Browsing by study line "Viestintä- ja informaatio-oikeus"

Tiivistelmä - Referat - Abstract In the modern European data economy two central ideals are in tension. Collection and processing of personal data is central to the commerce, development and innovation in Europe, but these interests must be balanced with robust protections for the human right to privacy. Anonymisation of personal data has been seen by some to have high potential to ease the tension between the interest to use data and the protection of the individual’s privacy. This approach has been examined by many European actors, including Data Protection Authorities. Further, there is precedent of anonymisation being interpreted as an equal alternative to erasure, in a specific case after a right to erasure request was made by a data subject in a commercial relationship. In this thesis I discuss anonymisation in the European data law, and specifically whether the approaches that promote the view that anonymisation can be understood as an erasure alternative are in line with the European Data law. I examine anonymisation with a dogmatic method and connect the legal understanding to perspectives of how anonymisation and erasure are understood in data science. To discover whether these approaches are incompatible with the European data law, I pose the question of whether anonymisation fulfils the protections laid out in Article 17 of General Data Protection Regulation (EU) 2016/679. To answer this question, I define the framework of successful application of the protections of the right to erasure, and with this methodology comparatively analyse erasure and anonymisation against the common criteria. It emerges that the concept of anonymisation is not clearly defined by the European primary sources, and further that the Data Protection Authorities’ approaches vary. Concepts of personal data and anonymous data are not in symmetry, and there is grey area around these terms. European legal understanding anonymisation as a concept, and to a lesser degree erasure, are distanced from the data science understanding of the terms. Developing a more nuanced understanding of anonymisation, both as a concept and its types and goals specifically, would provide tools for the European Data Law to create a more robust and future-proof legal framework. These findings show that European Data Law develop a more full and nuanced understanding of these concepts and their connections. In this way, the European Data Law could foster a bright, secure and balanced legal framework, creating opportunities and security for both data subjects and data controllers alike.

Rekisterinpitäjän on informoitava henkilötietojen käsittelystä rekisteröityjä, joiden henkilötietoja se kerää ja käsittelee. Kyse on rekisterinpitäjän informointivelvollisuudesta. Henkilötietojen keräämisestä ja käsittelystä informoiminen on yksi henkilötietojen suojaa koskevan perusoikeuden keskeisimpiä aspekteja, minkä vuoksi rekisteröityjen informoiminen on merkittävää. Ilman henkilötietojen käsittelyä koskevaa informaatiota rekisteröidyn on mahdotonta tietää, kuinka ja mihin hänen henkilötietojaan käytetään tai on jo käytetty. Lisäksi, rekisteröidyt voivat käyttää heille suotuja tietosuojaa koskevia oikeuksiaan ainoastaan, jos he ovat tietoisia tapahtuvasta henkilötietojen käsittelystä. Rekisterinpitäjän informointivelvollisuus on yksi yleisen tietosuoja-asetuksen läpinäkyvyysvaatimuksista ja siitä säännellään asetuksen 12–14 artikloissa. Tietosuoja-asetuksen myötä informointivelvollisuuden