Sijoittajille
Siirry MyFondiaan

Datasäädös (Data Act) – merkitys pilvipalveluille?

Fondia
Blogit
11. joulukuuta, 2024

Kuva on tehty tekoälyllä. Blogin on kirjoittanut Fredrik Niklasson.

Asetus (EU) 2023/2854 datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä – Data Act tai tuttavallisemmin datasäädös – tulee sovellettavaksi 12.9.2025 alkaen. 

Yksi datasäädöksen tärkeistä kokonaisuuksista on säännöt, jotka mahdollistavat pilvipalvelun vaihtamisen toiseen säilyttäen samalla palvelun vähimmäistoiminnot ilman käyttökatkoksia sekä mahdollisuuden käyttää samanaikaisesti rinnakkain useita palveluja ilman aiheettomia esteitä ja datansiirtokustannuksia. 

Lisäksi pilvipalveluntarjoajien on datasäädöksen myötä: 

  • sisällytettävä asiakassopimuksiin ehdot, joiden avulla asiakkaat voivat vaihtaa toiseen pilvipalveluun, joka kattaa saman palvelutyypin ja jota tarjoaa eri palveluntarjoaja; 

  • toteutettava tekniset vaatimukset palveluntarjoajan vaihdon helpottamiseksi;  

  • täytettävä asiakkaiden informointiin liittyvät velvoitteet; ja 

  • tuettava yhteentoimivuutta, joka mahdollistaa useiden pilvipalveluiden rinnakkaisen käytön. 

Voit tutustua aiheeseen tarkemmin alla olevassa Q&A -osiossa. 

Tässä artikkelissa ei syvennytä tarkemmin datasäädöksen sisältämiin, yleisen tietosuoja-asetuksen (GDPR) rinnalla sovellettaviin sääntöihin koskien muiden kuin henkilötietojen lainvastaista kansainvälistä viranomaiskäyttöä ja siirtoa EU:n/ETA:n ulkopuolelle. On kuitenkin huomattava, että sääntely tulee väistämättä monimutkaistamaan pilvipalveluntarjoajien kansainvälisiin toimintoihin kohdistuvaa sääntelykenttää.  

Tämän artikkelin tarkoituksena ei ole myöskään syventyä datasäädöksen velvoitteisiin saattaa yhdistettyjen laitteiden tai niihin liittyvien palveluiden data käyttäjien saataville eikä tuotteiden tai palvelujen suunnittelua, valmistamista ja tarjoamista koskeviin vaatimuksiin. Laitteiden ja palvelujen suunnittelua koskevat vaatimukset tulevat sovellettavaksi markkinoille 12.9.2026 jälkeen saatettavien laitteiden ja palvelujen osalta. 

Yleiskatsaus koko datasäädöksen sisältöön on saatavilla osoitteessa Datasäädöksen (Data Act) pääkohdat käsittelyyn.

Q&A - Datasäädös ja pilvipalvelut

Datasäädöksessä käytetään yleisesti käyttöön vakiintuneen ”pilvipalvelu” termin sijasta termiä ”datankäsittelypalvelu”, jolla tarkoitetaan: 

"asiakkaalle tarjottavaa digitaalista palvelua, joka mahdollistaa kaikkialla käytössä olevaan ja tarveperusteiseen verkkokäyttöön jaetun joukon konfiguroitavissa olevia, skaalattavia ja joustavia, luonteeltaan keskitettyjä, hajautettuja tai pitkälle hajautettuja tietoteknisiä resursseja niin, että se voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen" 

Määritelmän viimeisen osan mukaan palvelun kuuluminen soveltamisalaan näyttäisi edellyttävän palvelulta itsenäistä käytettävyyttä ja mukautettavuutta käyttäjän näkökulmasta. Asetuksen johdanto-osan mukaan tämä tarkoittaa sitä, että asiakkaan on voitava yksipuolisesti ja itsenäisesti ottaa käyttöön laskentakapasiteettia, kuten palvelinaikaa tai verkkotallennustilaa ilman, että palveluntarjoaja puuttuu asiaan. Määritelmä vastaa sisällöllisesti pitkälti pilvipalvelujen määritelmää NIS2-direktiivissä. 

Datankäsittelypalvelujen yleiskäsite kattaa suuren määrän palveluja, joiden tarkoitukset, toiminnot ja tekniset järjestelyt ovat hyvin erilaisia. Datankäsittelypalveluihin kuuluvat ainakin: 

  • IaaS-palvelut (infrastruktuuri palveluna); 

  • PaaS-palvelut (alusta palveluna); ja 

  • SaaS-palvelut (ohjelmisto palveluna). 

Kyseistä kolmea tietojenkäsittelyn perustoteutusmallia täydentävät vielä muunnelmat, kuten tallennustila palveluna ja tietokanta palveluna. Määritelmään kuuluvat myös reunalaskentapalvelut, jotka mahdollistavat hajautetun laskennan yhdistetyssä laitteessa lähempänä paikkaa, jossa dataa tuotetaan tai kerätään. 

Tässä artikkelissa käytetään asetuksen ”datankäsittelypalvelu” termin sijasta yleisemmin käytettyä termiä ”pilvipalvelu”. 

