Browsing by discipline "Viestintä- ja informaatio-oikeus"

Suomen perustuslain 10 §:ssä turvataan jokaisen oikeus yksityis- ja perhe-elämän sekä henkilötietojen suojaan. Kirjeen, puhelun ja muun luottamuksellisen viestin salaisuus on loukkaamaton. Yksityiselämän, henkilötietojen ja luottamuksellisen viestin suojan katsotaan ulottu-van myös työpaikalle. Työnantaja voi direktio-oikeutensa nojalla määrätä muun muassa työn suoritustavasta, laadusta ja laajuudesta sekä työnteon ajasta ja paikasta. Direktio-oikeudesta voidaan siten johtaa myös työnantajan oikeus työntekijän tekniseen valvontaan. Työnantajalle kertyy tämän suorittamasta teknisestä valvonnasta henkilötietoja, joita on käsiteltävä tietosuojalainsäädännön edellyttämällä tavalla. EU:n yleinen tietosuoja-asetus astui voimaan toukokuussa 2018. Sitä tarkentaa ja täydentää vuoden 2019 voimaan astunut uusi kansallinen yleislaki, tietosuojalaki (1050/2018). Työelämän tietosuojasta on säädetty erikseen yksityisyyden suojasta työelämässä annetulla lailla (759/2004). Tällä työelämän tietosuojalailla säädetään muun muassa työntekijää koskevien henkilötietojen käsittelystä, teknisestä valvonnasta työpaikalla sekä työntekijän sähköpostiviestien hakemisesta ja avaamisesta. Viestinnän luottamuksellisuudesta ja yksityisyyden suojasta säädetään sähköisen viestinnän palveluista annetussa laissa (917/2014). Lakia yksityisyyden suojasta työelämässä muutettiin tietosuojalain säätämisen yhteydessä. Muutoksissa oli pääosin kyse työelämän tietosuojan liittyvän erityissääntelyn yhteensovittamisesta uuteen säädösympäristöön. Lakimuutos astui voimaan huhtikuussa 2019. Tämän tutkielman yhtenä tarkoituksena on selventää, mitä uusi säädösympäristö tarkoittaa tekniseen valvontaan liittyvän henkilötietojen käsittelyn osalta. Teknisen valvonnan käsitettä ei ole määritelty lainsäädännössä tyhjentävästi. Yksinkertaistettuna sillä tarkoitetaan työnantajan teknisin menetelmin suorittamaa, työntekijään kohdistuvaa, valvontaa. Teknistä valvontaa ovat muun muassa kameravalvonta, kulunvalvonta, paikantaminen sekä työntekijän sähköpostin ja tietoverkkojen käytön valvonta. Työntekijöitä voidaan valvoa myös muunlaisin teknisin menetelmin. Tässä tutkielmassa käsitellään kameravalvontaa, kulunvalvontaa, paikantamista sekä työntekijän sähköpostin käytön valvontaa. Tutkielman keskeiset tutkimuskysymykset voidaan muotoilla seuraavalla tavalla: Millä edellytyksillä työnantaja voi ottaa käyttöönsä eri teknisen valvonnan muotoja? Miten työnantaja voi hyödyntää teknisen valvonnan kautta kertyneitä henkilötietoja? Tavoitteena on tuottaa lukijalle selkeä kuva siitä, mitä voimassa oleva lainsäädäntö sanoo teknisestä valvonnasta. Tämän vuoksi tutkielman lopussa on erillisenä liitteenä taulukko, johon on koottu valvonnan käyttöönottoa koskevat menettelysäännökset valvontamuodottain.

