Datanhallinta-asetus (Data Governance Act, DGA) on tullut voimaan 23.6.2022 ja sitä on sovellettu 24.9.2023 alkaen. Datanhallinta-asetus on keskeinen toimi yhteisen hallintamallin luomisessa datan saatavuudelle ja käytölle EU:ssa. Asetuksessa säädetään datan jakamiseen ja hyödyntämiseen liittyvistä menettelyistä, mutta se ei velvoita asettamaan dataa saataville uudelleenkäyttöä varten.
Asetuksen II lukua sovelletaan julkisen sektorin hallussa olevien avoimen datan direktiivin soveltamisalan ulkopuolelle rajautuviin tiettyihin suojatun datan luokkiin, kun tällaista dataa asetetaan saataville uudelleenkäyttöön unionissa. Tällä tarkoitetaan dataa, joka on suojattu kaupallisen luottamuksellisuuden, tilastollisen luottamuksellisuuden, kolmansien osapuolten teollis- ja tekijänoikeuksien suojan tai henkilötietojen suojan (pois lukien avoimen datan direktiivin soveltamisalaan kuuluvat henkilötiedot) perusteella.
Tarkoituksena on hyödyntää julkisen sektorin hallussa olevan suojatun datan tarjoama potentiaali määrittelemällä, miten suojattua dataa voidaan hyödyntää loukkaamatta esimerkiksi tietosuojaa tai liikesalaisuuksia.
Datanhallinta-asetuksen II lukua sovelletaan lähes kaikkiin julkisen sektorin elimiin, pois lukien julkiset yritykset. Lisäksi datanhallinta-asetuksessa säädetään datan välityspalvelujen tarjoamiseen liittyvistä vaatimuksista sekä niiden ilmoitus- ja valvontapuitteista (III luku) sekä datan vapaaehtoisesta jakamisesta vastikkeetta yleisen edun mukaisiin tarkoituksiin (ns. data-altruismi, IV luku).
Datanhallinta-asetus perustuu sille ajatukselle, etteivät viranomaiset muuten luovuttaisi sen soveltamisalassa olevia tietoja, ellei tietoja olisi erikseen säädetty saataville asetettavaksi. Suomessa kuitenkin julkisuusperiaate on yksi julkisen hallinnon perusperiaatteista. Esimerkiksi osa viranomaisen hallussa olevista henkilötiedoista on julkisia ja liikesalaisuuksien salassapito voi riippua vahinkoedellytyslausekkeen täyttymisestä. Lisäksi asiakirjan julkisuus sisältää lähtökohtaisesti myös oikeuden käyttää asiakirjassa olevia tietoja, jollei muualta laista muuta johdu (kuten henkilötietojen suojaa tai tekijänoikeutta koskevista säännöksistä). Tästä syystä datanhallinta-asetuksen suojatun datan uudelleenkäyttöä koskeva sääntely ei Suomessa tuonut niin suurta muutosta kuin muualla Euroopassa.
Datanhallinta-asetus ei velvoita kuntia asettamaan dataa saataville. Oikeus tai velvollisuus datan saataville asettamiseen saataville voi tulla esimerkiksi muusta EU-säädöksestä tai kansallisesta laista. Kun kunta päättää asettaa dataa saataville tai siihen velvoitetaan muun sääntelyn nojalla, tulee kunnan tunnistaa, onko se asettanut saataville uudelleenkäyttöä varten dataa, joka kuuluu datanhallinta-asetuksen mukaisiin suojatun datan luokkiin. Datanhallinta-asetus soveltuu silloin, kun sen soveltamisalassa olevia tietoja on asetettu saataville. Kun näiden saataville asetettujen tietojen uudelleenkäyttöä pyydetään, on pyyntö käsiteltävä ja uudelleenkäyttö toteutettava datanhallinta-asetuksen mukaisesti. Datanhallinta-asetus ei kuitenkaan rajoita sitä, että näitä samoja tietoja voi kuitenkin edelleen pyytää ja luovuttaa julkisuuslain nojalla. Tällöin sovellettaisiin edelleen julkisuuslain mukaisia menettelyitä.
Datanhallinta-asetuksen soveltamisalan tilanteissa kunnan tulee:
Kunta voi myös
Jos data on suojattu kaupallisen luottamuksellisuuden, tilastollisen luottamuksellisuuden, kolmansien osapuolten teollis- ja tekijänoikeuksien suojan tai henkilötietojen suojan (pl. avoimen datan direktiivin soveltamisalaan kuuluvat henkilötiedot) perusteella, sovelletaan datanhallinta-asetusta. Kun kunnassa asetetaan suojattua dataa saataville uudelleenkäyttöä varten, kunnalla on edelleen velvoite huomioida esimerkiksi dataan sisältyvät liikesalaisuudet, aineistoon liittyvät teollis- ja tekijänoikeudet sekä henkilötietojen suoja – uusi sääntely ei siis vapauta kuntia näistä velvoitteista.
