Browsing by discipline "Communication and information law"

Tässä opinnäytetyössä tarkastellaan Suomen Punaisen Ristin Veripalvelun istukkaveripankin biopankkisiirrossa tapahtuvaa käyttötarkoituksen muutostilannetta. Tarkastelun kohteena on istukkaveripankissa säilytettävien istukkaveriyksiköiden siirto biopankkiin biopankkilain 13 §:n mukaisella menettelyllä. Opinnäytetyön oikeudellinen metodi on perinteinen lainoppi. Tutkielman tutkimuskohde on istukkaveripankin suostumusasiakirjojen mallipainokset. Perinteisen lainopin avulla systematisoidaan niihin vaikuttavat oikeussäännökset ja niiden tulkinta. Tutkielman aihe on sijoitettavissa lääkintä- ja bio-oikeuden sekä viestintä- ja informaatio-oikeuden alalle. Tutkimuskysymystä lähestytään yleisen tietosuoja-asetuksen eurooppalaisen käyttötarkoitussidonnaisuuden periaatteen mukaisella tarkastelulla. Eurooppalainen käyttötarkoitussidonnaisuuden periaate on löydettävissä yleisen tietosuoja-asetuksen 5 artiklan 1 kohdan b alakohdasta, joka muodostuu kahdesta elementistä: 1) rekisterinpitäjän tulee kerätä tietoa yksilöityihin, yksiselitteisiin ja laillisiin tarkoituksiin sekä 2) jo kerättyä tietoa ei saa käsitellä myöhemmissä tarkoituksissa näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Eurooppalainen käyttötarkoitussidonnaisuuden periaate on tärkeä tietosuojan kulmakivi, jonka pyrkimyksenä on rajata sitä, missä määrin kerättyjä henkilötietoja voidaan käyttää myöhemmissä tarkoituksissa. Periaatteen taustalla on Euroopan unionin keskeisimpiä perusoikeuksia, erityisesti tiedollinen itsemääräämisoikeus. Periaatteen mukaisessa tarkastelussa keskiössä ovat Euroopan unionin yleinen tietosuoja-asetus, Suomen biopankkilain 13 § sekä Suomen Punaisen Ristin Veripalvelun istukkaveripankissa käytössä olleet suostumusasiakirjapainokset vuosina 1999-2013, jotka kertovat, minkälaisia suostumuksia on annettu istukkaveripankin keräystoiminnan aikana. Eurooppalaisen käyttötarkoitussidonnaisuuden periaatteen mukaisen tarkastelun tuloksena voidaan arvioida, että istukkaveripankin siirto biopankkiin on oikeudellisesti hyväksyttävissä. Tehdyssä tarkastelussa havaitaan, että istukkaveripankin keräystoiminnan ajanjaksona 1999-2013 aikana annettujen alkuperäisten suostumusten käyttötarkoituksen kuvauksissa on ollut tietoa aiotuista, myöhemmistä tutkimuksellisista käyttötarkoituksista. Niiden suostumusten osalta, joiden alkuperäisissä istukkaveren talteenoton käyttötarkoituksissa on ollut viitteitä myöhemmistä käyttötarkoituksista, voidaan käyttää biopankkilain 13 §:n menettelyn mahdollistamaa kieltäytymistahdonilmaisuun perustuvaa tiedottamismenettelyä. Tapauksissa, joissa myöhempi käyttötarkoitus on jo ilmennyt aikaisemmasta käyttötarkoituksesta, myöhempi käyttötarkoitus antaa yksilöidymmän kuvauksen istukkaverellä tapahtuvasta tieteellisestä käyttötarkoituksesta kuin alkuperäinen suostumus. Tällöin myöhemmän käyttötarkoituksen voi katsoa sisältyvän aikaisemmin annetun suostumuksen käyttötarkoitukseen ja näin ollen tilanteessa toteutuu käyttötarkoituksen täsmentyminen. Istukkaveripankille annetuissa suostumuksissa kuvattujen tutkimuksellisten käyttötarkoituksien yksilöitävyyden ongelmallisuus, etenkin ajanjaksona 3.8.1999-29.1.2003, on kompensoitavissa biopankkilain 13 §:n menettelyyn sisältyvillä suojatoimilla. Näitä ovat alueellisen eettisen toimikunnan lausunto, Valviran hallintopäätös biopankkisiirrosta sekä siirron loppuvaiheessa tapahtuva biopankkisiirrosta tiedottaminen rekisteröidyille. Edellä kuvatun menettelytavan voi kokonaisuudessaan arvioida niin vahvaksi suojakeinoksi, että kyseisellä menettelyllä on mahdollista kompensoida käsiteltävässä biopankkisiirrossa aikaisemmin ilmennyttä yksilöitävyyteen liittyvää ongelmallisuutta. Tämä kompensaatio riittää siirron toteuttamiseen. Vaikka biopankkilain 13 §:n mukaisessa biopankkisiirrossa toteutuukin yleisen tietosuoja-asetuksen johdanto-osan 33 perustelukappaleen laajan suostumuksen määritelmä, kyseinen suostumus ei sellaisenaan riitä sallimaan biopankkitutkimusta. Jotta istukkaverta voitaisiin käyttää myöhemmässä, yksittäisessä biopankkitutkimuksessa, tulee biopankkitutkimus voida yksilöidä, esimerkiksi tutkimussuunnitelmalla, minkä jälkeen suostumuksenantajaa tulee lähestyä yksilöidyn suostumuksen saamiseksi. Näin toimien biopankkitutkimus Suomessa voisi toteutua samankaltaisesti kuin miten on ollut mahdollista tutkimuslain nojalla siihen asti, kunnes tietosuoja-asetukseen liittyvät kansallisen lainsäädännön ongelmallisuudet on ratkaistu.

