Oikeus tietojen poistamiseen ja sen merkittävimmät ristiriidat kansainvälisten tietoverkkojen todellisuuden ja teknologian kehityksen kanssa
Dahl, Ilkka (2020-05-13)
Dahl, Ilkka
Lapin yliopisto
13.05.2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2020051435657
https://urn.fi/URN:NBN:fi-fe2020051435657
Tiivistelmä
Oikeus saada tiedot poistetuksi (eli ”oikeus tulla unohdetuksi”) nousi laajan uutisoinnin kohteeksi Google Spain -tuomiona tunnetun Euroopan unionin tuomioistuimen ratkaisun C-131/12 seurauksena vuonna 2014. Nyt aiheesta on kertynyt lisää oikeuskäytäntöä, minkä lisäksi oikeus saada tiedot poistetuksi on myös osa EU:n yleistä henkilötietoasetusta (GDPR), jonka soveltaminen alkoi toissa vuonna. Katsonkin GDPR:n ja jatkuvasti lisääntyneen aihetta koskevan oikeuskäytännön vuoksi oikeuden saada tiedot poistetuksi olevan käytännössä yhä tärkeämpi tutkimuskohde. Tässä tutkielmassani käytän tutkimusmetodina oikeus-dogmatiikkaa; tulkintametodini puolestaan ovat teleologia ja systemaattinen tulkinta.
Pyrin luomaan katsauksen siihen, miten oikeus saada tiedot poistetuksi on kehittynyt ja mitä kyseinen oikeus tarkoittaa tällä hetkellä. Ensimmäinen tutkimuskysymykseni koskee sitä, miten oikeus saada tiedot poistetuksi voi toteutua nykymaailmassa, jossa tietoverkkojen myötä EU:n kansalaisen henkilötiedot voivat maantieteellisesti sijaita myös Suomen ja EU:n rajojen ulkopuolella. Tältä osin päädyin siihen, että valtioiden suvereniteetin periaatteen vuoksi ei ole takeita siitä, etteikö tietoja voisi päätyä ja jäädä valtioihin, joissa oikeutta saada tiedot poistetuksi ei ole (varsinkaan muiden valtioiden kansalaisille). Toisaalta havaitsin myös, että varsinkin tunnetut yritykset vaikuttavat joko maineriskin tai GDPR:n sanktioiden pelossa pyrkivän noudattamaan rekisteröityjen oikeuksia myös tietoja EU:n ulko-puolelle siirtäessään.
Toinen tutkimuskysymys puolestaan koskee sitä, mitkä ovat uusien teknologisten ratkaisuiden kuten lohkoketjujen ja esineiden internetin kehityksen vaikutukset yksityisten henkilöiden henkilötietojen käsittelyyn erityisesti sen kannalta, miten oikeus saada tiedot poistetuksi toteutuu. Tätä tarkastelen kolmen valikoidun ajankohtaisen esimerkin (digitaalinen asuntokappa, älykotijärjestelmät, krypto-valuutta Libra) kautta. Niiden osalta havaitsin, että oikeus saada tiedot poistetuksi ei lähtökohtaisesti esty sillä perusteella, että tiedot kerätään uutta teknologiaa hyödyntäen, vaan oikeus voi toteutua, jos rekisteröity löytää rekisterinpitäjän, jolta vaatia poistamista.
Pyrin luomaan katsauksen siihen, miten oikeus saada tiedot poistetuksi on kehittynyt ja mitä kyseinen oikeus tarkoittaa tällä hetkellä. Ensimmäinen tutkimuskysymykseni koskee sitä, miten oikeus saada tiedot poistetuksi voi toteutua nykymaailmassa, jossa tietoverkkojen myötä EU:n kansalaisen henkilötiedot voivat maantieteellisesti sijaita myös Suomen ja EU:n rajojen ulkopuolella. Tältä osin päädyin siihen, että valtioiden suvereniteetin periaatteen vuoksi ei ole takeita siitä, etteikö tietoja voisi päätyä ja jäädä valtioihin, joissa oikeutta saada tiedot poistetuksi ei ole (varsinkaan muiden valtioiden kansalaisille). Toisaalta havaitsin myös, että varsinkin tunnetut yritykset vaikuttavat joko maineriskin tai GDPR:n sanktioiden pelossa pyrkivän noudattamaan rekisteröityjen oikeuksia myös tietoja EU:n ulko-puolelle siirtäessään.
Toinen tutkimuskysymys puolestaan koskee sitä, mitkä ovat uusien teknologisten ratkaisuiden kuten lohkoketjujen ja esineiden internetin kehityksen vaikutukset yksityisten henkilöiden henkilötietojen käsittelyyn erityisesti sen kannalta, miten oikeus saada tiedot poistetuksi toteutuu. Tätä tarkastelen kolmen valikoidun ajankohtaisen esimerkin (digitaalinen asuntokappa, älykotijärjestelmät, krypto-valuutta Libra) kautta. Niiden osalta havaitsin, että oikeus saada tiedot poistetuksi ei lähtökohtaisesti esty sillä perusteella, että tiedot kerätään uutta teknologiaa hyödyntäen, vaan oikeus voi toteutua, jos rekisteröity löytää rekisterinpitäjän, jolta vaatia poistamista.