellytykseen sisältyy kaksi kumulatiivista edellytystä. Rekisterinpitäjällä on ensinnäkin oltava oikeutettu etu, jonka toteuttaminen edellyttää henkilötietojen käsittelyä. Lisäksi rekisterinpitäjän on arvioitava, syrjäyttääkö rekisteröidyn eduille sekä perusoikeuksille ja vapauksille käsittelystä aiheutuva haitta rekisterinpitäjän oikeutetun edun käsitellä henkilötietoja. Ollakseen tietosuoja-asetuksen säännöksen tarkoittamalla tavalla oikeutettu, rekisterinpitäjän edun on oltava lainmukainen ja asianmukainen. Tämä edellyttää muun muassa, että edun on oltava tarkasti määritelty, jotta etu on ulkopuolisten arvioitavissa. Oikeutetun edun määrittelemisen jälkeen rekisterinpitäjän on suoritettava intressipunninta oikeutetun etunsa ja rekisteröidyn henkilötietojen suojaa edellyttävien etujen ja perusoikeuksien välillä. Rekisteröidyn edut ja oikeudet on käsitettävä laajasti, sillä henkilötietojen käsittelyllä voi olla vaikutusta esimerkiksi rekisteröidyn yhdenvertaisuutta koskevaan oikeuteen. Tietosuoja-asetus suojaa kaikkia rekisteröidyn perusoikeuksia, eikä ainoastaan oikeutta henkilötietojen suojaan. Henkilötietojen käsittely on oikeutetun edun edellytyksen nojalla lainmukaista ainoastaan, jos intressipunninta osoittaa, että rekisterinpitäjän oikeutettu etu on asianmukaisessa tasapainossa rekisteröidyn etujen ja perusoikeuksien kanssa. Tietosuoja-asetuksen suurin ero henkilötietolain oikeutettuun etuun perustuviin säännöksiin on, että tietosuoja-asetus edellyttää tapauskohtaista intressipunnintaa, jota henkilötietolaki ei puolestaan ole mahdollistanut. Muilta osin edellytysten välillä ei näytä olevan suurta eroa. Myös tietosuojalautakunnan soveltamiskäytäntö näyttää vastaavan tutkielmassa tunnistettuja edellytyksiä asetuksen säännöksen soveltamiselle. Tietosuojalautakunta on esimerkiksi intressipunnintaa koskevassa arvioinnissaan kiinnittänyt huomiota oikeutetun edun ja käsittelyn luonteeseen, sekä sovellettaviin suojatoimiin. Vastaavien seikkojen on katsottu kuuluvan myös tietosuoja-asetuksen edellyttämään intressipunnintaan. Vaikuttaakin siltä, että henkilötietolain oikeutettuun etuun perustuvien säännösten ja tietosuojalautakunnan myöntämien lupien nojalla henkilötietoja käsittelevät rekisterinpitäjät voivat tietosuoja-asetuksen soveltamisen alettua lähtökohtaisesti jatkaa käsittelyä tietosuoja-asetuksen oikeutetun edun edellytyksen nojalla. Tämä edellyttää kuitenkin tapauskohtaisen intressipunninnan suorittamista, ja rekisteröityjen selkeää informointia siitä, mikä reksiterinpitäjän oikeutettu etu edellyttää henkilötietojen käsittelyä. Lisäksi rekisteröidyillä on tietosuoja-asetuksen myötä mahdollisuus milloin tahansa vastustaa oikeutetun edun edellytykseen perustuvaa henkilötietojen käsittelyä.
-
(2018)Euroopan unionin yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) tuo keskeisiä muutoksia henkilötietojen käsittelyyn niin jäsenvaltoissa kuin kansainvälisestikin. Yksi näistä muutoksista on osoitusvelvollisuus, jolla rekisterinpitäjät velvoitetaan osoittamaan noudattavansa käsittelytoiminnassaan tietosuojalainsäädännön velvoitteita. Tutkielman aiheena on rekisterinpitäjän osoitusvelvollisuus EU:n yleisessä tietosuoja-asetuksessa. Osoitusvelvollisuus ei konseptina ole täysin uusi, mutta EU:n tietosuojauudistuksen myötä se on tuotu ensimmäistä kertaa osaksi EU:n tietosuojalainsäädäntöä. Tutkielmassa perehdytään osoitusvelvollisuuteen EU:n tietosuoja-asetuksen keinona toteuttaa henkilötietojen suojaa. Tutkielman tarkoituksena on tarkastella, mitä osoitusvelvollisuudella tarkoitetaan, sekä mitä keskeisiä vaatimuksia velvoite asettaa rekisterinpitäjälle. Tutkielmassa tarkastellaan ja kontekstualisoidaan osoitusvelvollisuutta EU:n yleisessä tietosuoja-asetuksessa. Erityisesti käsitellään lainsäädäntöuudistuksen tavoitteiden heijastumista osoitusvelvollisuuden sisältöön, laajuuteen ja luonteeseen, sekä viitekehystä sille, miksi osoitusvelvollisuus otettiin juuri nyt osaksi tietosuojalainsäädäntöä, eli mihin lainsäädäntötarpeeseen osoitusvelvollisuus vastaa. Lisäksi tutkielman oleellisena tutkimuskysymyksenä on osoitusvelvollisuuden sisällön ja erityispiirteiden tarkastelu. Keskeistä on selvittää, mitä osoitusvelvollisuudella tarkoitetaan ja mitä vuorovaikutussuhteita se luo. Tutkielmassa tarkastellaan myös osoitusvelvollisuuden laajuutta ja kohdistumista tietosuoja-asetuksessa sekä keskeisiä keinoja, joilla rekisterinpitäjä voi toteuttaa osoitusvelvollisuutta. Rekisterinpitäjille osoitusvelvollisuus merkitsee uutta haastetta, ja velvoitteen käytännön toteuttamiskeinot on pääosin jätetty rekisterinpitäjän valittavaksi. Tutkielmassa tarkastellaan keskeisiä tietosuojahallinnollisia käytäntöjä, jotka voidaan ottaa osaksi osoitusvelvollisuuden täyttämistä. Kokonaisuutena tietosuoja-asetuksen rekisterinpitäjiä koskeva osoitusvelvollisuus on verrattain uusi ja täsmentymätön velvoite. On kuitenkin ilmeistä, että rekisterinpitäjän vastuu käsittelyn lainmukaisuudesta varmistumisesta korostuu osoitusvelvollisuuden myötä. Toisaalta osoitusvelvollisuus on laadittu skaalautuvaksi ja jättää rekisterinpitäjälle harkintavaltaa niistä keinoista, joilla rekisterinpitäjä varmistaa henkilötietojen suojan tehokkaan toteutumisen toiminnassaan. Jos osoitusvelvollisuudesta mukautuu tietosuojauudistuksessa tavoiteltu joustava keino, saattaa velvollisuus johtaa rekisterinpitäjän parempaan ymmärrykseen omasta toiminnasta sekä tehokkaampaan henkilötietojen suojaan käytännössä.
