Datahallintolaki selitetty

Datan taloudellinen ja yhteiskunnallinen potentiaali on valtava: se voi mahdollistaa uusiin teknologioihin perustuvat uudet tuotteet ja palvelut, tehostaa tuotantoa ja tarjota välineitä yhteiskunnallisten haasteiden torjumiseksi. Esimerkiksi terveydenhuollon alalla data voi auttaa parantamaan terveydenhuoltoa, parantamaan yksilöllisiä hoitoja ja parantamaan harvinaisia tai kroonisia sairauksia. Se on myös tehokas innovoinnin ja uusien työpaikkojen moottori sekä kriittinen voimavara startup-yrityksille ja pk-yrityksille.

Tätä potentiaalia ei kuitenkaan hyödynnetä. Datan yhteiskäyttö EU:ssa on edelleen vähäistä useiden esteiden vuoksi (muun muassa heikko luottamus datan jakamiseen, julkisen sektorin datan uudelleenkäyttöön ja tietojen keräämiseen yhteistä etua varten liittyvät kysymykset sekä tekniset esteet).

Jotta tätä valtavaa potentiaalia voitaisiin todella hyödyntää, datan jakamisen olisi oltava helpompaa luotettavalla ja turvallisella tavalla.

Datahallintosäädös (DGA) on monialainen väline, jolla pyritään sääntelemään julkisesti tai hallussa olevan suojatun datan uudelleenkäyttöä tehostamalla datan jakamista uusien datan välittäjien sääntelyn avulla ja kannustamalla datan jakamista altruistisiin tarkoituksiin. Sekä henkilötiedot että muut kuin henkilötiedot kuuluvat DGA:n soveltamisalaan, ja henkilötietojen osalta sovelletaan yleistä tietosuoja-asetusta. Yleisen tietosuoja-asetuksen lisäksi sisäänrakennetut suojatoimet lisäävät luottamusta datan jakamiseen ja uudelleenkäyttöön, mikä on edellytys tietojen lisäämiselle markkinoilla.

Julkisen sektorin elinten hallussa olevien tiettyjen dataluokkien uudelleenkäyttö

Mitkä ovat tärkeimmät tavoitteet?

Avointa dataa koskevalla direktiivillä säännellään julkisen sektorin hallussa olevan julkisen/saatavan tiedon uudelleenkäyttöä. Julkisella sektorilla on kuitenkin myös valtavia määriä suojattua dataa (esim. henkilötietoja ja kaupallisesti luottamuksellisia tietoja), joita ei voida käyttää uudelleen avoimena datana, mutta joita voitaisiin käyttää uudelleen EU:n tai kansallisen lainsäädännön mukaisesti. Tällaisista tiedoista voidaan saada runsaasti tietoa vaarantamatta niiden suojattua luonnetta, ja DGA:ssa säädetään säännöistä ja suojatoimista, joilla helpotetaan uudelleenkäyttöä aina, kun se on mahdollista muun lainsäädännön nojalla.  

Miten se toimii käytännössä?