sisältö tarkentui ja sen sisältämien vaatimusten määrä kasvoi. Tämän tutkimuksen tarkoituksena on tarkastella informointivelvollisuutta ja selventää velvollisuuteen liittyvää oikeustilaa. Tutkimuksessa on tarkoitus käydä läpi informointivelvollisuuden tuomia vaatimuksia ja selvittää, miten rekisterinpitäjä voi toimittaa henkilötietojen käsittelyä koskevan informaation rekisteröidylle tietosuoja-asetuksen 12.1 artiklan vaatimalla tavalla asianmukaisesti. Tutkimusmetodina hyödynnetään lainoppia eli tutkielmassa tulkitaan ja systematisoidaan informointivelvollisuutta ja sitä koskevaa oikeustilaa. Tutkimuksen keskeisimpiä lähteitä ovat erilaiset, pääosin EU-oikeudelliset lähteet, kuten Euroopan unionin tuomioistuimen ja kansallisten tietosuojaviranomaisten ratkaisukäytäntö, unionin virallislähteet sekä aiheen kannalta relevantti kirjallisuus. Rekisterinpitäjän tulee toimittaa informaatio rekisteröidylle läpinäkyvästi eli rekisteröidyn tulee informaation perusteella ymmärtää, miten ja mihin tarkoituksiin hänen henkilötietojaan kerätään ja käsitellään. Jotta tämä informointi olisi läpinäkyvää ja jotta rekisterinpitäjä pystyisi täyttämään informointivelvollisuutensa, sen on otettava huomioon useat tietosuoja-asetuksen vaatimukset sekä erilaisiin henkilötietojen keräys- ja käsittelytoimintoihin liittyvät tapauskohtaiset erityispiirteet. Tapauskohtaisina erityispiirteinä tulee ottaa huomioon toimenpiteiden ja keinojen, joilla käsittelyä koskevat tiedot toimitetaan rekisteröidylle, asianmukaisuuteen vaikuttavat seikat. Tietosuoja-asetuksen vaatimusten lisäksi toimenpiteiden asianmukaisuuteen vaikuttavat esimerkiksi henkilötietojen keräämis- ja käsittelytilanteen ympäristö ja osapuolet, käsittelytarkoitukset sekä käsittelyn laajuus ja luonne. Näitä seikkoja tulee arvioida riskiperustaisesti. Mitä riskipitoisempaa rekisterinpitäjän toteuttama henkilötietojen kerääminen ja käsitteleminen on, sitä enemmän ja läpinäkyvämmin sen on otettava rekisteröidyn informoiminen omassa organisaatiossaan huomioon. Informointivelvollisuuden täyttämisessä tietosuoja-asetuksen vaatimusten ja riskiperustaisen lähestymistavan huomioiminen on erittäin tärkeää. Havaintojeni perusteella voidaan myös todeta, että informointivelvollisuuden täyttämiseksi rekisterinpitäjän kannattaa rakentaa tietosuojainformaatio monitasoisesti. Monitasoista tietosuojainformaatiota rakentaessa olisi erityisesti kiinnitettävä huomiota ensimmäisen tiedotustavan toimivuuteen, jotta rekisteröity ymmärtää informaation olennaisimmat seikat mahdollisimman aikaisessa vaiheessa. Edelleen, rekisterinpitäjän tulisi hyödyntää erilaisia sähköisiä ja ei-sähköisiä keinoja monipuolisesti laatiessaan ja toimittaessaan tietosuojainformaatiota rekisteröidylle. Ennen henkilötietojen keräämistä ja käsittelyä sekä sen aikana, rekisterinpitäjän tulee arvioida omia tietosuojatoimintojansa esimerkiksi kiinnittämällä huomiota rekisteröityihinsä ja käsittelytilanteeseen sekä testaamalla valitsemiansa toimenpiteitä. Tällä tavoin rekisterinpitäjä voi varmistaa ja osoittaa informaationsa läpinäkyvän toteutumisen. Informointivelvollisuuden merkitys henkilötietojen suojan osalta on siis olennainen, muun muassa juuri siksi, että se mahdollistaa muiden rekisteröidyille myönnettyjen oikeuksien käyttämisen. Tulevaisuudessa käsittelystä informoimisen merkitys saattaa edelleen kasvaa, mikäli henkilötietojen suoja saa Euroopan unionin tuomioistuimessa ja kansallisten tietosuojaviranomaisten ratkaisuissa edelleen viimeaikaisen käytännön mukaisesti suuren roolin.

