Rekisteröidyn oikeudet tietoverkossa

(1)

Rekisteröidyn oikeudet tietoverkossa

Itä-Suomen yliopisto Oikeustieteiden laitos Pro gradu -tutkielma Rekisteröidyn oikeudet tietoverkossa 11.11.2016 Tekijä: Denis Galkin 185876 Ohjaaja: Tomi Voutilainen

(2)

Tiivistelmä

ITÄ-SUOMEN YLIOPISTO

Tiedekunta

Yhteiskuntatieteiden ja kauppatieteiden tiedekunta

Yksikkö

Oikeustieteen laitos

Tekijä

Denis Galkin

Ohjaaja

Tomi Voutilainen

Työn nimi

Rekisteröidyn oikeudet tietoverkossa Data subjects' rights in a data network

Pääaine

Siviilioikeus

Työn laji

Pro gradu –tutkielma

Aika

Marraskuu 2016

Sivuja

XX + 75

Tiivistelmä

Rekisteröidyn oikeudet ovat osa yksityiselämän suojaa ja täten johdattavissa perus- ja ihmisoikeuksista. Yksilön suojaa ja oikeuksia tietojenkäsittelyssä käsiteltäessä ei voida tyytyä tarkaste- lemaan ainoastaan kansallista lainsäädäntöä johtuen näiden vahvasta siteestä ihmisoikeuksiin.

Kun tietojenkäsittely tapahtuu globaalissa tietoverkossa, on oikeusohjeiden fokus siirrettävä enenevissä määrin kansainväliseen oikeuteen.

Rekisteröidyn oikeuksista on kansallisesti säädetty henkilötietolaissa (523/1999), joka puolestaan perustuu EU:n henkilötietodirektiiviin (95/46/EY). Rekisteröidyn oikeuksista on kuitenkin säädetty myös muissa säädöksissä muun muassa tietoyhteiskuntakaaressa (917/2014) ja sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetussa laissa (159/2007). Tieto- suojalainsäädäntö on tutkielman kirjoittamishetkellä murrosvaiheessa, sillä EU on uudistamassa omaa tietosuojasääntelyään kokonaisuudessaan. Yleinen tietosuoja-asetus julkaistiin EU:n vi- rallisessa lehdessä 27.4.2016. Asetuksesta tulee suoraan sovellettavaa lainsäädäntöä kahden vuoden siirtymävaiheen jälkeen eli 25.5.2018.

Tutkielman ensisijainen metodi on oikeusdogmaattinen eli oikeussäännösten systematisointia ja tulkintaa. Tutkimuksessa käytetään hyväksi oikeuslähteitä vallitsevan oikeuslähdeopin mukaisesti. Valittu metodi suuntaa lähteiden osalta huomion perinteisiin oikeustieteen lähteisiin eli lainsäännöksiin, lainsäädännön valmisteluasiakirjoihin, oikeuskäytäntöön, kansainvälisiin sopimuksiin sekä aihepiiriä käsittelevään aikaisempaan oikeustieteelliseen tutkimukseen.

Lopuksi tutkielmassa arvioidaan miten hyvin kartoitetut rekisteröidyn oikeudet tietoverkossa il- mentyvät tietoyhteiskunnan palveluissa. Osio edustaa empiiristä oikeustutkimusta, jonka nimenmukainen tarkoitus on tuottaa tietoa todellisuudesta.

Avainsanat

Tietosuoja, tietoturva, tietosuoja-asetus, henkilötiedot, rekisteröity, rekisterinpitäjä, tar- kastusoikeus, evästeet, yksityisyys, yksityiselämä

(3)

Sisällys

LÄHTEET ... v

LYHENNELUETTELO ... xviii

KUVIOT JA TAULUKOT ... xx

1 JOHDANTO ... 1

1.1 Tutkimuskysymys ja -asetelma... 1

1.2 Metodi, keskeinen käsitteistö ja tutkimusaineisto ... 2

2 REKISTERÖIDYN OIKEUDET PERUS- JA IHMISOIKEUKSINA ... 6

2.1 Oikeus yksityisyyteen ihmisoikeutena ... 6

2.2 Yksityiselämän suoja perusoikeutena ... 11

3 REKISTERÖIDYN OIKEUDET ... 13

3.1 Rekisteröidyn oikeuksia koskeva sääntely ... 13

3.2 Lainvalinta henkilötietoja käsiteltäessä ... 15

3.3 Rekisteröidyn oikeus tulla informoiduksi ... 18

3.3.1 Rekisteröidyn oikeuksista informoinen ... 18

3.3.2 Rekisteri- ja tietosuojaseloste... 21

3.3.3 Evästeet ... 23

3.4 Rekisteröidyn oikeus tarkastaa ja korjata henkilötietoja ... 26

3.4.1 Tarkastusoikeus ... 26

3.4.2 Oikeus saada tieto korjatuksi tai poistetuksi ... 33

3.5 Rekisteröidyn kielto- ja vastustusoikeus ... 39

3.5.1 Oikeus määrätä henkilötietojen käsittelystä ... 39

3.5.2 Kielto-oikeus suoramarkkinoinnissa ... 40

3.5.3 Kielto-oikeus henkilömatrikkeleissa ... 42

3.5.4 Kielto-oikeus sukututkimuksessa ... 44

3.6 Oikeus manuaaliseen henkilötietojen käsittelyyn perustuvaan päätökseen ... 46

4 OIKEUSTURVA JA -SUOJA ... 50

4.1 Tietosuojaviranomaiset ... 50

4.1.1 Yleisesti ... 50

4.1.2 Tietosuojavaltuutettu ... 50

4.1.3 Tietosuojalautakunta ... 52

4.1.4 Tietosuojaviranomaisen toiminta toisessa jäsenvaltiossa ... 53

4.1.5 Tietosuoja-asetuksen vaikutus tietosuojaviranomaisiin ... 54

(4)

4.2 Muut laillisuusvalvojat ... 55

4.3 Oikeuksien rajoittaminen ... 59

5 YHTEENVETO TIETOSUOJA-ASETUKSEN UUDISTUKSISTA ... 62

6 KUINKA REKISTERÖIDYN OIKEUDET TOTEUTUVAT KÄYTÄNNÖSSÄ ... 64

6.1 Empiirisen tutkimuksen rakenne ja sisältö ... 64

6.2 Rekisteröidyn oikeuksista informoinen ... 67

6.2.1 Rekisteriselosteen esilläpito ... 67

6.2.2 Evästeistä informoiminen ... 69

6.2.3 Tarkastusoikeuden käyttö ... 71

6.2.4 Oikeus korjata ja poistaa henkilötiedot ... 73

6.3 Empiirisen tutkimuksen yhteenveto ... 75

7 LOPUKSI ... 77

(5)

LÄHTEET

KIRJALLISUUS

Aarnio, Aulis:

- Oikeussäännösten systematisointi ja tulkinta: Ajatuksia teoreettisesta ja käytän- nöllisestä lainopista, teoksessa Minun metodini, toim. Juha Häyhä, WSLT 1997.

- Laintulkinnan teoria, WSOY 1989.

Alén-Savikko, Anette:

- Pois hakutuloksista, pois mielestä?, Lakimies 3-4/2015 s. 410–433.

- Naamoja ja meemejä – henkilötiedoista sosiaalisessa mediassa, Defensor Legis N:o 4/2016, s. 497–514.

Andreasson, Ari – Koivosto, Juha – Ylipartanen Arto: Tietosuojavastaavan käsikirja 2, Tal- linna 2014.

Antikainen, Antti: Verkkokaupan oikeus myydä asiakastietoja, Helsinki Law Review 2012/2 s. 187–221.

Bennett, Colin J.: In Defence of Privacy: The concept and the regime, Surveillance & Soci- ety 8(4): 485–496. [http://www.surveillance-and-society.org/] (1.11.2016)

Ervasti, Kaijus: Eräitä näkökohtia empiirisen tiedon hyväksikäyttämisestä oikeustieteessä, Lakimies 3/1998 s. 364–388.

Galkin, Denis: Lex Nokia – Ongelmallinen ratkaisu, Edilex 2012. [www.edilex.fi]

(31.10.2016)

Hakapää, Kari: Uusi kansainvälinen oikeus, Hämeenlinna 2010.

Hallberg, Pekka – Karapuu, Heikki – Scheinin, Martin – Tuori, Kaarlo – Viljanen Veli- Pekka: Perusoikeudet, Juva 1999. (Hallberg, ym. 1999)

Hallberg, Pekka – Karapuu, Heikki – Ojanen, Tuomas – Scheinin, Martin – Tuori, Kaarlo – Viljanen Veli-Pekka: Perusoikeudet, WSOY 2011. (Hallberg, ym. 2011)

Hemmo, Mika:

- Sopimusoikeus I, Helsinki 2003.

- Sopimusoikeuden oppikirja, Helsinki 2009.

(6)

Helopuro, Sanna – Perttula, Juha – Ristola, Juhapekka: Sähköisen viestinnän tietosuoja, Helsinki 2009.

Innanen, Antti: Internetin yhteisöpalveluihin sovellettavasta lainsäädännöstä, Edilex 2009.

[www.edilex.fi] (31.10.2016)

Innanen, Antti – Saarimäki, Jarkko: Internetoikeus, Porvoo 2012.

Jyränki, Antero: Uusi perustuslakimme, Jyväskylä 2000.

Jyränki, Antero – Husa, Jaakko: Valtiosääntöoikeus, Hämeenlinna 2012.

Järvinen, Petteri: Tietoturva & Yksityisyys, Porvoo 2002.

Keinänen, Anssi: Empiirisen oikeustutkimuksen tarpeellisuudesta ja sen nykytilasta, Oi- keus 2010 (39); 4: 465–470.

Keinänen, Anssi – Väätänen, Ulla: Empiirinen oikeustutkimus – Mitä ja Milloin?, Edilex 2015. [www.edilex.fi] (31.10.2016)

Kelsen, Hans: Puhdas oikeusoppi, Porvoo 1968.

Kemppinen, Jukka: Informaatio-oikeuden alkeet, Tallinna 2011.

Koillinen, Mikael: Henkilötietojen suoja itsenäisenä perusoikeutena, Oikeus 2012.

Konstari, Timo: Henkilörekisteri laki: säännökset ja käytäntö, Helsinki 1992.