Datasäädöksessä käytetään yleisesti käyttöön vakiintuneen ”pilvipalvelu” termin sijasta termiä ”datankäsittelypalvelu”, jolla tarkoitetaan: 

"asiakkaalle tarjottavaa digitaalista palvelua, joka mahdollistaa kaikkialla käytössä olevaan ja tarveperusteiseen verkkokäyttöön jaetun joukon konfiguroitavissa olevia, skaalattavia ja joustavia, luonteeltaan keskitettyjä, hajautettuja tai pitkälle hajautettuja tietoteknisiä resursseja niin, että se voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen" 

Määritelmän viimeisen osan mukaan palvelun kuuluminen soveltamisalaan näyttäisi edellyttävän palvelulta itsenäistä käytettävyyttä ja mukautettavuutta käyttäjän näkökulmasta. Asetuksen johdanto-osan mukaan tämä tarkoittaa sitä, että asiakkaan on voitava yksipuolisesti ja itsenäisesti ottaa käyttöön laskentakapasiteettia, kuten palvelinaikaa tai verkkotallennustilaa ilman, että palveluntarjoaja puuttuu asiaan. Määritelmä vastaa sisällöllisesti pitkälti pilvipalvelujen määritelmää NIS2-direktiivissä. 

Datankäsittelypalvelujen yleiskäsite kattaa suuren määrän palveluja, joiden tarkoitukset, toiminnot ja tekniset järjestelyt ovat hyvin erilaisia. Datankäsittelypalveluihin kuuluvat ainakin: 

  • IaaS-palvelut (infrastruktuuri palveluna); 

  • PaaS-palvelut (alusta palveluna); ja 

  • SaaS-palvelut (ohjelmisto palveluna). 

Kyseistä kolmea tietojenkäsittelyn perustoteutusmallia täydentävät vielä muunnelmat, kuten tallennustila palveluna ja tietokanta palveluna. Määritelmään kuuluvat myös reunalaskentapalvelut, jotka mahdollistavat hajautetun laskennan yhdistetyssä laitteessa lähempänä paikkaa, jossa dataa tuotetaan tai kerätään. 

Tässä artikkelissa käytetään asetuksen ”datankäsittelypalvelu” termin sijasta yleisemmin käytettyä termiä ”pilvipalvelu”. 

Pilvipalvelut, joissa palvelun pääpiirteet on rakennettu yksilölliseen käyttöön yksittäisen asiakkaan erityistarpeisiin vastaamiseksi tai joiden kaikki komponentit on kehitetty yksittäisen asiakkaan tarpeisiin, vapautetaan osittain pilvipalveluntarjoajiin kohdistuvista velvoitteista. Jos palveluja kuitenkin tarjotaan laajassa kaupallisessa mittakaavassa pilvipalveluntarjoajan palveluluettelon kautta, velvoitteet soveltuvat täysimääräisesti. Joka tapauksessa räätälöityjen palvelujen tarjoajien on edelleen asetettava avoimet rajapinnat saataville ja varmistettava, että data on saatavilla jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. 

Asetuksen datan siirtämistä koskevia säännöksiä ei sovelleta pilvipalveluihin, joita tarjotaan rajoitetuksi ajaksi ei-tuotannollisena versiona testaus- ja arviointitarkoituksiin. Ilmaisversiot eivät sen sijaan ole poikkeuksen piirissä. Tämän vuoksi datasäädöksen osien soveltuvuuden vuoksi voi olla oleellista merkitystä sillä, onko kyseessä kokeiluversio vai ilmaisversio. Datasäädös nimenomaisesti toteaa, että pilvipalvelujen tarjoajat eivät saa estää asiakkaita siirtämästä tietojaan ja digitaalista omaisuuttaan toiselle palveluntarjoajalle tai itse hallitsemaansa ICT-ympäristöön myöskään silloin, kun asiakkaat ovat käyttäneet palveluita ilmaiseksi. 

Ennen kun pilvipalveluntarjoaja sopii asiakkaan kanssa jonkin edellä mainitun poikkeuksen piiriin kuuluvan pilvipalvelun toimittamisesta, sen on ilmoitettava asiakkaalle niistä datasäädöksen velvoitteista, mitkä eivät sovellu palveluun. 

Toisin kuin asetuksen muissa osissa, pilvipalveluja koskevissa säännöissä ei ole mikroyrityksiä eikä pieniä tai keskisuuria yrityksiä koskevia poikkeuksia. 

Pilvipalvelut, joissa palvelun pääpiirteet on rakennettu yksilölliseen käyttöön yksittäisen asiakkaan erityistarpeisiin vastaamiseksi tai joiden kaikki komponentit on kehitetty yksittäisen asiakkaan tarpeisiin, vapautetaan osittain pilvipalveluntarjoajiin kohdistuvista velvoitteista. Jos palveluja kuitenkin tarjotaan laajassa kaupallisessa mittakaavassa pilvipalveluntarjoajan palveluluettelon kautta, velvoitteet soveltuvat täysimääräisesti. Joka tapauksessa räätälöityjen palvelujen tarjoajien on edelleen asetettava avoimet rajapinnat saataville ja varmistettava, että data on saatavilla jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. 