Henkilötietojen suoja on tunnustettu omana perusoikeutena Euroopan unionissa, ja tietosuojasääntely on noussut merkittävään asemaan henkilötietojen moninkertaistuneen keräyksen ja käsittelyn myötä. On tärkeää, että henkilötietojen suojaa turvaava sääntely pysyy ajan tasalla teknologisen kehityksen kanssa. Euroopan unioin yleinen tietosuoja-asetus tuli sovellettavaksi vuonna 2018 ja rekisteröidyille säädettiin siinä uusi oikeus siirtää tiedot rekisterinpitäjältä toiselle, turvaamaan rekisteröityjen oikeuksia. Tutkielmassa tarkastellaan lyhyesti henkilötietojen suojan asemaan Euroopan unionissa ja henkilötiedon käsitettä. Tutkielma keskittyy käsittelemään Euroopan unionin yleisen tietosuoja-asetuksen 20 artiklan oikeutta siirtää tiedot järjestelmästä toiseen. Tarkoituksena on selventää, miten rekisteröidyn siirto-oikeutta tulisi soveltaa ja mitä edellytyksiä oikeuden soveltamiselle on asetettu. Lisäksi selvitetään, mitä velvoitteita siirto-oikeus tuo rekisterinpitäjille. Tutkielmassa on haluttu ottaa selvää, miten siirto-oikeutta on todellisuudessa sovellettu. Tutkielmassa on siksi hyödynnetty erinäisiä tutkimuksia, joissa on tarkasteltu siirto-oikeuden käyttämistä tosielämässä. Näiden tutkimusten avulla pyritään luomaan katsaus siihen, miten siirto-oikeutta on käytännön tasolla sovellettu ja minkälaisia haasteita siihen on liittynyt. Tutkielmassa luodaan katsaus myös siirto-oikeuden ja kilpailuoikeuden suhteeseen. Lopuksi pyritään löytämään keinoja, miten siirto-oikeutta voitaisiin kehittää, jotta sen koko potentiaali saataisiin rekisteröityjen ja yhteiskunnan hyödynnettäväksi. Tutkielmasta selviää, että siirto-oikeuteen liittyy nykyisellään tiettyjä epätäsmällisyyksiä ja haasteita. Vaikuttaa siltä, että oikeutta on rekisteröityjen taholta käytetty melko vähän, mutta tutkituissa tapauksissa rekisteröity on pystynyt saamaan itseään koskevat henkilötiedot rekisterinpitäjältä. Harva rekisterinpitäjä on kuitenkaan mahdollistanut henkilötietojen siirtämisen suoraan rekisterinpitäjältä toiselle.

Vihapuheelle ei ole olemassa yhtä oikeaa määritelmää, mutta käytännössä siihen on perinteisesti katsottu sisältyvän rasistinen tai syrjivä elementti. Tällainen elementti korostuu etenkin ryhmiin kohdistetussa vihapuheessa siinä missä yksilöön kohdistetussa vihapuheessa voi korostua myös kunnian ja maineen loukkaaminen, mahdollisesti jopa ilman syrjintäelementtiä. Vaikka vihapuhe itsessään ei ole uusi ilmiö, viestinnän keskittyessä entistä enemmän sosiaalisen median alustoihin, myös vihapuheen määrä on yleistynyt sosiaalisessa mediassa. Tätä voidaan kenties ainakin osittain selittää sillä, että verkossa käyttäjillä on mahdollisuus verhoutua anonyymien nimimerkkien taakse. Toisaalta sosiaalisen median luonteeseen kuuluu, että nimenomaan käyttäjät viestivät ja tuottavat sisältöä alustalla itse alustan roolin jäädessä passiiviseksi sisällöntuotannon suhteen. Tämän vuoksi kysymys ensinnäkin siitä, millainen poistamisvastuu sosiaalisen median alustalla on muiden julkaiseman tai levittämän vihapuheen poistamisesta sekä toiseksi siitä, pitäisikö tämän poistamisvastuun olla ankarampi, on ajankohtainen. Kyse sosiaalisen median alustoille kohdistetuista velvoitteista vihapuhesisällön torjumiseksi liittyy olennaisesti perus- ja ihmisoikeutena turvattuun sananvapauteen ja sen rajoittamiseen. Sananvapautta voidaan kuitenkin rajoittaa tietyn edellytyksin. Tällaisissa tilanteissa toistensa kanssa jännitteessä olevat perus- ja ihmisoikeudet tulee pyrkiä tasapainottamaan niin, että kumpikin voisi toteutua mahdollisimman täysimääräisesti. Vihapuheen kontekstissa muita tällaisia