Datasäädöksen (Data Act) sopimustarpeet

Asiantuntijaryhmä laati mallisopimusehdot (Model Contractual Terms, MCT), joita voidaan käyttää lähtökohtana verkkoon liitetyistä tuotteista ja niihin liittyvistä palveluista saatavaan dataan liittyvien sopimusten laatimisessa. Näiden MCT:en tarkoituksena on auttaa osapuolia laatimaan ja neuvottelemaan sopimuksia datan saatavuudesta ja käytöstä. Mallit ovat ei-sitovia ja niiden käyttö on vapaaehtoista, joten osapuolet voivat vapaasti neuvotella omista versioistaan ja mukautuksistaan tai jättää MCT:t kokonaan huomioimatta. MCT:ssä ei oteta huomioon osapuolten yksilöllisiä tarpeita tai kansallisen lainsäädännön erityisvaatimuksia, eikä niitä pidä käyttää sellaisenaan, vaan ne on mukautettava kuhunkin tilanteeseen ja tarpeeseen. MCT:t kattavat

1) datan haltijan ja käyttäjän (H2U-sopimus),

2) käyttäjän ja datan vastaanottajan (U2R-sopimus) ja

3) datan haltijan ja vastaanottajan (H2R-sopimus) väliset suhteet

Datan haltijan ja käyttäjän väliset sopimukset (H2U-sopimus)

Datan haltijoiden ja käyttäjien välisten sopimusten tarkoituksena on varmistaa läpinäkyvyys, oikeusvarmuus ja osapuolten oikeuksien ja velvollisuuksien selkeä määrittely datan käsittelyssä. Tällaisten sopimusten tärkeimmät osatekijät ovat seuraavat:

• Käyttäjän saatavilla olevan datan määrittely

• Yksityiskohdat datan keräämisestä, käytöstä ja saatavuudesta

• Datan haltijan omaa datan käyttöä koskevat säännöt

• Säännöt, jotka koskevat datan jakamista kolmansille osapuolille datan haltijan toimesta

• Liikesalaisuuksia koskevat suojatoimenpiteet

Käyttäjän ja datan vastaanottajan väliset sopimukset (U2R-sopimus)

Käyttäjä voi halutessaan jakaa tietoja kolmannelle osapuolelle (datasäädöksessä "tiedon vastaanottaja"). Ilmeisimpänä esimerkkinä datan jakamisen tarkoituksesta on esimerkiksi antaa datan vastaanottajalle mahdollisuus tarjota käyttäjälle verkkoon liitettyyn tuotteeseen liittyviä lisäpalveluja, kuten korjauksia, huoltoja tai data-analytiikkaa. Jos käyttäjä päättää jakaa dataa datan vastaanottajan kanssa, käyttäjän ja datan vastaanottajan välistä suhdetta ja velvollisuuksia jaetun datan osalta on säänneltävä sopimuksella. Tällaisissa sopimuksissa käsitellään esimerkiksi seuraavia aiheita:

• Yksityiskohdat niistä laitteista/palveluista ja jaettavasta datasta, jota sopimus koskee

• Datan siirtämiseen liittyvät käytännön seikat

• Datan vastaanottajan datan käytön tarkoitusten ja rajoitusten määrittely

• Toimenpiteet tietojen suojaamiseksi

• Määräykset datan vastaanottajan datan edelleen jakamisesta

Datan haltijan ja datan vastaanottajien väliset sopimukset (H2R-sopimus)

Käyttäjä voi pyytää datan haltijalta, että data jaetaan suoraan datan vastaanottajalle. Pyynnön voi tehdä myös suoraan datan vastaanottaja käyttäjän valtuuttamana. Tämän suoran datan jakamisen helpottamiseksi ja sitä koskevien käyttöehtojen ja rajoitusten määrittämiseksi tarvitaan datan haltijan ja datan vastaanottajan välille sopimus. Tällainen sopimus sisältää esimerkiksi:

