Browsing by Author "Mäkelä, Tuomas"

Tutkielmassa tarkastellaan tuoreehkoa rikoslain 38 luvun 9 §:ään sisältyvää tietosuojarikosta. Tarkoituksena on selvittää säännöksen soveltamisalaa ja sen suhdetta sille osin rinnakkaiseen tietosuoja-asetuksen hallinnolliseen seuraamusjärjestelmään. Rikosoikeudellisen ja hallinnollisen seuraamusjärjestelmän mahdollista päällekkäisyyttä on lainsäätämisvaiheessa pyritty karsimaan rajaamalla tietosuojarikoksen 1 momentin soveltamisalan ulkopuolelle tietosuoja-asetuksessa tarkoitetut rekisterinpitäjät ja henkilötietojen käsittelijät, joihin sovelletaan ensisijaisesti asetuksen sanktiojärjestelmää. Sen sijaan 2 momentin osalta tietosuojarikoksen tekijäpiiri on yleinen, eli se koskee periaatteessa myös rekisterinpitäjiä ja henkilötietojen käsittelijöitä silloin kun ne ovat luonnollisia henkilöitä. Tästä huolimatta säännöstä tultaneen soveltamaan lähinnä rekisterinpitäjien palveluksessa tai lukuun toimiviin henkilöihin silloin, kun heidän toimintansa täyttää säädetyt tunnusmerkit, mutta ei merkitse itsenäistä rekisterinpitoa. Tietosuojarikos on toimeenpantu niin sanottua blankorangaistustekniikkaa käyttäen. Säännös sisältää itsessään luonnehdinnan kielletyistä tekotavoista, mutta se saa varsinaisen aineellisen sisältönsä muualta lainsäädännöstä blankettinormien välityksellä. Tehtyjä säädös- ja säännösviittauksia ei ole kuitenkaan onnistuttu muotoilemaan kovinkaan selkeällä tavalla, mikä on rikosoikeudellisen laillisuusperiaatteen kannalta ongelmallista. Avoin, riskiperusteinen ja periaatelähtöinen tietosuojasääntely asettaa rikosoikeudellisen vastuun perustamiselle vaikean lähtökohdan, kun lainsäädännöstä ei useinkaan käy kovin yksiselitteisellä tavalla ilmi kielletyn menettelyn piiriä. Rangaistavuutta ei pitäisi myöskään kytkeä rekisterinpitäjän organisatorisina toimenpiteinä luomiin ohjeisiin, sillä ne eivät voi sitovuudeltaan rinnastua lakiin. Tähän mennessä tietosuojarikosta on sovellettu edeltäjänsä henkilörekisteririkoksen tapaan lähinnä henkilötietojen laittomaan urkintaan. Tästä syystä tarkastelu kohdistuu tutkielmassa erityisesti tähän tekomuotoon. Urkinnan, eli henkilötietojen käyttötarkoituksenvastaisen hankkimisen lisäksi tietosuojarikokseen voi syyllistyä myös luovuttamalla tai siirtämällä henkilötietoja lainvastaisesti, taikka 2 momentin perusteella toimimalla vastoin henkilötietojen käsittelyn turvallisuudesta säädettyä. Oikeuskäytännön vähäisyys henkilötietojen luovuttamis- ja siirtotilanteiden osalta voisi selittyä tekotyyppien osittaisella päällekkäisyydellä rikoslain muiden säännösten kanssa. Monet henkilötietojen luovutus- ja siirtotilanteet ovat nimittäin salassapitosääntelyn alaisia, jolloin niiden vastaiseen menettelyyn soveltuu luontevammin erinäiset salassapitoa koskevat sanktiot.