Korja, Juhani: Biometrinen tunnistaminen ja henkilötietojen suoja, Rovaniemi 2016.

Korhonen, Rauno:

- Perusrekisteri ja tietosuoja, Edilex 2003. [www.edilex.fi] (31.10.2016)

- Sähköinen asiointi ja viestintä, teoksessa Oikeusjärjestys osa III, toim. Tammi- lehto, Timo, Rovaniemi 2012.

Kulla, Heikki – Koillinen Mikael: Julkisuus ja henkilötietojen suoja viranomaistoimin- nassa, Turku 2014.

Kuner, Christopher – Cate, Fred H – Millard, Christopher – Svantesson, Dan Jerker B. – Lynskey, Orla: Risk management in data protection, International Data Privacy Law, 2015, Vol. 5, No. 2, s. 95-98.

Lakimiesliitto: Encyclopaedia iuridica fennica VII, Jyväskylä 1999.

Mahkonen, Sami: Oikeus yksityisyyteen, Porvoo 1997.

(7)

Neuvonen, Riku:

- Viestintä- ja informaatio-oikeuden perusteet, Viro 2013.

- Yksityisyyden suoja Suomessa, Viro 2014.

Nieminen, Liisa (toim.): Perusoikeudet EU:ssa Helsinki 2001.

Nyblin, Klaus: Työelämän sähköposti, Helsinki 2009.

Pellonpää, Matti – Gullans, Monica – Pölönen, Pasi – Tapanila, Antti: Euroopan ihmisoi- keussopimus, Helsinki 2012. (Pellonpää, ym. 2012)

Pesonen, Pirkko: Sosiaalisen median lait, Viro 2013.

Pitkänen, Olli – Tiilikka, Päivi – Warma, Eija: Henkilötietojen suoja, Helsinki 2013.

Pöysti, Tuomas: Tehokkuus, informaatio ja eurooppalainen oikeusalue, Helsinki 1999.

Regan, Priscilla M.: Response to Bennett: Also in defence of privacy, Surveillance & So- ciety 8(4): 497-499. [http://www.surveillance-and-society.org/] (1.11.2016)

Saarenpää, Ahti:

- Henkilöoikeus, Teoksessa: Johdatus Suomen oikeusjärjestelmään Nide 1. Yksi- tyisoikeus (toim. Pekka Timonen) s. 357–380, Helsinki 1999.

- Yksityisyys, yksityiselämä, yksilön suoja - yksityisyyden käsitteellistä kuvausta.

Teoksessa: Professori Kyösti Holman juhlakirja 11.6.2002, s. 313–337. Toimitta- nut Risto Haavisto. Lapin yliopiston oikeustieteiden tiedekunta. Lapin yliopisto- paino. Rovaniemi 2002.

- Oikeusinformatiikka. Teoksessa Oikeusjärjestys, osa I (toim. Maarit Niskanen) 7.

täydennetty painos. lapin yliopiston oikeustieteellisiä julkaisuja, sarja C 56, Rova- niemi 2011, S. 411–544.

Salminen, Markus: Tietosuoja portaaleissa – Rekisterinpitäjän velvollisuudet ja toimeksi- antajan vastuu, Pro Gradu tutkielma, Edilex 2007. [www.edilex.fi] (31.10.2016) Vanto, Jarno: Henkilötietolaki käytännössä, Helsinki 2011.

Viljanen, Veli-Pekka:

- Perusoikeusuudistus ja kansainväliset ihmisoikeussopimukset, Lakimies 5- 6/1996 s. 788–816.

- Perusoikeuksien rajoitusedellytykset, Vantaa 2001.

(8)

Voutilainen, Tomi:

- Hyvä sähköinen hallinto, Helsinki 2006.

- Hyvä sähköinen hallinto 2. painos, Edilex 2007. [www.edilex.fi] (päivitetty 17.10.2010)

- ICT-Oikeus sähköisessä hallinnossa – ICT-oikeuden periaatteet ka sähköinen hal- lintomenettely. Yliopistollinen väitöskirja, Helsinki 2009.

- Oikeus tietoon, Helsinki 2012.

- Julkisuus ja henkilötietojen suoja oikeustieteellisessä tutkimuksessa, EDILEX 2015. [www.edilex.fi] (31.10.2016)

- Henkilörekisteriin kohdistuva rikos ja sen käsittely käräjäoikeudessa, Defensor Legis N:o 4/2016 s. 515–533.

Warren – Brandeis: The Right to Privacy. Harvard Law Review 1890.

Warso, Zuzanna: There’s more to it than data protection – Fundamental rights, privacy and the personal/household exemption in the digital age, Computer law & security review 29 2013, s. 491–500.

Wallin, Anna-Riitta: Tiedonsaanti asiakirjoista ja henkilötietojen suoja EU:n perusoikeus- kirjassa tunnustettuina perusoikeuksina. Teoksessa Perusoikeudet EU:ssa (toim. Liisa Nieminen), Helsinki 2001)

Zuiderveen Borgesius, Frederik J.: Personal data processing for behavioral targeting:

which legal basis? International Data Privacy Law, 2015, Vol. 5, No. 3, s. 163–176.

VIRALLISLÄHTEET

Decision 2000/520: Päätös solmia Safe Harbor-sopimus Euroopan digistrategia: keskeiset aloitteet. MEMO/10/200

Euroopan neuvoston tietosuojasopimus (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data) 1981 ETS No. 108

HE 1/1998 vp: Hallituksen esitys eduskunnalle uudeksi Suomen Hallitusmuodoksi.

HE 96/1998 vp: Hallituksen esitys eduskunnalle henkilötietolaiksi ja eräiksi siihen liitty- viksi laeiksi.

HE 194/2001 vp: Hallituksen esitys Eduskunnalle laiksi tietoyhteiskunnan palvelujen tar- joamisesta ja eräiksi siihen liittyviksi laeiksi.

(9)

HE 125/2003 vp: Hallituksen esitys Eduskunnalle sähköisen viestinnän tietosuojalaiksi ja eräiksi siihen liittyviksi laeiksi.

HE 221/2013 vp: Hallituksen esitys eduskunnalle tietoyhteiskuntakaareksi sekä laeiksi maankäyttö- ja rakennuslain 161 §:n ja rikoslain 38 luvun 8 b §:n muuttamisesta.

HE 74/2016 vp: Hallituksen esitys eduskunnalle laiksi vahvasta sähköisestä tunnistami- sesta ja sähköisistä allekirjoituksista annetun lain muuttamisesta sekä eräiksi siihen liittyviksi laeiksi

KM 1992:3: Perusoikeuskomitean mietintö

Lainkirjoittajan opas, Oikeusministeriön julkaisuja 37/2013.

PeVL 18/2012 vp: Perustuslakivaliokunnan lausunto hallituksen esitykseksi eduskunnalle laeiksi henkilötietojen käsittelystä poliisitoimessa annetun lain ja henkilötietojen kä- sittelystä rajavartiolaitoksessa annetun lain sekä eräiden niihin liittyvien lakien muuttamisesta.

PeVL 14/2009 vp: Perustuslakivaliokunnan lausunto hallituksen esityksestä laiksi passilain ja eräiden siihen liittyvien lakien muuttamisesta.

PeVL 11/2008 vp: Valtioneuvoston kirjelmä ehdotuksesta neuvoston puitepäätökseksi mat- kustajarekisterin käytöstä lainvalvontatarkoituksiin (matkustajarekisterin käyttö lainvalvontatarkoituksiin).

PeVL 51/2002 vp: Perustuslakivaliokunnan lausunto hallituksen esityksestä laiksi henkilö- tietojen käsittelystä poliisitoimessa ja eräiksi siihen liittyviksi laeiksi.

PeVL 25/1998 vp: Perustuslakivaliokunnan lausunto hallituksen esityksestä (HE 96/1998) henkilötietolaiksi ja eräiksi siihen liittyviksi laeiksi

Tietosuojaryhmän lausunto 4/2007 henkilötietojen käsitteestä WP136

Tietosuojaryhmän lausunto 8/2010 Henkilötietodirektiivin soveltamisesta WP179 Tietosuojavaltuutetun toimiston toimintakertomus vuodelta 2015

Tietosuojavaltuutetun vastaus Dnro 2234/09/2016

Tietosuojavaltuutetun ratkaisu 810/45/2001 ”Tarkastusoikeus rekisterinpitäjän automaatti- sen päätöksentekojärjestelmän toimintaperiaatteisiin”

(10)

Tietosuojavaltuutetun ratkaisu 1164/41/2005 ”Rekisteröidyn tarkastusoikeus internetin kautta”

Tietosuojalautakunnan ratkaisu 03.11.1997 27/97 ”Kielto-oikeus suoramarkkinoinnissa”

Tietosuojavaltuutetun kannanotto 15.8.2001 Dnro 403/45/2001 ”Alaikäisen potilasrekiste- ritietojen tarkastusoikeus”

Tietosuojavaltuutetun kannanotto 18.1.2001 Dnro 36/523/2001 ”Henkilötietolain sovelta- minen asiakirjapyyntöön”

TUOMIOISTUINRATKAISUT

Euroopan Unionin tuomioistuin C-101/01 Lindqvist.

C-275/06 Productores de Música de España (Promusicae) v. Telefónica de España SAU C-73/07 Tietosuojavaltuutettu vastaan Satakunnan Markkinapörssi Oy ja Satamedia Oy.

C-518/07 Euroopan komissio vastaan Saksan liittotasavalta.

C-543/09 Deutsche Telekom AG vastaan Saksan liittotasavalta, GoYellow GmbH:n ja Te- lix AG:n.

C-70/10 Scarlet Extended SA vastaan Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM), Belgian Entertainment Association Video ASBL:n (BEA Video), Belgian Entertainment Association Music ASBL:n (BEA Music) ja Internet Service Provider Association ASBL:n (ISPA) osallistuessa asian käsittelyyn,

C-360/10 Belgische Vereniging van Auteurs, Componisten en Uitgevers CVBA (SABAM) vastaan Netlog NV.

C-614/10 Euroopan komission ja Euroopan tietosuojavaltuutettu vastaan Itävallan tasa- valta ja Saksan liittotasavalta.

C-131/12 Google Spain SL ja Google Inc. vastaan Agencia Española de Protección de Da- tos (AEPD) ja Mario Costeja González.

