Browsing by Author "Koponen, Niina"

Tutkielmassa tarkastellaan pilvipalveluntarjoajan vahingonkorvausvastuuta rekisterinpitäjänä tilanteissa, jossa pilvipalveluntarjoaja ei ole riittävällä tasolla huolehtinut tietoturvaan kuuluvista luottamuksellisuuden, eheyden ja saatavuuden vaatimuksista, mikä johtaa näiden elementtien menettämiseen pilvipalvelussa säilytettävien tietojen osalta. Tutkielmassa kyseistä tilannetta lähestytään henkilötietolain (523/1999, HeTiL) mukaista vahingonkorvaussääntelyä soveltaen niin, että näkökulmana on pilvipalvelun palveluntarjoajan ja palvelun kuluttajakäyttäjän (loppukäyttäjän) välinen suhde. Usein tilanteissa, joissa tarjotaan tiedon säilytyspalveluita, muodostuu palveluntarjoajan ja loppukäyttäjän välille myös sopimussuhde. Tältä osin esimerkiksi Amazonin, Googlen, Applen ja Dropboxin pilvipalveluiden käyttöehdoissa rajataan heidän vastuunsa kaikenlaisesta datan tuhoutumiseen liittyvästä vahingosta. Henkilötietolaki kuitenkin lähtee liikkeelle erilaisesta asetelmasta, sillä se soveltuu HeTiL 2 §:n nojalla henkilötietojen automaattiseen käsittelyyn. Henkilötiedoilla tarkoitetaan kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi (HeTiL 3 §). Henkilötietolain näkökulmasta loppukäyttäjän ja palveluntarjoajan roolit pilvipalvelussa muodostuvat rekisteröidyn ja rekisterinpitäjän väliseksi suhteeksi. HeTiL 3 §:n mukaan rekisteröity on se henkilö, jota henkilötieto koskee, kun taas rekisterinpitäjä on se taho, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä. Pilvipalveluntarjoajasta muodostuu tilanteessa rekisterinpitäjä, sillä tämä määrittelee sen käytön tarkoitukset ja keinot. Mikäli rekisterinpitäjän ja rekisteröidyn välillä vallitsee sopimussuhde, korvausvastuu määräytyisi ilman henkilötietolain 47 §:n mukaista perustetta sopimusvastuun perusteella. Sopimuskumppani ei voi kuitenkaan vapautua vastuusta osoittamalla toimineensa huolellisesti, sillä henkilötietolain mukainen korvausperuste vahvistaa rekisteröidyn asemaa myös sopimussuhteessa. Tutkielman tavoitteena on vastata seuraaviin kysymyksiin: 1. Missä määrin rekisterinpitäjänä toimiva palveluntarjoaja on vastuussa vahingoista, jos palvelussa säilytettävät tiedot menettävät luottamuksellisuutensa, eheytensä tai saatavuutensa puutteellisen tietoturvan vuoksi? 2. Mitkä ovat ne keskeiset muutokset, joita yleinen tietosuoja-asetus tuo oikeustilaan vahingonkorvausoikeuden näkökulmasta? Tutkielmassa käytetään lainopin metodia, eli kyseessä on oikeusdogmaattinen tutkielma. Lainsäädännön tasolla yksilöiden oikeutta yksityisyyteen ja henkilötietojensa suojaan turvataan Euroopan ihmisoikeussopimuksessa (EIS) ja EU:n perusoikeuskirjassa. Laintasoinen sääntely rakentuu henkilötietolain varaan, joka pohjautuu EU:n henkilötietodirektiiviin (95/46/EY). 25.5.2018 alkaen tämä laintasoinen sääntelykehikko korvataan yleisellä tietosuoja-asetuksella (2016/679, GDPR), joka korvaa henkilötietodirektiivin ja samalla sen nojalla annetut kansalliset säännökset. Nykyisen oikeustilan osalta tutkielman keskiössä on henkilötietolaki, sen esityöt sekä henkilötietolain taustalla vaikuttavaa henkilötietodirektiivi. Tutkielma toteutetaan kuitenkin tilanteessa, jossa tietosuojaa koskevaa lainsäädäntöä ollaan Euroopan unionin tasolla uudistamassa merkittävästi. Koska oikeustilan muutos tulee olemaan merkittävä ja ajankohtainen, tullaan tutkielmassa tarkastelemaan niin nykyistä henkilötietolakiin perustuvaa sääntelyä kuin yleiseen tietosuoja-asetukseen perustuvaa sääntelyä.