Datahallintolaki selitetty

Datan taloudellinen ja yhteiskunnallinen potentiaali on valtava: se voi mahdollistaa uusiin teknologioihin perustuvat uudet tuotteet ja palvelut, tehostaa tuotantoa ja tarjota välineitä yhteiskunnallisten haasteiden torjumiseksi. Esimerkiksi terveydenhuollon alalla data voi auttaa parantamaan terveydenhuoltoa, parantamaan yksilöllisiä hoitoja ja parantamaan harvinaisia tai kroonisia sairauksia. Se on myös tehokas innovoinnin ja uusien työpaikkojen moottori sekä kriittinen voimavara startup-yrityksille ja pk-yrityksille.

Tätä potentiaalia ei kuitenkaan hyödynnetä. Datan yhteiskäyttö EU:ssa on edelleen vähäistä useiden esteiden vuoksi (muun muassa heikko luottamus datan jakamiseen, julkisen sektorin datan uudelleenkäyttöön ja tietojen keräämiseen yhteistä etua varten liittyvät kysymykset sekä tekniset esteet).

Jotta tätä valtavaa potentiaalia voitaisiin todella hyödyntää, datan jakamisen olisi oltava helpompaa luotettavalla ja turvallisella tavalla.

Datahallintosäädös (DGA) on monialainen väline, jolla pyritään sääntelemään julkisesti tai hallussa olevan suojatun datan uudelleenkäyttöä tehostamalla datan jakamista uusien datan välittäjien sääntelyn avulla ja kannustamalla datan jakamista altruistisiin tarkoituksiin. Sekä henkilötiedot että muut kuin henkilötiedot kuuluvat DGA:n soveltamisalaan, ja henkilötietojen osalta sovelletaan yleistä tietosuoja-asetusta. Yleisen tietosuoja-asetuksen lisäksi sisäänrakennetut suojatoimet lisäävät luottamusta datan jakamiseen ja uudelleenkäyttöön, mikä on edellytys datan lisäämiselle saataville markkinoilla.

Julkisen sektorin elinten hallussa olevien tiettyjen dataluokkien uudelleenkäyttö

Mitkä ovat tärkeimmät tavoitteet?

Avointa dataa koskevalla direktiivillä säännellään julkisen sektorin hallussa olevan julkisesti saatavilla olevan tiedon uudelleenkäyttöä. Julkisella sektorilla on kuitenkin myös valtavia määriä suojattua dataa (esim. henkilötietoja ja kaupallisesti luottamuksellisia tietoja), joita ei voida käyttää uudelleen avoimena datana, mutta joita voitaisiin käyttää uudelleen tietyn EU:n tai kansallisen lainsäädännön nojalla. Tällaisista tiedoista voidaan saada runsaasti tietoa vaarantamatta niiden suojattua luonnetta, ja DGA:ssa säädetään säännöistä ja suojatoimista, joilla helpotetaan tällaista uudelleenkäyttöä aina, kun se on mahdollista muun lainsäädännön nojalla.  

Miten se toimii käytännössä?

