Consent as a legal ground for the processing of personal data : changes and challenges in the context of the EU general data protection reform
Lappalainen, Jonna (2017-11-14)
Consent as a legal ground for the processing of personal data : changes and challenges in the context of the EU general data protection reform
Lappalainen, Jonna
(14.11.2017)
Tätä artikkelia/julkaisua ei ole tallennettu UTUPubiin. Julkaisun tiedoissa voi kuitenkin olla linkki toisaalle tallennettuun artikkeliin / julkaisuun.
Turun yliopisto
Tiivistelmä
The consent of the data subject is arguably the most important method to give data subjects control over the processing of their persona data. However, there are many other ways to give control for the data subjects, which is also indicated in the GDPR. The thesis focuses on the evolvement of the concept of consent as a legal ground for the processing of personal data in the European data protection legislative framework. The General Data Protection Regulation (EU) 2016/679, which repeals the Directive 95/46/EC, entered into force on 24 May 2016 and shall apply from 25 May 2018. The emphasis of this study is on the changes consent faces in this reform. The analysis of the changes in the new General Data Protection Regulation is complemented by studying some of the core challenges the concept of consent faces in the current data protection legal framework. The research aims to gain understanding of the current and future state of consent as a legal ground for the processing of personal data in Europe.
The research method used in this thesis is a traditional legal-dogmatic approach. The thesis will thus rely on European and European Union legal and political documents, as well as case law and legal literature concerning consent. The main sources of this study are the Data Protection Directive 95/46/EC and the General Data Protection Regulation (EU) 2016/679.
The research shows that there are several clarifications and changes in the General Data Protection Regulation concerning consent and factors which make consent valid. The added clarifications and changes set the bar higher for the data controllers, who choose to use consent as a legal data processing ground. Thus, the data controllers may be less tempted to use the consent of the data subject as a legal ground, if there are other possibilities. This may be viewed as a positive outcome, since often the difficulty of obtaining a valid consent would result in unfair processing of personal data. Furthermore, using consent in an unsuitable context may lead to over valuation of consent. This thesis also demonstrates, that the legal challenges concerning consent are in continuous interaction with new technological developments and economical factors. Despite the challenges consent faces due to the data protection reform and technological developments, it will continue to have an important role in guaranteeing fair processing of personal data. This is due to the importance of gaining the trust of data subjects, which is the key factor in guaranteeing the success of data controllers and general economic growth. Suostumus henkilötietojen käsittelyn laillisena oikeusperusteena : muutokset ja haasteet EU:n tietosuojauudistuksen viitekehyksessä
Suostumuksen käyttö laillisena henkilötietojen käsittelyperusteena antaa rekisteröidyille mahdollisuuden kontrolloida heidän henkilötietojensa käsittelyä. Kuten Euroopan unionin yleisestä tietosuoja-asetuksesta käy ilmi, suostumus ei ole ainoa keino, jolla rekisteröidyt voivat vaikuttaa henkilötietojensa käsittelyyn. EU:n yleinen tietosuoja-asetus, (EU) 2016/679, tuli voimaan 24. toukokuuta 2016, ja sitä tullaan soveltamaan kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018 alkaen. EU:n yleinen tietosuoja-asetus kumoaa direktiivin 95/46/EY. Tutkielma keskittyy rekisteröidyn suostumuksen käsitteen ja roolin muutokseen laillisena henkilötietojen käsittelyperusteena Euroopan unionin yleisen tietosuojauudistuksen myötä. Tutkielma analysoi suostumusta koskevia yleisen tietosuoja-asetuksen tuomia muutoksia myös tarkastelemalla keskeisimpiä suostumukseen liittyviä oikeudellisia ongelmia. Tutkielman tavoitteena on selventää suostumuksen nykytilaa ja merkitystä henkilötietojen käsittelyn laillisena oikeusperusteena Euroopassa.
Pro gradun tekemisessä on käytetty perinteistä oikeusdogmaattista tutkimusmetodia. Tutkimuskysymyksiin vastataan hyödyntämällä eurooppalaisia oikeuslähteitä, erityisesti Euroopan unionin oikeudellisia ja poliittisia dokumentteja, oikeuskäytäntöä, sekä oikeuskirjallisuutta suostumusta koskien. Keskeisimmät oikeuslähteet ovat tietosuojadirektiivi 95/46/EY sekä yleinen tietosuoja-asetus (EU) 2016/679.
Tietosuojadirektiiviin verrattuna yleinen tietosuoja-asetus tuo monia oikeudellisia muutoksia ja selvennyksiä suostumukseen liittyen. Yleinen tietosuoja-asetus asettaa suostumuksen käytön edellytykset korkeammalle rekisterinpitäjien näkökulmasta kuin tietosuojadirektiivi. Rekisterinpitäjät saattavat välttää suostumuksen käyttämistä henkilötietojen käsittelyn perusteena, jos käsittely on mahdollista muulla laillisella perusteella. Tämä voi olla myös positiivinen seuraamus, sillä vaikeudet validin suostumuksen hankkimisessa voisivat johtaa epäoikeudenmukaiseen henkilötietojen käsittelyyn, sekä suostumuksen yliarvostamiseen. Tutkielma myös havainnollistaa, kuinka rekisteröidyn suostumukseen liittyvät oikeudelliset ongelmat ovat jatkuvassa vuorovaikutuksessa niin teknologisen kehityksen kuin taloudellisten tekijöiden kanssa. Suostumukseen liittyvistä haasteista huolimatta sillä tulee olemaan edelleen merkittävä rooli oikeudenmukaisen henkilötietojen käsittelyn takeena. Lainmukainen suostumuksen käyttäminen henkilötietojen käsittelyn perusteena luo edellytykset rekisteröityjen luottamuksen lisäämiselle, mikä on avainasemassa rekisterinpitäjien edun ja yleisen taloudellisen kasvun takaamisessa.
