Browsing by discipline "Viestintä- ja informaatio-oikeus"

Profilointitekniikoiden ja massadatan avulla henkilöistä voidaan muodostaa tarkkoja profiileja, jotka mahdollistavat henkilöitä koskevien päätösten ja ennusteiden tekemisen. Profilointia voidaan hyödyntää useisiin tarkoituksiin, kuten markkinoinnin kohdentamiseen tai hinnoittelun optimoimiseen ostajakohtaisesti. Hinnoittelun optimointia ei vielä hyödynnetä laajamittaisesti. Kuitenkin profilointityökalut mahdollistavat parempien palveluiden luomisen ja, etenkin hinnoittelutarkoituksessa suoritettu profilointi, paremman tuottavuuden yritykselle. Tästä johtuen profilointiin perustuva hinnoittelu tulee todennäköisesti olemaan tulevaisuudessa enemmän esillä niin arjessa kuin oikeustieteellisessä keskustelussa. Personoitu hinnoittelu ei sellaisenaan ole uusi ilmiö, mutta digitalisaation ja kehittyneiden profilointityökalujen johdosta syntyvä valtava määrä informaatiota ja toisaalta myös informaation epätasainen jakautuminen muodostavat ongelmia etenkin yksityisyydensuojan, mutta myös muiden perusoikeuksien, näkökulmasta. Profilointi kytkeytyy luonnostaan vahvasti syrjintään, sillä profilointi tähtää henkilöiden luokitteluun ja lokerointiin. Kun tuotteita hinnoitellaan profiloinnin perusteella, voi mahdollinen syrjintä muodostua ongelmalliseksi, ja jopa laittomaksi, mikäli henkilölle tarjotaan korkeampaa hintaa tämän varallisuuden tai tiettyyn etniseen ryhmään kuulumisen perusteella. Tässä tutkielmassa selvitetään, miten voimassaoleva ja pian voimaan tuleva henkilötietojen käsittelyä koskeva kotimainen ja eurooppalainen sääntely vaikuttavat profilointiin perustuvaan hinnoitteluun. Käsittely kohdistuu etenkin profilointia koskevien säännösten tarkasteluun, mutta tutkielmassa selvitetään myös, mitä lainsäädännöllisiä ongelmia ja mahdollisia rajoitteita lainsäädäntö tuo hinnoittelun personoimiselle profiloinnin avulla etenkin käyttäjän perusoikeuksien, kuten yhdenvertaisuuden, näkökulmasta. Henkilötietojen käsittelyä ja profilointia koskeva sääntely tulee muuttumaan merkittävästi tämän vuoden alkupuolella hyväksytyn tietosuoja-asetuksen myötä. Tässä tutkielmassa selvitetään profilointiin perustuvan hinnoittelun sallittavuutta myös tietosuoja-asetuksen velvoitteiden osalta sekä arvioidaan uudistuvan sääntelyn tarpeellisuutta ja muutosten mahdollisia vaikutuksia profilointiin perustuvaan hinnoitteluun. Tietosuoja-asetus muuttaa sääntelyä tiukempaan suuntaan ja tarjoaa rekisteröidylle aiempaa enemmän oikeuksia ja mahdollisuuksia valvoa omia henkilötietojaan. Yhdenvertaisuutta turvaavat syrjintäsäännökset suojaavat henkilöitä syrjivältä kohtelulta. Tutkielmassa osoitetaan, että tietyissä tilanteissa profilointiin perustuva hinnoittelu saatetaan katsoa syrjivän ostajaa. Tutkielmassa selvitetään syrjinnän suojan laajuutta ja tarkastellaan, milloin profilointiin perustuvan hinnoittelun voidaan katsoa rikkovan syrjinnän kieltoa. Viimeiseksi tutkielmassa tarkastellaan vielä profilointiin perustuvan hinnoittelun yhteydessä ostajaa suojaavaa sääntelyä kokonaisuutena. Tutkielmassa osoitetaan, että voimassaoleva sääntely rajoittaa profilointiin perustuvaa hinnoittelua merkittävästi ja muodostaa rekisterinpitäjän kannalta kestämättömän kokonaisuuden. Tutkielmassa osoitetaan sääntelyn ristiriitaisuus, mutta myös, että profilointiin perustuva hinnoittelu on henkilötietojen käsittelyä koskevan sääntelyn näkökulmasta rekisteröidyn oikeuksiin siinä määrin puuttuvaa, että rekisteröidyn oikeuksien turvaamiseen on kiinnitettävä huomiota.