• Julkista sektoria koskevat tekniset vaatimukset: Jäsenvaltioilla on oltava tekniset välineet sen varmistamiseksi, että tietojen yksityisyyttä ja luottamuksellisuutta kunnioitetaan täysimääräisesti uudelleenkäyttötilanteissa. Tällaisia välineitä voivat olla muun muassa tekniset ratkaisut, kuten anonymisointi, pseudonymisointi tai datan käyttö julkisen sektorin valvomissa suojatuissa käsittelyympäristöissä (esim. datahuoneissa), sopimusperusteisiin keinoihin, kuten julkisen sektorin elimen ja uudelleenkäyttäjän välillä tehtyihin luottamuksellisuussopimuksiin.
• Julkisen sektorin elimen tuki: Jos julkisen sektorin elin ei voi myöntää pääsyä tiettyyn dataan uudelleenkäyttöä varten, sen olisi autettava mahdollista uudelleenkäyttäjää pyytämään henkilön suostumusta henkilötietojensa uudelleenkäyttöön tai datan haltijan lupaa, jonka oikeuksiin tai etuihin uudelleenkäyttö voi vaikuttaa. Lisäksi luottamuksellisia tietoja (esim. liikesalaisuuksia) voidaan luovuttaa uudelleenkäyttöä varten vain tällaisella suostumuksella tai luvalla.
• Jotta uudelleenkäyttöä varten olisi vielä enemmän julkisesti saatavilla olevaa dataa, DGA rajoittaa datan yksinomaista uudelleenkäyttöä koskeviin sopimuksiin turvautumista (jossa julkisen sektorin elin myöntää tällaisen yksinoikeuden yhdelle yritykselle) tiettyihin yleistä etua koskeviin tapauksiin.
• Kohtuulliset maksut: julkisen sektorin elimet voivat periä maksuja uudelleenkäytön sallimisesta, kunhan maksut eivät ylitä tarvittavia kustannuksia. Lisäksi julkisen sektorin elinten olisi kannustettava uudelleenkäyttöä tieteelliseen tutkimukseen ja muihin ei-kaupallisiin tarkoituksiin sekä pk-yrityksiin ja startup-yrityksiin alentamalla maksuja tai jopa sulkemalla ne pois.
• Julkisen sektorin elimellä on enintään kaksi kuukautta aikaa tehdä päätös uudelleenkäyttöä koskevasta pyynnöstä.
• Jäsenvaltiot voivat valita, mitkä toimivaltaiset elimet tukevat uudelleenkäytön myöntäviä julkisen sektorin elimiä, esimerkiksi tarjoamalla niille turvallisen käsittelyympäristön ja antamalla niille neuvoja siitä, miten data voidaan parhaiten jäsentää ja tallentaa, jotta se olisi helposti saatavilla.
• Jotta mahdolliset uudelleenkäyttäjät löytäisivät merkityksellistä tietoa siitä, mitä tietoja viranomaisten hallussa on, jäsenvaltioiden on perustettava keskitetty tiedotuspiste. Komissio perusti julkisen sektorin hallussa olevan eurooppalaisen suojattujen tietojen rekisterin (ERPD),joka on kansallisten keskitettyjen tietopisteiden keräämien tietojen hakukelpoinen rekisteri, jotta datan uudelleenkäyttöä sisämarkkinoilla ja sen ulkopuolella helpotettaisiin entisestään.

Esimerkkejä

• Sosiaali- ja terveystietolupaviranomainen Findata käsittelee ja myöntää pääsyn tietoihin uudelleenkäyttöä varten. Esimerkkejä Findatan tietolähteistä ovat sosiaalivakuutuslaitos, eläkerekisteri ja väestörekisteri.
• Ranskalainen DAMAE Medical parantaa LC-OCT-tekniikkaansa (Line-field Confocal Optical Coherence Tomography), joka mahdollistaa solujen erottelukyvyn kuvantamisen ihon sisäisistä mikrorakenteista dermikseen asti, välittömästi ja ei-invasiivisesti uudella koulutusdatalla, joka on saatavilla Ranskan terveystietokeskuksen kautta. Hankkeen tavoitteena on parantaa tämän teknologian kykyä tunnistaa paremmin mahdolliset ihosyövän merkit ja rajata kirurginen toimenpidealue paremmin.

Datan välityspalvelut

Mitkä ovat tärkeimmät tavoitteet?

Monet yritykset pelkäävät tällä hetkellä, että niiden tietojen jakaminen merkitsisi kilpailuedun menettämistä ja merkitsisi väärinkäytön riskiä. DGA määrittelee datan välityspalvelujen tarjoajille (ns. datan välittäjät, kuten datamarkkinapaikat) säännöt, joilla varmistetaan, että ne toimivat luotettavina datan jakamisen tai yhdistämisen järjestäjinä yhteisissä eurooppalaisissa data-avaruuksissa. Jotta voidaan lisätä luottamusta datan jakamiseen, tässä uudessa lähestymistavassa ehdotetaan mallia, joka perustuu datan välittäjien puolueettomuuteen ja avoimuuteen ja antaa yksityishenkilöille ja yrityksille mahdollisuuden hallita tietojaan.

Miten se toimii käytännössä?

Kehys tarjoaa vaihtoehtoisen mallin Big Tech -alustojen datankäsittelykäytännöille, joilla on suuri markkinavoima, koska ne hallitsevat suuria määriä dataa.

