20.2.2016   

FI

Euroopan unionin virallinen lehti

C 67/13


Tiivistelmä Euroopan tietosuojavaltuutetun lausunnosta Meeting the challenges of big data: A call for transparency, user control, data protection by design and accountability, joka koskee massadatan haasteita ja tarvittavaa avoimuutta, käyttäjävalvontaa, sisäänrakennettua tietosuojaa ja vastuuvelvollisuutta

(Koko lausunto on luettavissa englanniksi, ranskaksi ja saksaksi Euroopan tietosuojavaltuutetun verkkosivuilla www.edps.europa.eu)

(2016/C 67/05)

”Oikeus saada olla rauhassa on kaiken vapauden perusta”  (1).

Vastuullisesti toteutettuna massadatan käyttö voi tuottaa merkittävää etua ja hyötyä sekä yhteiskunnalle että yksilöille terveyden, tieteellisen tutkimuksen ja ympäristön alalla sekä muilla erikoisaloilla. Valtavien tietomäärien käsittelyn todellinen ja mahdollinen vaikutus henkilöiden oikeuksiin ja vapauksiin, myös heidän yksityisyyteensä, aiheuttaa kuitenkin vakavaa huolta. Massadatasta aiheutuvien haasteiden ja riskien vuoksi tarvitaan tehokkaampaa tietosuojaa.

Tekniikka ei saa sanella arvojamme ja oikeuksiamme, mutta innovaatioiden edistämistä ja perusoikeuksien suojelua ei myöskään pidä nähdä ristiriitaisina tavoitteina. Uudet liiketoimintamallit, joissa hyödynnetään uusia valmiuksia kerätä, siirtää välittömästi, yhdistellä ja käyttää uudelleen valtavia määriä henkilötietoja ennakoimattomiin tarkoituksiin, ovat kohdistaneet tietosuojaperiaatteisiin uudenlaista painetta, joten niiden soveltamista on harkittava perinpohjaisesti uudelleen.

Euroopan tietosuojalainsäädäntö on kehitetty suojelemaan meidän perusoikeuksiamme ja -arvojamme, myös oikeutta yksityisyyteen. Kysymys ei ole siitä, pitäisikö massadataan soveltaa tietosuojalainsäädäntöä, vaan siitä, kuinka sitä voidaan soveltaa innovatiivisesti uusissa ympäristöissä. Nykyiset tietosuojaperiaatteemme, kuten avoimuus, oikeasuhteisuus ja käyttötarkoituksen rajoittaminen, tarjoavat lähtökohdan, jota tarvitsemme voidaksemme pontevammin suojella perusoikeuksiamme massadatan maailmassa. Niitä on kuitenkin täydennettävä uusilla periaatteilla, joita on vuosien mittaan kehitetty, kuten vastuuvelvollisuus sekä sisäänrakennettu ja oletusarvoinen yksityisyyden suoja. EU:n tietosuojauudistuspaketin (2) odotetaan vahvistavan ja nykyaikaistavan sääntelykehystä.

EU:ssa halutaan maksimoida kasvu ja kilpailukyky massadataa hyödyntämällä. Digitaalisille sisämarkkinoille ei kuitenkaan voida kritiikittömästi tuoda datavetoisia tekniikoita ja liiketoimintamalleja, joista on tullut talouden valtavirtaa muilla maailman alueilla. Sen sijaan on näytettävä esimerkkiä kehittämällä vastuullista henkilötietojen käsittelyä. Internet on kehittynyt siihen suuntaan, että valvonnan – ihmisten käyttäytymisen seurannan – katsotaan olevan joillekin menestyksekkäimmistä yrityksistä välttämätön tuloksentekomalli. Tällaista kehitystä on arvioitava kriittisesti, ja on etsittävä muita vaihtoehtoja.

