Omadatasta käydään paljon keskustelua ja se liittyy vahvasti tulevaisuuden skenaarioihin siitä, miten henkilötietoja tulevaisuuden digitalisoituneessa maailmassa tulisi hallita.
Omadata on maailmanlaajuisesti kehitysvaiheessa oleva ilmiö, jonka ympärille on kertymässä kasvavaa vauhtia teknologiaa ja liiketoimintaa ja yritykset yhä enenemässä määrin ovat kiinnostuneista henkilötietojen uudenlaisen hyödyntämisen mahdollisuuksista.107 Juha Sipilän hallitusohjelmassa on hallituskauden kärkihankkeiden osalta yhdeksi tavoitteeksi asetettu digitalisoida julkiset palvelut, johon osaltaan kuuluu se, että vahvistetaan kansalaisten oikeutta valvoa ja päättää itseään koskevien tietojen käytöstä, samalla varmistaen tietojen sujuva siirtyminen viranomaisten välillä.108 Jotta omadata-mallia voidaan tehokkaasti toteuttaa, on lainsäädännössä tunnistettava omadatan mahdolliset
105 Väestörekisterikeskuksen www-sivut.
106 Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 61/2017, s. 48.
107 LVM 2/2014, s.9.
108 Hallituksen julkaisusarja 10/2015, s. 26.
vaikutukset. Tällä hetkellä julkista hallintoa koskeva lainsäädäntö ei lähde yksilön oikeuksista omiin tietoihinsa, vaan enemmänkin viranomainen on henkilötietojen käsittelyn määrittelevä taho. Nykypäivänä suunta on kuitenkin kohti yksilön itsemääräämisoikeuden korostamista, eikä julkisen sektorin katsota enää voivan vapaasti määrätä keräämistään henkilötiedoista.109 Kuten edellä on mainittu, henkilötietojen käsittely nykytilassa pohjautuu pitkälti henkilötietolakiin, julkisuuslakiin sekä erityislainsäädäntöihin. Eri raporteissa lainsäädännön osalta on kuitenkin tunnistettu se, että lainsäädäntöä tulee muuttaa kansallisesti, jotta ensinnäkin EU:n tietosuoja-asetus tehokkaasti toteutuu ja toisaalta myös kansallinen digitalisaatio etenee mahdollisimman tehokkaasti.
Tällä hetkellä tiedon hallintaan kansallisella tasolla laajalti tulee vaikuttamaan valmisteilla oleva laki tiedonhallinnan lainsäädännöstä, jonka on tarkoitus tulla voimaan vuoden 2019 alusta lähtien. Tiedonhallintalaista on julkaistu vuonna 2017 työryhmän raportti lain kehittämislinjauksista ja sen pohjalta on tarkoitus julkaista hallituksen esitys syksyllä 2018.
Jo työryhmän raportin tiivistelmässä tulee ilmi se, että tällä hetkellä tiedonhallintaa koskeva lainsäädäntö on hajanaista, runsasta ja epätarkkaa, eikä se vastaa digitalisoituneen yhteiskunnan vaatimiin muutoksiin.110 Nykymuotoinen tiedonhallinta ja tietoaineistojen muodostuminen perustuu viranomaisten erillisyysperiaatteeseen, jossa kukin viranomainen muodostaa oman tiedonhallinnan yksikkönsä ja siten myös vastaa tietojen hallinnasta. Tämä taas on johtanut siihen, että viranomaiset keräävät tietoja vain omien tehtäviensä ja käyttötarpeensa mukaisesti, eli tietoaineistojen muodostamisesta puuttuu kokonaisprosessiajattelu.111 Raportista ilmenee lain tavoitetila henkilötietojen käsittelyn suhteen; tavoitteena on tietojen sujuvampi liikkuminen viranomaisten välillä siten, että tietoja kysytään yksilöltä vain kerran ja tämän jälkeen tieto olisi käytettävissä viranomaisella lakisääteisen tehtävän hoitamiseen ilman erityislainsäädäntöön pohjautuvaa sääntelyä.112 Tiedonhallinnan laki pyrkii vähentämään hallinnollista prosessia viranomaisten välillä tiedon liikkuvuuden suhteen. Koska henkilötietoja kerätään myös viranomaisten tarpeisiin yhä kiihtyvään tahtiin, tulisi kokonaisuuden hallitseminen olla itsestäänselvyys.