-
(2014)Tutkielmassa analysoidaan kontekstuaalisen lainopin metodilla Lissabonin sopimuksen (LS) vaikutuksia Euroopan unionin tuomioistuimen (EUT) sananvapautta koskevaan oikeuskäytäntöön viestintäoikeuden näkökulmasta. Tutkimushypoteesina on EU:n perusoikeuskirjan (POK) ja siinä suojatun sananvapauden oikeudellisen aseman vahvistuminen, sillä LS:n voimaantulon myötä 1.12.2009 POK:lla on primäärioikeudellinen asema EU-oikeudessa. Tutkimuskysymykset perustuvat Mikko Hoikan alkuvuonna 2009 ilmestyneen väitöskirjan “Sananvapaus Euroopan unionin oikeudessa” johtopäätöksiin. Tutkielmassa tutkitaan, punnitaanko sananvapautta LS:n jälkeen edelleen osana EU:n perusvapausrajoituksia. Toiseksi tutkitaan, onko sananvapautta suojattu EUT:n sananvapaustapauksissa yhtenevästi vai ristiriitaisesti Euroopan ihmisoikeustuomioistuimen (EIT) oikeuskäytännön kanssa. Tutkimustulokset kootaan taulukkoon kunkin EUT:n sananvapaustapauksen osalta. LS:lla muutettu SEU 6 artikla selkeyttää ja vahvistaa harmonista perusoikeussuojaa EU-oikeudessa, joka koostuu POK 11 artiklassa suojatusta sanan- ja tiedonvälityksen vapaudesta, jota tulkitaan POK:n horisontaaliartikloiden ja POK:n 11 artiklan selityksen mukaisesti. Sen lisäksi EIS 10 artiklassa taattu ja yhteisestä valtiosääntöperinteestä johtuva sananvapaus ovat yleisinä periaatteina osa unionin oikeutta, mikä rikastuttaa ja luo joustavuutta EU-oikeuden sananvapaussuojaan. SEU 6 artikla sääntelee EUT:n sananvapaustulkintoja, jotka liittyvät pääsääntöisesti POK 11(2) artiklan median moniarvoisuuden turvaamiseen. POK 11(2) artikla tiedonvälityksen vapaudesta perustuu EUT:n sisämarkkinaperusteiseen oikeuskäytäntöön, jossa painotetaan kaupallisten toimijoiden sananvapauden suhdetta EU:n sisämarkkinoiden perusvapauksiin eli tavaroiden, palveluiden, henkilöiden ja pääomien vapaaseen liikkuvuuteen. EUT:n sananvapausrajoitusten suhteellisuusperiaatteen arviointi ja tulkinta ovat pääosin yhteneviä EIT:n EIS 10(2) artiklaa koskevan oikeuskäytännön kanssa. Sananvapausrajoituksen välttämättömyyttä arvioidaan EUT:ssa EIT:sta poiketen sisämarkkinaperusteisesti EU:n yleisen edun ja tavoitteiden sekä POK:ssa suojattujen muiden oikeuksien ja vapauksien turvaamiseksi, mikä mahdollistaa myös ristiriitaisen sananvapaustulkinnan EUT:n ja EIT:n välillä. EU-oikeuden LS:n jälkeinen välineneutraali kaupallinen sananvapauskäsitys monipuolistaa EUT:n sananvapaustulkintaa ja hälventää sananvapauden aikaisempaa vastakkainasettelua sisämarkkinoiden perusvapauksien kanssa. Uusimmissa EUT:n sananvapaustapauksissa sananvapautta tulkitaan poikkeuksellisesti perusoikeuskollisiossa varallisuusarvoisten oikeuksien kuten elinkeinovapauden tai immateriaalioikeuksien kanssa eikä ainoastaan suhteessa sisämarkkinoiden perusvapauksiin. EUT:n sananvapaustulkinnassa ei voida enää ohittaa perusoikeuspunnintaa sisämarkkinoiden perusvapauksien eduksi. EUT:n uusimman sananvapaustapauksen perusoikeuspunnintaa koskevalla tulkintaohjeella pyritään perusoikeuksien väliseen tasapainoon ja yhteensovittamiseen, mikä vahvistaa perusoikeuksien asemaa ja lisää perusoikeustulkintojen ennakoitavuutta EUT:n LS:n jälkeisissä sananvapaustulkinnoissa. Siitä huolimatta, että LS vahvisti sananvapauden oikeudellista asemaa ja monipuolisti sananvapauskäsitystä, sananvapautta ja sen rajoittamista tulkitaan EUT:ssa edelleen pääsääntöisesti suhteessa EU:n perusvapauksiin niin kuin aikana ennen LS:ta.
-
(2014)Tämän pro gradu -tutkielman tarkoituksena on tarkastella mitä työsuhteessa olevan työntekijän sananvapaus pitää sisällään, toisin sanoen perus- ja ihmisoikeutena turvatun, jokaisen lähtökohtaisena oikeutena olevan sananvapauden sijoittumista työsuhteen asettamiin vaatimuksiin. Aluksi tutkimus lähtee luvussa kaksi liikkeelle sananvapauden ideologian ja merkityksen, sekä rajoitusmahdollisuuksien analysoimisesta tarkasteltaessa mitä ominaisuuksia sananvapauden saama vahva perus- ja ihmisoikeussuoja sisältävät. Kun tarkastelun kohteena on kahden yksityisen tahon, eli työnantajan ja työntekijän välinen oikeussuhde, sananvapautta on arvioitava suhteessa toisen yksityisen suojattuihin intresseihin, eli horisontaalisuhteessa. Tämän jälkeen luvussa kolme tarkastellaan työn kannalta keskeistä työsuhteessa vaikuttavaa lojaliteettiperiaatetta, jota vasten sananvapauden käyttöä koskevia tilanteita peilataan. Aluksi esitellään lojaliteettiperiaatteen yleinen sopimusoikeudellinen taustaideologia, joka on merkityksellinen kaikessa pitkäkestoisessa yhteistoiminnassa. Sen jälkeen arvioidaan lojaliteettivelvoitteen lainsäädännöstä, lain esitöistä, oikeuskäytännöstä ja oikeuskirjallisuudesta saamaa institutionaalista painoarvoa työsuhteessa, sekä sen tehokkuutta ja ennakoitavuutta oikeudellisessa ratkaisutoiminnassa. Tässä suhteessa yksityisen sananvapausoikeuden vastapainona ovat toisen yksityisen, eli työnantajatahon (luonnollisen- tai oikeushenkilön) intressit ja suojeltavan arvoiset oikeudet, lojaliteettiperiaatteen ollessa tässä suhteessa ikään kuin tasapainoilualustana näiden intressien välillä. Luvussa neljä arvioidaan työsuhteen luonteesta tai erityispiirteistä johtuvia rajoituksia työntekijän sananvapauden laajuudelle ja toisekseen niitä erilaisia mahdollisia keinoja, joiden avulla ennakollisesti työnantajan taholta riskienhallinnan tavoin työpaikan viestintää saatetaan järjestää työntekijöiden sananvapautta rajoittavalla tavalla. Sekä näiden keinojen onnistumisen arviointia suhteessa siihen, ettei sananvapautta oikeudettomasti rajoiteta. Tämän jälkeen luvun viisi puitteissa tarkastellaan sananvapauden ja lojaliteettivelvollisuuden välistä punnintaa oikeuskäytännössä sekä ryhmitellään arvioinnissa käytettyjä keskeisiä kriteerejä. Sananvapauden käyttöä tarkastellaan erikseen työnantajaan välittömästi kohdistuvien ja välillisesti kohdistuvien ilmaisujen osalta, sekä lisäksi omana alalukunaan käsitellään työntekijän lojaliteetin ja sananvapauden sijoittumista sosiaalisessa mediassa. Apua arviointiin haetaan oikeusanalogian keinoin virkamiehiä koskevista oikeusohjeista, sekä virkamiesoikeudellisista oikeustapauksista saatavista tulkinnoista. Lisäksi kootaan yhteen näiden oikeustapausten osalta työntekijälle sananvapauden käytöstä langetetut työoikeudelliset seuraamukset – huomautus, kirjallinen varoitus, työsuhteen irtisanominen ja purkaminen sekä vahingonkorvausvelvollisuus. Tarkoituksena on siten tiivistetysti esitellä minkälaisia seuraamuksia sopimattomaksi katsotusta sananvapauden käytöstä työntekijälle on yleensä johtunut ja miten niitä on oikeuskäytännössä arvioitu. Sekä lisäksi vielä sitä, minkälaisia vaikutuksia tällaisista oikeudellisista seurauksista voi aiheutua sananvapauden painoarvolle. Lopuksi esitetään päätelmiä työntekijän sananvapauden tilasta työsuhteessa. Tutkimuksen tarkoituksena on löytää vastauksia seuraavaan kolmeen kysymyksenasetteluun: 1.Mitä rajoituksia työntekijän sananvapaudelle aiheutuu työsuhteen luonteesta ja minkälaisia sananvapauden käyttöä koskevia ennakollisia ohjeita työsuhteessa voidaan työntekijälle antaa - miten ne ovat häntä sitovia? 