Lausunto digitaalisen liiketoiminnan esteistä

Dnro 1367/03/2015

Lausunto Kilpailu- ja kuluttajavirastolle digitaalisen liiketoiminnan esteistä

Asia: lausuntopyyntö KKV/652/03.02/2015

Kuultava: tietosuojavaltuutettu

YLEISTÄ

Lausuntopyyntönne kohteena on toivomuksenne osoittaa ne vuoden 2011 kyselynne jäsentelyn mukaisesti esitetyt aihealueet, joiden arvellaan estävän digitaalista liiketoimintaa ja sellaiset valtion viranomaisen menettelytavat, jotka estävät tai vaikeuttavat digitaalista liiketoimintaa ja erityisesti julkisen tai viranomaisten tuottaman datan hyödyntämistä.

Aihealueenne numero 5 koskee tietosuojaa koskevaa sääntelyä.

Lausuntopyyntönne alkaa viittauksella EU:n komission 6.5.2015 julkistamaan digitaalisten sisämarkkinoiden strategiaan. Tämän DSM -hankkeen yhtenä lähtökohtana on kuitenkin se, että komissio tulee vahvistamaan luottamusta digitaalisiin palveluihin ja niiden turvallisuuteen eritoten henkilötietojen käsittelyn osalta. Vuonna 2015 hyväksytyksi tarkoitetun EU:n tietosuojasääntelyn perusteella komissio arvioi sähköisen viestinnän tietosuojadirektiiviä (kts strategia kohta 12).

Mainitussa komission DSM -strategiassa on muitakin tietosuojaan ja tietosuojasääntelyyn perustuvia kohtia, joiden avulla on tarkoitus edesauttaa unionin laajuisten digitaalisten sisämarkkinoiden kehittymistä.

Suomen nyt voimassa oleva tietosuojalainsäädäntö vastaa EU:n yleistä tietosuojadirektiiviä. EU:n edellä viitatun tietosuojauudistuksen instrumenttina puolestaan on sellaisenaan kaikissa jäsenmaissa voimaan tuleva yleinen tietosuoja-asetus.

Samalla Suomessa valmistaudutaan vuonna 2016 oleviin julkisuusperiaatteen 250 -vuotisjuhliin (huom! tietosuojavaltuutettu ei ole toimivaltainen valvomaan julkisuuslain soveltamista). Julkisuuslainsäädännön ja sitä täydentävän erityislainsäädännön perusteella määräytyy oikeus saada tietoja viranomaisten asiakirjoista ja (henkilö)rekistereistä (vrt. EU:n julkisten tietoaineistojen uudelleen käyttöä koskeva PSI-direktiivi).

On EU:n ja kansallisen tietosuojalainsäädäntömme ja julkisuuslainsäädäntömme vastaista edes ajatella, että tietosuojalainsäädäntömme olisi digitaalisten sisämarkkinoiden este. Päinvastoin, kuten edellä ilmenee tietosuoja ymmärretään ainakin muualla Euroopassa digitaalisten sisämarkkinoiden menestystekijäksi.

Valitettavasti näyttää, että maassamme vallitsee eri syistä huomattava informaatio-oikeudellinen osaamisvaje. Uskallan myös väittää, että meillä näyttää olevan vallalla kilpailukykymme kannalta vaarallinen asenneongelma suhteessa kansalaisten tiedollista itsemääräämisoikeutta koskevaan perusoikeussääntelyyn. Komission ajatus lähtee siitä, että harmonisoimalla entistä paremmin kansalliset tietosuojalait samoin kuin kuluttajansuoja ja sopimusoikeudelliset normit avataan markkinat kaikille noin 500 miljoonalle eurooppalaiselle. Tähän ajatukseen sisältyy siis huomattava kasvupotentiaali, jota me emme valitettavasti näytä huomaavan täällä Suomessa.