Tietojen saataville asettaminen voi perustua erityissääntelyyn. Datanhallinta-asetuksen alaisten tietojen saataville asettaminen ei kuitenkaan aina välttämättä edellytä erityissääntelyä. Tällainen tilanne voisi tulla eteen esimerkiksi silloin, jos kunta sopimusjärjestelyn perusteella antaa käyttöoikeuden kolmansien osapuolten teollis- ja tekijäoikeuksilla suojattuun aineistoon. Kunnan edellytetään soveltavan tekijänoikeuslakia suoraan ja toteuttavan riskiarvioinnin perusteella asianmukaiset toimenpiteet tietojärjestelmissään. Tähän myös datanhallinta-asetus osaltaan velvoittaa.
Datanhallinta-asetuksessa datan uudelleenkäytöllä tarkoitetaan julkisen sektorin hallussa olevan datan käyttöä kaupallisiin tai muihin kuin kaupallisiin alkuperäisestä julkisesta tehtävästä poikkeavaan tarkoitukseen. Julkisen sektorin elinten välinen tiedonvaihto julkisten tehtävien hoitamiseksi ei kuitenkaan kuulu asetuksen soveltamisalaan. Kuntien näkökulmasta asetus jättää tulkinnanvaraa esimerkiksi siinä, miten suojatun datan uudelleenkäyttöä koskevaa sääntelyä sovelletaan kuntien ja kuntien omistamien yritysten väliseen tietojen vaihtoon. Jos tiedonvaihtoon liittyy kunnan lakisääteisen tehtävän hoitaminen, ei sitä silloin välttämättä lueta datanhallinta-asetuksen alaiseksi tiedonvaihdoksi, vaan tällainen tiedonvaihto mahdollisesti rajautuisi asetuksen soveltamisalan ulkopuolelle.
Yksinoikeusjärjestelyt on asetuksessa kielletty eli kunta ei voi päättää jakaa suojattua dataa yksinoikeudella esimerkiksi yrityksen kaupallisia tarkoituksia varten maksua vastaan. Ennen 23.6.2022 tehdyt yksinoikeussopimukset on irtisanottava viimeistään 24.12.2024. Yksinoikeusjärjestelyjen kielto kattaa sellaiset sopimukset ja muut menettelyt, jotka rajoittavat muiden mahdollisuuksia saada dataa uudelleenkäytettäväksi ja antavat toiselle taholle kaupallisen etulyöntiaseman. Esimerkiksi yhteiskehittämishankkeissa, eli tilanteissa, joissa kunta jakaa dataa esimerkiksi tietylle tutkimuslaitokselle tai yritykselle hankkeen toteuttamiseksi, ei lähtökohtaisesti ole kyse asetuksessa tarkoitetuista kielletyistä yksinoikeusjärjestelyistä.
Jos kunnalla on suojattua dataa, jota se päättää asettaa saataville, on kunnan asetettava uudelleenkäytön ehdot ja pääsymenettely julkisesti saataville Digi- ja väestötietoviraston (DVV) hallinnoiman keskitetyn tietopisteen kautta. Ehtojen on oltava syrjimättömiä, avoimia, oikeasuhtaisia ja objektiivisesti perusteltuja. Datan suojattu luonne tulee säilyttää esimerkiksi anonymisoinnin tai turvatun käsittely-ympäristön avulla. Jos kunnalle tulee datan uudelleenkäyttöpyyntö, on siihen datanhallinta-asetuksen mukaan vastattava kahden kuukauden kuluessa. Jos kunta ei pysty antamaan lupaa uudelleenkäyttöön (vaatii esimerkiksi suostumusta), tulee kunnan avustaa uudelleenkäytön pyytäjää suostumuksen hankinnassa.
