Skip to main content
Login | Suomeksi | På svenska | In English

Browsing by study line "Viestintä- ja informaatio-oikeus"

Sort by: Order: Results:

  • Kuusikoski, Aaro (2019)
    Rekisterinpitäjän on informoitava henkilötietojen käsittelystä rekisteröityjä, joiden henkilötietoja se kerää ja käsittelee. Kyse on rekisterinpitäjän informointivelvollisuudesta. Henkilötietojen keräämisestä ja käsittelystä informoiminen on yksi henkilötietojen suojaa koskevan perusoikeuden keskeisimpiä aspekteja, minkä vuoksi rekisteröityjen informoiminen on merkittävää. Ilman henkilötietojen käsittelyä koskevaa informaatiota rekisteröidyn on mahdotonta tietää, kuinka ja mihin hänen henkilötietojaan käytetään tai on jo käytetty. Lisäksi, rekisteröidyt voivat käyttää heille suotuja tietosuojaa koskevia oikeuksiaan ainoastaan, jos he ovat tietoisia tapahtuvasta henkilötietojen käsittelystä. Rekisterinpitäjän informointivelvollisuus on yksi yleisen tietosuoja-asetuksen läpinäkyvyysvaatimuksista ja siitä säännellään asetuksen 12–14 artikloissa. Tietosuoja-asetuksen myötä informointivelvollisuuden sisältö tarkentui ja sen sisältämien vaatimusten määrä kasvoi. Tämän tutkimuksen tarkoituksena on tarkastella informointivelvollisuutta ja selventää velvollisuuteen liittyvää oikeustilaa. Tutkimuksessa on tarkoitus käydä läpi informointivelvollisuuden tuomia vaatimuksia ja selvittää, miten rekisterinpitäjä voi toimittaa henkilötietojen käsittelyä koskevan informaation rekisteröidylle tietosuoja-asetuksen 12.1 artiklan vaatimalla tavalla asianmukaisesti. Tutkimusmetodina hyödynnetään lainoppia eli tutkielmassa tulkitaan ja systematisoidaan informointivelvollisuutta ja sitä koskevaa oikeustilaa. Tutkimuksen keskeisimpiä lähteitä ovat erilaiset, pääosin EU-oikeudelliset lähteet, kuten Euroopan unionin tuomioistuimen ja kansallisten tietosuojaviranomaisten ratkaisukäytäntö, unionin virallislähteet sekä aiheen kannalta relevantti kirjallisuus. Rekisterinpitäjän tulee toimittaa informaatio rekisteröidylle läpinäkyvästi eli rekisteröidyn tulee informaation perusteella ymmärtää, miten ja mihin tarkoituksiin hänen henkilötietojaan kerätään ja käsitellään. Jotta tämä informointi olisi läpinäkyvää ja jotta rekisterinpitäjä pystyisi täyttämään informointivelvollisuutensa, sen on otettava huomioon useat tietosuoja-asetuksen vaatimukset sekä erilaisiin henkilötietojen keräys- ja käsittelytoimintoihin liittyvät tapauskohtaiset erityispiirteet. Tapauskohtaisina erityispiirteinä tulee ottaa huomioon toimenpiteiden ja keinojen, joilla käsittelyä koskevat tiedot toimitetaan rekisteröidylle, asianmukaisuuteen vaikuttavat seikat. Tietosuoja-asetuksen vaatimusten lisäksi toimenpiteiden asianmukaisuuteen vaikuttavat esimerkiksi henkilötietojen keräämis- ja käsittelytilanteen ympäristö ja osapuolet, käsittelytarkoitukset sekä käsittelyn laajuus ja luonne. Näitä seikkoja tulee arvioida riskiperustaisesti. Mitä riskipitoisempaa rekisterinpitäjän toteuttama henkilötietojen kerääminen ja käsitteleminen on, sitä enemmän ja läpinäkyvämmin sen on otettava rekisteröidyn informoiminen omassa organisaatiossaan huomioon. Informointivelvollisuuden täyttämisessä tietosuoja-asetuksen vaatimusten ja riskiperustaisen lähestymistavan huomioiminen on erittäin tärkeää. Havaintojeni perusteella voidaan myös todeta, että informointivelvollisuuden täyttämiseksi rekisterinpitäjän kannattaa rakentaa tietosuojainformaatio monitasoisesti. Monitasoista tietosuojainformaatiota rakentaessa olisi erityisesti kiinnitettävä huomiota ensimmäisen tiedotustavan toimivuuteen, jotta rekisteröity ymmärtää informaation olennaisimmat seikat mahdollisimman aikaisessa vaiheessa. Edelleen, rekisterinpitäjän tulisi hyödyntää erilaisia sähköisiä ja ei-sähköisiä keinoja monipuolisesti laatiessaan ja toimittaessaan tietosuojainformaatiota rekisteröidylle. Ennen henkilötietojen keräämistä ja käsittelyä sekä sen aikana, rekisterinpitäjän tulee arvioida omia tietosuojatoimintojansa esimerkiksi kiinnittämällä huomiota rekisteröityihinsä ja käsittelytilanteeseen sekä testaamalla valitsemiansa toimenpiteitä. Tällä tavoin rekisterinpitäjä voi varmistaa ja osoittaa informaationsa läpinäkyvän toteutumisen. Informointivelvollisuuden merkitys henkilötietojen suojan osalta on siis olennainen, muun muassa juuri siksi, että se mahdollistaa muiden rekisteröidyille myönnettyjen oikeuksien käyttämisen. Tulevaisuudessa käsittelystä informoimisen merkitys saattaa edelleen kasvaa, mikäli henkilötietojen suoja saa Euroopan unionin tuomioistuimessa ja kansallisten tietosuojaviranomaisten ratkaisuissa edelleen viimeaikaisen käytännön mukaisesti suuren roolin.
  • Sydänmaanlakka, Saana (2023)
    Tutkielmassa tarkastellaan EU:n tietosuoja-asetuksen asettamia edellytyksiä automaattiselle päätöksenteolle ja verrataan näitä kansalliseen terveydenhuollon sääntelykehikkoon. Tutkielmassa tunnistetaan tekoälyn käyttöönotolle ennakoivassa palveluntarjonnassa terveydenhuollossa liittyviä riskejä esimerkiksi yhdenvertaisuuteen, oikeusturvaan ja henkilötietojen suojaan liittyen. Näihin teemoihin liittyvää sääntelyä on runsaasti sekä EU-oikeuden, kansallisen oikeuden, että kansainvälisen oikeuden kentällä. Tutkielmassa esitetään, että tekoälypohjaisten järjestelmien käyttöönotto terveydenhuollon palveluntarjoamiseen edellyttäisi erityissääntelyä, joka huomioisi säännöskokonaisuuden, tekoälyjärjestelmien erityisen luonteen sekä erityiset riskit terveydenhuollon kontekstissa. Tutkielmassa tuodaan esille sääntelyn soveltumattomuus tekoälypohjaisten ratkaisujen ongelmien ehkäisyssä. Lopputuloksena muodostetaan kuvaus siitä, millaisilla juridisilla ratkaisuilla tekoälyjärjestelmien käyttö olisi mahdollista terveydenhuollon palveluiden tarjoamisessa ennaltaehkäisevän terveydenhuollon tavoitteiden ja siitä seuraavien kustannushyötyjen saavuttamiseksi. Näiden sääntelyratkaisujen ytimessä on niissä määritellyt suojakeinot rekisteröityjen oikeuksien suojaamiseksi. Tutkielmassa tarkastellaan yksilön itsemääräämisoikeuteen ja ihmisen interventioon nojaavien suojakeinojen toimivuutta tekoälyratkaisujen käyttöönotossa. Tietosuojajuridiikan itsemääräämisoikeutta ja tiedonsaantioikeuksia korostavaa kehystä verrataan kansalliseen lääkintäoikeuden perinteeseen potilaiden itsemääräämisoikeudesta, sekä kansalliseen terveydenhuollon oikeussuojajärjestelmään.