Henkilötietojen käsittelyn läpinäkyvyyden kannalta lainsäädännön selkeyttäminen on ensiarvoisen tärkeää. Erityislainsäädäntöä tarvitaan, mutta suuret linjat tulisi säätää yleislainsäädännöllä.
109 Saarenpää 2012, s. 509.
110 Valtiovarainministeriön julkaisu – 37/2017, s. 3.
111 Valtiovarainministeriön julkaisu – 37/2017, s. 92.
112 Valtiovarainministeriön julkaisu – 37/2017, s. 23.
3.5.2 Hallituksen esitys liikenteen turvallisuusvirastosta
Tutkielmaa kirjoitettaessa on elokuuhun 2018 mennessä ilmestynyt muutamia hallituksen esityksiä, joissa on nimenomaisesti mainittu omadata. Hallituksen esitys laiksi liikenteen palveluista annetun lain muuttamiseksi ja eräiksi siihen liittyviksi laeiksi nostaa omadata-käsitteen useassa kohdassa esille ja edistää omadata-mallin käyttöönottoa. Esityksen mukaan omadatassa keskeisintä on henkilön mahdollisuus siirtää tietojaan uudelleen käytettävässä muodossa itselleen, määräämäänsä paikkaan tai valtuuttamaansa palveluun hyödynnettäväksi eli tietosuoja-asetuksen 20 artiklan mukainen oikeus siirtää tiedot järjestelmästä toiseen.113 Lakiesitys velvoittaa Liikenteen turvallisuusvirastoa luovuttamaan julkiset tiedot avoimen rajapinnan kautta. Lain 3 luku tietojen luovuttamisesta, sen 8 § tulisi säätelemään henkilön omien tietojen hallintaa.
”Liikenteen turvallisuusviraston on mahdollistettava rekisteröidyn omien tietojen hakeminen ja kopioiminen toiseen tietojärjestelmään avoimen rajapinnan välityksellä koneluettavassa muodossa. Tämä ei koske sellaisia salassa pidettäviä tietoja, jotka Liikenteen turvallisuusvirasto on saanut rikos- tai sakkorekisteristä eikä valvonta- ja seuraamustietoja.”
Säännös on askel uuteen malliin henkilötietojen käsittelyssä, jossa omadata-malli otetaan huomioon jo lainsäädäntövaiheessa. Kyseinen laki säätelisi siten, että Liikenteen turvallisuusviraston olisi tosiasiallisesti toteutettava uusia rajapintoja tietojen siirrettävyyden mahdollistamiseksi ja mahdollistamaan omadataan perustuvien palvelujen syntymistä.
Kuten tiedonhallinnan lainsäädännön kehittämislinjausten työryhmän raportissa on yleisen tietosuoja-asetuksen 20 artiklasta mainittu, tiedonsiirtoon liittyvä säännös ei muodosta viranomaiselle velvollisuutta tuottaa lakisääteisten tehtävien yhteydessä tietoaineistoja siirtoa edellyttävään muotoon.114 Hallituksen esityksessä on tämä huomioitu säätämällä tosiasiallisesti avointen rajapintojen rakentamisesta, jolloin tiedon siirto on mahdollista sähköisessä muodossa suoraan rekisterinpitäjältä toiselle. Huomionarvoista on se, että henkilön siirtäessä tietoja järjestelmästä toiseen, säilyvät siirrettävät tiedot tiedon luovuttajan rekisterissä, eikä sen osalta esimerkiksi siirrettävää henkilötietoa poisteta. Tieto vain siirretään järjestelmästä toiseen, mutta se säilyy myös alkuperäisessä järjestelmässä.