2. Mikä on työntekijän sananvapauden laajuus työsuhteessa oikeuskäytännön valossa; mitä erilaisia vaatimuksia ja rajoituksia työsuhteen lojaliteettivelvoite asettaa työntekijän sananvapaudelle – mitkä ovat ne keskeiset kriteerit ja perusteet, joilla asiaa on oikeuskäytännössä arvioitu? 3. Mitä työoikeudellisia seuraamuksia sananvapauden epälojaalista käytöstä työsuhteessa on työntekijälle seurannut – mikä vaikutus näillä on perus- ja ihmisoikeutena turvatun sananvapauden painoarvolle? Tutkimuksen metodina on oikeustieteelliselle tutkimukselle perinteinen lainoppi. Työntekijän sananvapauden rajoja pyritään siten määrittämään perus- ja ihmisoikeutena vahvan aseman saaneen sananvapauden ja oikeusperiaatteeksi luokiteltavan lojaliteettivaatimuksen välillä - työoikeudellisia normeja ja niiden etusijajärjestystä unohtamatta. Lähdeaineistossa painotusta annetaan erityisesti oikeuskäytännölle, niin kotimaiselle kuin Euroopan ihmisoikeustuomioistuimen ratkaisuissa tehdyille linjauksille. Perinteisen oikeuslähdeopin mukaisen materiaalin lisäksi työhön on tuotu ajatuksia myös soft law -tyyppisistä lähdemateriaaleista, kuten erilaisista viestintää koskevista ohjeistuksista, sekä yhteiskunnallisesta argumentaatiosta ja yleisesti mediassa esitetyistä näkökannoista.
-
(2016)Copyright regime has been unable to answer to the changed consumption models and needs of the consumers. The regime is typically perceived as overly restrictive and unfair among the pub-lic. Given the lack of convenient legal options, the consumers have resorted to piracy. Instead of proactively developing better legal options, the copyright right holders have pushed for more effective enforcement measures. The proportionality of these measures have been seriously questioned. The enforcement measures referred to above require monitoring of the internet. However, inter-net users do not access the internet under their own name, but under an IP address that is allo-cated to the device connected to the internet. The IP address can further be linked to the sub-scriber of internet access service, making it personal data. The monitoring of the internet and the processing of internet user’s personal data constitutes an interference with the fundamental rights to privacy and personal data protection of the individual. Additionally, some enforcement measures interfere with internet user’s fundamental right to a fair trial. On the other hand, intellectual property such as copyright is protected under the fundamental right to property. Further, the right holder’s fundamental right to an effective remedy must be observed. The main interest of this study is to find a fair balance between these fundamental rights. The question will be approached at the EU level, with an intention to provide a suggestion of how the fair balance can be struck.
-
(2020)Toukokuussa 2018 sovellettavaksi tulleen tietosuoja-asetuksen 83 artiklan 7 kohdassa mahdollistetaan liikkumavaran käyttö jäsenvaltioiden kansallisessa lainsäädännössä määrättäessä hallinnollisia sakkoja viranomaisille tai julkishal-linnon elimille. Jäsenvaltioiden on kuitenkin varmistettava, että tietosuoja-asetuksen rikkomisesta on kansallisesti säädetty tehokkaat, oikeasuhtaiset ja varoittavat seuraamukset, mikäli liikkumavaraa päädytään käyttämään. Suomen kansallinen tietosuojalaki tuli voimaan 1.1.2019, jonka myötä päädyttiin käyttämään tietosuoja-asetuksen mahdollista-maa liikkumavaraa tietosuojalaissa eriteltyjen viranomaisten kohdalla. Lain esitöissä kuitenkin todettiin, että hallinnol-lisia seuraamusmaksuja koskevan liikkumavaran käytön kohdalla tulee seurata tilanteen kehittymistä ja arvioida mah-dollisesti hallinnollisten sakkojen tarpeellisuutta uudelleen. Liikkumavaran käyttöä perusteltiin muun muassa viran-omaisille määrättävien hallinnollisten sakkojen vieraudella sekä viranomaisiin kohdistuvilla erityisellä sääntelyllä kuten lakisidonnaisuuden vaatimuksella ja virkavastuulla. Tutkielmassa tarkastellaan erityisesti lain esitöissä ja EU:n yleisen tietosuoja-asetuksen täytäntöönpanotyöryhmän (TATTI) mietinnössä esitettyjen perusteiden pohjalta, täyttääkö kansallisen liikkumavaran käyttö Suomessa EU-oikeuden vaatimukset tehokkaista, oikeasuhtaisista ja varoittavista seuraamuksista sekä toteutuuko tietosuoja-asetuksen tavoitteet riittävällä tavalla, vaikka hallinnollisia seuraamusmaksuja ei voi määrätä viranomaisille tietosuoja-lain perusteella. Liikkumavaran käyttöä tarkastellaan muun muassa rangaistusluonteisia hallinnollisia seuraamuksia koskevan sääntelyn kehittämistä varten asetetun työryhmän mietinnön sekä EU-oikeudellisten ja hallinto-oikeudellisten periaatteiden valossa. Tarkastelun perusteella voidaan huomata, että kansallisen liikkumavaran käyttöä on perusteltu lain esitöissä lähinnä kansallisen oikeuden näkökulmasta. Tietosuoja-asetus on kuitenkin EU-oikeutta, joten liikkumavaran käyttöä pyritään tutkielmassa tarkastelemaan myös EU-oikeuden periaatteet ja tietosuoja-asetuksen tavoitteet huomioon ottaen. Kes-keisiksi periaatteiksi liikkumavaran tarkastelun kohdalla nousi EU:n vilpittömän yhteistyön periaatteen lisäksi myös suhteellisuusperiaate etenkin hallinnollisten seuraamusmaksujen korvaavien seuraamusten tarkastelun yhteydessä, sillä seuraamukset tulee olla oikeassa suhteessa niiden tavoitteisiin nähden. Keskeinen huomio tutkielmassa oli myös seuraamusten kohdentumiseen ja liikkumavaran rajaamiseen liittyvät haas-teet. Seuraamusten kohdentumisen haasteena voitiin nähdä tehokkaiden seuraamusten puuttuminen oikeushenkilö-tasolla, jos vastuu henkilötietojen käsittelystä voi toteutua viimekädessä vain yksittäiseen virkamieheen kohdistuvana rikosoikeudellisena virkavastuuna. Liikkumavaran rajaaminen vain tietosuojalain 24 §:n 4 momentin mukaisiin viran-omaisiin ei puolestaan mahdollista hallinnon ulkoistamis- ja yksityistämiskehityksen huomioimista eikä viranomaisen roolia tämän toimiessa yksityisoikeudellisessa tai siihen rinnastettavassa asemassa. Lisäksi keskeiseksi huomioksi nousi myös perustelujen puutteellisuus korvaavien seuraamusten osalta. Liikkumava-raa puoltavissa perusteluissa keskityttiin paljolti kansallisen hallinto-oikeuden kuvaamiseen, mutta ei tuotu esiin niitä seuraamuksia, joita viranomaisille voi tietosuoja-asetuksen rikkomisesta seurata organisaatio tasolla. Tutkielman pe-rusteella päädyttiin siihen lopputulokseen, että hallinnollisia seuraamusmaksuja koskevaa liikkumavaran käyttöä tulisi uudelleen harkita erityisesti ottaen huomioon kansallisen järjestelmän lisäksi myös EU-oikeuden vaatimukset sekä tietosuoja-asetuksen tavoitteet. Lisäksi arvioinnissa tulisi ottaa paremmin huomioon myös hallinnolliset etukäteisen vaikuttamisen käytännön keinot, sen sijaan, että liikkumavaran käyttöä perusteltaisiin yleisellä tasolla esimerkiksi hyvän hallinnon periaatteilla.
-