• Julkista sektoria koskevat tekniset vaatimukset: Jäsenvaltioilla on oltava tekniset välineet sen varmistamiseksi, että tietojen yksityisyyttä ja luottamuksellisuutta kunnioitetaan täysimääräisesti uudelleenkäyttötilanteissa. Tällaisia välineitä voivat olla muun muassa tekniset ratkaisut, kuten anonymisointi, pseudonymisointi tai tietojen käyttö julkisen sektorin valvomissa suojatuissa käsittelyympäristöissä (esim. datahuoneissa), sopimuskeinoihin, kuten julkisen sektorin elimen ja uudelleenkäyttäjän välillä tehtyihin luottamuksellisuussopimuksiin.
• Julkisen sektorin elimen tuki: Jos julkisen sektorin elin ei voi myöntää pääsyä tiettyyn dataan uudelleenkäyttöä varten, sen olisi autettava mahdollista uudelleenkäyttäjää pyytämään henkilön suostumusta henkilötietojensa uudelleenkäyttöön tai datan haltijan lupaa, jonka oikeuksiin tai etuihin uudelleenkäyttö voi vaikuttaa. Lisäksi luottamuksellisia tietoja (esim. liikesalaisuuksia) voidaan luovuttaa uudelleenkäyttöä varten vain tällaisella suostumuksella tai luvalla.
• Jotta uudelleenkäyttöä varten olisi vielä enemmän julkisesti saatavilla olevaa dataa, DGA rajoittaa datan uudelleenkäyttöä koskeviin yksinomaisiin sopimuksiin turvautumista (jossa julkisen sektorin elin myöntää tällaisen yksinoikeuden yhdelle yritykselle) tiettyihin yleistä etua koskeviin tapauksiin.
• Kohtuulliset maksut: julkisen sektorin elimet voivat periä uudelleenkäytön sallimisesta maksuja, jos ne eivät ylitä tarvittavia kustannuksia. Lisäksi julkisen sektorin elinten olisi kannustettava uudelleenkäyttöä tieteelliseen tutkimukseen ja muihin ei-kaupallisiin tarkoituksiin sekä pk-yrityksiin ja startup-yrityksiin alentamalla maksuja tai jopa sulkemalla ne pois.
• Julkisen sektorin elimellä on enintään kaksi kuukautta aikaa tehdä päätös uudelleenkäyttöä koskevasta pyynnöstä.
• Jäsenvaltiot voivat valita, mitkä toimivaltaiset elimet tukevat uudelleenkäytön myöntäviä julkisen sektorin elimiä, esimerkiksi tarjoamalla niille turvallisen käsittelyympäristön ja antamalla niille neuvoja siitä, miten data voidaan parhaiten jäsentää ja tallentaa, jotta se olisi helposti saatavilla.
• Jotta mahdolliset uudelleenkäyttäjät löytäisivät asiaankuuluvat tiedot siitä, mitä tietoja viranomaisten hallussa on, jäsenvaltioiden on perustettava keskitetty tiedotuspiste. Komissio perusti julkisen sektorin hallussa olevaa suojattua dataa koskevan eurooppalaisen rekisterin (ERPD), joka on kansallisten keskitettyjen tietopisteiden keräämien tietojen hakukelpoinen rekisteri, jotta datan uudelleenkäyttöä voitaisiin edelleen helpottaa sisämarkkinoilla ja sen ulkopuolella.

Datan välityspalvelut

Mitkä ovat tärkeimmät tavoitteet?

Monet yritykset pelkäävät tällä hetkellä, että niiden tietojen jakaminen merkitsisi kilpailuedun menettämistä ja merkitsisi väärinkäytön riskiä. DGA määrittelee datan välityspalvelujen tarjoajille (ns. datan välittäjät, kuten datamarkkinapaikat) säännöt, joilla varmistetaan, että ne toimivat luotettavina datan jakamisen tai yhdistämisen järjestäjinä yhteisissä eurooppalaisissa data-avaruuksissa. Jotta voidaan lisätä luottamusta datan jakamiseen, tässä uudessa lähestymistavassa ehdotetaan mallia, joka perustuu datan välittäjien puolueettomuuteen ja avoimuuteen ja antaa yksityishenkilöille ja yrityksille mahdollisuuden hallita tietojaan.

Miten se toimii käytännössä?

Kehys tarjoaa vaihtoehtoisen mallin Big Tech -alustojen datankäsittelykäytännöille, joilla on suuri markkinavoima, koska ne hallitsevat suuria määriä dataa.

Käytännössä datan välittäjät toimivat neutraaleina kolmansina osapuolina, jotka yhdistävät yksityishenkilöt ja yritykset datan käyttäjiin. Vaikka ne voivat veloittaa tietojen jakamisen helpottamisesta osapuolten välillä, ne eivät voi suoraan käyttää välittämiään tietoja taloudelliseen voittoon (esimerkiksi myymällä ne toiselle yritykselle tai käyttämällä sitä oman tuotteensa kehittämiseen näiden tietojen perusteella). Datan välittäjien on noudatettava tiukkoja vaatimuksia tämän puolueettomuuden varmistamiseksi ja eturistiriitojen välttämiseksi. Käytännössä tämä tarkoittaa sitä, että datan välityspalvelu on erotettava rakenteellisesti muista tarjottavista palveluista (eli ne on erotettava oikeudellisesti toisistaan). Välityspalvelujen tarjoamista koskevat kaupalliset ehdot (mukaan lukien hinnoittelu) eivät myöskään saisi olla riippuvaisia siitä, käyttääkö mahdollinen datan haltija tai datan käyttäjä muita palveluja. Kerättyä dataa ja metadataa voidaan käyttää ainoastaan datan välityspalvelun parantamiseen.