Asetuksen datan siirtämistä koskevia säännöksiä ei sovelleta pilvipalveluihin, joita tarjotaan rajoitetuksi ajaksi ei-tuotannollisena versiona testaus- ja arviointitarkoituksiin. Ilmaisversiot eivät sen sijaan ole poikkeuksen piirissä. Tämän vuoksi datasäädöksen osien soveltuvuuden vuoksi voi olla oleellista merkitystä sillä, onko kyseessä kokeiluversio vai ilmaisversio. Datasäädös nimenomaisesti toteaa, että pilvipalvelujen tarjoajat eivät saa estää asiakkaita siirtämästä tietojaan ja digitaalista omaisuuttaan toiselle palveluntarjoajalle tai itse hallitsemaansa ICT-ympäristöön myöskään silloin, kun asiakkaat ovat käyttäneet palveluita ilmaiseksi. 

Ennen kun pilvipalveluntarjoaja sopii asiakkaan kanssa jonkin edellä mainitun poikkeuksen piiriin kuuluvan pilvipalvelun toimittamisesta, sen on ilmoitettava asiakkaalle niistä datasäädöksen velvoitteista, mitkä eivät sovellu palveluun. 

Toisin kuin asetuksen muissa osissa, pilvipalveluja koskevissa säännöissä ei ole mikroyrityksiä eikä pieniä tai keskisuuria yrityksiä koskevia poikkeuksia. 

Pilvipalveluntarjoajat eivät saa asettaa ja heidän on poistettava sellaiset esteet, jotka hankaloittavat asiakkaiden tehokasta siirtymistä toisen palveluntarjoajan ”samantyyppiseen palveluun”.  

”Samantyyppinen palvelu” näyttää tarkoittavan sitä, että yhden IaaS-palvelun pitäisi olla vaihdettavissa toiseen vastaavaan IaaS-palveluun. Samoin PaaS:n ja SaaS:n osalta. Eli samantyyppisiksi palveluiksi katsottaisiin palvelut, joilla on sama ensisijainen tavoite ja samat päätoiminnot sekä samantyyppiset datankäsittelymallit, jotka eivät liity palvelun toiminnallisiin ominaisuuksiin. Samantyyppisillä palveluilla voi toki olla erilaisia ja keskenään kilpailevia ominaisuuksia, kuten suorituskyky, turvallisuus, häiriönsietokyky ja palvelun laatu. 

Pilvipalveluntarjoajat eivät saa asettaa ja heidän on poistettava sellaiset esteet, jotka hankaloittavat asiakkaiden tehokasta siirtymistä toisen palveluntarjoajan ”samantyyppiseen palveluun”.  

”Samantyyppinen palvelu” näyttää tarkoittavan sitä, että yhden IaaS-palvelun pitäisi olla vaihdettavissa toiseen vastaavaan IaaS-palveluun. Samoin PaaS:n ja SaaS:n osalta. Eli samantyyppisiksi palveluiksi katsottaisiin palvelut, joilla on sama ensisijainen tavoite ja samat päätoiminnot sekä samantyyppiset datankäsittelymallit, jotka eivät liity palvelun toiminnallisiin ominaisuuksiin. Samantyyppisillä palveluilla voi toki olla erilaisia ja keskenään kilpailevia ominaisuuksia, kuten suorituskyky, turvallisuus, häiriönsietokyky ja palvelun laatu. 

Pilvipalveluntarjoajan asiakassopimukseen on sisällytettävä ehtoja, jotka koskevat: 

  • asiakkaan oikeutta aloittaa vaihtoprosessi, minkä jälkeen on noudatettava kahden kuukauden irtisanomisaikaa; 

  • asiakkaan oikeutta irtisanomisajan jälkeen joko saada palveluntarjoajalta haltuunsa kaikki siirrettävissä oleva data ja digitaalinen omaisuus toisen pilvipalveluntarjoajan palveluun tai omaan paikalliseen ICT-ympäristöön siirtymiseksi tai poistaa kyseinen data ja omaisuus; 

  • pilvipalveluntarjoajan velvollisuutta varmistaa siirtymäkauden enimmäiskestoksi 30 kalenteripäivää (tai vaihtoehtoisesti enintään seitsemän kuukautta, jos palveluntarjoaja voi osoittaa 14 työpäivän kuluessa asiakkaan vaihtopyynnöstä, että tämä on teknisesti toteuttamiskelvotonta) kahden kuukauden enimmäisirtisanomisajan jälkeen; 

  • asiakkaan oikeutta pidentää siirtymäkautta kerran ajanjaksolla, jonka asiakas katsoo paremmin sopivan omiin tarkoituksiinsa; 

  • pilvipalveluntarjoajan velvollisuutta tarjota kohtuullista apua siirtymäkauden aikana, toimia huolellisesti liiketoiminnan jatkuvuuden varmistamiseksi, antaa selkeää tietoa liiketoiminnan jatkuvuuteen liittyvistä tunnetuista riskeistä ja varmistaa tietoturvan korkea taso; 

  • pilvipalveluntarjoajan velvollisuutta tukea asiakkaan irtautumisstrategiaa sopimuksen piiriin kuuluvien palvelujen osalta, mukaan lukien toimittamalla kaikki asiaankuuluva data; 