People, devices, and networks are generating data incessantly. The rapid growth in personal information processing and the new developments in technology have led to the situation in which private actors, such as the network operators in the telecommunications (telecom) industry, process and transform remarkable volumes of data. The Internet of Things makes it possible for any devices or components of machines to be connected to the Internet and to exchange sensitive data with each other and network services. Interaction between objects, and between objects and individuals are generating data flows which are difficult to control. Data controllers and processors are responsible for ensuring that the data is protected adequately by implementing appropriate technical and organizational measures in order to protect the rights of the data subjects. Also, regulatory requirements on privacy, data protection, and security auditing are increasing the need for different approaches to managing security and privacy compliance. A new legislative act, the General Data Protection Regulation (GDPR), recognizes the importance of applying techniques which mitigate the risk for identification of individuals. One such technique is a newly codified concept in the European Union (EU) legislation: pseudonymization. It is a data de-identification procedure in which the pieces of personal data that identify a person are replaced by artificial identifiers, pseudonyms. As a result, the individual cannot be identified without the use of additional information. The function of pseudonymization is to reduce the possibility to link information with the original identity of a data subject. Pseudonymization could be often applied to personal data in the telecom industry, for instance, in troubleshooting cases when a copy of the identifying information will be provided on demand to a third party, who is responsible for performing the troubleshooting. The troubleshooters may not have the need to know the actual identifying information but can perform a troubleshooting of a software product based on the pseudonymized data. The GDPR refers to pseudonymization multiple times and encourages data controllers and processors to apply it to personal data. However, at the time of writing, no further guidelines on pseudonymization under the GDPR have been provided. Pseudonymized data qualifies as personal data and the data protection requirements of the GDPR fully apply to it. Data controllers and processors may feel that they do not have enough incentives to apply pseudonymization to personal data, since the GDPR does not seem to provide clear legal advantages with regards to pseudonymization, like limitation of liability or similar. On the other hand, pseudonymization can be a useful technique to enhance the level of data protection in general compared with a situation where personal data would be processed in a “raw” form, allowing direct identification of the data subjects. This study focuses on the meaning and usability of pseudonymization of personal data with respect to the GDPR, with its primary focus on the telecom industry perspective. The study aims to provide answers to the following questions: What qualifies as pseudonymization of personal data, and do different degrees of identifiability exist as pseudonymization according to the General Data Protection Regulation? What are the advantages for the data subject and for the data controller or processor when personal data is processed in a pseudonymous form? The study intends to interpret the concept of pseudonymization according to the GDPR and analyze its current status in the EU data protection regime in the context of the telecom industry.

