Edilex-palvelut

Kirjaudu sisään

Avoin

12.8.2024 13.33 Vierashuoneessa väitöskirjatutkija, OTM Jaakko Seppänen: Mitä riskienhallintavelvoitteista pitäisi ajatella?

Vierashuoneessa väitöskirjatutkija, OTM Jaakko Seppänen: Mitä riskienhallintavelvoitteista pitäisi ajatella?

Riskienhallintavelvoitteet ovat tulleet jäädäkseen. Tarkasteltiinpa sitten tietosuojaan, ympäristönsuojeluun, kuluttajaturvallisuuteen tai rahoituslaitoksiin liittyvää sääntelyä, riskin käsite on kytkeytynyt kiinteäksi osaksi tällaisen lainsäädännön toimintalogiikkaa. Oikeusteoreettisessa artikkelissani pyritään muun muassa selkiyttämään, mistä tällaisessa sääntelyssä on oikeastaan kyse.

Ihmiset ovat kautta aikain pyrkineet välttelemään erilaisia elämäänsä uhkaavia vaaroja, se lienee koodattu jo biologisiin selviytymisvaistoihimme. Riskin käsite näyttäisi puolestaan ilmaantuneen kielenkäyttöön Euroopassa 1100-luvun loppupuolella. Riski on tuolloin alettu kelpuuttamaan myös taloudellisen vaihdannan kohteeksi. Viime vuosisatojen aikana teollistuneissa yhteiskunnissa ilmenneiden riskien hallitsemiseksi on kehitetty yhä moninaisempia instituutioita, kuten sosiaalivakuutusjärjestelmiä. Ne perustuvat keskeisesti ajatukseen työttömyyden, sairastumisten ja tapaturmien kaltaisten riskien jakamisesta järjestelmän osallisten kesken.

Tutkimusartikkelissani mielenkiintoiseksi havainnoksi nousee kuitenkin se, että lainsäädännöllisissä yhteyksissä riskin käsitettä näytettäisiin aletun käyttää laajamittaisemmin ja eksplisiittisemmin vasta 1980–90-luvuilta lähtien. Tuolloin näyttäisi käynnistyneen ajattelutavan muutos, jonka mukaisesti riskin käsitteen ei mielletty enää pelkästään kuvaavan lainsäädäntötoimien kohteena olevia ilmiöitä. Sen sijaan riskiperusteisuus on alettu hahmottamaan kokonaisvaltaisemmin yhtenä mahdollisena lähestymistapana sääntelyyn.

Tätä käännettä voidaan luonnehtia ”jälkihyvinvointivaltiolliseksi”: ilmiössä näyttäisi olleen kyse osaltaan vastareaktiosta sitä kohtaan, ettei hyvinvointivaltiollisenkaan oikeuden ole koettu vastanneen riittävästi esimerkiksi ympäristön saastumisen, ydinvoiman tai tietoteknologioiden käytön tuottamiin uudentyyppisiin riskeihin. Näillä ihmisen omasta toiminnasta aiheutuneilla riskeillä on taipumusta ylittää kansallisvaltioiden maantieteelliset rajat ja institutionaaliset suojamekanismit. Toisaalta mukaan vaikuttaisi sekoittuneen vaatimuksia esimerkiksi julkishallinnon keskusjohtoisen toiminnan tehostamisesta tai supistamisesta, ja yhteiskunnallisen riskienhallinnan vastuiden hajauttamisesta muillekin toimijoille kuin valtiolle.

Varsinaisiksi riskienhallintavelvoitteiksi määrittelen artikkelissa sellaiset oikeusnormit, jotka velvoittavat kohteenaan olevia toimijoita tunnistamaan, arvioimaan ja hallitsemaan riskejä. Tällaiset velvoitteet näyttäisivät eroavan perinteisemmistä käsky- tai kieltomuotoisista velvoitteista siinä, että ne eivät ainoastaan käske toimimaan tai kiellä toimimasta tietyllä tavalla jonkin riskin välttämiseksi. Sen sijaan ne siirtävät kohteenaan oleville toimijoille myös tunnistamis- ja määrittelyvastuuta: mitkä riskit ovat missäkin tilanteessa relevantteja, ja mitkä toimenpiteet soveltuvia ja tehokkaita kyseisten riskien hallitsemiseksi? Tällaista sääntelytekniikkaa voidaan luonnehtia eräänlaiseksi metasääntelyksi.

