Browsing by Subject "tietosuoja-asetus"

Sort by: Order: Results:

Now showing items 1-4 of 4
  • Rytkönen, Olavi (Helsingin yliopisto, 2021)
    Tutkielmassa tarkastellaan lainopillisesta ja oikeusvertailevasta näkökulmasta henkilötiedon anonymisoimista Euroopan unionissa ja Yhdysvalloissa. Vertailukohteena on Euroopan unionin osalta yleinen tietosuoja-asetus(GDPR) ja Yhdysvaltojen osalta erityisesti Kalifornian uusi kuluttajien tietosuojaa koskeva laki(CCPA), sekä soveltuvin osin common law -oikeuskäytäntö. Tutkielman tematiikka kohdistuu ensinnäkin henkilötiedon käsitteeseen. Toisena tutkimuskysymyksenä analysoidaan anonymisoimisen velvollisuutta, ja tähän liittyen yksilön oikeutta vaatia henkilötietojen poistamista. Tarkastelussa painotetaan perusoikeusnäkökulmaa, oikeuskulttuurisia eroja unohtamatta. Tutkielman lopussa esitetään vielä kriittisiä näkökulmia anonymisoimiseen liittyen. Tämän osalta tutkimus kohdistuu erityisesti sääntelyn tehokkuuteen ja oikeusvarmuuteen. Tutkimustyön perusteella unionin anonymisoimista koskevassa oikeudessa painotetaan yksityisyyden suojaa ja tietosuojaa huomattavasti yhdysvaltalaista lähestymistapaa enemmän. Henkilötiedon käsite on laajempi ja näin ollen anonymisoimisen kynnys korkeampi. Samaan aikaan anonymisoimiseen liittyvät velvoitteet ovat sääntelyn kohteena olevien toimijoiden näkökulmasta tiukemmat. Toisaalta CCPA edustaa yhdysvaltalaisessa kontekstissa askelta eurooppalaisemman tietosuojasääntelyn suuntaan. Tämä näkyy siinä, että CCPA:n sisältämä henkilötiedon määritelmä muistuttaa laajuudessaan GDPR:n vastavaa. Lisäksi CCPA sisältää kuluttajan oikeuden vaatia henkilötietojensa poistamista, jota voidaan luonnehtia kevennetyksi versioksi GDPR:n mukaisesta oikeudesta tulla unohdetuksi.
  • Bärlund-Vihtola, Nina (Helsingin yliopisto, 2020)
    Henkilötietojen suoja eli tietosuoja on Euroopan unionin perusoikeuskirjassa vahvistettu perusoikeus. Yksityishenkilöiden tietosuoja vahvistui entisestään, kun vuonna 2018 alettiin kaikissa EU:n jäsenmaissa soveltaa Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta, lyhyemmin EU:n yleistä tietosuoja-asetusta. Asetusta täydennettiin myöhemmin kansallisella tietosuojalailla 1050/2018. Organisaatio, joka omistaa henkilörekisterin, on rekisterinpitäjä, ja henkilö, jonka tiedot ovat henkilörekisterissä, rekisteröity. Tietosuoja-asetuksessa on määritetty rekisterinpitäjän velvollisuudet, joiden avulla tämän on vastattava siitä, että rekisteröidyn oikeudet toteutuvat. Lisäksi rekisterinpitäjällä on osoitusvelvollisuus siitä, että henkilötietojen käsittely tapahtuu tietosuoja-asetuksen käsittelyperiaatteiden mukaisesti, sekä ilmoitusvelvollisuus kansalliselle valvontaviranomaiselle tilanteissa, joissa on tapahtunut henkilötietojen tietoturvaloukkaus. Tietosuoja-asetuksella on vaikutuksia sovelluskehitykseen. Asetus velvoittaa huolehtimaan sisäänrakennetusta tietosuojasta (Privacy by Design) eli tietosuojaa tuottavien toiminnallisuuksien toteutuksesta tietojärjestelmiin alusta alkaen. Asetus on pitkä ja hankala, joten ollut organisaatioille työlästä havaita siitä kaikki velvoitteet. Tässä tutkielmassa on pyritty vastaamaan tuohon ongelmaan etsimällä asetuksesta sisäänrakennetun tietosuojan vaatimukset ja kiinnittämällä ne TOGAF-kokonaisarkkitehtuurikehykseen. Tämän pohjalta on toteutettu sovelluskehityksen tietosuojaohjeistuksen runko, jota kehittämällä on organisaatiolle luotavissa toimiva ohjeistus sisäänrakennetun tietosuojan rakentamisen tueksi.