Kaupallisessa profiloinnissa on kyse potentiaalisten asiakkaiden mieltymysten ja kiinnostustenkohteiden tunnistamisesta ja tulevan ostokäyttäytymisen ennustamisesta. Vaikka asiakasprofilointia on hyödynnetty perinteisessä markkinoinnissa pitkään, on tieto- ja viestintätekniikan kehityksen myötä profiloinnista tullut aikaisempaa tehokkaampaa ja edullisempaa. Nykyteknologia mahdollistaa yhä suurempien tietomäärien keräämisen ja analysoimisen profilointia varten. Vaikka profiloinnista voi olla hyötyä paitsi markkinoijalle myös käyttäjälle, liittyy siihen yksityiselämän ja henkilötietojen suojan kannalta haasteita. Yhtenä suurimpana ongelmana on pidetty läpinäkyvyyden puutetta. Merkittävä osa käyttäjistä ei tiedä, ymmärrä tai välitä, että tietoja kerätään profilointia ja kohdennettua mainontaa varten. Tutkielman aiheena on luonnollisten henkilöiden profilointi verkkokaupassa. Tutkielma on rajattu profilointiin, joka tapahtuu evästeiden perusteella. Eväste on pieni tekstitiedosto, jonka internetselain tallentaa käyttäjän tietokoneelle, kun käyttäjä saapuu verkkosivulle. Evästeet mahdollistavat paitsi verkkopalvelun turvallisen ja käyttäjäystävällisen käytön, myös käyttäjän jatkuvan seuraamisen eri verkkosivuilla. Tutkielmassa selvitetään verkkokaupan velvollisuuksia evästeiden perusteella tapahtuvassa profiloinnissa. Erityisesti tarkastelun kohteena ovat informointivelvollisuus ja suostumus. Voimassa olevan lainsäädännön lisäksi selvitetään, miten EU:n yleinen tietosuoja-asetusehdotus muuttaa oikeustilaa. Profilointia selvitetään sekä Suomen että EU:n tietosuojalainsäädännön nojalla. Keskeiset kansalliset lait ovat henkilötietolaki (523/1999) ja tietoyhteiskuntakaari (917/2014). EU:n yleisen tietosuoja-asetuksen pohjana toimii komission tammikuussa 2012 antama asetusehdotus (KOM(2012) 11 lopullinen), jota täydennetään parlamentin mietinnöllä ja neuvoston yleisnäkemyksellä. Aineistona on käytetty lainsäädännön valmisteluaineistoja, asiantuntijakirjoituksia sekä viranomaisten suosituksia ja alan itsesääntelyohjeita. Tutkielman pääasiallinen metodi on oikeusdogmatiikka eli lainoppi. Tarkoituksena on tulkita profilointia koskevien voimassa olevien oikeusnormien sisältöä ja esittää niistä tulkintakannanottoja. Oikeusnormien tulkinnan ohella profilointia on lähestytty myös pragmaattisemmasta näkökulmasta. Tutkielmassa arvioidaan voimassa olevan lainsäädännön toimivuutta ja uuden lainsäädännön tarpeellisuutta. Profiloinnin oikeustilaa voidaan pitää epäselvänä. Epäselvyyttä vallitsee paitsi henkilötietolain soveltamisesta profilointiin myös keskeisten edellytysten, informointivelvollisuuden ja suostumuksen, lainmukaisesta toteutustavasta. Lisäksi evästeitä koskevan lainsäädännön ja siitä annettujen suositusten välillä on ristiriitoja, jotka jättävät epäselväksi, millä edellytyksillä verkkokaupat saavat profiloida käyttäjiä. Tämän vuoksi lainsäädännön uudistamista voidaan pitää perusteltuna ja tarpeellisena. EU:n yleinen tietosuoja-asetus on monin tavoin askel oikeaan suuntaan. Asetus sääntelee nimenomaisesti profilointia ja lisäksi asetus siirtää vastuuta aikaisempaa enemmän rekisteröidyltä rekisterinpitäjälle. Asetus ei kuitenkaan tule poistamaan kaikkia profilointiin liittyviä epäselvyyksiä. Joiltain osin asetuksessa on pitäydytty vanhassa sääntelyssä, jonka käytännön toimivuus on kyseenalainen. Vaikka suostumus ja siihen liittyvä informointivelvollisuus eivät nykyisellään toteudu asetettujen tavoitteiden mukaisesti, on asetuksessa edelleen haluttu vahvistaa niiden asemaa. Raskas sääntely voi johtaa paitsi käyttäjäkokemuksen huonontumiseen, myös yksityisyyden suojan tosiasialliseen heikentymiseen.

Today’s global economy has turned into an information economy in which data has become the new commodity. Data can be transferred internationally in a split second. In the process, jurisdictional lines have become blurry, and companies struggle to understand which rules apply to their data processing activities. Jurisdiction in the Internet realm is one of the most complex challenges, especially concerning issues related to data privacy. Different jurisdictions understandably attempt to extend the application of their data privacy rules as far as possible in order to safeguard their citizens’ rights. However, this practice of extraterritoriality has revealed a deeper privacy conflict between the European and American privacy traditions. The EU started its most recent privacy challenge with the US by affirming the so-called “right to be forgotten” in Google Spain SL v. Agencia Española de Protección de Datos (Case C-131/12 May 13, 2014), a decision by the Court of Justice of the European Union (“CJEU”) in May 2014. The decision represents one of the most far-reaching applications of European data privacy laws and one of the first attempts to regulate privacy online in the information age. This and subsequent CJEU decisions have made it increasingly difficult for companies to avoid EU data privacy laws. This thesis begins by exploring context relevant to the greatly differing privacy discussions occurring in the EU and the US – the two most influential privacy jurisdictions of the world. Next, this thesis will examine the legal implications of the Google Spain decision, especially regarding the decision’s territorial scope and impact. The purpose of this thesis is to explore when companies are obligated to follow the European rules on data privacy after Google Spain and related cases, including the widening definition of “establishment” under Article 4(1)(a) of the DPD. Finally, this thesis will consider new ways of defining the extraterritorial effect of EU data privacy law. Although this research primarily assumes an EU perspective, many aspects are relevant to US and international entities.