C-201/14 Smaranda Bara ym. vastaan Președintele Casei Naționale de Asigurări de Sănătate, Casa Naţională de Asigurări de Sănătate ja Agenţia Naţională de Admin- istrare Fiscală (ANAF)

(11)

C-293/12 Digital Rights Ireland Ltd vastaan Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irlanti ja The Attorney General, Irish Human Rights Commis- sionin osallistuessa käsittelyyn.

C-473/12 Institut professionnel des agents immobiliers (IPI) vastaan Geoffrey Englebert, Immo 9 SPRL ja Grégory Francotte, Union professionnelle nationale des détectives privés de Belgiquen (UPNDP), Association professionnelle des inspecteurs et experts d’assurances ASBL:n (APIEA) ja Conseil des ministresin osallistuessa asian käsitte- lyyn

C-594/12 Digital Rights Ireland Ltd vastaan Kärntner Landesregierung, Michael Seitlinger ja Christof Tschohl ym.

C-230/14 Weltimmo s. r. o. vastaan Nemzeti Adatvédelmi és Információszabadság Hatóság C-362/14 Maximillian Schrems vastaan Data Protection Commissioner, Digital Rights Ire-

land Ltd:n osallistuessa asian käsittelyyn.

Euroopan ihmisoikeus tuomioistuin X v. Saksa, 5935/72, 30.9.1975

Leander v. Ruotsi, 9248/81, 26.3.1987.

Niemiez,v. Saksa 13710/88, 16.12.1992.

Rotaru v. Romania, 28341/95, 4.5.2000.

Segerstedt-Wiberg ym. v. Ruotsi, 62332/00, 6.6.2006.

I. v. Suomi, 20511/03, 17.7.2008.

K.U. v. Suomi, 2872/02, 2.12.2008.

M.M. v. the United Kingdom, 24029/07, 13.11.2012.

Hallinto-oikeus

Helsingin HaO 3.10.2001 T 01/0673/2 Hämeenlinnan HaO 7.12.2000 T 00/0403/3 Korkein hallinto-oikeus

KHO 3417/1/06

(12)

KHO 2007/20 KHO 2013/3084 Korkein oikeus KKO 2005/40

Valtioneuvoston oikeuskanslerin ratkaisut

OKV/1226/1/2008 (1.6.2009): Apulaisoikeuskanslerin päätös 1.9.2009 henkilötietolain mu- kainen rekisteritietojen tarkastusoikeus

OKV/836/1/2011(28.11.2013): Apulaisoikeuskanslerin päätös 28.11.2013 yliopiston toi- minta henkilötietojen käsittelyssä

Eduskunnan oikeusasiamiehen ratkaisut

EOAM 928/2010 (16.12.2011): Apulaisoikeusasiamiehen ratkaisu 16.12.2011 tietopyyn- nön käsittely ja valtakirjan vaatiminen asianajajalta

EOAM 1241/2014 (11.6.2015): Apulaisoikeusasiamiehen ratkaisu 11.6.2015 asiakirjojen tai tietojen antamista koskeviin pyyntöihin vastaaminen

MUUT LÄHTEET

Komission varapresidentin puhe SPEECH/12/26 Euroopan neuvoston suositus CM/Rec(2010)13

Euroopan unionin tuomioistuimen LEHDISTÖTIEDOTE nro 70/14 Euroopan unionin tuomioistuimen LEHDISTÖTIEDOTE nro 117/15

Komission yksiköiden valmisteluasiakirja, tiivistelmä vaikutusten arvioinnista SEK(2012) 73 final, päivätty 25.1.2012.

Hyvä henkilötietojen käsittely sukututkimuksessa ja sukuyhteisöissä - Sukututkimustoi- mialan käytännesäännöt 11.6.2008, Suomen Sukututkimusseura, Sukuseurojen Kes- kusliitto SSK ry, Karjalaisten Sukuyhteisöjen Liitto ry, Suomen Sukuhistoriallinen yhdistys ry.

Vahinko- ja henkivakuutusyhtiöiden henkilötietojen käsittelyä koskevat käytännesäännöt – Suomen vakuutusyhtiöiden keskusliitto 20.12.1999.

(13)

VERKKOLÄHTEET

ASML: Verkkokaupan kasvu ei näytä hiipumisen merkkejä (päivitetty 10.30.2014)

[http://www.asml.fi/verkkokaupan-kasvu-ei-nayta-hiipumisen-merkkeja/] (tarkastettu 31.10.2016)

Euroopan komissio: Commission decisions on the adequacy of the protection of personal data in third countries (päivitetty 13.10.2016)

[http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/in- dex_en.htm] (tarkastettu 7.11.2016)

Facebook: Report of Audit (päivitetty 21.12.2011)

[https://www.dataprotection.ie/documents/facebook%20report/final%20report/report.pdf] (tarkastettu 31.10.2016).

Facebook: Tietokäytäntö (päivitetty 30.1.2015)

[https://www.facebook.com/privacy/explanation] (tarkastettu 2.11.2016) Finnair: Rekisteriseloste (tarkastettu 2016)

[https://www.finnair.com/fi/fi/finnairgroup-privacy-policy] (tarkistettu 2.11.2016) Hobby Hall:

- Asiakasrekisteriseloste (tarkastettu 2016)

[Etusivu > Asiakaspalvelu > Yleiset sopimusehdot > Asiakasrekisteriseloste]

(Tarkistettu 2.11.2016) (Hobby Hall 2016a) - Yritysinfo (tarkastettu 2016)

[https://www.hobbyhall.fi/asiakaspalvelu/customerservice-Yritysinfo-#] (tarkastettu 31.10.2016) (Hobby Hall 2016b)

Hotels: Tietosuoja (päivitetty 10.4.2016)

[https://fi.hotels.com/customer_care/privacy.html#contact] (tarkastettu 2.11.2016) Iso-Britannian tietosuojavaltuutettu:

- Ohjeistus rekisteriselosteen käytöstä (tarkastettu 2016)

[https://ico.org.uk/for-organisations/guide-to-data-protection/privacy-notices- transparency-and-control/] (tarkastettu 16.4.2016).

- Ohjeistus evästeiden käytöstä (päivitetty 5/2012)

https://ico.org.uk/media/for-organisations/documents/1545/cookies_guidance.pdf Iso- (tarkastettu 16.4.2016).

(14)

Kanta.fi:

- Tietosuoja- ja turva (tarkastettu 2016)

[http://www.kanta.fi/fi/tietosuoja-ja-turva] (tarkastettu 2.11.2016) (2016a) - Reseptikeskuksen tietosuojaseloste (päivitetty 1.8.2016)

[Etusivu > Kanta > Tietosuojaselosteet > Reseptikeskuksen tietosuojaseloste]

(Kanta.fi 2016b)

- Reseptiarkiston tietosuojaseloste (päivitetty 1.8.2016)

[Etusivu > Kanta > Tietosuojaselosteet > Reseptiarkiston tietosuojaseloste]

(Kanta.fi 2016c)

- Tiedonhallintapalvelun tietosuojaseloste (päivitetty 1.7.2016)

[Etusivu > Kanta > Tietosuojaselosteet > Tiedonhallintapalvelun tietosuojaseloste] (Kanta.fi 2016d)

- Omakannan tietosuojaseloste (päivitetty 1.7.2016)

[Etusivu > Kanta > Tietosuojaselosteet > Omakannan tietosuojaseloste] (Kanta.fi 2016e)

Kela.fi:

- Asiakastietojen rekisterit (päivitetty 12.9.2016)

[http://www.kela.fi/tietosuoja?inheritRedirect=true] (tarkastettu 2.11.2016) - Etuusrekisteri (päivitetty 15.9.2011)

Kunnat.net: EU:n tietosuoja-asetus muuttaa henkilötietojen käsittelyä (päivitetty 18.1.2016).

[http://www.kunnat.net/fi/tietopankit/uutisia/2016/Sivut/EUn-tietosuoja-asetus-muuttaa-henkilotietojen-kasittelya.aspx](tarkastettu 16.3.2016).

LinkedIn: Privacy Policy Matters (päivitetty 23.10.2014)

[https://www.linkedin.com/legal/privacy-policy] (tarkistettu 2.11.2016) Momondo: Yksityisyyden suoja (tarkastettu 2016)

[http://www.momondo.fi/content/privacy] (tarkistettu 2.11.2016)

MTV: Kaksi kolmesta työikäisestä saa yhteiskunnan tukea (päivitetty 17.2.2015)

[http://www.mtv.fi/uutiset/kotimaa/artikkeli/kaksi-kolmesta-tyoikaisesta-saa-yhteiskunnan-tukea/4752514] (tarkastettu 31.10.2016)

(15)

Tanskan tietosuojavaltuutettu: Overdragelse af kundeoplysninger fra Sterling Airlines A/S under konkurs (pävitetty 12.02.2009)

[https://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/overdragelse-af-kundeoplysninger-fra-sterling-airlines-as-under-konkurs/] (tarkastettu 20.7.2016).

Tietoturva-asiantuntija M.Sc. Tuuli Siiskonen ja lakimies OTL Maria Majanen: Henkilötie- tojen suoja julkishallinnon digitaalisten palvelujen tuottamisessa (pävitetty

22.1.2016)

[https://www.edilex.fi/uutiset/47174#_ftn8] (Tarkastettu 31.10.2016).

Tietosuojavaltuutettu:

- Rekisterinpitäjän yleinen informointivelvollisuus -opas (päivitetty 15.9.2010) [http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojaval- tuutetuntoimisto/oppaat/6JfqAxJct/Rekisterinpitajan_yleinen_informointivelvolli- suus.pdf] (tarkastettu 1.4.2016) (Tietosuojavaltuutettu 2010a)

- Henkilörekisteriin tallennettujen tietojen tarkastaminen -opas (päivitetty 22.8.2014).