  • sopimuksen päättymisaikaa eli sitä, että sopimus tulee katsoa päättyneeksi joko silloin, kun onnistunut siirtäminen on saatu päätökseen, tai irtisanomisajan päättyessä, jos asiakas haluaa poistaa siirrettävissä olevan datansa ja digitaalisen omaisuutensa, jonka jälkeen asiakkaalle on vielä erikseen ilmoitettava päättymisestä; 

  • täsmällistä erittelyä kaikista dataluokista ja digitaalisen omaisuuden luokista, jotka voidaan siirtää vaihtoprosessin aikana sekä siitä tiedosta, joka ei ole siirrettävää johtuen palveluntarjoajan liikesalaisuuksien suojaamisen tarpeesta; 

  • pilvipalveluntarjoajan velvollisuutta varmistaa vähintään 30 kalenteripäivän vähimmäisaika datan hakemiselle sovellettavan siirtymäkauden päättymisen jälkeen; 

  • asiakkaan oikeutta pyytää kaiken siirrettävissä olevan, asiakkaaseen liittyvän datan ja digitaalisen omaisuuden täydellistä poistamista datan hakemisajan päättymisen jälkeen; ja 

  • pilvipalveluntarjoajan oikeutta periä siirtomaksuja 12.1.2027 asti sillä edellytyksellä, että maksut eivät ylitä suoraan syntyneitä kustannuksia, jonka jälkeen siirtomaksuja ei voida enää periä. 

Euroopan komissio laatii ja julkaisee 12.9.2025 mennessä mallisopimuslausekkeet pilvipalvelusopimuksille. Näiden mallilausekkeiden tavoitteena on auttaa osapuolia laatimaan ja neuvottelemaan oikeudenmukaiset, kohtuulliset ja syrjimättömät sopimusehdot pilvipalveluille. Fondia suosittelee, että pilvipalveluntarjoajat eivät odottaisi mallilausekkeiden julkaisua, vaan ryhtyisivät toimeen asetusten vaatimusten noudattamiseksi jo aiemmin. Pakollisten datasäädöksessä määritettyjen sopimuslausekkeiden muotoilun lisäksi tarvittaviin toimenpiteisiin lukeutuvat omien palvelumääritysten, toimintatapojen ja hinnoittelumallien arviointi ja päivitys. 

Muotoiltaessa edellä kuvattuja pakollisia sopimusehtoja on samalla otettava huomioon datasäädöksen IV luvun yksityiskohtaiset säännöt epäoikeudenmukaisista sopimusehdoista niissä tilanteissa, kun yritys asettaa toiselle yritykselle datan käyttöön ja pääsyyn liittyviä yksipuolisia sopimusehtoja. Menemättä tässä yhteydessä yksityiskohtiin, näiden sääntöjen mukaan yrityksen toiselle yritykselle asettamat velvoitteet eivät sido jälkimmäistä yritystä, jos sopimusvelvoitteet ovat epäoikeudenmukaisia. Datasäädös määrittää mitä tässä yhteydessä pidetään epäoikeudenmukaisena ja yksipuolisesti asetettuna sopimusehtona. Nämä säännöt epäoikeudenmukaisista sopimusehdoista koskevat sopimuksia, jotka laaditaan 12.9.2025 jälkeen. Säännöt koskevat 12.9.2027 alkaen myös sellaisia aiemmin voimaan tulleita sopimuksia, jotka ovat voimassa toistaiseksi tai yli 10 vuoden ajan.  

Pilvipalveluntarjoajan asiakassopimukseen on sisällytettävä ehtoja, jotka koskevat: 

  • asiakkaan oikeutta aloittaa vaihtoprosessi, minkä jälkeen on noudatettava kahden kuukauden irtisanomisaikaa; 

  • asiakkaan oikeutta irtisanomisajan jälkeen joko saada palveluntarjoajalta haltuunsa kaikki siirrettävissä oleva data ja digitaalinen omaisuus toisen pilvipalveluntarjoajan palveluun tai omaan paikalliseen ICT-ympäristöön siirtymiseksi tai poistaa kyseinen data ja omaisuus; 

  • pilvipalveluntarjoajan velvollisuutta varmistaa siirtymäkauden enimmäiskestoksi 30 kalenteripäivää (tai vaihtoehtoisesti enintään seitsemän kuukautta, jos palveluntarjoaja voi osoittaa 14 työpäivän kuluessa asiakkaan vaihtopyynnöstä, että tämä on teknisesti toteuttamiskelvotonta) kahden kuukauden enimmäisirtisanomisajan jälkeen; 

  • asiakkaan oikeutta pidentää siirtymäkautta kerran ajanjaksolla, jonka asiakas katsoo paremmin sopivan omiin tarkoituksiinsa; 

  • pilvipalveluntarjoajan velvollisuutta tarjota kohtuullista apua siirtymäkauden aikana, toimia huolellisesti liiketoiminnan jatkuvuuden varmistamiseksi, antaa selkeää tietoa liiketoiminnan jatkuvuuteen liittyvistä tunnetuista riskeistä ja varmistaa tietoturvan korkea taso; 

  • pilvipalveluntarjoajan velvollisuutta tukea asiakkaan irtautumisstrategiaa sopimuksen piiriin kuuluvien palvelujen osalta, mukaan lukien toimittamalla kaikki asiaankuuluva data; 

