Browsing by Author "Repo, Rasmus"

Yleinen tietosuoja-asetus (EU 2016/679) asettaa velvollisuuksia henkilötietoja käsitteleville toimijoille. Asetuksen vastaisesta toiminnasta voi seurata esimerkiksi vahingonkorvausvelvollisuus tai hallinnollisen sakon määrääminen. Yliopistot käsittelevät usein henkilötietoja tieteellisen tutkimuksen yhteydessä. Usein henkilötietojen käsittelyssä on mukana toinenkin taho, esimerkiksi käsittelijänä tai yhteisrekisterinpitäjänä. Tällöin henkilötietojen käsittelystä on määrättävä osapuolten välillä asetuksen edellyttämin tavoin, ja näiden tahojen välillä on tyypillisesti henkilötietojen käsittelyä koskeva sopimus. Tämän tutkielman tutkimuskohteena on vastuunhallitseminen sopimusehdoin henkilötietojen käsittelyssä. Tutkimuskohde tarkentui vielä niin, että tutkielmassa arvioidaan kysymystä siitä, että vaikuttaako yliopistojen tieteelliseen tutkimukseen liittyvä henkilötietojen käsittely vastuunhallitsemisen arviointiin. Päähuomio tutkielmassa on siinä, että vaikuttaako asetus henkilötietojen käsittelyyn osallistuvien sopijapuolten mahdollisuuksiin sopia keskinäisestä vastuustaan sen vahingon korvaamiseen suhteen, joka aiheutuu sopimukseen nähden kolmannelle. Hallinnollinen sakko rajattiin tarkemman tarkastelun ulkopuolelle. Kyseiseen seuraamukseen liittyy kuitenkin tiettyjä erityispiirteitä yliopistojen osalta, minkä vuoksi se huomioidaan tutkielmassa tältä osin. Tieteellinen tutkimus vaikuttaa siihen, miten asetus soveltuu tarkasteltavaan toimintaan, ja siten siihen, millaisiksi toimintaan liittyvät tietosuojavelvoitteet muodostuvat. Sopimusehdoilla voidaan puolestaan osaltaan vaikuttaa siihen, että tutkimus täyttää tieteellisyyden kriteerit, vaikka tutkimuksessa olisi osallisena myös yliopiston ulkopuolinen toimija. Henkilötietojen käsittelyyn liittyvistä riskeistä kiinnitetään huomiota siihen, ettei tietosuojalain (1050/2018) mukaan yliopistoille voida määrätä hallinnollista sakkoa. Vahingonkorvauksen osalta tutkielmassa selvitetään sitä, mikä taho on oikeutettu korvaukseen asetuksen 82 (1) artiklan nojalla. Kysymys on tulkinnanvarainen mutta tutkielmassa päädyttiin siihen, että painavat perusteet kuten sääntelyn tarkoitus perustelevat sitä, että vain rekisteröity on oikeutettu tähän korvaukseen. Osapuolten roolilla rekisterinpitäjänä tai käsittelijänä on merkittävä vaikutus siihen, millaiseksi niiden vastuu muodostuu asetuksen 82 artiklan 2-5 kohtien nojalla. Asetuksen korvaussääntelyn tarkoituksena voidaan nähdä olevan se, että se kohdentaa vastuun vahingon aiheuttajalle. Asetuksen nojalla yliopistojen roolia rekisterinpitäjänä, ja siten niiden vastuuta ja lähtökohtaisesti myös vastuusta sopimista tulee arvioida samoin kuin muiden toimijoiden osalta. Sopimusvapaudella on puolestaan keskeinen asema oikeudessamme, ja sopijapuolilla on yleisesti mahdollisuus sopia myös sopimusriskeistään. Sopimusvapaus ei ole kuitenkaan poikkeuksetonta ja sitä rajoittaa pakottava lainsäädäntö. Asetus vaikuttaa monin tavoin sopimusvapautta kaventavasti. Asetuksen tarkoituksena voidaan katsoa olevan rekisteröidyn suojaaminen. Tästä näkökulmasta tutkielmassa päädyttiin siihen, että tämä tarkoitus on myös asetuksen edellyttämillä sopimuksilla tai sen edellyttämiin järjestelyihin pohjautuvilla sopimuksilla, ja siksi niiden osalta sopimusvapaus on yleisesti ottaen kapeampaa kuin tutkimussopimuksen osalta. Tutkielmassa arvioidaan edellä esitettyyn perustuen kysymystä siitä, onko asetuksen 82 artikla tulkittava pakottavaksi keskinäisen vastuunjaon suhteen, ja rajautuuko sopimusvapaus myös tässä suhteessa. Kysymystä artiklan pakottavuudesta ei ole ratkaistu tuomioistuimessa, ja argumentteja on esitettävissä kumpaankin suuntaan. Tutkielmassa päädyttiin rekisteröidyn suojaa painottamalla siihen, että asetuksen 82 artiklan mukainen vastuunjakosääntely on tulkittavissa pakottavaksi. Henkilötietojen suoja on perusoikeus, ja rekisteröidyn suojan painottuminen on näkynyt EUT:n oikeuskäytännössä. Asetuksen mukainen korvausvastuu menettäisi merkitystään sääntelyn noudattamisen varmistusmekanismina, jos vastuusta voisi sopia toisin. Tutkielmassa arvioitiin, että vastuusta toisin sopiminen voisi siten vaikuttaa siihen, miten osapuolet suhtautuvat ja toteuttavat vastuullaan olevia tietosuojavelvoitteita. Vastuusta toisin sopiminen voisi mahdollistaa myös sääntelyn kiertämisen. TSA 82 artiklan pakottavuus turvaisi siten sääntelyn päämääränä olevaa rekisteröidyn suojaa. Tutkielmassa päädyttiin siihen, että asetuksen vastaista sopimusehtoa voisi pakottavan sääntelyn vastaisena pitää pätemättömänä, ja asetus tulisi ehdon sijasta noudatettavaksi. Tutkielmassa esitetään lopuksi vielä eräitä tarkentavia näkökohtia. Ensinnäkin huomioidaan, että pakottavuus koskee vain sopimista sen vahingon suhteen, joka tulee asetuksen nojalla korvattavaksi. Lisäksi kiinnitetään huomiota keskeisiin sopimusoikeudellisiin periaatteisiin koskien vastuunrajoitusehtoja, sovinnon mahdollisuuksiin ja siihen, ettei asetus estä sopimasta korvaukseen liitännäisistä kuluista.