Suuri datareviirijako

Data on yhtä aikaa erottamaton osa ihmisyyttä, digitalisoituvan yhteiskunnan polttoaine, vaihdon väline ja julkishallinnon mahdollistaja. Suomen pelialan kattojärjestö Neogamesin politiikka-analyytikko Jari-Pekka Kaleva analysoi datahallinnon reviirikiistoja.

Data pyörittää ihmistä ja ihminen dataa. Siinä, missä asemakaavoitus loi puitteet teollisen vallankumouksen sykkeelle, datan sääntely, aina lakien valmistelusta, säätämisestä ja toimeenpanosta tuomioistuinratkaisuihin, määrittää digitaalisen vallankumouksen rytmin ja sen, millä säännöillä yhteiskunnan datapyörä pyörii.

Datan rajat ovat katsojan silmässä

Koska digitaalisen vallankumouksen kokonaisvisio on vielä kirjoittamatta, kuluneen 25 vuoden aikana dataan liittyvää sääntelyä on kehitetty kunkin julkishallinnon lohkon sisällä yhtenäisen kokonaisuuden sijaan. Esimerkiksi elinkeinopolitiikan, tieto- ja yksityisyyden suojan, kuluttajansuojan ja veropolitiikan siiloissa on rakennettu datapoliittisia linjauksia, joista kukin on kehittymässä omaan, osin muiden kanssa ristiriitaiseen suuntaansa.

Tieto- ja yksityisyydensuojan näkökulmasta henkilödata on yhtä erottamaton osa henkilön ihmisyyttä kuin hänen sydämensä. Ja ei ole sopimusta, jossa rinnassa verta sykkivä sydän voisi olla kaupan. Kuluttajasuojan näkökulmasta henkilödata on sen sijaan digitaalisen aikakauden valuutta. Yhä suurempi osa digitaalisista palveluista maksetaan datalla. Tästä näkökulmasta et maksa ilmaisesta palvelusta katsomalla mainoksen vaan antamalla mainostunnisteesi mainostajalle.

Elinkeinopolitiikka katsoo datavirtoja digitaalisen aikakauden polttoaineena siinä, missä teollisen vallankumouksen sykkeessä samaa roolia näyttelivät rautatiet. Data on avain sekä työn tuottavuuden ja tehokkuuden parantumiselle että uusien teollisuusalojen syntymiselle.

Veropolitiikan näkökulmasta henkilödata puolestaan on ainakin uuden verojärjestelmän peruskivi ja mahdollinen verotettava resurssi. Data antaa ennennäkemättömän vapauden verojärjestelmän kehittämiselle. Kysymys ei enää ole siitä, mikä on hallinnollisesti mahdollista vaan siitä millaisen järjestelmän haluamme toteuttaa. Tällä hetkellä suunta on sekä arvonlisäverotuksessa että yritysverotuksessa kohti yksilön sijaintidataan perustuvia malleja.

Lisäksi dataa käsitellään monella muulla politiikan lohkolla. Esimerkiksi terveysdatan käyttöä pohditaan sosiaali- ja terveyspolitiikan parissa, julkishallinnon data kuulu sähköisten viranomaispalveluiden tontille ja dataan liittyvistä pakkokeinoista kiistellään turvallisuuspolitiikan saralla.

Data on siis yhtä aikaa erottamaton osa ihmisyyttä, digitalisoituvan yhteiskunnan polttoaine, vaihdon väline ja julkishallinnon mahdollistaja. Edellä kuvatuista lähtökohdista ei ole yllättävää, että kitka eri politiikkalohkojen datakäsitysten välillä on kasvanut vuosi vuodelta.

Datahallinnon reviirikiistat

Datasääntelyn keskeisimpiä jakolinjoja on jako anonyymiin dataan ja henkilödataan. Henkilödata tarkoittaa kaikkia yksittäiseen henkilöön liittyviä tietoja, joiden perusteella hänet on mahdollista tunnistaa. Anonyymi data tarkoittaa dataa, joka ei liity tunnistettavissa olevaan henkilöön, tai henkilötietoja, joiden tunnistettavuus on poistettu siten, ettei yksittäisten henkilöiden tunnistaminen ole enää mahdollista.

Yksi keskeisimmistä datapolitiikan rajanvedoista luotiin Euroopan unionin perusoikeusasiakirjaa säädettäessä, jolloin henkilötietojen suoja nostettiin perusoikeuden asemaan. Tämä rajasi anonyymin datan elinkeinopoliittisten toimien keskiöön ja ankkuroi tieto- ja yksityisyydensuojan piirin henkilödataan.