  • Häikiö, Aura (2022)
    Henkilötietojen suoja on tunnustettu omana perusoikeutena Euroopan unionissa, ja tietosuojasääntely on noussut merkittävään asemaan henkilötietojen moninkertaistuneen keräyksen ja käsittelyn myötä. On tärkeää, että henkilötietojen suojaa turvaava sääntely pysyy ajan tasalla teknologisen kehityksen kanssa. Euroopan unioin yleinen tietosuoja-asetus tuli sovellettavaksi vuonna 2018 ja rekisteröidyille säädettiin siinä uusi oikeus siirtää tiedot rekisterinpitäjältä toiselle, turvaamaan rekisteröityjen oikeuksia. Tutkielmassa tarkastellaan lyhyesti henkilötietojen suojan asemaan Euroopan unionissa ja henkilötiedon käsitettä. Tutkielma keskittyy käsittelemään Euroopan unionin yleisen tietosuoja-asetuksen 20 artiklan oikeutta siirtää tiedot järjestelmästä toiseen. Tarkoituksena on selventää, miten rekisteröidyn siirto-oikeutta tulisi soveltaa ja mitä edellytyksiä oikeuden soveltamiselle on asetettu. Lisäksi selvitetään, mitä velvoitteita siirto-oikeus tuo rekisterinpitäjille. Tutkielmassa on haluttu ottaa selvää, miten siirto-oikeutta on todellisuudessa sovellettu. Tutkielmassa on siksi hyödynnetty erinäisiä tutkimuksia, joissa on tarkasteltu siirto-oikeuden käyttämistä tosielämässä. Näiden tutkimusten avulla pyritään luomaan katsaus siihen, miten siirto-oikeutta on käytännön tasolla sovellettu ja minkälaisia haasteita siihen on liittynyt. Tutkielmassa luodaan katsaus myös siirto-oikeuden ja kilpailuoikeuden suhteeseen. Lopuksi pyritään löytämään keinoja, miten siirto-oikeutta voitaisiin kehittää, jotta sen koko potentiaali saataisiin rekisteröityjen ja yhteiskunnan hyödynnettäväksi. Tutkielmasta selviää, että siirto-oikeuteen liittyy nykyisellään tiettyjä epätäsmällisyyksiä ja haasteita. Vaikuttaa siltä, että oikeutta on rekisteröityjen taholta käytetty melko vähän, mutta tutkituissa tapauksissa rekisteröity on pystynyt saamaan itseään koskevat henkilötiedot rekisterinpitäjältä. Harva rekisterinpitäjä on kuitenkaan mahdollistanut henkilötietojen siirtämisen suoraan rekisterinpitäjältä toiselle.
  • Antikainen, Annika (2021)
    Vihapuheelle ei ole olemassa yhtä oikeaa määritelmää, mutta käytännössä siihen on perinteisesti katsottu sisältyvän rasistinen tai syrjivä elementti. Tällainen elementti korostuu etenkin ryhmiin kohdistetussa vihapuheessa siinä missä yksilöön kohdistetussa vihapuheessa voi korostua myös kunnian ja maineen loukkaaminen, mahdollisesti jopa ilman syrjintäelementtiä. Vaikka vihapuhe itsessään ei ole uusi ilmiö, viestinnän keskittyessä entistä enemmän sosiaalisen median alustoihin, myös vihapuheen määrä on yleistynyt sosiaalisessa mediassa. Tätä voidaan kenties ainakin osittain selittää sillä, että verkossa käyttäjillä on mahdollisuus verhoutua anonyymien nimimerkkien taakse. Toisaalta sosiaalisen median luonteeseen kuuluu, että nimenomaan käyttäjät viestivät ja tuottavat sisältöä alustalla itse alustan roolin jäädessä passiiviseksi sisällöntuotannon suhteen. Tämän vuoksi kysymys ensinnäkin siitä, millainen poistamisvastuu sosiaalisen median alustalla on muiden julkaiseman tai levittämän vihapuheen poistamisesta sekä toiseksi siitä, pitäisikö tämän poistamisvastuun olla ankarampi, on ajankohtainen. Kyse sosiaalisen median alustoille kohdistetuista velvoitteista vihapuhesisällön torjumiseksi liittyy olennaisesti perus- ja ihmisoikeutena turvattuun sananvapauteen ja sen rajoittamiseen. Sananvapautta voidaan kuitenkin rajoittaa tietyn edellytyksin. Tällaisissa tilanteissa toistensa kanssa jännitteessä olevat perus- ja ihmisoikeudet tulee pyrkiä tasapainottamaan niin, että kumpikin voisi toteutua mahdollisimman täysimääräisesti. Vihapuheen kontekstissa muita tällaisia relevantteja perus- ja ihmisoikeuksia ovat muun muassa yksityisyyden tai yksityiselämän suoja sekä syrjinnän kielto. Tämän tutkielman tarkoituksena onkin selvittää, millainen poistamisvastuu sosiaalisen median alustalla on kolmannen tuottaman vihapuhesisällön torjumisessa sekä pitäisikö tällaisen vastuun olla ankarampi vihapuheen uhrien perus- ja ihmisoikeuksien turvaamiseksi. Tällaisina vihapuheen uhrin kannalta merkittävinä perus- ja ihmisoikeuksina tutkitaan yksityiselämän suojaa ja syrjinnän kieltoa. Tutkimuksen tarkoituksena on lisäksi selvittää, olisivatko tällaiset ankarammat poistamisvelvoitteet ongelmallisia sananvapauden kannalta. Tutkielmassa tarkastellaan mahdollista ongelmallisuutta sananvapauden kannalta perusoikeuksien yleisten rajoitusedellytysten valossa. Tutkielmassa esitetään myös oikeusvertailevia näkökohtia ja annetaan de lege ferenda -tyylisiä suosituksia siitä, miten sananvapaus pystyttäisiin turvaamaan sosiaalisen median vihapuheen torjumista koskevan poistamisvastuun kontekstissa. Tarkastelun keinot