Tietosuojavaltuutetun lausunto liikenne- ja viestintäministeriön asettaman työryhmän valmistelemasta kansallisen big data -strategian luonnoksesta

Julkaistu 27.6.2014

Dnro 1518/05/14

Tietosuojavaltuutettu voi arvioida raportissa esitettyjä kysymyksiä siltä osin, kun on kysymys henkilötietojen käsittelystä.

Big datan hyödyntämisen osalta eräs kynnyskysymys on yksityisyyden suojaan ja henkilötietojen käsittelyyn liittyvään lainsäädäntökehikon hallitseminen. Raportissa viitataan mm. terveysalalla olevaan suureen potentiaaliin big datan suhteen, sekä todetaan, että Suomessa on korkeatasoiset digitaaliset perusrekisterit, joiden päälle voidaan suhteellisen nopeasti rakentaa kilpailukykyistä big data osaamista. Esimerkiksi edellä mainitut kysymykset liittyvät keskeisesti henkilötietojen käsittelyyn, joista säädellään erityislaeissa. Big datan tuloksellinen hyödyntäminen edellyttääkin laaja-alaista informaatio-oikeudellista osaamista, jota tällä hetkellä ei ole riittävästi tarjolla.

Useimpiin big datan ja myös avoimen datan hyödyntämistilanteisiin liittyy henkilötietojen käsittelyä koskevia kysymyksiä ja muita oikeudellisia näkökulmia. Asiantuntijuuden vahvistaminen on tältä osin välttämätöntä sekä yksityisen, että julkisen sektorin osalta. Big datan hyödyntämiseen liittyvän suunnittelun ja koulutuksen osalta ei tule keskittyä pelkästään teknisiin ratkaisuihin ja data-analytiikkaan. Jos big datan hyödyntämisessä halutaan saada aikaan tuloksia, täytyy toimijoilla olla myös ymmärtämystä siitä, mitä ja millä edellytyksillä eri toimialoilla voidaan big datan pohjalta mahdollisesti tehdä.

Silloin kun tietoaineistot sisältävät henkilötietoja tulee sovellettava lainsäädäntö ottaa huomioon. Henkilötietojen käsittelyä koskevan lainsäädännön periaatteena on käyttötarkoitussidonnaisuus, jonka mukaan tiettyyn tarkoitukseen kerättyjä henkilötietoja ei voi käyttää muihin käyttötarkoituksiin.

Henkilötietojen käsittely edellyttää ennalta käsin tehtävää käyttötarkoituksen määrittelyä ja suunnittelua sekä käsittelyn lainmukaista perustetta (henkilötietolaki 2 luku). Henkilötietojen käsittelyn osalta arvioitavia kysymyksiä ovat mm. tietojen laatua koskevat periaatteet (henkilötietolaki 9 §) ja tietojen suojaaminen (henkilötietolaki 32 §).

Henkilötiedot ovat pääsääntöisesti ne keränneen rekisterinpitäjän (tiedon omistajan) määräysvallassa, eikä niitä voida pelkästään teknisin ratkaisuin käyttää muiden toimesta. Henkilötietojen yhdistäminen muihin tietoaineistoihin voidaan tehdä vain säännösten sallimissa rajoissa. Jos tiedot anonymisoidaan, voidaan tietoa hyödyntää vapaammin. Anonymisoinnin on kuitenkin oltava tehokasta siten, ettei tietoa voida enää palauttaa henkilötiedoksi.

Big datan hyödyntämisellä on kiinteä yhteys kansallisen palveluarkkitehtuurin toteuttamisen ja avoimen tiedon hyödyntämisen kanssa. Tarkoituksenmukaista olisi, että eri hankkeet saataisiin synkronisoitua niin, ettei samoja kysymyksiä mm. yksityisyyden suojan osalta tarvitsisi arvioida kuin yhden kerran. Tietosuojavaltuutetun toimisto on julkaissut kotisuvullaan www.tietosuoja.fi mm. ohjauksen koskien avoimen datan suunnittelua. Soveltuvin osin ohjaus on sovellettavissa myös big datan hyödyntämiseen.

Tiedonhallinnan kytkeminen osaksi organisaation johtamista on eräs organisaation toiminnan merkittäviä haasteita. Monet organisaatiot eivät hyödynnä kunnolla edes omassa hallussaan olevaa tietoa, jolloin big datan hyödyntäminen ei liene vielä ajankohtaista. Tämä on tiedostettu myös tietosuojavaltuutetun toimiston ohjaustoiminnassa. Tietosuojavaltuutetun toimisto on 24.4.2012 julkaissut ohjauksen tietotilinpäätöksen (www.tietosuoja.fi) tekemisestä. Ohjauksessa on korostettu mm. sitä, kuinka organisaation johdon tulisi tuntea organisaation hallussa olevat tietovarannot ja käyttää tätä tietoa päätöksenteon pohjana. Tietotilinpäätös palvelee mm. organisaation johdon päätöksentekokykyä, asiakkaiden ja sidosryhmientiedollisia tarpeita.