relevantteja perus- ja ihmisoikeuksia ovat muun muassa yksityisyyden tai yksityiselämän suoja sekä syrjinnän kielto. Tämän tutkielman tarkoituksena onkin selvittää, millainen poistamisvastuu sosiaalisen median alustalla on kolmannen tuottaman vihapuhesisällön torjumisessa sekä pitäisikö tällaisen vastuun olla ankarampi vihapuheen uhrien perus- ja ihmisoikeuksien turvaamiseksi. Tällaisina vihapuheen uhrin kannalta merkittävinä perus- ja ihmisoikeuksina tutkitaan yksityiselämän suojaa ja syrjinnän kieltoa. Tutkimuksen tarkoituksena on lisäksi selvittää, olisivatko tällaiset ankarammat poistamisvelvoitteet ongelmallisia sananvapauden kannalta. Tutkielmassa tarkastellaan mahdollista ongelmallisuutta sananvapauden kannalta perusoikeuksien yleisten rajoitusedellytysten valossa. Tutkielmassa esitetään myös oikeusvertailevia näkökohtia ja annetaan de lege ferenda -tyylisiä suosituksia siitä, miten sananvapaus pystyttäisiin turvaamaan sosiaalisen median vihapuheen torjumista koskevan poistamisvastuun kontekstissa. Tarkastelun keinot nojautuvat ensisijaisesti lainoppiin. Lähdeaineistona käytetään muun muassa perustuslakia (731/1999), Euroopan unionin perusoikeuskirjaa, Euroopan ihmisoikeussopimusta sekä sähköisen viestinnän palveluista annettua lakia (917/2014), johon on muun muassa implementoitu EU:n sähköistä kaupankäyntiä koskeva direktiivi 2000/31/EY sekä audiovisuaalisia mediapalveluja koskeva direktiivi 2010/13/EU ja sitä muuttava direktiivi (EU) 2018/1808. Myös kyseiset direktiivit ovat lähdeaineistona, sillä sosiaalisen median kontekstissa eurooppaoikeudellisilla lainsäädäntöinstrumenteilla on jopa kansallista lainsäädäntöä suurempi merkitys. Tarkastelun kohteena on myös joitakin EU:n soft law -instrumentteja. Saksassa huomiota herättänyt verkkovalvontalaki (saksaksi Netzwerkdurchsetzungsgesetz, ”NetzDG”) velvoittaa muun muassa monia sosiaalisen median alustoja sanktioiden uhalla muun muassa arvioimaan laittomasta sisällöstä saadut ilmoitukset tiettyjen aikarajojen sisällä. Tästä saksalaisesta sääntelystä on nostettu esiin joitakin oikeusvertailevia argumentteja. Euroopan komission ehdotus digipalvelusäädökseksi (COM/2020/825) voidaan nähdä askeleena saksalaisen verkkovalvontalain suuntaan, sillä alustoille ehdotetaan asetettavan ankarampia velvoitteita laittoman sisällön, kuten vihapuheen, torjumiseksi sanktioiden uhalla. ”Erittäin suurille verkkoalustoille”, joihin moni sosiaalisen median alustoista lukeutuisi, on ehdotettu säänneltävän lisävelvoitteita. Käytännössä verkkoalustoille kohdistettujen ankarien velvoitteiden on pelätty johtavan sananvapauden hiljennysvaikutukseen (chilling effect), mikäli sosiaalisen median alustat poistavat sanktioiden pelossa myös laillista sisältöä. Vaikka perus- ja ihmisoikeusvelvoitteet velvoittavat ensi sijassa valtiota, tässä tutkielmassa joudutaan ottamaan kantaa poistamisvastuun kannalta myös siihen, missä määrin yksityisten toimijoiden, kuten sosiaalisen median alustojen, voidaan velvoittaa tai olettaa asianmukaisesti noudattavan perus- ja ihmisoikeuksia sisällön poistamispäätöksissään. Näin ollen tutkielmassa tarkastellaan myös perus- ja ihmisoikeuksien horisontaalivaikutusta. Tutkielmassa tarkastellaan muun muassa sitä, saavatko verkkoalustat käyttöehdoissaan kieltää alustallaan muutakin sisältöä kuin selvästi laitonta sisältöä, kuten selvästi laitonta vihapuhetta. Tarkastelun kohteena on toisaalta myös se, voiko kyseessä olla perustuslain 124 §:n mukainen julkisten hallintotehtävien antaminen muille kuin viranomaiselle tapauksissa, joissa sosiaalisen median alustan ylläpitäjä punnitsee sisällön laillisuutta.

