Data-asetus (Data Act) – tulkintakysymyksiä ja käytännön haasteita

Data-asetuksen myötä käyttäjät saavat määräysvallan verkkoon liitettyjen tuotteiden ja oheispalvelujen käytöstä syntyneeseen dataan. Sopimus on ainoa mahdollisuus turvata datan haltijan oikeus hyödyntää tuotteiden ja palvelujen käytöstä syntyvää, ei henkilötiedoksi katsottavaa dataa datan haltijan omiin tarkoituksiin, kuten tuotekehitykseen tai analytiikkaan.  

Vaatimus sopimukselle datan hyödyntämiseksi koskee 12.9.2025 alkaen kerättävää dataa ja se koskee yhtä lailla niin uusia kuin vanhojakin käyttäjiä. Uusien asiakkaiden ohella siis myös olemassa olevien asiakkaiden kanssa tulee tehdä järjestelyjä, jotta varmistetaan datan haltijan oikeus käyttää asetuksen soveltamisen alkamisen jälkeen kerättävää dataa. Riippuen tuotteiden ja palvelujen luonteesta ja niiden myyntiin, toimittamiseen ja käyttöön liittyvistä yksityiskohdista, haasteita sopimiseen voivat tuottaa useat eri seikat. 

Datan haltijalla on velvollisuus tunnistaa käyttäjä (tietosuojasääntely huomioiden), jotta se voi varmistaa, että se on sopinut juuri oikean käyttäjän kanssa tämän nimenomaisen käyttäjän laitteen tai palvelun tuottaman datan hyödyntämisestä. Käytännön haasteita voi tuottaa asiakkaiden suuri volyymi sekä se, miten datan haltija voi varmistua pätevän sopimuksen syntymisestä käyttäjän ja datan haltijan välillä. Erityisesti sellaiset verkkoon liitetyt tuotteet, jotka eivät sisällä käyttöliittymää yksittäisen käyttäjän tunnistamiseksi vaikkapa käyttäjäprofiilin avulla, voivat aiheuttaa käytännön haasteita sopimuskumppanin tunnistamisen suhteen. Data-asetuksen voimaantulon jälkeen on ylläpidettävä myös tietoa siitä, mitkä käyttäjät ovat hyväksyneet heitä koskevan datan hyödyntämisen datan haltijan omiin tarkoituksiin. Mikäli käyttäjä ei ole lupaa sopimuksella antanut, ei kyseisen käyttäjän toimista syntynyttä dataa saa datan haltijan toimesta hyödyntää. Tämä kaikki aiheuttaa lisääntyneitä vaatimuksia datan haltijan käytänteisiin datamassojen hallinnoinnin osalta. 

Komission asiantuntijatyöryhmä on laatinut mallisopimusehdot käyttäjien kanssa tehtävien sopimusten muotoilun tueksi. Yrityksen tulee kuitenkin sovittaa datasäädöksestä aiheutuvat sopimusmuutokset omiin olemassa oleviin sopimusrakenteisiinsa ja käytäntöihinsä sopiviksi. Sellaisenaan mallisopimusehtoja ei voi suositella käytettäväksi. Datan käyttöä koskevista ehdoista on käytännössä sovittu monilla eri mekanismeilla. Joissakin tapauksissa tuotteen myyntiä koskevaan sopimuskokonaisuuteen on voitu liittää uusi datan käyttöä koskeva sopimusliite, joka on erikseen allekirjoitettu asiakkaiden kanssa. Toisinaan jotakin olemassa olevaa palvelusopimusta on voitu muokata vastaamaan datan jakamisen ja käytön vaatimuksia ja sopimusehdot on päivitetty kaikkien palvelun käyttäjien osalta. Riippumatta käytetystä ratkaisumallista datan haltijan tulee aina huolehtia sellaisista konkreettisista toimista, jotta käyttäjät saavat dataan liittyvät ehdot tutustuttavakseen ja hyväksyttäväkseen. 