Euroopan unionin yleisen tietosuoja-asetuksen (2016/679) tavoitteena on varmistaa luonnollisten henkilöiden yhdenmukainen ja korkeatasoinen suoja henkilötietojen käsittelyssä koko EU:n alueella, sekä henkilötietojen vapaan liikkuvuus. Asetus on osa komission digitaalisten sisämarkkinoiden strategiaa, joka tähtää Euroopan digitaalitalouden kilpailukyvyn parantamiseen. Asetuksella pyritään lisäämään kuluttajien luottamusta digitaalisiin palveluihin tarjoamalla heille tehokasta suojaa, ja mahdollisuus valvoa henkilötietojen käsittelyä. Tietosuoja-asetus päivittää henkilötietodirektiivin 95/46/EY aikaiset säännökset vastaamaan paremmin digitalisoituvan yhteiskunnan tarpeisiin. Tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohta sisältää rekisterinpitäjän tai kolmannen osapuolen oikeutettua etua koskevan käsittelyn oikeusperusteen, eli oikeutetun edun edellytyksen. Säännöksen mukaan henkilötietojen käsittely on lainmukaista, jos käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut. Säännös on sanamuodoltaan avoin, ja asetuksen johdanto-osasta on löydettävissä vain muutamia ohjeita sen soveltamiseen. Oikeutetun edun edellytys on herättänyt keskustelua niin Suomessa kuin muissakin jäsenmaissa. Henkilötietodirektiivin 7 artiklan f kohdan vastaavaa säännöstä koskeva Euroopan unionin tuomioistuimen oikeuskäytäntö on vähäistä, ja säännöksen kansallisen implementoinnin ja soveltamiskäytännön välillä on selviä eroja. Suomi on ainoa jäsenmaa, jossa oikeutetun edun edellytykseen sisältyvän arvioinnin on tehnyt rekisterinpitäjien sijaan viranomainen, eli tietosuojalautakunta. Tarve säännöksen sisällön selventämiseen onkin suuri etenkin Suomessa, sillä tietosuoja-asetuksen soveltamisen alkamisen myötä 25.5.2018 rekisterinpitäjät arvioivat ensi kädessä itse, voivatko he käsitellä henkilötietoja oikeutetun edun edellytyksen nojalla. Tutkielmassa on pyritty vastaamaan tähän tietotarpeeseen selvittämällä, millaisia edellytyksiä tietosuoja-asetuksen oikeutetun edun edellytys asettaa henkilötietojen käsittelyn lainmukaisuudelle. Tarkastelu on keskittynyt erityisesti juuri rekisterinpitäjän oikeutettuun etuun. Tämän lisäksi tutkielmassa on selvitetty, vastaako henkilötietolain 7 artiklan f kohdalle kansallisessa laissa ja tietosuojalautakunnan soveltamiskäytännössä annettu sisältö tutkielmassa esitettyjä tietosuoja-asetuksen säännöksen edellytyksiä. Kysymykseen saadun vastauksen perusteella on mahdollista tehdä alustavia arvioita siitä, voivatko oikeutetun edun edellytykseen perustuvien henkilötietolain säännösten ja tietosuojalautakunnan käsittelyä koskevien lupien nojalla henkilötietoja käsittelevät reksiterinpitäjät jatkaa henkilötietojen käsittelyä tietosuoja-asetuksen oikeutetun edun edellytyksen nojalla. Tutkielmassa osoitetaan, että oikeutetun edun edellytykseen sisältyy kaksi kumulatiivista edellytystä. Rekisterinpitäjällä on ensinnäkin oltava oikeutettu etu, jonka toteuttaminen edellyttää henkilötietojen käsittelyä. Lisäksi rekisterinpitäjän on arvioitava, syrjäyttääkö rekisteröidyn eduille sekä perusoikeuksille ja vapauksille käsittelystä aiheutuva haitta rekisterinpitäjän oikeutetun edun käsitellä henkilötietoja. Ollakseen tietosuoja-asetuksen säännöksen tarkoittamalla tavalla oikeutettu, rekisterinpitäjän edun on oltava lainmukainen ja asianmukainen. Tämä edellyttää muun muassa, että edun on oltava tarkasti määritelty, jotta etu on ulkopuolisten arvioitavissa. Oikeutetun edun määrittelemisen jälkeen rekisterinpitäjän on suoritettava intressipunninta oikeutetun etunsa ja rekisteröidyn henkilötietojen suojaa edellyttävien etujen ja perusoikeuksien välillä. Rekisteröidyn edut ja oikeudet on käsitettävä laajasti, sillä henkilötietojen käsittelyllä voi olla vaikutusta esimerkiksi rekisteröidyn yhdenvertaisuutta koskevaan oikeuteen. Tietosuoja-asetus suojaa kaikkia rekisteröidyn perusoikeuksia, eikä ainoastaan oikeutta henkilötietojen suojaan. Henkilötietojen käsittely on oikeutetun edun edellytyksen nojalla lainmukaista ainoastaan, jos intressipunninta osoittaa, että rekisterinpitäjän oikeutettu etu on asianmukaisessa tasapainossa rekisteröidyn etujen ja perusoikeuksien kanssa. Tietosuoja-asetuksen suurin ero henkilötietolain oikeutettuun etuun perustuviin säännöksiin on, että tietosuoja-asetus edellyttää tapauskohtaista intressipunnintaa, jota henkilötietolaki ei puolestaan ole mahdollistanut. Muilta osin edellytysten välillä ei näytä olevan suurta eroa. Myös tietosuojalautakunnan soveltamiskäytäntö näyttää vastaavan tutkielmassa tunnistettuja edellytyksiä asetuksen säännöksen soveltamiselle. Tietosuojalautakunta on esimerkiksi intressipunnintaa