Rekisteröidyn oikeudet ja rekisterinpitäjän toimintavelvollisuudet tietovuototilanteissa
Kaarlela, Mari-Pauliina (2020)
Lapin yliopisto
2020
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2020062746033
https://urn.fi/URN:NBN:fi-fe2020062746033
Tiivistelmä
Tämä tutkimus käsittelee rekisteröidyn oikeuksia ja rekisterinpitäjän toimintavelvollisuuksia tietovuototilanteissa. Henkilötietojen suoja on perusoikeus, jolle on sisällytetty sääntelyvaraus perustuslain 10 §:n 1 momentissa. Yleisen tietosuoja-asetuksen toisena tavoitteena puolestaan on henkilötietojen suojan parantuminen asetuksen tultua voimaan. Tutkimukseni selvittää henkilötietojen toteutumista tietosuoja-asetuksen tasolla nimenomaan tietovuototilanteissa.
Tutkielman tavoite on selvittää, mitä henkilötiedoilla tarkoitetaan, miten niiden suoja nähdään osana perusoikeusjärjestelmää sekä miten tietosuoja-asetuksessa säädetään rekisterinpitäjän toimintavelvollisuuksista jälkikäteen, kun tietovuoto on tapahtunut. Mikäli rekisterinpitäjälle ei ole asetettu tarpeeksi toimintavelvollisuuksia, tutkin, mikä voisi olla sellainen jälkikäteinen keino, millä henkilötietojen suojan toteutuminen voitaisiin varmistaa. Toimintavelvollisuuksien kannalta tarkastelen myös sitä, mikä vaikutus rekisterinpitäjän asemalla on tietosuoja-asetuksen näkökulmasta. Tutkin myös sitä, miten rekisteröidyn oikeudet toteutuvat tietovuototilanteissa ja voisiko asetuksen nojalla rekisteröityä vastuuttaa enemmän henkilötietojen käsittelyperusteen perusteella.
Tutkimuksen metodi on oikeusdogmatiikka eli lainoppi, mutta tutkielma sisältää de lege ferenda - kannanottoja havaitessani puutteita tietosuoja-asetuksessa.
Tutkimuksen kannalta keskeinen johtopäätös on se, että tietosuoja-asetuksessa on jälkikäteisten toimintavelvoitteiden osalta aukko. Rekisteröity ei aina edes saa tietoa henkilötietojensa joutumisesta tietovuodon kohteeksi ja ei voi hakea tällä perusteella oikeutta suojan rikkoutumiselle. Tietosuojaasetus ei myöskään ole tasavertainen sen suhteen, onko rekisterinpitäjä valtio vai yksityinen toimija. Rekisteröidyn oikeudet eivät tietovuototilanteissa aina nauti perusoikeustasoista suojaa.
Tutkielman tavoite on selvittää, mitä henkilötiedoilla tarkoitetaan, miten niiden suoja nähdään osana perusoikeusjärjestelmää sekä miten tietosuoja-asetuksessa säädetään rekisterinpitäjän toimintavelvollisuuksista jälkikäteen, kun tietovuoto on tapahtunut. Mikäli rekisterinpitäjälle ei ole asetettu tarpeeksi toimintavelvollisuuksia, tutkin, mikä voisi olla sellainen jälkikäteinen keino, millä henkilötietojen suojan toteutuminen voitaisiin varmistaa. Toimintavelvollisuuksien kannalta tarkastelen myös sitä, mikä vaikutus rekisterinpitäjän asemalla on tietosuoja-asetuksen näkökulmasta. Tutkin myös sitä, miten rekisteröidyn oikeudet toteutuvat tietovuototilanteissa ja voisiko asetuksen nojalla rekisteröityä vastuuttaa enemmän henkilötietojen käsittelyperusteen perusteella.
Tutkimuksen metodi on oikeusdogmatiikka eli lainoppi, mutta tutkielma sisältää de lege ferenda - kannanottoja havaitessani puutteita tietosuoja-asetuksessa.
Tutkimuksen kannalta keskeinen johtopäätös on se, että tietosuoja-asetuksessa on jälkikäteisten toimintavelvoitteiden osalta aukko. Rekisteröity ei aina edes saa tietoa henkilötietojensa joutumisesta tietovuodon kohteeksi ja ei voi hakea tällä perusteella oikeutta suojan rikkoutumiselle. Tietosuojaasetus ei myöskään ole tasavertainen sen suhteen, onko rekisterinpitäjä valtio vai yksityinen toimija. Rekisteröidyn oikeudet eivät tietovuototilanteissa aina nauti perusoikeustasoista suojaa.
Kokoelmat
- Pro gradu -tutkielmat [4535]