Suuria henkilötietomääriä käsittelevien organisaatioiden on joka tapauksessa noudatettava sovellettavaa tietosuojalainsäädäntöä valitusta liiketoimintamallista riippumatta. Euroopan tietosuojavaltuutettu katsoo, että massadatan vastuullisen ja kestävän kehittämisen on tukeuduttava neljään tärkeään tekijään:

organisaatioiden on kerrottava paljon avoimemmin, miten ne käsittelevät henkilötietoja

käyttäjien on voitava suuremmassa määrin valvoa, kuinka heidän tietojaan käytetään

tuotteissa ja palveluissa on oltava käyttäjäystävällinen sisäänrakennettu tietosuoja

organisaatioiden on oltava enemmän vastuussa tekemisistään.

Avoimuudella tarkoitetaan, että ihmisille on annettava selkeät tiedot siitä, mitä tietoja käsitellään, ja myös heitä koskevista havainnoista tai päätelmistä. Ihmisille on tiedotettava paremmin, kuinka ja mihin tarkoitukseen tietoja käytetään ja millaiseen logiikkaan heitä koskevien olettamusten ja ennusteiden määrittämiseen käytettävät algoritmit perustuvat.

Käyttäjävalvonta auttaa varmistamaan, että ihmisillä on paremmat mahdollisuudet havaita epäoikeudenmukaiset vääristymät ja riitauttaa virheet. Käyttäjävalvonta auttaa estämään tietojen toissijaisen käytön tarkoituksiin, jotka eivät täytä käyttäjien oikeutettuja odotuksia. Uuden sukupolven käyttäjävalvonnan ansiosta ihmisillä on aito mahdollisuus tehdä tarvittaessa tietoon perustuvia valintoja, ja heillä on entistä paremmat mahdollisuudet käyttää itse omia henkilötietojaan paremmin.

Vahvat oikeudet tiedonsaantiin ja tietojen siirrettävyyteen sekä toimivat estomekanismit voivat olla edellytys sille, että käyttäjät voivat entistä paremmin valvoa omia tietojaan. Ne voivat myös auttaa kehittämään uusia liiketoimintamalleja ja entistä tehokkaampaa ja avoimempaa henkilötietojen käyttöä.

Vastuuntuntoiset tietojen käsittelystä vastaavat tahot voivat myös hyötyä massadatan eduista ja samalla varmistaa, että ihmisarvoa ja vapauksia kunnioitetaan, kehittämällä järjestelmiinsä ja prosesseihinsa sisäänrakennetun tietosuojan ja mukauttamalla tietosuojaa entistä aidomman avoimuuden ja käyttäjävalvonnan aikaansaamiseksi

Tietosuoja on kuitenkin vain osa vastausta. EU:n on otettava johdonmukaisemmin käyttöön nykyaikaisia välineitä muun muassa kuluttajansuojan, kilpailuoikeuden, tutkimuksen ja kehittämisen alalla tietosuojan ja valinnanvapauden varmistamiseksi markkinoilla, joilla yksityisyydensuojaa tukevat palvelut voivat menestyä.

Massadatan asettamiin haasteisiin voidaan vastata sallimalla innovaatiot ja suojelemalla samalla perusoikeuksia. Yritysten ja muiden organisaatioiden, jotka uhraavat paljon työtä löytääkseen innovatiivisia tapoja hyödyntää henkilötietoja, on nyt sovellettavaa samaa innovatiivista työskentelytapaa tietosuojalainsäädännön noudattamiseen.

Euroopan tietosuojavaltuutettu haluaa kannustaa uuteen avoimeen, tietoon perustuvaan keskusteluun EU:ssa ja sen ulkopuolella yliopistomaailman ja monien sääntelyviranomaisten ja sidosryhmien aiempien lausuntojen pohjalta. Kansalaisyhteiskunta, suunnittelijat, yritykset, yliopistomaailma, viranomaiset ja sääntelyviranomaiset on saatava entistä tiiviimmin mukaan keskusteluun siitä, kuinka toimialan luovaa potentiaalia voitaisiin parhaiten käyttää lainsäädännön täytäntöön panemiseksi ja yksityisyyden ja muiden perusoikeuksien suojelemiseksi parhaalla mahdollisella tavalla.

