Browsing by Author "Vinnari, Jenni"

Tämän metodiltaan lainopillisen tutkielman tarkoituksena on selvittää, millä edellytyksin lähtökohtaisesti yhdysvaltalaissääntelyä raskaampi EU-tietosuojalainsäädäntö soveltuu yhdysvaltalaisyritykseen. Kyse on sen määrittelemisestä, milloin yhdysvaltalaisyritys kuuluu henkilötietodirektiivin ja toukokuusta 2018 alkaen tietosuoja-asetuksen alueellisen soveltamisalan piiriin. Tutkielmassa EU-tietosuojalainsäädännön unionin maantieteelliset rajat ylittävän ulottuvuuden ei kuitenkaan nähdä rajoittuvan ainoastaan alueelliseen soveltamisalaan, vaan lisäksi tarkastellaan henkilötietojen siirtoa unionin ulkopuolelle koskevien rajoitusten merkitystä yhdysvaltalaisyrityksen näkökulmasta. Tutkielman johtopäätöksenä havaitaan, että jo henkilötietodirektiivin 4 artikla on pitänyt sisällään mahdollisuuden EU-tietosuojavelvoitteiden soveltamiseen myös yhdysvaltalaisyrityksen unionin ulkopuolella suorittamaan henkilötietojen käsittelyyn. Etenkin 4(1)(c) artiklaa voidaan pitää varsin vaikeatulkintaisena ja yhdysvaltalaisyrityksen kannalta ennakoimattomana siitäkin huolimatta, ettei siihen käytännössä ole kovinkaan usein turvauduttu. Myös henkilötietodirektiivin 4(1)(a) artiklan unionin alueella sijaitsevan "toimipaikan toiminnan yhteydessä" -kriteerin laajalla tulkinnalla on ollut mahdollista tuoda melko etäisestikin unioniin alueeseen liittyvä käsittely EU-tietosuojavelvoitteiden soveltamisalaan. Tietosuoja-asetuksen vastaavaa 3(1) artiklaa on perusteltua tulkita yhtä laajasti. Kuitenkin tietosuoja-asetuksen uuden "tavaroiden tai palvelujen tarjonnan" tai "käyttäytymisen seurannan" unionin alueella oleviin rekisteröityihin suuntaamiselle perustuvan 3(2) artiklan voidaan katsoa tekevän laajasta alueellisesta soveltamisalasta entistäkin ilmeisemmän. Näin ollen EU-lainsäätäjä näyttäisi pyrkivän entistä selvemmin viestimään, että myös sellaiset yritykset, joilla ei ole mitään fyysistä liittymää EU-alueeseen, voivat kuulua EU-tietosuojalainsäädännön piiriin. Tutkielmassa todetaan myös kansainvälisten tiedonsiirtojen sääntelyn voivan vaikuttaa yhdysvaltalaisyrityksen suorittamaan henkilötietojen käsittelyyn, kun sääntelyn seurauksena tiedonsiirron laillistamiseksi yhdysvaltalaisyrityksen edellytetään sitoutuvan esimerkiksi mallisopimuslausekkein tai Privacy Shield -järjestelmään rekisteröitymällä EU-tietosuojalainsäädännöstä kumpuavien periaatteiden noudattamiseen. Tutkielmassa tullaan siihen johtopäätökseen, että entisestään laajentunut alueellinen soveltamisala edellyttäisikin selvennystä sen suhteesta kansainvälisten tiedonsiirtojen sääntelyyn. Lisäksi tutkielmassa tarkastellaan laajasta alueellisesta soveltamisalasta ja kansainvälisten tiedonsiirtojen sääntelystä johtuvaa EU-tietosuojalainsäädännön ekstraterritoriaalisuutta kansainvälisen oikeuden periaatteiden valossa. Vaikka tarkastelun seurauksena EU-tietosuojalainsäädännön ekstraterritoriaalisuuden ei katsota olevan vastoin kansainvälistä oikeutta, paikannetaan tutkielmassa ekstraterritoriaalisuudesta johtuvia käytännön haasteita, kuten yhdysvaltalaisyritykseen kohdistuvia ristiriitaisia velvoitteita. Lisäksi EU-velvoitteiden täytäntöönpanon mahdollisuuksien havaitaan olevan heikot tilanteessa, jossa yhdysvaltalaisyrityksellä ei ole toimintaa tai varoja EU-alueella. Tutkielman johtopäätös on, että etenkin tietosuoja-asetuksella on pyritty vaikuttamaan unionin ulkopuolellakin tapahtuvaan eurooppalaisten rekisteröityjen henkilötietojen käsittelyyn. Kun yhdysvaltalaisyrityksellä ei ole fyysistä toimintaa EU:ssa, syntyy täytäntöönpanoon liittyviä haasteita, jotka voivat heijastua koko EU-oikeudellisen tietosuojajärjestelmän uskottavuuteen. Näin ollen tutkielma näkeekin tarvetta lisätutkimukselle siitä, kuinka soveltamisedellytyksiä voitaisiin kehittää myös paremmin tosiasialliset täytäntöönpanomahdollisuudet huomioon ottavaan suuntaan.