”Yksityisyydestään huolestuneiden kannattaa aina miettiä mitä sovelluksia puhelimeensa asentaa. Facebookin omistama Instagram myy jopa 79 prosenttia keräämästään datasta – eli tietoja sinun käyttäytymisestäsi.” Näin alkaa Alma Median Mikrobitti -sivustolla 15.3.2021 julkaistu uutinen. Teknologinen kehitys on mahdollistanut se, että miljardit ihmiset omistavat mobiililaitteen ja yhteydenpito on mahdollista ympäri maailmaa. Mobiililaitteet ovat pieniä tietokoneita, jotka kulkevat ihmisten mukana keräten jatkuvasti tietoja käyttäjästään. Tietoja on mahdollista hyödyntää monin eri tavoin. Sijaintitiedon avulla on mahdollista tunnistaa yksittäisiä ihmisiä ja käyttäjät voivat itse luovuttaa henkilötietojaan rekisterinpitäjälle vastineeksi palvelun käytöstä. Lisäksi palvelin kerää käyttäjiensä digitaalista jalanjälkeä eli käyttäjän jokaista digitaalista toimea tarkkaillaan ja analysoidaan. Tietoja voidaan myös myydä eteenpäin, mutta usein tiedot ovat arvokkaita myös tiedot keränneelle, sillä tietojen avulla voidaan kehittää palveluja ja tarjota käyttäjälle entistä parempi käyttökokemus. Mobiilisovellusten tarkoitus on usein saada käyttäjä palaamaan kyseiseen palveluun aina uudelleen. Tiedot, joista on mahdollista tunnistaa yksittäinen henkilö ovat henkilötietoja. Henkilötietojen käsittelyyn sovelletaan Euroopan unionin yleistä tietosuoja-asetusta ja kyseinen asetus asettaa tietyt ehdot, joiden perusteella henkilötietojen käsittely on mahdollista. Henkilötiedot ovat arvokkaita yrityksille ja mobiililaitteen sijaintitietojen hyödyntäminen mahdollistaa uudenlaisia palveluita. Kun automaattisen tekniikan avulla on mahdollista muodostaa tarkatkin tiedot käyttäjästä, voidaan tarjota esimerkiksi kohdennettua mainontaa. Mobiilisovelluksen toiminta tai ehdotettu video ovat suunniteltua perustuen laskelmoituihin oletuksiin ja tarkkoihin tietoihin käyttäjästä, yksityisyyden valitettavan usein jäädessä taka-alalle. Tutkielma käsittelee millä perusteella mobiilisovellukset saavat käsitellä henkilötiedoksi määriteltyä sijaintietoa eurooppalaisen tietosuojalainsäädännön valossa. Pääasiallisena tutkimuskohteena on sijaintitiedon käsittely suostumusperusteella. Euroopan unionin yleisen tietosuoja-asetuksen mukaan sijaintitieto on lähtökohtaisesti henkilötietoa. Tutkielma tarkastelee ensin tarkemmin sitä, milloin sijaintitieto on henkilötietoa ja milloin se luokitellaan anonyymiksi tiedoksi. Tutkielmassa käsitellään sijaintitietoon liittyvät käsitteet ja sijaintitietoja analysoidaan erotettuna muista henkilötiedoista niihin liittyvien erityispiirteiden vuoksi. Näitä erityispiirteitä, kuten erityiseen henkilötietoryhmään kuuluvia tietoja käsitellään ja tulkitaan voimassa olevan lainsäädännön mukaisesti. Sijaintitietojen kohdalla tietojen käsittely on usein laajamittaista ja jatkuvan sijaintitiedon käsittely vaarantaa käyttäjän yksityisyyden erityisesti, jos kyseisistä tiedoista muodostuu erityisiksi henkilötiedoiksi luokiteltuja arkaluonteisia tietoja. Oikeudet henkilötietojen suojaan ja yksityisyyteen ovat perus- ja ihmisoikeuksia. Tutkielman päätutkimuskysymykset koskevat sitä, milloin ja millä perusteella mobiilisovellukset saavat kerätä eli käsitellä käyttäjiensä sijaintitietoja. Tutkielma tarkastelee siis tietosuojalainsäädännön asettamia rajoja koskien sijaintitietojen käsittelyperusteita keskittyen erityisesti yleisimpään käsittelyperusteeseen eli suostumukseen ja sen ajalliseen ulottuvuuteen. Tarkastelu tehdään mobiilisovellusten näkökulmasta. Tutkielman tarkoituksena on löytää vastaus siihen, miten mobiilisovellus saa käsitellä henkilötietoja, kuten sijaintietoja ja mitkä tilanteet muodostavat ongelmia käyttäjän yksityisyyden kannalta. Tämän jälkeen tutkielmassa käsitellään vielä lyhyesti sitä, miten käyttäjä voi suojautua tietojensa käsittelyltä ja viimeisenä tarkastellaan tarkemmin kaupallisia mobiilisovelluksia.