Sekä itsenäiset organisaatiot, jotka tarjoavat ainoastaan datan välityspalveluja, että yritykset, jotka tarjoavat datan välityspalveluja muiden palvelujen lisäksi, voisivat toimia luotettavina välittäjinä. Jälkimmäisessä tapauksessa datan välitystoiminta on erotettava tiukasti muista datapalveluista sekä oikeudellisesti että taloudellisesti.

DGA:n mukaan datan välittäjien on ilmoitettava toimivaltaiselle viranomaiselle aikomuksestaan tarjota tällaisia palveluja. Toimivaltainen viranomainen varmistaa, että ilmoitusmenettely on syrjimätön eikä vääristä kilpailua, ja vahvistaa, että datan välityspalvelujen tarjoaja on toimittanut ilmoituksen, joka sisältää kaikki vaaditut tiedot.

Tällaisen vahvistuksen saatuaan datan välittäjä voi laillisesti aloittaa toimintansa ja käyttää kirjallisessa ja suullisessa viestinnässään merkintää ”unionissa tunnustettu datan välityspalvelujen tarjoaja” sekä yhteistä tunnusta. Kyseiset viranomaiset valvovat myös datan välitystä koskevien vaatimusten noudattamista, ja komissio pitää keskitettyä rekisteriä tunnustetuista datan välittäjistä.

Data-altruismi

Mitkä ovat tärkeimmät tavoitteet?

Data-altruismi tarkoittaa sitä, että yksilöt ja yritykset antavat suostumuksensa tai luvan asettaa saataville tuottamansa datan – vapaaehtoisesti ja ilman palkkiota – käytettäväksi yleisen edun mukaisiin tavoitteisiin. Tällaisella tiedolla on valtavat mahdollisuudet edistää tutkimusta ja kehittää parempia tuotteita ja palveluja, myös terveyden, ympäristön ja liikkuvuuden aloilla.

Tutkimus osoittaa, että vaikka data-altruismi on periaatteessa halukas, sitä haittaa käytännössä tiedonjakovälineiden puute. Datahallintosäädöksen tavoitteena on luoda luotettavia välineitä, joiden avulla dataa voidaan jakaa helposti yhteiskunnan hyödyksi. Se luo oikeat olosuhteet, joissa yksityishenkilöt ja yritykset voivat varmistaa, että kun he jakavat tietojaan, niitä käsittelevät luotettavat organisaatiot EU:n arvojen ja periaatteiden pohjalta. Tämä mahdollistaa riittävän kokoisten tietovarantojen luomisen data-analytiikan ja koneoppimisen mahdollistamiseksi myös rajojen yli.

Miten se toimii käytännössä?

Yhteisöt, jotka asettavat saataville data-altruismiin perustuvaa asiaankuuluvaa dataa, voivat rekisteröityä ”unionissa hyväksytyiksi data-altruismipohjaisiksi organisaatioiksi”. Näillä yksiköillä on oltava voittoa tavoittelematon luonne, niiden on täytettävä avoimuusvaatimukset sekä tarjottava erityisiä suojatoimia tietojaan jakavien kansalaisten ja yritysten oikeuksien ja etujen suojaamiseksi. Lisäksi niiden on noudatettava sääntökirjaa (viimeistään 18 kuukauden kuluttua sen voimaantulosta), jossa vahvistetaan tietovaatimukset, tekniset ja turvallisuusvaatimukset, viestintäsuunnitelmat ja suositukset yhteentoimivuusstandardeista. Komissio laatii sääntökirjan tiiviissä yhteistyössä data-altruismipohjaisten organisaatioiden ja muiden asiaankuuluvien sidosryhmien kanssa.

Yhteisöt voivat käyttää tähän tarkoitukseen suunniteltua yhteistä logoa, ja ne voivat halutessaan kuulua julkiseen data-altruismipohjaisten organisaatioiden rekisteriin. Komissio on perustanut EU:n tason rekisterin tunnustetuista data-altruismipohjaisista organisaatioista tiedotustarkoituksia varten.  

Data-altruismia koskeva yhteinen eurooppalainen suostumuslomake mahdollistaa tietojen keräämisen kaikissa jäsenvaltioissa yhtenäisessä muodossa. Näin varmistetaan, että tietojaan jakavat tahot voivat helposti antaa suostumuksensa ja peruuttaa suostumuksensa. Se myös antaa oikeusvarmuutta tutkijoille ja yrityksille, jotka haluavat käyttää altruismiin perustuvaa dataa. Tämä on modulaarinen muoto, joka voidaan räätälöidä tiettyjen alojen ja käyttötarkoitusten tarpeisiin.