• Tiedot käyttäjästä, tuotteesta ja/tai palvelusta, joita sopimus koskee

• Käyttäjän pyynnöt

• Yksityiskohdat jaettavasta datasta

• Datan vastaanottajan datan käytön tarkoitukset ja rajoitukset

• Datan vastaanottajan datan edelleen jakamista koskevat rajoitukset

• Datan vastaanottajan maksettavaksi tuleva korvaus datan siirrosta

• Liikesalaisuuksien suojaamiseen liittyvät säännökset

Verkkoon liitettyjä tuotteita ja niihin liittyviä palveluja koskevien II–III luvun säännösten lisäksi datasäädös sisältää myös datankäsittelypalvelujen vaihtamiseen liittyviä määräyksiä, jotka sisältyvät VI lukuun. VI luvussa on erityisiä pakottavia sopimuksia koskevia sisältövaatimuksia, jotka datankäsittelypalvelujen tarjoajien on täytettävä. Palveluntarjoajien toiminnan helpottamiseksi asiantuntijaryhmä laati kuusi vakiolauseketta, jotka kattavat pilvipalvelusopimuksissa määriteltävät keskeiset sopimuskysymykset sekä lisäksi yhden yleislausekkeen. Yhdessä näitä lausekkeita kutsutaan nimellä Standard Contractual Clauses (SCC). Nämä SCCt eivät ole kokonaisia sopimuksia samalla tavalla kuin MCT:t, vaan osapuolten on tarkoitus sisällyttää ne tietojenkäsittelypalvelusopimuksiin. SCCt koostuvat seuraavista osioista:

• Palvelujen tarjoamiseen liittyvät yleiset ehdot

• Vaihto- ja irtautumisprosessin käytännön järjestelyt

• Palvelusopimuksen päättäminen

• Turvallisuutta ja palvelun jatkuvuutta koskevat määräykset

• Hajauttamiskieltolausekkeet palveluihin liittyvien sopimusehtojen pitämiseksi ymmärrettävänä kokonaisuutena

• Vaihtoprosessiin liittyvät vastuunjakosäännöt

• Sopimusehtojen pysyvyyttä koskevat säännöt, jotka rajoittavat muutoksia ehtoihin

Sen lisäksi, että datasäädös edellyttää tiettyjen sopimuslausekkeiden lisäämistä datankäsittelypalveluja koskeviin sopimuksiin, on verkkoon liitettyjen tuotteiden ja niihin liittyvien palvelujen datan haltijan edun mukaista, että käyttäjien kanssa on tehty sopimukset ennen säädöksen soveltamisen alkamista 12.9.2025. Ensinnäkin sopimuksella on helppo täyttää asetuksen nimenomaisesti edellyttämät vaatimukset informoida käyttäjää laitteen tai palvelun keräämästä datasta ja sen käsittelystä. Toisekseen sopimus selkeyttää datan luovuttamiseen liittyviä mekanismeja ja käytäntöjä. Lisäksi datan haltijalla on kaksi muuta erityisen merkittävää syytä huolehtia sopimusten tekemisestä ajoissa: Datan haltijan oikeus käyttää ja jakaa dataa omiin tarkoituksiinsa sekä datasta mahdollisesti pääteltävissä olevien liikesalaisuuksien suojaaminen.

Datan haltijan oikeus käyttää ja jakaa dataa kolmansille osapuolille

Datasäädös mahdollistaa sen, että verkkoon liitetyn laitteen tai siihen liittyvän palvelun käyttäjä voi viime kädessä määrittää, mihin laitteen tai palvelun luomaa tai keräämää dataa voidaan käyttää. Datan haltija (joka ei välttämättä ole laitteen valmistaja tai palvelun tarjoaja) voi käyttää dataa vain käyttäjän kanssa tehdyn sopimuksen perusteella. Toisin sanoen, jos datan haltijan ja käyttäjän välillä ei ole sopimusta, datan haltija ei saa hyödyntää dataa omiin tarkoituksiinsa, kuten jatkokehitykseen, laadunvalvontaan tai analytiikkaan. Samaa periaatetta sovelletaan datan asettamiseen kolmansien osapuolten saataville datan haltijan toimesta, se on sallittua vain datan haltijan ja käyttäjän välisen sopimuksen täyttämiseksi. On siis datan haltijan edun mukaista sopia datan käytön ja jakamisen ehdoista ennen datasäädöksen soveltamisen alkamista.