Kuluttajansuoja on jäänyt tässä jaottelussa elinkeino- ja tietosuojaintohimojen ristivetoon. Kuluttajansuojan näkökulmasta data on vaihdon väline. Kuluttajalle on tehtävä mahdollisimman läpinäkyväksi kenelle hän datansa antaa ja hänellä on oltava oikeus saada datansa takaisin, jos hän on palveluntarjoajan toimintaan tyytymätön. Kuitenkin jotta yksittäisestä kuluttajasta kerätty anonyymi data voitaisiin palauttaa hänelle tai hänelle voitaisiin näyttää mihin kaikkeen juuri hänestä kerättyä anonyymia dataa on käytetty, data pitäisi kytkeä kyseiseen yksilöön, jolloin data ei enää olisi anonyymiä. Tämä tekisi paljon nykyistä suuremmasta datamassasta henkilödataa ja olisi siten täysin vastoin tietosuojapoliitiikan keskeisintä datan mahdollisimman pitkälle menevää anonymisointia korostavaa tavoitetta.

Tällä hetkellä näyttäisi, että kuluttajansuojan ja tietosuojan välillä käyty kädenvääntö digitaalisten palveluiden sopimusehdoista on taipumassa tietosuojan voitoksi ja kuluttajan data-aineistojen anonymisointi olisi jatkossakin mahdollista. Kaikella todennäköisyydellä datavääntö kuluttajansuojan piirissä kuitenkin jatkuu. Epäilemättä esimerkiksi esineiden internetin osalta tullaan käymään keskusteluja siitä, missä määrin kuluttajalla on oikeus päästä käsiksi kotinsa raakasensoridataan ja kuinka paljon yrityksillä on oikeus rajoittaa pääsyä siihen.

Vastaavan ongelman kanssa painii myös verottaja. Toisaalta data mahdollistaa verojärjestelmän ennennäkemättömän kehityksen, mutta mitä enemmän dataa kerätään, sitä enemmän kaivetaan maata tietosuojan jalkojen alta. Niin arvonlisäverolainsäädäntöä kuin yritysverotusta ollaan kehittämässä suuntaan, jossa kuluttajan tai työntekijän sijainnilla on entistä enemmän merkitystä verotuksen kohdentumiselle eri maihin. Tämä taas edellyttää esimerkiksi arvonlisäverotuksen piirissä yksittäisten maksutapahtumien sijainnin kirjaamista kirjanpitojärjestelmään. Verottaja tekeekin tiukkaa tietosuojarajanvetoa pohtiessaan pitääkö tieto kuluttajan sijainnista olla kirjanpitojärjestelmässä GPS-koordinaatin vai maan tarkkuudella.

Omaan kategoriaansa menee arkaluonteisten henkilötietojen käsittely kansallisten turvallisuusviranomaisten toimesta. Kun päättäjät pyrkivät samanaikaisesti sekä kiristämään tieto- ja yksityisyydensuojanvaatimuksia että antamaan tiedusteluviranomaisille mahdollisimman laajat valtuudet käyttää yritysten dataa yksilöiden seuraamiseen, näyttäytyy toiminta datapohjaisten järjestelmien ylläpitäjän näkökulmasta lähinnä skitsofreeniseltä.

Sektorien välisen köydenvedon rinnalla on kulkenut vääntö datasääntelyn perusluonteesta. Tulisiko lainsäädännössä yksityiskohtaisesti määritellä, mitkä yksittäiset datatekniset ratkaisut ovat sallittuja ja mitkä eivät vai pitäisikö sääntelyn keskittyä datan käsittelyssä noudatettavien periaatteiden määrittelyyn ja jättää periaatteiden soveltaminen rekisterinpitäjän vastuulle?

Teknologian nopeasta kehityksestä johtuen datasääntelyn fokus on asettumassa periaatteiden sääntelyn puolelle, mistä EU:n uusi tietosuoja-asetus on hyvä esimerkki. Periaatteiden määrittelyn vahvuus on siinä, että se tekee säätelystä teknologianeutraalia ja paremmin aikaa kestävää. Tämä ei kuitenkaan poista tarvetta selkeille viranomaisohjeistuksille lainsäädännön tulkinnasta.

Mikä ratkaisuksi, kun yhteiskunnallinen kokonaisvisio datasta siis puuttuu ja sektorikohtaiset näkemykset datan luonteesta ovat enemmän tai vähemmän ristiriidassa keskenään ja kun samaan aikaan lakikirjasta löytyy enemmän periaatteita kuin selkeitä vastauksia datan käsittelyyn? Viime kädessä ratkaisujen löytämiseksi toimivan ja koherentin sääntely-ympäristön rakentamiseksi on jäänyt viranomaisten käsiin. Tästä luonnollisena seurauksena toimeenpanovallan rooli datasääntelyssä on noussut vuosi vuodelta merkittävämmäksi suhteessa lainsäädäntö- ja tuomiovaltaan, vaikka lopulliset tulkintalinjat haetaankin yhä tuomioistuimista.

