Browsing by Author "Zheng, Jie Fen"

Elämme informaatioyhteiskunnassa, jossa henkilötietoja kerätään ja välitetään huomattavasti suuremmassa mittakaavassa kuin aikaisemmin. Tämä aiheuttaa uusia haasteita henkilötietojen tietoturvaloukkausten ilmoitusvelvollisuuteen. Rekisterinpitäjien ja henkilötietojen käsittelijöiden tulisi toiminnassaan ottaa henkilötietojen tietoturvaloukkaukset vakavasti huomioon ja puuttua niihin tehokkaasti, sillä niistä voi aiheutua luonnollisille henkilöille monenlaista vahinkoa. Vahinko voi olla fyysistä, aineellista, aineetonta, taloudellista tai sosiaalista, esimerkkinä omien henkilötietojen valvomiskyvyn menettäminen, maineen vahingoittuminen ja identiteettivarkaus. Tähän mennessä Suomen tietosuojalainsäädännössä ei ole yleislainsäädännön tasolla säännelty henkilötietojen tietoturvaloukkauksen ilmoitusvelvollisuudesta. Elämme tästä johtuen mielenkiintoista murrosaikaa, sillä EU:n yleistä tietosuoja-asetusta aletaan soveltaa 25.5.2018 lähtien. Tämä tulee merkittävästi vaikuttamaan Suomen tietosuojalainsäädäntöön. Tietosuoja-asetuksen ansiosta henkilötietojen tietoturvaloukkauksen ilmoitusvelvollisuutta aletaan soveltaa kaikilla aloilla EU:ssa. Jokaisen rekisterinpitäjän ja henkilötietojen käsittelijän tulee noudattaa EU:n yleistä tietosuoja-asetusta, mikäli he käsittelevät EU:n kansalaisten henkilötietoja. Velvoitteiden täytäntöönpanoa on tehostettu merkittävillä hallinnollisilla sanktioilla, joten rekisterinpitäjien ja henkilötietojen käsittelijöiden asennoituminen henkilötietojen tietoturvaloukkauksia kohtaan tulee varmasti uudistumaan. Tutkimuskohteena on EU:n yleisen tietosuoja-asetuksen 33 artikla ”Henkilötietojen tietoturvaloukkauksesta ilmoittaminen valvontaviranomaiselle” ja 34 artikla "Henkilötietojen tietoturvaloukkauksesta ilmoittaminen rekisteröidylle”. Tarkoituksenani on selvittää, millä edellytyksillä rekisterinpitäjän tulee ilmoittaa henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ja rekisteröidylle, millä edellytyksillä rekisterinpitäjän ei tule ilmoittaa henkilötietojen tietoturvaloukkauksesta valvontaviranomaiselle ja rekisteröidylle sekä millä edellytyksillä henkilötietojen käsittelijän tulee ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle. Edellä mainitun lisäksi selvitän, millä edellytyksillä valvontaviranomainen voi velvoittaa tai vapauttaa rekisterinpitäjän henkilötietojen tietoturvaloukkauksen ilmoitusvelvollisuudesta rekisteröityä kohtaan. Esimerkkitapauksien avulla pyrin konkretisoimaan ja selkeyttämään henkilötietojen tietoturvaloukkaustilanteita. Tutkielman tavoitteena on antaa mahdollisimman perusteellinen kuvaus rekisterinpitäjän ja henkilötietojen käsittelijän henkilötietojen tietoturvaloukkausten ilmoitusvelvollisuuden sisällöstä sekä nostaa esille mahdollisia tulkinnallisia ongelmia, jotka liittyvät henkilötietojen tietoturvaloukkauksen ilmoitusvelvollisuuteen. Tietosuoja-asetuksen 33 ja 34 artikloiden lisäksi, tarkastelen Euroopan komission tietosuoja-asetusehdotuksen (COM (2012) 11 final) 31 ja 32 artikloita sekä eri EU:n toimielinten ja organisaatioiden kannanottoja ja muutosehdotuksia Euroopan komission tietosuoja-asetusehdotuksen 31 ja 32 artikloihin. Tutkielman pääasiallinen metodi on oikeusdogmatiikka eli lainoppi. Lainopin avulla pyrin tulkitsemaan EU:n yleisen tietosuoja-asetuksen 33 ja 34 artikloiden sisältöä ja esittämään niistä tulkintakannanottoja. Lainopin ohella hyödynnän oikeushistoriaa. Oikeushistorian avulla ymmärretään paremmin minkälaiseen kontekstiin EU:n yleisen tietosuoja-asetuksen 33 ja 34 artiklat astuvat voimaan Suomessa. Selvitän myös Suomen tietosuojalainsäädännön ja tietoturvallisuuden sääntelyn kehitystä sekä henkilötietojen tietoturvallisuuden ilmoitusvelvollisuuden nykytilannetta Suomessa. EU:n yleisen tietosuoja-asetuksen 33 ja 34 artiklat ovat tulkinnanvaraisia, joka on ongelmallista rekisterinpitäjän ja henkilötietojen käsittelijän näkökulmasta. Tämän vuoksi on erityisen tärkeää, että EU:n yleisen tietosuoja-asetuksen 33 ja 34 artikloiden sisältöä selkeytetään ja vaikeita käsitteitä määritellään, jotta rekisterinpitäjät ja henkilötietojen käsittelijät voisivat hyvissä ajoin varmistaa, että heillä on kaikki tarvittavat valmiudet EU:n yleisen tietosuoja-asetuksen 33 ja 34 artiklan velvoitteiden täyttämiseen.