(2018)The freedom of expression is essential for a democratic society and it is protected in several human rights conventions and in the Constitution of Finland. The freedom extends to work places and employees have a right to the freedom of expression. Furthermore, whistleblowing is strongly connected to the freedom of expression of employees. It is considered as whistleblowing when a person is reporting a misconduct, wrongdoing or illegal activity with a public interest that takes place in the activity of an employer. Whistleblowing contributes to transparency and a fair and effective market and has therefore a public interest. Researches have shown that whistleblowing is the most efficient tool in fighting corruption and other wrongdoings. Yet whistle blowing protection is weak in general in Europe. The purpose of this thesis is to analyse whistleblowing in the private sector in Finland. The freedom of expression of employees can be restricted by the duty of loyalty in the relationship of the employee and the employer. There is a conflict of interest in these situations. On one hand, the employee has a duty to stay loyal to the employer. On the other hand, the employee has a freedom of expression. There is also a public interest in reporting wrongdoings. The scope of this thesis is to analyse the legal situation regarding whistleblowing. Case law of the European Court of Human Rights, the Court of Justice of the European Union and Finnish courts and the balancing of these interests will be analysed. Moreover, protection of trade secrets is a part of the duty of loyalty as there is a prohibition for employees to reveal trade secrets. Trade secrets are valuable assets for companies and the new Trade Secret Directive and the Finnish Trade Secrets Act bring better protection to this kind of information. However, whistleblowing with a public interest is an exception to the protection of trade secrets. There is a risk of disclosing trade secrets when reporting a wrongdoing. In addition, there is a conflict between keeping a trade secret undisclosed and the public interest in getting information about wrongdoing, misconduct and illegal activity. The purpose of this thesis is to analyse the scope of the whistleblowing exception in the Trade Secrets Directive and the Finnish Trade Secrets Act. The main method used in this thesis is the doctrinal method. Because whistleblowing is a relatively new phenomenon in Finland, a comparative method is used to compare whistleblowing protection in Europe to Finland. Especially the whistleblowing legislation and case law in Sweden and the United Kingdom are used to bring a new point of view and a broader context. This thesis is divided into three main areas in order to answer the research questions. Firstly, the purpose of this thesis is to analyse the freedom of expression of employees when they are reporting wrongdoings, misconduct and illegal activity. The use of the word whistleblowing is not established in Finland, which makes it necessary to analyse whistleblowing in general and analyse what legislation there is regarding whistleblowing. The legislation regarding whistleblowing is fragmented and therefore it is hard to get a grip of the phenomenon. The first research question concerns whether there is a need for a general and non-sector specific whistle blower protection legislation in Finland? Secondly, the purpose of this thesis is to analyse the protection of trade secrets as a part of the duty of loyalty and as a restriction to the freedom of expression of employees. The legal situation when it comes to balancing of the freedom of expression and the loyalty will be analysed. Lastly, the legal situation regarding whistleblowing and its connection to the Trade Secrets Directive and the Finnish Trade Secrets Act will be analysed. The definition of trade secret is wide and includes a wide range of information as a trade secret. The second research question is what the scope of the whistleblowing exception in the protection of trade secrets is? The scope is unclear when it comes to what is considered as general public interest and how the burden of proof will be solved in a concrete case. This thesis concludes by analysing the problems arising from the unclear scope of the whistleblowing exception and by presenting a possible solution to enact a general and non-sector specific whistle blower protection legislation in Finland.
-
(2018)The current EU data protection legislation has been deemed inadequate, as the personal data of the data subjects has been repeatedly processed unlawfully. The insufficient level of data protection is largely a result of the ineffective remedies of the EU member states and the unawareness and indifference of the controllers, the processors and the data subjects. As a result of the weak level of data protection, the current EU personal data protection legislation has not been able to provide adequate legal certainty for the protection of personal data. The GDPR’s accountability principle is one of the main reforms the GDPR introduces to the EU’s personal data protection legislation, as the principle aims to enhance the legal certainty of the lawful processing of the personal data of the data subjects. The GDPR’s accountability principle sets active obligations for to the controllers and the processors, through which they have to demonstrate that their processing activities are lawful. However, as a result of the flexible drafting of the GDPR’s accountability principle, the application of the principle in practice may prove very tricky. Therefore, this research studies assesses the legal certainty of the GDPR’s accountability principle from the perspectives of the data subjects and the controllers and the processors. The perspective of the controllers and the processors is given the main emphasis, as they are the ones who must apply the principle in practice. Since Article 5(2) of the GDPR, which is the Article that regulates the GDPR’s accountability principle, is so vague that it is impossible to come up with a sufficient judicial meaning for the GDPR’s accountability principle just by interpreting it and the GDPR, this research systematizes the GDPR’s accountability principle to create a judicial meaning for the principle in which it can be assessed. The research systematizes the principle by utilizing Dr. Colin Bennett’s conceptualization in which the principle is divided into three central elements, which are the knowledge of who is accountable for the compliance with the accountability principle, what is that person is accountable for and to whom must the demonstration of accountability be made. The judicial meaning of the GDPR’s accountability principle is utilized in assessing the legal certainty of the GDPR’s accountability principle. The research suggests that the GDPR’s accountability principle enhances the legal certainty of the lawful processing of the data subjects’ personal data by forcing the controllers and the processors to comply with the GDPR or face hefty administrative fines, creating active obligations for the controllers and processors to demonstrate that they process personal data lawfully and increasing the overall knowledge of the personal data protection. The research also suggests that the GDPR’s accountability principle also creates negative effects for the legal certainty of the controllers and the processors by not clarifying the three central elements distinguished by Bennett. Thus, the data protection authorities ought to clarify the meaning of the GDPR’s accountability principle to enable its effective application.