Datasääntely on toimeenpanovallan vallankumous

Mitä laaja-alaisemmaksi datan yhteiskunnallisen rooli kasvaa, sitä keskeisempi edellytys datasääntelyn yhdenmukaisista tulkinnoista on tullut Euroopan unionin sisämarkkinoiden toiminnalle.  Tämä on siirtänyt myös datasääntelystä käytävän viranomaiskeskustelun ytimen unionin piirissä toimiviin viranomaisyhteistyörakenteisiin.

Mitä monitulkintaisempaa lainsäädännöstä tulee, sitä suurempi riski on sille, että sisämarkkina-alue pirstoutuu nopeasti 28 keskenään kilpailevaksi tulkinnaksi samasta pykälästä. Tämän seurauksena unioni on jo vuosia pyrkinyt luomaan viranomaistulkintoja koordinoivia rakenteita.. Vero- ja tietosuojaviranomaisten osalta yhteistyö on jo vakiintunutta ja pitkälle menevää, mutta pitkään kuluttajaviranomaisten yhteistyö oli muihin viranomaistahoihin verrattuna vähäistä. Nyt Euroopan parlamentti ja neuvosto ovat ottamassa senkin piirissä merkittäviä askelia eteenpäin yhteistyön tiivistämisessä.

Eri alojen toimielimet näyttelevät keskeistä roolia omien alojensa datatulkintojen määrittäjinä ja muokkaajina, mutta toimivat  lähinnä kunkin politiikkalohkon sisällä. Datan säätely on kuitenkin poikkisektoraalinen kysymys ja toistaiseksi virallisia rakenteita eri politiikkalohkojen tulkintaerojen yhteensovittamiselle ei ole. Euroopan sisämarkkina-alueen yhtenäisyydelle eri viranomaistahojen keskenään ristiriitaiset tulkinnat ovat kuitenkin aivan yhtä suuri uhka kuin tulkintojen pirstoutuminen eri jäsenvaltioiden välillä.

Juuri poikkisektoraalisen yhteistyön vahvistaminen nousseekin merkittäväksi datasääntelyn haasteeksi. Merkittävä rakenteellinen este sille, on se, että datan hyödyntämiselle ei ole katsottu tarpeelliseksi luoda omaa formaalia viranomaisyhteistyöelintä. Tietosuojavaltuutetun toimistolla ei siis ole elinkeinopolitiikan puolella luontevaa yhteistyötahoa, jonka kanssa voisi sovittaa yhteen  tietosuoja-, kuluttajansuoja- ja tai veroviranomaisten datasääntelyn näkökulmia

Datan hyödyntämiseen liittyvien toimijoiden poissaolo datasääntelyä koordinoivasta eurooppalaisesta viranomaiskeskustelusta on valitettavaa siksi, että samalla kaari lainsäädännön valmistelun tavoitteista lainsäädännön toimeenpanoon katkeaa. Valmistelun tasolla Viestintäverkkojen, sisältöjen ja teknologian pääosasto, DG CNECT, on tällä hetkellä keskeisin digitaalisen tulevaisuuden suuntaa määrittävä visionääri. Sen vastapainona toimii kansalaisten perusoikeuksista huolta kantava Oikeus ja kuluttaja-asioiden pääosasto DG Justice. Niin kuluttajansuoja kuin tietosuojaviranomaiset toimivat DG Justicen piirissä, joten kaari lainsäädännön valmistelusta, lainsäädäntöön ja lainsäädännön toimeenpanoon toimii sen osalta hyvin. DG CNECT:n tavoitteet sen sijaan jäävät lainsäädäntötasolle ja sen näkökulmat helposti unohtuvat lainsäädännön soveltamisessa.

Näin ollen DG CNECTin piiriin tarvitaan vahva elinkeinopoliitiikasta vastaavien kansallisten viranomaisten yhteistyöelin, joka pitää esillä datan merkitystä yhteiskunnallisen kehityksen polttoaineena. Ilman sitä on olemassa merkittävä riski siitä, että tulkintojen koordinointiin jää alun alkaenkin valuvika. Datasääntely on yhteiskunnallisena kysymyksenä paljon enemmän kuin pelkkä kapea valvontaviranomaiskysymys.

Jari-Pekka Kaleva työskentelee Suomen pelialan kattojärjestössä Neogamesissa politiikka-analyytikkona ja koordinoi Euroopan pelinkehittäjien kattojärjestön EGDF:n COO:na alan edunvalvontaa Brysselissä.