Browsing by Author "Nurminen, Nelli"

25.5.2018 alkaen sovellettavaksi tullut yleinen tietosuoja-asetus ((EU) 2016/679) on tuonut mukanaan muutoksia rekisterinpitäjän ja henkilötietojen käsittelijän välisen suhteen sääntelyyn sekä vaikuttaa käsittelyyn osallistuvien vastuuriskeihin. Vahingonkorvausvastuun osalta asetus tasapainotti riskienjakoa rekisterinpitäjän ja henkilötietojen käsittelijän välillä sen mahdollistaessa korvausvaatimuksen osoittamisen vahinkoa kärsineen valinnan mukaan kummalle tahansa käsittelyyn osallistuneesta toimijasta. Tasapaino korvausvastuusta asetusta rikkomalla aiheutuneiden vahinkojen varalta voidaan nähdä positiivisena kehityksenä sen helpottaessa vahinkoa kärsineen mahdollisuutta korvauksen saantiin. Kuitenkin henkilötietojen käsittelijän näkökulmasta vastuuriski kasvoi huomattavasti asetuksen soveltamisen alettua. Vastuuriskiä sekä rekisterinpitäjän että henkilötietojen käsittelijän osalta lisäsi myös asetuksen tietosuojaviranomaisille antama mahdollisuus määrätä asetuksen rikkomisesta hallinnollinen sakko, jonka on oltava "tehokas, oikeasuhteinen ja varoittava", suurimmillaan 20 000 000 euroa tai neljä prosenttia yrityksen edeltävän tilikauden maailmanlaajuisesta kokonaisliikevaihdosta. Toistaiseksi hallinnollisten sakkojen määräytymisen peruste sekä määrättävän sakon suuruus ovat yhtenäisen käytännön puutteen vuoksi hankalasti ennakoitavissa. Tämä mahdollisuus huomattavankin suuren hallinnollisen sakon saamiseen yhdessä mahdollisen vahingonkorvausvelvollisuuden kanssa muodostaa käsittelyyn osallistuville suuren vastuuriskin, jonka hallitsemiseen sopimuksin rekisterinpitäjällä ja henkilötietojen käsittelijällä on selkeä tarve. Tässä lainopillisessa tutkielmassa tarkastellaankin vastuun hallinnointia rekisterinpitäjän ja henkilötietojen käsittelijän välisessä tietojenkäsittelysopimuksessa lisääntyneisiin taloudellisiin riskeihin varautumiseksi. Erityisenä tarkastelun kohteena on indemnity-ehtojen käyttömahdollisuus vastuusta sopimisen välineenä. Ensimmäisenä tutkimuskysymyksenä tarkastellaan yleisesti, voivatko rekisterinpitäjä ja henkilötietojen käsittelijä sopia vastuun jakamisesta keskinäisessä suhteessaan tietosuoja-asetuksen lähtökohdista poiketen. Kysymykseen vastaamiseksi tarkastellaan asetuksen määräyksiä tietojenkäsittelysopimuksen sisällöstä, vahingonkorvauksesta sekä hallinnollisesta sakosta ja pohditaan, onko asetusta sen tavoitteet huomioiden perusteltua tulkita sopimusvapautta rajoittavasti. Tehdyn punninnan perusteella tutkielmassa esitetään de lege ferenda –kannanotto siitä, millaiseksi vastuusta sopimisesta tietojenkäsittelysopimuksissa toistaiseksi puuttuvan tulkintakäytännön tulisi kehittyä sekä tarkastellaan, eroaako sopimisen mahdollisuus siitä riippuen, sovitaanko vahingonkorvauksesta vai hallinnollisesta sakosta. Tutkielmassa puolletaan tulkintaa, jonka mukaan käsittelyyn osallistuvien keskinäisessä suhteessa vastuusta sopiminen on lähtökohtaisesti sopimusvapauden nojalla sallittua, joskin hallinnollisesta sakosta sopimiseen tulee suhtautua varauksella. Seuraavaksi tutkielmassa selvitetään, mitä indemnity-ehdolla oikeastaan tarkoitetaan. Koska kyseessä on suomalaiselle oikeusjärjestelmälle vieras, common law –järjestelmästä peräisin oleva oikeudellinen siirrännäinen, ei sen merkitys ja tulkinta ole lainkaan selkeää. Tarkoituksena onkin esittää lukijalle niin kansainväliseen kuin suomalaiseen aineistoon tukeutuen perusteltu ja selkeä tulkinta siitä, mikä indemnity-ehto on, miten sitä tulkitaan ja mihin se sopimusoikeutemme systematiikassa sijoittuu sekä osoittaa, että indemnity-ehdon käytännön merkitys vastuusta sopimisen välineenä vaihtelee huomattavan laajasti sen kirjoitustavan mukaan. Selkeyden vuoksi tutkielmassa myös esitetään, miten indemnity-ehto, eli vastuusta sopimiseen käytettävä erityinen sopimusperusteinen toimimis- ja suoritusvelvoite, eroaa tavanomaisista vastuunrajoitusehdoista. Edellä esitettyjen kysymysten tarkastelun avulla päästään tutkielmassa vastaamaan sen keskeisimpään kysymykseen: voidaanko indemnity-ehtoja käyttää vastuusta sopimiseen rekisterinpitäjän ja henkilötietojen käsittelijän välillä, ja onko niiden käyttö kannattavaa? Ongelmaa, eli ylipäänsä vastuusta sopimista sekä erityisesti indemnity-ehtojen käyttöä tässä tarkoituksessa, käsitellään läpi tutkielman esittäen aiheesta pro et contra –argumentaatiota. Lopulta esitetään tämän hetken tietoon perustuva tulkinta, jonka mukaan indemnity-ehtojen käytöllä tietojenkäsittelysopimuksissa on paljon potentiaalia, mutta toistaiseksi tulkintaepävarmuuden johdosta myös riskejä, joten niiden käyttämistä tulee punnita tarkasti analysoiden mahdollisesti saavutettavia hyötyjä suhteessa riskeihin.