  • Söderholm, Ann-Marie (Helsingin yliopisto, 2021)
    Tässä lainopillisessa tutkielmassa tarkastellaan TSA 21 artiklan 1 kohdan yleistä vastustamisoikeutta henkilötietojen hallinnan ja kontrollin välineenä, sekä henkilötietojen suojaa koskevan perusoikeuden ja tiedollisen itsemääräämisoikeuden toteuttajana. TSA 21(1) artiklan mukainen vastustamisoikeus ei ole ehdoton oikeus. Rekisterinpitäjä voi jatkaa henkilötietojen käsittelyä, jos käsittelyn jatkamiseen huomattavan tärkeä ja perusteltu syy. Arvioinnissa on tasapainotettava yksilön edut, oikeudet ja vapaudet rekisterinpitäjän tai yhteisiä, kolmansien etuja ja oikeuksia vasten. Yleisen vastustamisoikeuden soveltaminen edellyttää siten tapauskohtaista punnintaa rekisterinpitäjän ja kolmansien sekä rekisteröidyn oikeuksien välillä. Tutkielmassa käsitellään vastustamisoikeuteen liittyvää oikeudellista punnintaa mekanismina, jolla oikeudenmukainen tasapaino, fair balance, voidaan tapauskohtaisesti saavuttaa. Ensimmäisen tutkintakysymyksen avulla tutkielmassa selvitetään, miksi henkilötietojen käsittelyn vastustamisoikeus on turvattu eurooppalaisessa tietosuojasääntelyssä, sekä käydään läpi vastustamisoikeuden tulkintaa ohjaava tausta ja yhteys henkilötietojen suojaan perusoikeutena. Tutkielmassa tarkastellaan lisäksi, miten oikeudenmukainen tasapaino on löydettävissä vastustamisoikeuden soveltamisen yhteydessä henkilötietoon liittyvien oikeuksien välillä. Tarkastelu suoritetaan EUT:n ja EIT:n ratkaisukäytännön sekä WP 29 tietosuojatyöryhmän ja Euroopan tietosuojaneuvoston (EDPB) kannanottojen sekä oikeuskirjallisuudessa esitettyjen kantojen valossa. Tutkielman tarkoituksena on nostaa esiin yleisen vastustamisoikeuden tulkinnan ja punninnan kannalta merkityksellisiä seikkoja esimerkkien sekä eurooppalaisen tietosuojasääntelyn tavoitteiden ja painopisteiden valossa. Kysymyksiä tarkastellaan oikeustieteellisestä näkökulmasta yksilön tietosuojaoikeuksien ja perusoikeuksien tehokkaan toteutumisen näkökulmasta. Kontekstin hahmottamiseksi tutkielmassa pyritään tiedostamaan yhteiskunnallinen ja taloudellinen paine sekä EU:n integraatiokehitys ja poliittinen ympäristö tietosuojasääntelyn taustalla. Vaikka henkilötietojen suojalla ja oikeudella hallita omia tietojaan on tärkeä merkitys niin yksilön kun demokraattisen yhteiskunnan kannalta, henkilötietojen suojan ei tule olla absoluuttinen oikeus. Punninta mahdollistaa oikeudenmukaisen tasapainon löytämisen yhtäältä eri oikeuksien ja intressien sekä toisaalta perusoikeuksien ja taloudellisten vapauksien välille. TSA toimii lainsäädäntökehyksenä sille, miten henkilötietojen suojaa voidaan tasapainottaa suhteessa muihin EU-oikeudessa tunnustettuihin perusoikeuksiin ja taloudellisiin vapauksiin. Oikeudenmukaisen tasapainon edellytys näkyy niin asetuksen jännitteisissä tavoitteissa, kuin yksittäisissä artikloissa. Avoimena normina myös vastustamisoikeuden soveltaminen edellyttää tapauskohtaisen punninnan tekemistä. Vastustamisoikeutta koskevassa punninnassa on