Datasäädöksen (Data Act) pääkohdat käsittelyyn

Arttu Ruukki
Blogit
22. helmikuuta, 2024

Datasäädös (Data Act) tuli voimaan 11.1.2024. Sitä aletaan soveltaa merkittävimmiltä osiltaan 12.9.2025 alkaen. Tuosta päivästä lähtien yhdistettyjen laitteiden (esimerkiksi IoT laitteet) sekä niihin liittyvien digitaalisten palveluiden tuottaman datan “omistajuus” siirtyy laitteiden ja palveluiden tuottajilta niiden käyttäjille. Datasäädös tuo merkittäviä lisävelvoitteita yhdistettyjä laitteita ja niiden palveluita valmistaville ja tarjoaville yrityksille. Velvoitteet saattavat pakottaa ajattelemaan uudelleen kokonaisia liiketoiminta- ja ansaintamalleja.

Mistä kaikesta datasäädöksessä on kyse?

Datasäädös yhdessä datanhallinta-asetuksen (Data Governance Act) kanssa muodostaa EU:n datastrategian kivijalan. Tavoitteet ja pyrkimykset datasäädöksen taustalla ovat ylevät: Se pyrkii edistämään datan oikeudenmukaista saatavuutta ja käyttöä luomalla yhdenmukaiset säännöt, jotka mahdollistavat datan uudelleenkäytön ja esteiden poistamisen Euroopan datatalouden kehittämisen tieltä. Se keskittyy innovoinnin ja datavetoisen talouden potentiaalin vapauttamiseen poistamalla tekniset, taloudelliset ja luottamukseen liittyvät esteet, samalla kunnioittaen Eurooppalaisia arvoja ja edistäen oikeudenmukaista datan jakautumista eri toimijoiden kesken. Datasäädös tukee osaltaan Euroopan vihreää ja digitaalista siirtymää tarjoamalla selkeät puitteet datan saatavuudelle ja käytölle. Miten näitä tavoitteita sitten käytännössä toteutetaan?

Datasäädöksen eri kulmat

Datasäädös sisältää useita toisiinsa liittyviä aihepiirejä, joiden yhteinen nimittäjä on datan saatavuus ja sen käytön pelisäännöt. Näitä aiheita lähestytään eri kulmilta. Merkittävimpänä sisältönään säädös määrittelee yhdenmukaiset säännöt, jotka koskevat verkkoon liitetyn laitteen tai siihen liittyvän palvelun käytön tuloksena tuotetun datan asettamista käyttäjän saataville sekä datan asettamista käyttäjän pyynnöstä kolmansien osapuolten saataville. Sivujuonteena tähän säädöksessä käsitellään myös datan asettamista julkisen sektorin elinten saataville poikkeuksellisissa tarpeissa. Näiden käyttäjän oikeuksia laite- ja palvelu dataan käsittelevien sääntöjen lisäksi datasäädös käsittelee datan uudelleenkäytön ehtoja, datan luovutusta koskevien yksipuolisten sopimusehtojen sallittua sisältöä, datan yhteiskäyttömekanismien ja -palvelujen standardointia, datan siirtämistä Euroopan ulkopuolelle sekä pilvipalveluiden tarjoajan vaihtamisen helpottamista.

Kuka yrityksessä vastaa datasäädöksen noudattamisesta?

Uusi sääntely vaikuttaa yritysten toimintaan laajalti eikä sen noudattaminen pelkisty lakiosaston papereiden kahisteluun. Muutamia näkökohtia tähän:

Tuotekehityksessä datasäädös pitää ottaa huomioon alkaen jo siltä tasolta, miten laitteet ja palvelut suunnitellaan – mitä dataa ylipäätään kannattaa kerätä, miten siihen pääsee käsiksi ja miten sitä käsitellään. Näillä valinnoilla määritetään se laajuus, jolla omaa dataa pitää luovuttaa paitsi käyttäjälle, myös (käyttäjän pyynnöstä) kilpailijoille. Toisaalta syksystä 2026 alkaen markkinoille tulevat verkkoon liitetyt laitteet ja niiden palvelut tulee jo lähtökohtaisesti suunnitella siten, että niiden tuottama data on helposti, turvallisesti, maksutta ja jos teknisesti mahdollista, suoraan käyttäjän saatavilla esimerkiksi laitteen käyttöliittymän kautta.

Datahallinnon (IT) osalta data tulee luokitella ja ”siilottaa” niin, että se on tarvittaessa luovutettavissa yksittäisen käyttäjän pyynnöstä juuri tätä kyseistä käyttäjää koskien. Samalla tulee kuitenkin huomioida tietosuojaan liittyvät säännöt, sillä datasäädös ei miltään osin kumoa yleisen tietosuoja-asetuksen GDPR:n sääntelyä.