Liikesalaisuuksien suojaaminen edellyttää sopimuksellisia suojakeinoja, sillä datan luovuttamisesta ei lähtökohtaisesti voi kieltäytyä vain liikesalaisuuteen vedoten. Käyttäjän pyynnön perusteella yhdistetyn laitteen ja sen oheispalvelun data, mukaan lukien sen sisältämät liikesalaisuudet, on luovutettava myös kolmannelle osapuolelle. Tämä kolmas osapuoli voi olla myös datan haltijan kilpailija. Jotta data voisi saada suojaa liikesalaisuutena, se tulee etukäteen tunnistaa datan käyttöä ja siihen pääsyä koskevassa sopimuksessa ja sen tulisi täyttää liikesalaisuusdirektiivin mukainen liikesalaisuuden määritelmä. Haasteeksi voi muodostua datan luovutusvelvollisuuden piirissä olevan raaka- ja esikäsittelyn datan sekä metadatan määrittely liikesalaisuusdirektiivin mukaiseksi liikesalaisuudeksi. Toisaalta on tulkinnanvaraista, mitkä raakadataan kohdistuneet käsittelytoimet voivat muodostaa datasta pääteltyä tai johdettua tietoa, joka ei enää kuulu data-asetuksen luovutusvelvollisuuden piiriin. Nämä seikat voivat olla omiaan aiheuttamaan erimielisyyksiä datan haltijoiden ja kolmansien osapuolien välillä.  

Käytännössä datan käyttöä ja siihen pääsyä koskevaan sopimukseen datan haltijan ja käyttäjän välillä tulee sisällyttää erityisiä liikesalaisuuksien suojaamiseen tähtääviä ehtoja ja vaatimuksia. Ne koskevat käyttäjän ja kolmannen osapuolen velvollisuuksia toteuttaa teknisiä ja organisatorisia suojakeinoja liikesalaisuuksien suojaamiseksi. Edellä mainitut mallisopimusehdot sisältävät lähtökohtia näistä ehdoista sopimiseen, mutta kunkin datan haltijan on arvioitava ja määriteltävä riittävät ehdot ja suojakeinot tilanteensa mukaan. Kieltäytyminen liikesalaisuuksia sisältävän datan luovuttamisesta edellyttää sitä, että datan haltija ja käyttäjä (tai datan haltija ja kolmas osapuoli) eivät pääse sopuun liikesalaisuuksia koskevien suojakeinojen sisällöstä tai sitä, että käyttäjä tai kolmas osapuoli ei noudata sovittuja suojakeinoja. 

Datankäsittelypalveluiden osalta haasteita on tuottanut datankäsittelypalvelun määritelmän epäselvyys erityisesti tietyissä rajatapauksissa ja tulkinnanvaraisissa tilanteissa. Datankäsittelypalvelulla tarkoitetaan asiakkaalle tarjottavaa digitaalista palvelua, joka mahdollistaa kaikkialla käytössä olevaan ja tarveperusteiseen verkkokäyttöön jaetun joukon konfiguroitavissa olevia, skaalattavia ja joustavia, luonteeltaan keskitettyjä, hajautettuja tai pitkälle hajautettuja tietoteknisiä resursseja niin, että se voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen. Jotta palvelun katsotaan olevan datasäädöksen mukainen datankäsittelypalvelu, tulisi sen olla kaikilta osiltaan määritelmän mukainen.  

Tulkinnanvaraisuutta aiheuttaa erityisesti määritelmän viimeinen osa, jonka mukaan datankäsittelypalvelu tulee voida ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen - onko siis tulkittava niin, että palveluntarjoajan käyttöönotto- tai muutosprojektin välttämättömyys automaattisesti veisi palvelun soveltamisalan ulkopuolelle? Mikäli tällainen toimenpide on palveluntarjoajan puolelta välttämätön palvelun käyttämiseksi, ei kaiketi voida sanoa olevan mahdollista, että ”… se voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen.” 

Samaan aikaan asetuksessa kuitenkin todetaan, että sellaiset palvelut, joiden pääpiirteet rakennetaan yksittäisen asiakkaan erityistarpeisiin vastaamiseksi, on vapautettu data-asetuksen velvoitteista vain osittain. Tämä vaikuttaisi vesittävän sen tulkinnan, että käyttöönottoprojektin välttämättömyys automaattisesti veisi palvelun soveltamisalan ulkopuolelle, jos kerran palvelun pääpiirteitä vähäisempi asiakkaalle räätälöintikään ei sitä tarkoita. Joka tapauksessa asetuksen johdanto toteaa, että data-asetusta on tarkoitus soveltaa laajaan joukkoon datankäsittelypalveluja, jotka kuuluvat yleisesti tunnettujen IaaS-, PaaS- ja SaaS-toimitusmallien ohella myös muunlaisiin palvelumalleihin. 