This thesis examines the principle of the Brussels Effect and its impact on privacy law and regulation between the EU and the US. The thesis explains how the Brussels Effect is the premise that the rules and regulations originating from Brussels have penetrated many aspects of economic life both inside and outside the EU through the process of “unilateral regulatory globalization”. It is argued that the US simply cannot afford to bypass the large internal market of the EU, and this gives US companies and regulators the incentive to conform with these EU standards. Furthermore, when it comes to global data transfers the EU primarily regulates an “inelastic” consumer market, which cannot simply be avoided or diverted to another jurisdiction due to the GDPR’s extraterritorial scope. Although a Brussels Effect clearly exists, this does not mean that it always results in compliance and the protection of data subject rights in daily practice. This proposition is supported by analysing a data subject complaint filed against Airbnb and by considering Article 22 of the GDPR, including the regulation of automatic decision making and profiling technologies. Ultimately, Schrems II and its finding which were reflected in the Trans-Atlantic Privacy Framework, are analysed to support the argument that the Brussels Effect is still operating strongly but its real impact can only be assessed after the Trans-Atlantic Privacy Framework has been implemented and operating in practice for a sufficient period.

The European Convention on Human Rights (ECHR) guarantees everyone’s right to freedom of expression under article 10. Freedom of expression can be restricted if the restriction is prescribed by law, pursues a legitimate aim, and is necessary in a democratic society. The European Court of Human Rights (ECtHR) handles cases concerning article 10 frequently and some of these cases concern hate speech and genocide denial. This thesis seeks to discover how the ECtHR has handled cases relating to the holocaust denial and the denial of the Armenian genocide. This thesis will thus describe and analyse the relevant case law. This thesis will also attempt to uncover if the ECtHR approaches the two genocides in a similar manner, or whether the examination of the relevant cases indicates that a hierarchy of genocides exists in the ECtHR case law. The ECtHR has handled several cases relating to holocaust denial, whereas case law relating to the Armenian genocide is few. In a majority of holocaust denial cases the ECtHR has found no violation of article 10 and many forms of denialistic speech are not protected by the ECHR. In denial cases concerning the Armenian genocide, the ECtHR has found a violation of the applicant’s freedom of expression. Therefore, denialistic speech relating to the Armenian genocide is permitted. An examination of the case law indicates that the holocaust is in an elevated position. The ECtHR recognises the holocaust as a clearly established historical fact, however the Armenian genocide is not recognised as such. Furthermore, article 17 is often applied either directly or as an interpretive tool in the examination of the holocaust case law. The ECtHR has stated in a majority of holocaust denial cases that the application has been manifestly ill-founded or incompatible ratione materiae with the provisions of the ECHR in light of article 17 of the ECHR. Article 17 is not applied customarily in the Armenian genocide denial related case law. Incitement to hatred is presumed in cases of holocaust denial, but the same assumption does not apply in relation to the Armenian genocide. Victims of the holocaust and their right to their dignity are also customarily referenced in the judgments. The ECtHR case law has made it more difficult to apply the same protections to the victims of the Armenian genocide. It therefore seems that there exists a hierarchy of genocides in the ECtHR case law.