nojautuvat ensisijaisesti lainoppiin. Lähdeaineistona käytetään muun muassa perustuslakia (731/1999), Euroopan unionin perusoikeuskirjaa, Euroopan ihmisoikeussopimusta sekä sähköisen viestinnän palveluista annettua lakia (917/2014), johon on muun muassa implementoitu EU:n sähköistä kaupankäyntiä koskeva direktiivi 2000/31/EY sekä audiovisuaalisia mediapalveluja koskeva direktiivi 2010/13/EU ja sitä muuttava direktiivi (EU) 2018/1808. Myös kyseiset direktiivit ovat lähdeaineistona, sillä sosiaalisen median kontekstissa eurooppaoikeudellisilla lainsäädäntöinstrumenteilla on jopa kansallista lainsäädäntöä suurempi merkitys. Tarkastelun kohteena on myös joitakin EU:n soft law -instrumentteja. Saksassa huomiota herättänyt verkkovalvontalaki (saksaksi Netzwerkdurchsetzungsgesetz, ”NetzDG”) velvoittaa muun muassa monia sosiaalisen median alustoja sanktioiden uhalla muun muassa arvioimaan laittomasta sisällöstä saadut ilmoitukset tiettyjen aikarajojen sisällä. Tästä saksalaisesta sääntelystä on nostettu esiin joitakin oikeusvertailevia argumentteja. Euroopan komission ehdotus digipalvelusäädökseksi (COM/2020/825) voidaan nähdä askeleena saksalaisen verkkovalvontalain suuntaan, sillä alustoille ehdotetaan asetettavan ankarampia velvoitteita laittoman sisällön, kuten vihapuheen, torjumiseksi sanktioiden uhalla. ”Erittäin suurille verkkoalustoille”, joihin moni sosiaalisen median alustoista lukeutuisi, on ehdotettu säänneltävän lisävelvoitteita. Käytännössä verkkoalustoille kohdistettujen ankarien velvoitteiden on pelätty johtavan sananvapauden hiljennysvaikutukseen (chilling effect), mikäli sosiaalisen median alustat poistavat sanktioiden pelossa myös laillista sisältöä. Vaikka perus- ja ihmisoikeusvelvoitteet velvoittavat ensi sijassa valtiota, tässä tutkielmassa joudutaan ottamaan kantaa poistamisvastuun kannalta myös siihen, missä määrin yksityisten toimijoiden, kuten sosiaalisen median alustojen, voidaan velvoittaa tai olettaa asianmukaisesti noudattavan perus- ja ihmisoikeuksia sisällön poistamispäätöksissään. Näin ollen tutkielmassa tarkastellaan myös perus- ja ihmisoikeuksien horisontaalivaikutusta. Tutkielmassa tarkastellaan muun muassa sitä, saavatko verkkoalustat käyttöehdoissaan kieltää alustallaan muutakin sisältöä kuin selvästi laitonta sisältöä, kuten selvästi laitonta vihapuhetta. Tarkastelun kohteena on toisaalta myös se, voiko kyseessä olla perustuslain 124 §:n mukainen julkisten hallintotehtävien antaminen muille kuin viranomaiselle tapauksissa, joissa sosiaalisen median alustan ylläpitäjä punnitsee sisällön laillisuutta.
  • Kumpula, Ilkka (2024)
    Perustuslakivaliokunta ei ole arvioinut rikoslain 12 luvun 7 §:n turvallisuussalaisuuden paljastamiskriminalisoinnin perustuslainmukaisuutta sitä säädettäessä. Lakivaliokunta on kuitenkin kiinnittänyt huomiota siihen, että paljastamiskriminalisoinnin tunnusmerkistön avoimuus voi uhata ilmaisunvapautta. Paljastamiskriminalisoinnin ja sananvapauden välinen ristiriita on aktualisoitunut Viestikoekeskus-jutussa, jossa Helsingin käräjäoikeus on ratkaisullaan arvioinut sananvapautta oikeuttamisperusteena, mutta päätynyt kahden toimittajan osalta syyksilukevaan tuomioon. Tässä tutkimuksessa esitetään, että sananvapauden soveltuminen oikeuttamisperusteena tulee sitoa perusoikeuksien yleisiin rajoitusedellytyksiin. Arvioitaessa sananvapauden soveltumista turvallisuussalaisuuden paljastamisen oikeuttamisperusteena keskeisimmäksi rajoitusedellytyksistä osoittautuu suhteellisuusedellytys, joka on ratkaisevassa asemassa sekä kansallisella tasolla että kansainvälisten ihmisoikeusvelvoitteiden täyttämisessä. Rikoslain 12 luvun 7 §:n soveltamisen edellyttämässä suhteellisuuspunninnassa vastakkain asettuvaa sananvapautta ja kansallista turvallisuutta tarkastellaan oikeusperiaatteina, joiden sisältöä määritetään oikeuslähteiden perusteella. Ihmisoikeusvelvoitteiden täyttämisen näkökulmasta tärkein oikeuslähde on EIT:n EIS 10 artiklaa koskeva ratkaisukäytäntö. EIT:n soveltaman harkintamarginaaliopin vuoksi kuitenkin katsotaan, että yleisistä rajoitusedellytyksistä kansallinen suhteellisuusedellytys asettaa tiukimmat edellytykset sananvapauden rajoittamiselle. Kansallisen turvallisuuden painoarvo osoittautuu tutkimuksessa kansallisessa perusoikeusjärjestelmässä sananvapautta heikommaksi. Tämän painoarvoeron katsotaan johtavan siihen, ettei rikoslain 12 luvun 7 §:n soveltaminen voi useissa sen tunnusmerkistön piiriin kuuluvissa tilanteissa täyttää kansallista suhteellisuusedellytystä. Sananvapaus osoittautuu siten tutkimuksessa voimakkaammaksi turvallisuussalaisuuden paljastamisen oikeuttamisperusteeksi kuin Helsingin käräjäoikeuden Viestikoekeskus-ratkaisulla suorittamassa arviossa.
