EU-tietosuojan unionin rajat ylittävä ulottuvuus : Alueellinen soveltamisala ja kansainvälisten tiedonsiirtojen sääntely yhdysvaltalaisyrityksen näkökulmasta

Näytä kaikki kuvailutiedot



Pysyväisosoite

http://urn.fi/URN:NBN:fi:hulib-201709295428
Julkaisun nimi: EU-tietosuojan unionin rajat ylittävä ulottuvuus : Alueellinen soveltamisala ja kansainvälisten tiedonsiirtojen sääntely yhdysvaltalaisyrityksen näkökulmasta
Tekijä: Vinnari, Jenni
Muu tekijä: Helsingin yliopisto, Oikeustieteellinen tiedekunta
University of Helsinki, Faculty of Law
Helsingfors universitet, Juridiska fakulteten
Julkaisija: Helsingin yliopisto
Päiväys: 2017
Kieli: fin
URI: http://urn.fi/URN:NBN:fi:hulib-201709295428
http://hdl.handle.net/10138/225073
Opinnäytteen taso: pro gradu -tutkielmat
Oppiaine: Eurooppaoikeus
European law
Europarätt
Tiivistelmä: Tämän metodiltaan lainopillisen tutkielman tarkoituksena on selvittää, millä edellytyksin lähtökohtaisesti yhdysvaltalaissääntelyä raskaampi EU-tietosuojalainsäädäntö soveltuu yhdysvaltalaisyritykseen. Kyse on sen määrittelemisestä, milloin yhdysvaltalaisyritys kuuluu henkilötietodirektiivin ja toukokuusta 2018 alkaen tietosuoja-asetuksen alueellisen soveltamisalan piiriin. Tutkielmassa EU-tietosuojalainsäädännön unionin maantieteelliset rajat ylittävän ulottuvuuden ei kuitenkaan nähdä rajoittuvan ainoastaan alueelliseen soveltamisalaan, vaan lisäksi tarkastellaan henkilötietojen siirtoa unionin ulkopuolelle koskevien rajoitusten merkitystä yhdysvaltalaisyrityksen näkökulmasta. Tutkielman johtopäätöksenä havaitaan, että jo henkilötietodirektiivin 4 artikla on pitänyt sisällään mahdollisuuden EU-tietosuojavelvoitteiden soveltamiseen myös yhdysvaltalaisyrityksen unionin ulkopuolella suorittamaan henkilötietojen käsittelyyn. Etenkin 4(1)(c) artiklaa voidaan pitää varsin vaikeatulkintaisena ja yhdysvaltalaisyrityksen kannalta ennakoimattomana siitäkin huolimatta, ettei siihen käytännössä ole kovinkaan usein turvauduttu. Myös henkilötietodirektiivin 4(1)(a) artiklan unionin alueella sijaitsevan "toimipaikan toiminnan yhteydessä" -kriteerin laajalla tulkinnalla on ollut mahdollista tuoda melko etäisestikin unioniin alueeseen liittyvä käsittely EU-tietosuojavelvoitteiden soveltamisalaan. Tietosuoja-asetuksen vastaavaa 3(1) artiklaa on perusteltua tulkita yhtä laajasti. Kuitenkin tietosuoja-asetuksen uuden "tavaroiden tai palvelujen tarjonnan" tai "käyttäytymisen seurannan" unionin alueella oleviin rekisteröityihin suuntaamiselle perustuvan 3(2) artiklan voidaan katsoa tekevän laajasta alueellisesta soveltamisalasta entistäkin ilmeisemmän. Näin ollen EU-lainsäätäjä näyttäisi pyrkivän entistä selvemmin viestimään, että myös sellaiset yritykset, joilla ei ole mitään fyysistä liittymää EU-alueeseen, voivat kuulua EU-tietosuojalainsäädännön piiriin. Tutkielmassa todetaan myös kansainvälisten tiedonsiirtojen sääntelyn voivan vaikuttaa yhdysvaltalaisyrityksen suorittamaan henkilötietojen käsittelyyn, kun sääntelyn seurauksena tiedonsiirron laillistamiseksi yhdysvaltalaisyrityksen edellytetään sitoutuvan esimerkiksi mallisopimuslausekkein tai Privacy Shield -järjestelmään rekisteröitymällä EU-tietosuojalainsäädännöstä kumpuavien periaatteiden noudattamiseen. Tutkielmassa tullaan siihen johtopäätökseen, että entisestään laajentunut alueellinen soveltamisala edellyttäisikin selvennystä sen suhteesta kansainvälisten tiedonsiirtojen sääntelyyn. Lisäksi tutkielmassa tarkastellaan laajasta alueellisesta soveltamisalasta ja kansainvälisten tiedonsiirtojen sääntelystä johtuvaa EU-tietosuojalainsäädännön ekstraterritoriaalisuutta kansainvälisen oikeuden periaatteiden valossa. Vaikka tarkastelun seurauksena EU-tietosuojalainsäädännön ekstraterritoriaalisuuden ei katsota olevan vastoin kansainvälistä oikeutta, paikannetaan tutkielmassa ekstraterritoriaalisuudesta johtuvia käytännön haasteita, kuten yhdysvaltalaisyritykseen kohdistuvia ristiriitaisia velvoitteita. Lisäksi EU-velvoitteiden täytäntöönpanon mahdollisuuksien havaitaan olevan heikot tilanteessa, jossa yhdysvaltalaisyrityksellä ei ole toimintaa tai varoja EU-alueella. Tutkielman johtopäätös on, että etenkin tietosuoja-asetuksella on pyritty vaikuttamaan unionin ulkopuolellakin tapahtuvaan eurooppalaisten rekisteröityjen henkilötietojen käsittelyyn. Kun yhdysvaltalaisyrityksellä ei ole fyysistä toimintaa EU:ssa, syntyy täytäntöönpanoon liittyviä haasteita, jotka voivat heijastua koko EU-oikeudellisen tietosuojajärjestelmän uskottavuuteen. Näin ollen tutkielma näkeekin tarvetta lisätutkimukselle siitä, kuinka soveltamisedellytyksiä voitaisiin kehittää myös paremmin tosiasialliset täytäntöönpanomahdollisuudet huomioon ottavaan suuntaan.


Tiedostot

Tiedosto(t) Koko Formaatti Näytä

Tähän julkaisuun ei ole liitetty tiedostoja

Viite kuuluu kokoelmiin:

Näytä kaikki kuvailutiedot