Browsing by Author "Hallamaa, Hannu"

Euroopan unionin yleinen tietosuoja-asetus (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta) muuttaa monia henkilötietojen käsittelyyn liittyviä kysymyksiä jäsenvaltiossa ja muualla maailmassa, sillä asetuksen vaikutus ulottuu myös EU-alueella toimiviin ulkomaisiin yrityksiin. Eräs näistä muutoksista on rekisterinpitäjän ja käsittelijän suhteen aiempaa huomattavasti tarkempi sääntely. Tietosuoja-asetus asettaa vaatimuksen erityisen kirjallisen henkilötietojen käsittelysopimuksen laatimiselle tilanteissa, joissa rekisterinpitäjä ulkoistaa henkilötietojen käsittelyä käsittelijälle. Tutkielman aiheena on EU:n tietosuoja-asetuksen asettamat vaatimukset sopimiselle käsittelijän suorittamasta alihankinnasta. Asetus muun muassa kieltää käsittelijää käyttämästä alihankkijaa ilman rekisterinpitäjän kirjallista ennakkolupaa. Vaatimus ovat osa henkilötietojen käsittelysopimusta, joka on asetuksen soveltamisen alettua pakollinen rekisterinpitäjän ja käsittelijän välillä. Tutkielman tarkoituksena on selvittää, millä tavalla henkilötietojen käsittelyn ulkoistamisympäristö muuttuu tietosuoja-asetuksen soveltamisen alkaessa. Tutkielmassa tarkastellaan tietosuoja-asetuksen lisäksi tietosuojalainsäädännön aiempaa, vielä kirjoitushetkellä voimassa ollutta tilannetta, jossa henkilötietojen käsittelyn ulkoistamiselle asetettiin lainsäädännöllä hyvin niukasti vaatimuksia. Lisäksi käsitellään myös erilaisten ulkoistusjärjestelyjen yleistä oikeudellista olemusta, sekä pohditaan ulkoistusjärjestelyjen vakiintuneen käytännön ja EU:n yleisen tietosuoja-asetuksen asettamien vaatimusten välistä suhdetta. Tutkielmassa käydään läpi myös muuttuvan tietosuojalainsäädännön yleistä viitekehystä ja teknologian nopean muutoksen EU:n yleisen tietosuoja-asetuksen käyttökelpoisuudelle muodostamia haasteita. Eräs esiin nostettu asia on henkilötiedon käsite, jonka muovautuminen tulevaisuudessa aiheuttaa epävarmuustekijöitä. Kysymys henkilötiedon luonteesta on tutkimuksen pääkysymyksen kannalta olennainen, sillä sopimus henkilötietojen käsittelystä tarvitaan nimenomaisesti vain tilanteessa, jossa käsitellään henkilötietoja. Henkilötiedon käsitteen laajuuden ja avoimuuden takia voi olla epäselvää, milloin tiedonkäsittelyä ulkoistettaessa on kysymys henkilötietojen käsittelystä. Kokonaisuutena tietosuoja-asetus tuo runsaasti uusia velvoitteita niin rekisterinpitäjälle kuin käsittelijällekin. Asetuksen vaatimus kirjallisista henkilötietojen käsittelysopimuksista lisää hallinnollista kuormaa. Myös asetuksen yksityiskohtainen, mutta kuitenkin monilla tavoin tulkinnanvarainen henkilötietojen käsittelysopimuksille asettama vaatimuslista herättää kysymyksiä siitä, millainen lopulta on asetuksen mukainen käsittelysopimus. Tutkielmassa paneudutaan syvällisimmin käsittelijän suorittaman alihankinnan kysymykseen, jota avattaessa tarkastellaan useita ICT-alan ostajan ja myyjän näkemyksiä tietosuoja-asetuksen mukaisesta henkilötietojen käsittelysopimuksesta. Voidaan todeta, että EU:n yleinen tietosuoja-asetus sisältää jonkin verran liikkumavaraa käsittelijän suorittaman alihankinnan suhteen, mutta lopulta rekisterinpitäjällä on lähes ehdoton oikeus päättää henkilötietojen käsittelijöistä.