koskevassa arvioinnissaan kiinnittänyt huomiota oikeutetun edun ja käsittelyn luonteeseen, sekä sovellettaviin suojatoimiin. Vastaavien seikkojen on katsottu kuuluvan myös tietosuoja-asetuksen edellyttämään intressipunnintaan. Vaikuttaakin siltä, että henkilötietolain oikeutettuun etuun perustuvien säännösten ja tietosuojalautakunnan myöntämien lupien nojalla henkilötietoja käsittelevät rekisterinpitäjät voivat tietosuoja-asetuksen soveltamisen alettua lähtökohtaisesti jatkaa käsittelyä tietosuoja-asetuksen oikeutetun edun edellytyksen nojalla. Tämä edellyttää kuitenkin tapauskohtaisen intressipunninnan suorittamista, ja rekisteröityjen selkeää informointia siitä, mikä reksiterinpitäjän oikeutettu etu edellyttää henkilötietojen käsittelyä. Lisäksi rekisteröidyillä on tietosuoja-asetuksen myötä mahdollisuus milloin tahansa vastustaa oikeutetun edun edellytykseen perustuvaa henkilötietojen käsittelyä.

Tutkielmassa analysoidaan kontekstuaalisen lainopin metodilla Lissabonin sopimuksen (LS) vaikutuksia Euroopan unionin tuomioistuimen (EUT) sananvapautta koskevaan oikeuskäytäntöön viestintäoikeuden näkökulmasta. Tutkimushypoteesina on EU:n perusoikeuskirjan (POK) ja siinä suojatun sananvapauden oikeudellisen aseman vahvistuminen, sillä LS:n voimaantulon myötä 1.12.2009 POK:lla on primäärioikeudellinen asema EU-oikeudessa. Tutkimuskysymykset perustuvat Mikko Hoikan alkuvuonna 2009 ilmestyneen väitöskirjan “Sananvapaus Euroopan unionin oikeudessa” johtopäätöksiin. Tutkielmassa tutkitaan, punnitaanko sananvapautta LS:n jälkeen edelleen osana EU:n perusvapausrajoituksia. Toiseksi tutkitaan, onko sananvapautta suojattu EUT:n sananvapaustapauksissa yhtenevästi vai ristiriitaisesti Euroopan ihmisoikeustuomioistuimen (EIT) oikeuskäytännön kanssa. Tutkimustulokset kootaan taulukkoon kunkin EUT:n sananvapaustapauksen osalta. LS:lla muutettu SEU 6 artikla selkeyttää ja vahvistaa harmonista perusoikeussuojaa EU-oikeudessa, joka koostuu POK 11 artiklassa suojatusta sanan- ja tiedonvälityksen vapaudesta, jota tulkitaan POK:n horisontaaliartikloiden ja POK:n 11 artiklan selityksen mukaisesti. Sen lisäksi EIS 10 artiklassa taattu ja yhteisestä valtiosääntöperinteestä johtuva sananvapaus ovat yleisinä periaatteina osa unionin oikeutta, mikä rikastuttaa ja luo joustavuutta EU-oikeuden sananvapaussuojaan. SEU 6 artikla sääntelee EUT:n sananvapaustulkintoja, jotka liittyvät pääsääntöisesti POK 11(2) artiklan median moniarvoisuuden turvaamiseen. POK 11(2) artikla tiedonvälityksen vapaudesta perustuu EUT:n sisämarkkinaperusteiseen oikeuskäytäntöön, jossa painotetaan kaupallisten toimijoiden sananvapauden suhdetta EU:n sisämarkkinoiden perusvapauksiin eli tavaroiden, palveluiden, henkilöiden ja pääomien vapaaseen liikkuvuuteen. EUT:n sananvapausrajoitusten suhteellisuusperiaatteen arviointi ja tulkinta ovat pääosin yhteneviä EIT:n EIS 10(2) artiklaa koskevan oikeuskäytännön kanssa. Sananvapausrajoituksen välttämättömyyttä arvioidaan EUT:ssa EIT:sta poiketen sisämarkkinaperusteisesti EU:n yleisen edun ja tavoitteiden sekä POK:ssa suojattujen muiden oikeuksien ja vapauksien turvaamiseksi, mikä mahdollistaa myös ristiriitaisen sananvapaustulkinnan EUT:n ja EIT:n välillä. EU-oikeuden LS:n jälkeinen välineneutraali kaupallinen sananvapauskäsitys monipuolistaa EUT:n sananvapaustulkintaa ja hälventää sananvapauden aikaisempaa vastakkainasettelua sisämarkkinoiden perusvapauksien kanssa. Uusimmissa EUT:n sananvapaustapauksissa sananvapautta tulkitaan poikkeuksellisesti perusoikeuskollisiossa varallisuusarvoisten oikeuksien kuten elinkeinovapauden tai immateriaalioikeuksien kanssa eikä ainoastaan suhteessa sisämarkkinoiden perusvapauksiin. EUT:n sananvapaustulkinnassa ei voida enää ohittaa perusoikeuspunnintaa sisämarkkinoiden perusvapauksien eduksi. EUT:n uusimman sananvapaustapauksen perusoikeuspunnintaa koskevalla tulkintaohjeella pyritään perusoikeuksien väliseen tasapainoon ja yhteensovittamiseen, mikä vahvistaa perusoikeuksien asemaa ja lisää perusoikeustulkintojen ennakoitavuutta EUT:n LS:n jälkeisissä sananvapaustulkinnoissa. Siitä huolimatta, että LS vahvisti sananvapauden oikeudellista asemaa ja monipuolisti sananvapauskäsitystä, sananvapautta ja sen rajoittamista tulkitaan EUT:ssa edelleen pääsääntöisesti suhteessa EU:n perusvapauksiin niin kuin aikana ennen LS:ta.

