17. elokuuta 2022 | Max Atallah

tietosuoja

Datahallintosäädös

Huhtikuussa julkaistussa artikkelissamme käsittelimme Euroopan komission helmikuussa 2022 antamaa ehdotusta datasäädöksestä. Tämä artikkeli avaa toista Euroopan datastrategian edistämistä koskevaa lainsäädäntöinstrumenttia, datahallintosäädöstä.

Euroopan komissio antoi 25.11.2020 ehdotuksensa Euroopan parlamentin ja neuvoston asetukseksi eurooppalaisesta datahallinnosta eli datahallintosäädöksestä (Data Governance Act), ja datahallintosäädös hyväksyttiin toukokuussa 2022. Datahallintosäädös tulee suoraan sovellettavaksi unionin jäsenvaltioissa 24.9.2023.

Datahallintosäädöksen tavoitteet

Datahallintosäädöksellä pyritään edistämään datan saatavuutta ja käyttöä lisäämällä luottamusta datan välittäjiin ja vahvistamalla datan jakamismekanismeja kaikkialla EU:ssa. Säädös koskee erityisesti:

  1. julkisen sektorin datan asettamista saataville uudelleenkäyttöä varten tilanteissa, joissa tällaiseen dataan sovelletaan muiden osapuolten oikeuksia,
  2. datan jakamista yritysten kesken, missä tahansa muodossa olevaa vastiketta vastaan,
  3. sen sallimista, että henkilötietoja käytetään ”henkilötietojen jakamisesta vastaavan välittäjän” avulla – välittäjän tarkoituksena on auttaa yksityishenkilöitä käyttämään yleisen tietosuoja-asetuksen mukaisia oikeuksiaan, sekä
  4. datan käytön salliminen yleishyödyllisiin tarkoituksiin (ns. data-altruismi).

Julkisen sektorin datan uudelleenkäyttö

Datahallintosäädös luo mekanismin, jolla mahdollistetaan tiettyjen julkisen sektorin muiden oikeuksia koskevien tietoryhmien datan uudelleenkäyttö. Tällaista dataa voivat olla esimerkiksi liikesalaisuudet, henkilötiedot ja immateriaalioikeuksin suojattu data.

Datavälittäjäpalvelut

Datahallintosäädös tulee myös mahdollistamaan datan välittämisen ns. datavälittäjäpalveluiden kautta (”data intermediation services”). Tarkoituksena on lisätä luottamusta henkilötietojen ja muiden kuin henkilötietojen jakamiseen sekä alentaa yritysten väliseen (B2B) ja henkilöasiakkaiden ja yritysten väliseen (C2B) datan jakamiseen liittyviä liiketoimikustannuksia luomalla datan jakamispalvelujen tarjoajille ilmoitusjärjestelmä. Näiden palveluntarjoajien on noudatettava useita vaatimuksia, erityisesti vaatimusta varmistaa puolueettomuus datanvaihdossa, eivätkä ne voi käyttää tällaista dataa muihin tarkoituksiin.

Tavoitteena on varmistaa, että datan jakamispalvelut toimivat avoimella ja yhteistyöhön perustuvalla tavalla, ja samalla lisätä luonnollisten henkilöiden ja oikeushenkilöiden vaikutusmahdollisuuksia antamalla näille parempi yleiskuva datastaan ja mahdollisuus valvoa dataansa.

Datan käyttö yleishyödyllisiin tarkoituksiin

Kolmas merkittävä sääntelykehikon osa on datan käyttö yleishyödyllisiin tarkoituksiin – eli ns. data-altruismi. Yleishyödyllisiä tarkoituksia varten dataa keräävät tahot voivat pyytää rekisteröintiä kansalliseen data-altruististen organisaatioiden vapaaehtoiseen rekisteriin. Rekisterit tunnustetaan EU-laajuisesti, joka osaltaan kannustaa dataa omistavia tahoja luovuttamaan dataa sellaisille yrityksille, jotka pyrkivät käyttämään tietoa yleiseen hyvään. Tällaista yleiseen hyvään tarkoitettua dataa voi olla muun muassa lääketieteellisestä tutkimus- ja kehitystyöstä kerrytetty data. Data-altruismikehikkoa varten kehitetään yhteinen eurooppalainen data-altruismin suostumuslomake, jolla pyritään alentamaan suostumuksen keräämisestä aiheutuvia kustannuksia ja helpottaa datan siirrettävyyttä.

Datahallintosäädös tulee luomaan suojatyökaluja julkisen sektorin datalle, datavälittäjäpalveluille ja data-altruismiorganisaatioille lainvastaista kansainvälistä tiedonsiirtoa ja ei-henkilötietoja sisältävän datan viranomaispääsyä vastaan.

Euroopan datainnovaatiolautakunta

Euroopan unioniin perustetaan asetuksen myötä uusi, virallinen asiantuntijaryhmä, Euroopan datainnovaatiolautakunta. Lautakunnan tavoitteena on helpottaa jäsenvaltioiden viranomaisten parhaiden käytäntöjen syntymistä esimerkiksi data-altruismin ja datan jakamispalveluiden osalta. Datainnovaatiolautakunta myös esimerkiksi tukee ja neuvoo komissiota monialaisen standardoinnin hallinnoinnissa.

Datahallintosäädös ja yhteensopivuus GDPR:n kanssa

Tietosuoja ja henkilötietojen käsittely ovat olleet keskeisessä osassa datahallintosäädöksen ja laajemmin EU:n datastrategian laadinnassa. Euroopan tietosuojavaltuutettu (EDPS) ja tietosuojalautakunta (EDPB) ovat antaneet yhteisen lausunnon koskien datahallintosäädöksen yhdenmukaisuutta Euroopan yleisen tietosuoja-asetuksen kanssa – lausunnossa on tunnistettu selviä ristiriitaisuuksia EU:n datapolitiikan sekä henkilötietojen suojan välillä.

Lopuksi

Datahallintosäädös tulee siis asetuksena suoraan sovellettavaksi kaikissa unionin jäsenvaltioissa 24.9.2023. Tätä ennen yritysten olisi suositeltavaa ottaa selvää, kuinka datahallintosäädös tulee vaikuttamaan heidän liiketoimintaansa – eli mitä oikeuksia ja velvoitteita se tuo mukanaan. Mikäli kaipaatte apua lakimuutoksen tulkinnassa, avustamme teitä luonnollisesti mielellämme.

Artikkelin laadintaan osallistui myös toimistomme lakimiesharjoittelija Patrik Anthoni. 

17.08.2022 MAX