-
(2019)The subject of this Master’s Thesis is to analyze the compatibility of the purpose limitation principle of the General Data Protection Regulation (GDPR) and the big data phenomenon. The purpose limitation principle has been one of the core principles of European data protection law since 1970s and it requires personal data to be collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes. The big data phenomenon consists of an enormous increase of information and the automated use of it that has led to a considerable change in data processing practices. The focus of the research is on examining the meaning and content of the purpose limitation principle and analyzing its objectives in the context of big data. The research method of this research is legal dogmatic. Firstly, the thesis describes the purpose specification requirement as developed in the opinions of the Article 29 Working Party and examines the conflict between the requirement and the characteristic of big data in which data are analyzed to find correlations and trends that may reveal new uses for the data. The thesis concludes that in practice it is very difficult to apply the requirement in the context of data discovery. Secondly, the thesis examines the compatibility assessment of the purpose limitation principle in the context of big data. The Article 29 Working Party has developed in its opinions certain criteria for the compatibility assessment that have now been introduced in the legislative text of the GDPR. The thesis examines the requirements of the compatibility assessment in light of the characteristic of big data in which value is derived from data by re-purposing them in novel ways. The thesis concludes that the criteria of the compatibility assessment can be hard to fulfil when considering the characteristics of big data. There seems to be an inherent conflict between the purpose limitation principle and the big data phenomenon. It is questionable whether the principle of purpose limitation can still meet the objectives it was created to fulfil and whether it is still a viable way of protecting personal data.
-
(2020)Yksilön itsemääräämisoikeus on yksi modernin länsimaisen oikeusvaltion kulmakivistä. Yksilön oikeus määrätä itseään koskevista asioista ulottuu myös häntä itseään koskevien tietojen – henkilötietojen – käsittelyyn. Tämä oikeus ei kuitenkaan ole omistusoikeuteen verrattavissa oleva oikeus, vaikka henkilötiedoilla onkin rahallista arvoa, vaan se muodostuu ensisijaisesti oikeudeksi joko sallia tai kieltää yksilöä koskevien henkilötietojen käsittely. Tätä oikeutta toteuttavat muun muassa perustuslain, Euroopan ihmisoikeussopimuksen ja Euroopan unionin perusoikeuskirjan oikeutta yksityiselämään ja henkilötietojen suojaan turvaavat artiklat. Erityisen merkityksen nämä saavat tilanteissa, joissa käsitellään yksilön terveystietoja terveydenhoidon tai lääketieteellisen tutkimuksen yhteydessä, jolloin edellytetään pääsääntöisesti rekisteröidyn tietoista suostumusta näiden tietojen käsittelyyn terveydenhoidon tai tutkimuksen yhteydessä. Biopankki on luvan saaneen biopankkitoiminnan harjoittajan ylläpitämä ihmisperäisten tunnisteellisten näytteiden ja niihin liittyvien tietojen kokoelma, jonka tarkoituksena on tieteellisessä tarkoituksessa tehty biopankkitutkimus. Tällaiset ennalta kerätyt näytekokoelmat helpottavat lääketieteellisen tutkimuksen – niin puhtaan tieteellisen kuin tuotekehitykseen liittyvänkin – tekemistä tarjoamalla tutkijoille pääsyn massiivisiin näytekokoelmiin sen sijaan, että tarvittavat näytteet olisi kerättävä jokaista tutkimusta varten erikseen kuten perinteisessä kliinisessä lääketutkimuksessa. Biopankeista säädetään biopankkilailla, joka säätelee muun muassa näytteenantajan, eli henkilön, jonka näyte on biopankkiin tallennettu, oikeuksista määrätä itsestään otetusta näytteestä sekä siihen liittyvistä henkilötiedoista. Tässä yhteydessä biopankkilain katsottiin toimivan henkilötietojen käsittelyä koskevana erityissäädöksenä, jonka näytteenantajan tietosuojaa koskevien säännösten katsottiin täydentävän silloisen henkilötietolain säännöksiä muun muassa henkilötietojen käsittelyperiaatteiden osalta. Näytteenantajan suostumus on ensisijainen tietojenkäsittelyperuste biopankissa mutta laki mahdollistaa myös vanhojen – ennen 1.9.2013 kerättyjen – terveydenhuollon tai tieteellisen tutkimuksen tarkoituksiin kerättyjen näytekokoelmien siirtämisen biopankkiin ilman suostumusta, kunhan alueellinen eettinen toimikunta tätä puoltaa ja Valvira siirron hyväksyy. Sosiaali- ja terveysministeriön asettama biopankkilainsäädännön ohjausryhmä seuraa biopankkilainsäädännön kokonaisuutta ja on saanut toimeksiannon esittää lakiin tarpeellisia muutoksia. Euroopan unionin yleinen tietosuoja-asetus tuli voimaan 25.5.2016 ja sitä alettiin soveltaa kaksi vuotta myöhemmin. Tämä merkitsi myös henkilötietolain taustalla olleen henkilötietodirektiivin kumoamista, jolloin yleinen tietosuoja-asetus nousi tärkeimmäksi henkilötietojen suojaa koskevaksi säädännäiseksi oikeuslähteeksi Suomessa. Tietosuoja-asetuksen tarkoitus ei ollut kumota henkilötietodirektiivin perusteella annettua oikeuskäytäntöä, vaan pikemminkin kodifioida useita Euroopan unionin tuomioistuimen tuomioita osaksi asetusta. Tässä yhteydessä muun muassa rekisteröidyn oikeuksiin kirjattiin useita unionin tuomioistuimen jo vahvistamia oikeuksia ja kirjattiin useita käsitteitä henkilötietodirektiiviä spesifimpään muotoon. Esimerkiksi suostumusta ja toissijaista käyttöä koskevat määritelmät kirjattiin asetukseen unionin tuomioistuimen aiempia linjauksia mukaillen. Henkilötietolain, jonka varaan biopankkilain henkilötietojen käsittelyä koskevat säännökset oli rakennettu, korvautuminen yleisellä tietosuoja-asetuksella – ja tammikuusta 2019 alkaen sitä täydentävällä tietosuojalailla – merkitsee sitä, että henkilötietolain periaatteiden mukaisesti kirjoitetut biopankkilain henkilötietojen käsittelyä ja näytteenantajien – tietosuojalainsäädännön kontekstissa rekisteröityjen – oikeuksia koskevat säännökset eivät välttämättä enää vastaa yleisen tietosuoja-asetuksen vaatimuksia. Biopankkilainsäädäntö nykymuodossaan ei välttämättä suojaa yksilön tiedollista itsemääräämisoikeutta siten, kuin uudistunut unionin lainsäädäntö edellyttäisi. Rekisteröidyn tarkastusoikeutta on biopankkilaissa rajoitettu tavalla, jota voi jossain määrin pitää ristiriitaisena yleisen tietosuoja-asetuksen vaatimusten kannalta biopankkilain rajatessa rekisteröidyn oikeutta saada tieto siitä, mitä hänen henkilötietojaan tarkalleen on käytetty biopankkitutkimuksessa ja mihin tutkimushankkeisiin. Vastaavasti biopankkilain 13 §:n mahdollistama vanhojen näytekokoelmien siirto biopankkiin, jota on sinänsä mahdollista pitää sallittuna toissijaisena käyttönä – kaventaa rekisteröidyn informoidun suostumuksen vaatimuksen käyttöalaa kaventaessaan tämän mahdollisuuksia päättää itse vanhojen terveystietojensa käytöstä ja tietyissä tilanteissa jopa tosiasiallista mahdollisuutta saada tästä edes tietoa. Biopankkilainsäädännön ohjausryhmä ottaneekin loppuraportissaan kantaa rekisteröidyn itsemääräämisoikeuteen yleisen tietosuoja-asetuksen velvoitteiden kannalta.