Palveluntarjoajien kannalta tällainen niinkin perustavanlaatuiseen asiaan kuin soveltamisalaan liittyvä tulkinnanvaraisuus on hyvin ongelmallista. Mikäli tulkinnanvaraisissa tilanteissa ryhdytään täysimääräisesti toteuttamaan data-asetuksen vaatimuksia, aiheutuu tästä välttämättä hallinnollista vaivaa (kuten sopimusvaatimusten täyttäminen) ja se vaatii usein myös merkittävän määrän tuotekehitysresursseja (teknisten vaatimusten täyttäminen). Mikäli myöhemmin osoittautuukin, että palvelu ei ollutkaan soveltamisalassa, valuu tämä vaiva ja kustannus ikään kuin hukkaan. Jos asetuksen vuoksi on siirrytty soveltamaan data-asetuksessa määritettyjä pakollisia sopimusehtoja, jotka ovat palveluntarjoajan kannalta huomattavasti vähemmän edullisia esimerkiksi irtisanomisaikojen osalta, näistä ehdoista palaaminen vanhoihin ehtoihin saattaa olla käytännössä mahdotonta tai ainakin aiheuttaa voimakasta tyytymättömyyttä palvelun käyttäjien keskuudessa. 

Erityiskysymyksenä voidaan mainita vielä palvelun irtisanomiseen ja tällaisiin palveluihin yleisesti soveltuvaan ansaintalogiikkaan liittyvä ristiriita. Data-asetus määrittää yhtenä pakottavana ehtonaan, että soveltamisalassa olevat palvelut on oltava irtisanottavissa asiakkaan toimesta enintään kahden kuukauden irtisanomisajalla. Tämä koskee myös jo ennen data-asetuksen voimaantuloa solmittuja palvelusopimuksia. Mikäli palvelua tarjoava yritys on laskenut tulevan liikevaihtonsa ja mahdollisesti koko valuaationsa pitkien määräaikaisten sopimusten tuoman jatkuvan kassavirran (Annual Recurring Revenue, ARR) varaan, irtisanomismahdollisuus voi aiheuttaa merkittäviä vaikeuksia esimerkiksi lisärahoituksen saamisessa. Irtisanomismahdollisuuden kielteisiä vaikutuksia palveluntarjoajan kannalta kylläkin pehmentää mahdollisuus määrittää määräaikaisia sopimuksia koskeva kohtuullinen korvaus sopimuksen ennenaikaisesta irtisanomisesta. Kohtuullisen korvauksen arviointi jää kuitenkin tapauskohtaisesti arvioitavaksi, kun tulkinta-aineistoa tästä ei ole vielä saatavilla. 

Palveluntarjoajat ovat siis hankalassa tilanteessa, mikäli soveltumisesta ei ole selvyyttä: Data-asetuksen noudattaminen johtaa todennäköisesti kustannuksiin ja mahdollisesti myös muihin ongelmiin, mutta sen noudattamatta jättäminen merkitsee mahdollisesti sitä, että yritys rikkoo tietoisesti lakia. Yksi mahdollinen vaihtoehto hahmottaa järkevää etenemisvaihtoehtoa on arvioida eri toimintavaihtoehtojen edut ja haitat ja verrata niitä data-asetuksen soveltumisen todennäköisyyteen. Molempia vaihtoehtoja pitäisi punnita kunkin palvelun ominaisuuksia, nykyisiä sopimusehtoja, asiakaskuntaa, mahdollisia mainehaittoja ja myöhempiä vaikutuksia peilaten. 

Data-asetuksen jakamisvelvoitteen piirissä olevan datan käsittelyssä tulee noudattaa myös tietosuojasääntelyä silloin, kun data sisältää henkilötietoja. On myös mahdollista, että tietojoukossa henkilötiedot ja muu data kuin henkilötiedot liittyvät erottamattomasti toisiinsa. Data-asetuksen lähtökohtana on, että ristiriitatilanteessa tietosuoja-asetus saa etusijan. Kummankin sääntelyn velvoitteiden noudattamisen kannalta on ensiarvoisen tärkeää tunnistaa, missä rooleissa yritys datan osalta kulloinkin toimii.  