[http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojaval- tuutetuntoimisto/oppaat/dxJufFmwB/Henkilorekisteriin_talletettujen_tietojen_tar- kastaminen_24.11.2014.pdf] (tarkastettu 26.5.2016). (Tietosuojavaltuutettu 2014a)

- Henkilörekisteriin tallennetun tiedon korjaaminen -opas (päivitetty 27.7.2010) [http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojaval- tuutetuntoimisto/oppaat/6JfpmoUoh/Henkilorekisteriin_tallennetun_tiedon_kor- jaaminen.pdf] (tarkastettu 5.7.2016). (Tietosuojavaltuutettu 2010b)

- Rekisteröidyn kielto-oikeus -opas (päivitetty 27.7.2010)

[http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojaval- tuutetuntoimisto/oppaat/6JfqC7x0Z/Rekisteroidyn_kieltooikeus.pdf] (tarkastettu 8.7.2016). (Tietosuojavaltuutettu 2010c)

- Henkilömatrikkelit-opas (päivitetty 27.7.2010)

[http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojaval- tuutetuntoimisto/oppaat/6JfpmJ7hv/Henkilomatrikkelit.pdf] (tarkastettu

18.7.2016). (Tietosuojavaltuutettu 2010d)

(16)

- Sukututkimus henkilötietolain mukaan -opas (päivitetty 27.7.2010)

[http://www.tietosuoja.fi/material/attachments/tietosuojavaltuutettu/tietosuojaval- tuutetuntoimisto/oppaat/6JfqEGkcR/Sukututkimus_henkilotietolain_mukaan.pdf]

(tarkastettu 20.7.2016). (Tietosuojavaltuutettu 2010e)

- Miten huomioit rekisteröityjen oikeudet? -opas (päivitetty 22.5.2014)

[http://www.tietosuoja.fi/fi/index/rekisterinpitajalle/mitenhuomioitrekisteroity- jenoikeudet.html] (tarkastettu 11.4.2016). (Tietosuojavaltuutettu 2014b) - Rekisteriselosteopas (päivitetty 12.8.2014)

[http://www.tietosuoja.fi/fi/index/useinkysyttya/rekisteriseloste.html] (tarkastettu 13.4.2016). (Tietosuojavaltuutettu 2014c)

- Sanastoa tietosuojauudistukseen liittyen (päivitetty 5.4.2016)

[http://www.tietosuoja.fi/text/fi/index/euntietosuojauudistus/sanastoa.html] (tarkastettu 6.7.2016).

Trivago: Tietosuoja (tarkistettu 2016)

[http://company.trivago.fi/privacy-policy/] (tarkistettu 2.11.2016) Twitter: Privacy Policy (päivitetty 30.9.2015)

[https://twitter.com/privacy] (tarkistettu 2.11.2016)

Small Business Trends: 20 Popular Social Media Sites Right Now (päivitetty 31.10.2015) [https://smallbiztrends.com/2016/05/popular-social-media-sites.html] (tarkastettu 31.10.2016)

Social Media today: The World's 21 Most Important Social Media Sites and Apps in 2015 (päivitetty 13.5.2015)

[http://www.socialmediatoday.com/social-networks/2015-04-13/worlds-21-most-important-social-media-sites-and-apps-2015] (tarkastettu 31.10.2016)

Sukututkimuksen tiedonlähteitä (tarkastettu 2016)

[http://www.arkisto.fi/fi/aineistot/apuvaelineet/sukututkimus-2] (tarkastettu 20.7.2016).

Suomi.fi: Käyttöehdot ja rekisteriseloste (tarkastettu 2016)

[https://asiointitili.suomi.fi/Home/Terms] (tarkastettu 2.11.2016) Verkkokauppatilasto (julkaistu 2015)

[http://kauppa.fi/content/download/83572/1071402/file/Verkkokauppati- lasto%202014.pdf] (tarkastettu 31.10.2016)

(17)

Verkkokauppa.com: Rekisteriseloste (tarkastettu 2016)

[https://www.verkkokauppa.com/fi/ohjeet/rekisteriseloste] (tarkastettu 2.11.2016) Viestintävirasto: Evästeet (päivitetty 24.8.2016)

[https://www.viestintavirasto.fi/kyberturvallisuus/palveluidenturvallinenkaytto/evas- teet.html] (tarkastettu 24.10.2016)

Verohallinto: Tietoa verotuksen tietojärjestelmistä (8.8.2011)

[Etusivu > Tietoa Verohallinnosta > Julkisuus ja tietosuoja > Verohallinnon rekisterit

> Tietoa verotuksen tietojärjestelmästä] (tarkastettu 2.11.2016) VR: Tietosuoja (päivitetty 29.9.2015)

[https://www.vr.fi/cs/vr/fi/tietosuojaseloste#VR-Yhtym%C3%A4Oy:nasiakkuussopi- mus] (tarkastettu 2.11.2016)

Zalando: Tietosuojamenettely (tarkastettu 2016)

[https://www.zalando.fi/tietosuoja/] (tarkastettu 2.11.2016)

(18)

LYHENNELUETTELO

Asiakastietolaki Sosiaali- ja terveydenhuollon asiakastietojen säh- köisestä käsittelystä annettu laki

DL Defensor Legis

EOAM Eduskunnan oikeusasiamies

EU Euroopan Unioni

EUT Euroopan Unionin tuomioistuin

HaO Hallinto Oikeus

Henkilötietodirektiivi Euroopan parlamentin ja neuvoston direktiivi 95/46/EY yksilöiden suojelusta henkilötietojen kä- sittelyssä ja näiden tietojen vapaasta liikkuvuudesta

HE Hallituksen esitys

HetiL Henkilötietolaki

Huoltajalaki Lapsen huollosta ja tapaamisoikeudesta annettu laki

Julkisuuslaki Viranomaisten toiminnan julkisuudesta annettu laki

KHO Korkein hallinto-oikeus

KKO Korkein oikeus

KM Komiteanmietintö

Kulttuuriaineistolaki Kulttuuriaineiston tallentamisesta ja säilyttämi- sestä annetussa laissa

LM Lakimies

OKV Valtioneuvoston oikeuskansleri

PeVL Perustuslakivaliokunta

Potilasasiakirja-asetus Sosiaali- ja terveysministeriön asetus potilasasia- kirjoista

(19)

Sananvapauslaki Sananvapauden käyttämisestä joukkoviestinnässä annettu laki

SopS Suomen säädöskokoelman sopimussarja

Tietoyhteiskuntadirektiivi Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, tek- nisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä.

Transparenssidirektiivi Euroopan parlamentin ja Neuvoston direktiivi 98/48/EY, annettu 20 päivänä heinäkuuta 1998, teknisiä standardeja ja määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä annetun direktiivin 98/34/EY muuttamisesta TslTsVA Tietosuojalautakunnasta ja tietosuojavaltuutetusta

annettu asetus

TslTsVL Tietosuojalautakunnasta ja tietosuojavaltuutetusta annettu laki

vp Valtiopäivät

Väestötietolaki Väestötietojärjestelmästä ja Väestörekisterikes- kuksen varmennepalveluista annettu laki

Yleinen tietosuoja-asetus Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötieto- jen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta

(20)

KUVIOT JA TAULUKOT

Kuvio 1: Yksityisyyden suojan oikeudellinen rakenne

Kuvio 2: Rekisteröidyn oikeudet henkilötietodirektiivissä ja tietosuoja-asetuksessa Kuvio 3: Esimerkki rekisteröidyn oikeuksista verkkopalvelussa

Kuvio 4: Rekisteriselosteen esilläpito Kuvio 5: Evästeistä informoiminen

Kuvio 6: Tarkastusoikeudesta informoinen Kuvio 7: Korjausoikeudesta informoinen

(21)

1 JOHDANTO

1.1 Tutkimuskysymys ja -asetelma

Rekisteröidyn oikeudet on aina huomioitava ylläpidettäessä ja käsiteltäessä henkilötietoja.

Henkilötietolain (523/1999, HetiL) 6 luvussa on listattu lain rekisteröidylle takaamat oikeudet. Näitä oikeuksia on useasti tarkennettu oikeuskäytännössä.¹ Teknologinen kehitys johtaa siihen, että olemassa olevia oikeudellisia tulkintoja on arvioitava aika-ajoin uudelleen.² Tut- kielman kirjoitushetkellä tuorein rekisteröidyn oikeuksia tarkentava oikeustapaus on Euroo- pan Unionin tuomioistuimen ratkaisu Schrems-tapaus³, jossa tuomioistuin linjasi Safe Har- bor -sopimuksen⁴ pätemättömäksi puutteellisen oikeussuojan vuoksi.

Jonkin oikeudellisen osa-alueen peruskysymyksien käsitteleminen toistuvasti Euroopan kor- keimmassa mahdollisessa oikeusasteessa viittaa epäselvyyksien olemassaoloon. Suomessa EU:n jäsenvaltiona sovelletaan kolmea keskeistä oikeuslähdettä, joita ovat kansallinen lain- säädäntö, EU-oikeus ja kansainväliset sopimukset.

Rekisteröidyn oikeudet ovat osa yksityisyyden suojaa ja tavallisesti tarkoittavat yksilön suojaa ja oikeuksia tietojenkäsittelyssä.⁵ Käsitteestä yksityisyyden suoja on erotettava käsite yksityiselämän suoja, joka on perus- ja ihmisoikeus. Käsitteitä käytetään toisinaan synonyy- meinä,⁶ mutta perusoikeuksien järjestelmässä yksityisyyden suojaan liittyy yksityiselämän suojan lisäksi muitakin perusoikeuksia, kuten oikeus henkilökohtaiseen vapauteen, kunniaan ja yhdenvertaiseen kohteluun.⁷

Rekisteröidyn oikeuksien tehtävänä on määrittää toimintatavat, joita noudattamalla yksityisyyden suoja toteutuu henkilötietojen käsittelyssä. Tietoverkossa henkilötietojen käsittely tapahtuu usein automatisoidusti, eikä käsittely ole sidottu aikaan tai paikkaan. Rekisteröidyn oikeuksia onkin tarkasteltava laajemmin, kuin vain Suomen kansallisen lainsäädännön kautta – tulkintalinjoja on haettava myös kansainvälisistä sopimuksista. Oikeusturva on kes- keisessä asemassa yksityisyyden suojaa rajoitettaessa. Oikeusturva toteutuu silloin, kun on olemassa viranomainen, jolle rekisteröity voi osoittaa vaateensa.