Euroopan datainnovaatiolautakunta

Mitkä ovat tärkeimmät tavoitteet?

Kuten DGA:ssa säädetään, komissio perusti Euroopan datainnovaatiolautakunnan (EDIB) helpottamaan parhaiden käytäntöjen jakamista, erityisesti datan välitystä, data-altruismia ja sellaisen julkisen datan käyttöä, jota ei voida asettaa saataville avoimena datana, sekä monialaisten yhteentoimivuusstandardien priorisointia.

Miten se toimii käytännössä?

EDIBiin kuuluu seuraavien tahojen edustajia:

• Datan välittämisestä vastaavat jäsenvaltioiden toimivaltaiset viranomaiset
• Data-altruismia koskevat jäsenvaltioiden toimivaltaiset viranomaiset
• Euroopan tietosuojaneuvosto
• Euroopan tietosuojavaltuutettu
• Euroopan unionin kyberturvallisuusvirasto (ENISA)
• Euroopan komissio
• pk-yritysedustajien verkoston nimittämä EU:n pk-yritysedustaja/edustaja
• muut asianomaisten elinten edustajat, jotka komissio on valinnut asiantuntijapyynnöllä.

Luettelo EDIBin jäsenistä on saatavilla osoitteessa:  Komission asiantuntijaryhmien ja muiden vastaavien yksiköidenrekisteri (europa.eu)

Edibillä on valtuudet ehdottaa yhteisiä eurooppalaisia data-avaruuksia koskevia suuntaviivoja, jotka koskevat esimerkiksi unionin ulkopuolelle tehtävien tiedonsiirtojen riittävää suojaa.

Kansainväliset tietovirrat

Mitkä ovat tärkeimmät tavoitteet?

Helmikuussa 2020 hyväksytyssä Euroopan datastrategiassa todettiin, että on tärkeää noudattaa avointa mutta määrätietoista lähestymistapaa kansainvälisiin tietovirtoihin.

Kansainvälisillä tiedonsiirroilla voidaan hyödyntää EU:ssa tuotetun valtavan datamäärän merkittävää sosioekonomista potentiaalia, mikä lisää unionin kansainvälistä kilpailukykyä maailmanlaajuisella areenalla ja edistää talouskasvua, joka on ratkaisevan tärkeää erityisesti covid-19-pandemian jälkeisellä elpymisen aikakaudella.

Vaikka DGA:lla on keskeinen rooli Euroopan unionin avoimen strategisen riippumattomuuden vahvistamisessa, se edistää myös luottamusta kansainvälisiin tietovirtoihin.

Miten se toimii käytännössä?

Vaikka yleisellä tietosuoja-asetuksella on otettu käyttöön kaikki tarvittavat suojatoimet henkilötietojen osalta, on DGA:n ansiosta käytössä samanlaiset suojatoimet kolmansien maiden hallitusten muiden kuin henkilötietojen osalta esittämien tiedonsaantipyyntöjen osalta.

Nämä suojatoimet koskevat kaikkia DGA:n vahvistamia skenaarioita ja säännöksiä eli julkisen sektorin dataa, datan välityspalveluja ja data-altruismikonstellaatioita. Kolmannen maan uudelleenkäyttäjän on varmistettava sama tietosuojan taso kyseisille tiedoille kuin EU:n lainsäädännössä varmistettu tietosuojan taso sekä hyväksyttävä asianomainen EU:n lainkäyttöalue.  

Komissio voi tarvittaessa tehdä tietosuojan riittävyyttä koskevia lisäpäätöksiä julkisesti suojattujen tietojen siirtämiseksi uudelleenkäyttöä varten, kun on kyse kolmannesta maasta peräisin oleviin muihin kuin henkilötietoihin pääsyä koskevasta pyynnöstä. Tietosuojan riittävyyttä koskevat päätökset vastaavat tietosuojan tason riittävyyttä koskevia päätöksiä, jotka liittyvät yleisen tietosuoja-asetuksen mukaiseen henkilötietojen siirtoon.

Lisäksi DGA valtuuttaa komission asettamaan mallisopimuslausekkeet julkisen sektorin elinten ja uudelleenkäyttäjien saataville tilanteissa, joissa julkisen sektorin data osallistuu datan siirtoon kolmansien maiden kanssa.