Browsing by Author "Takalo, Tiia"

EU:n yleisen tietosuoja-asetuksen 82 artikla sisältää tietosuojan loukkauksella aiheutettujen vahinkojen korvausta koskevat säännökset, jotka korvaavat Suomen kansallisen vahingonkorvausoikeudellisen sääntelyn. Tutkielmassa selvitetään mitkä ovat VahL 5:1 §:n ja tietosuoja-asetuksen 82 artiklan korvausedellytykset ja henkilöllinen soveltamisala sekä miten ja miksi ne eroavat toisistaan. Tarkastelu keskitetään rekisteröidyn näkökulmasta keskeisiin kysymyksiin ja siksi rekisterinpitäjien siksi henkilötietojen käsittelijöiden vastuunjako rajataan ulkopuolelle. Tutkielmassa määritellään ensin lainopin metodein kummankin sääntelyn korvausedellytykset erityisesti lakien, esitöiden, oikeuskäytännön sekä oikeuskirjallisuudessa esitettyjen kannanottojen avulla. Vahingonkorvauslaki edellyttää, että puhdas varallisuusvahinko on aiheutettu rangaistavaksi säädetyllä teolla, julkisen vallan käytössä tai sen korvaamiselle on muuten erityisen painavat syyt. Lisäksi edellytetään vahingonaiheuttajan tuottamusta sekä syy-yhteyttä teon ja vahingon välillä. Tietosuojan tavoitteissa ja tietosuojavahinkojen vahinkotilanteissa on kuitenkin tiettyjä eroja, jotka edellyttävät, että niiden korvausvelvollisuus poikkeaa vahingonkorvauslain yleisistä lähtökohdista. Tietosuoja-asetuksen mukaan korvausvelvollisuus edellyttää asetuksen vastaista toimintaa, syy-yhteyttä, aineellisia tai aineettomia vahinkoja sekä sitä, että vastuuvelvollinen ei voi osoittaa, ettei se ole millään tavalla vastuussa vahingosta. Asetuksessa käytetty viittaus ”henkilö” on laaja, mistä johtuen käsitellään myös mahdollisuutta laajentaa korvausvelvollisuus koskemaan myös kolmannen vahinkoja ja mietitään vaihtoehtoja välillisten vahinkojen korvaamattomuutta koskevalle opille. Tämän jälkeen vahingonkorvauslain ja tietosuoja-asetuksen korvausedellytyksiä ja henkilöllistä ulottuvuutta verrataan toisiinsa. Suurimmat eroavaisuudet sääntelyissä ovat korvausperusteessa, minkä lisäksi VahL 5:1:n puhtaiden varallisuusvahinkojen korvattavuuden erityiset edellytykset nostaisivat tietosuojavahinkojen korvaamisen kynnyksen korkealle. Syy-yhteyttä koskeva sääntely jää yhä kansallisen oikeuden varaan ja siten se tarjoaa keinoja varmistaa, että vastuunjako toteutetaan oikeudenmukaisella tavalla. Myös suhtautuminen välillisten kolmannen kärsimien vahinkojen korvattavuuteen vaikuttaa asetuksessa myönteisemmältä kuin vahingonkorvauslaissa. Tutkielmassa tullaan lopputulokseen, että korvausvelvollisuuden kynnys on tietosuoja-asetuksessa huomattavasti vahingonkorvauslakia alemmalla, joskin asetuksen sanamuoto jättää tulkinnanvaraa ja siten korvausvelvollisuuden tarkat rajat jäävät oikeuskäytännössä täsmennettäviksi. Eroavaisuuksien syitä selitetään vahingonkorvaus- ja tietosuojaoikeuden tavoitteellisilla sekä reaalisilla puhtaiden varallisuusvahinkojen ja tietosuojavahinkojen korvaustilanteisiin liittyvillä eroilla. Tietosuoja-asetuksen sääntely on rekisteröidyn näkökulmasta edullista. Asetuksen tavoitteista ja vahingonkorvaussääntelyn tulkinnasta on löydettävissä sekä reparatiivisia että preventiivisiä elementtejä. Tavoitteelliset lähtökohdat heijastelevat hyvin niitä konkreettisia eroja, joita vahinkotilanteissa on. Eroja selitetään erityisesti varallisuusvahinkojen merkittävyydellä sekä rekisterinpitäjän ja rekisteröidyn suhteen epätasapainolla. Lähes aina tiedot, vaikutusmahdollisuudet ja osaaminen ovat nimenomaan rekisterinpitäjällä, kun taas rekisteröidyn keinot varautua vahinkoihin ja ymmärtää tiedonkäsittelyprosessia sekä saada siitä tietoja voivat olla huomattavasti heikommat. Siksi monet puhtaiden varallisuusvahinkojen rajoitetun korvattavuuden perusteluista eivät sovellu yhtä hyvin tietosuojavahinkoihin, mikä puoltaa vahingonkorvauslaista eroavan sääntelytavan omaksumista. Tietosuoja-asetuksen korvausvastuun kriteerien kautta vahinkoja korvataan laajemmin, mikä lisää vahingonaiheuttajan riskejä. Tutkielmassa tullaan lopputulokseen, että korvausvelvollisuutta voidaan kuitenkin yhä rajata syy-yhteydellä ja sen laadullisilla edellytyksillä. Siten on yhä mahdollista rajata yllättävät, etäiset ja ilman suojaa jäävät intressit korvausvelvollisuuden ulkopuolelle. Syy-yhteys riittää taloudellisten tietosuojavahinkojen kohdalla rajaamaan korvausvelvollisuutta niin välittömien kuin välillisten vahinkojen osalta estäen liian kaavamaiset tulkinnat ja vastuun kohtuuttoman laajenemisen, mutta mahdollistaen samalla tietosuojavahinkoja koskevan sääntelyn erityispiirteiden huomioinnin.