Myynti tulee pitää tietoisena siitä, mitä asiakkaille tulee laitteita ja palveluita markkinoitaessa kertoa ja miten datan luovuttamisesta, sen käyttöoikeuksista ja käytön rajoitteista pitää asiakkaiden kanssa sopia.

Hankinnan osalta sopimukselliset vaatimukset esimerkiksi omaan laitteeseen sisältyvien älykkäiden komponenttien osalta tulee linjata omien datan luovutusvelvoitteiden kanssa. Ihan oma lukunsa on vielä ns. white-label -tuotteet, joiden osalta pääsy laitteiden ja oheispalvelujen keräämään tietoon pitää sopia erikseen vaikkapa Kiinalaisen toimittajan kanssa. Käyttäjien suuntaan vastuu datan luovuttamisesta kun on EU:n sisämarkkinoilla tuotetta tai palvelua markkinoivalla yrityksellä.

Tuotetuki ja asiakaspalvelu tulee varmasti kohtaamaan työssään dataan liittyviä pyyntöjä ja vaatimuksia käyttäjiltä – sellaisiakin, joiden sisältö ylittää varsinaiset luovutusvelvoitteet. Näille pyynnöille on luotava selkeät prosessit ja ohjeistukset.

Ja toki datasäädös on aivan erityisellä tarkkuudella otettava haltuun yritysten lakiosastoilla. Dataan liittyvien liikesalaisuuksien suojaaminen, datan luovutukseen liittyvien sopimusten laatiminen, organisaation tukeminen datasäädöksen vaatimusten noudattamisessa ja muu yleinen orkesterinjohto työllistää juristeja melkoisesti.

Miten valmistautua datasäädöksen velvoitteisiin?

Monissa organisaatioissa on tuoreessa muistissa GDPR:n voimaantuloon liittyvä stressi ja kiire. Datasäädöksen vaikutusten laajuutta voisi hyvinkin verrata GDPR:n vastaaviin. Jos tuosta vuoden 2018 kevääseen kulminoituneesta valmistautumisprosessista jotakin voi oppia niin sen, että valmistautuminen kannattaa aloittaa ajoissa. Sen voi tehdä heti tutustumalla datasäädökseen esimerkiksi Euroopan komission sivustolla.

Kun peruskäsitys sisällöstä alkaa muotoutua, selvitä ainakin seuraavat asiat soveltuvin osin:

  • Mitä oman yrityksen tarjoamiin tuotteisiin ja/tai palveluihin liittyvää tietoa datan jakamisvelvoitteet koskevat?

  • Miten jakovelvoitteen alaista tietoa tällä hetkellä hallinnoidaan, miten se on luokiteltu, miten sitä voidaan käytännössä luovuttaa?

  • Mitä liikesalaisuuksia jakovelvoitteen alaiseen tietoon mahdollisesti sisältyy tai siitä voi johtaa tai päätellä?

  • Miten jakovelvoitteen alainen tieto niveltyy henkilötietoon – onko se erotettavissa, säilytetty erillään, luovutettavissa erillään?

  • Onko kaikkea tällä hetkellä tuotteiden ja/tai palveluiden keräämää ja tallentamaa tietoa välttämätöntä kerätä jatkossa?

  • Miten datasäädöksen sharing by design –velvoitetta toteutetaan tuotekehityksessä ja sen prosesseissa, miten se yhdistetään osaksi TK prosessia?

  • Jos datan jakaminen ei onnistu suoraan laitteen ja/tai palvelun kautta, miten jakaminen voidaan järjestää ja hallita?

  • Jos myydään jonkun muun valmistamia laitteita, missä niiden data on ja miten varmistetaan, että se voidaan tarjota käyttäjille tai kolmansille osapuolille käyttäjän pyynnöstä?

  • Voidaanko itse rakentaa palveluita jonkun toisen toimijan valmistamalle tuotteelle datasäädöksen myötä avautuvan tuotedatan pohjalta?

Fondian asiantuntijat tukenasi

Apua näihin pohdintoihin datasäädöksen vaikutuksista liiketoimintaan on saatavilla Fondian AI ja Datatalous -asiantuntijaryhmältä ja osoitteesta fondia@fondia.com.

Tämä artikkeli avaa datasäädökseen keskittyvän artikkelisarjan, jonka tulevissa osissa tulemme pureutumaan datasäädöksen yksittäisiin kysymyksiin eri näkökulmista ja mahdollisimman käytännönläheisesti.

Muita ajankohtaisia artikkeleita

Kuinka voimme auttaa?

Kuulemme mielellämme lisää siitä, millaisia oikeudellisia palveluita tarvitset. Varaa maksuton tapaaminen tai ota yhteyttä sähköpostitse tai puhelimitse.