1 Ks. esim. C-230/14 Welttimo (2015), C-473/12 IPI (2013) ja C-131/12 Google Spain ja Google (2014).

2 Innanen 2012, s. 27.

3 C-362/14 Maximillian Schrems vastaan Data Protection Commissioner (2015), kohta 107.

4 Decision 2000/520

5 HE 96/1998, s. 4.

6 Ks. esim. Koillinen 2012, s. 174.

7 HE 98/1998, s. 4.

(22)

Tutkielmassa selvitetään, mitä oikeuksia rekisteröidyllä on tietoverkossa? Kysymys on tar- kennettavissa kolmella lisäkysymyksellä:

1. Mitä rekisteröidyn oikeuksista on säädetty?

2. Mikä on oikeuksien sisältö ja miten oikeudet soveltuvat tietoverkossa?

3. Kenen vastuulla on oikeuksien toteuttaminen ja kenelle rekisteröity voi osoittaa hen- kilötietojen suojaa koskevan vaatimuksensa oikeuksiensa toteuttamiseksi?

Lisäksi tutkielmassa on arvioitu, miten hyvin rekisteröidyn oikeuksia huomioidaan suosi- tuissa julkisissa ja yksityisissä verkkopalveluissa. Kysymys on relevantti, sillä oikeudelliset säännökset ovat merkityksettömiä, jos niitä ei käytännössä noudateta.

1.2 Metodi, keskeinen käsitteistö ja tutkimusaineisto

Tutkielman ensisijainen metodi on oikeusdogmaattinen eli oikeussäännösten systematisointia ja tulkintaa. Tutkimuksessa käytetään hyväksi oikeuslähteitä vallitsevan oikeuslähde- opin⁸ mukaisesti. Valittu metodi suuntaa lähteiden osalta huomion perinteisiin oikeustieteen lähteisiin eli lainsäännöksiin, lainsäädännön valmisteluasiakirjoihin, oikeuskäytäntöön, kan- sainvälisiin sopimuksiin sekä aihepiiriä käsittelevään aikaisempaan oikeustieteelliseen tutkimukseen.

Aarnion mukaan hyvä argumentaatio edellyttää sekä toimivaa että hyväksyttyä argumentaa- tiomallia. Aarnion kehittämä argumentaatiomalli on vahvasti yhteydessä oikeuslähdeoppiin, koska hänen näkemyksensä mukaan ”oikeudellinen argumentaatio on tiettyjä perusteita (oi- keuslähteitä) hyväkseen käyttävä prosessi, jolla tähdätään vastapuolen (auditorion) vakuut- tamiseen ratkaisun tai tulkinnan oikeellisuudesta.”⁹

Tämän tutkielman osalta edellä mainittu tarkoittaa sitä, että tutkimusaineistona ovat ensisijaisesti henkilötietojen käsittelyä käsittelevät kansainväliset sopimukset, joihin Suomi on valtiona sitoutunut, Euroopan Unionin direktiivit ja asetukset sekä Suomen kansallinen lain- säädäntö. Vallitsevaa oikeuskäytäntöä havainnollistetaan ensisijaisesti kansainvälisellä oi- keuskäytännöllä.

Lopuksi tutkielmassa arvioidaan miten hyvin kartoitetut rekisteröidyn oikeudet tietoverkossa ilmentyvät tietoyhteiskunnan palveluissa.¹⁰ Osio edustaa empiiristä oikeustutkimusta, jonka nimenmukainen tarkoitus on tuottaa tietoa todellisuudesta. Tutkimuksen kohteena on

8 Ks. tältä osin tarkemmin Aarnio 1989.

9 Aarnio 1997, s. 51.

10 Ks. tietoyhteiskunnan palveluista yleisesti Innanen 2009.

(23)

tällöin havainnointitodellisuus, luonto, ihmiset ja ihmisten kokemuspiiri kaikessa laajuudes- saan, mikä pitää sisällään muun muassa ihmisten käyttäytymisen, sosiaalisen toiminnan ja yhteiskuntarakenteet.¹¹ Ervasti on katsonut, että samassa tutkimuksessa on hedelmällistä yh- distää empiiristä ja oikeusdogmaattista lähestymistapaa. Hänen mukaansa ”myös lainoppi tarvitsee jonkinlaista »todellisuutta» koskevaa tietoa”.¹²

Tutkimuksessa selvitetään, informoivatko tarkasteltaviksi valikoidut verkkopalvelut rekiste- röityä tämän oikeuksista niin kuin ne ovat velvoitettuja. Kyse on laadullisesta eli kvalitatii- visesta tutkimuksesta. Kvalitatiivisen tutkimuksen tavoitteena on auttaa ymmärtämään ja se- littämään tutkimuskohdetta,¹³ mikä tässä tapauksessa tarkoittaa sen selvittämistä, kuinka hyvin palveluntarjoajat huomioivat rekisteröidyn oikeudet. Empiirisen tutkimuksen tärkeys perustuu siihen, että lakien vaikutuksien arviointi on keskeinen peruste lain muutoksille ja uu- sien lakien säätämiselle.¹⁴

Tutkimusaiheen ymmärtämisen kannalta on tärkeää ymmärtää aihealueen peruskäsitteet.

Niiden avulla henkilötietojen käsittely ja osapuolten oikeudet ja velvollisuudet saavat mer- kityksensä ja avautuvat soveltamistilanteissa.

Yksityisyys ja yksityiselämän suoja liittyvät tiiviisti rekisteröidyn oikeuksiin. Koska rekis- teröidyn oikeudet tulevat ennen kaikkea henkilötietolaista ja yleisestä tietosuoja-asetuksesta¹⁵, on näiden säädösten keskeiset käsitteet avattava.

Yksityisyydellä on kontekstista riippuen monia merkityksiä.¹⁶ Mahkonen on todennut, että yksityisyys on lähinnä eristyneisyyden tila. Mahkonen kuitenkin jatkaa, ja toteaa yksityisyyden voivan sisältää myös muun muassa fyysistä ja psyykkistä koskemattomuutta, arvokkuu- den tunteen säilyttämistä, itseään koskevan tiedon kontrollointia, mahdollisuuden torjua si- vullisen tunkeutumiset omaan elämään ja itsemääräämistä turvaavaa riippumattomuutta.¹⁷ Warso on todennut, että yksityisyys on dynaaminen sosiaalinen rakennelma, jota neuvotte- lemme jatkuvasti uudelleen.¹⁸

11 Keinänen – Väätänen 2015, s. 1–2.

12 Ervasti LM 1998, s. 372–373.

13 Keinänen – Väätänen 2015, s. 12.

14 Keinänen Oikeus 2010, s. 465–466.

15 Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus)

16 Debattia on käyty jopa siitä, onko yksityisyys henkilökohtainen vai yhteiskunnallinen oikeus. Ks. aiheesta Bennett 2011, s. 485–496 ja Regan 2011, s. 497–499.

17 Mahkonen 1997, s. 16, ks. myös Pöysti 1999, s. 483–490 ja Korja 2016, s. 99–112.

18 Warso 2013, s. 491–492.

(24)

Yksityiselämän suoja on Suomen perustuslain (731/1999) 10 §:ssä säädetty perusoikeus. Kä- sitettä käytetään sekä laajemmassa merkityksessä viittaamaan säännöksen turvaamiin oikeuksiin kokonaisuudessa, että suppeammassa merkityksessä viittaamaan ainoastaan sään- nöksen 1 momentissa turvattuihin perusoikeuksiin, jotka ovat yksityiselämä, kunnia ja koti- rauha.¹⁹

Tietosuojalla eli henkilötietojen suojalla tarkoitetaan toimintaa, jossa henkilötietoja käsitel- lään kunnioittaen perusoikeuksia ja erityisesti yksityisyyttä.²⁰ Tietosuoja viittaa laissa hen- kilötietojen käsittelylle asetettuihin edellytyksiin ja mahdollisuuksiin. Tietosuojalla ei tar- koiteta salassapitoa, vaikka salassapito voi olla tietosuojaa.²¹ Saarenpää näkee eron tieto- suojassa ja henkilötietojen suojassa. Hänen mukaansa tietosuoja viittaa nimenomaan sään- telyyn, kun henkilötietojen suoja viittaa pikemminkin sääntelyn avulla toteutettavaan yksityisyyden suojaan.²² Tässä tutkielmassa käsitteitä kuitenkin pidetään synonyymeinä. Tieto- suoja on erotettava tietoturvasta, joka on tietoyhteiskuntakaaren (917/2014) 3 §:n 28 kohdassa määritelty hallinnollisiksi ja teknisiksi toimiksi, joilla varmistetaan se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut ja että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettä- vissä.

Henkilötieto tulee käsitteenä ymmärtää laajasti.²³ Henkilötietolain 3 §:n mukaan henkilötie- toina on pidettävä kaikenlaisia luonnollista henkilöä taikka hänen ominaisuuksiaan tai elin- olosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteisessä taloudessa eläviä koskeviksi. Henkilötiedoille on lainsäädännössä olemassa rinnakkaiskäsitteitä kuten sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä annetun lain (159/2007, asiakastietolaki) 3 §:n 3 kohdassa tarkoitettu potilastieto ja 4 kohdassa tarkoitettu asiakastieto. Tämän vuoksi tieto tunnistetaan henkilötiedoksi nimenomaan tiedon luonteen vuoksi.

Rekisteröity on henkilötietolain 3 §:n 5 kohdan mukaan henkilö, jota henkilötieto koskee.

Rekisteröitynä voidaan pitää muutakin henkilöä, kuin sitä, jota tieto välittömästi koskee.

Tutkimuksessa rekisteröidyn käsitettä tulkitaan laajasti samalla tavalla kuin henkilötiedon

19 Hallberg, ym. 2011, s. 389, ks. myös Korja 2016, s. 112–115.

20 Kuner, ym. ovat esittäneet, että myös riskianalyysi on nähtävä erottamattomana osana tietosuojaa sähköisessä tietojenkäsittelyssä. Ks. lisää Kuner, ym. 2015, s. 95–98.

21 Voutilainen 2006, s. 47–53, ks. myös Korja 2016, s. 115–120 ja Koillinen 2012 s. 171–174.

22 Saarenpää 1999, s. 375.

23 Tietosuojaryhmän lausunto 4/2007 henkilötietojen käsitteestä WP136 s. 6.

(25)

käsitettä. Esimerkiksi sosiaalisessa mediassa²⁴ rekisterinpitäjän on teknisesti mahdollista tal- lentaa henkilötietoja ihmisistä, jotka eivät ole rekisteröityneet palveluun, mutta joista ihmiset keskenään keskustelevat. Jos henkilö on näiden tietojen perusteella yksilöitävissä, on hen- kilö tällöin rekisteröidyn asemassa.