Whether online intermediaries should be held responsible for user-uploaded content is one of the earliest conundrums of Internet law. Since the 1990s, the prevailing model has been to exempt online intermediaries from liability for third-party infringements as long as they conform to certain conditions. Recently, calls to expand intermediary liability has intensified both in the U.S. and the EU. Adversaries of the safe harbor regulation claim that the current laws have gone too far and favor intermediaries unfairly. The aim of the thesis is to analyze the validity of the calls to abolish safe harbors. The intent is to do so by investigating how the safe harbors work, why they exist, how they will develop in the future, and what to consider if the procedures were to be changed. The methods chosen are doctrinal research and comparative analysis. The reason for using both methods is that it will provide a deeper understanding of why safe harbors exist and additional arguments for the analysis. I have chosen to compare the U.S. and the EU intermediary liability regimes because of the vast amount of information available, their close historical ties, and the relevance of respective markets. The question of whether intermediary liability safe harbors should exist or not boils down to which fundamental rights the legislators want to emphasize and protect. All of the involved parties have their own set of competing interests and any decision is going to favor someone. There are three ways to go about changing how intermediary liability works. The first option is to provide intermediaries complete insulation from liability, the second option is to introduce safe harbors that are conditional or to adjust existing conditions, and the third option is to introduce strict liability to intermediaries. The first two options already exist in the U.S. and are proven to work. The procedures are not flawless, but at least they conform to fundamental rights fairly well. Introducing strict liability to intermediaries would more than likely lead to ex-ante content blocking, thus violating freedom of expression to an unjustifiable extent.

This research is focused on how effective the “right to contest” enshrined in recital 44 of the Digital Services Act is at protecting freedom of expression in online environments, namely, on social media platforms. The Digital Services Act is a proposal for a Regulation by the European Union, designed to harmonize certain aspects of internal market and strengthen the rights of individuals online. Social media platforms, especially those owned by the “Big Tech” companies, have become the center of public discourse. This centralization of public discourse leaves it vulnerable to exploitation by the tech companies. A string of recent events, culminating in the banning of the 45th president of the United States, Donald J. Trump, from Twitter and Facebook, have increased the intensity and volume of debates regarding the role of social media platforms and companies behind them in today’s society. As a result, these platforms find themselves under pressure from various stakeholders. Online platforms have a whole arsenal of tools to limit users, from shadow bans and labelling to de-platforming and demonetization. Moreover, platforms do not seem to have consistent rules regarding content moderation, which further diminishes certainty for all stakeholders involved: the users, the shareholders and state actors. The research aims to find if and how the Regulation tackles issues of social media platform operation. The research is guided by the following research question: does the “right to contest” enshrined in recital 44 and further in the Digital Services Act provide an adequate measure to foster freedom of expression online? The paper consists of the introduction, six parts of the main body and the conclusion. The first part is about history of web services, in which the paper discusses a shift in mentality towards cyber space with rights and responsibilities. The second part briefly touches upon basic challenges of platform governance, discussing issues of jurisdiction and enforcement. The third part describes the risks for society when significant power is concentrated in the hands of “Big Tech” companies. The fourth part focuses on social media platforms, the different ways they exploit users and possible efforts which can be undertaken to limit their negative influence. The fifth chapter is about freedom of expression online, its peculiarities, the practice thereof and reasons to safeguard it. Chapter six dives into detailed analysis of the “right to contest” with provisions which directly or indirectly affect freedom of expression online. The conclusion summarizes the positive and the negative points of the Regulation as regards freedom of expression and other relevant points. The research found that the Digital Services Act is insufficient at fostering freedom of expression online due to lack of provisions explicitly dedicated to safeguarding freedom of expression, in particular disturbing, offensive and shocking content, and its strong reliance on state actors to observe fundamental rights. It was concluded that the Regulation’s primary objective is to set a predictable environment which would allow all stakeholders involved to combat illegal content online. The research question was answered in the negative. Never the less, the redress system proposed by the Regulation for individuals to challenge certain decisions made by platforms was deemed to be effective, despite its numerous shortcomings.