kyse tapauskohtaisesta arvioinnista, jossa annetaan merkitystä muun muassa rekisteröidyn henkilökohtaiselle tilanteelle, käsiteltävien henkilötietojen sisällölle sekä käsittelyn laajuudelle ja valituille käsittelytoimille. Tutkielman lopuksi hahmotellaan, millaiset rekisterinpitäjän tai kolmansien yhteiset intressit saattavat syrjäyttää rekisteröidyn oikeuden määrätä omista henkilötiedoistaan. Tutkielmassa esitetään, että rekisteröidyn oikeus vastustaa henkilötietojensa käsittelyä on lähtökohtaisesti asetettava etusijalle. Tutkielmassa hahmotetaan myös erityisen painavia syitä vastustamisoikeuden vastapainona, jotka voivat mennä rekisteröidyn oikeuden edelle tapauskohtaisessa punninnassa. Vaikka punninnassa, jolla tähdätään oikeudenmukaisen tasapainon saavuttamiseen, on kyse korostetun tapauskohtaisesta arvioinnista, esitetään tutkielmassa tiettyjä osatekijöitä, jotka ovat yhteisiä kaikille vastustamisoikeutta koskeville punnintatilantilanteille.
  • Repo, Rasmus (Helsingin yliopisto, 2021)
    Yleinen tietosuoja-asetus (EU 2016/679) asettaa velvollisuuksia henkilötietoja käsitteleville toimijoille. Asetuksen vastaisesta toiminnasta voi seurata esimerkiksi vahingonkorvausvelvollisuus tai hallinnollisen sakon määrääminen. Yliopistot käsittelevät usein henkilötietoja tieteellisen tutkimuksen yhteydessä. Usein henkilötietojen käsittelyssä on mukana toinenkin taho, esimerkiksi käsittelijänä tai yhteisrekisterinpitäjänä. Tällöin henkilötietojen käsittelystä on määrättävä osapuolten välillä asetuksen edellyttämin tavoin, ja näiden tahojen välillä on tyypillisesti henkilötietojen käsittelyä koskeva sopimus. Tämän tutkielman tutkimuskohteena on vastuunhallitseminen sopimusehdoin henkilötietojen käsittelyssä. Tutkimuskohde tarkentui vielä niin, että tutkielmassa arvioidaan kysymystä siitä, että vaikuttaako yliopistojen tieteelliseen tutkimukseen liittyvä henkilötietojen käsittely vastuunhallitsemisen arviointiin. Päähuomio tutkielmassa on siinä, että vaikuttaako asetus henkilötietojen käsittelyyn osallistuvien sopijapuolten mahdollisuuksiin sopia keskinäisestä vastuustaan sen vahingon korvaamiseen suhteen, joka aiheutuu sopimukseen nähden kolmannelle. Hallinnollinen sakko rajattiin tarkemman tarkastelun ulkopuolelle. Kyseiseen seuraamukseen liittyy kuitenkin tiettyjä erityispiirteitä yliopistojen osalta, minkä vuoksi se huomioidaan tutkielmassa tältä osin. Tieteellinen tutkimus vaikuttaa siihen, miten asetus soveltuu tarkasteltavaan toimintaan, ja siten siihen, millaisiksi toimintaan liittyvät tietosuojavelvoitteet muodostuvat. Sopimusehdoilla voidaan puolestaan osaltaan vaikuttaa siihen, että tutkimus täyttää tieteellisyyden kriteerit, vaikka tutkimuksessa olisi osallisena myös yliopiston ulkopuolinen toimija. Henkilötietojen käsittelyyn liittyvistä riskeistä kiinnitetään huomiota siihen, ettei tietosuojalain (1050/2018) mukaan yliopistoille voida määrätä hallinnollista sakkoa. Vahingonkorvauksen osalta tutkielmassa selvitetään sitä, mikä taho on oikeutettu