EU:n datasäädöksen kansallinen täytäntöönpano

VN/25158/2023

FA tukee selkeää toimivallan jakoa viranomaisten välillä ja kannustaa välttämään kahden viranomaisen mallia

1. Millaisia vaikutuksia arvioitte datasäädöksen aiheuttavan organisaatiossanne, toimialallanne tai laajemmin Suomessa?

Finanssialalle on tulossa oma, sektorikohtainen sääntelykehys datan jakamisesta: komission ehdotus asetukseksi rahoitusdatan saatavuutta koskevasta kehyksestä (rahoitusdatan käyttökehys tai FIDA). Finanssialalle toimialana FIDA tulee aiheuttamaan merkittävästi laajempia vaikutuksia kuin datasäädös. Toimialan näkökulmasta olennaista on, että FIDA:n ja datasäädöksen kansallinen toimeenpano ja viranomaisvaltuuksien asettaminen on linjassa keskenään eikä päällekkäisiä toimivaltuuksia tai sanktioita aseteta. 

Muilta osin potentiaalisina vaikutuksina nähdään, että samoja tai samankaltaisia palveluja tarjoavien palveluntarjoajien kesken jaettavat suuret tietomäärät saattavat häiritä vakaiden palvelujen tarjoamista. Edelleen nähdään huoli tietojen välittäjien (data broker) perustamisesta ja suurina määrinä kerättyjen tietojen potentiaalisesta väärinkäytöstä, mikä voi vaarantaa sekä luonnollisten että oikeushenkilöiden tietojen ja henkilöiden turvallisuuden sekä eheyden. Tällaisten riskien minimointi on olennaista asiakkaiden tietosuojan ja tietoturvan näkökulmasta.

Lisäksi toivotaan, että viranomainen kiinnittää huomiota siihen, miten ja jos asianmukaiset henkilötietoja ja ei-henkilötietoja koskevat tietosuoja- ja tietoturvatoimenpiteet järjestetään. Niiden järjestämisen tulisi tapahtua siten, että ne ovat yhteensopivia muun sääntelyn kanssa. Esimerkiksi DORA-asetuksen, tietoverkkojen häiriönsietokykyä (CRA) ja muut vastaavat asetukset eivät kohdistu tasaisesti eri toimialoihin. Tulisi kiinnittää huomiota siihen, miten eri säännösten ja eri toimialojen tietosuoja- sekä tietoturvavaatimukset voidaan panna täytäntöön kaikilla sektoreilla rinnakkain ilman päällekkäisiä ja/tai keskenään ristiriitaisia vaatimuksia. On otettava huomioon, että kaikkia säädöksiä ei sovelleta kaikilla toimialoilla ja säädösten välillä on myös jonkinasteista päällekkäisyyttä, mutta niiden tulee tästä huolimatta toimia sopusoinnussa datasäädöksen kattamiseksi eikä olla ristiriidassa keskenään.

2. Pidättekö arviomuistiossa esitettyjä linjauksia tarkoituksenmukaisina?  

Datasäädöksen 37 artiklan 5 kohdan mukaan jäsenvaltioiden on varmistettava, että datasäädöksen velvoitteiden noudattamista valvovan toimivaltaisten kansallisen viranomaisten tehtävät ja valtuudet määritellään selkeästi. Arviomuistiossa esitetään datasäädöksen lukujen II, III, IV osalta toimivaltaiseksi viranomaiseksi Traficomia niiltä osin kuin toimivalta ei kuulu Tietosuojavaltuutetulle.

Asetuksen luku V koskee datan asettamista saataville julkisen sektorin toimielinten pyynnöstä poikkeustilan perusteella. Luvun V koordinoivaksi valvontaviranomaiseksi esitetään myös Traficomia. Lukujen VI ja VIII toimivaltaiseksi viranomaiseksi Suomessa esitetään Traficomia. Luvussa VI säännellään datankäsittelypalveluiden vaihtamista, ja luvussa VIII on säännökset eurooppalaisten data-avaruuksien yhteen toimivuudesta. Asetuksen luku VII sääntelee kolmannen maan viranomaisten laitonta pääsyä muuhun dataan kuin henkilötietoihin sekä datan kansainvälisiä siirtoja. Myös luvun VII osalta valvovaksi viranomaiseksi esitettäisiin Traficomia. Kansalliseen turvallisuuden tai puolustuksen etuihin liittyviä tiedonsiirtoja koskevissa lausunnoissa toimivaltaisiksi tahoiksi esitetään sisäministeriötä ja puolustusvoimien pääesikuntaa.