Copyright regime has been unable to answer to the changed consumption models and needs of the consumers. The regime is typically perceived as overly restrictive and unfair among the pub-lic. Given the lack of convenient legal options, the consumers have resorted to piracy. Instead of proactively developing better legal options, the copyright right holders have pushed for more effective enforcement measures. The proportionality of these measures have been seriously questioned. The enforcement measures referred to above require monitoring of the internet. However, inter-net users do not access the internet under their own name, but under an IP address that is allo-cated to the device connected to the internet. The IP address can further be linked to the sub-scriber of internet access service, making it personal data. The monitoring of the internet and the processing of internet user’s personal data constitutes an interference with the fundamental rights to privacy and personal data protection of the individual. Additionally, some enforcement measures interfere with internet user’s fundamental right to a fair trial. On the other hand, intellectual property such as copyright is protected under the fundamental right to property. Further, the right holder’s fundamental right to an effective remedy must be observed. The main interest of this study is to find a fair balance between these fundamental rights. The question will be approached at the EU level, with an intention to provide a suggestion of how the fair balance can be struck.

The freedom of expression is essential for a democratic society and it is protected in several human rights conventions and in the Constitution of Finland. The freedom extends to work places and employees have a right to the freedom of expression. Furthermore, whistleblowing is strongly connected to the freedom of expression of employees. It is considered as whistleblowing when a person is reporting a misconduct, wrongdoing or illegal activity with a public interest that takes place in the activity of an employer. Whistleblowing contributes to transparency and a fair and effective market and has therefore a public interest. Researches have shown that whistleblowing is the most efficient tool in fighting corruption and other wrongdoings. Yet whistle blowing protection is weak in general in Europe. The purpose of this thesis is to analyse whistleblowing in the private sector in Finland. The freedom of expression of employees can be restricted by the duty of loyalty in the relationship of the employee and the employer. There is a conflict of interest in these situations. On one hand, the employee has a duty to stay loyal to the employer. On the other hand, the employee has a freedom of expression. There is also a public interest in reporting wrongdoings. The scope of this thesis is to analyse the legal situation regarding whistleblowing. Case law of the European Court of Human Rights, the Court of Justice of the European Union and Finnish courts and the balancing of these interests will be analysed. Moreover, protection of trade secrets is a part of the duty of loyalty as there is a prohibition for employees to reveal trade secrets. Trade secrets are valuable assets for companies and the new Trade Secret Directive and the Finnish Trade Secrets Act bring better protection to this kind of information. However, whistleblowing with a public interest is an exception to the protection of trade secrets. There is a risk of disclosing trade secrets when reporting a wrongdoing. In addition, there is a conflict between keeping a trade secret undisclosed and the public interest in getting information about wrongdoing, misconduct and illegal activity. The purpose of this thesis is to analyse the scope of the whistleblowing exception in the Trade Secrets Directive and the Finnish Trade Secrets Act. The main method used in this thesis is the doctrinal method. Because whistleblowing is a relatively new phenomenon in Finland, a comparative