”Silloin kun datan uudelleenkäyttöä ei voida sallia anonymisoinnin, kaupallisesti luottamuksellisten tietojen, liikesalaisuuksien tai teollis- ja tekijänoikeuksilla suojatun sisällön poistamisen tai suojatun käsittely-ympäristön kautta, uudelleenkäyttö on mahdollista suostumusperusteisesti. Julkisen sektorin elimen on parhaansa mukaan ja unionin oikeuden ja kansallisen lainsäädännön mukaisesti annettava apua suostumuksen hakemisessa rekisteröidyiltä tai luvan hakemisessa datan haltijoilta, joiden oikeuksiin ja etuihin uudelleenkäyttö voi vaikuttaa. Tämä avustusvelvollisuus on kuitenkin vain silloin, kun se on mahdollista ilman julkisen sektorin elimelle aiheutuvaa kohtuutonta rasitusta. Yhteystietoja, jotka mahdollistaisivat uudelleenkäyttäjien suoran yhteydenoton rekisteröityihin tai datan haltijoihin, ei saisi antaa. Suostumusta tai lupaa koskevaa pyyntöä välittäessään julkisen sektorin elimen olisi varmistettava, että rekisteröidylle tai datan haltijalle tiedotetaan selkeästi mahdollisuudesta kieltäytyä suostumuksen tai luvan antamisesta.”
Hinnoittelua datan jakamisesta ei voi tehdä kaupallisin perustein, mutta datan asettamisesta uudelleenkäyttöön on mahdollista pyytää kohtuullinen maksu kustannusten kattamiseksi, joita esimerkiksi anonymisoinnista tai suostumustenhallinnasta voi aiheutua. Hinnoittelussa on huomioitava, että hinta ei voi ylittää omakustannushintaa.
Datanhallinta-asetuksessa säädetään myös data-altruismipohjaisten organisaatioiden ja datan välityspalveluiden toiminnasta. Tavoitteena on lisätä luottamusta datan jakamiseen ja hyödyntämiseen.
Data-altruismilla tarkoitetaan henkilöiden tai organisaatioiden datan asettamista saataville vapaaehtoisesti ja vastikkeetta käytettäväksi yhteisen edun hyväksi, esimerkiksi julkisen sektorin palvelujen parantamiseen, julkisen päätöksenteon tarkoituksiin, ilmastonmuutoksen torjuntaan, liikkuvuuden parantamiseen, terveydenhuoltoon, virallisten tilastojen kehittämiseen tai yleisen edun mukaisiin tieteellisiin tutkimustarkoituksiin.
Traficom ylläpitää rekisteriä tunnistetuista data-altruismipohjaisista organisaatioista, jotka asettavat yleishyödylliseksi tarkoitettua dataa saataville. Rekisteri on julkisesti nähtävillä, kun sinne rekisteröidään ensimmäinen data-altruistinen organisaatio Suomesta.
EU pitää rekisteriä jäsenvaltioiden rekisteröidyistä data-altruistisista organisaatioista. Esimerkiksi Espanjassa kuntalaisten vapaaehtoisesti luovuttamaa tietoa sähkön käytöstä on käytetty mm. pyrkimyksiin ohjata sähkön käyttöä taloudellisemmaksi ja vastuullisemmaksi.
Datan välityspalvelut ovat neutraaleja kolmansia osapuolia, jotka mahdollistavat datan liikkumisen sovitusti eri toimijoiden ja sovellusten välillä. Datan välityspalvelujen tarkoitus on luoda kaupallisia suhteita datan jakamista varten. Kyse voi olla esimerkiksi datan markkinapaikasta, datanjakamisekosysteemin ylläpitäjästä tai rekisteröidyille suunnatuista palvelusta, jolla pyritään lisäämään henkilön mahdollisuuksia hallita omia henkilötietojaan. Datanvälityspalvelun tarjoajaksi ilmoittaudutaan Traficomille, joka välittää rekisteröityneistä tiedot Euroopan komissiolle. Komissio ylläpitää rekisteriä datanvälityspalveluista jäsenmaissa.
Ero data-altruististen organisaatioiden ja datanvälityspalveluiden välillä on muun muassa maksun pyytämisessä. Data-altruistiset organisaatiot luovuttavat dataa maksutta.
Pseudonymisoinnin ja anonyymien tietojen käsitteet on määritelty yleisessä tietosuoja-asetuksessa, pseudonymisointi artiklatekstissä ja anonyymit tiedot asetuksen johdanto-osan perusteluissa.
Pseudonymisoinnilla tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön käyttämättä lisätietoja. Tällaiset lisätiedot täytyy säilyttää huolellisesti erillään henkilötiedoista. Pseudonymisointi voidaan tehdä esimerkiksi koodaamalla tai peitenimillä. Pseudonymisoidut tiedot ovat yhä henkilötietoja sille taholle, joka pseudonymisoinnin on tehnyt, joten niiden käsittelyssä on noudatettava tietosuojalainsäädäntöä. Vastaanottavalle taholle pseudonymisoitu data ei välttämättä ole enää henkilötietoa, jos sillä ei esimerkiksi ole pääsyä lisätietoihin, joihin yhdistämällä voisi tunnistaa henkilön. Yleisen tietosuoja-asetuksen johdanto-osan kohdan 26 perustelukappaleen mukaan, jotta voidaan määrittään, onko henkilö tunnistettavissa, tulee huomioida kaikki keinot, joita saatettaisiin kohtuullisen todennäköisesti käyttää henkilön tunnistamiseen. Pseudonymisoidut tiedot eivät välttämättä ole kaikissa tilanteissa henkilötietoja, jos tiedot on suojattu niin, ettei niitä ole mahdollista yhdistää tiettyyn henkilöön. Se, pidetäänkö pseudonymisoituja tietoja edelleen henkilötietoina, vaatii tilannekohtaista arviointia.