Esimerkkinä big datan käyttömahdollisuuksista on esitetty mm. asiakkaiden profilointi. Kun profilointiin liittyy mm. tiedon keräämistä, tallentamista, analysoimista tai muuta tiedon käyttämistä tai hyödyntämistä ja tieto on yhdistettävissä yksittäiseen henkilöön, kysymys on henkilötietojen käsittelystä. Mikäli anonyymi luokittelutieto liitetään yksittäisen asiakkaan tietoihin, tieto muuttuu henkilötiedoksi silloin, kun siitä on pääteltävissä, ketä henkilöä tieto koskee. Tällöin henkilötietojen käsittelyä koskevat säännökset on otettava huomioon. Kuluttajien profilointia esimerkiksi sähköistä suoramarkkinointia varten on käsitelty tietosuojavaltuutetun toimiston suoramarkkinointioppaassa (www.tietosuoja.fi).

Profilointia koskevaa erityissääntelyä on ehdotettu lisättäväksi valmisteilla olevaan uuteen tietosuoja-asetukseen, joka korvaa nykyisen henkilötietodirektiivin ja sen perusteella voimaansaatetut kansalliset säännökset. Euroopan komission esittämään uuteen tietosuoja-asetukseen tullee profilointia koskeva artikla, joka voimaan tullessaan voi tiukentaa profiloinninedellytyksiä Suomessa. Toinen esimerkki big datan käyttötarkoitus on tutkimus. Tietosuojavaltuutetun toimisto on julkaissut oppaan tietosuojasta ja tieteellisesti tutkimuksesta henkilötietolain kannalta (www.tietosuoja.fi).

Prosessien parantaminen ja tehostaminen saattaa usein edetä liikaa teknologiapainotteisesti, joka on johtanut puutteellisesta asiantuntemuksesta substanssikysymysten ja oikeudellisissa kysymysten osalta. Esimerkiksi teknologiaan ja tietosuojaan liittyviä kysymyksiä tulisi tarkastella samanaikaisesti ja rinnakkaisesti. Jos tukea big datan hyväksikäytössä halutaan antaa, tulisi sitä olla saatavissa teknisten kysymysten ohella myös oikeudellisissa kysymyksissä.

Raportin mukaan sääntelyn kehittämisen ajatuksena tulisi olla se, että markkinoille tulon esteitä voidaan purkaa ja samalla luoda kannusteita datan saatavuuden huomioiden henkilöiden oikeudet dataan. Raportissa esitetään mm. selvityksen tekemistä big datan käyttöön vaikuttavista laeista. Big datan hyödyntäminen koskee eri osa-alueita yksityisellä ja julkisilla sektoreilla. Big data on myös ilmiönä suhteellisen täsmentymätön. Lainsäädäntöselvityksen tekeminen edellyttää selvityksen kohteen tarkkaa rajaamista ja selkeää tavoitetta. Pelkkä säädösten luetteleminen ei tuottane lisäarvoa.

Julkisella hallinnolla on mahdollisuus parantaa ja tehostaa toimintaansa sekä etsiä uusia toimintatapoja. Tällöin tarvitaan paljon muutakin osaamista kuin datan hyödyntämisen teknistä osaamista. Esimerkiksi julkisen sektorin osalta tehtäväkierto eri organisaatioissa saattaisi laajentaa osaamista. Raportissa esitetään mm. Suomen start up -kentän kytkemistä tiiviisti mukaan big data palvelujen kehittämiseen. Start up -kenttä kuitenkin tarvitsisi kokonaisvaltaista tukea mm. siinä vaiheessa kun kehitettävässä palvelussa suunnitellaan käytettäväksi henkilötietoja jossain muodossa.

Big datan hyödyntäminen nähdään liiaksi teknisenä haasteena. Lähtökohtana tulisi arvioida sitä, mitä lisäarvoa tietyllä palvelulla voidaan tuottaa ja pohtia kunkin toimijan omaan toimintaan liittyviä käyttömahdollisuuksia. Tämän jälkeen tulisi arvioida, onko suunniteltu käyttö mahdollista mm. henkilötietojen käsittelyä koskevien säännösten näkökulmasta.

Edellä mainittujen lisäksi monet tietosuojavaltuutetun toimiston laatimat ohjausmateriaalit ovat käyttökelpoisia big datan hyödyntämisen suunnittelussa.