method is used to compare whistleblowing protection in Europe to Finland. Especially the whistleblowing legislation and case law in Sweden and the United Kingdom are used to bring a new point of view and a broader context. This thesis is divided into three main areas in order to answer the research questions. Firstly, the purpose of this thesis is to analyse the freedom of expression of employees when they are reporting wrongdoings, misconduct and illegal activity. The use of the word whistleblowing is not established in Finland, which makes it necessary to analyse whistleblowing in general and analyse what legislation there is regarding whistleblowing. The legislation regarding whistleblowing is fragmented and therefore it is hard to get a grip of the phenomenon. The first research question concerns whether there is a need for a general and non-sector specific whistle blower protection legislation in Finland? Secondly, the purpose of this thesis is to analyse the protection of trade secrets as a part of the duty of loyalty and as a restriction to the freedom of expression of employees. The legal situation when it comes to balancing of the freedom of expression and the loyalty will be analysed. Lastly, the legal situation regarding whistleblowing and its connection to the Trade Secrets Directive and the Finnish Trade Secrets Act will be analysed. The definition of trade secret is wide and includes a wide range of information as a trade secret. The second research question is what the scope of the whistleblowing exception in the protection of trade secrets is? The scope is unclear when it comes to what is considered as general public interest and how the burden of proof will be solved in a concrete case. This thesis concludes by analysing the problems arising from the unclear scope of the whistleblowing exception and by presenting a possible solution to enact a general and non-sector specific whistle blower protection legislation in Finland.

The subject of this Master’s Thesis is to analyze the compatibility of the purpose limitation principle of the General Data Protection Regulation (GDPR) and the big data phenomenon. The purpose limitation principle has been one of the core principles of European data protection law since 1970s and it requires personal data to be collected for specified, explicit and legitimate purposes and not further processed in a manner that is incompatible with those purposes. The big data phenomenon consists of an enormous increase of information and the automated use of it that has led to a considerable change in data processing practices. The focus of the research is on examining the meaning and content of the purpose limitation principle and analyzing its objectives in the context of big data. The research method of this research is legal dogmatic. Firstly, the thesis describes the purpose specification requirement as developed in the opinions of the Article 29 Working Party and examines the conflict between the requirement and the characteristic of big data in which data are analyzed to find correlations and trends that may reveal new uses for the data. The thesis concludes that in practice it is very difficult to apply the requirement in the context of data discovery. Secondly, the thesis examines the compatibility assessment of the purpose limitation principle in the context of big data. The Article 29 Working Party has developed in its opinions certain criteria for the compatibility assessment that have now been introduced in the legislative text of the GDPR. The thesis examines the requirements of the compatibility assessment in light of the characteristic of big data in which value is derived from data by re-purposing them in novel ways. The thesis concludes that the criteria of the compatibility assessment can be hard to fulfil when considering the characteristics of big data. There seems to be an inherent conflict between the purpose limitation principle and the big data phenomenon. It is questionable whether the principle of purpose limitation can still meet the objectives it was created to fulfil and whether it is still a viable way of protecting personal data.