Rekisterinpitäjä tarkoittaa henkilötietolain 3 §:n 4 kohdan mukaan yhtä tai useampaa henki- löä, yhteisöä, laitosta tai säätiötä, jonka käyttöä varten henkilörekisteri perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä tai jonka tehtäväksi rekisterinpito on lailla sää- detty. Euroopan parlamentin ja neuvoston direktiivi 95/46/EY yksilöiden suojelusta henki- lötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta (henkilötietodirektiivi) määrittää rekisterinpitäjän toimijaksi, jolla on kyky määritellä henkilötietojen käsittelyn tarkoitus ja keino.

Profiloinnilla ymmärretään henkilöä koskevien tietojen automaattista käsittelyä siten, että käsittelyn pohjalta tehdään ratkaisuja tai päätelmiä henkilön tulevasta käytöksestä, luon- teesta tai asenteesta.²⁵

Tutkielman rakenne määräytyy seuraavasti: Tarkastelen ensin rekisteröidyn oikeuksia yksityisyyden suojan kautta. Tämän jälkeen käyn jokaisen rekisteröidyn oikeuden yksitellen läpi arvioiden sitä niin Suomen kuin EU:n oikeuden näkökulmasta. Koska oikeuksilla ei ole mer- kitystä ilman oikeussuojaa, käsittelen oikeuksien jälkeen rekisteröidyn oikeusturvaa ja -suojaa. Laista ja oikeuskäytännöstä saatavaa tuetaan oikeuskirjallisuudella ja reaaliargumentein.

Lopuksi luon suppean katsauksen siihen, miten rekisteröidyn oikeudet huomioidaan eri pal- velutarjoajien verkkosivuilla.

24 Sosiaalisella medialla tarkoitetaan verkkoviestintäpalvelua, jonne käyttäjä luo oman profiilin, luovuttaa pal- velulle henkilötietoja ja ylläpitää näkyvää henkilökohtaista profiilisivua, ks. lisää Pesonen 2013, s. 21–22.

25 Euroopan neuvoston suositus CM/Rec(2010)13 vapaasti suomennettuna, ks. profiloinnista Zuiderveen Bor- gesius 2015, s. 163–176.

(26)

2 REKISTERÖIDYN OIKEUDET PERUS- JA IHMISOIKEUKSINA

2.1 Oikeus yksityisyyteen ihmisoikeutena

Hans Kelsen ideoi teoksessaan Puhdas oikeusoppi niin kutsuttua perusnormia, johon kaikki muut normit on mahdollista palauttaa, näin ollen synnyttäen normipyramidin.²⁶ Perusnormi on filosofinen idea, mutta ajatus aikaisemman tai ylempiasteisen normin käytöstä tulkinta- apuna on aivan keskeinen oikeustieteellisessä argumentaatiossa.²⁷ Ajatus on myös nähtä- vissä Suomen perustuslain 106 §:ssä ja 107 §:ssä. Säännöksistä ensimmäisessä annetaan pe- rustuslaille tuomioistuinkäsittelyssä etusija lain ollessa ilmeisessä ristiriidassa perustuslain kanssa. Jälkimmäinen puolestaan antaa tavallisille laille etusijan suhteessa lakia alemmanas- teisiin säännöksiin tuomioistuimessa ja viranomaisissa.

Ajatus tietosuojasta perusoikeutena esiintyi ensimmäisen kerran jo 1800-luvun lopulla Sa- muel D. Warrenin ja Louis D. Brandeisin esittämänä Harvard Law Review -lehdessä. War- ren ja Brandeis esittivät, että tietosuojasta tulee seuraava askel perusoikeuksissa.²⁸ Nykyisen tietosuojalainsäädännön pohjana voidaan kuitenkin pitää Yhdistyneiden kansakuntien kan- salais- ja poliittisia oikeuksia koskevaa yleissopimusta, niin sanottua KP-sopimusta (SopS 8/1976), Euroopan Neuvoston Ihmisoikeussopimusta (SopS 18-19/1990 jäljempänä Ihmis- oikeussopimus) ja Euroopan Unionin perusoikeuskirjaa (perusoikeuskirja 2012/C 326/02).²⁹ Ajatusta tietosuojasta voidaan periaatteessa viedä paljon kauemmaksikin, sillä se on löydet- tävissä jo Hippokrateen valasta.³⁰

Samalla kun uudet tulkinnat rekisteröidyn oikeuksista voidaan johtaa perus- ja ihmisoikeuksista, ovat vakiintuneet tulkinnat palautettavissa perus- ja ihmisoikeuksiin.³¹ Yksityisyyden suoja on arvo, jota on EU:ssa noudatettava kaikessa informaatio-oikeudellisessa toimin- nassa.³²

26 Kelsen 1968, s. 207–209.

27 Jyränki – Husa 2012, s. 88.

28 Warren – Brandeis: The Right to Privacy. Harvard Law Review 1890, s. 195.

29 Pesonen 2013, s. 45.

30 Andreasson – Koivisto - Ylipartanen 2014. s. 47–49.

31 Informaatio-oikeudellisesta periaatejärjestelmästä Voutilainen 2012, s. 33–39 ja Pöysti 1999, s. 399–404.

32 MEMO/10/200, s. 3.

(27)

Kuvio 1: Yksityisyyden suojan oikeudellinen rakenne

Termi ”perusoikeudet” viittaa vahvasti ihmiselle kansallisessa lainsäädännössä taattuihin oikeuksiin. Näin ollen perustuslaissa määritellyt oikeudet ovat Suomessa perusoikeuksia. Ih- misoikeudet perustuvat puolestaan kansainväliseen oikeuteen tai kansainvälisiin sopimuksiin, ja kuuluvat kaikille ihmisille.³³ Perustuslakia koskevassa hallituksen esityksessä (HE 1/1998) vedotaan ihmisoikeuksiin lukemattomia kertoja, mikä viittaa siihen, että lainsäädän- nön normipyramidin huipulla ovat ihmisoikeussopimukset, ja heti niiden alla perustuslaki.

Tämä ei kuitenkaan tarkoita, että ihmisoikeussopimukset olisivat Suomen oikeusjärjestel- män normihierarkiassa ylimpänä, sillä ihmisoikeussopimukset on inkorporoitu Suomen oikeuteen tavallisella lailla. Perustuslain 22 §:ssä kuitenkin todetaan, että julkisen vallan on perusoikeuksien lisäksi turvattava myös ihmisoikeudet. Lisäksi ihmisoikeuksien rajoittaminen lailla johtaisi kansainvälisten velvoitteiden rikkomiseen.³⁴ Suomi onkin suhtautunut kielteisesti KP-sopimukseen tehtäviin varaumiin.³⁵

KP-sopimuksen 17 artiklassa säädetään, ettei kenenkään yksityiselämään, perheeseen, kotiin tai kirjeenvaihtoon saa mielivaltaisesti tai laittomasti puuttua eikä suorittaa hänen kunni- aansa ja mainettaan loukkaavia hyökkäyksiä. Jokaisella on oikeus lain suojaan tällaista puut- tumista ja hyökkäystä vastaan.

33 Ks. perus- ja ihmisoikeuksien välisestä suhteesta informaatio-oikeudessa Korhonen 2003, s. 55–58 ja Kemp- pinen 2011, s. 43–51.

34 Jyränki 2000, s. 279 – 280 ja Jyränki – Husa 2012, s. 100.

35 Hakapää 2010, s. 43.

(28)

Wienin yleissopimuksen (SopS 33/1980) 31 artiklan mukaan valtiosopimuksia on tulkittava vilpittömässä mielessä ja antamalla valtiosopimuksessa käytetyille sanonnoille niille kuulu- vassa yhteydessä niiden tavallinen merkitys, sekä valtiosopimuksen tarkoituksen että pää- määrän valossa. Tämän oikeussäännön perusteella KP-sopimuksen 17 artiklan keskeiseksi oikeussäännöksi nousee yksityisyyden suojan mielivaltaisen rajoittamisen kielto ja oikeusturva tätä vastaan.

Ihmisoikeussopimuksen 8 artiklassa säädetään puolestaan jokaiselle oikeus nauttia yksityis- ja perhe-elämäänsä, kotiinsa ja kirjeenvaihtoonsa kohdistuvaa kunnioitusta. Lisäksi artiklan toisessa kappaleessa säädetään, etteivät viranomaiset saa puuttua tämän oikeuden käyttämi- seen, paitsi silloin kun laki sen sallii ja se on demokraattisessa yhteiskunnassa välttämätöntä kansallisen ja yleisen turvallisuuden tai maan taloudellisen hyvinvoinnin vuoksi, tai epäjär- jestyksen ja rikollisuuden estämiseksi, terveyden tai moraalin suojaamiseksi, tai muiden hen- kilöiden oikeuksien ja vapauksien turvaamiseksi.

Artiklan tarkoittamaa yksityiselämää on tulkittu laajasti. Sen on katsottu pitävän sisällään ruumiillisen ja psykologisen koskemattomuuden, identiteetin, nimen, maineen, henkilökoh- taisen kehityksen, sukupuolisen ja seksuaalisen suuntautumisen, lasten saantia koskevat pää- tökset, mukaan lukien adoptioasiat ynnä muuta.³⁶ Artiklaa on sovellettu henkilörekisteröin- tiin Euroopan Ihmisoikeustuomioistuimessa (EIT) useita kertoja. EIT on tuomioissaan salli- nut merkittävänkin puuttumisen henkilön yksityisyyteen, mikäli riittävät oikeussuojakeinot ovat taattu.³⁷

Niemiez-tapauksessa³⁸ saksalainen poliisi suoritti kotietsinnän kantajan työpaikalla löytääk- seen tiettyjä kirjeitä. EIT katsoi, ettei Ihmisoikeussopimuksen 8 artiklan ”kodin” ja ”yksityis- elämän” määritelmä tule olla niin kapea, ettei työpaikkaa voida laskea siihen kuuluvaksi.