Blockchain- eli lohkoketjuteknologia on uudenlainen hajautettu teknologiaratkaisu, joka mahdollistaa kryptografian keinoin digitaalisten tietokantojen ylläpitämisen toisilleen tuntemattomien käyttäjien kesken ilman kolmannen luotetun tahon varmistustoimenpiteitä. Vaikka teknologian kuuluisin sovellus lienee virtuaalivaluutta bitcoin, ovat viime vuosina nousseet keskiöön niin kutsutut smart contractit eli älykkäät sopimukset. Näille digitaalisille ja sopimuksenkaltaisille tietokoneohjelmille on ominaista se, että ne toimeenpanevat sisäisen logiikkansa automaattisesti ennalta määriteltyjen lähtötilanteiden toteutuessa ja toisaalta myös hajautetun rakenteensa ansiosta kykenevät estämään sisäisen logiikkansa muuttamisen oikeudettomasti. Lohkoketjuteknologiaa ja älykkäitä sopimuksia on arvioitu etenkin kansallisessa oikeustieteellisessä tutkimuksessamme varsin vähän. Samaan aikaan teknologian ja sen sovellusten lisääntynyt käyttö ja tästä nousevat juridiset kysymykset ovat muodostamassa aiemmin puhtaan teknologisesta ilmiöstä oikeudellista ilmiötä. Tutkielmassa pyritäänkin kuvaamaan lohkoketjuteknologiaa ja älykkäitä sopimuksia kansallisen lainsäädäntömme kontekstissa yleisesityksen muodossa, samalla avaten teemaan liittyvää käsitteistöä ja aihepiirin teknisiä ulottuvuuksia. Tutkielmassa tarkastellaan älykkäiden sopimusten oikeudellista luonnetta, arvioiden samalla sopimusoikeudellisen lainsäädäntömme tilaa uudenlaisille teknologioille perustuvien sopimuskäytäntöjen vallatessa alaa. Tutkielman keskeisenä tavoitteena on selvittää, mikäli sopimuksia voidaan tehdä älykkään sopimuksen muodossa siten, kuin lain varallisuusoikeudellisista oikeustoimista (228/1929) mukainen tarjous-vastaus–mekanismi asiaa sääntelee tai muut oikeuskirjallisuudessa määritellyt sopimuksen konkludenttiset, tosiseikoille perustuvat syntytavat määrittävät. Arviointi perustuu keskeisiltä osin analogiatulkinnan hyödyntämiselle ja sen avulla pyritään ratkaisemaan, mikäli sopimuksen kaltaisesta digitaalisesta ohjelmasta voidaan erottaa sitovalta oikeustoimelta edellytetyt tahdonilmaisut. Erityistä huomioita kiinnitetään lisäksi automaattien kanssa tehtävien oikeustoimien tarkasteluun. Tutkielmassa selvitetään toiseksi oikeustoimilain 32 §:n soveltumista tietokonekoodin muodossa tapahtuneisiin virheisiin ja erehdystilanteisiin. Arviointi tehdään punnintana ilmaisuerehdystä koskevan tulkinnan ja viestin välittämisessä tapahtuneen virheen välillä. Tutkielmassa pyritään selvittämään, missä määrin oikeustoimilakia voidaan hyödyntää uudenlaisten teknisten sopimuskäytäntöjen aiheuttamien ongelmien korjaamiseksi. Tutkielmassa osoitetaan, että sopimuksia voidaan tehdä lähtökohtaisesti myös älykkään sopimuksen muodossa vallitsevan lainsäädäntömme asettamien säännösten puitteissa, joskin tapauskohtaisen arvioinnin merkitys korostuu huomattavasti erimuotoisten älykkäiden sopimusten välillä. Erityistä merkitystä kohdistuu osapuolten toiminnan ulkoisiin tunnusmerkkeihin ja näiden tahdonilmaisut vaikuttavat selittyvän parhaiten automaattiesimerkkiin rinnastuvissa, suorituksia vaihtamalla tapahtuvissa hiljaisissa tahdonilmaisuissa. Älykkäillä sopimuksilla tehtävät, digitaalisessa ympäristössä tapahtuvat erehdykset ja virheet voivat synnyttää suuria haittavaikutuksia. Koodissa oleva virhe voi johtaa älykkään sopimuksen toimimiseen täysin toisella tavalla kuin osapuolet alun perin tarkoittivat. Tutkimuksessa katsotaankin, että tällaisiin tilanteisiin vaikuttaa mahdolliselta soveltaa OikTL 32.1 §:n mukaista ilmaisuerehdystä koskevaa säännöstä. Tätä vastoin, välitysvirhettä koskevan OikTL 32.2 §:n soveltamisala ei vaikuta ulottuvan älykkäisiin sopimuksiin. Tutkielmassa pyritään lopuksi arvioimaan kokoavasti oikeustoimilain tilaa suhteessa erityisesti älykkäiden sopimusten kaltaisiin teknologisiin sovelluksiin. Arvioinnin vertailukohtana hyödynnetään erityisesti oikeustoimilakitoimikunnan mietintöä lain varallisuusoikeudellisista oikeustoimista ajanmukaistamis- sekä uudistamistarpeesta erityisesti automaation ja tietotekniikan kehitystä huomioiden. Tutkielmassa katsotaan oikeustoimilain soveltuneen erityisesti tulkinnan ansiosta melko hyvin kehityksen synnyttämiin uudenlaisiin malleihin, mutta nostetaan samalla esille huomio siitä, tulisiko lain tilaa arvioiva ja teknologiakehityksen huomioiva tarkastelu aloittaa kuitenkin mahdollisimman pian, kun uudenlaiset sopimuksentekovälineet soveltuvat lainsäädäntömme vallitsevaan sopimuskäsitykseen ainoastaan analogian keinoin.