Käytännössä datan välittäjät toimivat neutraaleina kolmansina osapuolina, jotka yhdistävät yksityishenkilöt ja yritykset datan käyttäjiin. Vaikka ne voivat veloittaa osapuolten välisen datan jakamisen helpottamisesta,he eivät voi suoraan käyttää välittämiään tietoja taloudelliseen voittoon (esimerkiksi myymällä ne toiselle yritykselle tai käyttämällä sitä kehittämään omaa tuotettaan näiden tietojen perusteella). Datan välittäjien on noudatettava tiukkoja vaatimuksia tämän puolueettomuuden varmistamiseksi ja eturistiriitojen välttämiseksi. Käytännössä tämä tarkoittaa sitä, että datan välityspalvelu on erotettava rakenteellisesti muista tarjottavista palveluista (eli ne on erotettava oikeudellisesti toisistaan). Välityspalvelujen tarjoamista koskevat kaupalliset ehdot (mukaan lukien hinnoittelu) eivät myöskään saisi olla riippuvaisia siitä, käyttääkö mahdollinen datan haltija tai datan käyttäjä muita palveluja. Kerättyä dataa ja metadataa voidaan käyttää ainoastaan datan välityspalvelun parantamiseen.

Sekä itsenäiset organisaatiot, jotka tarjoavat ainoastaan datan välityspalveluja, että yritykset, jotka tarjoavat datan välityspalveluja muiden palvelujen lisäksi, voisivat toimia luotettavina välittäjinä. Jälkimmäisessä tapauksessa datan välitystoiminta on erotettava tiukasti muista datapalveluista sekä oikeudellisesti että taloudellisesti.

DGA:n mukaan datan välittäjien on ilmoitettava toimivaltaiselle viranomaiselle aikomuksestaan tarjota tällaisia palveluja. Toimivaltainen viranomainen varmistaa, että ilmoitusmenettely on syrjimätön eikä vääristä kilpailua, ja vahvistaa, että datan välityspalvelujen tarjoaja on toimittanut ilmoituksen, joka sisältää kaikki vaaditut tiedot.

Tällaisen vahvistuksen saatuaan datan välittäjä voi laillisesti aloittaa toimintansa ja käyttää kirjallisessa ja suullisessa viestinnässään merkintää ”unionissa tunnustettu datan välityspalvelujen tarjoaja” sekä yhteistä tunnusta. Kyseiset viranomaiset valvovat myös datan välitystä koskevien vaatimusten noudattamista, ja komissio pitää keskusrekisteriä tunnustetuista datan välittäjistä.

Esimerkkejä

Deutsche Telekom tarjoaa Data Intelligence Hubin avulla datamarkkinapaikan, jossa yritykset voivat turvallisesti hallita, tarjota ja rahallistaa laadukasta tietoa, esimerkiksi tuotantodataa, optimoidakseen prosesseja tai kokonaisia arvoketjuja. Telekom ottaa roolin neutraalina toimitsijamiehenä ja takaa datasuvereniteetin hajautetun tiedonhallinnan kautta. Tällä hetkellä alustalla on yli 1000 käyttäjää yli sadasta eri yrityksestä.

Dawex on ranskalainen yritys, joka kuvailee itseään maailmanlaajuiseksi datamarkkinapaikaksi.  Dawex ei osta tai myy dataa vaan kokoaa yhteen yrityksiä, jotka ovat kiinnostuneita datan rahaksi muuttamisesta ja uudelleenkäytöstä, ja edistää avoimuutta datan toimittajien ja käyttäjien välillä varmistamalla, että ne viestivät ja toteuttavat liiketoimen suoraan alustallaan. Dawex kehitti joukon työkaluja, joiden avulla sekä tietojen toimittajat että käyttäjät voivat ymmärtää, arvioida ja viestiä tiedoista. Visualisointityökalut (esim. lämpökartat, puukartat) antavat datan käyttäjille erilaisia tietoja täydellisestä tietoaineistosta, joka voidaan jakaa turvallisesti ennen tapahtuman suorittamista. Näytteenottotyökalut tuottavat automaattisesti algoritmeihin perustuvia edustavia datanäytteitä vääristymien välttämiseksi. Datan käyttäjät ja tietojen toimittajat kommunikoivat alustaan upotetun viestityökalun avulla. Lisäksi Dawex tukee sopimusneuvotteluja malliehdoin, jotka voidaan luoda automaattisesti.

API-AGRO on maatalouden tiedonjakokeskus, joka käyttää Dawex-teknologiaa. Tämä teknologia edistää maatalouden ekosysteemiä, johon osallistuu lukuisia toimijoita, ja neutraalia välittäjää (Api-Agro-alusta), jossa välitystehtävä ja muut datan käyttöön liittyvät toiminnot erotetaan selkeästi toisistaan. API-Agro ei tee dataa rahaksi, vaan toimii puolueettomana kolmantena osapuolena, joka yhdistää datan haltijoita ja datan käyttäjiä.