Tutkielmassa tarkastellaan tuoreehkoa rikoslain 38 luvun 9 §:ään sisältyvää tietosuojarikosta. Tarkoituksena on selvittää säännöksen soveltamisalaa ja sen suhdetta sille osin rinnakkaiseen tietosuoja-asetuksen hallinnolliseen seuraamusjärjestelmään. Rikosoikeudellisen ja hallinnollisen seuraamusjärjestelmän mahdollista päällekkäisyyttä on lainsäätämisvaiheessa pyritty karsimaan rajaamalla tietosuojarikoksen 1 momentin soveltamisalan ulkopuolelle tietosuoja-asetuksessa tarkoitetut rekisterinpitäjät ja henkilötietojen käsittelijät, joihin sovelletaan ensisijaisesti asetuksen sanktiojärjestelmää. Sen sijaan 2 momentin osalta tietosuojarikoksen tekijäpiiri on yleinen, eli se koskee periaatteessa myös rekisterinpitäjiä ja henkilötietojen käsittelijöitä silloin kun ne ovat luonnollisia henkilöitä. Tästä huolimatta säännöstä tultaneen soveltamaan lähinnä rekisterinpitäjien palveluksessa tai lukuun toimiviin henkilöihin silloin, kun heidän toimintansa täyttää säädetyt tunnusmerkit, mutta ei merkitse itsenäistä rekisterinpitoa. Tietosuojarikos on toimeenpantu niin sanottua blankorangaistustekniikkaa käyttäen. Säännös sisältää itsessään luonnehdinnan kielletyistä tekotavoista, mutta se saa varsinaisen aineellisen sisältönsä muualta lainsäädännöstä blankettinormien välityksellä. Tehtyjä säädös- ja säännösviittauksia ei ole kuitenkaan onnistuttu muotoilemaan kovinkaan selkeällä tavalla, mikä on rikosoikeudellisen laillisuusperiaatteen kannalta ongelmallista. Avoin, riskiperusteinen ja periaatelähtöinen tietosuojasääntely asettaa rikosoikeudellisen vastuun perustamiselle vaikean lähtökohdan, kun lainsäädännöstä ei useinkaan käy kovin yksiselitteisellä tavalla ilmi kielletyn menettelyn piiriä. Rangaistavuutta ei pitäisi myöskään kytkeä rekisterinpitäjän organisatorisina toimenpiteinä luomiin ohjeisiin, sillä ne eivät voi sitovuudeltaan rinnastua lakiin. Tähän mennessä tietosuojarikosta on sovellettu edeltäjänsä henkilörekisteririkoksen tapaan lähinnä henkilötietojen laittomaan urkintaan. Tästä syystä tarkastelu kohdistuu tutkielmassa erityisesti tähän tekomuotoon. Urkinnan, eli henkilötietojen käyttötarkoituksenvastaisen hankkimisen lisäksi tietosuojarikokseen voi syyllistyä myös luovuttamalla tai siirtämällä henkilötietoja lainvastaisesti, taikka 2 momentin perusteella toimimalla vastoin henkilötietojen käsittelyn turvallisuudesta säädettyä. Oikeuskäytännön vähäisyys henkilötietojen luovuttamis- ja siirtotilanteiden osalta voisi selittyä tekotyyppien osittaisella päällekkäisyydellä rikoslain muiden säännösten kanssa. Monet henkilötietojen luovutus- ja siirtotilanteet ovat nimittäin salassapitosääntelyn alaisia, jolloin niiden vastaiseen menettelyyn soveltuu luontevammin erinäiset salassapitoa koskevat sanktiot.