Data protection has become a pivotal topic in modern democratic societies. Lawmakers have, however, faced challenges in protecting data in the face of rapid technological growth and development in the online environment. ‘Cookies’ are a prominent tool for website operators that enable the collection and processing of vast amounts of personal data of internet users. The use of cookies is based on user’s consent as required under Article 5(3) of Directive 2002/58/EC (ePrivacy Directive). It is, however, questionable whether cookie consent and notice practices are de facto effective in protecting internet users and providing them control over the use of their data obtained via cookies. The goal of this master’s thesis is to analyse whether the traditional model of consent and notice is the appropriate legal basis for the use of website cookies. The research question is divided into two parts. The first part concerns whether consent and notice are an effective tool in providing control and protection to individuals with respect to personal data processed through internet cookies. The second part concerns whether the EU’s data protection framework provides clear and harmonised rules on cookie consents and notices. It will focus especially on the General Data Protection Regulation 2016/679 (GDPR) and the ePrivacy Directive. This thesis uses mainly the legal doctrinal method and qualitative empirical evidence in answering its research question. After the introductory chapter, this thesis will in chapter 2 define cookies and its purposes, as well as outline the legal framework used in this research. Chapter 3 introduces the reader to the concept of consent and its different components, as well as the transparency principle and the accompanying information obligation. Consent consists of freely given, specific, informed and unambiguous elements. Chapter 4 will then discuss the first part of the research question. It will be seen that cookie consents and notices are burdened by many factors as evidenced through behavioural economics, cognitive and structural problems, as well as other factors. It is concluded, therefore, that cookie consents and notices in their traditional form are not an effective tool in providing control and data protection to internet users. Nevertheless, consent and notice are so enshrined in the EU’s data protection regime that they will not be easily abandoned. Chapter 5 discusses the second part of the research question by looking at practical examples in order to see how websites from the legal sector and different national data protection authorities have complied with cookie consent and notice obligations. It will be seen that cookie rules are interpreted inconsistently by even these websites, which has resulted in noncompliance in some instances. Hence, it is concluded that the GDPR and the ePrivacy Directive have failed to harmonise cookie consents and notices. Chapter 6 will look to the future and discuss briefly the proposed Regulation on Privacy and Electronic Communications (ePrivacy Regulation) in terms of i) ‘cookie walls’, which basically coerces website users to accept cookies or otherwise they will be denied access to the site or service, and ii) the legitimate interests ground, which has been introduced as an alternative legal basis to consent with respect to cookies in the latest revised draft of the ePrivacy Regulation adopted on 21 February 2020 by the Croatian Presidency. It will be concluded in chapter 7 that the traditional model of consent and notice might not always be the appropriate legal basis for cookies, hence legislators should look into other legal bases as well, such as, the legitimate interest ground. However, whether or not this ground will be able to provide better protection and control to internet users remains to be seen.

This research will be comprised of five main parts which are directly correlated to achieve some well-based conclusions. The first part will be regarding cybersecurity in general and cybersecurity in the European Union. Here we will give some data that will show the relevance of the topic in our daily life, while at the same time demonstrating why it is so important to have a good cybersecurity strategy to protect the Union’s citizens. In the second part, we will analyse the cybersecurity-related legislation in the European Union, which will give us a good head start as to how we stand in the European Union. The third part will consist of the analysis and description of the law enforcement agencies cooperation with companies in the European Union and how this cooperation can be successful enough for the benefit of the whole Union. In the fourth part we will discuss injunctions in the European Union, in general, and then we will specifically discuss injunctions in the United Kingdom, Germany and Spain. Last, but not least, we will analyse the United States’ legislation and law enforcement agency regarding cybersecurity. Also, during the course of our research, we will interview two Associate General Counsels of one of the biggest technology firms in the world, Microsoft. Microsoft is a leading company in the cybersecurity space with a broad range of experience of working to disrupt malware and botnets, through private law and through law enforcement partnership.

