Euroopassa on alkanut uudenlainen tiedon sääntelyn vaihe. Tähän mennessä unionin lainsäätäjän katse on kohdistunut eritoten yksityisyyden suojaamiseen ja tietosuojaa on vahvistettu. Yleisen tietosuoja-asetuksen merkitystä kaikilla elämän alueilla ei voine liioitella.
Nyt kuitenkin vaikuttaa siltä, että uudet tuulet puhaltavat tiedon sääntelyssä. Vireillä on useita laajoja ja kunnianhimoisia sääntelyhankkeita, joiden monimutkaisista vaiheista voi olla vaikea pysyä perillä. Esittelen seuraavaksi keskeisimmät.
Tiedon uudet sääntelyhankkeet saavat pohtimaan, onko unionin lainsäädäntö siirtymässä pois yksityisyyden aikakaudelta. Nyt pyritään nimittäin tiedon avoimuuteen. Merkittävän ongelman muodostaa kuitenkin se, ettei avoimuus ainakaan nyt esitettyjen ehdotusten valossa ole kovin helposti sovitettavissa yhteen tietosuoja-asetuksen sääntöjen kanssa.
Unionin pyrkimys on nyt kilpailla globaaleilla digitaalisilla markkinoilla sääntelemällä sitä, miten tietoa voidaan kerätä, käyttää ja käyttää uudelleen riippumatta siitä, että tietosuoja on jo vahvasti säännelty. Innovaatioiden lisääminen on tavoitteena, ei niinkään yksilöiden perusoikeuksien suojaaminen.
Muutos on ollut tulollaan pikkuhiljaa ja ilman suurempaa meteliä. Seurauksena on ollut tilkkutäkkimäinen kokoelma asetuksia ja direktiivejä. Avoimen datan direktiivi on ollut voimassa vuodesta 2019 ja se korvasi aiemman niin kutsutun PSI-direktiivin. Valtiovarainministeriössä valmistellaan parhaillaan säädöshanketta, jolla direktiivi pantaisiin täytäntöön meillä.
Avoimen datan direktiivin sisältämät säännöt kohdistuvat erityisesti julkisten tahojen hallussa olevaan tietoon. Tällainen tieto yritetään avata ja saada hyödynnettäväksi. Kenties merkittävin kohta koskee yksinoikeussopimuksia. Direktiivillä pyritään siihen, ettei julkisen sektorin elimet tai julkiset yritykset solmisi yksinoikeuksia sisältäviä sopimuksia tietojen käytöstä. Direktiivin soveltumisala on kuitenkin melko suppea. Se sisältää myös jonkin verran kansallista liikkumavaraa eikä sovellu lainkaan asiakirjoihin, joihin kohdistuu kolmansien osapuolten teollis- ja tekijänoikeuksia. Huomattavaa on myös, ettei avoimen datan direktiivi syrjäytä tietosuoja-asetuksen sääntöjä.
Voidaankin todeta, että avoimen datan direktiivi oli vielä melko vaatimaton askel kohti avoimia datamarkkinoita. Sama pätee vuonna 2019 sovellettavaksi tulleeseen asetukseen muiden kuin henkilötietojen vapaasta liikkuvuudesta. Sen keskeinen sisältö on rajoittaa jäsenmaiden mahdollisuuksia säätää tietojen sijaintia koskevista vaatimuksista. Tietojen on saatava liikkua vapaasti jäsenmaiden rajojen yli. On kuitenkin huomattava, että tietosuoja-asetuksen määritelmien mukaan lähes mikä tahansa tieto voi olla henkilötietoa, joten vapaan liikkuvuuden asetuksen soveltamisala on hyvin suppea.
Nämä aiemmat yritykset vapauttaa tietoa muodostavat muutaman askeleen kohti uutta ajattelutapaa, joka kulminoituu komission 2020 julkaisemassa Datastrategiassa. Sen tavoitteena on ”varmistaa, että EU:sta tulee esikuva datavetoisille yhteiskunnille”. EU haluaa luoda sellaiset sisämarkkinat, joilla tieto voi liikkua vapaasti eri aloilla ja alojen välillä. Sääntelyn sisältö kohdistuu toistaiseksi niihin tapoihin, joilla dataa jaetaan ja käytetään uudelleen. Tarkoitus on luoda selkeät ja yhtenäiset säännöt, mikä edesauttaisi innovaatioiden syntymistä.