korvaukseen asetuksen 82 (1) artiklan nojalla. Kysymys on tulkinnanvarainen mutta tutkielmassa päädyttiin siihen, että painavat perusteet kuten sääntelyn tarkoitus perustelevat sitä, että vain rekisteröity on oikeutettu tähän korvaukseen. Osapuolten roolilla rekisterinpitäjänä tai käsittelijänä on merkittävä vaikutus siihen, millaiseksi niiden vastuu muodostuu asetuksen 82 artiklan 2-5 kohtien nojalla. Asetuksen korvaussääntelyn tarkoituksena voidaan nähdä olevan se, että se kohdentaa vastuun vahingon aiheuttajalle. Asetuksen nojalla yliopistojen roolia rekisterinpitäjänä, ja siten niiden vastuuta ja lähtökohtaisesti myös vastuusta sopimista tulee arvioida samoin kuin muiden toimijoiden osalta. Sopimusvapaudella on puolestaan keskeinen asema oikeudessamme, ja sopijapuolilla on yleisesti mahdollisuus sopia myös sopimusriskeistään. Sopimusvapaus ei ole kuitenkaan poikkeuksetonta ja sitä rajoittaa pakottava lainsäädäntö. Asetus vaikuttaa monin tavoin sopimusvapautta kaventavasti. Asetuksen tarkoituksena voidaan katsoa olevan rekisteröidyn suojaaminen. Tästä näkökulmasta tutkielmassa päädyttiin siihen, että tämä tarkoitus on myös asetuksen edellyttämillä sopimuksilla tai sen edellyttämiin järjestelyihin pohjautuvilla sopimuksilla, ja siksi niiden osalta sopimusvapaus on yleisesti ottaen kapeampaa kuin tutkimussopimuksen osalta. Tutkielmassa arvioidaan edellä esitettyyn perustuen kysymystä siitä, onko asetuksen 82 artikla tulkittava pakottavaksi keskinäisen vastuunjaon suhteen, ja rajautuuko sopimusvapaus myös tässä suhteessa. Kysymystä artiklan pakottavuudesta ei ole ratkaistu tuomioistuimessa, ja argumentteja on esitettävissä kumpaankin suuntaan. Tutkielmassa päädyttiin rekisteröidyn suojaa painottamalla siihen, että asetuksen 82 artiklan mukainen vastuunjakosääntely on tulkittavissa pakottavaksi. Henkilötietojen suoja on perusoikeus, ja rekisteröidyn suojan painottuminen on näkynyt EUT:n oikeuskäytännössä. Asetuksen mukainen korvausvastuu menettäisi merkitystään sääntelyn noudattamisen varmistusmekanismina, jos vastuusta voisi sopia toisin. Tutkielmassa arvioitiin, että vastuusta toisin sopiminen voisi siten vaikuttaa siihen, miten osapuolet suhtautuvat ja toteuttavat vastuullaan olevia tietosuojavelvoitteita. Vastuusta toisin sopiminen voisi mahdollistaa myös sääntelyn kiertämisen. TSA 82 artiklan pakottavuus turvaisi siten sääntelyn päämääränä olevaa rekisteröidyn suojaa. Tutkielmassa päädyttiin siihen, että asetuksen vastaista sopimusehtoa voisi pakottavan sääntelyn vastaisena pitää pätemättömänä, ja asetus tulisi ehdon sijasta noudatettavaksi. Tutkielmassa esitetään lopuksi vielä eräitä tarkentavia näkökohtia. Ensinnäkin huomioidaan, että pakottavuus koskee vain sopimista sen vahingon suhteen, joka tulee asetuksen nojalla korvattavaksi. Lisäksi kiinnitetään huomiota keskeisiin sopimusoikeudellisiin periaatteisiin koskien vastuunrajoitusehtoja, sovinnon mahdollisuuksiin ja siihen, ettei asetus estä sopimasta korvaukseen liitännäisistä kuluista.