Whistleblowing has been on legislators’ and private entities’ agenda for the past decade. EU legislators have introduced industry-specific legislation on whistleblowing and in October 2019 the EU Directive 2019/1937 on the protection of persons who report breaches of Union law (“the Whistleblowing Directive”) was formally adopted. When the Whistleblowing Directive has been implemented in Member States, all private entities with 50 or more employees are obliged to establish safe reporting channels, i.e. whistleblowing channels, for those who in their work related activities come across breaches of EU law. Moreover, companies are interested in setting up whistleblowing channels even without a statutory obligation. Whistleblowing channels are used to implement code of conducts. Through internal whistleblowing channels entities collect information on misconducts in its operations and, if necessary, conduct internal investigations based on that information. When information is collected and handled, there is likely to be processing of personal data involved which is subject to data protection legislation. In 2016 EU’s General Data Protection Regulation (“the GDPR”) entered into force setting renewed data protection framework for the entire EU. Especially more transparent processing of personal data and sharpening data subject’s informational rights was focal points in the reform. Principle of transparency and Article 14 of the GDPR provides that data subjects are informed about processing of their personal data and sources of the personal data collected. Article 14 applies where personal data is not collected directly from the data subject. On the contrary, whistleblowing channels rely on confidentiality. Without confidentiality, the protection of whistleblower and the investigation is jeopardized which can jeopardize the whole purpose of internal whistleblowing. Thus, there seems to be a contradiction between the principle of transparency and confidentiality of whistleblowing. The purpose of this thesis is to assess and determine the scope of the Article 14 of the GDPR when personal data is processed in the context of whistleblowing and to assess how principle of transparency can be reconciled to confidentiality of the whistleblowing schemes. This research is conducted by exploiting legal dogmatic method. It can be concluded that the most problematic aspects of reconciling providing information to the data subject and ensuring confidentiality of the internal investigation and keeping confidentiality of the whistleblower is the timing when the information must be provided and how precise the information shall be as well as applicability of limitations. In order to comply with the obligation set out in Article 14 and principle of transparency in the context of whistleblowing, it is reasoned to apply two-step approach. Firstly, general information shall be provided prior to taking the internal whistleblowing scheme into use and this information should be kept available to employees and other data subjects that may be reported through the whistleblowing channel. Secondly, more precise information shall be provided where something is reported through the whistleblowing channel. If providing the second set of information would jeopardize the internal investigation there are grounds to derogate from the obligation to inform on the grounds of Article 14(5)(2) as providing the information is likely to render impossible or seriously impair the achievement of the objectives of that processing. However, grounds to derogate from the obligation to provide information for purposes of protecting identity of the whistleblower cannot be found in the GDPR or in the national legislation. However, where confidentiality is provided to the data subject on the grounds of statutory obligation, this obligation to keep the identity concealed shall override interpretation that providing the source of data under Article 14 would require providing the exact source, i.e., the identity of the whistleblower. In such case shall be provided more general information. In all cases the procedural safeguards and fair handling of the matter is to be ensured and malicious reporting shall not enjoy any protection.

Viime vuosikymmenien aikana jatkuvassa kehityksessä ollut viestintäteknologia on helpottanut arkipäiväistä elämäämme monilla tavoin. Yksi merkittävä ero sähköisen viestinnän ja esimerkiksi kirjeitse käydyn keskustelun välillä on myös se, että tietoliikenneverkkojen välityksellä käydystä viestinnästä jää helposti jälki. On selvää, että tällaiset jäljet kuten viestijöitä, viestijöiden sijaintia, puhelun ajankohtaa, kestoa ja muuta tietoa sisältävät välitystiedot voivat tarjota viranomaisille suuren hyödyn rikostorjunnassa. Yhtä lailla on kuitenkin myös selvää, että nämä yksityiselämää herkästi kuvaavat henkilötiedoiksi lukeutuvat välitystiedot ovat massaluontoisesti säilytettyinä alttiita joutumaan tietomurtojen ja muunlaisten väärinkäyttöjen kohteiksi. Ottaen yhtäältä huomioon Euroopassa vallitsevan turvallisuuspoliittisen tilateen ja esimerkiksi Suomessa juuri hyväksytyt tiedustelulait ja toisaalta EU:n viimeaikaiset toimet yksityiselämän ja henkilötietojen suojan korostamiseksi, on rikostorjunnan ja yksityisyyden suojan välisen tasapainon etsiminen sähköisen viestinnän kontekstissa hyvin ajankohtainen. Tässä lainopillisessa tutkielmassa selvitetään EU-oikeuden rajoja välitystietojen säilytysvelvollisuudesta määräämiselle ja säilytysvelvollisuuden alaisten välitystietojen luovuttamiselle rikostutkintaan. Ensimmäisen tutkimuskysymyksen tarkoituksena onkin tarjota vastaus siihen, mitä EU- oikeus ja erityisesti EUT:n tulkinta välitystietojen säilytysvelvollisuuden asettamisesta ja säilytettyjen tietojen luovuttamisesta, pitää sisällään. Milloin EU-oikeus sallii jäsenvaltioiden asettaa teleyrityksille velvollisuuden säilyttää