Datasäädöksen ja yleisen tietosuoja-asetuksen vuorovaikutuksesta
Datasäädös (Data Act) tuli voimaan 11. tammikuuta 2024. Sitä aletaan soveltamaan merkittävimmiltä osiltaan 12. syyskuuta 2025 alkaen. Datasäädöksessä asetetaan velvoitteita, jotka koskevat pääsyä niin sanottujen verkkoon liitettyjen tuotteiden (esimerkiksi IoT-laitteet) ja niihin liittyvien palvelujen dataan. Datasäädöstä sovelletaan sekä henkilötietoihin että ei-henkilötietoihin, joten on erityisen tärkeää kiinnittää huomiota myös yleisen tietosuoja-asetuksen (GDPR) henkilötietojen käsittelyä koskeviin säännöksiin niissä datasäädöksen soveltamistilanteissa, joissa dataan sisältyy myös henkilötietoja.
Lyhyt kertaus datasäädöksestä
Esineiden internetin yleistyminen on tehnyt tarpeelliseksi asettaa selkeät ja oikeudenmukaiset säännöt datan saatavuudelle ja käytölle eurooppalaisessa datataloudessa. Tämä mahdollistetaan datasäädöksellä. Datasäädöksen tavoitteena on parantaa EU:n datataloutta ja luoda kilpailukykyiset datamarkkinat lisäämällä datan saatavuutta, edistämällä dataan perustuvaa innovointia ja parantamalla datan, erityisesti teollisen datan, käytettävyyttä ja saatavuutta. Tämän saavuttamiseksi datasäädös takaa oikeudenmukaisen datan arvon jakautumisen datatalouden toimijoiden kesken. Datasäädöksessä tehdään selväksi, kenellä on pääsy mihin dataan ja milloin, varmistaen samalla henkilötietojen suoja. Tietosuojan näkökulmasta erityisen kiinnostavia ovat datasäädöksen II luvun datan jakamista koskevat velvoitteet, ja niiden vuorovaikutus tietosuoja-asetuksen kanssa. II luvussa säädetään datan haltijoiden velvollisuuksista antaa pääsy käyttäjälle tai kolmannelle osapuolelle verkkoon liitettyjen tuotteiden ja niihin liittyvien palvelujen dataan käyttäjän pyynnöstä.
Datasäädöksen ja tietosuoja-asetuksen suhde
Datasäädöksen tulkitseminen tai soveltaminen ei saisi rajoittaa tai vaarantaa oikeutta henkilötietojen suojaan. Datasäädöstä sovellettaessa on noudatettava unionin tietosuojalainsäädäntöä, kuten yleistä tietosuoja-asetusta silloin, kun datan käsittelyyn liittyy henkilötietoja. On kuitenkin hyvä muistaa, että datasäädöksellä ja tietosuoja-asetuksella on eri tavoitteet. Datasäädöksen ensisijaisena tavoitteena on varmistaa datan arvon oikeudenmukainen jakautuminen eri datatalouden toimijoiden kesken ja edistää datan saatavuutta ja käyttöä. Tietosuoja-asetuksen tavoitteena on turvata ja suojata luonnollisten henkilöiden henkilötietoja ja yksityisyyttä käsittelyn aikana.
Datasäädös ei luo uutta käsittelyperustetta henkilötietojen käsittelylle tai tuottamiselle. Datasäädös toimii tietosuoja-asetusta täydentävänä säädöksenä, joka johtaa siihen, että näitä kahta säädöstä on sovellettava rinnakkain. Jos kuitenkin datasäädöksen säännökset ovat ristiriidassa henkilötietojen suojaa koskevan lainsäädännön kanssa, sovelletaan henkilötietojen suojaa koskevaa lainsäädäntöä. Näin ollen tietosuoja-asetus on viime kädessä korkeammalla sijalla hierarkiassa. Datasäädös kattaa sekä henkilötiedot että muun datan, mikä täydentää tiettyjä rekisteröidylle myönnettyjä oikeuksia, kuten oikeutta siirtää tiedot järjestelmästä toiseen.
Milloin tietosuoja-asetus soveltuu?
Tietosuoja-asetusta sovelletaan henkilötietojen käsittelyyn. Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana luonnollisena henkilönä pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetiedon, kuten nimen, henkilötunnuksen, sijaintitiedon tai yhden tai useamman hänelle tunnusomaisen esimerkiksi fyysiseen, fysiologisen tai sosiaalisen tekijän perusteella.