Digitalisoituvassa maailmassa tiedon määrän kasvu ja liikkuvuus luovat jatkuvasti sekä uusia mahdollisuuksia että haasteita. Nykyteknologialla tiedon laatuun voidaan merkittävästi vaikuttaa. Tietotulvasta on mahdollista erotella kulloisenkin tarkoituksen kannalta oleellinen ja tarpeellinen tieto. Henkilötietojen suojan merkitys on uusien teknologisten sovellusten ja käyttömahdollisuuksien maailmassa alati kasvava. Suomessa henkilötietolaki (523/1999) toteuttaa Euroopan unionin tietosuojadirektiivin jäsenvaltioille asettamat velvoitteet. Elämme kuitenkin murroksen aikaa. Uutta, yleistä tietosuoja-asetusta aletaan soveltaa 25. toukokuuta 2018 lähtien, ja se korvaa vuoden 1995 tietosuojadirektiivin sekä sen kansalliseksi täytäntöön panemiseksi annetun henkilötietolain säännökset niiltä osin kuin henkilötietojen käsittely kuuluu asetuksen soveltamisalaan. Yleinen tietosuoja-asetus tuo profiloinnin käsitteen määritelmän ensimmäistä kertaa Euroopan unionin oikeuteen. Nykylainsäädännön automatisoidun päätöksen käsite voidaan nähdä profiloinnin käsitteen lähikäsitteenä. Käsitteenä profi-lointi ei kuitenkaan korvaa automatisoitujen päätösten käsitettä. Vaikka asetuksella osaltaan tähdätään profilointisääntelyn nykyaikaistamiseen, asetus sisältää vain rajoitetussa määrin profilointia koskevaa sääntelyä. Onnistuessaan profilointi hyödyttää sekä markkinoinnin kohdetta että markkinoijaa. Profiloinnilla voidaan kuitenkin tunkeutua syvälle rekisteröidyn yksityisyyden ytimeen. Profilointi voi esimerkiksi johtaa syrjintään. Altistuminen piilotetuille ja sopimattomille kaupallisille menettelyille on niin ikään yksi profiloinnin ikävistä seurausmahdollisuuksista. Se, että rekisteröity ei aina tiedä olevansa profiloinnin kohteena, on ongelmallista. Vaikka rekisteröity tietäisikin olevansa profiloinnin kohteena, hän ei välttämättä tiedä, mihin tarkoitukseen häntä koskevaa tietoa käytetään. Ongelmana voidaan nähdä myös rekisteröidyn rajalliset mahdollisuudet valvoa henkilötietojensa käsittelyä. Yleisen tietosuoja-asetuksen profilointiartiklat sisältävät paljon tulkinnanvaraisuutta. Edes profiloinnin käsitteen ei voida katsoa olevan täysin selvä ja tulkinnanvaraisuudesta vapaa. Vaikuttaisi lisäksi olevan niin, että profilointi voidaan jakaa: 1) profilointiin perustuvaan automaattiseen päätöksentekoon sekä 2) muuhun profilointiin. Ensimmäisenä mainittu profilointi on sidottu päätökseen, josta aiheutuu rekisteröidylle oikeusvaikutuksia tai joka muuten vaikuttaa rekisteröityyn merkittävästi. Jälkimmäisenä mainittu profilointi pitänee sisällään esimerkiksi rekisteröidyn seurannan. Yleisellä tietosuoja-asetuksella ei nähdäkseni aseteta yleistä profilointiin liittyvää kieltoa. Asetusta voidaan tulkita niin, että automatisoidut yksittäispäätökset, kuten profilointiin perustuvat päätökset, on kielletty. Rekisteröidyllä on niin ikään mahdollisuus kieltää profilointi suoramarkkinointia varten. Muu profilointi olisi kuitenkin joka tapauksessa sallittua. Näin ollen esimerkiksi rekisteröityjen selailu- ja ostoshistoriatietojen käsittely olisi sallittua verkkokaupan valikoiman parantamiseksi. Rekisteröity ei siis lähtökohtaisesti voi kieltää itsensä seuraamista. Tutkielmassa tarkastellaan myös sähköisen suoramarkkinoinnin käsitteen sisältöä. Nähdäkseni kohdennettu Internet-markkinointi on yleisen tietosuoja-asetuksen myötä katsottava sähköiseksi suoramarkkinoinniksi. Näin ollen rekisteröidyllä olisi teoriassa mahdollisuus kieltää esimerkiksi hänelle sosiaalisen median palveluissa kohdistettu mainonta. Tähän liittyy kuitenkin kysymys rekisterinpitäjän ja rekisteröidyn välillä mahdollisesti vallitsevasta selkeästä epäsuhdasta, jota tutkielmassa myös käsitellään. Yleisen tietosuoja-asetuksen automatisoituja yksittäispäätöksiä koskeva 22 artikla on tutkimuskysymyksen osalta merkityksellinen. Artikla soveltuu vain silloin, kun kaikki artiklassa mainitut edellytykset ovat käsillä. Koska mainittuja edellytyksiä ei kuitenkaan ole asetuksessa määritelty, eikä oikeuskäytäntöä tietosuojadirektiivinkään ajalta ole, artiklan sääntelytehon tehokkuutta on vaikea arvioida. Säännöksen rikkomista ei liioin ole sanktioitu. Näin ollen säännöksen merkitys voitaneen nähdä myös symbolisena.