asiakkaidensa välitystietoja – ja milloin ei? Lisäksi pohditaan minkälaisia puutteita EU-oikeuteen ja EUT:n tulkintoihin liittyy, ja kuinka säilytysvelvollisuutta tulisi kehittää de lege ferenda. Esimerkiksi ei tutkielmassa jaeta EUT:n omaksumaa näkemystä yksityiselämää tarkkaa kuvaavien välitystietojen asettamisesta yksityiselämän suojan perusoikeuden ydinalueen reuna-alueille. Jäsenvaltioiden välitystietojen säilytysvelvollisuutta ja luovuttamista koskeva lainsäädäntö voidaan EUT:n Tele 2 ja Watson -ratkaisun mukaan sallia unionin oikeuden mukaisesti ensinnäkin ainoastaan vakavan rikollisuuden torjunnan tarkoituksiin. Toiseksi sallii unionin oikeus EUT:n mukaan välitystietojen kohdennetun säilyttämisen, kun säilytysvelvollisuus on rajattu täysin välttämättömään. EUT:n keskittymistä lähinnä sellaisten keinojen etsimiseen, joilla säilytysvelvollisuus voitaisiin toteuttaa, pidetään tutkielmassa ongelmallisena. Olisi ollut toivottavaa, että se olisi välttämättömyysharkinnassaan pohtinut sitä, onko välitystietojen säilytettäväksi velvoittaminen unionin oikeuden mukaan ylipäätänsä katsottavissa välttämättömäksi rikostorjunnan toimenpiteeksi. Ensimmäisen tutkimuskysymyksen vastauksia peilaten, vastataan toiseen tutkimuskysymykseen siitä, millä tavalla säilytysvelvollisuudesta voidaan jäsenvaltioissa määrätä, jotta edellä mainitut ja muut EU-oikeuden asettamat edellytykset täyttyisivät. EUT:n Tele 2 ja Watson - ratkaisussa väläyttämiä vaihtoehtoja säilytysvelvollisuuden kohdentamista tiettyyn henkilöpiiriin, jonka välitystiedot voi paljastaa vähintään epäsuoran yhteyden vakavaan rikollisuuteen tai sellaiselle maantieteelliselle alueelle, jossa on kohonnut riski vakavien rikosten valmistelulle tai toteuttamiselle, on yhdenvertaisuus- ja tehokkuusnäkökulmista pidetty tutkielmassa hyvin ongelmallisina. Sen sijaan voitaisiin säilytysvelvollisuus tutkielman mukaan kohdistaa tiettyyn ajanjaksoon, esimerkiksi terroriuhkaluokitukseen perustuen. Unionin oikeuden edellytykset voitaisiin tutkielman mukaan toteuttaa myös viranomaisen päätöksestä alkavasta säilytysvelvollisuuden kohdentamisesta sellaisen henkilön välitystietoihin, johon kohdistuu epäily vakavasta rikoksesta. Tällaiseen kohdennettuun säilytysvelvollisuuteen pidetään mahdollisena yhdistää jäädytystoimenpide, jolla viranomainen voisi estää teleyrityksiä poistamasta niitä itseään varten säilyttämiään tiettyä henkilöä tai esimerkiksi tiettyä tukiasemaa koskevia välitystietoja määrätyn ajan tai kunnes tiedot todetaan rikostorjunnassa tarpeettomiksi. Kolmantena vaihtoehtona unionin oikeuden toteuttamiselle pidetään säilytysvelvollisuuden poistamista kokonaan. Näin jäisivät rikostorjunnassa hyödynnettävät välitystiedot riippumaan siitä, mitä välitystietoja teleyrityksellä sattuu tietojen luovutuspyynnön hetkellä olemaan itseään varten säilöttynä. Tutkielmassa tarkastellaan myös välitystietojen säilytysvelvollisuutta ja luovuttamista koskevaa Suomen lainsäädäntöä. Suomen lainsäädännön ei tutkielman kannalta relevanteilta osin katsota täyttävän kaikkia EU-oikeuden vaatimuksia.

Tutkielman aiheena on henkilörekisteririkos, josta on säädetty rikoslain 38 luvun 9 §:ssä. Henkilörekisteririkoksena on säädetty rangaistavaksi eräiden tunnusmerkistössä tarkemmin määriteltyjen henkilötietolain pykälien ja henkilötietojen käsittelyä koskevien erityissäännösten vastainen toiminta. Koska kyseessä on rikoksen tunnusmerkistö, joka saa tarkemman sisältönsä henkilötietojen suojaa koskevasta lainsäädännöstä, tutkielmassa tarkastellaan henkilörekisteririkoksen tunnusmerkistöä sekä rikosoikeudelliselta että informaatio-oikeudelliselta kannalta. Tutkimusmenetelmä on pääosin lainopillinen, rikoksen tunnusmerkistöä tulkitseva. Tutkielmassa esitetään kritiik-kiä rikoksen nykyistä muotoilua ja oikeuskäytäntöä kohtaan sekä esitetään muutosehdotuksia. Tutkielmassa oikeuspoliittinen näkökulma on esillä arvioitaessa, onko rikoksen tunnusmerkistö ja oikeuskäytännön kehittyminen ollut onnistunutta. Tutkielmassa pyritään tarkentamaan henkilörekisteririkoksen sisältöä ja sen soveltamista oikeuskäytännössä. Henkilörekisteririkos on otettu henkilörekisterilakiin jo 1988, mutta sitä on sovellettu harvakseltaan. Henkilörekisteririkosta on käsitelty vain kahdesti korkeimmassa oikeudessa. Lisäksi henkilörekisteririkos on profiloitunut vahvasti henkilötietolain 7 §:n vastaiseksi urkintaa koskevaksi rikokseksi. Tämä on ristiriidassa sen kanssa, että henkilörekisteririkoksen tunnusmerkistö kattaa monenlaista toimintaa. Oikeuskäytännön vähyyden vuoksi henkilörekisteririkos onkin vielä jäsentymätön muilta osin. Koska urkintateoista on henkilörekisteririkoksena eniten oikeuskäytäntöä, keskittyy tutkielma tunnusmerkistön tulkinnassa vahvasti henkilötietolain käyttötarkoitussidonnaisuuden vastaisen käyttäytymisen tutkimiseen. Tutkielmassa on esitetty, miten urkintarikos on kehittynyt osaksi henkilörekisteririkosta ja mitä ongelmia tähän kehitykseen liittyy. Tutkielmassa ehdotetaan, että oikeustilan selvyyden vuoksi olisi mielekästä ottaa urkintaa koskeva oma rikostunnusmerkistönsä rikoslakiin. Tutkielman johtopäätöksenä todetaan, että henkilörekisteririkos nykyisessä muodossaan ei ole onnistunut. Henkilörekisteririkokseen liittyy monia ongelmia, jotka tulisi ratkaista uuden tietosuoja-asetuksen myötä. Tietosuoja-asetuksessa ei ole otettu kantaa rikosoikeudellisiin sanktioihin, mutta se silti vaikuttaa henkilörekisteririkokseen, koske rikoksen tunnusmerkistö on yhteydessä henkilötietojen suojaa koskevan aineellisen lainsäädännön kanssa.. Lisäksi tutkielman johtopäätöksenä esitetään, että henkilörekisteririkoksen käyttöalaa tulisi rohkeammin oikeuskäytännössä monipuolistaa nykyisestä koskemaan myös muun tyyppistä käyttäytymistä kuin urkintarikoksia. Tutkielmassa on esitetty, että monipuolisuuden vähyys johtuisi rikosten matalasta ilmituloprosentista sekä päällekkäisyydestä muiden rikosten kanssa.