Parhaassa tapauksessa tällainen sääntely auttaa ottamaan paremmin huomioon ne yksilölliset olosuhteet ja riskit, mitä erityyppisiin yhteiskunnan toimintoihin liittyy. Toisaalta ei ole mitenkään itsestään selvää, että riskienhallintavelvoitteiden säätämisestä seuraisi aina optimaalista riskienhallintaa. Riskienhallintavelvoitteissa erityisenä vaarana saattaa piillä ”olemisen” ja ”pitämisen” välisen eronteon hämärtyminen tavalla, joka voi johtaa yhtä lailla rimanalituksiin kuin ylilyönteihinkin. Erityyppisiä ja -asteisia riskejä voidaan tunnistaa periaatteessa loputtomasti, ja siksi johonkin on kyettävä vetämään raja, minkälaisten riskien olemassaoloa voidaan sietää ja mitkä puolestaan aiheuttavat konkreettisia toimintavelvollisuuksia.

EU:n yleinen tietosuoja-asetus on ollut havainnollinen esimerkki riskienhallintavelvoitteisiin liittyvistä dilemmoista. Riskiperusteisuutta korostavaa säädöstä voidaan pitää esimerkkinä monella tapaa edistyksellisestä sääntelystä. Samalla siitä on muodostunut kuitenkin myös merkittävä tulkintaerimielisyyksien ja jopa suoranaisten väärinkäsitysten lähde. Vielä vuosia tietosuoja-asetuksen sovellettavaksi tulemisen jälkeenkin oikeuskäytännössä on askaroitu perustavanlaatuisten kysymysten parissa: minkä tyyppisiä ja laajuisia vastuita asetus oikeastaan tuottaa millekin toimijoille, ja mitä sen rikkomisesta voi seurata?

Riskienhallintavelvoitteiden säätämisessä ja tutkimisessa olisi siis syytä kiinnittää erityistä huomiota siihen, millä edellytyksillä tällaiset velvoitteet todellisuudessa toimivat: kuinka paljon vastuuta relevanttien riskien ja niiden hallintatoimien määrittelystä voidaan siirtää sääntelyn kohteena oleville toimijoille? Miten varmistutaan siitä, etteivät sääntelyn päämäärät ala itsessään hämärtyä ja mahdollisuudet sääntelyn noudattamisen oikeudelliseen kontrollointiin heikentyä?

Näistä ja muista riskin käsitteen ja oikeudellisen sääntelyn suhteeseen liittyvistä oikeusteoreettisista pohdinnoista voit lukea lisää oheisesta artikkelistani. Artikkeli pohjustaa väitöskirjaprojektiani, joka liittyy julkisten ICT-hankintojen riskienhallinnan sääntelyyn.

Jaakko Seppänen
OTM, väitöskirjatutkija, Itä-Suomen yliopisto
Lakimies, Helsingin kaupungin kaupunkiympäristön toimiala

Vertaisarvioitu artikkeli Edilexin Lakikirjastossa

Vierashuonekirjoitukset eivät ole Edilex-toimituksen kannanottoja asioihin.


Edilex arvioitiin Julkaisufoorumi-luokituksen tasolle 1

Kirjoita Edilexiin

Juridiikan kirjat, koulutukset ja verkkopalvelut

Toimittaja: Jukka Savolainen, Edilex-toimitus (jukka.savolainen@edita.fi)

Lisää muistilistalle

Muuta kansioita

Dokumentti ei ole muistilistallasi. Lisää se valittuun tai uuteen kansioon.

Lisää dokumentti kansioihin tai poista se jo liitetyistä kansioista.

Lisää uusi kansio.

Lisää uusi väliotsikko.