K.U.-tapauskessa³⁹ oli kyse identiteettivarkaudesta. Vuonna 1999 alaikäisen lapsen nimissä oli julkaistu seksuaalisluonteinen seuranhakuilmoitus, jossa viitattiin lapsen omiin kotisivui- hin. Seuranhakuilmoituksen julkaissutta ei voitu lainsäädännön puutteista johtuen selvittää ja saattaa vastuuseen. EIT katsoi, että ihmisoikeussopimuksen 8 artikla ei ainoastaan velvoita valtiota olemaan puuttumatta yksityiselämän suojaan vaan myös suojelemaan kansalaisten yk- sityiselämää näin luoden negatiivisten velvoitteiden lisäksi positiivisia velvoitteita.

36 Pellonpää, ym. 2012, s. 656–657.

37 Ks. esim. Leander v. Ruotsi (1987), Rotaru v. Romania (2000), Segerstedt-Wiberg ym. v. Ruotsi (2006) ja M.M. v. the United Kingdom (2012).

38 Niemiez v. Saksa (1992), kohta 29.

39 K.U. vastaan Suomi (2008), kohta 49.

(29)

Viranomaisen harkintavallan tulee olla rajattua puututtaessa henkilön yksityiselämään.⁴⁰ EIT totesi, että Ihmisoikeussopimuksen 8 artiklan mukaan puuttumiselle yksityiselämän suojaan tuli olla peruste kotimaisessa laissa ja että lain täytyi täyttää oikeusvaltion periaat- teen mukaiset vaatimukset, olla asianomaisen henkilön saatavilla, ennalta arvattavissa ja riit- tävän täsmällinen.

Ihmisoikeussopimuksen 8 artiklan toinen kappale pitää sisällään listan poikkeamisperus- teista, joilla 1 kohdassa määrättyjä oikeuksia voidaan rajoittaa. Listaa on pidetty tyhjentä- vänä, mutta sanamuodoltaan liian väljänä.⁴¹ Esimerkiksi homoseksuaalisuuden kriminali- sointia ei X-tapauksessa⁴² vielä 70-luvulla pitänyt Ihmisoikeussopimuksen 8 artiklan vastai- sena, sillä sen katsottiin olevan välttämätöntä kansallisen ja yleisen moraalin suojaamiseksi.

Kansainvälisten sopimusten tulkinta on aina kytköksissä aikakauteen ja yleiseen oikeudelli- seen ilmapiiriin. Ihmisoikeussopimuksen 8 artikla ja KP-sopimuksen 17 artikla ovat silti toi- mineet läheisinä esikuvina nykyisen perustuslain 10 §:n sisällölle.⁴³

Ihmisoikeussopimuksen 8 artiklan keskeisenä sisältönä on vaatimus tarjota ihmisille oikeusturva tilanteissa, joissa heidän yksityisyyttään rajoitetaan. Tämän lisäksi yksityisyyden rajoittaminen tulee tapahtua lailla, joka on riittävän täsmällinen mahdollistaakseen ihmisille ennakoinnin. Näin ollen Ihmisoikeussopimuksen 8 artiklan ydinsisältö vastaa KP-sopimuksen 17 artiklan ydinsisältöä. Nämä säännökset luovat yhdessä oikeuden yksityiselämän suojaan ihmisoikeutena. Kun henkilön yksityisyyteen puututaan tai siihen puuttuminen mahdol- listetaan, ei puuttuminen saa olla sääntelemätöntä ja henkilölle on aina taattava oikeusturvakeinot.

KP-sopimuksen ja Ihmisoikeussopimuksen lisäksi yksityisyyden suojasta ihmis- ja perusoikeutena on säädetty Euroopan unionin perusoikeuskirjan 7 ja 8 artiklassa. Sääntely on tässä suhteessa kaksiosainen.

Perusoikeuskirjan 7 artiklassa säädetään yksityis- ja perhe-elämän kunnioittamisesta: Jokai- sella on oikeus siihen, että hänen yksityis- ja perhe-elämäänsä, kotiaan sekä viestejään kun- nioitetaan. Tämän säännöksen on tarkoitus olla yhdenmukainen Ihmisoikeussopimuksen 8

40 Pellonpää, ym. 2012 s. 665 ja Gillan ja Quinton v. Yhdistynyt kuningaskunta (2010).

41 Hallberg, ym. 1999, s. 339.

42 X v. Saksa 5935/72

43 Hallberg, ym. 1999, s. 334. Ks. myös KM 1992:3, s. 295–298 ja Viljanen, Veli-Pekka LM 1996, s. 791.

(30)

artiklan kanssa, mikä on tarkoittanut myös sitä, että Ihmisoikeussopimuksen 8 artiklan tulkinnat EIT:ssa ovat valideja perusoikeuskirjan 7 artiklaa tulkittaessa.⁴⁴ Käänteisesti perusoikeuskirjan 53 artikla sitoo EU:n Ihmisoikeussopimukseen ja velvoittaa Euroopan Unionin tuomioistuinta (EUT) noudattamaan Ihmisoikeussopimusta ratkaisukäytännössään.

Perusoikeuskirjan 8 artiklassa säädetään henkilötietojen suojasta: Jokaisella on oikeus hen- kilötietojensa suojaan. Tällaisten tietojen käsittelyn on oltava asianmukaista ja sen on tapah- duttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Jokaisella on oikeus tutustua niihin tietoihin, joita hänestä on kerätty ja saada ne oikaistuksi. Riippumaton viranomainen valvoo näiden sään- töjen noudattamista.

Perusoikeuskirjan 8 artiklaa on ensimmäisen kerran sovellettu EUT:ssa Promusicae-tapauksessa⁴⁵,⁴⁶ jossa oli kyse tekijänoikeuksia valvovan yhdistyksen oikeudesta saada tietoverkko- yhteyttä tarjoavalta yritykseltä tietoverkon käyttäjien yhteystietoja IP-osoitteen perusteella, jos yhdistys pystyi osoittamaan käyttäjän oikeudettomasti ladanneen tekijänoikeuden alaista ma- teriaalia vertaisverkosta. Tapauksessa vastakkain asettuivat omaisuuden suoja ja henkilötieto- jen suoja. EUT:n mukaan perusoikeuskirjan 17 artiklan omaisuudensuoja ei saa etusijaa perusoikeuskirjan 8 artiklan henkilötietojen suojaan nähden.

Wallin on katsonut, että henkilötietojen oikeussuojajärjestelmä on jaettavissa kolmeen eri säännöstöön: henkilötietojen käsittelyn edellytyksiä ja menettelyjä, rekisteröidyn oikeuksia ja tietosuojan valvontajärjestelmää koskeviin. Perusoikeuskirjan 8 artikla on jaettu puolestaan viiteen tekijään:⁴⁷

1. henkilötietojen käsittelyn asianmukaisuus;

2. käsittelyn perustuminen suostumukseen tai lakiin;

3. käyttötarkoituksen määrittelyvelvollisuus;

4. rekisteröidyn oikeudet;

5. riippumattoman valvontaviranomaisen perustaminen.

Tällainen teknisluonteinen yksityiskohtaisuus on perus- ja ihmisoikeustasolla poikkeuksel- lista.⁴⁸ Samalla tämä on suora linkki sille, miksi tulkintaohjeita rekisteröidyn oikeuksille tietoverkossa tulee hakea perus- ja ihmisoikeuksista asti.

44 Neuvonen 2014, s. 55–56.

45 C-275/06 Productores de Música de España (Promusicae) v. Telefónica de España SAU (2008), kohta 64.

46 Koillinen 2013, s. 197.

47 Wallin 2001, s. 374.

48 Neuvonen 2014, s. 58.

(31)

Perusoikeuskirjan 8 artikla ei laajenna 7 artiklaa, vaan pikemminkin painottaa henkilötieto- jen perusoikeudellista suojaa.⁴⁹ Koillinen on katsonut, että perusoikeuskirjan 8 artiklan mu- kainen oikeus henkilötietojen suojaan on tärkeä nähdä itsenäisenä tietosuojaperusoikeutena, eikä osana perusoikeuskirjan 7 artiklan yksityiselämän suojaa, mistä esimerkkinä Koillinen mainitsee Scarlet Extended -tapauksen⁵⁰, jossa kyse oli viestinvälitykseen liitettävästä jär- jestelmästä tekijänoikeutta loukkaavan materiaalin vaihdon estämiseksi. Tuomiossa EUT käytti omaisuudensuojan vastapainona ainoastaan perusoikeuskirjan 8 artiklaa, eikä viitan- nut lainkaan 7 artiklaan välttääkseen ongelmallisen kysymyksen IP-osoitteen kuulumisesta yksityisyyden suojan piiriin.⁵¹

Perusoikeuskirjan 7 ja 8 artiklat saavat sisältönsä alemman asteisesta sääntelystä kuten hen- kilötietodirektiivistä, sähköisen viestinnän tietosuojadirektiivistä (2002/58/EY) ja tietosuoja-asetuksesta. Valtiosopimusten tulkintaohje tulee Wienin yleissopimuksesta, mutta tästä poiketen perusoikeuskirjan 51–54 artiklat (nk. horisontaaliartiklat⁵²) antavat tulkintaohjeet perusoikeussopimukselle.

2.2 Yksityiselämän suoja perusoikeutena

Yksityiselämän suojasta on säädetty Suomen perustuslain 10 §:ssä. Säännös toteuttaa kan- sainvälisissä sopimuksissa ihmisille taattuja oikeuksia kansallisella perusoikeustasolla. Pe- rustuslain 10 §:n yksityiselämän suoja on limittäinen perusoikeus perustuslain 7 §:n tarkoit- taman henkilökohtaiseen koskemattomuuteen liittyvän oikeuden kanssa.