Henkilötietojen vaihdannalla tarkoitetaan henkilötietojen henkilötietolain 3 §:n mukaista luovuttamista tietojen alkuperäi-seen käsittelytarkoitukseen nähden sivulliselle henkilölle vastiketta vastaan. Henkilötiedoille on digitalisaation myötä syntynyt entistä useampia käyttötarkoituksia, mikä on lisännyt tietojen rahallista arvoa huomattavasti. Merkittävimmät käyttötarkoitukset tiedoille ovat suurien tietomassojen analysointi paremman kokonaiskuvan saamiseksi yrityksen asi-akkaista sekä tietojen käyttö suoramarkkinointitarkoituksiin. Henkilötietojen lisääntyneet käyttömahdollisuudet ovat myös tehneet tiedoista aiempaa kiinnostavamman vaihdannan kohteen. Tiedollinen itsemääräämisoikeus on periaate, joka on nähtävissä niin henkilötietodirektiivin kuin henkilötietolainkin taustalla. Tutkielman tarkoituksena on selventää henkilötietojen vaihdannan oikeustilaa ja rekisteröidyn tiedollisen itsemäärää-misoikeuden toteutumista vaihdannassa. Tutkielmassa tarkastellaan ensinnäkin sitä, millaisin edellytyksin henkilötieto-ja on mahdollista luovuttaa vaihdantatarkoituksiin ja miten rekisteröidyn tiedollista itsemääräämisoikeutta voidaan tällöin toteuttaa. Lisäksi tutkielmassa pyritään selvittämään, miten henkilötietojen vaihdanta olisi käsitettävä varallisuusoikeu-den näkökulmasta ja mitä varallisuusoikeuksia henkilötietoihin voi kohdistua. Tutkielma on oikeusdogmaattinen tutki-mus, jossa käytetään sekä staattisesta että dynaamisesta lainopista omaksuttuja piirteitä sisältävää metodia. Henkilötietojen luovutus on yksi henkilötietojen käsittelyn muoto. Luovuttamiselle on aina oltava jokin henkilötietolakiin tai erityislainsäädäntöön nojautuva peruste. Rekisteröidyn suostumusta voidaan pitää ensisijaisena perusteena kaikelle henkilötietojen käsittelylle, sillä se toteuttaa parhaiten rekisteröidyn tiedollista itsemääräämisoikeutta. Henkilötietojen vaihdantatilanteissa rekisteröidyn suostumus on usein ainoa sovellettavissa oleva peruste tietojen luovuttamiselle. Eri-tyisesti sähköinen suoramarkkinointi on merkittävä syy henkilötietojen vaihdannalle. Sähköiseen suoramarkkinointiin vaaditaan aina rekisteröidyn ennalta antama suostumus. Jotta rekisteröidyn tietoja voidaan luovuttaa sähköiseen suo-ramarkkinointiin, rekisteröidyn on pitänyt olla tietoinen luovuttamisesta suostumusta antaessaan. Tällöinkään rekiste-rinpitäjä ei siten voi poiketa suostumusvaatimuksesta. Rekisterinpitäjän mahdollisuudet luovuttaa tietoja ilman rekiste-röidyn suostumusta ovat varsin kapeat. Tutkielmassa käydään myös läpi muita erityisesti vaihdantatilanteissa huomioi-tava yleisiä henkilötietojen suojaan liittyviä periaatteita, kuten käyttötarkoitussidonnaisuuden periaate. Vaihdantaan liittyvät kysymykset luetaan tavallisesti varallisuusoikeuden oikeudenalaan. Silloin, kun henkilötietojen luovutus perustuu rekisteröidyn suostumukseen, rekisteröity ja rekisterinpitäjä voivat sopia henkilötietojen käsittelystä ja luovuttamisesta henkilötietolain asettamissa rajoissa. Henkilötietojen suojaa on nykyään pidettävä perusoikeutena. Sen keskussisällöksi voidaan hahmottaa tiedollinen itsemääräämisoikeus. Koska henkilötietojen suoja on perusoikeus, re-kisteröity ei kuitenkaan voi pätevästi suostua sellaiseen tietojen käsittelyyn, joka estäisi häntä käyttämästä erityisesti henkilötietolain 6 luvun mukaisia oikeuksiaan, jotka toteuttavat tiedollista itsemääräämisoikeutta eli henkilötietojen suo-jan keskussisältöä. Henkilötietojen suojassa ja tiedollisessa itsemääräämisoikeudessa on kyse vaihdantakelvottomista oikeuksista. Sen sijaan tiedot itsessään voivat olla vaihdannan kohteina. Kun rekisterinpitäjä saa henkilötiedot haltuunsa joko rekisteröidyn suostumuksen perusteella tai muun laissa olevan perusteen kautta, rekisterinpitäjälle syntyy varallisuusoikeudellisesti käyttöoikeuteen rinnastettava oikeus tietoihin. Re-kisterinpitäjän oikeutta rajoittavat rekisteröidyn suojaksi säädetyt henkilötietolain säännökset. Jos rekisterinpitäjän käyt-töoikeus sisältää oikeuden luovuttaa tietoja eteenpäin, luovutuksensaaja saa tällöin korkeintaan samansisältöisen käyt-töoikeuden tietoihin, kuin tiedot luovuttaneella rekisterinpitäjällä alun perin oli. Tiedollinen itsemääräämisoikeus antaa rekisteröidylle kompetenssin määrätä itse tiedoistaan varsinkin suostumukseen perustuvissa tilanteissa. Rekisteröidyn tiedollista itsemääräämisoikeutta ei voida rinnastaa varallisuusoikeudeksi, sillä henkilötietojen suojassa on kyse vaihdantakelvottomasta perusoikeudesta.