-
(2014)Ihmistieteellisen tutkimuksen suorittaminen edellyttää usein henkilötietojen käsittelyä. Euroopan unionin alueella tietosuojaa koskevat yleiset säännökset on harmonisoitu direktiivillä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (95/46/EY). Sääntelyn keskeisiä ratkaisuja on rekisteröidyn tiedollisen itsemääräämisoikeuden korostaminen. Lähtökohtana ihmistieteellisessä tutkimuksessa on, että tutkittava voi käyttää tiedollista itsemääräämisoikeuttaan antamalla tutkijoille suostumuksen itseään koskevien henkilötietojen käsittelyyn. Suostumuksen antaminen tieteelliseen jatkokäyttöön on kuitenkin osoittautunut ongelmalliseksi pätevälle suostumukselle asetettujen vaatimuksien tulkinnanvaraisuuden, tutkimusta koskevien erityissäännösten ja tietosuojaviranomaisten kannanottojen vuoksi. Tutkielmassa tarkastellaan sitä, onko EU:n tietosuojalainsäädännön viitekehyksessä ja tavassa, jolla se on implementoitu osaksi Suomen oikeusjärjestystä, mahdollista antaa primääritutkimuksen yhteydessä laaja suostumus tunnisteellisen tutkimusaineiston tieteelliseen jatkokäyttöön. Laajalla suostumuksella viitataan tilanteeseen, jossa tutkittava antaa suostumuksensa henkilötietojensa tutkimuskäyttöön ilman, että tulevia tutkimuksia yksilöidään tarkasti etukäteen. Tutkielman tarkastelun kohteena ovat nimenomaan ne tutkimukset, joihin sovelletaan yleislakina henkilötietolakia (523/1999). Tarkastelu keskittyy etenkin pätevän suostumuksen kriteereihin ja henkilötietolain 14 §:n tieteellistä tutkimusta koskevaan erityissäännökseen. Tutkielman läpi kulkee kaksi pääteemaa. Ensimmäisenä pääteemana on yksilön tiedollinen itsemääräämisoikeus, joka ilmenee etenkin yksilön antamana suostumuksena henkilötietojen käsittelyyn. Toisena pääteemana on henkilötietojen suojan sidonnaisuus tietosuojalainsäädännön tarkoitukseen: yksityisyyden suojaamiseen. Nämä pääteemat liittyvät myös kiinteästi toisiinsa – yksilö määrittelee tiedollisen itsemääräämisoikeutensa kautta suojattavan yksityisyytensä rajoja. Laajan suostumuksen pätevyyttä arvioidaan tiedollisen itsemääräämisoikeuden lähtökohdasta. Keskeisenä teemana on, että tutkittavien tiedollisuuden tasoa on arvioitava aina yksilöllisestä tiedontarpeesta. Tutkielmassa huomioidaan myös viimeaikaista informed consent –doktriiniin kohdistettua kritiikkiä yksilöinnin tiukentumisesta ja dekontekstualisoitumisesta. Toiseksi viimeisessä luvussa tarkastellaan yleisellä tasolla biopankeissa käytettyjä tapoja hankkia tutkittavien suostumus ja arvioidaan näiden käyttökelpoisuutta muussa ihmistieteellisessä tutkimuksessa. Lopputuloksena on, että tiedollisen itsemääräämisoikeuden näkökulmasta ei ole perusteellista rajoittaa yksilön vapaaehtoista tahdonmuodostusta. Toisaalta on vältettävä kategorisia tulkintoja. Laajan suostumuksen pätevyyttä tulee arvioida aina tapauskohtaisesti huomioiden suostumuksen antamisen vaikutus rekisteröidyn yksityisyyden suojalle. Tutkielman lopussa pohditaan vaihtoehtoja saada käytännön tutkimustoimintaa harjoittaville mahdollisuus saada varmuus hyväksyttävistä toimintamalleista hankittaessa suostumusta jatkokäyttöä varten. Tutkielman valmistumisen hetkellä Euroopan unionin tietosuojalainsäädäntöä uudistetaan. Lopullinen varmuus tulevan tietosuoja-asetuksen sisällöstä on kuitenkin vielä epäselvä. Valmisteilla olevaa lainsäädäntöä tarkastellaan tutkielmassa kursorisesti.