  • Mäkitalo, Heidi (2022)
    ”Yksityisyydestään huolestuneiden kannattaa aina miettiä mitä sovelluksia puhelimeensa asentaa. Facebookin omistama Instagram myy jopa 79 prosenttia keräämästään datasta – eli tietoja sinun käyttäytymisestäsi.” Näin alkaa Alma Median Mikrobitti -sivustolla 15.3.2021 julkaistu uutinen. Teknologinen kehitys on mahdollistanut se, että miljardit ihmiset omistavat mobiililaitteen ja yhteydenpito on mahdollista ympäri maailmaa. Mobiililaitteet ovat pieniä tietokoneita, jotka kulkevat ihmisten mukana keräten jatkuvasti tietoja käyttäjästään. Tietoja on mahdollista hyödyntää monin eri tavoin. Sijaintitiedon avulla on mahdollista tunnistaa yksittäisiä ihmisiä ja käyttäjät voivat itse luovuttaa henkilötietojaan rekisterinpitäjälle vastineeksi palvelun käytöstä. Lisäksi palvelin kerää käyttäjiensä digitaalista jalanjälkeä eli käyttäjän jokaista digitaalista toimea tarkkaillaan ja analysoidaan. Tietoja voidaan myös myydä eteenpäin, mutta usein tiedot ovat arvokkaita myös tiedot keränneelle, sillä tietojen avulla voidaan kehittää palveluja ja tarjota käyttäjälle entistä parempi käyttökokemus. Mobiilisovellusten tarkoitus on usein saada käyttäjä palaamaan kyseiseen palveluun aina uudelleen. Tiedot, joista on mahdollista tunnistaa yksittäinen henkilö ovat henkilötietoja. Henkilötietojen käsittelyyn sovelletaan Euroopan unionin yleistä tietosuoja-asetusta ja kyseinen asetus asettaa tietyt ehdot, joiden perusteella henkilötietojen käsittely on mahdollista. Henkilötiedot ovat arvokkaita yrityksille ja mobiililaitteen sijaintitietojen hyödyntäminen mahdollistaa uudenlaisia palveluita. Kun automaattisen tekniikan avulla on mahdollista muodostaa tarkatkin tiedot käyttäjästä, voidaan tarjota esimerkiksi kohdennettua mainontaa. Mobiilisovelluksen toiminta tai ehdotettu video ovat suunniteltua perustuen laskelmoituihin oletuksiin ja tarkkoihin tietoihin käyttäjästä, yksityisyyden valitettavan usein jäädessä taka-alalle. Tutkielma käsittelee millä perusteella mobiilisovellukset saavat käsitellä henkilötiedoksi määriteltyä sijaintietoa eurooppalaisen tietosuojalainsäädännön valossa. Pääasiallisena tutkimuskohteena on sijaintitiedon käsittely suostumusperusteella. Euroopan unionin yleisen tietosuoja-asetuksen mukaan sijaintitieto on lähtökohtaisesti henkilötietoa. Tutkielma tarkastelee ensin tarkemmin sitä, milloin sijaintitieto on henkilötietoa ja milloin se luokitellaan anonyymiksi tiedoksi. Tutkielmassa käsitellään sijaintitietoon liittyvät käsitteet ja sijaintitietoja analysoidaan erotettuna muista henkilötiedoista niihin liittyvien erityispiirteiden vuoksi. Näitä erityispiirteitä, kuten erityiseen henkilötietoryhmään kuuluvia tietoja käsitellään ja tulkitaan voimassa olevan lainsäädännön mukaisesti. Sijaintitietojen kohdalla tietojen käsittely on usein laajamittaista ja jatkuvan sijaintitiedon käsittely vaarantaa käyttäjän yksityisyyden erityisesti, jos kyseisistä tiedoista muodostuu erityisiksi henkilötiedoiksi luokiteltuja arkaluonteisia tietoja. Oikeudet henkilötietojen suojaan ja yksityisyyteen ovat perus- ja ihmisoikeuksia. Tutkielman päätutkimuskysymykset koskevat sitä, milloin ja millä perusteella mobiilisovellukset saavat kerätä eli käsitellä käyttäjiensä sijaintitietoja. Tutkielma tarkastelee siis tietosuojalainsäädännön asettamia rajoja koskien sijaintitietojen käsittelyperusteita keskittyen erityisesti yleisimpään käsittelyperusteeseen eli suostumukseen ja sen ajalliseen ulottuvuuteen. Tarkastelu tehdään mobiilisovellusten näkökulmasta. Tutkielman tarkoituksena on löytää vastaus siihen, miten mobiilisovellus saa käsitellä henkilötietoja, kuten sijaintietoja ja mitkä tilanteet muodostavat ongelmia käyttäjän yksityisyyden kannalta. Tämän jälkeen tutkielmassa käsitellään vielä lyhyesti sitä, miten käyttäjä voi suojautua tietojensa käsittelyltä ja viimeisenä tarkastellaan tarkemmin kaupallisia mobiilisovelluksia.
  • Vergara, Javier (2023)
    In my thesis, I explore the roles and responsibilities of software developers as data controllers under the General Data Protection Regulation (hereinafter ‘GDPR’), focusing on the complexities arising from centralised and decentralised software development processes. I address two research questions: (i) taking into account the factors and considerations specific to centralised and decentralised software development processes, how can the roles and responsibilities of software developers as data controllers be determined under the GDPR? and (ii) how may the unique features of Decentralised Applications (hereinafter ‘dApps’) influence the assignment of data controllership in the context of the GDPR? To answer my research questions, I first start by establishing a comprehensive understanding of some relevant core concepts: data controllership, software development, and the varying levels of centralisation in software development. Thereafter, I analyse the roles of individuals within Software Development Companies, SDAs, open source projects, dApps, and smart contracts. In centralised development, assigning controllership is more straightforward, but some complex situations like joint controllership may arise in certain cases. Decentralised software development processes, like in open source projects, complicates the determination of data controllership due to dispersed decision-making across various roles. Examining these roles and different project categories helps to better understand potential data controllership allocations. Furthermore, I discuss specific challenges in determining data controllership in dApps and smart contracts. The totally decentralised nature of dApps and the immutability of its source code further complicates things when trying to identify a single entity with control over the processing of personal data. Additionally, establishing accountability (which is a cornerstone of data controllership), is difficult without control. Currently, no definitive guidance on this matter exists, suggesting that additional legislation may be needed to address the intricacies of decentralised systems within the context of the GDPR. Throughout my thesis, I emphasise the importance of a case-by-case analysis for determining data controllership, and provide insights into potential assessment outcomes. Overall, my research serves as a foundation for understanding software developers’ roles and responsibilities as data controllers in various development processes under the GDPR.
  • Zhakhina, Saltanat (2019)
    The purpose of the thesis is to assess the compatibility of the business model of providing free online services in exchange for processing of the personal data for advertising purposes, in particular for the Online Behavioural Advertising purpose, with the GDPR. Online Behavioural Advertising is a main way through which the free online services are funded. At the same time large-scale personal data collection and intrusive profiling, the controllers engage into pose significant risks for the rights of the data subjects. Empirical findings show that the companies using such business model oftentimes collect large amount of personal data in violation of GDPR. In addition, the researchers highlight the power asymmetries between the large online platform and the data subjects. Therefore, whether such a business model is compatible with the GDPR from legal perspective is of a particular importance. The first part of the thesis focuses on the lawfulness of the existing data collection practices in the context of the business model in question. The second part of the thesis discusses the profiling and data sharing in the context of such model and the third part focuses on the principles of the data protection by design and by default. The mentioned legal provisions are analysed with the focus on their compatibility with the business model in question. The research found that the business model seems to be compatible with the GDPR in a sense that it is in principle possible to comply with its requirements for the controllers. Such a compliance however would likely lead to a decrease in revenue for the controllers who relied on unsuitable legal basis or who manipulated users into giving away more PD. At the same time such a compliance still would not give the effective protection to the data subjects’ rights due to the lack of more explicit, precise and specific rules in GDPR.