Datan haltija on data-asetuksessa taho, jolla on data-asetuksen tai muun sääntelyn nojalla oikeus tai velvollisuus käyttää tai asettaa saataville tuote- tai liitännäispalveludataa. Henkilötietoja käsitellessä rekisterinpitäjän rooli taas määritellään yksittäisten käsittelytoimien osalta sen mukaan, mikä taho määrittää henkilötietojen käsittelyn tarkoitukset ja keinot. Datan haltijaa on mahdollista pitää vastaavana konseptina kuin rekisterinpitäjää tietosuoja-asetuksessa. Data-asetuksen johdannossa todetaan erikseen, ettei henkilötietojen käsittelijöitä olisi pidettävä datan haltijoina.  

Data-asetuksen ja tietosuoja-asetuksen roolien välillä ei voida kuitenkaan vetää yksioikoisia yhtäläisyysmerkkejä, ja tietosuoja-asetuksen mukaiset roolit on syytä arvioida aina tapauskohtaisesti. Usein esimerkiksi laitteisiin liittyviä oheispalveluja tarjotaan toisille yrityksille henkilötietojen käsittelijän roolissa, vaikka dataa hallinnoidaan palveluntarjoajan ympäristöissä. Kuitenkaan rekisterinpitäjän lukuun käsiteltyjen henkilötietojen osalta palveluntarjoaja ei voisi data-asetuksen johdannon mukaan olla datan haltija. Tällöin ollaan mahdollisesti tilanteessa, jossa data-asetusta ei sovellettaisi henkilötietojen osalta, vaan dataan pääsy on toteutettava tietosuoja-asetuksen nojalla. On kuitenkin mahdollista, että palveluntarjoaja käsittelee osaa henkilötiedoista omiin tarkoituksiinsa rekisterinpitäjänä, tai kerää muuta kuin henkilötietoa esimerkiksi tuotekehitystarkoituksissa, jolloin palveluntarjoaja olisi mahdollista katsoa tällaisen datan osalta datan haltijaksi. Lisäksi data-asetuksen mukainen yrityskäyttäjä voi komission data-asetusta koskevan FAQ-dokumentin mukaan olla henkilötietojen osalta rekisterinpitäjä, kun laite-/oheispalveludata sisältää luonnollisten henkilöiden, kuten yrityksen työntekijöiden henkilötietoja, mutta se ei voisi olla yhtä aikaa saman datan osalta datan haltija (elleivät yrityskäyttäjä ja datan haltija sovi erikseen yhteisrekisterinpitäjyyttä koskevasta järjestelystä). Nämä erilaiset käsittelytilanteet ovat omiaan muodostamaan hyvin monimutkaisia kokonaisuuksia dataan liitettävien roolien osalta. Roolien määrittelyssä onnistuakseen yritykseltä edellytetäänkin niin oman kuin asiakasdatan tarkkaa hallinnointia sekä ymmärrystä organisaation datarakenteista. 

Data-asetukseen liittyy siis edelleen useita epävarmuuksia ja avoimia kysymyksiä. Valitettavasti jonkinasteinen epävarmuus tulkintojen ja ratkaisujen oikeellisuudesta tulee välttämättä varjostamaan valmistautumista vielä hyvän tovin, ennen kuin yksittäisiin kysymyksiin saadaan sitovia viranomaisohjeita. Kunkin toimijan tulee toistaiseksi pyrkiä tulkitsemaan ja soveltamaan asetusta parhaan ymmärryksensä mukaan. 

Datatalouden  asiantuntijatiimimme⁠ on valmiina auttamaan sinua kaikissa data-asetukseen liittyvissä tarpeissasi, mukaan lukien soveltuvuusarvioinneissa ja sopimusten muotoilussa.  

Tämä artikkeli on osa data-asetukseen keskittyvää artikkelisarjaa, joka pureutuu asetuksen yksittäisiin kysymyksiin eri näkökulmista ja mahdollisimman käytännönläheisesti. Sarjan aiemmat osat: