Yleisen tietosuoja-asetuksen mukainen vahingonkorvausvastuu ja sopimuksen vaikutus korvausvastuuseen
Nuto, Veronika (2018-09-05)
Yleisen tietosuoja-asetuksen mukainen vahingonkorvausvastuu ja sopimuksen vaikutus korvausvastuuseen
Nuto, Veronika
(05.09.2018)
Tätä artikkelia/julkaisua ei ole tallennettu UTUPubiin. Julkaisun tiedoissa voi kuitenkin olla linkki toisaalle tallennettuun artikkeliin / julkaisuun.
Turun yliopisto
Tiivistelmä
Tutkielma käsittelee muuttuvaa eurooppalaista tietosuojalainsäädäntöä vahingonkorvaus- ja sopimusoikeudellisista näkökulmista. Yleisen tietosuoja-asetuksen myötä lainvastainen henkilötietojen käsittely aiheuttaa aiempaa vakavampia seurauksia organisaatioille. Tutkielmassa tarkastelun kohteena on yleisen tietosuoja-asetuksen mukainen vahingonkorvausvastuu, sekä rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen vaikutus korvausvastuuseen. Suoritettu tutkimus on luonteeltaan oikeusdogmaattinen ja keskittyy ensisijaisesti selvittämään tietosuoja-asetuksen sisältöä.
Tutkielmassa ilmeni, että tietosuoja-asetus laajentaa vahingonkorvausvastuuta niin rekisterinpitäjän kuin myös henkilötietojen käsittelijän osalta. Kansallisesti merkittävin muutos on rekisteröidyn mahdollisuus kohdistaa korvausvaatimus myös suoraan henkilötietojen käsittelijään. Tietosuoja-asetusta edeltäneeseen henkilötietodirektiiviin verrattuna kiinnostavaa on rekisterinpitäjän vastuun laajeneminen käsittämään myös tuottamuksesta riippumattomat vahingot, mutta kansallisesti tämä seikka ei muuta vallitsevaa oikeustilaa.
Tutkielmassa havaitaan, että henkilötietojen käsittelijän vastuun laajenemisesta huolimatta rekisterinpitäjän korvausvelvollisuus on edelleen pääsääntö. Tämä johtuu paitsi asetuksen sanamuodosta, jonka mukaan henkilötietojen käsittelijän vastuu on kuitenkin rekisterinpitäjän vastuuta rajoitetumpaa, mutta myös mm. rekisterinpitäjän velvollisuudesta ylipäätään valita asetuksen vaatimukset täyttävä henkilötietojen käsittelijä. Lisäksi tutkielmassa tehdään se havainto, että sopimuksilla voidaan harvoin vaikuttaa itse tietosuojaloukkauksen syntymiseen, mutta vastuun lopullisen kohdentumisen osalta rekisterinpitäjän ja henkilötietojen käsittelijän välisillä sopimuksilla on iso merkitys. Tietosuoja-asetuksen sopimusvaikutukset liittyvät ensinnäkin tietosuoja-asetuksessa säädettyihin ehtoihin, joita asetus edellyttää sopimuksiin otettavan. Asianmukaisten sopimusehtojen laatimisen laiminlyönti voi laajentaa rekiterinpitäjän korvausvastuuta. Toisekseen sopimuksiin voidaan ottaa erilaisia vastuun jakamiseen liittyviä sopimusehtoja, joista tutkimuksen mukaan toimivimpia ovat indemnity- ja hold harmless -tyyppiset ehdot.
Tutkielmassa ilmeni, että tietosuoja-asetus laajentaa vahingonkorvausvastuuta niin rekisterinpitäjän kuin myös henkilötietojen käsittelijän osalta. Kansallisesti merkittävin muutos on rekisteröidyn mahdollisuus kohdistaa korvausvaatimus myös suoraan henkilötietojen käsittelijään. Tietosuoja-asetusta edeltäneeseen henkilötietodirektiiviin verrattuna kiinnostavaa on rekisterinpitäjän vastuun laajeneminen käsittämään myös tuottamuksesta riippumattomat vahingot, mutta kansallisesti tämä seikka ei muuta vallitsevaa oikeustilaa.
Tutkielmassa havaitaan, että henkilötietojen käsittelijän vastuun laajenemisesta huolimatta rekisterinpitäjän korvausvelvollisuus on edelleen pääsääntö. Tämä johtuu paitsi asetuksen sanamuodosta, jonka mukaan henkilötietojen käsittelijän vastuu on kuitenkin rekisterinpitäjän vastuuta rajoitetumpaa, mutta myös mm. rekisterinpitäjän velvollisuudesta ylipäätään valita asetuksen vaatimukset täyttävä henkilötietojen käsittelijä. Lisäksi tutkielmassa tehdään se havainto, että sopimuksilla voidaan harvoin vaikuttaa itse tietosuojaloukkauksen syntymiseen, mutta vastuun lopullisen kohdentumisen osalta rekisterinpitäjän ja henkilötietojen käsittelijän välisillä sopimuksilla on iso merkitys. Tietosuoja-asetuksen sopimusvaikutukset liittyvät ensinnäkin tietosuoja-asetuksessa säädettyihin ehtoihin, joita asetus edellyttää sopimuksiin otettavan. Asianmukaisten sopimusehtojen laatimisen laiminlyönti voi laajentaa rekiterinpitäjän korvausvastuuta. Toisekseen sopimuksiin voidaan ottaa erilaisia vastuun jakamiseen liittyviä sopimusehtoja, joista tutkimuksen mukaan toimivimpia ovat indemnity- ja hold harmless -tyyppiset ehdot.