  • Heikkinen, Tatjaana (2023)
    The European Convention on Human Rights (ECHR) guarantees everyone’s right to freedom of expression under article 10. Freedom of expression can be restricted if the restriction is prescribed by law, pursues a legitimate aim, and is necessary in a democratic society. The European Court of Human Rights (ECtHR) handles cases concerning article 10 frequently and some of these cases concern hate speech and genocide denial. This thesis seeks to discover how the ECtHR has handled cases relating to the holocaust denial and the denial of the Armenian genocide. This thesis will thus describe and analyse the relevant case law. This thesis will also attempt to uncover if the ECtHR approaches the two genocides in a similar manner, or whether the examination of the relevant cases indicates that a hierarchy of genocides exists in the ECtHR case law. The ECtHR has handled several cases relating to holocaust denial, whereas case law relating to the Armenian genocide is few. In a majority of holocaust denial cases the ECtHR has found no violation of article 10 and many forms of denialistic speech are not protected by the ECHR. In denial cases concerning the Armenian genocide, the ECtHR has found a violation of the applicant’s freedom of expression. Therefore, denialistic speech relating to the Armenian genocide is permitted. An examination of the case law indicates that the holocaust is in an elevated position. The ECtHR recognises the holocaust as a clearly established historical fact, however the Armenian genocide is not recognised as such. Furthermore, article 17 is often applied either directly or as an interpretive tool in the examination of the holocaust case law. The ECtHR has stated in a majority of holocaust denial cases that the application has been manifestly ill-founded or incompatible ratione materiae with the provisions of the ECHR in light of article 17 of the ECHR. Article 17 is not applied customarily in the Armenian genocide denial related case law. Incitement to hatred is presumed in cases of holocaust denial, but the same assumption does not apply in relation to the Armenian genocide. Victims of the holocaust and their right to their dignity are also customarily referenced in the judgments. The ECtHR case law has made it more difficult to apply the same protections to the victims of the Armenian genocide. It therefore seems that there exists a hierarchy of genocides in the ECtHR case law.
  • Pfau, Diana Victoria (2021)
    Surveillance Capitalism, as described by Shoshana Zuboff, is a mutation of capitalism in which the main commodity to be traded is behavioural surplus, or personal data. As the forming of Surveillance Capitalism was significantly furthered by Artificial Intelligence (AI), AI is a central topic of the thesis. Personalisation that will oftentimes involve the use of AI tools is based on the collection of big amounts of personal data and bears several risks for data subjects. In Chapter I, I introduce the underlying research questions: Firstly, the question which effects the use of AI in Surveillance Capitalism has on democracy in the light of personalisation of advertisement, news provision, and propaganda. Secondly, the question whether the European Data Protection Regulation (GDPR) and the Charter of Fundamental Rights of the European Union react to these effects appropriately or if there is still need for additional legislation. In Chapter II, I determined a working definition of Artificial Intelligence. Additionally, the applicability of the GDPR together with potential problems are introduced. A special focus here lays on the underlying rationale of the GDPR. This topic is evaluated on several occasions during the thesis and reveals that the focus of the GDPR on enabling the data subject to exercise control over his or her information conflicts with the underlying rationale of Surveillance Capitalism. In Chapter III, four steps of examination follow. In a first step,I introduce the concept of Surveillance Capitalism. Personalized advertisement together with consent as a legal basis for processing of personal data are examined. During this examination, profiling, inferences, and the data processing principles of the GDPR are explored in the context of personalisation and AI. A focus in this examination is the question how individuals and democracy can be impacted. It is found that there is a lack of protection when it comes to the use of consent as a legal basis for privacy intrusive personalized advertisement and it is likely that the data subject will not be able to make an informed decision when asked for consent. Data minimisation, purpose limitation and storage limitation as important data processing principles proof to be at odds with the application of Artificial intelligence in the context of personalisation. Especially when it comes to the deletion of data further research in AI will be necessary to enable the adherence to the storage limitation.In a second step, I examined personalized news and propaganda according to their potential impacts on individuals and democracy. Explicit consent as a legal basis for processing of special categories is examined together with the concept of data protection by design as stipulated in article 25 GDPR. While explicit consent is found to likely suffer from the same weaknesses as the “regular consent”, I proposed that data protection by design could solve some of the arising issues if the norm is strengthened in the future.In a third step, I evaluate whether the right to receive and impart information laid down in the Charter of Fundamental Rights of the European Union provides for a right to receive unbiased, or unpersonalized, information. While there are indications that such a right could be acknowledged however, its scope is unclear so far. In a fourth step, I examine the proposal for a European Artificial Intelligence Act with the unfortunate outcome, that this Act might not be able to fill the discovered gaps left by the GDPR. I conclude that, taking into consideration all findings of the research, the use of AI in personalisation can significantly harm democracy by potentially impacting the freedom of political discourse, provoking social inequalities, and influencing legislation and science through heavy investment and lobbying. Ultimately, the GDPR does leave significant gaps due to the incompatibility of underlying rationales of the GDPR and Surveillance Capitalism and there is a need to protect data subjects additionally. I propose that future legislations on the use of AI in personalization should react appropriately to the rationale of Surveillance Capitalism.
  • Sanmark, Wilhelm (2021)
    Whether online intermediaries should be held responsible for user-uploaded content is one of the earliest conundrums of Internet law. Since the 1990s, the prevailing model has been to exempt online intermediaries from liability for third-party infringements as long as they conform to certain conditions. Recently, calls to expand intermediary liability has intensified both in the U.S. and the EU. Adversaries of the safe harbor regulation claim that the current laws have gone too far and favor intermediaries unfairly. The aim of the thesis is to analyze the validity of the calls to abolish safe harbors. The intent is to do so by investigating how the safe harbors work, why they exist, how they will develop in the future, and what to consider if the procedures were to be changed. The methods chosen are doctrinal research and comparative analysis. The reason for using both methods is that it will provide a deeper understanding of why safe harbors exist and additional arguments for the analysis. I have chosen to compare the U.S. and the EU intermediary liability regimes because of the vast amount of information available, their close historical ties, and the relevance of respective markets. The question of whether intermediary liability safe harbors should exist or not boils down to which fundamental rights the legislators want to emphasize and protect. All of the involved parties have their own set of competing interests and any decision is going to favor someone. There are three ways to go about changing how intermediary liability works. The first option is to provide intermediaries complete insulation from liability, the second option is to introduce safe harbors that are conditional or to adjust existing conditions, and the third option is to introduce strict liability to intermediaries. The first two options already exist in the U.S. and are proven to work. The procedures are not flawless, but at least they conform to fundamental rights fairly well. Introducing strict liability to intermediaries would more than likely lead to ex-ante content blocking, thus violating freedom of expression to an unjustifiable extent.