-
(2016)Tietosuojaa koskevalla vaikutustenarvioinnilla tarkoitetaan keväällä 2016 hyväksyttävän EU:n yleisen tietosuoja-asetuksen 33 artiklan mukaan rekisterinpitäjän toteuttamaa riskiarviota käsittelyn vaikutuksista rekisteröityjen oikeuksiin ja vapauksiin. Vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista silloin, kun käsittelyyn liittyy erityisiä riskejä käsittelytapojen, käsittelyn laajuuden tai käsiteltävien tietojen luonteen vuoksi. Asetuksen mukaan näitä tilanteita ovat profilointi, arkaluonteisten henkilötietojen käsittely ja julkisten tilojen laajamittainen tekninen valvonta. Velvoite kohdistuu siis erityisesti yrityksiin, jotka käsittelevät toiminnassaan laajamittaisesti asiakkaidensa tai muiden sidosryhmien henkilötietoja esimerkiksi tarjoamissaan internet- tai mobiilipalveluissa. Tutkielmassa selvitetään, millaisilla toimenpiteillä suomalainen rekisterinpitäjäyritys voi katsoa asetuksenmukaisen vaikutustenarviointivelvoitteen osaltaan täytetyksi, ja miten vaikutustenarviointivelvoite vaikuttaa eurooppalaisessa tietosuojaoikeudessa vallitsevaan käsitykseen rekisteröidyn ja rekisterinpitäjän välisestä suhteesta. Rekisterinpitäjän kannalta vaikutustenarviointi on riskiarviovelvollisuus, joka tulisi sovittaa osaksi yrityksen normaalia liiketaloudellista riskienhallintaa. Vaikutustenarvioinnin tulee sisältää vähintään kuvaus aiotusta henkilötietojen käsittelystä, arvio käsittelyn tarpeellisuudesta ja suhteellisuudesta sen tarkoitusten kannalta, arvio käsittelyn rekisteröityjen oikeuksille ja vapauksille aiheuttamista riskeistä sekä kuvaus niistä keinoista, joilla käsittelyn sisältämiä riskejä ehkäistään ja rajoitetaan. Koska asetuksen sanamuoto jättää vaikutustenarvioinnin konkreettiset toteuttamisvaatimukset avoimiksi, ja koska tarkentavia eurooppalaisia viranomaisohjeita ei toistaiseksi ole saatavilla, tutkielmassa määritellään vaikutustenarvioinnin konkreettisia sisältövaatimuksia oikeusvertailevan aineiston avulla. Tutkielmassa asetuksessa säädettyjä vaikutustenarvioinnin sisältökritee-reitä verrataan Australiassa, Iso-Britanniassa, Ranskassa ja Kanadan Ontarion provinssissa käytössä oleviin viranomaisohjeisiin, EU:n älykkäitä sähköverkkoja ja RFID-tunnisteita koskeviin vaikutustenarviointimalleihin sekä oikeuskirjallisuuteen. Lisäksi soveltuvin osin analysoidaan voimassa olevaa suomalaista ja eurooppalaista tietosuojalainsäädäntöä (henkilötietolaki (523/1999) ja henkilötietodirektiivi (95/46/EY)) suomalaiseen rekisterinpitäjäyritykseen kohdistuvien muutosten määrittämiseksi. Rekisterinpitäjälle asetettu vaikutustenarviointivelvollisuus ilmentää tietosuoja-asetuksen 22 artiklassa omaksuttua vastuuperiaatetta, joka muuttaa eurooppalaisen tietosuojaoikeuden käsitystä rekisteröidyn ja rekisterinpitäjän välisestä suhteesta. Aiempi eurooppalainen lainsäädäntö perustui ajatukseen henkilötietojen lainmukaisen käsittelyn riittävyydestä rekisteröidyn oikeuksien takaajana, ja rekisteröidyn itsensä viimekätisestä suostumusperusteisesta vastuusta omien tietojensa käsittelystä. Tietosuoja-asetuksen mukaisella vastuuperiaatteella rekisterinpitäjästä kuitenkin tulee taho, joka varmistaa rekisteröidyn oikeuksien ja vapauksien toteutumisen käsittelyssä, ja jonka tulee myös kyetä osoittamaan se. Vaikutustenarviointi vastuuperiaatteen konkreettisena ilmentymänä siis edellyttää rekisterinpitäjiltä uudenlaista asennoitumista henkilötietojen käsittelyyn varsinkin, kun velvoitetta on tehostettu huomattavilla hallinnollisilla sanktioilla. Oikein toteutettuna tietosuojaa koskeva vaikutustenarviointi voi kuitenkin olla yritykselle myös tehokas riskienhallintatyökalu ja kilpailuetu yhä yksityisyydensuojatietoisemmilla kuluttajamarkkinoilla.
-
(2019)Vastuu Euroopan unionin yleisen tietosuoja-asetuksen 83 artiklan mukaisesta hallinnollisesta sakosta kohdentuu tietosuoja-asetuksen mukaisen roolin, eli rekisterinpitäjän tai henkilötietojen käsittelijän aseman perusteella, eikä sillä, että kenen hallinnassa jonkin tietosuojavelvoitteen toteuttaminen tosiasiallisesti on, ole tämän kannalta merkitystä. Koska rekisterinpitäjä vastaa lähtökohtaisesti käsittelijän sen lukuun suorittamasta käsittelystä, tulee sen myös varmistua käsittelyn lainmukaisuudesta. Käytännössä tämä tehdään usein sopimuksin ja edellyttää myös ulkoistettavia käsittelytoimia koskevien tietosuojavelvoitteiden noudattamiseen liittyvän hallinnollista sakkoa koskevan vastuun kohdistamista käsittelijään. Vastaavasti tilanteissa, joissa henkilötietoja käsittelevän markkinatoimijan muodollista roolia ei pystytä riittävällä varmuudella tunnistamaan, kuten hyödynnettäessä lohkoketjuja, on käsittelyyn osallistuvien usein pyrittävä selventämään vastuuasemiaan sopimuksin. Tämän tutkimuksen tarkoituksena on selvittää, että voivatko rekisterinpitäjä ja henkilötietojen käsittelijä pätevästi sopia tietosuoja-asetuksen 83 artiklan mukaista hallinnollista sakkoa koskevasta vastuusta hallitakseen henkilötietojen käsittelyyn liittyviä oikeudellisia riskejä. Tutkimuksessa selviää, että henkilötietojen käsittelyä koskevan sopimus voi sisältää myös sellaisia ehtoja, joista sopimista tietosuoja-asetus ei edellytä, kuten osapuolten vastuita koskevia kaupallisia ehtoja, eikä tietosuoja-asetus välittömästi rajoita rekisterinpitäjän ja henkilötietojen käsittelijän mahdollisuutta sopia keskinäisistä vastuuasemistaan. Tähän tarkoitukseen soveltuu parhaiten sopimusoikeudellinen indemnifikaatio, josta voidaan yleensä erottaa korvausvelvollisuutta koskeva päävelvoite ja siihen sidoksissa oleva puolustamista koskeva liitännäisvelvoite. Tutkimuksessa päädytään siihen johtopäätökseen, ettei tahallisuutta tai tuottamusta voida pitää tietosuoja-asetuksen mukaisen hallinnollisen sakon määräämisen edellytyksenä, eikä rekisterinpitäjän ja henkilötietojen käsittelijän välisellä sopimuksella pystytä siten poistamaan sopimusosapuolen vastuuta hallinnollisen sakon maksamisesta suhteessa tietosuojaviranomaisiin. Tilanne on kuitenkin toinen osapuolten keskinäisessä suhteessa, johon voidaan tietyissä tilanteissa pyrkiä vaikuttamaan suppeilla, yksipuolisilla ja tulevaisuuteen suuntautuvilla indemnifikaatiolausekkeella, jotka on kytketty luonteeltaan proaktiiviseen tai reaktiiviseen tietosuojavelvoitteeseen; menneisyyteen suuntautuvilla indemnifikaatiolausekkeilla, jotka on kytketty sopimusoikeudellisiin vakuutuksiin; sekä kaksipuolisilla indemnifikaatiolausekkeilla, joiden tarkoituksena on selkeyttää osapuolten vastuuasemia. Sanottu koskee tietyn varauksin myös tilanteita, joissa indemnifikaatiolauseke on laadittu tulkinnanvaraisen oikeustilan johdosta.