IT-ulkoistukset ovat tavanomainen osa liiketoiminnan kehittämistä. Parhaimmillaan IT-ulkoistus karsii kustannuksia ja mahdollistaa keskittymisen yrityksen ydinosaamiseen. IT-ulkoistukset ovat saaneet uuden muodon pilvipalveluissa, jotka ovat tuoneet merkittäviä tehokkuusetuja sekä palveluntarjoajille että palveluiden käyttäjille. Pilvipalveluissa käytetty teknologia on kuitenkin edelleen kehitysvaiheessa, eikä tarvittavaa avoimuutta ole pystytty saavuttamaan. Tietojenkäsittelyn entistä verkottuneempi ympäristö luo haasteita tietosuojasääntelyn täytäntöönpanoon. Verkottumisen myötä myös kansainväliset tiedonsiirrot ovat yleistyneet. IT-ulkoistuksiin liittyy lähes poikkeuksetta henkilötietojen käsittelyä. Suomessa henkilötietolaki 22.4.1999/523 on henkilötietojen käsittelyä koskeva yleislaki. Henkilötietolaki perustuu rekisterinpitäjän vastuulle henkilötietojen käsittelystä. Lähtökohtaisesti IT-palvelun ostaja on ulkoistuksen kohteena olevien henkilötietojen rekisterinpitäjä ja ITpalveluntarjoaja henkilötietojen käsittelijä. Rekisterinpitäjän korostunut vastuuasema huomioiden on ensisijaisen tärkeää, että molemmat osapuolet tiedostavat omat tietosuojavelvoitteensa ulkoistushankkeen aikana. Rekisterinpitäjän ja henkilötietojen käsittelijän roolit eivät kuitenkaan ole automaattisesti sopimustekstiin sidotut, jos sopimusteksti ei vastaa tosiasiallisia olosuhteita. IT-ulkoistuksen kannalta tärkeimmät henkilötietolain asettamat vastuut liittyvät rekisteröityjen oikeuksiin, osapuolten ilmoitusvelvollisuuksiin, henkilötietojen siirtoihin Euroopan talousalueen ulkopuolelle sekä tietoturvakysymyksiin. Rekisterinpitäjänä toimivan IT-palvelun ostajan on tärkeää tuntea henkilötietojen käsittelyyn liittyvät velvoitteet, jotta se voi pyrkiä varmistumaan niiden toteutumisesta myös käsittelyä ulkoistettaessa. Vastuu henkilötietojen käsittelyn lainmukaisuudesta jää rekisterinpitäjän kannettavaksi ex parte, vaikka sen kontrolli tietojenkäsittelyyn heikkenee väistämättä ulkoistushankkeen aikana. Henkilötietolain seuraamusjärjestelmä voidaan jakaa kolmeen osa-alueeseen: tietosuojavaltuutetun ja tietosuojalautakunnan määräämiin hallinnollisiin seuraamuksiin, rekisterinpitäjän vahingonkorvausvastuuseen sekä rikosoikeudellisiin seuraamuksiin. Rekisterinpitäjän vastuu on ankaraa vastuuta. Henkilötietolain seuraamusjärjestelmän rinnalla vaikuttaa henkilötietojen käsittelyyn osallistuvien toimijoiden sopimusperusteiset seuraamukset inter partes. Hyvin laadittu IT-ulkoistussopimus on apuväline rekisterinpitäjän sopimusperusteiseen riskinhallintaan. Rekisterinpitäjään kohdistuvan pakottavan lainsäädännön vuoksi IT-palvelun ostajan näkökulmasta on tärkeää, että vastuuta jaetaan sopimusperusteisesti osapuolten kesken. Hankintasopimuksen huolellinen laadinta on yksi avain onnistuneeseen ulkoistushankkeeseen. EU:ssa on tällä hetkellä käynnissä tietosuojasääntelyn kokonaisvaltainen uudistus, jossa tavoitteena on lainsäädännön yhtenäistäminen jäsenvaltioissa suoraan sovellettavalla asetuksella. IT-ulkoistuksen näkökulmasta keskeisin muutos nykytilaan olisi asetusehdotuksessa henkilötietojen käsittelijälle asetetut itsenäiset velvoitteet ja vastuut, joiden noudattaminen on myös sanktioitu. Toteutuessaan uudistus muuttaisi merkittävästi IT-ulkoistuksen osapuolten dynamiikkaa.