Valvontatehtävien pääasiallinen keskittäminen Traficomiin luonee etuja ja mahdollistanee datatalouteen ja datan jakamiseen liittyvän erikoisosaamisen keskittämisen yhteen organisaatioon, mikä on pitkällä aikavälillä myös kustannustehokasta. FA kannattaa, että toimivaltaa ei jaeta Traficomin ja muiden viranomaisten, kuten TSV:n kesken, vaan asetuksen valvonta keskitettäisiin kokonaan Traficomille. Data-avaruuksien yhteen toimivuuden osalta FA korostaa, että tulevien data-avaruuksia ja datanjakoa koskevan sääntelyn viranomaisvelvoitteet tulisi myös keskittää ja vastaavan viranomaisen tulee omata osaamista myös sektorikohtaisesta erityissääntelystä.

Datasäädöksen 37 artiklassa todetaan, että jäsenvaltioiden on varmistettava, että toimivaltaisille viranomaisille osoitetaan riittävät henkilöstö- ja tekniset resurssit ja asiaankuuluva asiantuntemus, jotta ne voivat hoitaa tehokkaasti tämän asetuksen mukaiset tehtävänsä. FA ei pysty arviomuistiossa esitetyn tiedon perusteella ottamaan kantaa siihen, riittääkö esitetty 15 HTV:tä vastaava lisäys virastojen määrärahoihin, mutta korostaa viranomaisresurssien riittävyyden tärkeyttä, jotta suomalaisyritykset saavat neuvontaa.

Lisäksi on tärkeää, että suomalaisella valvontaviranomaisella olisi resursseja osallistua EU-tason sekä jäsenvaltioiden väliseen yhteistyöhön, jotta asetuksen soveltamisen tulkintakäytänteet muodostuisivat mahdollisimman yhdenmukaisiksi eri jäsenvaltioissa, ja tasavertaiset mahdollisuudet sisämarkkinoilla toteutuisivat suomalaisyrityksille.

3. Mitä seikkoja viranomaisten yhteistyön järjestämisessä tulisi erityisesti ottaa huomioon?

Yhteistyön järjestämisessä tulisi erityisesti ottaa huomioon eri viranomaisten sektorikohtainen tietotaito ja varmistaa sujuva keskusteluyhteys viranomaisten välillä, jotta päällekkäisiltä ja/tai ristiriitaisilta ohjeistuksilta eri viranomaisten toimesta vältytään. FA korostaa viranomaisten neuvontavelvollisuuden, proaktiivisen ohjausasenteen ja viranomaisten välisen yhteistyön sujuvuuden tärkeyttä.

FA pitää hyvänä, että Traficomista tulisi asetuksen tarkoittama datakoordinaattori, joka toimisi yhteyspisteviranomaisena myös yritysten suuntaan. Ehdotetaan, että tietosuojaviranomainen tai Traficom nimetään yhdeksi vastuuviranomaiseksi, joka varmistaa datasäädöksen tulkinnan luotettavuuden. Nimetyn viranomaisen olisi oltava sama viranomainen, joka valvoo tulevaisuudessa muun muassa tekoälyasetusta.

4. Mitä kansallisten (viranomais-)menettelyiden osalta tulisi ottaa huomioon viranomaisten ja toimijoiden välisessä yhteistyössä? Onko sektoreittain jotain sellaista, mitä pitäisi erityisesti ottaa huomioon kun kyseessä on viranomaisyhteistyö?

Ks. vastaus kohdassa 3. Lisäksi FA haluaa korostaa, että tulevan FIDA-asetusehdotuksen valvovan viranomaisen velvollisuudet tulee määritellä selkeästi suhteessa datasäädöstä valvovaan viranomaiseen, mikäli valvonta keskittyy eri taholle. Päällekkäisiä tai ristiriitaisia toimivalta- ja valvontavelvollisuuksia ei tule asettaa. Edelleen tulee huomioida, että mikäli valvovia viranomaisia on enemmän kuin yksi, tulee viranomaisten keskustella aktiivisesti keskenään ja omata ymmärrys sektorikohtaisesta sääntelystä. Finanssisektoriin kohdistuu laajalti sääntelyä, jonka vaikutukset tulee ottaa huomioon. Teknisistä standardeista päätettäessä on huomioitava FIDA:ssa ja/tai datasäädöksessä käytettävät standardit ja sovitettava ne yhteen, jotta vältetään liialliset investoinnit ja kehitystyö.