Ihmistieteellisen tutkimuksen suorittaminen edellyttää usein henkilötietojen käsittelyä. Euroopan unionin alueella tietosuojaa koskevat yleiset säännökset on harmonisoitu direktiivillä yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (95/46/EY). Sääntelyn keskeisiä ratkaisuja on rekisteröidyn tiedollisen itsemääräämisoikeuden korostaminen. Lähtökohtana ihmistieteellisessä tutkimuksessa on, että tutkittava voi käyttää tiedollista itsemääräämisoikeuttaan antamalla tutkijoille suostumuksen itseään koskevien henkilötietojen käsittelyyn. Suostumuksen antaminen tieteelliseen jatkokäyttöön on kuitenkin osoittautunut ongelmalliseksi pätevälle suostumukselle asetettujen vaatimuksien tulkinnanvaraisuuden, tutkimusta koskevien erityissäännösten ja tietosuojaviranomaisten kannanottojen vuoksi. Tutkielmassa tarkastellaan sitä, onko EU:n tietosuojalainsäädännön viitekehyksessä ja tavassa, jolla se on implementoitu osaksi Suomen oikeusjärjestystä, mahdollista antaa primääritutkimuksen yhteydessä laaja suostumus tunnisteellisen tutkimusaineiston tieteelliseen jatkokäyttöön. Laajalla suostumuksella viitataan tilanteeseen, jossa tutkittava antaa suostumuksensa henkilötietojensa tutkimuskäyttöön ilman, että tulevia tutkimuksia yksilöidään tarkasti etukäteen. Tutkielman tarkastelun kohteena ovat nimenomaan ne tutkimukset, joihin sovelletaan yleislakina henkilötietolakia (523/1999). Tarkastelu keskittyy etenkin pätevän suostumuksen kriteereihin ja henkilötietolain 14 §:n tieteellistä tutkimusta koskevaan erityissäännökseen. Tutkielman läpi kulkee kaksi pääteemaa. Ensimmäisenä pääteemana on yksilön tiedollinen itsemääräämisoikeus, joka ilmenee etenkin yksilön antamana suostumuksena henkilötietojen käsittelyyn. Toisena pääteemana on henkilötietojen suojan sidonnaisuus tietosuojalainsäädännön tarkoitukseen: yksityisyyden suojaamiseen. Nämä pääteemat liittyvät myös kiinteästi toisiinsa – yksilö määrittelee tiedollisen itsemääräämisoikeutensa kautta suojattavan yksityisyytensä rajoja. Laajan suostumuksen pätevyyttä arvioidaan tiedollisen itsemääräämisoikeuden lähtökohdasta. Keskeisenä teemana on, että tutkittavien tiedollisuuden tasoa on arvioitava aina yksilöllisestä tiedontarpeesta. Tutkielmassa huomioidaan myös viimeaikaista informed consent –doktriiniin kohdistettua kritiikkiä yksilöinnin tiukentumisesta ja dekontekstualisoitumisesta. Toiseksi viimeisessä luvussa tarkastellaan yleisellä tasolla biopankeissa käytettyjä tapoja hankkia tutkittavien suostumus ja arvioidaan näiden käyttökelpoisuutta muussa ihmistieteellisessä tutkimuksessa. Lopputuloksena on, että tiedollisen itsemääräämisoikeuden näkökulmasta ei ole perusteellista rajoittaa yksilön vapaaehtoista tahdonmuodostusta. Toisaalta on vältettävä kategorisia tulkintoja. Laajan suostumuksen pätevyyttä tulee arvioida aina tapauskohtaisesti huomioiden suostumuksen antamisen vaikutus rekisteröidyn yksityisyyden suojalle. Tutkielman lopussa pohditaan vaihtoehtoja saada käytännön tutkimustoimintaa harjoittaville mahdollisuus saada varmuus hyväksyttävistä toimintamalleista hankittaessa suostumusta jatkokäyttöä varten. Tutkielman valmistumisen hetkellä Euroopan unionin tietosuojalainsäädäntöä uudistetaan. Lopullinen varmuus tulevan tietosuoja-asetuksen sisällöstä on kuitenkin vielä epäselvä. Valmisteilla olevaa lainsäädäntöä tarkastellaan tutkielmassa kursorisesti.