Tiedot ovat anonyymejä, jos ne eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Anonymisoiduista tiedoista voidaan puhua, kun henkilötietojen tunnistettavuus on käsitelty siten, ettei henkilön tunnistaminen ole mahdollista. Tunnistautumisen täytyy estyä peruuttamattomasti. Tunnistamisen mahdollisuutta arvioitaessa on otettava huomioon kaikki kohtuudella toteutettavissa olevat keinot, joiden avulla tiedot voitaisiin muuttaa takaisin tunnisteellisiksi. On arvioitava tapauskohtaisesti, voidaanko jokin tieto katsoa anonyymiksi vai ei. Henkilö voi olla tunnistettavissa muistakin tiedoista kuin esimerkiksi nimestä. Pelkästään nimen ja muiden yksilöintitietojen poistaminen ei siis esimerkiksi tarkoita, että tiedot olisivat anonyymejä. Anonymisoituja tietoja ei katsota enää henkilötiedoiksi, jolloin tietosuoja-asetusta ei sovelleta.
Esimerkki kulkutunnistustietojen pseudonymisoinnista ja anonymisoinnista: Kunnalla on hallussa uimahallin kulkurannekkeiden tietoja.
Datan voi pseudonymisoida siten, että yksittäisten rannekkeen käyttäjien nimet ja yhteystiedot poistetaan datasta tai nimet muutetaan koodeiksi. Tiedot ovat edelleen eriteltävissä kunnassa yksilötasolle ja esimerkiksi tietojen, kuten sukupuoli, alennuskategoria ja rannekkeen aktivointipäivä, yhdistäminen voi silti riittää yksittäisen henkilön tunnistamiseen. Kyse on siis edelleen henkilötiedoista. Jos kunta luovuttaisi pseudonymisoituja tietoja toiselle organisaatiolle, on arvioitava, pystyykö tietojen vastaanottaja yhdistämään tiedot tunnistettaviin henkilöihin. Jos tunnistaminen ei ole mahdollista, pseudonymisoituja tietoja ei pidetä henkilötietoina tietojen vastaanottajan näkökulmasta.
Datan anonymisointi voitaisiin toteuttaa esimerkiksi muuttamalla data yleisluonteisemmaksi tai tilastolliseen muotoon, jolloin yksilöä on mahdotonta eritellä. Anonymisoidusta datasta voisi selvittää esimerkiksi, että eläkeläisalennuksella ranneketta käytetään eniten tiistai- ja torstaiaamuisin, ja miehet käyvät naisia useammin iltaisin uimahallilla. Yksittäisen rannekkeen käyttäjän käyntitietoja ei kuitenkaan pystyisi selvittämään, joten datan ei katsota enää sisältävän henkilötietoja.
EU:n digi- ja datasäädöksiä soveltaessa on tärkeä tunnistaa, käsitelläänkö henkilötietoja vai ei. Kun esimerkiksi dataa asetetaan saataville ja avattava data on sisältänyt henkilötietoja, mutta ne anonymisoidaan, noudatetaan avoimen datan direktiiviä. Jos data sisältää henkilötietoja, jotka pseudonymisoidaan, sovelletaan sen sijaan datanhallinta-asetusta. Myös datasäädöstä soveltaessa on keskeistä hahmottaa, sisältyykö esimerkiksi verkkoon liitettyjen tuotteiden ja niihin liittyvien palveluiden käytöstä tuotettuun dataan henkilötietoja.
Lisää tietoa anonymisoinnista ja pseudonymisoinnista
Euroopan komission perustama datainnovaatiolautakunta neuvoo ja avustaa komissiota datanhallinta-asetukseen liittyvissä asioissa ja helpottaa jäsenvaltioiden yhteistyötä asetukseen liittyen. Traficomin ja Digi- ja väestötietoviraston tehtäviin kuuluu asetuksen mukaisina toimivaltaisina viranomaisina datainnovaatiolautakunnan jäsenyys. Traficomin nettisivuilla datatalous ja digipalvelut on lisätietoa Traficomin työstä.