Perustuslain 10 §:n takaamat perusoikeudet turvaavat jokaisen yksityiselämän, kunnian ja kotirauhan. Lisäksi pykälän 2 momentissa painotetaan, että kirjeen, puhelun ja muun luotta- muksellisen viestin salaisuus on loukkaamaton. Jyränki on esittänyt, että säädös sisältää neljä oikeushyvää eli yksityiselämän, kunnian, kotirauhan ja henkilötiedot.⁵³

Toisin kuin kansainvälisissä sopimuksissa, perustuslain 10 §:ssä ei säädetä erityisistä rajoi- tusperusteista. Siten yksityiselämän suojaan puuttumisen sallittavuutta on arvioitava perusoikeuksien yleisten rajoitusedellytysten valossa, mikä tarkoittaa erityistä huomion kiinnittä- mistä lailla säätämisen vaatimukseen, rajoituksen täsmällisyys- ja tarkkarajaisuusvaatimuk- seen, rajoitusperusteiden hyväksyttävyysvaatimukseen ja suhteellisuusvaatimukseen. On

49 Korhonen 2012, s. 437.

50 C-70/10 Scarlet Extended SA vastaan Société belge des auteurs ym. (2011)

51 Koillinen 2013, s. 180.

52 Neuvonen 2013, s. 35.

53 Jyränki 2000, s. 301. ks. myös Saarenpää 2011, s. 508.

(32)

myös katsottu, että Euroopan ihmisoikeussopimuksen 8 artiklassa listatut perusteet yksityisyyteen puuttumiselle pätevät perusoikeuksien kohdalla.⁵⁴

Perustuslakivaliokunta on lausuntokäytännössään pitänyt henkilötietojen suojan kannalta tärkeinä sääntelykohteina ainakin:⁵⁵

- rekisteröinnin tavoitetta,

- rekisteröitävien henkilötietojen sisältöä, - sallittuja käyttötarkoituksia,

- tietojen luovutettavuutta,

- tietojen säilytysaikaa henkilörekisterissä ja - rekisteröidyn oikeusturvaa.

Näiden seikkojen sääntelyn lain tasolla tulee olla kattavaa ja yksityiskohtaista.

Käsitettä ”yksityiselämä” on pidetty toisaalta suppeampana, mutta toisaalta laajempana kä- sitteenä kuin ”yksityisyys”.⁵⁶ Yksityiselämän käsite on omaksuttu perustuslakiin Euroopan ihmisoikeussopimuksesta (right to respect for private life).⁵⁷ Terminologisella valinnalla ei kuitenkaan liene merkitystä Suomen oikeusjärjestelmässä, vaan termejä on pidetty lähes sy- nonyymeinä.⁵⁸ Yksityisyyttä on kuitenkin pidetty hankalana käsitteenä määritellä,⁵⁹ eikä sen määrittely tyhjentävästi ole edes mielekästä.⁶⁰

Rekisteröidyn oikeuksia tarkasteltaessa perusoikeudet eivät muilta osin tarkenna jo ihmisoi- keussopimuksissa luotuja oikeuksia, paitsi että ne velvoittavat Suomen lainsäätäjää käyttä- mään lain tasoista säädöstä säädettäessä henkilötietojen käsittelystä ja näin ollen myös re- kisteröidyn oikeuksista. Suomessa tätä säätelyvelvoitetta toteuttavat muun muassa yleisla- kina toimiva henkilötietolaki, laki henkilötietojen käsittelystä poliisitoimessa (2003/761), luottotietolaki (2007/527), tietoyhteiskuntakaari, asiakastietolaki ja arkistolaki (1994/831).

Perusoikeusnäkökulman tuominen keskusteluun puhuttaessa rekisteröidyn oikeuksista tietoverkossa ei ainoastaan merkitse perusoikeusmyönteistä laintulkintaa, kuten etusijajärjes-

54 Hallberg, ym. 2011, s. 395.

55PeVL 18/2012 vp s. 2, PeVL 14/2009 vp s. 2, PeVL 11/2008 vp s. 3, PeVL 51/2002 vp s. 1-2, ks. myös Viljanen 2001, s. 79–80.

56 Mahkonen 1997, s. 49.

57 Hallberg, ym. 2011, s. 393.

58 PeVL 25/1998, s. 2.

59 Korhonen 2003, s. 75.

60 Saarenpää 2002, s. 319 ja Konstari 1992, s. 11.

(33)

tystä, vaan oikeuksien tulkintaa perus- ja ihmisoikeuksien muodostaman kokonaisjärjestel- män kautta. Tämä tarkoittaa, että perus- ja ihmisoikeuksien tulkintaohjeet ovat sellaisinaan päteviä tulkittaessa tavallisen lain säännöksiä.

3 REKISTERÖIDYN OIKEUDET

3.1 Rekisteröidyn oikeuksia koskeva sääntely

EU:n henkilötietodirektiivi luo perustan unionin jäsenvaltioiden tietosuojasääntelylle. Di- rektiivin johdannossa muun muassa todetaan, että tietojenkäsittelyjärjestelmät on tehty pal- velemaan ihmistä⁶¹, käsittelyn tulee olla laillista ja siihen tulee olla rekisteröidyn suostu- mus⁶² ja arkaluontoisia tietoja voi käsitellä vain nimenomaisella suostumuksella.⁶³ Direktiivi edustaa yksilökeskeistä sääntelyä ja sen ytimessä on yksilön itsemääräämisoikeus.⁶⁴ Tiedol- linen itsemääräämisoikeus tarkoittaa omiin henkilötietoihin liittyvää päätöksenteko-oikeutta, johon sisältyy ainakin oikeus olla kertomatta omia tietojaan, oikeus saada itseään koskeva tieto ja oikeus vaikuttaa tietojensa käsittelyyn.⁶⁵ Tiedollisen itsemääräämisoikeuden toisena puolena voidaan pitää oikeutta tiedolliseen yksityisyyttä, joka on metaoikeus – eräänlainen moraalinen päämääräoikeus.⁶⁶

Resitaalissa viitataan rekisteröidyn oikeuksiin useita kertoja. Direktiivin resitaalin mukaan käsiteltävien tietojen on oltava riittäviä ja olennaisia, rekisteröidyn on oltava tietoinen hen- kilötietojen käsittelystä ja rekisteröidyllä tulee aina olla oikeus tutustua häntä koskeviin tietoihin. Lisäksi rekisteröidyn oikeuksien ja vapauksien suoja henkilötietojen käsittelyssä edellyttää, että rekisterinpitäjän on toteuttava asianmukaiset tekniset ja organisatoriset toi- menpiteet tietojen suojaamiseksi. Oikeussuojakeinona jäsenvaltioissa tulee olla valvontavi- ranomainen, jolla on tarvittavat keinot valvontansa suorittamiseksi. Jäsenvaltioiden valvon-

61 Direktiivin resitaali kohta 2.

62 Direktiivin resitaali kohta 30.

63 Direktiivin resitaali kohta 33 (tästä kiellosta on kuitenkin nimenomaisesti poikettava erityisten tarpeiden vaatiessa etenkin, jos kyseisten tietojen käsittely suoritetaan terveyteen liittyviä tarkoituksia varten sellaisten henkilöiden toimesta, joita koskee lakisääteinen salassapitovelvollisuus, tai tiettyjen yhdistysten tai säätiöiden sellaista oikeutettua toimintaa varten, jonka tarkoituksena on mahdollistaa perusvapauksien toteutuminen)

64 Saarenpää 1999, s. 457.

65 Antikainen 2012, s. 196.

66 Lakimiesliitto 1999, s. 210.

(34)

taviranomaisten yhteystyöhön ei velvoiteta, mutta siihen kannustetaan. Direktiivi asettaa jä- senvaltioiden kansalliselle lainsäädännölle vähimmäisvaatimuksen, mikä tulee ilmi direktiivin 5 artiklasta. Suomessa henkilötietodirektiivi on implementoitu henkilötietolailla.⁶⁷ Pöysti on arvioinut, että henkilötietodirektiivin painotus yksilökeskeisyyteen ja itsemäärää- misoikeuteen on jossain määrin erilainen verrattuna direktiivin esikuvaan, Euroopan neuvoston tietosuojasopimukseen, joka solmittiin vuonna 1981.⁶⁸ Tietosuojasopimuksen yti- messä ovat yksityisyyden suoja (privacy) ja informaation vapaus (freedom of information).

Sopimuksen 5 artiklassa määritellään tiedon laatua koskevat vaatimukset, 6 artiklassa rajoitetaan arkaluontoisten tietojen⁶⁹ käsittelyä, 7 artikla velvoittaa pitämään riittävää tietoturvan tasoa, 8 artikla määrittelee rekisteröidyn oikeudeksi saada tietoja, tarkastaa tietoja sekä korjata virheellisiä tietoja ja 10 artikla velvoittaa valtiot luomaan rekisteröityä varten riittävät oikeusturvakeinot. Tietosuojasopimuksessa ei sen sijaan ole säädetty siitä, minkälaisissa tilanteissa henkilötietojen käsittely on laillista.⁷⁰

Lainsäädännöllinen kehitys onkin kulkenut kohti yksityisyyden suojan korostamista, mistä kertoo myös se, että henkilötietodirektiivin 1 artiklassa direktiivin tavoitteeksi on asetettu yksilöiden perusoikeuden ja -vapauden ja erityisesti yksityisyyden turvaaminen. Henkilö- tietodirektiivi on vahvistanut tiedollista itsemääräämisoikeutta selkeästi määriteltynä yksi- lön oikeutena.⁷¹

Tietosuojalainsäädäntö on tällä hetkellä murrosvaiheessa, sillä EU on uudistamassa omaa tietosuojasääntelyään kokonaisuudessaan. Yleinen tietosuoja-asetus julkaistiin EU:n viralli- sessa lehdessä 27.4.2016. Asetuksesta tulee suoraan sovellettavaa lainsäädäntöä kahden vuoden siirtymävaiheen jälkeen eli 25.5.2018.

Siinä missä henkilötietodirektiivi painotti itsemääräämisoikeutta, on tietosuoja-asetuksessa sen tarkoitukseksi määritelty yksilöiden tietosuoja-oikeuksien vahvistaminen ja henkilötie- tojen vapaan liikkuvuuden helpottaminen digitaalisilla markkinoilla.⁷² Asetuksen 1 artiklan 2 kohdan mukaan asetuksella suojellaan luonnollisten henkilöiden perusoikeuksia ja -va- pauksia ja erityisesti heidän oikeuttaan henkilötietojen suojaan.

67 HE 96/1998 vp, s. 1.

68 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data

69 Termiä arkaluontoiset tiedot ei vielä ollut käytössä, mutta luetellut tiedot ovat nykyään arkaluontoisina pi- dettyjä.

70 Pöysti 1999, s. 475.

71 Pöysti 1999, s. 476.

72 Komission yksiköiden valmisteluasiakirja, tiivistelmä vaikutusten arvioinnista SEK(2012) 73 final, päivätty 25.1.2012, s. 4.