Browsing by Author "Ojajärvi, Oona"

Henkilötietojen suojaa koskeva perusoikeus on vahvistunut EU:ssa asteittain. Yhteiskunnan digitalisoitumisen myötä tietosuojasääntelyn taustalla erityisesti periaate yksilöiden tiedollisesta itsemääräämisoikeudesta on viime aikoina korostunut. Henkilötietoihin kohdistuu nykypäivänä myös taloudellista arvoa, joka syntyy tietojen käytössä ja uudelleenkäytössä. Ratkaisua uhkiin yksilöiden tiedollisen itsemääräämisoikeuden kaventumisesta muuttuneessa tietojenkäsittely-ympäristössä sekä henkilötietojen jakamisen ja uudelleenkäytön edistämiseen on haettu niin kutsutusta omadata-ajattelusta. Lähestymistavassa konkreettiset mahdollisuudet vaikuttaa henkilötietojen käsittelyyn keskitetään yksilölle itselleen. Tutkielmassa arvioidaan kansallisen viranomaistoiminnan kontekstissa kysymyksiä siitä, miten voimassa oleva lainsäädäntö tukee yksilöiden tiedollisen itsemääräämisoikeuden toteutumista sekä kuinka se mahdollistaa erilaisten omadata-ajatteluun perustuvien ratkaisujen omaksumisen. Tarkastelu rajataan pääosin tietosuoja-asetukseen ja muuhun yleislaintasoiseen kansalliseen sääntelyyn. Lisäksi tutkielmassa nostetaan esimerkinomaisesti esiin myös erityislaintasoisia omien tietojen hallintaa ja tietojen saatavuutta koskevia säännöksiä. Tutkielma jakautuu johdannon ja johtopäätösten ohella kahteen päälukuun. Toisessa pääluvussa selvitetään alun perin saksalaisen perustuslakituomioistuimen Census-päätöksessä konstruoidun tiedollisen itsemääräämisoikeuden käsitesisältöä sekä käsitteen saamaa painoarvoa eurooppalaisessa tietosuojasääntelyssä. Vaikka tiedollista itsemääräämisoikeutta ei ymmärretä EU-oikeudessa tai Suomessa omaksi itsenäiseksi perusoikeudekseen, on käsitteellä ollut huomattava vaikutus sääntelyn kehittymiseen Euroopassa. Tiedollista itsemääräämisoikeutta peilataan omadatan käsitteen. Tätä selvästi epätäsmällisempää sekä lakiin perustumatonta uuskäsitettä tarkastellaan paitsi tietosuoja-asetuksen myös avoimen tiedon direktiivin sekä Euroopan komission tuoreen datahallintosäädöstä koskevan ehdotuksen sääntelyn näkökulmasta. Kolmannessa pääjaksossa ensin arvioidaan tietosuoja-asetuksen ja julkisuuslain mukaisia tiedonsaantioikeuksia. Vaikka tietosuoja-asetuksessa säädetty rekisteröidyn oikeus saada pääsy tietoihin sinänsä tukeekin yksilön tiedollisen itsemääräämisoikeuden toteutumista, voitaneen sen arvioida jääneen vähäiselle käytölle. Laajan julkisuusperiaatteen vuoksi tiedonsaantioikeudet mahdollistavat Suomessa varsin kattavan pääsyn tietoon. Toisaalta tietojenvaihtoa saattaa tapahtua erityisesti viranomaisten välillä myös ilman, että rekisteröity on tällaisesta käsittelystä tietoinen. Tiedonsaantioikeudet eivät myöskään mahdollista henkilötietojen saamista sellaisessa muodossa, että rekisteröity itse tai joku muu toimija voisi hyödyntää tietoja vaivattomasti. Toiseksi tutkielmassa tarkastellaan sääntelyä rekisteröidyn suostumuksesta, joka on paitsi keskeinen väline, jolla yksilö voi käyttää tiedollista itsemääräämisoikeuttaan myös olennainen osa omadata-ajattelua. Suostumus soveltuu henkilötietojen käsittelyn oikeusperusteeksi viranomaistoiminnassa kuitenkin ainoastaan poikkeuksellisesti. Vaikka siihen toisaalta voidaan nojata viranomaisten tietojen luovutuksia koskevan sääntelyn yhteydessä, on perustuslakivaliokunta painottanut tällaisen lainsäädännön säätämisen suhteen pidättyväisyyttä. Yksilö ei lähtökohtaisesti voi viranomaistoiminnassa nojata myöskään tietosuoja-asetuksen oikeuteen siirtää tiedot järjestelmästä toiseen. Omadata-ajatteluun perustuvien ratkaisujen omaksumista hidastaa myös se, että tietojen luovuttaminen teknisen rajapinnan avulla yksityiselle toimijalle edellyttää tälle erityislainsäädännössä säädettyä tiedonsaantioikeutta. Kolmanneksi tutkielmassa arvioidaan tiedollisen itsemääräämisoikeuden kannalta keskeistä periaatetta käyttötarkoitussidonnaisuudesta. Vaikka tietosuoja-asetuksen sääntely jättää harkintavaltaa rekisterinpitäjille yhteensopivien käsittelytarkoitusten määrittämiseksi, asettaa periaate myös rajat henkilötietojen uudelleenkäytölle. Rekisterinpitäjinä toimivilla viranomaisilla ei tosin ole tyypillisesti valtaa päättää käsittelyn tarkoituksista, vaan ne määritellään lähtökohtaisesti lainsäädännössä. Tietosuoja-asetuksen sääntely yksityisen käytön poikkeuksesta mahdollistaa tietojen käsittelyn ilman tietosuoja-asetuksesta seuraavien vaatimusten huomioimista. Omadata-ajattelun näkökulmasta keskeinen on kuitenkin tietosuoja-asetuksen säännös siitä, että asetusta sovelletaan toimijoihin, jotka tarjoavat keinot henkilökohtaisen käytön piiriin kuuluvalle käsittelylle. Lainsäädännön nojalla yksilöiden aktiiviset vaikutusmahdollisuudet tietoihinsa toteutuvat viranomaistoiminnassa heikommin kuin yksityisellä sektorilla. Voimassa oleva yleislaintasoinen sääntely ei myöskään yksinään mahdollista omadata-ajattelun tavoitteiden saavuttamista. Uusien ihmiskeskeistä tiedonhallintaa tukevien ratkaisujen omaksuminen osaksi kansallista viranomaistoimintaa edellyttää ennen kaikkea kansalaisten luottamusta, joka seurannee erityisesti henkilötietojen suojaa koskevan perusoikeuden suojaamisesta sekä tietosuoja-asetuksen vaatimusten huolellisesta noudattamisesta.