The collection of personal data from parties other than the data subject under the GDPR
Aho, Sami (2023-04-28)
The collection of personal data from parties other than the data subject under the GDPR
(28.04.2023)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe2023052346805
https://urn.fi/URN:NBN:fi-fe2023052346805
Tiivistelmä
Since 2018, the General Data Protection Regulation has regulated the processing of personal data in the EU, reinforcing the individuals’ rights to privacy and the protection of personal data, as enshrined in the Charter of Fundamental Rights of the European Union. Those involved in the processing of personal data have had to reassess their roles, responsibilities, and obligations in order to comply with the obligations of the regulation. Recent accelerated developments in the field of artificial intelligence have prompted a debate on the compatibility of the General Data Protection Regulation with the needs and specificities of new technologies.
This thesis will examine the obligations and responsibilities of the various actors, whether they are controllers, joint controllers or processors of personal data, as well as the limits of lawfulness of data collection under the General Data Protection Regulation in situations where personal data are collected from parties other than the data subject. In particular, the review will focus on the obligation to inform and the lawfulness of the processing of personal data, while highlighting the general principles of the GDPR in relation to the processing of personal data, such as the principle of data minimization and the principle of purpose limitation. The definition of personal data is also subject to critical scrutiny.
The thesis is a jurisprudential review of the application of the General Data Protection Regulation, aiming at a pragmatic approach to the outcome, highlighting real life challenges by making use of case law. The last chapter also makes limited use of the de lege ferenda method.
The obligations and requirements imposed by the General Data Protection Regulation do not always correspond to real-life practices. The complex body of legislation may have lost sight of its core, the protection of individuals' sensitive data, a legal interest that it should protect. The collection of personal data from parties other than the data subjects themselves may be the lifeblood of many operators, which may have made compliance with the General Data Protection Regulation (GDPR) a secondary objective. Yleinen tietosuoja-asetus on vuodesta 2018 säädellyt henkilötietojen käsittelyä EU:n alueella vahvistaen Euroopan unionin perusoikeuskirjassakin turvattujen oikeuksien toteutumista yksityisten henkilöiden oikeudesta yksityiselämään sekä henkilötietojen suojaan. Henkilötietojen käsittelyyn osaa ottavat tahot ovat joutuneet uudelleenarvioimaan omaa rooliaan, vastuutaan sekä velvollisuuksiaan noudattaakseen asetuksen velvollisuuksia. Viime aikojen kiihtynyt kehitys tekoälyn saralla on herättänyt keskustelua yleisen tietosuoja-asetuksen yhteensopivuudesta uuden teknologian tarpeisiin ja erityispiirteisiin.
Tässä tutkielmassa tutkitaan eri tahojen, niin rekisterinpitäjän, yhteisrekisterinpitäjän kuin henkilötietojen käsittelijänkin yleisen tietosuoja-asetuksen asettamia velvollisuuksia ja vastuita sekä käsittelyn lainmukaisuuden rajanvetoa tilanteissa, joissa henkilötietoja kerätään muilta tahoilta kuin rekisteröidyltä itseltään. Tarkastelu kohdentuu erityisesti informointivelvollisuuteen sekä henkilötietojen käsittelyn lainmukaisuuteen tuoden samalla esiin yleisen tietosuoja-asetuksen henkilötietojen käsittelyn yleiset periaatteet, kuten tietojen minimoinnin periaatteen sekä tarkoituksenmukaisuusperiaatteen. Kriittisen tarkastelun alle joutuu myös itse henkilötiedon määritelmä.
Tutkielma on lainopillinen katsaus yleisen tietosuoja-asetuksen soveltamisesta, pyrkien käytännönläheiseen tulokulmaan tuoden esiin tosielämässä kohdattuja haasteita oikeuskäytäntöä hyödyntäen. Viimeisessä kappaleessa on hyödynnetty rajoitetussa mittakaavassa myös de lege ferenda -metodia.
Yleisen tietosuoja-asetuksen asettamat velvoitteet ja vaatimukset eivät aina vastaa tosielämän käytäntöjä. Monisyinen lainsäädäntökokonaisuus on saattanut unohtaa sille osoitetun ytimensä, yksityishenkilöiden arkaluontoisten tietojen suojaamisen, oikeushyvän, jota sen olisi suojeltava. Henkilötietojen kerääminen muilta osapuolilta kuin rekisteröidyltä itseltään saattaa olla monelle toimijalle elinehto, jolloin yleisen tietosuoja-asetuksen noudattaminen pilkun tarkkuudella on saattanut jäädä toissijaiseksi tavoitteeksi.
This thesis will examine the obligations and responsibilities of the various actors, whether they are controllers, joint controllers or processors of personal data, as well as the limits of lawfulness of data collection under the General Data Protection Regulation in situations where personal data are collected from parties other than the data subject. In particular, the review will focus on the obligation to inform and the lawfulness of the processing of personal data, while highlighting the general principles of the GDPR in relation to the processing of personal data, such as the principle of data minimization and the principle of purpose limitation. The definition of personal data is also subject to critical scrutiny.
The thesis is a jurisprudential review of the application of the General Data Protection Regulation, aiming at a pragmatic approach to the outcome, highlighting real life challenges by making use of case law. The last chapter also makes limited use of the de lege ferenda method.
The obligations and requirements imposed by the General Data Protection Regulation do not always correspond to real-life practices. The complex body of legislation may have lost sight of its core, the protection of individuals' sensitive data, a legal interest that it should protect. The collection of personal data from parties other than the data subjects themselves may be the lifeblood of many operators, which may have made compliance with the General Data Protection Regulation (GDPR) a secondary objective.
Tässä tutkielmassa tutkitaan eri tahojen, niin rekisterinpitäjän, yhteisrekisterinpitäjän kuin henkilötietojen käsittelijänkin yleisen tietosuoja-asetuksen asettamia velvollisuuksia ja vastuita sekä käsittelyn lainmukaisuuden rajanvetoa tilanteissa, joissa henkilötietoja kerätään muilta tahoilta kuin rekisteröidyltä itseltään. Tarkastelu kohdentuu erityisesti informointivelvollisuuteen sekä henkilötietojen käsittelyn lainmukaisuuteen tuoden samalla esiin yleisen tietosuoja-asetuksen henkilötietojen käsittelyn yleiset periaatteet, kuten tietojen minimoinnin periaatteen sekä tarkoituksenmukaisuusperiaatteen. Kriittisen tarkastelun alle joutuu myös itse henkilötiedon määritelmä.
Tutkielma on lainopillinen katsaus yleisen tietosuoja-asetuksen soveltamisesta, pyrkien käytännönläheiseen tulokulmaan tuoden esiin tosielämässä kohdattuja haasteita oikeuskäytäntöä hyödyntäen. Viimeisessä kappaleessa on hyödynnetty rajoitetussa mittakaavassa myös de lege ferenda -metodia.
Yleisen tietosuoja-asetuksen asettamat velvoitteet ja vaatimukset eivät aina vastaa tosielämän käytäntöjä. Monisyinen lainsäädäntökokonaisuus on saattanut unohtaa sille osoitetun ytimensä, yksityishenkilöiden arkaluontoisten tietojen suojaamisen, oikeushyvän, jota sen olisi suojeltava. Henkilötietojen kerääminen muilta osapuolilta kuin rekisteröidyltä itseltään saattaa olla monelle toimijalle elinehto, jolloin yleisen tietosuoja-asetuksen noudattaminen pilkun tarkkuudella on saattanut jäädä toissijaiseksi tavoitteeksi.