Browsing by Author "Limingoja, Nikolas"

Tietosuojan kehitys Euroopassa saavutti merkittävän virstanpylvään, kun Euroopan neuvoston yleissopimus yksilöiden suojelusta henkilötietojen automaattisessa tietojenkäsittelyssä astui voimaan vuonna 1981. Yleissopimuksessa määritellyt tietosuojan yleiset periaatteet ovat pitkälti relevantteja vielä tänäkin päivänä, mutta niiden täytäntöönpano on ollut suhteellisen heikkoa ja hidasta. Samaan aikaan automaattiseen tietojenkäsittelyyn liittyvä teknologia on kehittynyt merkittävästi aiheuttaen yksityishenkilöihin kohdistuvia tietosuojauhkia. Näitä tietosuojauhkia paikkaamaan annettiin vuonna 1995 voimaan astunut Euroopan parlamentin ja neuvoston direktiivi 95/46/EY yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta. Direktiivillä haluttiin toisaalta myös purkaa henkilötietojen liikkuvuutta rajoittavia lainsäädännöllisiä eroavaisuuksia ja siten vähentää jäsenvaltioiden haitallista protektionismia henkilötietoliitännäisessä liiketoiminnassa. Direktiivin implementointi oli kuitenkin verrattain epäonnistunutta ja tietosuojalainsäädännöt erosivat toisistaan varsin merkittävästi. Tämä aiheutti ongelmia sekä yrityspuolella, jossa vallitsi epätietoisuus esimerkiksi siitä, minkä jäsenvaltion lainsäädäntö soveltui henkilötietojen käsittelyprosesseihin. Yhtenäisen linjan puuttuminen vaikeutti toimintaa EU:ssa ja toisaalta myös täytäntöönpano ontui jossain määrin tietosuojalainsäädäntöjen eroavaisuuksista johtuen. Henkilötietodirektiivin voimaan astumisen aikoihin teknologiakehityksessä tapahtui suuria muutoksia erityisesti automaattisen tietojenkäsittelyn tehostumisessa. Tietojen liikkuvuus helpottui merkittävästi ja vaikka direktiivi olikin laadittu suhteellisen teknologianeutraaliksi, henkilötietoliiketoiminnassa kehitettiin lainsäädäntöä kiertäviä menetelmiä, joiden avulla luotiin melko huomaamattomasti yksityishenkilöiden tietojen ympärillä toimiva liiketoimintasektori. Tällä sektorilla luonnollisista henkilöistä luotiin profiloinnin ja tiedonlouhinnan avulla kattavia henkilötietokuvauksia, joita myytiin yrityksille muun muassa kohdemainontaa silmällä pitäen. Yksityishenkilöt ovat olleet käytännössä tietämättömiä tai vähintäänkin huonosti informoituja siitä, miten heihin kohdistuvia henkilötietoja kerätään, käytetään ja kierrätetään edelleen uusiin tarkoitusperiin. Vaikka direktiivi vaatii suostumuksen hankkimista yksityishenkilöltä tämän henkilötietojen käytön laillisuuden edellytyksenä, ei sitä käytännössä ole tarvinnut hankkia. Henkilötietodirektiivi sallii suostumuksen hankkimiseen niin sanotun opt out -systeemin, joka käytännössä tarkoittaa sitä, että yksityishenkilön tulisi erikseen kieltää jotakin tahoa käyttämästä tai keräämästä henkilötietojaan. Ongelmana on ollut se, ettei moni yksityishenkilö ole tiennyt, että häneen kohdistuvia henkilötietoja kerätään esimerkiksi internet-käyttäytymistä monitoroivilla teknologiasovelluksilla ja erilaisten elektronisten jalanjälkien taltioinnilla. Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta (yleinen tietosuoja-asetus), joka kumoaa henkilötietodirektiivin, astuu voimaan toukokuussa 2018 ja sen on osittain tarkoitus puuttua henkilötietoliiketoiminnan huonoon läpinäkyvyyteen ja suostumuksen kiertämiseen. Opt out -systeemi muuttuu lainvastaiseksi ja jatkossa edellytetään niin sanottua opt in -suostumusta, eli yksityishenkilön suostumusta henkilötietojen käsittelyyn ei voida enää olettaa. Samalla henkilötietojen käsittelyyn liittyvien prosessien läpinäkyvyyttä ja yksityishenkilön vaikutusmahdollisuuksia parannetaan. Asetus soveltuu sellaisenaan Euroopan unionissa, joten se harmonisoi samalla fragmentoitunutta eurooppalaista tietosuojasääntelyä merkittävästi. Periaatteessa tietosuojasääntelyn näkökulmasta kovin suuria muutoksia ei ole luvassa, mutta täytäntöönpanon osalta tilanne saattaa muuttua merkittävästi. Tietosuoja-asetus sisältää mittavan uhkasakkoriskin sellaisille toimijoille, jotka eivät noudata asetuksen vaatimuksia. Tutkielmassa ilmenee, että yksityishenkilöiden vaikutusmahdollisuudet ja tiedollinen asema omiin henkilötietoihinsa liittyvän käsittelyn osalta paranee merkittävästi ainakin teoriassa yleisen tietosuoja-asetuksen myötä. Henkilötietoliiketoimintaa harjoittaneet yritykset joutuvat jatkossa tilivelvollisiksi yksityishenkilöille, läpinäkyvyysvaatimus korostuu entisestään ja samoin henkilötietojen käyttötarkoitussidonnaisuus, joka vaikeuttaa kerättyjen henkilötietojen uudelleenkäyttöä, kierrätystä sekä mahdollisesti myös profilointia ja tiedonlouhintaa. Eurooppalaisen tietosuojalainsäädännön täytäntöönpano näillä näkymin vahvistuu, mutta toisaalta lopullinen totuus nähdään vasta, kun yleinen tietosuoja-asetus astuu voimaan.