  • sopimuksen päättymisaikaa eli sitä, että sopimus tulee katsoa päättyneeksi joko silloin, kun onnistunut siirtäminen on saatu päätökseen, tai irtisanomisajan päättyessä, jos asiakas haluaa poistaa siirrettävissä olevan datansa ja digitaalisen omaisuutensa, jonka jälkeen asiakkaalle on vielä erikseen ilmoitettava päättymisestä; 

  • täsmällistä erittelyä kaikista dataluokista ja digitaalisen omaisuuden luokista, jotka voidaan siirtää vaihtoprosessin aikana sekä siitä tiedosta, joka ei ole siirrettävää johtuen palveluntarjoajan liikesalaisuuksien suojaamisen tarpeesta; 

  • pilvipalveluntarjoajan velvollisuutta varmistaa vähintään 30 kalenteripäivän vähimmäisaika datan hakemiselle sovellettavan siirtymäkauden päättymisen jälkeen; 

  • asiakkaan oikeutta pyytää kaiken siirrettävissä olevan, asiakkaaseen liittyvän datan ja digitaalisen omaisuuden täydellistä poistamista datan hakemisajan päättymisen jälkeen; ja 

  • pilvipalveluntarjoajan oikeutta periä siirtomaksuja 12.1.2027 asti sillä edellytyksellä, että maksut eivät ylitä suoraan syntyneitä kustannuksia, jonka jälkeen siirtomaksuja ei voida enää periä. 

Euroopan komissio laatii ja julkaisee 12.9.2025 mennessä mallisopimuslausekkeet pilvipalvelusopimuksille. Näiden mallilausekkeiden tavoitteena on auttaa osapuolia laatimaan ja neuvottelemaan oikeudenmukaiset, kohtuulliset ja syrjimättömät sopimusehdot pilvipalveluille. Fondia suosittelee, että pilvipalveluntarjoajat eivät odottaisi mallilausekkeiden julkaisua, vaan ryhtyisivät toimeen asetusten vaatimusten noudattamiseksi jo aiemmin. Pakollisten datasäädöksessä määritettyjen sopimuslausekkeiden muotoilun lisäksi tarvittaviin toimenpiteisiin lukeutuvat omien palvelumääritysten, toimintatapojen ja hinnoittelumallien arviointi ja päivitys. 

Muotoiltaessa edellä kuvattuja pakollisia sopimusehtoja on samalla otettava huomioon datasäädöksen IV luvun yksityiskohtaiset säännöt epäoikeudenmukaisista sopimusehdoista niissä tilanteissa, kun yritys asettaa toiselle yritykselle datan käyttöön ja pääsyyn liittyviä yksipuolisia sopimusehtoja. Menemättä tässä yhteydessä yksityiskohtiin, näiden sääntöjen mukaan yrityksen toiselle yritykselle asettamat velvoitteet eivät sido jälkimmäistä yritystä, jos sopimusvelvoitteet ovat epäoikeudenmukaisia. Datasäädös määrittää mitä tässä yhteydessä pidetään epäoikeudenmukaisena ja yksipuolisesti asetettuna sopimusehtona. Nämä säännöt epäoikeudenmukaisista sopimusehdoista koskevat sopimuksia, jotka laaditaan 12.9.2025 jälkeen. Säännöt koskevat 12.9.2027 alkaen myös sellaisia aiemmin voimaan tulleita sopimuksia, jotka ovat voimassa toistaiseksi tai yli 10 vuoden ajan.  

Asetus ei estä osapuolia sopimasta määräaikaisia pilvipalvelusopimuksia eikä sopimasta kohtuullisista seuraamusmaksuista tällaisten sopimusten ennenaikaisen päättämisen varalta. Tarkempia määrityksiä siitä, mikä voidaan katsoa kohtuulliseksi, ei ole datasäädöksessä annettu. Mikäli esimerkiksi vuoden määräaikainen sopimus irtisanotaan kesken sopimuskauden, jäljellä olevan kauden sopimusmaksujen pidättäminen olisi todennäköisesti kohtuullisuuden rajoissa. Toisaalta esimerkiksi kolmivuotisen sopimuksen koko sopimuskauden arvon perimistä seuraamusmaksuna ei todennäköisesti pidettäisi kohtuullisena, jos sellainen sopimus irtisanotaan ensimmäisen vuoden aikana. 

Jotta seuraamusmaksuja voidaan ylipäätään periä, on pilvipalveluntarjoajan annettava asiakkaalle selkeä tieto sopimuksen ennenaikaisen päättämisen yhteydessä mahdollisesti sovellettavista seuraamuksista jo ennen sopimuksen tekemistä. 

Asetus ei estä osapuolia sopimasta määräaikaisia pilvipalvelusopimuksia eikä sopimasta kohtuullisista seuraamusmaksuista tällaisten sopimusten ennenaikaisen päättämisen varalta. Tarkempia määrityksiä siitä, mikä voidaan katsoa kohtuulliseksi, ei ole datasäädöksessä annettu. Mikäli esimerkiksi vuoden määräaikainen sopimus irtisanotaan kesken sopimuskauden, jäljellä olevan kauden sopimusmaksujen pidättäminen olisi todennäköisesti kohtuullisuuden rajoissa. Toisaalta esimerkiksi kolmivuotisen sopimuksen koko sopimuskauden arvon perimistä seuraamusmaksuna ei todennäköisesti pidettäisi kohtuullisena, jos sellainen sopimus irtisanotaan ensimmäisen vuoden aikana. 