6.   Seuraavat vaiheet: periaatteiden toteuttaminen käytännössä

Massadatan asettamiin haasteisiin voidaan vastata sallimalla innovaatiot ja suojelemalla samalla perusoikeuksia. Tämä voidaan toteuttaa säilyttämällä Euroopan tietosuojalainsäädännön vakiintuneet periaatteet mutta soveltamalla niitä uusin tavoin.

6.1   Tulevaisuuteen suuntautunut asetus

Yleistä tietosuoja-asetusehdotusta koskevat neuvottelut ovat loppusuoralla. Olemme kehottaneet EU:n lainsäätäjiä hyväksymään tietosuojan uudistuspaketin, jolla sääntelykehystä vahvistetaan ja nykyaikaistetaan siten, että sillä on edelleen vaikutusvoimaa massadatan aikakaudella. Samalla lujitetaan ihmisten luottamusta verkkoon ja digitaalisiin sisämarkkinoihin (3).

Lausuntoon 3/2015 on liitetty joukko suosituksia, jotka koskevat asetusehdotuksen koko tekstiä. Lausunnossa on tehty selväksi, että nykyisten tietosuojaperiaatteiden, kuten tarpeellisuuden, oikeasuhteisuuden, tietojen minimoinnin, käyttötarkoituksen rajoittamisen ja avoimuuden, on edelleen oltava keskeisiä periaatteita. Ne tarjoavat lähtökohdan, jota tarvitsemme perusoikeuksien turvaamiseksi massadatan maailmassa (4).

Samalla näitä periaatteita on lujitettava ja sovellettava entistä tehokkaammin ja nykyaikaisemmalla, joustavammalla, luovemmalla ja innovatiivisemmalla tavalla. Niitä on myös täydennettävä uusilla periaatteilla, kuten vastuuvelvollisuudella sekä sisäänrakennetulla ja oletusarvoisella tietosuojalla ja yksityisyyden suojalla.

Lisääntynyt avoimuus, tehokkaat oikeudet tiedonsaantiin ja tietojen siirrettävyyteen sekä toimivat estomekanismit voivat olla edellytys sille, että käyttäjät voivat entistä paremmin valvoa omia tietojaan. Ne voivat myös auttaa tehostamaan henkilötietojen markkinoita sekä kuluttajien että liikeyritysten hyödyksi.

Lisäksi EU:n tietosuojalainsäädännön soveltamisala on ulotettava koskemaan organisaatioita, joiden kohteena ovat henkilöt EU:ssa, ja tietosuojaviranomaisille on annettava valtuudet soveltaa mielekkäitä oikeussuojakeinoja mukaan lukien asianmukaiset sakot, kuten asetusehdotuksen mukaan säädettäisiin. Nämä ovat myös keskeinen edellytys sille, että lainsäädäntömme noudattamista voidaan tehokkaasti valvoa globaalissa ympäristössä. Uudistusprosessi on tässä suhteessa tärkeässä asemassa.

Jotta sääntöjen tehokas valvonta voitaisiin varmistaa, riippumattomille tietosuojaviranomaisille on annettava oikeudelliset valtuudet ja vahvat välineet mutta myös tarvittavat resurssit, jotta viranomaisten kapasiteetti vastaisi datavetoisen liiketoiminnan kasvua.

6.2   Euroopan tietosuojavaltuutetun panos keskusteluun

Hyvä sääntely on olennaisen tärkeää mutta riittämätöntä. Yritysten ja muiden organisaatioiden, jotka uhraavat paljon työtä löytääkseen innovatiivisia tapoja hyödyntää henkilötietoja, olisi sovellettava samaa innovatiivista työskentelytapaa tietosuojalainsäädännön noudattamiseen. Tietosuojaviranomaisten olisi puolestaan valvottava, että lainsäädäntöä noudatetaan, ja palkittava sen noudattamisesta. Viranomaisten olisi vältettävä aiheuttamasta turhaa byrokratiaa ja paperityötä.