Data-altruismi

Mitkä ovat tärkeimmät tavoitteet?

Data-altruismi tarkoittaa sitä, että yksilöt ja yritykset antavat suostumuksensa tai luvan asettaa saataville tuottamansa datan – vapaaehtoisesti ja ilman palkkiota – käytettäväksi yleisen edun nimissä. Tällaisella tiedolla on valtavat mahdollisuudet edistää tutkimusta ja kehittää parempia tuotteita ja palveluja, myös terveyden, ympäristön ja liikkuvuuden aloilla.

Tutkimus osoittaa, että vaikka data-altruismi on periaatteessa halukas, sitä haittaa käytännössä tiedonjakovälineiden puute. Datahallintosäädöksen tavoitteena on luoda luotettavia välineitä, joiden avulla dataa voidaan jakaa helposti yhteiskunnan hyödyksi. Se luo oikeat olosuhteet, joissa yksityishenkilöt ja yritykset voivat varmistaa, että kun he jakavat tietojaan, niitä käsittelevät luotettavat organisaatiot EU:n arvojen ja periaatteiden pohjalta. Tämä mahdollistaa riittävän kokoisten tietovarantojen luomisen data-analytiikan ja koneoppimisen mahdollistamiseksi myös rajojen yli.

Miten se toimii käytännössä?

Yhteisöt, jotka asettavat saataville data-altruismiin perustuvaa asiaankuuluvaa dataa, voivat rekisteröityä ”unionissa hyväksytyiksi data-altruismipohjaisiksi organisaatioiksi”. Näillä yksiköillä on oltava voittoa tavoittelematon luonne, niiden on täytettävä avoimuusvaatimukset sekä tarjottava erityisiä suojatoimia tietojaan jakavien kansalaisten ja yritysten oikeuksien ja etujen suojaamiseksi. Lisäksi niiden on noudatettava sääntökirjaa (viimeistään 18 kuukauden kuluttua sen voimaantulosta), jossa vahvistetaan tietovaatimukset, tekniset ja turvallisuusvaatimukset, viestintäsuunnitelmat ja suositukset yhteentoimivuusstandardeista. Komissio laatii sääntökirjan tiiviissä yhteistyössä data-altruismipohjaisten organisaatioiden ja muiden asiaankuuluvien sidosryhmien kanssa.

Yhteisöt voivat käyttää tähän tarkoitukseen suunniteltua yhteistä logoa, ja ne voivat halutessaan kuulua julkiseen data-altruismipohjaisten organisaatioiden rekisteriin. Komissio perustaa EU:n tason rekisterin tunnustetuista data-altruismipohjaisista organisaatioista tiedotustarkoituksia varten.  

Data-altruismia koskeva yhteinen eurooppalainen suostumuslomake mahdollistaa tietojen keräämisen kaikissa jäsenvaltioissa yhtenäisessä muodossa. Näin varmistetaan, että tietojaan jakavat tahot voivat helposti antaa suostumuksensa ja peruuttaa suostumuksensa. Se myös antaa oikeusvarmuutta tutkijoille ja yrityksille, jotka haluavat käyttää altruismiin perustuvaa dataa. Tämä on modulaarinen muoto, joka voidaan räätälöidä tiettyjen alojen ja käyttötarkoitusten tarpeisiin.

Esimerkkejä

MyData Globalin tavoitteena on ”tehostaa yksilöitä parantamalla heidän oikeuttaan itsemääräämisoikeuteen henkilötietojensa suhteen.” Vaikka yleinen tavoite ulottuu data-altruismia pidemmälle, organisaatio tarjoaa jäsenille luotettavan käyttöliittymän, jonka avulla he voivat antaa suostumuksensa henkilötietojensa käyttöön tiettyihin tarkoituksiin.

Smart Citizen -alustan avulla kansalaiset voivat jakaa antureiden avulla kerättyjä tietoja kodin melutasoista ja saasteista. Tämä tarjoaa olennaista tietoa melun ja ilmanlaadun kartoittamiseksi sekä tutkijoille ja hallituksille, jotta ne voivat kehittää kohdennettuja ratkaisuja näihin kysymyksiin.

