Rekisterinpitäjän osoitusvelvollisuus : tietosuojaviranomaisen ennakko- ja jälkivalvonta konsernin näkökulmasta
Linner, Joona (2020-06)
Lapin yliopisto
06 / 2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2020062345373
https://urn.fi/URN:NBN:fi-fe2020062345373
Tiivistelmä
Tämä oikeusdogmaattinen tutkielma käsittelee eurooppalaista tietosuojalainsäädäntöä, joka on lainsäädäntöalueena pitkälti harmonisoitu jäsenvaltiossa. Tulen ottamaan kantaa siihen, mitä yhtäläisyyksiä ja eroavaisuuksia edeltäneen ja nykyisen tietosuojalainsäädännön välillä on, sillä erityisesti yhtäläisyyksien osalta voidaan huomioida aikaisempi oikeuskäytäntö vähintäänkin analogisesti. Tutkielmassa arvioidaan myös lainsäädännöllisten muutosten tarpeellisuutta nykyisen verkko- tai pikemminkin ubiikkiyhteiskunnan aikakaudella. Aiheeseen johdatuksena voidaan todeta, että globalisaatio sekä työvoiman, pääoman, tavaroiden ja palveluiden vapaa liikkuvuus unionin sekä Euroopan talousalueella ovat synnyttäneet tarpeen säännellä henkilötietojen käsittelyä yhä enenevässä määrin harmonisoidusti subsidiariteettiperiaatteeseen nojautuen. Aikaisemmin voimassa olleen direktiivin 95/46/EC (Henkilötietodirektiivi) aikakaudella ongelmaksi nousi se, että käytännössä unionin alueella oli 28 erilaista tietosuojalakia, joita monikansallisten yhtiöiden oli hankala noudattaa yhtäaikaisesti. Näin ollen päätettiin säätää yleinen tietosuoja-asetus (EU) 679/2016 (GDPR), jonka avulla sovellettavaa tietosuojalainsäädäntöä saatiin harmonisoitua kattavammin. GDPR tulee sovellettavaksi myös tilanteissa, joissa henkilötietoja siirretään EU/ETA:n ulkopuolelle.
Unionin integraatiokehityksen tuotteena syntyvän lainsäädännön harmonisoitumisen henkilötietojen suojan alueella, on nähty lisäävän yksilöiden mahdollisuuksia panna täytäntöön heille kuuluvia yksityisyyteen sekä henkilötietojen suojaan liittyviä oikeuksiaan. GDPR:ään perustuen Suomen aikaisempi tietosuojan yleislaki, henkilötietolaki, kumottiin uudella tietosuojalailla, jonka puitteissa on käytetty tietosuoja-asetuksen jä-senvaltioille suomaa liikkumavaraa. Tutkielman päätavoitteena on kuitenkin arvioida nimenomaisesti tietosuoja-asetuksen mukaisen osoitusvelvollisuuden sisältämiä toimintavelvoitteita konsernin näkökulmasta. Tällöin tutkimuskysymykseksi asettuu se, miten osoitusvelvollisuus on täytettävissä ja miten tämä on osoitettavissa tietosuojaviranomaiselle tämän suorittamassa ennakko- ja jälkivalvonnassa. Osoitusvelvollisuuden täyttäminen käytännön tasolla on jaettu tutkielmassa tilanteisiin, joissa on kyse rekisterinpitäjän sisäisestä käsittelytoiminnasta sekä tilanteisiin, joissa on kyse rekisterinpitäjän ulkoistamasta sen lukuun tapahtuvasta tietojenkäsittelytoiminnasta. Koska jokainen yhtiö käsittelee vähintäänkin työntekijöidensä henkilötietoja työoikeudelliseen lainsäädäntöön perustuen, ei yhteisöt voi välttyä täysin GDPR:n soveltamiselta.