  • Cordova Ramirez, Jorge (2023)
    The interest of this thesis is to investigate how the transparency framework of the GDPR is able to support effective accountability of ADM systems. To do this, I pose the following question: What are the limits of the transparency framework, presented in the GDPR, to effectively achieve accountability of automated decision-making systems? ADM is nowadays used to decide on many aspects of our lives. With the employment of algorithmic technologies, such as ML, these systems are now able to use available data as a defining factor for future decisions. Compared to human decision-making, ML-based ADM can be more efficient and save resources for businesses and governments. However, these systems have their own risks. They can be opaque about how data is processed and what are the reasons behind their decisions. This opacity gives systems’ owners the opportunity to have undesirable powers over individuals. In fact, even unintentionally, sometimes algorithmic decision systems can be biased and result in unfair or discriminatory decisions due to their technically complex nature. To counteract such information and power asymmetries between decision-makers and subjects, the demanded solutions have long been, transparency and accountability. The former to access and observe systems, and the latter to justify, challenge, and correct them. These ideals have been adopted by the GDPR as guiding data protection principles underlying the regulation framework. In this work, I observe that the GDPR protects individuals’ rights and freedoms by guaranteeing accountable ADM. But at the same time, accountability goals are dependent on how the regulation supports systems’ transparency. Thus, to determine the success of accountability, the transparency platform should be assessed. For this assessment, I start by setting a theoretical baseline, namely, the necessary level of transparency required to achieve the accountability of ADM systems. Based on the work of other authors, I establish that the legislation should optimally provide for transparency to; detect and correct potential discrimination, justify decisions, and allow contestation and correction of these decisions when necessary. Additionally, this baseline contains specific elements of ADM systems that should be allowed to be evaluated for such accountability. Against this background, an analysis of the law is performed to test to what extent can the GDPR’s transparency framework attain the standards set in the baseline. The analysis includes articles 12, 14, 15, 22, 25, and 35, for considering those with the most significant transparency implications for ADM. After looking at the content of the law, in conjunction with interpretations offered by EU authorities and the legal theory. The findings of the test are that the GDPR contains important individual rights to contest and correct decisions. However, the law has some phrasing limitations that result in a constraint to offer the disclosure of the elements necessary for the proper justification of decisions. Making it difficult for individuals to enforce their rights. Furthermore, the legislation lays data controllers’ obligations to continuously evaluate systems to assess and address their potential risks. As well as an obligation to design for more transparent and accountable systems. These could aid in the detection and correction of potential discrimination. Yet, these obligations are also limited by the text of the law to effectively offer less opaque and complex ADM systems. As a result, I conclude that, while the GDPR offers significant steps towards accountability. Its transparency framework is still limited to support the evaluation, justification, and thus, correction of complex ADM systems and their decisions. Significantly diminishing the legislation’s accountability promises.
  • Kapustin, Aleksei (2021)
    This research is focused on how effective the “right to contest” enshrined in recital 44 of the Digital Services Act is at protecting freedom of expression in online environments, namely, on social media platforms. The Digital Services Act is a proposal for a Regulation by the European Union, designed to harmonize certain aspects of internal market and strengthen the rights of individuals online. Social media platforms, especially those owned by the “Big Tech” companies, have become the center of public discourse. This centralization of public discourse leaves it vulnerable to exploitation by the tech companies. A string of recent events, culminating in the banning of the 45th president of the United States, Donald J. Trump, from Twitter and Facebook, have increased the intensity and volume of debates regarding the role of social media platforms and companies behind them in today’s society. As a result, these platforms find themselves under pressure from various stakeholders. Online platforms have a whole arsenal of tools to limit users, from shadow bans and labelling to de-platforming and demonetization. Moreover, platforms do not seem to have consistent rules regarding content moderation, which further diminishes certainty for all stakeholders involved: the users, the shareholders and state actors. The research aims to find if and how the Regulation tackles issues of social media platform operation. The research is guided by the following research question: does the “right to contest” enshrined in recital 44 and further in the Digital Services Act provide an adequate measure to foster freedom of expression online? The paper consists of the introduction, six parts of the main body and the conclusion. The first part is about history of web services, in which the paper discusses a shift in mentality towards cyber space with rights and responsibilities. The second part briefly touches upon basic challenges of platform governance, discussing issues of jurisdiction and enforcement. The third part describes the risks for society when significant power is concentrated in the hands of “Big Tech” companies. The fourth part focuses on social media platforms, the different ways they exploit users and possible efforts which can be undertaken to limit their negative influence. The fifth chapter is about freedom of expression online, its peculiarities, the practice thereof and reasons to safeguard it. Chapter six dives into detailed analysis of the “right to contest” with provisions which directly or indirectly affect freedom of expression online. The conclusion summarizes the positive and the negative points of the Regulation as regards freedom of expression and other relevant points. The research found that the Digital Services Act is insufficient at fostering freedom of expression online due to lack of provisions explicitly dedicated to safeguarding freedom of expression, in particular disturbing, offensive and shocking content, and its strong reliance on state actors to observe fundamental rights. It was concluded that the Regulation’s primary objective is to set a predictable environment which would allow all stakeholders involved to combat illegal content online. The research question was answered in the negative. Never the less, the redress system proposed by the Regulation for individuals to challenge certain decisions made by platforms was deemed to be effective, despite its numerous shortcomings.
  • Mäkelä, Tuomas (2021)
    Tutkielmassa tarkastellaan tuoreehkoa rikoslain 38 luvun 9 §:ään sisältyvää tietosuojarikosta. Tarkoituksena on selvittää säännöksen soveltamisalaa ja sen suhdetta sille osin rinnakkaiseen tietosuoja-asetuksen hallinnolliseen seuraamusjärjestelmään. Rikosoikeudellisen ja hallinnollisen seuraamusjärjestelmän mahdollista päällekkäisyyttä on lainsäätämisvaiheessa pyritty karsimaan rajaamalla tietosuojarikoksen 1 momentin soveltamisalan ulkopuolelle tietosuoja-asetuksessa tarkoitetut rekisterinpitäjät ja henkilötietojen käsittelijät, joihin sovelletaan ensisijaisesti asetuksen sanktiojärjestelmää. Sen sijaan 2 momentin osalta tietosuojarikoksen tekijäpiiri on yleinen, eli se koskee periaatteessa myös rekisterinpitäjiä ja henkilötietojen käsittelijöitä silloin kun ne ovat luonnollisia henkilöitä. Tästä huolimatta säännöstä tultaneen soveltamaan lähinnä rekisterinpitäjien palveluksessa tai lukuun toimiviin henkilöihin silloin, kun heidän toimintansa täyttää säädetyt tunnusmerkit, mutta ei merkitse itsenäistä rekisterinpitoa. Tietosuojarikos on toimeenpantu niin sanottua blankorangaistustekniikkaa käyttäen. Säännös sisältää itsessään luonnehdinnan kielletyistä tekotavoista, mutta se saa varsinaisen aineellisen sisältönsä muualta lainsäädännöstä blankettinormien välityksellä. Tehtyjä säädös- ja säännösviittauksia ei ole kuitenkaan onnistuttu muotoilemaan kovinkaan selkeällä tavalla, mikä on rikosoikeudellisen laillisuusperiaatteen kannalta ongelmallista. Avoin, riskiperusteinen ja periaatelähtöinen tietosuojasääntely asettaa rikosoikeudellisen vastuun perustamiselle vaikean lähtökohdan, kun lainsäädännöstä ei useinkaan käy kovin yksiselitteisellä tavalla ilmi kielletyn menettelyn piiriä. Rangaistavuutta ei pitäisi myöskään kytkeä rekisterinpitäjän organisatorisina toimenpiteinä luomiin ohjeisiin, sillä ne eivät voi sitovuudeltaan rinnastua lakiin. Tähän mennessä tietosuojarikosta on sovellettu edeltäjänsä henkilörekisteririkoksen tapaan lähinnä henkilötietojen laittomaan urkintaan. Tästä syystä tarkastelu kohdistuu tutkielmassa erityisesti tähän tekomuotoon. Urkinnan, eli henkilötietojen käyttötarkoituksenvastaisen hankkimisen lisäksi tietosuojarikokseen voi syyllistyä myös luovuttamalla tai siirtämällä henkilötietoja lainvastaisesti, taikka 2 momentin perusteella toimimalla vastoin henkilötietojen käsittelyn turvallisuudesta säädettyä. Oikeuskäytännön vähäisyys henkilötietojen luovuttamis- ja siirtotilanteiden osalta voisi selittyä tekotyyppien osittaisella päällekkäisyydellä rikoslain muiden säännösten kanssa. Monet henkilötietojen luovutus- ja siirtotilanteet ovat nimittäin salassapitosääntelyn alaisia, jolloin niiden vastaiseen menettelyyn soveltuu luontevammin erinäiset salassapitoa koskevat sanktiot.