Liikenne- ja viestintäministeriö on kansallisesta toimeenpanosta vastaava viranomainen.
Liikenne- ja viestintävirasto Traficom vastaa datan välityspalveluiden tarjoajien ja data-altruismipohjaisten organisaatioiden valvonnasta sekä niiden rekisteröinnistä.
Tilastokeskus toimii kansallisena suojatun datan uudelleenkäytön yleisenä tukipisteenä, jonka tehtäviin sisältyy siten ohjaus ja tekninen tuki julkisen hallinnon elimille. Tilastokeskus toimii yleisenä tukena kunnille, kun tarvitaan apua suojatun datan uudelleenkäyttöön asettamiseen. Findatan ohella Tilastokeskus on toinen alakohtainen tietopiste, ja he tarjoavat pääsyn tiettyihin tilastoaineistoihin.
Digi- ja väestötietovirasto vastaa 8 artiklan 1 kohdassa tarkoitetusta kansallisesta keskitetystä tietopisteestä (suojattudata.fi). Findata - Sosiaali- ja terveysalan tietolupaviranomainen on esimerkki komissiolle notifioidusta kansallisesta alakohtaisesta tietopisteestä, joka koostaa ja esikäsittelee sosiaali- ja terveystietoja uudelleenkäyttöön. Findata tarjoaa erityislainsäädännön perusteella palveluita, kuten turvattua käsittely-ympäristöä ja suostumustenhallintaa.
Euroopan komissio hallinnoi kansallisissa keskitetyissä tietopisteissä saatavilla olevan datan sähköistä rekisteriä eli unionin laajuista keskitettyä tietopistettä. Sivusto on ainakin toistaiseksi avoimen datan tietopisteen kanssa sama, data.europa.eu. Haun kautta pystyy valitsemaan saatavilla olevia suojattuja datasettejä (European Register for Protected Data eli valitsemalla ERPD Data Only. Yllä oleva linkki avaa suoraan tällä valinnalla). Datasettien lisätiedoissa ohjeita datan pyytämisestä kansallisten keskitettyjen tietopisteiden kautta (8 artikla 4 kohta).
Datanhallinta-asetuksen III ja IV luku jakavat osan tavoitteistaan esimerkiksi datasäädöksen kanssa, sillä molempien tarkoituksena on lisätä datan liikkuvuutta toimijoiden välillä. Erona on, että datanhallinta-asetuksessa säädetään vain menettelystä – ei oikeudesta saada dataa tai velvollisuudesta luovuttaa dataa.
Datanhallinta-asetus ei korvaa mitään olemassa olevaa säädöstä, vaan sitä sovelletaan niiden lisäksi. Esimerkiksi II luvun mukaiset julkisen sektorin elimet pysyvät yhä muun muassa yleisen tietosuoja-asetuksen mukaisina rekisterinpitäjinä ja kansallisten hallinnon yleislakien mukaisina viranomaisina velvollisuuksineen. Kaikkiin datanhallinta-asetuksen yhteydessä käsiteltäviin henkilötietoihin on sovellettava henkilötietojen suojaa koskevaa unionin ja kansallista lainsäädäntöä. Asetuksen johdanto-osan 4 kappaleen mukaan näin on silloinkin, kun datakokonaisuuden henkilötiedot ja muut kuin henkilötiedot liittyvät toisiinsa erottamattomasti.
Keskeistä on ymmärtää datanhallinta-asetuksen ja avoimen datan direktiivin välinen suhde, sillä datanhallinta-asetusta sovelletaan vain sellaiseen dataan, joka on rajattu avoimen datan direktiivin ulkopuolelle. Nämä kaksi säädöstä voidaan siis nähdä toistensa vastinpareina. Siinä missä avoimen datan direktiivi koskee avointa dataa (eli ei-suojattua tietoa), datanhallinta-asetus koskee asetuksessa tarkoitettuja suojatun datan luokkia. Vertailussa on myös huomattava, että datanhallinta-asetuksessa käytetyn datan käsitteen voi katsoa pitkälti vastaavan avoimen datan direktiivin asiakirjan käsitettä. Datan käsitteen voi datanhallinta-asetuksessa tulkita tarkoittavan kaikkea digitaalisessa muodossa olevaa tietoa. Avoimen datan direktiivissä käytetään asiakirja-käsitettä yhtä laveasti ja samansuuntaisesti.
Huomioitavaa on myös suhde julkisuuslakiin. Jos tietopyyntö esitetään julkisuuslain perusteella, sovelletaan silloin julkisuuslakia.
