Kenen ehdoilla rahoitusalan data on menossa pilveen?

Koronapandemia on edesauttanut digitaalisten ratkaisujen ja välineiden käyttöönottoa. Myös digitalisaatioon liittyvän lainsäädännön kehitys on kevään aikana ottanut isoja askeleita eteenpäin EU-tasolla. Komissio muutti alkuvuonna hyväksyttyä työohjelmaansa toukokuun lopulla koronapandemian puhkeamisen jälkeen. Muuttuneessa työohjelmassa etusijalle asetettiin pandemian hoitamisen kannalta tärkeimmäksi katsottuja, mm. digitalisaatioon liittyviä, lainsäädäntöaloitteita.

Komissio julkaisi ehdotuksen digitaalisen rahoituksen paketiksi 24. syyskuuta. Ehdotusta lukiessa huomaa, että lainsäädäntöpaketin taustalla on ollut ajatus edistää digitaalista kehitystä, mutta myös vastata EU:n ulkopuolisten yritysten mukanaan tuomiin haasteisiin. Pakettiin sisältyy kahden komission tiedonannon lisäksi kolme lainsäädäntöehdotusta. Keskeisinä tavoitteina kokonaisuudessa voidaan mainita innovoinnin tukeminen, ICT-palveluiden ulkoistamisesta aiheutuvien riskien hallinta, rahoitusalan datan käsittely, kuluttajan suoja sekä eurooppalaisten maksuvälineiden, infrastruktuurien ja standardien kehittäminen. Tässä tarkastelen tarkemmin datan käsittelyä sekä ehdotusta, joka koskee rahoitusmarkkinoiden digitaalista häiriönsietokykyäEhdotus Euroopan parlamentin ja neuvoston asetukseksi digitaalisesta häiriönsietokyvystä rahoitusmarkkinoilla ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014 ja (EU) N:o 909/2014 muuttamisesta ja direktiiviksi direktiivien 2006/43/EY, 2009/65/EY, 2009/138/EU, 2011/61/EU, EU/2013/36, 2014/65/EU, (EU) 2015/2366 ja EU/2016/2341 muuttamisesta..

Tutkimusten mukaan pankkialan ICT-kulut ovat lähes kymmenen prosenttia niiden tuloista ja jopa kolminkertaiset verrattuna muihin isoihin toimialoihin. ICT-Palveluista aiheutuvien riskien hallitsemiseksi asetusehdotus asettaa finanssialan toimijoille erinäisiä velvollisuuksia, joita on noudatettava ostettaessa kyseisiä palveluita ulkopuolisilta palveluntarjoajilta.

Velvollisuuksiin kuuluu mm. palveluntarjoajien tiedot sisältävän rekisterin ylläpito, pakottavien sopimusehtojen käyttäminen ja ulkopuolisten palveluntarjoajien osallistaminen ICT-järjestelmien kyberturvatestaukseen. Finanssialalle kriittisiä ICT-palveluita tarjoavat kolmannet osapuolet tuodaan lisäksi Euroopan valvontaviranomaisten Euroopan valvontaviranomaiset: Euroopan pankkiviranomainen (EPV), Euroopan arvopaperimarkkinaviranomainen (EAMV), Euroopan vakuutus- ja lisäeläkeviranomainen (EVLEV).valvonnan alaisuuteen.

Rahoitusmarkkinoiden digitaalista häiriönsietokykyä koskevalla ehdotuksella halutaan puuttua muun muassa pilvipalveluiden käytöstä aiheutuviin riskeihin. Asetukset ovat jäsenvaltioissa suoraan sovellettavaa oikeutta, joten vaatimusten sisällyttäminen asetustasoiseen sääntelyyn on fiksu veto, koska se asettaa kaikki palveluntarjoajat samalle viivalle mm. sopimusneuvotteluissa.

Koska pilvipalvelumarkkinoita hallitsevat suurelta osin ulkomaiset teknologiayhtiöt, ilman ylikansallista sääntelyä pienten rahoitusalan toimijoiden saattaa olla vaikeaa, ellei jopa mahdotonta, neuvotella itselleen suotuisista sopimusehdoista massiivisten EU:n ulkopuolisten teknologiayritysten kanssa. Tällä hetkellä markkinaosuudeltaan suurin pilvipalveluiden tarjoaja maailmanlaajuisesti on Amazon Web Services. Muita merkittäviä palveluntarjoajia ovat esimerkiksi Google Cloud, IBM Cloud, Microsoft Azure, Salesforce Cloud, sekä kiinalaiset Alibaba Cloud ja Tencent Cloud.

Yhtenäisten EU-tason sääntöjen laatiminen on tärkeää myös siksi, että tällä hetkellä osalla jäsenvaltioista on käytössään kansallista digitaaliseen häiriönsietokykyyn liittyvää sääntelyä, erilaisia valvontamekanismeja sekä järjestelmien testaukseen liittyviä käytäntöjä. Nämä toisistaan poikkeavat menettelytavat ja sääntely aiheuttavat ylimääräisiä kustannuksia etenkin rajat ylittävää liiketoimintaa harjoittaville rahoitusalan toimijoille.

Digitaaliseen häiriönsietokykyyn liittyvien näkökohtien lisäksi finanssialan toimijoiden on syytä pohtia, myös pilvipalveluiden käytössä, asiakkaiden tietojen luovuttamiseen liittyviä kysymyksiä. Euroopan unionin tuomioistuin antoi heinäkuussa ratkaisun (2016/1250)Katso lehdistötiedote asiasta täältä: https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf., jolla tuomioistuin vahvisti eurooppalaisen tietosuoja-asetuksen asemaa myös EU:n rajojen ulkopuolella. Rahoitusalan toimijoiden siirtäessä asiakkaiden tietoja ulkopuolisten palveluntarjoajien haltuun on olennaisen tärkeää varmistaa, että tiedot voidaan tarpeen vaatiessa siirtää toiselle palveluntarjoajalle, tiedot ovat suojattuja ja niitä ei esimerkiksi voida luovuttaa eteenpäinPilvipalveluiden tarjoajien kanssa solmittavissa sopimuksissa on yleensä ehto, jonka mukaan kenelläkään ulkopuolisella ei ole pääsyä asiakkaan dataan. Tietoja ei myöskään lähtökohtaisesti saa luovuttaa viranomaisille niiden pyynnöistä huolimatta. Pilvipalveluntarjoajan on kuitenkin luovutettava hallussaan olevaa asiakasdataa kotimaansa viranomaisille tietyissä lainsäädännön sallimissa poikkeustilanteissa. Tällaiset poikkeustilanteet koskevat turvallisuusviranomaisten tekemiä tietojen luovutuspyyntöä esimerkiksi kansalliseen turvallisuuteen liittyvissä asioissa..

Vaikka asetustasoinen sääntely ei luonnollisestikaan anna vastauksia kaikkiin palveluntarjoajien kanssa solmittaviin sopimuksiin ja yhteistyöhön liittyviin kysymyksiin, voidaan EU-tasoisten perussääntöjen laatimista pitää hyvänä lähtökohtana sisämarkkinoiden toiminnan ja eurooppalaisen kuluttajan suojaamisen näkökulmasta. Lisäksi on syytä todeta, että yksittäiseen toimijaan tai jäsenvaltioon verrattuna EU nähdään varsin kunnioitettavana ja voimakkaana neuvottelijana myös sen rajojen ulkopuolella.