Osana strategiaa komissio on laatinut ehdotuksen datahallintosäädökseksi (Data Governance Act). Se on parhaillaan parlamentin ja neuvoston käsittelyssä ja saattaa hyvinkin vielä muuttua. Aloite eroaa aiemmista siinä, että sen sisältämät säännöt soveltuisivat myös tietoihin, joihin kohdistuu kolmansien osapuolten teollis- ja tekijänoikeuksien suoja tai henkilötietojen suoja. Sääntelyyn sisältyisi muun muassa ehtoja tietojen uudelleenkäytöstä sekä sääntöjä tiedon jakamispalveluiden järjestämisestä. Yksityiskohdista mainittakoon, että tarkoituksena olisi myös perustaa Euroopan datainnovaatiolautakunta -niminen elin. Datahallintosäädös ei kuitenkaan vielä riitä, vaan komissio suunnittelee myös tietosäädöstä (Data Act).
Komission Datastrategiaan sisältyvät ehdotukset aiheuttavat juristeille uutta päänvaivaa siksi, että on vaikea nähdä miten ne ovat yhteen sovitettavissa muun muassa tietosuoja- ja tekijänoikeussäännösten kanssa. Tietosuojan osalta voidaan todeta, että laajamittainen henkilötiedon jakaminen ja uudelleenkäyttö ovat mahdollisia vain, jos asetuksen nykyinen tulkintakäytäntö muuttuu sallivammaksi. Se jäänee unionin tuomioistuimen pohdittavaksi.
Tietosuoja-asetusta voidaan kyllä de jure – jos ei ehkä de facto – pitää tiedon liikkuvuutta edistävänä instrumenttina. Asetuksella on kaksi eksplisiittisesti ilmoitettua päämäärää: yksilöiden henkilötietojen suojaaminen sekä tietojen vapaan liikkuvuuden varmistaminen. Ensimmäisessä artiklassa todetaan, että ”henkilötietojen vapaata liikkuvuutta unionin sisällä ei saa rajoittaa eikä kieltää syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä.” Tämä virke on tulkintakäytännössä jäänyt käytännössä merkitystä vaille. Vaikuttaa siltä, että uudet säädökset tulevat antamaan sille merkitystä.
Näiden hankkeiden lisäksi komissio julkaisi viime vuoden lopulla suunnitelman uusista säännöistä kaikille digitaalisille palveluille, kuten sosiaaliselle medialle, verkkokaupoille ja muille verkkoalustoille. Säännöstö koostuisi kahdesta osasta, joista toisella säännellään digitaalisia palveluja (Digital Services Act) ja toisella digitaalisia markkinoita (Digital Markets Act). Näiden on tarkoitus korvata ainakin sähköisen kaupankäynnin direktiivi. Vaikka ehdotukset ovat saaneet paljon huomiota jo nyt, on syytä korostaa sitä, ettei niiden sisältö ole vielä lähimainkaan selvä, sillä valmiina ovat vasta komission ehdotukset.
Miten tässä kaikessa muutoksessa pysyy mukana? Hyvä kysymys. On syytä valmistautua siihen, että tiedon sääntely elää nyt murroskautta, ja sen tulevaisuutta on vaikea ennakoida. Yksityiskohtana voidaan mainita, ettei uusi tapa nimetä lainsäädäntöhankkeita säädöksiksi (”Act”) ole ainakaan omiaan selkeyttämään oikeustilaa. Unionin johdettu oikeus sisältää tunnetusti kolme pääluokkaa: asetukset, direktiivit ja päätökset, jotka toimivat kukin eri tavalla. Mitä nämä uudet säädökset sitten ovat? Se selviää instrumentteja lukemalla: Data Governance Act, Digital Services Act ja Digital Markets Act ovat kaikki ehdotettu annettaviksi asetuksina.
Susanna Lindroos-Hovinheimo
julkisoikeuden professori, Helsingin yliopisto
Perustuslakiblogi 
Vastaa