Verkkoon liitetty tuote, kuten älykello, voi tuottaa ja usein tuottaakin dataa tunnistetusta tai tunnistettavissa olevasta luonnollisesta henkilöstä muun datan ohella. Tällöin myös tätä niin sanottua IoT-dataa voidaan pitää henkilötietona. Yhdistetyt data-aineistot voivat sisältää henkilötietoja vaihtelevassa määrin. Siinä tapauksessa, että muu data ja henkilötiedot liittyvät erottamattomasti toisiinsa, sovelletaan tietosuoja-asetuksen säännöksiä ja yleisiä periaatteita, kuten tietojen minimointia koskevaa periaatetta, vaikka data-aineisto sisältäisi vain pienen määrän henkilötietoja. Datan yhdistely tavalla, jonka seurauksena henkilön tunnistaminen datasta on mahdollista, voi muuttaa muun datan kuin henkilötiedot henkilötiedoiksi. Vaikka data ei ole henkilötietoa nyt, se voi olla sitä tulevaisuudessa.
On myös syytä pitää mielessä Euroopan unionin tuomioistuimen laaja tulkinta henkilötietojen käsitteestä. Euroopan unionin tuomioistuin on ratkaisukäytännössään todennut, että tietosuoja-asetuksen mukaista henkilötietojen määritelmää sovelletaan, kun tiedot liittyvät tiettyyn henkilöön sisältönsä, tarkoituksena tai vaikutuksensa vuoksi (ks. esim. asia C-180/21).
Kun henkilötiedoiksi katsottavaa dataa pyytää käyttäjä, joka ei ole rekisteröity, on varmistettava, että henkilötietojen käsittelylle on tietosuoja-asetuksen mukainen käsittelyperuste, kuten suostumus tai sopimuksen täytäntöönpano. Näin ollen henkilötiedot voivat rajoittaa käyttäjän pääsyä dataan.
Roolit tietosuojanäkökulmasta
Roolit luovat omat haasteensa tietosuoja-asetuksen ja datasäädöksen rinnakkaiselle soveltamiselle. Tietosuoja-asetuksessa käytetään termejä "rekisterinpitäjä" ja "käsittelijä", kun taas datasäädöksessä viitataan "datan haltijaan" ja "käyttäjään". Tästä huolimatta rooleja voidaan pitää osittain päällekkäisinä ja suhteellisina. Henkilötietoja käsitellessään datan haltijan voidaan usein katsoa toimivan myös rekisterinpitäjänä. Myös käyttäjää pidetään rekisterinpitäjänä silloin, kun se ei ole rekisteröity vaan yritys. On myös mahdollista, että datan haltija ja käyttäjä ovat tietosuoja-asetuksen mukaisia yhteisrekisterinpitäjiä. Datasäädöksen resitaalin mukaan käsittelijöitä ei pidetä datan haltijoina.
Esimerkiksi yritys, joka vuokraa autoja luonnollisille henkilöille, on käyttäjä suhteessa valmistajaan. Jos yritys kuitenkin käsittelee henkilötietoja, kuten auton sijaintitietoja, suhteessa luonnolliseen henkilöön, joka tässä tapauksessa on käyttäjä ja samaan aikaan rekisteröity, yrityksen voidaan katsoa olevan rekisterinpitäjä ja datan haltija. On mahdollista, että tähän yhtälöön sisältyy myös henkilötietojen käsittelijöitä.
On kuitenkin tärkeää ymmärtää se, että vaikka tietty toimija on tietyssä roolissa datasäädöksen mukaan, ei se tarkoita automaattisesti sitä, että se olisi tietyssä roolissa tietosuoja-asetuksen näkökulmasta. Esimerkiksi "käyttäjä" ei välttämättä aina vastaa "rekisteröityä" tai ”datan haltija” ei välttämättä aina ole ”rekisterinpitäjä”. Roolit eivät siis ole ennalta määrättyjä, vaan tietosuoja-asetuksen mukaiset roolit tulisi arvioida tapauskohtaisesti.
Mitä seuraavaksi?
Datasäädöksen ja tietosuoja-asetuksen yhteensovittaminen luo omat haasteensa, joten valmistautuminen datasäädöksen ja tietosuoja-asetuksen rinnakkaiseen soveltamiseen tulisi aloittaa ajoissa. Verkkoon liitettyjen tuotteiden valmistajien ja tarjoajien on identifioitava mikä data on henkilötietoa ja mikä ei sekä huomioitava tietosuojalainsäädännön asettamat velvoitteet käsitellessään käyttäjien dataan pääsyä koskevia pyyntöjä, kun pyydetty data sisältää myös henkilötietoja.
Fondian asiantuntijat tukenasi
Apua datasäädöksen soveltamiseen on saatavilla Fondian AI ja Datatalous -asiantuntijaryhmältä ja osoitteesta fondia@fondia.com.
Tämä artikkeli on osa datasäädökseen keskittyvää artikkelisarjaa, joka pureutuu datasäädöksen yksittäisiin kysymyksiin eri näkökulmista ja mahdollisimman käytännönläheisesti. Sarjan aiemmat osat:
Datasäädöksen pilvipalvelun vaihtamista koskevat määräykset
Datasäädöksen (Data Act) pääkohdat käsittelyyn