On syytä huomata, että tietosuojassa on kyse perus- ja ihmisoikeuksien suojaamisesta, mistä säädetään Suomen perustuslain 10.1 §:n ohella Euroopan perusoikeuskirjassa ja joka on johdettavissa myös Euroopan ihmisoikeussopimuksesta sekä useista YK:n valtiosopimuksista. Euroopan tietosuojauudistuksen myötä oikeutta henkilötietojen suojaan ylläpidetään entistä tehokkaammin keinoin. Tästä esimerkkinä, ja suhteessa henkilötietodirektiiviin tapahtuneena muutoksena, voidaan mainita hallinnolliset sakot, joita voidaan nykyisin määrätä organisaatiolle, joka toimii tietosuojalainsäädännön vastaisesti. Toisena eroavaisuutena on tämän tutkielman aiheena oleva osoitusvelvollisuus, josta säädetään tietosuoja-asetuksen 5(2) artiklassa ja jonka perusteella rekisterinpitäjä on vastuussa siitä, että tämän käsittelytoiminnassa noudatetaan kaikkia GDPR:ssä määriteltyjä tietosuojaperiaatteita ja lisäksi rekisterinpitäjän on kyettävä osoittamaan myös jälkikäteen noudattavansa näitä periaatteita.
Unionin integraatiokehityksen tuotteena syntyvän lainsäädännön harmonisoitumisen henkilötietojen suojan alueella, on nähty lisäävän yksilöiden mahdollisuuksia panna täytäntöön heille kuuluvia yksityisyyteen sekä henkilötietojen suojaan liittyviä oikeuksiaan. GDPR:ään perustuen Suomen aikaisempi tietosuojan yleislaki, henkilötietolaki, kumottiin uudella tietosuojalailla, jonka puitteissa on käytetty tietosuoja-asetuksen jä-senvaltioille suomaa liikkumavaraa. Tutkielman päätavoitteena on kuitenkin arvioida nimenomaisesti tietosuoja-asetuksen mukaisen osoitusvelvollisuuden sisältämiä toimintavelvoitteita konsernin näkökulmasta. Tällöin tutkimuskysymykseksi asettuu se, miten osoitusvelvollisuus on täytettävissä ja miten tämä on osoitettavissa tietosuojaviranomaiselle tämän suorittamassa ennakko- ja jälkivalvonnassa. Osoitusvelvollisuuden täyttäminen käytännön tasolla on jaettu tutkielmassa tilanteisiin, joissa on kyse rekisterinpitäjän sisäisestä käsittelytoiminnasta sekä tilanteisiin, joissa on kyse rekisterinpitäjän ulkoistamasta sen lukuun tapahtuvasta tietojenkäsittelytoiminnasta. Koska jokainen yhtiö käsittelee vähintäänkin työntekijöidensä henkilötietoja työoikeudelliseen lainsäädäntöön perustuen, ei yhteisöt voi välttyä täysin GDPR:n soveltamiselta.
On syytä huomata, että tietosuojassa on kyse perus- ja ihmisoikeuksien suojaamisesta, mistä säädetään Suomen perustuslain 10.1 §:n ohella Euroopan perusoikeuskirjassa ja joka on johdettavissa myös Euroopan ihmisoikeussopimuksesta sekä useista YK:n valtiosopimuksista. Euroopan tietosuojauudistuksen myötä oikeutta henkilötietojen suojaan ylläpidetään entistä tehokkaammin keinoin. Tästä esimerkkinä, ja suhteessa henkilötietodirektiiviin tapahtuneena muutoksena, voidaan mainita hallinnolliset sakot, joita voidaan nykyisin määrätä organisaatiolle, joka toimii tietosuojalainsäädännön vastaisesti. Toisena eroavaisuutena on tämän tutkielman aiheena oleva osoitusvelvollisuus, josta säädetään tietosuoja-asetuksen 5(2) artiklassa ja jonka perusteella rekisterinpitäjä on vastuussa siitä, että tämän käsittelytoiminnassa noudatetaan kaikkia GDPR:ssä määriteltyjä tietosuojaperiaatteita ja lisäksi rekisterinpitäjän on kyettävä osoittamaan myös jälkikäteen noudattavansa näitä periaatteita.
Kokoelmat
- Pro gradut [4084]