Vastuu Euroopan unionin yleisen tietosuoja-asetuksen 83 artiklan mukaisesta hallinnollisesta sakosta kohdentuu tietosuoja-asetuksen mukaisen roolin, eli rekisterinpitäjän tai henkilötietojen käsittelijän aseman perusteella, eikä sillä, että kenen hallinnassa jonkin tietosuojavelvoitteen toteuttaminen tosiasiallisesti on, ole tämän kannalta merkitystä. Koska rekisterinpitäjä vastaa lähtökohtaisesti käsittelijän sen lukuun suorittamasta käsittelystä, tulee sen myös varmistua käsittelyn lainmukaisuudesta. Käytännössä tämä tehdään usein sopimuksin ja edellyttää myös ulkoistettavia käsittelytoimia koskevien tietosuojavelvoitteiden noudattamiseen liittyvän hallinnollista sakkoa koskevan vastuun kohdistamista käsittelijään. Vastaavasti tilanteissa, joissa henkilötietoja käsittelevän markkinatoimijan muodollista roolia ei pystytä riittävällä varmuudella tunnistamaan, kuten hyödynnettäessä lohkoketjuja, on käsittelyyn osallistuvien usein pyrittävä selventämään vastuuasemiaan sopimuksin. Tämän tutkimuksen tarkoituksena on selvittää, että voivatko rekisterinpitäjä ja henkilötietojen käsittelijä pätevästi sopia tietosuoja-asetuksen 83 artiklan mukaista hallinnollista sakkoa koskevasta vastuusta hallitakseen henkilötietojen käsittelyyn liittyviä oikeudellisia riskejä. Tutkimuksessa selviää, että henkilötietojen käsittelyä koskevan sopimus voi sisältää myös sellaisia ehtoja, joista sopimista tietosuoja-asetus ei edellytä, kuten osapuolten vastuita koskevia kaupallisia ehtoja, eikä tietosuoja-asetus välittömästi rajoita rekisterinpitäjän ja henkilötietojen käsittelijän mahdollisuutta sopia keskinäisistä vastuuasemistaan. Tähän tarkoitukseen soveltuu parhaiten sopimusoikeudellinen indemnifikaatio, josta voidaan yleensä erottaa korvausvelvollisuutta koskeva päävelvoite ja siihen sidoksissa oleva puolustamista koskeva liitännäisvelvoite. Tutkimuksessa päädytään siihen johtopäätökseen, ettei tahallisuutta tai tuottamusta voida pitää tietosuoja-asetuksen mukaisen hallinnollisen sakon määräämisen edellytyksenä, eikä rekisterinpitäjän ja henkilötietojen käsittelijän välisellä sopimuksella pystytä siten poistamaan sopimusosapuolen vastuuta hallinnollisen sakon maksamisesta suhteessa tietosuojaviranomaisiin. Tilanne on kuitenkin toinen osapuolten keskinäisessä suhteessa, johon voidaan tietyissä tilanteissa pyrkiä vaikuttamaan suppeilla, yksipuolisilla ja tulevaisuuteen suuntautuvilla indemnifikaatiolausekkeella, jotka on kytketty luonteeltaan proaktiiviseen tai reaktiiviseen tietosuojavelvoitteeseen; menneisyyteen suuntautuvilla indemnifikaatiolausekkeilla, jotka on kytketty sopimusoikeudellisiin vakuutuksiin; sekä kaksipuolisilla indemnifikaatiolausekkeilla, joiden tarkoituksena on selkeyttää osapuolten vastuuasemia. Sanottu koskee tietyn varauksin myös tilanteita, joissa indemnifikaatiolauseke on laadittu tulkinnanvaraisen oikeustilan johdosta.

The increasing influence of the Internet has set the EU against unprecedented jurisdictional challenge in its responsibility to protect privacy and personal data. This thesis analyses the techniques adopted by the EU to establish the territorial scope of application of the General Data Protection Regulation of the European Union (GDPR), and the impact of these techniques both to the status of the EU and to the notion of territorial jurisdiction. This work will first look into the expansive territorial scope of application of the GDPR, set out in the Article 3 of the regulation, and explore the changes the GDPR brings about in relation to the earlier data protection legislation in the EU. The work proceeds by looking behind the forces driving the change, specifically the challenges the Internet has caused to the protection of privacy and data protection as EU fundamental rights. It observes the other functions the territorially atypical legislative technique serves, mainly the Statecraft functions of the comprehensive EU data protection framework, and the approaches the EU interpretative bodies have adopted to widen the scope of application of prior EU data protection legislation, to establish power through the concept of the Digital Single Market. The work finally presents the concept of ultraterritorial jurisdiction through which the legislative development of the EU data protection framework can be better understood. Where previous legislation such as the Data Protection Directive and prior national legislation of Member States has typically included some active, physical element within the territory of the relevant state, the GDPR does not do so. The ultraterritorial aspect of jurisdiction refers to the ways the jurisdiction is constructed beyond and regardless of national or EU territory instead of within or outside.