-
(2019)EU:n yleisen tietosuoja-asetuksen 82 artikla sisältää tietosuojan loukkauksella aiheutettujen vahinkojen korvausta koskevat säännökset, jotka korvaavat Suomen kansallisen vahingonkorvausoikeudellisen sääntelyn. Tutkielmassa selvitetään mitkä ovat VahL 5:1 §:n ja tietosuoja-asetuksen 82 artiklan korvausedellytykset ja henkilöllinen soveltamisala sekä miten ja miksi ne eroavat toisistaan. Tarkastelu keskitetään rekisteröidyn näkökulmasta keskeisiin kysymyksiin ja siksi rekisterinpitäjien siksi henkilötietojen käsittelijöiden vastuunjako rajataan ulkopuolelle. Tutkielmassa määritellään ensin lainopin metodein kummankin sääntelyn korvausedellytykset erityisesti lakien, esitöiden, oikeuskäytännön sekä oikeuskirjallisuudessa esitettyjen kannanottojen avulla. Vahingonkorvauslaki edellyttää, että puhdas varallisuusvahinko on aiheutettu rangaistavaksi säädetyllä teolla, julkisen vallan käytössä tai sen korvaamiselle on muuten erityisen painavat syyt. Lisäksi edellytetään vahingonaiheuttajan tuottamusta sekä syy-yhteyttä teon ja vahingon välillä. Tietosuojan tavoitteissa ja tietosuojavahinkojen vahinkotilanteissa on kuitenkin tiettyjä eroja, jotka edellyttävät, että niiden korvausvelvollisuus poikkeaa vahingonkorvauslain yleisistä lähtökohdista. Tietosuoja-asetuksen mukaan korvausvelvollisuus edellyttää asetuksen vastaista toimintaa, syy-yhteyttä, aineellisia tai aineettomia vahinkoja sekä sitä, että vastuuvelvollinen ei voi osoittaa, ettei se ole millään tavalla vastuussa vahingosta. Asetuksessa käytetty viittaus ”henkilö” on laaja, mistä johtuen käsitellään myös mahdollisuutta laajentaa korvausvelvollisuus koskemaan myös kolmannen vahinkoja ja mietitään vaihtoehtoja välillisten vahinkojen korvaamattomuutta koskevalle opille. Tämän jälkeen vahingonkorvauslain ja tietosuoja-asetuksen korvausedellytyksiä ja henkilöllistä ulottuvuutta verrataan toisiinsa. Suurimmat eroavaisuudet sääntelyissä ovat korvausperusteessa, minkä lisäksi VahL 5:1:n puhtaiden varallisuusvahinkojen korvattavuuden erityiset edellytykset nostaisivat tietosuojavahinkojen korvaamisen kynnyksen korkealle. Syy-yhteyttä koskeva sääntely jää yhä kansallisen oikeuden varaan ja siten se tarjoaa keinoja varmistaa, että vastuunjako toteutetaan oikeudenmukaisella tavalla. Myös suhtautuminen välillisten kolmannen kärsimien vahinkojen korvattavuuteen vaikuttaa asetuksessa myönteisemmältä kuin vahingonkorvauslaissa. Tutkielmassa tullaan lopputulokseen, että korvausvelvollisuuden kynnys on tietosuoja-asetuksessa huomattavasti vahingonkorvauslakia alemmalla, joskin asetuksen sanamuoto jättää tulkinnanvaraa ja siten korvausvelvollisuuden tarkat rajat jäävät oikeuskäytännössä täsmennettäviksi. Eroavaisuuksien syitä selitetään vahingonkorvaus- ja tietosuojaoikeuden tavoitteellisilla sekä reaalisilla puhtaiden varallisuusvahinkojen ja tietosuojavahinkojen korvaustilanteisiin liittyvillä eroilla. Tietosuoja-asetuksen sääntely on rekisteröidyn näkökulmasta edullista. Asetuksen tavoitteista ja vahingonkorvaussääntelyn tulkinnasta on löydettävissä sekä reparatiivisia että preventiivisiä elementtejä. Tavoitteelliset lähtökohdat heijastelevat hyvin niitä konkreettisia eroja, joita vahinkotilanteissa on. Eroja selitetään erityisesti varallisuusvahinkojen merkittävyydellä sekä rekisterinpitäjän ja rekisteröidyn suhteen epätasapainolla. Lähes aina tiedot, vaikutusmahdollisuudet ja osaaminen ovat nimenomaan rekisterinpitäjällä, kun taas rekisteröidyn keinot varautua vahinkoihin ja ymmärtää tiedonkäsittelyprosessia sekä saada siitä tietoja voivat olla huomattavasti heikommat. Siksi monet puhtaiden varallisuusvahinkojen rajoitetun korvattavuuden perusteluista eivät sovellu yhtä hyvin tietosuojavahinkoihin, mikä puoltaa vahingonkorvauslaista eroavan sääntelytavan omaksumista. Tietosuoja-asetuksen korvausvastuun kriteerien kautta vahinkoja korvataan laajemmin, mikä lisää vahingonaiheuttajan riskejä. Tutkielmassa tullaan lopputulokseen, että korvausvelvollisuutta voidaan kuitenkin yhä rajata syy-yhteydellä ja sen laadullisilla edellytyksillä. Siten on yhä mahdollista rajata yllättävät, etäiset ja ilman suojaa jäävät intressit korvausvelvollisuuden ulkopuolelle. Syy-yhteys riittää taloudellisten tietosuojavahinkojen kohdalla rajaamaan korvausvelvollisuutta niin välittömien kuin välillisten vahinkojen osalta estäen liian kaavamaiset tulkinnat ja vastuun kohtuuttoman laajenemisen, mutta mahdollistaen samalla tietosuojavahinkoja koskevan sääntelyn erityispiirteiden huomioinnin.
-
(2017)The increasing influence of the Internet has set the EU against unprecedented jurisdictional challenge in its responsibility to protect privacy and personal data. This thesis analyses the techniques adopted by the EU to establish the territorial scope of application of the General Data Protection Regulation of the European Union (GDPR), and the impact of these techniques both to the status of the EU and to the notion of territorial jurisdiction. This work will first look into the expansive territorial scope of application of the GDPR, set out in the Article 3 of the regulation, and explore the changes the GDPR brings about in relation to the earlier data protection legislation in the EU. The work proceeds by looking behind the forces driving the change, specifically the challenges the Internet has caused to the protection of privacy and data protection as EU fundamental rights. It observes the other functions the territorially atypical legislative technique serves, mainly the Statecraft functions of the comprehensive EU data protection framework, and the approaches the EU interpretative bodies have adopted to widen the scope of application of prior EU data protection legislation, to establish power through the concept of the Digital Single Market. The work finally presents the concept of ultraterritorial jurisdiction through which the legislative development of the EU data protection framework can be better understood. Where previous legislation such as the Data Protection Directive and prior national legislation of Member States has typically included some active, physical element within the territory of the relevant state, the GDPR does not do so. The ultraterritorial aspect of jurisdiction refers to the ways the jurisdiction is constructed beyond and regardless of national or EU territory instead of within or outside.
Now showing items 41-60 of 68