EU-tietosuojan unionin rajat ylittävä ulottuvuus : Alueellinen soveltamisala ja kansainvälisten tiedonsiirtojen sääntely yhdysvaltalaisyrityksen näkökulmasta

Show full item record



Permalink

http://urn.fi/URN:NBN:fi:hulib-201709295428
Title: EU-tietosuojan unionin rajat ylittävä ulottuvuus : Alueellinen soveltamisala ja kansainvälisten tiedonsiirtojen sääntely yhdysvaltalaisyrityksen näkökulmasta
Author: Vinnari, Jenni
Other contributor: Helsingin yliopisto, Oikeustieteellinen tiedekunta
University of Helsinki, Faculty of Law
Helsingfors universitet, Juridiska fakulteten
Publisher: Helsingin yliopisto
Date: 2017
Language: fin
URI: http://urn.fi/URN:NBN:fi:hulib-201709295428
http://hdl.handle.net/10138/225073
Thesis level: master's thesis
Discipline: Eurooppaoikeus
European law
Europarätt
Abstract: Tämän metodiltaan lainopillisen tutkielman tarkoituksena on selvittää, millä edellytyksin lähtökohtaisesti yhdysvaltalaissääntelyä raskaampi EU-tietosuojalainsäädäntö soveltuu yhdysvaltalaisyritykseen. Kyse on sen määrittelemisestä, milloin yhdysvaltalaisyritys kuuluu henkilötietodirektiivin ja toukokuusta 2018 alkaen tietosuoja-asetuksen alueellisen soveltamisalan piiriin. Tutkielmassa EU-tietosuojalainsäädännön unionin maantieteelliset rajat ylittävän ulottuvuuden ei kuitenkaan nähdä rajoittuvan ainoastaan alueelliseen soveltamisalaan, vaan lisäksi tarkastellaan henkilötietojen siirtoa unionin ulkopuolelle koskevien rajoitusten merkitystä yhdysvaltalaisyrityksen näkökulmasta. Tutkielman johtopäätöksenä havaitaan, että jo henkilötietodirektiivin 4 artikla on pitänyt sisällään mahdollisuuden EU-tietosuojavelvoitteiden soveltamiseen myös yhdysvaltalaisyrityksen unionin ulkopuolella suorittamaan henkilötietojen käsittelyyn. Etenkin 4(1)(c) artiklaa voidaan pitää varsin vaikeatulkintaisena ja yhdysvaltalaisyrityksen kannalta ennakoimattomana siitäkin huolimatta, ettei siihen käytännössä ole kovinkaan usein turvauduttu. Myös henkilötietodirektiivin 4(1)(a) artiklan unionin alueella sijaitsevan "toimipaikan toiminnan yhteydessä" -kriteerin laajalla tulkinnalla on ollut mahdollista tuoda melko etäisestikin unioniin alueeseen liittyvä käsittely EU-tietosuojavelvoitteiden soveltamisalaan. Tietosuoja-asetuksen vastaavaa 3(1) artiklaa on perusteltua tulkita yhtä laajasti. Kuitenkin tietosuoja-asetuksen uuden "tavaroiden tai palvelujen tarjonnan" tai "käyttäytymisen seurannan" unionin alueella oleviin rekisteröityihin suuntaamiselle perustuvan 3(2) artiklan voidaan katsoa tekevän laajasta alueellisesta soveltamisalasta entistäkin ilmeisemmän. Näin ollen EU-lainsäätäjä näyttäisi pyrkivän entistä selvemmin viestimään, että myös sellaiset yritykset, joilla ei ole mitään fyysistä liittymää EU-alueeseen, voivat kuulua EU-tietosuojalainsäädännön piiriin. Tutkielmassa todetaan myös kansainvälisten tiedonsiirtojen sääntelyn voivan vaikuttaa yhdysvaltalaisyrityksen suorittamaan henkilötietojen käsittelyyn, kun sääntelyn seurauksena tiedonsiirron laillistamiseksi yhdysvaltalaisyrityksen edellytetään sitoutuvan esimerkiksi mallisopimuslausekkein tai Privacy Shield -järjestelmään rekisteröitymällä EU-tietosuojalainsäädännöstä kumpuavien periaatteiden noudattamiseen. Tutkielmassa tullaan siihen johtopäätökseen, että entisestään laajentunut alueellinen soveltamisala edellyttäisikin selvennystä sen suhteesta kansainvälisten tiedonsiirtojen sääntelyyn. Lisäksi tutkielmassa tarkastellaan laajasta alueellisesta soveltamisalasta ja kansainvälisten tiedonsiirtojen sääntelystä johtuvaa EU-tietosuojalainsäädännön ekstraterritoriaalisuutta kansainvälisen oikeuden periaatteiden valossa. Vaikka tarkastelun seurauksena EU-tietosuojalainsäädännön ekstraterritoriaalisuuden ei katsota olevan vastoin kansainvälistä oikeutta, paikannetaan tutkielmassa ekstraterritoriaalisuudesta johtuvia käytännön haasteita, kuten yhdysvaltalaisyritykseen kohdistuvia ristiriitaisia velvoitteita. Lisäksi EU-velvoitteiden täytäntöönpanon mahdollisuuksien havaitaan olevan heikot tilanteessa, jossa yhdysvaltalaisyrityksellä ei ole toimintaa tai varoja EU-alueella. Tutkielman johtopäätös on, että etenkin tietosuoja-asetuksella on pyritty vaikuttamaan unionin ulkopuolellakin tapahtuvaan eurooppalaisten rekisteröityjen henkilötietojen käsittelyyn. Kun yhdysvaltalaisyrityksellä ei ole fyysistä toimintaa EU:ssa, syntyy täytäntöönpanoon liittyviä haasteita, jotka voivat heijastua koko EU-oikeudellisen tietosuojajärjestelmän uskottavuuteen. Näin ollen tutkielma näkeekin tarvetta lisätutkimukselle siitä, kuinka soveltamisedellytyksiä voitaisiin kehittää myös paremmin tosiasialliset täytäntöönpanomahdollisuudet huomioon ottavaan suuntaan.


Files in this item

Files Size Format View

There are no files associated with this item.

This item appears in the following Collection(s)

Show full item record