Browsing by Author "Kuusikoski, Aaro"

Rekisterinpitäjän on informoitava henkilötietojen käsittelystä rekisteröityjä, joiden henkilötietoja se kerää ja käsittelee. Kyse on rekisterinpitäjän informointivelvollisuudesta. Henkilötietojen keräämisestä ja käsittelystä informoiminen on yksi henkilötietojen suojaa koskevan perusoikeuden keskeisimpiä aspekteja, minkä vuoksi rekisteröityjen informoiminen on merkittävää. Ilman henkilötietojen käsittelyä koskevaa informaatiota rekisteröidyn on mahdotonta tietää, kuinka ja mihin hänen henkilötietojaan käytetään tai on jo käytetty. Lisäksi, rekisteröidyt voivat käyttää heille suotuja tietosuojaa koskevia oikeuksiaan ainoastaan, jos he ovat tietoisia tapahtuvasta henkilötietojen käsittelystä. Rekisterinpitäjän informointivelvollisuus on yksi yleisen tietosuoja-asetuksen läpinäkyvyysvaatimuksista ja siitä säännellään asetuksen 12–14 artikloissa. Tietosuoja-asetuksen myötä informointivelvollisuuden sisältö tarkentui ja sen sisältämien vaatimusten määrä kasvoi. Tämän tutkimuksen tarkoituksena on tarkastella informointivelvollisuutta ja selventää velvollisuuteen liittyvää oikeustilaa. Tutkimuksessa on tarkoitus käydä läpi informointivelvollisuuden tuomia vaatimuksia ja selvittää, miten rekisterinpitäjä voi toimittaa henkilötietojen käsittelyä koskevan informaation rekisteröidylle tietosuoja-asetuksen 12.1 artiklan vaatimalla tavalla asianmukaisesti. Tutkimusmetodina hyödynnetään lainoppia eli tutkielmassa tulkitaan ja systematisoidaan informointivelvollisuutta ja sitä koskevaa oikeustilaa. Tutkimuksen keskeisimpiä lähteitä ovat erilaiset, pääosin EU-oikeudelliset lähteet, kuten Euroopan unionin tuomioistuimen ja kansallisten tietosuojaviranomaisten ratkaisukäytäntö, unionin virallislähteet sekä aiheen kannalta relevantti kirjallisuus. Rekisterinpitäjän tulee toimittaa informaatio rekisteröidylle läpinäkyvästi eli rekisteröidyn tulee informaation perusteella ymmärtää, miten ja mihin tarkoituksiin hänen henkilötietojaan kerätään ja käsitellään. Jotta tämä informointi olisi läpinäkyvää ja jotta rekisterinpitäjä pystyisi täyttämään informointivelvollisuutensa, sen on otettava huomioon useat tietosuoja-asetuksen vaatimukset sekä erilaisiin henkilötietojen keräys- ja käsittelytoimintoihin liittyvät tapauskohtaiset erityispiirteet. Tapauskohtaisina erityispiirteinä tulee ottaa huomioon toimenpiteiden ja keinojen, joilla käsittelyä koskevat tiedot toimitetaan rekisteröidylle, asianmukaisuuteen vaikuttavat seikat. Tietosuoja-asetuksen vaatimusten lisäksi toimenpiteiden asianmukaisuuteen vaikuttavat esimerkiksi henkilötietojen keräämis- ja käsittelytilanteen ympäristö ja osapuolet, käsittelytarkoitukset sekä käsittelyn laajuus ja luonne. Näitä seikkoja tulee arvioida riskiperustaisesti. Mitä riskipitoisempaa rekisterinpitäjän toteuttama henkilötietojen kerääminen ja käsitteleminen on, sitä enemmän ja läpinäkyvämmin sen on otettava rekisteröidyn informoiminen omassa organisaatiossaan huomioon. Informointivelvollisuuden täyttämisessä tietosuoja-asetuksen vaatimusten ja riskiperustaisen lähestymistavan huomioiminen on erittäin tärkeää. Havaintojeni perusteella voidaan myös todeta, että informointivelvollisuuden täyttämiseksi rekisterinpitäjän kannattaa rakentaa tietosuojainformaatio monitasoisesti. Monitasoista tietosuojainformaatiota rakentaessa olisi erityisesti kiinnitettävä huomiota ensimmäisen tiedotustavan toimivuuteen, jotta rekisteröity ymmärtää informaation olennaisimmat seikat mahdollisimman aikaisessa vaiheessa. Edelleen, rekisterinpitäjän tulisi hyödyntää erilaisia sähköisiä ja ei-sähköisiä keinoja monipuolisesti laatiessaan ja toimittaessaan tietosuojainformaatiota rekisteröidylle. Ennen henkilötietojen keräämistä ja käsittelyä sekä sen aikana, rekisterinpitäjän tulee arvioida omia tietosuojatoimintojansa esimerkiksi kiinnittämällä huomiota rekisteröityihinsä ja käsittelytilanteeseen sekä testaamalla valitsemiansa toimenpiteitä. Tällä tavoin rekisterinpitäjä voi varmistaa ja osoittaa informaationsa läpinäkyvän toteutumisen. Informointivelvollisuuden merkitys henkilötietojen suojan osalta on siis olennainen, muun muassa juuri siksi, että se mahdollistaa muiden rekisteröidyille myönnettyjen oikeuksien käyttämisen. Tulevaisuudessa käsittelystä informoimisen merkitys saattaa edelleen kasvaa, mikäli henkilötietojen suoja saa Euroopan unionin tuomioistuimessa ja kansallisten tietosuojaviranomaisten ratkaisuissa edelleen viimeaikaisen käytännön mukaisesti suuren roolin.