5. Mitä seuraamusten osalta erityisiä huomioita? Erityisesti sanktioitavien tekojen suhteen? Entä miten mahdollinen viranomaisen ”puuttumiskynnys” näissä tulisi mielestänne määritellä?

Datasäädöksessä on vakiomuotoinen yleisluonteinen seuraamusartikla, jossa seuraamusten määrittäminen jätetään jäsenvaltioille. Datasäädöksessä kuitenkin todetaan, että seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Jäsenvaltioiden tulisi seuraamuksia koskevissa säännöksissään ottaa huomioon Euroopan datainnovaatiolautakunnan suositukset. Kyseisiä suosituksia ei kuitenkaan vielä ole saatavilla. Arviomuistiossa todetaan, että seuraamusten osalta työryhmän työ on vielä kesken, mutta asiaa on lähestytty porrastetun keinovalikoiman avulla.

FA pitää portaittaista lähestymistapaa ja puuttumiskynnystä hyvänä, jotta viranomaisten resurssit voidaan kohdentaa vaikutukseltaan merkittävimpien valitusten tutkintaan. FA toteaa, että puutumiskynnykseen on vaikea ottaa tarkemmin kantaa, koska tiedossa ei ole, mihin asetuksen artikloihin se kohdistuisi ja mitä sillä lopulta tarkoitettaisiin. FA korostaa, että seuraamusten tulee olla rikosoikeudellisten seuraamusten sijaan hallinnollisia.

Seuraamuksien ja sanktiotoimenpiteiden tulee olla riittävän tehokkaita, jotta ne estävät julkisia ja yksityisiä osapuolia rikkomasta sääntöjä. Niiltä osin, kun julkisen sektorin toimijat tulevat käsittelemään tietoja datasäädöksen alla, tulee myös julkisen sektorin toimijoiden kuulua seuraamusjärjestelmän piiriin mahdollisissa väärinkäytöstilanteissa.

Seuraamustoimenpiteet tulisi harmonisoida mahdollisimman yhteneväisiksi muiden jäsenvaltioiden kanssa, jotta voidaan rajoittaa jäsenvaltioiden välistä kilpailua ja ehkäistä yritysten sääntömääräisen kotipaikan valintaa kevyemmän sääntelyn tai sanktiovelvoitteiden perässä. Lisäksi jatkovalmisteluun osalta toivotaan, että sanktioista säädettäessä huolehditaan ennustettavuuden ja ohjaavuuden selkeyttämisestä.

6. Muita mahdollisia huomioita arviomuistioon tai asiaan liittyvään jatkovalmisteluun

Datasäädöksen luku V koskee viranomaisten ja muiden julkisen sektorin toimijoiden oikeutta saada pyynnöstä pääsy yksityisen datan haltijan dataan. Sääntely on tarkoitettu yleisiin hätätilanteisiin ja muihin poikkeuksellisiin tilanteisiin. Julkisen sektorin toimijan on suoritettava kohtuullinen korvaus datan haltijalle. Korvauksen on katettava vähintään pyynnön täyttämisestä aiheutuneet tekniset ja organisatoriset kustannukset mukaan lukien anonymisoinnin, pseudonymisoinnin, yhdistämisen ja teknisen mukautuksen kustannukset, sekä kohtuullinen marginaali. Sen sijaan yleisen hätätilan perusteella saadusta datasta ei olisi suoritettava korvausta datan haltijalle, ellei haltija ole mikroyritys tai pieni yritys. FA kiinnittää huomiota, että korvauksen tulisi olla datan haltijalle kohtuullinen, sen saamisen edellytysten ja siihen liittyvän prosessin tulisi olla yrityksille mahdollisimman selkeä, eikä se saisi lisätä hallinnollista taakkaa.

FINANSSIALA RY

Hannu Ijäs