  • Hurme, Kalle (2021)
    Tutkielman aiheena on rikoslain 17 luvun 10 §:ssä kriminalisoitu uskonrauhan rikkominen. Uskonrauhan rikkomisen kriminalisointia ja erityisesti siihen sisältyvää jumalanpilkkasäännöstä on kritisoitu oikeuskirjallisuudessa laajasti. Uskonrauhan rikkomisen kriminalisointi on rajoitus sananvapauteen, jota voidaan pitää yhtenä länsimaisen demokraattisen yhteiskunnan peruspilarina. Sananvapaus ei ole kuitenkaan rajoittamaton oikeus. Sananvapautta voidaan rajoittaa Euroopan ihmisoikeussopimuksen 10(2) artiklan mukaan silloin kun se on välttämätöntä demokraattisessa yhteiskunnassa esimerkiksi muiden oikeuksien turvaamiseksi. Tutkimuksessa on tarkoitus selvittää, voidaanko uskonrauhan rikkomisen kriminalisointia pitää hyväksyttävänä kriminalisointiperiaatteiden valossa. Käsiteltävinä kriminalisointiperiaatteina tutkimuksessa ovat oikeushyvien suojelun periaate, ultima ratio -periaate, ihmisarvon loukkaamattomuuden periaate, laillisuusperiaate ja hyöty–haitta-punninnan periaate. Kriminalisointiperiaatteet voidaan nähdä eräänlaisina kriittisinä työvälineinä, joiden asettamien vaatimusten on täytyttävä, jotta kriminalisointia voidaan pitää hyväksyttävänä. Uskonrauhan rikkomisen kriminalisoinnin suojelukohteina ovat kansalaisten uskonnolliset vakaumukset ja tunteet sekä uskonrauha yhteiskunnassa. Säännöksen taustalla ovat siten sekä yleinen järjestys että uskonnonvapaus. Tutkimuksessa arvioidaan muun muassa, voidaanko sananvapautta rajoittaa uskonnollisten vakaumusten ja tunteiden suojaamiseksi ja kuuluvatko uskonnolliset vakaumukset ja tunteet uskonnonvapauteen.
  • Söderholm, Ann-Marie (2021)
    Tässä lainopillisessa tutkielmassa tarkastellaan TSA 21 artiklan 1 kohdan yleistä vastustamisoikeutta henkilötietojen hallinnan ja kontrollin välineenä, sekä henkilötietojen suojaa koskevan perusoikeuden ja tiedollisen itsemääräämisoikeuden toteuttajana. TSA 21(1) artiklan mukainen vastustamisoikeus ei ole ehdoton oikeus. Rekisterinpitäjä voi jatkaa henkilötietojen käsittelyä, jos käsittelyn jatkamiseen huomattavan tärkeä ja perusteltu syy. Arvioinnissa on tasapainotettava yksilön edut, oikeudet ja vapaudet rekisterinpitäjän tai yhteisiä, kolmansien etuja ja oikeuksia vasten. Yleisen vastustamisoikeuden soveltaminen edellyttää siten tapauskohtaista punnintaa rekisterinpitäjän ja kolmansien sekä rekisteröidyn oikeuksien välillä. Tutkielmassa käsitellään vastustamisoikeuteen liittyvää oikeudellista punnintaa mekanismina, jolla oikeudenmukainen tasapaino, fair balance, voidaan tapauskohtaisesti saavuttaa. Ensimmäisen tutkintakysymyksen avulla tutkielmassa selvitetään, miksi henkilötietojen käsittelyn vastustamisoikeus on turvattu eurooppalaisessa tietosuojasääntelyssä, sekä käydään läpi vastustamisoikeuden tulkintaa ohjaava tausta ja yhteys henkilötietojen suojaan perusoikeutena. Tutkielmassa tarkastellaan lisäksi, miten oikeudenmukainen tasapaino on löydettävissä vastustamisoikeuden soveltamisen yhteydessä henkilötietoon liittyvien oikeuksien välillä. Tarkastelu suoritetaan EUT:n ja EIT:n ratkaisukäytännön sekä WP 29 tietosuojatyöryhmän ja Euroopan tietosuojaneuvoston (EDPB) kannanottojen sekä oikeuskirjallisuudessa esitettyjen kantojen valossa. Tutkielman tarkoituksena on nostaa esiin yleisen vastustamisoikeuden tulkinnan ja punninnan kannalta merkityksellisiä seikkoja esimerkkien sekä eurooppalaisen tietosuojasääntelyn tavoitteiden ja painopisteiden valossa. Kysymyksiä tarkastellaan oikeustieteellisestä näkökulmasta yksilön tietosuojaoikeuksien ja perusoikeuksien tehokkaan toteutumisen näkökulmasta. Kontekstin hahmottamiseksi tutkielmassa pyritään tiedostamaan yhteiskunnallinen ja taloudellinen paine sekä EU:n integraatiokehitys ja poliittinen ympäristö tietosuojasääntelyn taustalla. Vaikka henkilötietojen suojalla ja oikeudella hallita omia tietojaan on tärkeä merkitys niin yksilön kun demokraattisen yhteiskunnan kannalta, henkilötietojen suojan ei tule olla absoluuttinen oikeus. Punninta mahdollistaa oikeudenmukaisen tasapainon löytämisen yhtäältä eri oikeuksien ja intressien sekä toisaalta perusoikeuksien ja taloudellisten vapauksien välille. TSA toimii lainsäädäntökehyksenä sille, miten henkilötietojen suojaa voidaan tasapainottaa suhteessa muihin EU-oikeudessa tunnustettuihin perusoikeuksiin ja taloudellisiin vapauksiin. Oikeudenmukaisen tasapainon edellytys näkyy niin asetuksen jännitteisissä tavoitteissa, kuin yksittäisissä artikloissa. Avoimena normina myös vastustamisoikeuden soveltaminen edellyttää tapauskohtaisen punninnan tekemistä. Vastustamisoikeutta koskevassa punninnassa on kyse tapauskohtaisesta arvioinnista, jossa annetaan merkitystä muun muassa rekisteröidyn henkilökohtaiselle tilanteelle, käsiteltävien henkilötietojen sisällölle sekä käsittelyn laajuudelle ja valituille käsittelytoimille. Tutkielman lopuksi hahmotellaan, millaiset rekisterinpitäjän tai kolmansien yhteiset intressit saattavat syrjäyttää rekisteröidyn oikeuden määrätä omista henkilötiedoistaan. Tutkielmassa esitetään, että rekisteröidyn oikeus vastustaa henkilötietojensa käsittelyä on lähtökohtaisesti asetettava etusijalle. Tutkielmassa hahmotetaan myös erityisen painavia syitä vastustamisoikeuden vastapainona, jotka voivat mennä rekisteröidyn oikeuden edelle tapauskohtaisessa punninnassa. Vaikka punninnassa, jolla tähdätään oikeudenmukaisen tasapainon saavuttamiseen, on kyse korostetun tapauskohtaisesta arvioinnista, esitetään tutkielmassa tiettyjä osatekijöitä, jotka ovat yhteisiä kaikille vastustamisoikeutta koskeville punnintatilantilanteille.