Saksalainen Corona-Datenspende-App perustettiin keräämään tietoja (esim. syke, kehon lämpötila, verenpaine, nukkumismallit) kuntorannekkeista ja älykelloista. Näitä tietoja seuraamalla tutkijat pystyivät tunnistamaan varhaisessa vaiheessa mahdollisia covid-19:n hotspot-alueita.

Euroopan datainnovaatiolautakunta

Mitkä ovat tärkeimmät tavoitteet?

Kuten DGA:ssa säädetään, komissio perusti Euroopan datainnovaatiolautakunnan (EDIB) helpottamaan parhaiden käytäntöjen jakamista, erityisesti datan välitystä, data-altruismia ja sellaisen julkisen datan käyttöä, jota ei voida asettaa saataville avoimena datana, sekä monialaisten yhteentoimivuusstandardien priorisointia.

Miten se toimii käytännössä?

EDIBiin kuuluu seuraavien tahojen edustajia:

• Datan välittämisestä vastaavat jäsenvaltioiden toimivaltaiset viranomaiset
• Data-altruismia koskevat jäsenvaltioiden toimivaltaiset viranomaiset
• Euroopan tietosuojaneuvosto
• Euroopan tietosuojavaltuutettu
• Euroopan unionin kyberturvallisuusvirasto (ENISA)
• Euroopan komissio
• pk-yritysedustajien verkoston nimittämä EU:n pk-yritysedustaja/edustaja
• muut asianomaisten elinten edustajat, jotka komissio on valinnut asiantuntijapyynnöllä.

Luettelo EDIBin jäsenistä on saatavilla osoitteessa:  Komission asiantuntijaryhmien ja muiden vastaavien yksiköiden rekisteri (europa.eu)

Edibillä on valtuudet ehdottaa suuntaviivoja yhteisille eurooppalaisille data-avaruuksille, esimerkiksi unionin ulkopuolelle tapahtuvien tiedonsiirtojen riittävästä suojasta.

Kansainväliset tietovirrat

Mitkä ovat tärkeimmät tavoitteet?

Helmikuussa 2020 hyväksytyssä Euroopan datastrategiassa todettiin, että on tärkeää noudattaa avointa mutta määrätietoista lähestymistapaa kansainvälisiin tietovirtoihin.

Kansainvälisillä tiedonsiirroilla voidaan hyödyntää EU:ssa tuotetun valtavan datamäärän merkittävää sosioekonomista potentiaalia, mikä lisää unionin kansainvälistä kilpailukykyä maailmanlaajuisella areenalla ja edistää talouskasvua, joka on ratkaisevan tärkeää erityisesti covid-19-pandemian jälkeisellä elpymisen aikakaudella.

Vaikka DGA:lla on keskeinen rooli Euroopan unionin avoimen strategisen riippumattomuuden vahvistamisessa, se edistää myös luottamusta kansainvälisiin tietovirtoihin.

Miten se toimii käytännössä?

Vaikka yleisellä tietosuoja-asetuksella on otettu käyttöön kaikki tarvittavat suojatoimet henkilötietojen osalta, on DGA:n ansiosta käytössä samanlaiset suojatoimet kolmansien maiden muiden kuin henkilötietojen osalta esittämien tiedonsaantipyyntöjen osalta.

Nämä suojatoimet koskevat kaikkia DGA:n vahvistamia skenaarioita ja säännöksiä eli julkisen sektorin dataa, datan välityspalveluja ja data-altruismikonstellaatioita. Kolmannen maan uudelleenkäyttäjän on varmistettava sama tietosuojan taso kyseisille tiedoille kuin EU:n lainsäädännössä varmistettu tietosuojan taso sekä hyväksyttävä asianomainen EU:n lainkäyttöalue.  

Komissio voi tarvittaessa tehdä tietosuojan riittävyyttä koskevia lisäpäätöksiä julkisesti suojattujen tietojen siirtämiseksi uudelleenkäyttöä varten, kun on kyse kolmannesta maasta peräisin oleviin muihin kuin henkilötietoihin pääsyä koskevasta pyynnöstä. Tietosuojan riittävyyttä koskevat päätökset vastaavat tietosuojan tason riittävyyttä koskevia päätöksiä, jotka liittyvät yleisen tietosuoja-asetuksen mukaiseen henkilötietojen siirtoon.

Lisäksi DGA valtuuttaa komission asettamaan mallisopimuslausekkeet julkisen sektorin elinten ja uudelleenkäyttäjien saataville tilanteissa, joissa julkisen sektorin data osallistuu datan siirtoon kolmansien maiden kanssa.