ESTEISTÄ

Heikko kansallinen ohjausfunktio

Valtiontalouden tarkastusvirasto totesi tarkastuskertomuksessaan 8/98 seuraavaa: " Automaattiseen tietojenkäsittelyyn liittyvän teknologisen kehityksen mukanaan tuomia hyötyjä ei hallinnon sisällä ole kyetty ulosmittaamaan sillä teholla, mihin voimassaoleva lainsäädäntö antaisi mahdollisuudet. Yhtenä keskeisistä syistä tähän ovat vaikuttaneet eri hallinnonalojen sisäisen erityislainsäädännön puutteellisuudet....

Tietosuojaa koskeva laki on yleinen, ns. puitelaki. Jos varsinaisessa asiakohtaisessa lainsäädännössä on tietojenluovutusta koskeva säädös laadittu silmälläpitäen yhteistyön mahdollisuutta, ei tietosuojalaki ole esteenä viranomaisten eri tarkoitusta varten keräämien tietojen hyödyntämiselle muussa tarkoituksessa. Tarkastusvirasto toteaa, että rekisteriyhteistyön edellytysten luominen lähtee lainsäädännölliseltä pohjalta; mahdollisuus kitkattomampaan rekisterien käyttöön luodaan tällä tavalla."

Seuraavana vuonna, vuonna 1999 tulivat voimaan sekä uusi henkilötietolaki että julkisuuslaki. Henkilötietolain mukaan tiedon antamisesta, silloin kun kysymys on viranomaisen henkilörekisterissä olevista henkilötiedoista, sisältyy yksityiskohtainen säännös julkisuuslain 16 §:n 3 momenttiin. Julkisuuslaki siis määrää oikeudesta saada erinomaiset viranomaisrekisterimme eri toimijoiden käyttöön.

Digitalisointia koetettiin sittemmin edesauttaa mm. pääministeri Matti Vanhasen hallituksen poikkihallinnollisella tietoyhteiskuntaohjelmalla.

Elinkeinoelämän valtuuskunta EVA julkisti vuonna 2009 Teppo Turkilta tilaamansa selvityksen "Nykyaikaa etsimässä Suomen digitaalinen tulevaisuus". Selvityksessä todettiin, että säädösten muutoksia tarvitaan etenkin tietoon (tietosuojasäännökset) ja julkisen vallan suoritteisiin (maksuperustelaki) kohdistuvan lainsäädännön osalta. Selvitys totesi myös, että eri ministeriöiden ja valtion virastojen autonomia tai kunnallinen itsehallinto ei saa nousta esteeksi.

Seuraavaksi maahan säädettiin vuonna 2011 tietohallintolaki. Sillä kumottiin vuoden 1999 julkisuuslain 18 §:n 2 momentti. Sanotussa julkisuuslain kohdassa edellytettiin, että viranomaiset suunnittelevat tietojärjestelmänsä siten, että ne ottavat myös asiakastarpeet huomioon.

Mainittakoon lisäksi, että liikenne- ja viestintäministeriö teetti aikanaan selvityksen "Ubiquitous computing" -teemasta (kaikkialla oleva tietotekniikka). Se oli hyvin lähellä nykyistä Internet of Things -ajattelua. Samoin ko. ministeriö toteutti luottamusta lisääviä toimia kartoittaneen "Luoti-projektin" jo vuosituhannen ensimmäisen vuosikymmenen puolessa välin.

Henkilötietolaki sellaisenaan on ilmentymä My Data -ajattelusta!

Vielä on syytä mainita juuri vaalien aikoihin ilmestynyt Mikael Jungnerin puheenvuoro "Otetaan digiloikka! Suomi digikehityksen kärkeen".

Paljon on siis selvityksiä tehty, mutta samalla maamme on menettänyt sitä etulyöntiasemaansa, joka sillä vuosituhannen alussa oli. Pidän tähän syynä poliittisen ohjausvoiman puuttumista.