Kuten Euroopan tietosuojavaltuutettu on vuosien 2015–2019 strategiassaan ilmoittanut, tietosuojavaltuutetun tavoitteena on edistää tätä työtä.

Tarkoituksenamme on perustaa ulkoinen ansioituneista ja riippumattomista henkilöistä koostuva eettinen neuvonantajaryhmä. Jäsenillä on yhteensä oltava kokemusta monilta aloilta, jotta heillä olisi valmiudet tutkia ihmisoikeuksien, teknologian, markkinoiden ja liiketoimintamallien välisiä suhteita 2000-luvulla, analysoida perusteellisesti massadatan vaikutusta, arvioida siitä yhteiskunnalle aiheutuvia muutoksia ja auttaa osoittamaan ongelmakohdat, joita voitaisiin käsitellä poliittisessa päätöksenteossa (5).

Kehitämme myös rehellisen tiedotuspolitiikan mallia niitä EU:n elimiä varten, jotka tarjoavat verkkopalveluja. Näin voidaan edistää hyvää käytäntöä kaikkien tietojen käsittelystä vastaavien keskuudessa.

Lisäksi haluamme edistää keskustelua tavoitteena muun muassa löytää hyviä käytäntöjä avoimuuden ja käyttäjävalvonnan lisäämiseksi, edistää niiden käyttöä ja kannustaa siihen sekä tutkia henkilötietovarastojen ja tietojen siirrettävyyden mahdollisuuksia. Euroopan tietosuojavaltuutettu aikoo järjestää massadatan tietosuojaa koskevan työpajan päätöksentekijöille ja henkilöille, jotka käsittelevät suuria määriä henkilötietoja EU:n toimielimissä, sekä ulkoisille asiantuntijoille. Tavoitteena on havaita erityisen lisäohjauksen tarpeet ja helpottaa IPEN:n (Internet Privacy Engineering Network) työtä teknisten asiantuntijoiden ja yksityisyydensuojan asiantuntijoiden välisenä monialaisena tietokeskuksena.

Tehty Brysselissä 19 päivänä marraskuuta 2015.

Giovanni BUTTARELLI

Euroopan tietosuojavaltuutettu


(1)  The right to be let alone is indeed the beginning of all freedom. USA:n korkeimman oikeuden tuomari William O. Douglas, asiassa Public Utilities Commission v. Pollak, 343 U.S. 451, 467 (1952), eriävä mielipide.

(2)  Euroopan komissio hyväksyi 25. tammikuuta 2012 paketin EU:n tietosuojakehyksen uudistamiseksi. Paketti käsittää i) tiedonannon (KOM(2012) 9 lopullinen), ii) ehdotuksen yleiseksi tietosuoja-asetukseksi (KOM(2012) 11 lopullinen) ja iii) ehdotuksen direktiiviksi tietosuojasta rikosoikeuden alalla (KOM(2012) 10 lopullinen).

(3)  EDPS:n lausunto 3/2015.

(4)  Meidän on vastustettava kiusausta vesittää suojan nykyinen taso yrittäessämme sopeutua havaittuun tarpeeseen löysätä massadataan sovellettavaa sääntelyä. Tietosuojaa on edelleen sovellettava kaikkeen tietojenkäsittelyyn, ei ainoastaan tiedon käyttöön vaan myös sen keräämiseen. Peitenimillä suojatun tiedon tai julkisesti saatavilla olevan tiedon käsittelyä koskevat yleisluonteiset poikkeukset eivät liioin ole oikeutettuja. Henkilötietojen määritelmään ei pidä puuttua, mutta sitä voitaisiin edelleen selkiyttää varsinaisessa asetustekstissä. Määritelmän on edelleen katettava kaikki tiedot, jotka liittyvät henkilöön, joka on nimetty tai erotettu joukosta taikka voidaan nimetä tai erottaa joukosta – tekipä sen tietojen käsittelystä vastaava taho tai jokin muu osapuoli.

(5)  EDPS:n lausunto 4/2015.