The research method used in this thesis is a traditional legal-dogmatic approach. The thesis will thus rely on European and European Union legal and political documents, as well as case law and legal literature concerning consent. The main sources of this study are the Data Protection Directive 95/46/EC and the General Data Protection Regulation (EU) 2016/679.
The research shows that there are several clarifications and changes in the General Data Protection Regulation concerning consent and factors which make consent valid. The added clarifications and changes set the bar higher for the data controllers, who choose to use consent as a legal data processing ground. Thus, the data controllers may be less tempted to use the consent of the data subject as a legal ground, if there are other possibilities. This may be viewed as a positive outcome, since often the difficulty of obtaining a valid consent would result in unfair processing of personal data. Furthermore, using consent in an unsuitable context may lead to over valuation of consent. This thesis also demonstrates, that the legal challenges concerning consent are in continuous interaction with new technological developments and economical factors. Despite the challenges consent faces due to the data protection reform and technological developments, it will continue to have an important role in guaranteeing fair processing of personal data. This is due to the importance of gaining the trust of data subjects, which is the key factor in guaranteeing the success of data controllers and general economic growth.
Suostumuksen käyttö laillisena henkilötietojen käsittelyperusteena antaa rekisteröidyille mahdollisuuden kontrolloida heidän henkilötietojensa käsittelyä. Kuten Euroopan unionin yleisestä tietosuoja-asetuksesta käy ilmi, suostumus ei ole ainoa keino, jolla rekisteröidyt voivat vaikuttaa henkilötietojensa käsittelyyn. EU:n yleinen tietosuoja-asetus, (EU) 2016/679, tuli voimaan 24. toukokuuta 2016, ja sitä tullaan soveltamaan kahden vuoden siirtymäajan jälkeen 25. toukokuuta 2018 alkaen. EU:n yleinen tietosuoja-asetus kumoaa direktiivin 95/46/EY. Tutkielma keskittyy rekisteröidyn suostumuksen käsitteen ja roolin muutokseen laillisena henkilötietojen käsittelyperusteena Euroopan unionin yleisen tietosuojauudistuksen myötä. Tutkielma analysoi suostumusta koskevia yleisen tietosuoja-asetuksen tuomia muutoksia myös tarkastelemalla keskeisimpiä suostumukseen liittyviä oikeudellisia ongelmia. Tutkielman tavoitteena on selventää suostumuksen nykytilaa ja merkitystä henkilötietojen käsittelyn laillisena oikeusperusteena Euroopassa.
Pro gradun tekemisessä on käytetty perinteistä oikeusdogmaattista tutkimusmetodia. Tutkimuskysymyksiin vastataan hyödyntämällä eurooppalaisia oikeuslähteitä, erityisesti Euroopan unionin oikeudellisia ja poliittisia dokumentteja, oikeuskäytäntöä, sekä oikeuskirjallisuutta suostumusta koskien. Keskeisimmät oikeuslähteet ovat tietosuojadirektiivi 95/46/EY sekä yleinen tietosuoja-asetus (EU) 2016/679.
Tietosuojadirektiiviin verrattuna yleinen tietosuoja-asetus tuo monia oikeudellisia muutoksia ja selvennyksiä suostumukseen liittyen. Yleinen tietosuoja-asetus asettaa suostumuksen käytön edellytykset korkeammalle rekisterinpitäjien näkökulmasta kuin tietosuojadirektiivi. Rekisterinpitäjät saattavat välttää suostumuksen käyttämistä henkilötietojen käsittelyn perusteena, jos käsittely on mahdollista muulla laillisella perusteella. Tämä voi olla myös positiivinen seuraamus, sillä vaikeudet validin suostumuksen hankkimisessa voisivat johtaa epäoikeudenmukaiseen henkilötietojen käsittelyyn, sekä suostumuksen yliarvostamiseen. Tutkielma myös havainnollistaa, kuinka rekisteröidyn suostumukseen liittyvät oikeudelliset ongelmat ovat jatkuvassa vuorovaikutuksessa niin teknologisen kehityksen kuin taloudellisten tekijöiden kanssa. Suostumukseen liittyvistä haasteista huolimatta sillä tulee olemaan edelleen merkittävä rooli oikeudenmukaisen henkilötietojen käsittelyn takeena. Lainmukainen suostumuksen käyttäminen henkilötietojen käsittelyn perusteena luo edellytykset rekisteröityjen luottamuksen lisäämiselle, mikä on avainasemassa rekisterinpitäjien edun ja yleisen taloudellisen kasvun takaamisessa.