Rajatylittävien henkilötietojen siirtojen sääntely ja haasteet – erityistarkastelun kohteena pilviliiketoiminta
Kivilä, Wilma (2016-10-18)
Rajatylittävien henkilötietojen siirtojen sääntely ja haasteet – erityistarkastelun kohteena pilviliiketoiminta
Kivilä, Wilma
(18.10.2016)
Tätä artikkelia/julkaisua ei ole tallennettu UTUPubiin. Julkaisun tiedoissa voi kuitenkin olla linkki toisaalle tallennettuun artikkeliin / julkaisuun.
Turun yliopisto
Kuvaus
Siirretty Doriasta
Tiivistelmä
Tutkielman aiheena on rajatylittävien henkilötietojen siirtojen sääntely ja haasteet. Aihetta tarkastellaan erityisesti pilviliiketoiminnan näkökulmasta. Tutkielmassa selvitetään rajatylittävien siirtojen lainsäädännöllistä viitekehystä, voimassaolevaa sääntelyä sekä sitä, miten yleinen tietosuoja-asetus muuttaa nykysääntelyä. Asetuksesta johtuvat henkilötietolain muutostarpeet on rajattu tutkielman ulkopuolelle. Keskeisinä tutkimuskohteina ovat myös henkilötietojen siirtoperusteiden toimivuus sekä soveltuvuus pilviliiketoimintaan. Lisäksi tutkielmassa tarkastellaan rajatylittävien henkilötietojen siirtojen sääntelyn kehityssuuntia.
Tutkielman metodi on lainopillinen, mutta tutkimuksessa hyödynnetään myös oikeustaloustiedettä. Tutkielman keskeinen lähdeaineisto koostuu lainsäädännöstä, soft law -sääntelystä sekä ulkomaisesta oikeuskirjallisuudesta. Tutkielman kannalta relevantti lainsäädäntö sisältyy pääasiassa tietosuojadirektiiviin, uuteen tietosuoja-asetukseen sekä henkilötietolakiin. Keskeisimpänä käytettynä oikeuskirjallisuutena voidaan mainita Christopher Kunerin ”Transborder Data Flows and Data Privacy Law” sekä Christopher Millardin toimittama ”Cloud Computing Law”.
Rajatylittävien henkilötietojen sääntelyllä määritetään, millä edellytyksillä henkilötietoja voidaan siirtää EU- ja ETA-alueen ulkopuolelle. Siirtäminen voi tapahtua ainoastaan laissa säädettyjen siirtoperusteiden nojalla. Tutkielmassa hyödynnetään tietosuoja-asetuksen systematiikkaa, minkä vuoksi siirtoperusteet on jaoteltu kolmeen kategoriaan. Ensisijaisesti tietoja voidaan siirtää tietosuojan tason riittävyyttä koskevan päätöksen perusteella, toissijaisesti asianmukaisia suojatoimia soveltamalla ja viimesijaisesti poikkeusperusteiden nojalla. Siirtoperusteiden toimivuus riippuu niitä käyttävien organisaatioiden tietojenkäsittelytoiminnan laajuudesta, koosta ja rakenteesta. Toimivuuteen liittyvät haasteet ovat lainsäädännöllisiä, hallinnollisia ja taloudellisia. Pilviliiketoimintaan soveltuvuuteen liittyvät haasteet johtuvat pääasiassa sääntelystä.
Uusia haasteita rajatylittävien henkilötietojen sääntelylle on asettanut Euroopan unionin tuomioistuimen Schrems-tuomio, jolla EU:n ja Yhdysvaltojen välinen Safe Harbor -tiedonsiirtojärjestely kumottiin. Sen esiin tuomat epäkohdat kytkeytyvät yksityisyyden ja henkilötietojen suojaan perusoikeuksina. Tuomion seurauksena datalokalisaatiopyrkimykset Euroopassa ovat lisääntyneet. Pilvipalvelujen käytön myötä tietoihin pääsy on mahdollista niiden fyysisestä sijainnista riippumatta, minkä vuoksi on esitetty, että rajatylittävien siirtojen rajoitukset tulisi poistaa tai sääntelyä muuttaa teknologisen kehityksen paremmin huomioivaksi.
Tutkielman metodi on lainopillinen, mutta tutkimuksessa hyödynnetään myös oikeustaloustiedettä. Tutkielman keskeinen lähdeaineisto koostuu lainsäädännöstä, soft law -sääntelystä sekä ulkomaisesta oikeuskirjallisuudesta. Tutkielman kannalta relevantti lainsäädäntö sisältyy pääasiassa tietosuojadirektiiviin, uuteen tietosuoja-asetukseen sekä henkilötietolakiin. Keskeisimpänä käytettynä oikeuskirjallisuutena voidaan mainita Christopher Kunerin ”Transborder Data Flows and Data Privacy Law” sekä Christopher Millardin toimittama ”Cloud Computing Law”.
Rajatylittävien henkilötietojen sääntelyllä määritetään, millä edellytyksillä henkilötietoja voidaan siirtää EU- ja ETA-alueen ulkopuolelle. Siirtäminen voi tapahtua ainoastaan laissa säädettyjen siirtoperusteiden nojalla. Tutkielmassa hyödynnetään tietosuoja-asetuksen systematiikkaa, minkä vuoksi siirtoperusteet on jaoteltu kolmeen kategoriaan. Ensisijaisesti tietoja voidaan siirtää tietosuojan tason riittävyyttä koskevan päätöksen perusteella, toissijaisesti asianmukaisia suojatoimia soveltamalla ja viimesijaisesti poikkeusperusteiden nojalla. Siirtoperusteiden toimivuus riippuu niitä käyttävien organisaatioiden tietojenkäsittelytoiminnan laajuudesta, koosta ja rakenteesta. Toimivuuteen liittyvät haasteet ovat lainsäädännöllisiä, hallinnollisia ja taloudellisia. Pilviliiketoimintaan soveltuvuuteen liittyvät haasteet johtuvat pääasiassa sääntelystä.
Uusia haasteita rajatylittävien henkilötietojen sääntelylle on asettanut Euroopan unionin tuomioistuimen Schrems-tuomio, jolla EU:n ja Yhdysvaltojen välinen Safe Harbor -tiedonsiirtojärjestely kumottiin. Sen esiin tuomat epäkohdat kytkeytyvät yksityisyyden ja henkilötietojen suojaan perusoikeuksina. Tuomion seurauksena datalokalisaatiopyrkimykset Euroopassa ovat lisääntyneet. Pilvipalvelujen käytön myötä tietoihin pääsy on mahdollista niiden fyysisestä sijainnista riippumatta, minkä vuoksi on esitetty, että rajatylittävien siirtojen rajoitukset tulisi poistaa tai sääntelyä muuttaa teknologisen kehityksen paremmin huomioivaksi.