Jotta seuraamusmaksuja voidaan ylipäätään periä, on pilvipalveluntarjoajan annettava asiakkaalle selkeä tieto sopimuksen ennenaikaisen päättämisen yhteydessä mahdollisesti sovellettavista seuraamuksista jo ennen sopimuksen tekemistä. 

Pilvipalveluntarjoajien ei tule estää asiakasta: 

  • saavuttamasta toiminnallista vastaavuutta uuden pilvipalvelun käytössä toisen pilvipalveluntarjoajan samanlaisen palvelutyypin ICT-ympäristössä mutta kuitenkin niin, että alkuperäisen palveluntarjoajan ei tarvitse rakentaa kyseistä palvelua uudelleen kohdepalveluntarjoajan infrastruktuurissa; tai 

  • erottamasta perustason infrastruktuuripalveluita (Iaas) muista palveluntarjoajan palveluista, jos se on teknisesti mahdollista. 

Lisäksi pilvipalveluntarjoajien tulee: 

  • tarjota avoimet rajapinnat ilmaiseksi kaikille asiakkailleen ja kohdepalveluntarjoajille siirtymisprosessin helpottamiseksi sekä datan siirrettävyyden ja yhteentoimivuuden saavuttamiseksi; ja 

  • varmistaa yhteensopivuus mahdollisten Euroopan Komission julkaisemien avoimien yhteentoimivuutta koskevien eritelmien tai yhdenmukaistettujen standardien kanssa, ja – jos tällaisia eritelmiä tai standardeja ei ole – joka tapauksessa PaaS- ja SaaS-palvelujen tarjoajan on asiakkaan pyynnöstä siirrettävä kaikki siirrettävissä oleva data jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. 

Pilvipalveluntarjoajien ei tule estää asiakasta: 

  • saavuttamasta toiminnallista vastaavuutta uuden pilvipalvelun käytössä toisen pilvipalveluntarjoajan samanlaisen palvelutyypin ICT-ympäristössä mutta kuitenkin niin, että alkuperäisen palveluntarjoajan ei tarvitse rakentaa kyseistä palvelua uudelleen kohdepalveluntarjoajan infrastruktuurissa; tai 

  • erottamasta perustason infrastruktuuripalveluita (Iaas) muista palveluntarjoajan palveluista, jos se on teknisesti mahdollista. 

Lisäksi pilvipalveluntarjoajien tulee: 

  • tarjota avoimet rajapinnat ilmaiseksi kaikille asiakkailleen ja kohdepalveluntarjoajille siirtymisprosessin helpottamiseksi sekä datan siirrettävyyden ja yhteentoimivuuden saavuttamiseksi; ja 

  • varmistaa yhteensopivuus mahdollisten Euroopan Komission julkaisemien avoimien yhteentoimivuutta koskevien eritelmien tai yhdenmukaistettujen standardien kanssa, ja – jos tällaisia eritelmiä tai standardeja ei ole – joka tapauksessa PaaS- ja SaaS-palvelujen tarjoajan on asiakkaan pyynnöstä siirrettävä kaikki siirrettävissä oleva data jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. 

Edellä kuvattujen informointia koskevien vaatimusten lisäksi pilvipalveluntarjoajien on täytettävä seuraavat vaatimukset: 

  • ilmoitettava asiakkaalle käytettävissä olevat vaihto- ja siirtomenettelyt sekä tiedossa olevat rajoitukset ja tekniset esteet; 

  • tarjottava palveluntarjoajan ylläpitämä ajantasainen keskusrekisteri, jossa esitetään yksityiskohtaisesti kaikki datarakenteet ja -muodot sekä asiaankuuluvat standardit ja yhteentoimivuutta koskevat avoimet eritelmät, joiden mukaisesti data on saatavilla;  

  • esitettävä verkkosivustollaan ajantasaista tietoa – johon viitataan kaikissa asiakassopimuksissa – yksittäisissä palveluissa käytettävään ICT-infrastruktuurin sovellettavasta laista sekä yleisen kuvauksen teknisistä, organisatorisista ja sopimusteknisistä toimenpiteistä, joihin on ryhdytty jotta estetään kolmansien maiden viranomaisten pääsy EU:ssa säilytettäviin muihin kuin henkilötietoihin tai sellaisten tietojen siirrot, jos tällainen pääsy tai siirto olisi EU:n lainsäädännön tai EU:n jäsenvaltioiden kansallisen lainsäädännön vastaista; ja 

  • annettava sekä asiakkailleen ennen sopimuksen tekemistä että yleisesti palveluntarjoajan verkkosivustolla helposti saatavilla olevassa muodossa selkeät tiedot vakiomuotoisista palvelumaksuista ja mahdollisista ennenaikaisesta irtisanomisesta perittävistä seuraamusmaksuista sekä alennetuista vaihtokustannuksista, joita voidaan periä 12.1.2027 saakka. 