Liikesalaisuuksien suojaaminen

Datasäädöksen mukaan datan haltija ei voi kategorisesti kieltäytyä asettamasta laite- tai palveludataa käyttäjän tai käyttäjän pyynnöstä kolmannen osapuolen (joka voi olla datan haltijan kilpailija) saataville vain siksi, että datan haltija väittää, että data sisältää liikesalaisuuksia. Jotta liikesalaisuuksia voidaan suojata tehokkaasti, datan haltijan on tunnistettava liikesalaisuuksina suojattu data ja ilmoitettava siitä käyttäjälle jo ennen kuin käyttäjä tekee sopimuksen laitteen ostosta, vuokrauksesta tai liisaamisesta tai liitännäispalvelun käytöstä. Lisäksi datan haltijan on pyrittävä sopimaan käyttäjän kanssa oikeasuhtaisista teknisistä ja organisatorisista toimenpiteistä, jotka ovat tarpeen jaetun datan sisältämien liikesalaisuuksien suojaamiseksi. Vain jos datan haltija ja käyttäjä eivät pääse sopimukseen asianmukaisista suojakeinoista tai käyttäjä ei toteuta määriteltyjä suojatoimenpiteitä, datan haltija voi evätä tai keskeyttää sellaisen datan jakamisen, jonka on todettu sisältävän liikesalaisuuksia. Tällainen päätös on perusteltava kirjallisesti käyttäjälle, ja datan haltijan on myös ilmoitettava toimivaltaiselle viranomaiselle päätöksestään evätä tai keskeyttää datan jakaminen. Näin ollen, jos data saattaa paljastaa datan haltijan liikesalaisuuksia, niiden suojaamiseksi on oltava sopimus, koska pelkkä datan luovuttamisesta kieltäytyminen ei ole toteuttamiskelpoinen suojauskeino.

Datasäädös kattaa niin laajan kirjon erilaisia tuotteita, palveluita ja tilanteita, että yleispätevien malliehtojen laatiminen on yksinkertaisesti mahdotonta. Asiantuntijaryhmän julkaisemat MCT ehdot ja SCC lausekkeet auttavat varmasti tarvittavien sopimusehtojen laatimisessa, mutta niitä ei voi käyttää sellaisenaan. Ne tarjoavat hyviä perusratkaisuja, joiden avulla on huomattavasti helpompi noudattaa datasäädöksen vaatimuksia. Malliehdoista on pyritty laatimaan oikeudenmukaiset, kohtuulliset ja syrjimättömät datan käytön ehdot, mikä on datasäädöksen yhtenä vaatimuksena sopimuksia koskien.

Koska sopimukset voivat olla melko monimutkaisia ja edellyttävät muokkausta ja useiden sidosryhmien panosta, niiden laatimiseen olisi varattava riittävästi aikaa. Luonnostelun jälkeen myös ehtojen käyttöönotto vaatii aikaa ja vaivaa. Tähän vaiheeseen voi sisältyä useamman kierroksen neuvotteluja, erityisesti suurempien asiakkaiden kanssa. Pilvipalvelujen palveluehtoihin sisältyy usein lisäksi jokin ilmoitusaika, jota on noudatettava ennen muutosten voimaantuloa. Koko prosessi sisäisestä aloituspalaverista ehtojen kättelyyn osapuolten kesken voi kestää useita kuukausia, mikä tulee ottaa huomioon sopimusehtoihin liittyviä toimenpiteitä ajoitettaessa.

Datatalouden asiantuntijatiimimme on valmiina auttamaan sinua kaikissa datasäädökseen liittyvissä tarpeissasi, mukaan lukien sopimusten laatimisessa ja neuvottelussa.

Tämä artikkeli on osa datasäädökseen keskittyvää artikkelisarjaa, joka pureutuu datasäädöksen yksittäisiin kysymyksiin eri näkökulmista ja mahdollisimman käytännönläheisesti. Sarjan aiemmat osat: