Browsing by Author "Karjalainen, Tuulia"

Tietosuojaa koskevalla vaikutustenarvioinnilla tarkoitetaan keväällä 2016 hyväksyttävän EU:n yleisen tietosuoja-asetuksen 33 artiklan mukaan rekisterinpitäjän toteuttamaa riskiarviota käsittelyn vaikutuksista rekisteröityjen oikeuksiin ja vapauksiin. Vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista silloin, kun käsittelyyn liittyy erityisiä riskejä käsittelytapojen, käsittelyn laajuuden tai käsiteltävien tietojen luonteen vuoksi. Asetuksen mukaan näitä tilanteita ovat profilointi, arkaluonteisten henkilötietojen käsittely ja julkisten tilojen laajamittainen tekninen valvonta. Velvoite kohdistuu siis erityisesti yrityksiin, jotka käsittelevät toiminnassaan laajamittaisesti asiakkaidensa tai muiden sidosryhmien henkilötietoja esimerkiksi tarjoamissaan internet- tai mobiilipalveluissa. Tutkielmassa selvitetään, millaisilla toimenpiteillä suomalainen rekisterinpitäjäyritys voi katsoa asetuksenmukaisen vaikutustenarviointivelvoitteen osaltaan täytetyksi, ja miten vaikutustenarviointivelvoite vaikuttaa eurooppalaisessa tietosuojaoikeudessa vallitsevaan käsitykseen rekisteröidyn ja rekisterinpitäjän välisestä suhteesta. Rekisterinpitäjän kannalta vaikutustenarviointi on riskiarviovelvollisuus, joka tulisi sovittaa osaksi yrityksen normaalia liiketaloudellista riskienhallintaa. Vaikutustenarvioinnin tulee sisältää vähintään kuvaus aiotusta henkilötietojen käsittelystä, arvio käsittelyn tarpeellisuudesta ja suhteellisuudesta sen tarkoitusten kannalta, arvio käsittelyn rekisteröityjen oikeuksille ja vapauksille aiheuttamista riskeistä sekä kuvaus niistä keinoista, joilla käsittelyn sisältämiä riskejä ehkäistään ja rajoitetaan. Koska asetuksen sanamuoto jättää vaikutustenarvioinnin konkreettiset toteuttamisvaatimukset avoimiksi, ja koska tarkentavia eurooppalaisia viranomaisohjeita ei toistaiseksi ole saatavilla, tutkielmassa määritellään vaikutustenarvioinnin konkreettisia sisältövaatimuksia oikeusvertailevan aineiston avulla. Tutkielmassa asetuksessa säädettyjä vaikutustenarvioinnin sisältökritee-reitä verrataan Australiassa, Iso-Britanniassa, Ranskassa ja Kanadan Ontarion provinssissa käytössä oleviin viranomaisohjeisiin, EU:n älykkäitä sähköverkkoja ja RFID-tunnisteita koskeviin vaikutustenarviointimalleihin sekä oikeuskirjallisuuteen. Lisäksi soveltuvin osin analysoidaan voimassa olevaa suomalaista ja eurooppalaista tietosuojalainsäädäntöä (henkilötietolaki (523/1999) ja henkilötietodirektiivi (95/46/EY)) suomalaiseen rekisterinpitäjäyritykseen kohdistuvien muutosten määrittämiseksi. Rekisterinpitäjälle asetettu vaikutustenarviointivelvollisuus ilmentää tietosuoja-asetuksen 22 artiklassa omaksuttua vastuuperiaatetta, joka muuttaa eurooppalaisen tietosuojaoikeuden käsitystä rekisteröidyn ja rekisterinpitäjän välisestä suhteesta. Aiempi eurooppalainen lainsäädäntö perustui ajatukseen henkilötietojen lainmukaisen käsittelyn riittävyydestä rekisteröidyn oikeuksien takaajana, ja rekisteröidyn itsensä viimekätisestä suostumusperusteisesta vastuusta omien tietojensa käsittelystä. Tietosuoja-asetuksen mukaisella vastuuperiaatteella rekisterinpitäjästä kuitenkin tulee taho, joka varmistaa rekisteröidyn oikeuksien ja vapauksien toteutumisen käsittelyssä, ja jonka tulee myös kyetä osoittamaan se. Vaikutustenarviointi vastuuperiaatteen konkreettisena ilmentymänä siis edellyttää rekisterinpitäjiltä uudenlaista asennoitumista henkilötietojen käsittelyyn varsinkin, kun velvoitetta on tehostettu huomattavilla hallinnollisilla sanktioilla. Oikein toteutettuna tietosuojaa koskeva vaikutustenarviointi voi kuitenkin olla yritykselle myös tehokas riskienhallintatyökalu ja kilpailuetu yhä yksityisyydensuojatietoisemmilla kuluttajamarkkinoilla.