Edellä kuvattujen informointia koskevien vaatimusten lisäksi pilvipalveluntarjoajien on täytettävä seuraavat vaatimukset: 

  • ilmoitettava asiakkaalle käytettävissä olevat vaihto- ja siirtomenettelyt sekä tiedossa olevat rajoitukset ja tekniset esteet; 

  • tarjottava palveluntarjoajan ylläpitämä ajantasainen keskusrekisteri, jossa esitetään yksityiskohtaisesti kaikki datarakenteet ja -muodot sekä asiaankuuluvat standardit ja yhteentoimivuutta koskevat avoimet eritelmät, joiden mukaisesti data on saatavilla;  

  • esitettävä verkkosivustollaan ajantasaista tietoa – johon viitataan kaikissa asiakassopimuksissa – yksittäisissä palveluissa käytettävään ICT-infrastruktuurin sovellettavasta laista sekä yleisen kuvauksen teknisistä, organisatorisista ja sopimusteknisistä toimenpiteistä, joihin on ryhdytty jotta estetään kolmansien maiden viranomaisten pääsy EU:ssa säilytettäviin muihin kuin henkilötietoihin tai sellaisten tietojen siirrot, jos tällainen pääsy tai siirto olisi EU:n lainsäädännön tai EU:n jäsenvaltioiden kansallisen lainsäädännön vastaista; ja 

  • annettava sekä asiakkailleen ennen sopimuksen tekemistä että yleisesti palveluntarjoajan verkkosivustolla helposti saatavilla olevassa muodossa selkeät tiedot vakiomuotoisista palvelumaksuista ja mahdollisista ennenaikaisesta irtisanomisesta perittävistä seuraamusmaksuista sekä alennetuista vaihtokustannuksista, joita voidaan periä 12.1.2027 saakka. 

Sen lisäksi, että asetuksella annetaan asiakkaille mahdollisuus vaihtaa pilvipalveluja, sillä pyritään myös parantamaan useiden toiminnoiltaan toisiaan täydentävien pilvipalvelujen (multicloud) yhteentoimivuutta. Sen vuoksi edellä kuvattuja pilvipalveluntarjoajia koskevia siirtämisvaatimuksia sovelletaan vastaavasti tällaisen rinnakkaiskäytön helpottamiseksi. 

Datan siirtäminen pilvipalveluntarjoajalta toiselle palvelujen rinnakkaiskäytön helpottamiseksi voi olla jatkuvaa toimintaa, toisin kuin kertaluonteinen siirtäminen, joka on osa vaihtoprosessia. Tästä syystä, kun pilvipalvelua käytetään rinnakkain toisen pilvipalvelun kanssa, palveluntarjoajat voivat periä maksuja datan poistamisesta, mutta vain aiheutuneiden kustannusten kattamiseksi. Poistomaksut eivät saa ylittää aiheutuneita kustannuksia. Toisin kuin vaihtomaksuihin, joita voidaan periä vain 12. tammikuuta 2027 asti, tällaisiin poistomaksuihin ei sovelleta mitään aikarajaa. 

Sen lisäksi, että asetuksella annetaan asiakkaille mahdollisuus vaihtaa pilvipalveluja, sillä pyritään myös parantamaan useiden toiminnoiltaan toisiaan täydentävien pilvipalvelujen (multicloud) yhteentoimivuutta. Sen vuoksi edellä kuvattuja pilvipalveluntarjoajia koskevia siirtämisvaatimuksia sovelletaan vastaavasti tällaisen rinnakkaiskäytön helpottamiseksi. 

Datan siirtäminen pilvipalveluntarjoajalta toiselle palvelujen rinnakkaiskäytön helpottamiseksi voi olla jatkuvaa toimintaa, toisin kuin kertaluonteinen siirtäminen, joka on osa vaihtoprosessia. Tästä syystä, kun pilvipalvelua käytetään rinnakkain toisen pilvipalvelun kanssa, palveluntarjoajat voivat periä maksuja datan poistamisesta, mutta vain aiheutuneiden kustannusten kattamiseksi. Poistomaksut eivät saa ylittää aiheutuneita kustannuksia. Toisin kuin vaihtomaksuihin, joita voidaan periä vain 12. tammikuuta 2027 asti, tällaisiin poistomaksuihin ei sovelleta mitään aikarajaa. 

Kunkin jäsenvaltion on nimettävä yksi tai useampi toimivaltainen viranomainen, joka vastaa asetuksen soveltamisesta ja täytäntöönpanosta. Jos nimettyjä viranomaisia on useampi kuin yksi, niiden joukosta nimetään datakoordinaattori. 

Asetuksen soveltamisalaan kuuluva yritys kuuluu sen jäsenvaltion lainkäyttövaltaan, johon se on sijoittautunut. Jos yhtiö on sijoittautunut useampaan kuin yhteen jäsenvaltioon, sen katsotaan kuuluvan sen jäsenvaltion lainkäyttövaltaan, jossa sillä on pääasiallinen toimipaikka eli jossa yhtiön pääkonttori tai sääntömääräinen kotipaikka sijaitsee ja josta käsin pääasialliset taloudelliset toiminnot ja operatiivinen valvonta hoidetaan. 