  • Jansone, Anna (2023)
    The present study examines the legality of direct marketing to other Member States of the European Union by holders of an Estonian virtual currency service provider license, regulated by the Estonian Financial Intelligence Unit ("FIU") in accordance with the Act on Prevention of Money Laundering and Terrorist Financing ("MLTFPA"), in order to assess the feasibility of such a practice. In more detail, this study is intended to provide an overview of the Estonian crypto regulations in relation to direct marketing compliance, as well as a description of how the forthcoming regulations of the Estonian Parliament and Council on markets in crypto assets and amending Directive (EU) 2019/1937 may affect direct marketing compliance for crypto license holders in Estonia. Compliance is vital to establish worldwide standards, protecting consumers, preventing fraudulent activity (such as anti-money laundering, anti-terrorism funding), and promoting fair competition among businesses, such as anti-bribery and financial transparency. The selection of Estonia for this study is twofold: firstly, Estonia is one of the most digitized countries in the European Union, and secondly, it's also a leading destination for cryptocurrency businesses as well as one of the top destination countries in Europe for Fintech start-ups. Estonia has taken a leading role in the European Union's crypto licensing arena through its advanced policies towards cryptocurrencies. Estonia's foresight led to the issuance of crypto licenses as early as 2017, a landmark achievement which significantly accelerated the process for companies aiming to acquire an Estonian license. With relatively basic requirements in place for such a permit, businesses can easily operate without any encumbering legal impediments. The ease in obtaining Estonian crypto licenses proved rivaled by no other, creating a catalytic effect on worldwide crypto operations that were previously deterred and impeded by complex, time-consuming legal processes. In this way, Estonia's proactive stance in designing regulatory procedures unlocked doors to new horizons in the industry, vastly affecting large numbers of innovative startups looking to expand their business operability. Therefore, it is evident that a commitment to creating a conducive environment boosted Estonia's reputation as a superior hub for the dynamic domain of crypto, ahead of alternative actors available in different regions around the world. As cryptocurrency use has grown and evolved, so too has the legislation. It is possible to see that by comparing how the 2022 regulation differs significantly from the 2017 version. In 2020, Estonia's crypto regulatory system underwent a significant change when the entity responsible for the regulation of crypto moved from the Ministry of Interior to the Financial Intelligence Unit under the Ministry of Finance. The majority of crypto licenses were now revoked by the Financial Intelligence Unit in 2020. On March 15, 2022, an amendment was made to Estonia's Law on Preventing the Financing of Terrorism to include under the scope of the licensing system virtual currency providers as "obligated entities" in Sections 2(10) ("Application of this Act") and 72 ("Own funds requirements for a virtual currency service provider"). Therefore, making virtual currency providers subject to Estonian Money Laundering Act. An additional amendment to MLTFPA has been approved by the Estonian government on March 15th, 2022, which governs the cryptocurrency services offered by Estonian companies. By complying with these amendments as effectively as possible, the risk of money laundering and terrorist financing can be significantly reduced during cryptocurrency transactions within Estonian companies. As a matter of fact, this topic is of great significance mainly since there are a number of crypto companies that have been developed in Estonia, and there have been discussions about how these companies operate on the market with or without a government license. The aim of this investigation is to analyze the significance of insufficient objective information regarding the validity of Virtual Assets Service Providers' ("VASP") marketing services outside Estonia. The goal is to bring attention to the potential effects of the present situation where virtual currency companies pursue promotional activities in other EU regulated zones while abstaining from directly advertising their VASP offerings. To be precise, this research will explore how consumer protection and regulatory effectiveness have been impacted by such actions, particularly the ones enforced by the Estonian authorities - FIU and MLTFPA regulation. Moreover, there is, at the moment, no harmonized European Union legislation that regulates crypto marketing to so called “grey areas"' – meaning countries where cryptocurrencies are not regulated. In the context of the global trend focused on the active development of the digital economy, the relevance of issues related to the formation of approaches to the legal regulation of the use of the latest financial technologies (FinTech) seems indisputable. However, the European Parliament has taken significant action towards addressing this regulatory gap by approving the Markets in Crypto Assets (MiCA) Regulation in April 2023. This regulation represents a progressive effort to harmonize and standardize the governance of cryptocurrencies across the entire European Union, thereby ushering in a new period of regulatory clarity and transparency in the crypto market. The blockchain technology presents not only new possibilities but also new challenging conditions for traditional approaches to the provision of financial services. The development of cryptocurrencies, modern forms of attracting investments in the form of ICO (Initial Coin Offering) in the actual absence of a legal framework, brings potential risks to both private and public interests, namely: high volatility of the cryptocurrency rate, implication of investors in illegal activities, the unavailability of legal mechanisms to protect investors, jeopardizing global economic stability, etc. In this regard, it is interesting to consider the positions already formed on the legal regulation of the use of FinTech in European countries with the necessary experience in this area, in particular in Estonia, which is a member of the European Union. The positions of financial regulators and established requirements of the European Union and Estonia to ICOs are discussed in detail. Conclusions on the appropriateness of legal regulation of new phenomena, including at the international level, are formulated. Recommendations on the implementation of the Estonian experience in the regulation of ICOs and cryptocurrencies in the European Union system are made. Thus, it seems reasonable to observe the principle of technological neutrality in the formation of the legal framework of regulation of ICO and cryptocurrency, to consider bitcoin trading as a business activity subject to compulsory licensing, etc. The following recommendations are made for the implementation of the Estonian experience in the regulation of ICO and cryptocurrency in the European Union legal system. To sum up, Estonia's crypto regulations have experienced considerable progress since the introduction of licensure in 2017, and changes to the Money Laundering and Terrorist Financing Prevention Act in March 2022 reinforced it further, applying to virtual currency providers. Nevertheless, there still exist apprehensions concerning legality of marketing services supplied by Virtual Assets Service Providers beyond the Estonian land boundaries. The above mentioned regulation, passed by the European Parliament in April 2023, is expected to facilitate standards governing cryptocurrencies across all EU members. Given that direct advertising is a crucial aspect of the crypto industry, compliance with these upcoming regulations will be essential for enterprises operating in this territory, including those licensed in Estonia. It is therefore critical for these license holders to remain aware of regulatory developments and ensure their direct marketing practices comply with both Estonia's and the entire European Union's laws. Direct advertising is integral to the crypto industry as it is a key means of promoting and differentiating products and services, and therefore its regulation is of utmost importance for ensuring transparency and consumer protection, additionally the consequences of noncompliance with above mentioned legislation may lead to brand damage, regulatory fines, civil liability, and criminal charges.