Tutkielman aiheena on henkilötietojen siirtäminen EU- ja ETA -maiden ulkopuolelle, erityisesti Yhdysvaltoihin, ja sitä koskevan sääntelyn muuttuminen Euroopan unionin tuomioistuimen 6.10.2015 antaman tuomion asiassa C-362/14 Schrems jälkeen. Komissio oli vuonna 2000 tehdyllä päätöksellään 2000/520/EY katsonut, että EU:n ja Yhdysvaltojen välinen niin sanottu Safe Harbor -järjestely, jota on kutsuttu myös turvasatamajärjestelyksi, takaisi riittävän tietosuojan tason sen nojalla Yhdysvaltoihin siirretyille henkilötiedoille. EUTI totesi Schrems -tuomiossa Safe Harbor -järjestelyä koskevan komission päätöksen pätemättömäksi perusoikeuksien vastaisena muun muassa sen perusteella, että se mahdollisti Yhdysvaltojen tiedusteluviranomaisten laajamittaisen ja rajaamattoman pääsyn EU-kansalaisten henkilötietoihin. Tämän seurauksena henkilötietojen siirtäminen EU- ja ETA -maista Yhdysvaltoihin Safe Harbor -järjestelyn puitteissa ei ollut enää lainmukaista. Helmikuussa 2016 Euroopan komissio ja Yhdysvallat sopivat uudesta Safe Harbor -järjestelyn korvaavasta järjestelystä, jota kutsutaan nimellä EU-US Privacy Shield. Tutkielman metodinen perusta on lainopissa. Tutkielmassa on viitteitä myös vertailevasta oikeustieteen tutkimuksesta, käsittelyn kohdistuessa paikoin Yhdysvaltojen oikeuteen. Sen lisäksi, että tutkielmassa pyritään selvittämään voimassaolevan oikeuden (lex lata) sisältöä, yhdistyy siinä piirteitä tutkimuksesta, jossa voimassa olevaa oikeutta pyritään kehittämään ja jonka tarkoituksena on esittää, mitä voimassaolevan oikeuden pitäisi olla (lex ferenda). Tämä johtuu siitä, että tutkielmassa käsitellään osaksi vielä voimaan astumatonta oikeutta. Tutkielmassa käsitellään niitä säännöksiä, jotka sääntelevät nykytilanteessa henkilötietojen siirtoa EU- ja ETA -maiden ulkopuolelle, erityisesti Yhdysvaltoihin ja henkilötietolainsäädännön tarjoamia eri vaihtoehtoja henkilötietojen kansainväliseen siirtoon. Tutkielmassa keskitytään erityisesti henkilötietojen siirtämiseen nimenomaan Yhdysvaltoihin, sillä tähän liittyvien lainsäädännöllisten muutosten seurauksena näkökulma on erittäin ajankohtainen. Jotta henkilötietojen kansainvälistä siirtämistä voidaan käsitellä, käydään tutkielmassa ensin läpi henkilötietolain keskeistä käsitteistöä, henkilötietojen käsittelyn edellytyksiä, käsittelyn yleisiä periaatteita sekä rekisteröidyn oikeuksia, niiden ollessa seikkoja, jotka tulee huomioida myös henkilötietoja siirrettäessä EU- ja ETA-maiden ulkopuolelle. Tutkielmassa käsitellään lisäksi EUTI:n Schrems -tuomiota ja sen vaikutuksia Yhdysvaltoihin henkilötietoja siirtäville rekisterinpitäjille. Tämä edellyttää kumotun Safe Harbor -järjestelyn sekä vaihtoehtoisten tiedonsiirtomenetelmien käsittelyä. Tässä yhteydessä tutkitaan myös, voidaanko henkilötietojen siirtoa Yhdysvaltoihin kumotun Safe Harbor -järjestelyä koskevan päätöksen nojalla katsoa henkilörekisteririkokseksi. Lisäksi eri siirtomenetelmiä verrataan toisiinsa lyhyesti erityisesti rekisterinpitäjän valintamahdollisuuksien näkökulmasta. Lopuksi tutkielmassa käsitellään Privacy Shield -järjestelyä erityisesti Schrems -tuomiossa esitettyjen näkökohtien valossa ja tutkitaan, täyttääkö se EUTI:n Schrems -tuomiossa esittämät vaatimukset erityisesti koskien viranomaisten pääsyä henkilötietoihin sekä tehokkaita oikeussuojakeinoja. Johtopäätöksenä tutkielmassa päädyttiin siihen, että Privacy Shield -järjestely kaipaa vielä muutoksia, ennen kuin sen voidaan katsoa täyttävän EU-oikeuden edellytykset riittävästä perusoikeuksien suojaamisesta mannertenvälisessä tiedonsiirrossa. Järjestelyn tuomien oikeussuojakeinojen tehokkuutta ja niiden moninaisuutta tulee arvioida uudelleen, mukaan lukien kysymystä Yhdysvaltoihin perustettavasta oikeusasiamiehestä, sen toimivaltuuksista ja itsenäisyydestä. Samoin Yhdysvaltojen viranomaisten massavalvonnan rajoituksia tulee tarkistaa ja pitää huoli, ettei Privacy Shield -järjestely mahdollista rajoittamatonta pääsyä EU-kansalaisten henkilötietoihin, minkä voidaan katsoa olevan yksityiselämän kunnioittamista koskevan perusoikeuden keskeisen sisällön vastaista.