Suomessa toimivaltaiseksi viranomaiseksi ja datakoordinaattoriksi on ehdotettu Traficomia. Ehdotus datakoordinaattorin tehtävästä on jatkumoa Traficomin nykyiselle roolille datanhallinta-asetuksen ja digipalveluasetuksen valvontaviranomaisena, että Euroopan datainnovaatiolautakunnan jäsenenä.  Henkilötietojen käsittelyä koskevien velvoitteiden osalta toimivaltaiseksi viranomaiseksi on ehdotettu tietosuojavaltuutettua.  

Seuraamuksien osalta viranomaistyö on edelleen kesken, ja seuraamussääntelystä odotetaan saatavan tarkempaa tietoa vuonna 2025 julkaistavasta hallituksen esityksestä. Työryhmän näkemyksien perusteella seuraamusjärjestelmältä on odotettavissa porrastettua keinovalikoimaa sekä painopisteen asettamista viranomaisten ohjaukselle ja neuvonnalle, jotta säännöksien rikkomiselta vältyttäisiin. Joka tapauksessa seuraamuksien odotetaan suhteutuvan rikkomuksen vakavuuteen ja muihin asetuksessa mainittuihin tekijöihin, jotka viranomaisten on otettava seuraamusarvioinnissa huomioon. 

Kunkin jäsenvaltion on nimettävä yksi tai useampi toimivaltainen viranomainen, joka vastaa asetuksen soveltamisesta ja täytäntöönpanosta. Jos nimettyjä viranomaisia on useampi kuin yksi, niiden joukosta nimetään datakoordinaattori. 

Asetuksen soveltamisalaan kuuluva yritys kuuluu sen jäsenvaltion lainkäyttövaltaan, johon se on sijoittautunut. Jos yhtiö on sijoittautunut useampaan kuin yhteen jäsenvaltioon, sen katsotaan kuuluvan sen jäsenvaltion lainkäyttövaltaan, jossa sillä on pääasiallinen toimipaikka eli jossa yhtiön pääkonttori tai sääntömääräinen kotipaikka sijaitsee ja josta käsin pääasialliset taloudelliset toiminnot ja operatiivinen valvonta hoidetaan. 

Suomessa toimivaltaiseksi viranomaiseksi ja datakoordinaattoriksi on ehdotettu Traficomia. Ehdotus datakoordinaattorin tehtävästä on jatkumoa Traficomin nykyiselle roolille datanhallinta-asetuksen ja digipalveluasetuksen valvontaviranomaisena, että Euroopan datainnovaatiolautakunnan jäsenenä.  Henkilötietojen käsittelyä koskevien velvoitteiden osalta toimivaltaiseksi viranomaiseksi on ehdotettu tietosuojavaltuutettua.  

Seuraamuksien osalta viranomaistyö on edelleen kesken, ja seuraamussääntelystä odotetaan saatavan tarkempaa tietoa vuonna 2025 julkaistavasta hallituksen esityksestä. Työryhmän näkemyksien perusteella seuraamusjärjestelmältä on odotettavissa porrastettua keinovalikoimaa sekä painopisteen asettamista viranomaisten ohjaukselle ja neuvonnalle, jotta säännöksien rikkomiselta vältyttäisiin. Joka tapauksessa seuraamuksien odotetaan suhteutuvan rikkomuksen vakavuuteen ja muihin asetuksessa mainittuihin tekijöihin, jotka viranomaisten on otettava seuraamusarvioinnissa huomioon. 

Johtopäätökset

EU on omaksunut kunnianhimoisen sääntelystrategian, jonka tavoitteena on ”varmistaa datasta saatavan arvon oikeudenmukainen jakautuminen datatalouden toimijoiden kesken ja edistää datan oikeudenmukaista saatavuutta ja käyttöä, jotta edistetään todellisten datan sisämarkkinoiden toteutumista”. 

Puuttumatta siihen, miten datasäädös nämä tavoitteet lopulta saavuttaa, se joka tapauksessa sääntelee erittäin laajasti monimutkaisten ja nopeasti kehittyvien markkinoiden sopimusoikeudellisia, teknisiä ja kaupallisia yksityiskohtia. Harmaita alueita siis väistämättä jää, eivätkä tulkintarajat ole aina selviä. 

Pilvipalvelujen tarjoajien olisi siksi ryhdyttävä pikimmiten toimenpiteisiin asetuksen vaatimusten täyttämiseksi, erityisesti tarvittavien teknisten muutosten osalta.  

Fondian asiantuntijat tukenasi

Apua datasäädöksen soveltamiseen on saatavilla Fondian Datatalouden asiantuntijoilta.

Tämä artikkeli on osa datasäädökseen keskittyvää artikkelisarjaa, joka pureutuu datasäädöksen yksittäisiin kysymyksiin eri näkökulmista ja mahdollisimman käytännönläheisesti. Sarjan aiemmat osat: 

We law your business.

Tietosuoja⁠Tietosuoja⁠
Evästeet⁠Evästeet⁠
Kestävä kehitys⁠Kestävä kehitys⁠
Ota yhteyttä⁠Ota yhteyttä⁠

Copyright © Fondia 2022. All rights reserved.