113 HE 145/2017, Nykytila, luku 2.
114 Valtiovarainministeriö, 2017, s. 25.
3.5.3 Koski-rekisteri
Omadata-mallia tukeva, vuoden 2018 alusta voimaan tullut lainsäädäntö on laki valtakunnallisista opinto- ja tutkintorekistereistä (884/2017) eli niin sanottu Koski-laki.
Koski-rekisteriin on koottu kunkin kansalaisen tiedot koulutuksesta yksittäisestä opintosuorituksesta suoritettuihin tutkintoihin asti. Koski-rekisteri sisältää tiedot myös henkilöiden opinto-oikeuksista sekä suoritettujen tutkintojen sisällöstä ja vaatimuksista.
Rekisteristä kansalaisten lisäksi myös viranomaiset saavat tarvittavat koulutustiedot keskitetysti yhdestä paikasta.115 Laki paitsi mahdollistaa opintosuoritusten tietoturvallisen luovuttamisen edelleen, turvaa opintosuoritusten- ja tutkintotietojen yhdenmukaisuuden sekä edistää koulutukseen hakemista ja elinikäistä oppimista.
Lain 10 §:ssä säädetään tietojen luovuttamisesta tietovarannosta. Pykälän mukaan tietovarannosta tietoja voidaan luovuttaa viranomaiselle laissa säädetyn tehtävän hoitamiseksi, koulutusrahastolle lain säännöksen perusteella sekä sille, jolla yksilöidyn suostumuksen perusteella on oikeus saada rekisterin tietoja. Yksilöidystä suostumuksesta säädetään edelleen lain 29 §:ssä: ”Henkilö, josta on tallennettu tietoja tässä laissa tarkoitettuun rekisteriin tai tietovarantoon, voi palvelussa antaa yksilöidyn suostumuksensa rekisterissä tai tietovarannossa olevan tiedon luovuttamiseen viranomaiselle tai muulle taholle sekä peruuttaa antamansa suostumuksen”. Tiedot luovutetaan sähköisessä muodossa eikä luovutettavia tietoja tallenneta Opetushallituksen palveluun. Koski-palvelu avattiin 2018 alusta ja sen on tarkoitus olla käytössä lain vaatimusten mukaisesti vuonna 2019. Lain 29 §:n mukainen suostumustenhallinta ei ole vielä palveluun toteutettu, mutta se on tarkoitus toteuttaa osana YTI-hankkeen omadata-työpaketin pilottia. Työpaketissa toteutetaan suostumushallintapalvelu Koski-rekisteriin yhteystyössä Opetushallituksen sekä Väestörekisterikeskuksen kanssa.
Koski-rekisteri on ensimmäinen askel uuteen omadata-malliin, jossa lainsäädäntö mahdollistaa tietojen luovutuksen paitsi viranomaiselle lakisääteisen tehtävän hoitamiseksi, myös yksilön oman suostumuksen kautta. Lain hallituksen esityksessä todetaan, että henkilön suostumukseen perustuvia luovutuksia ei rajattaisi siten, että se koskisi vaan viranomaisia, vaan tietoja voidaan luovuttaa myös yksityisille toimijoille.116 Sääntely mahdollistaa aiempaa tehokkaammin yksilön oikeuksia omiin opintotietoihin. Kansalainen
115 Opetushallituksen www-sivut.
116 HE 72/2017, yksityiskohtaiset perustelut.
voi päättää ilman lain rajoituksia siitä, kenelle lakisääteisten käsittelijöiden lisäksi hän haluaa opiskelu- ja tutkintotietojaan luovuttaa. Esimerkiksi työnhaussa yksilö voisi mahdollisesti luovuttaa potentiaaliselle työnantajalle omia opintosuoritustietojaan. Kyseinen mahdollisuus herättää myös kysymyksiä yksilön sekä rekisterinpitäjän vastuukysymyksistä.
Hallituksen esityksessä todetaan, että Opetushallituksella ei olisi tosiasiallista harkintavaltaa sen suhteen, luovutetaanko pyydetyt tiedot vai ei, sillä luovutus perustuu lakiin tai yksilön antamaan suostumukseen.117
3.6 Omadatan kansainvälinen kehitys