Luottamusta lisäävät toimet puuttuvat

Eri kansallisten ja kansainvälisten selvitysten mukaan kansalaiset eivät uskalla asioida digitaalisia palveluita hyödyntäen tai asiointiin liittyy muita esimerkiksi komission DSM -strategiassa esitettyjä syitä. Jos arvioidaan kansallisia toimia luottamuksen lisäämiseksi, ei listasta muodostu kovinkaan pitkä. Toisaalta myös digitaalisen talouden valitettavia epäonnistumisia on nähty liian paljon. Kokemukset mm. tunnistusratkaisuista, sähköisestä äänestämisestä, identiteettivarkauksista, tietoturvapuutteista jne. osoittavat, että digitalisoinnin horisontaalinen johtaminen on hukassa ja että se kaipaa pikaista vahvistamista.

Samoin olisi syytä miettiä luottamusta lisäävien toimien toteuttamista johdetusti.

Digitaalinen asiointialusta tulee olemaan, osin jo on, yhteiskuntamme perusinfrastruktuuria. Sellaisena sitä pitäisi myöskin käsitellä ja turvata. On huolehdittava, ettei esimerkiksi kansallisessa palveluväylähankkeessa tehdä ratkaisuja, jotka miltään osin vaarantaisivat mahdollisuutemme kontrolloida ja kehittää infrastruktuuriamme.

Viestinnän luottamuksellisuutta koskeva lainsäädäntö, verkkovalvontahanke ja kansalaisten ja yritysten liike- ja ammattisalaisuuksien suojan on oltava tasapainossa.

Nähdäkseni maahan tarvittaisiin myös yleinen tietoturvalaki.

Tietosuoja-asetuksen hyödyntäminen

Oikeusministeriö on toimittanut eduskunnan hallintovaliokunnalle yleisen EU:n tietosuoja-asetuksen valmistelua koskevan jatkokirjelmän (U 21/2012). Kirjelmän mukaan komissio arvioi sääntelyn helpottavan yritystoiminnan mahdollisuuksia hyödyntää eurooppalaisia sisämarkkinoita ja saavan yritystoiminnalle aikaan 2,5 miljardin euron säästöt. On siis hyvä useammastakin syystä "benchmarkata" asioita, jotka asetukseen tulisivat sisältymään;

  1. painopiste tietojärjestelmien ja asiakasprosessien suunnittelussa (Data Protection by Design)
  2. oletusarvoinen ja sisäänrakennettu tietoturva (Data Security by Default)
  3. rekisteröidyn oikeus omiin tietoihinsa (Data Portability) kilpailun lisäämiseksikin
  4. tietoturvaloukkauksista tapahtuva ilmoittaminen (Data Breach Notification)
  5. yritysten etabloitumista helpottava yhden luukun periaate ja samoin yhden luukun periaate kansalaisille valitusten tekemisessä (One stop shop)
  6. tehokkaat lainvalvontakeinot ja hallinnolliset sanktiot, kuten lainvalvontaviranomaisille tuleva sakotustoimivalta.
  7. osaamismarkkinat (tietosuojavastaavat, auditoinnit, sertifikaattien käyttö jne.)

Luettelo ei ole tyhjentävä.

Yhteenveto

a) maassamme on toimiva informaatio-oikeudellinen säädöskehikko ja erinomaiset kansalliset rekisterit,

b) erinomainen koulutusjärjestelmämme ei ole kyennyt reagoimaan selkeään osaamisvajeeseemme,

c) meillä on poliittisesti, strategisesti ja operatiivisesti johtamisongelmia ja asennevaikeuksia,

d) emme ole panostaneet riittävästi eri syistä johtuen luottamusta lisääviin toimiin,

e) kehityspanostukset ovat valitettavan teknologialähtöisiä

f) meillä on edelleen siilomaiset rakenteet ja niitä tukevat sisäänrakennetut byrokratiat.


Reijo Aarnio

tietosuojavaltuutettu

 
Julkaistu 3.6.2015