Hallituksen esitysluonnos datasäädöksen täytäntöönpanosta julki – valmistautuminen uusiin velvoitteisiin aloitettava

Blogit
20. tammikuuta, 2025

Kuva on tehty tekoälyllä.

Liikenne- ja viestintäministeriö julkaisi 20.12.2024 hallituksen esitysluonnoksen EU:n datasäädöksen ja datanhallinta-asetuksen täytäntöönpanoa koskevaksi lainsäädännöksi. Datasäädöksen tavoitteena on edistää datan oikeudenmukaista saatavuutta yli toimialarajojen. Hallituksen esitysluonnos on lausuntokierroksilla 31.1.2025 saakka.  

Tausta

Asetus (EU) 2023/2854 datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä – datasäädös – tulee sovellettavaksi 12.9.2025 alkaen. Asetuksessa säädetään pääasiallisesti datan käyttöön, jakamiseen ja saataville asettamiseen liittyvistä velvoitteista sekä pilvipalveluille datan siirtoon liittyvistä velvoitteista. Käytännössä tämä tarkoittaa yrityksille lisääntyviä velvollisuuksia muun muassa varmistaa ja mahdollistaa teknisin ratkaisuin dataan pääsy ja datan jaettavuus käyttäjille ja kolmansille.  

Datasäädös on asetuksen tasoinen sääntelykokonaisuus ja siten sellaisenaan suoraan sovellettavaa oikeutta, mutta kansalliselta täytäntöönpanolta edellytetään tarkempaa sääntelyä asetuksen valvonnasta ja seuraamuksista. Hallitus on edennyt täytäntöönpanoon valmistautumisessa julkaisemalla luonnoksen uudelle laille datan hallinnasta ja jakamisen valvonnasta. Voit tutustua hallituksen esitysluonnokseen täältä

Toimivaltaiset viranomaiset Suomessa

Hallituksen esitysluonnoksessa laiksi datan hallinnasta ja jakamisen valvonnasta nimitetään Suomen toimivaltaiset viranomaiset. Datasäädöksen mukaan jäsenvaltion tulee nimetä yksi tai useampi kansallinen toimivaltainen viranomainen, joka on vastuussa asetuksen soveltamisesta ja täytäntöönpanon valvonnasta. Hallituksen esitysluonnoksessa toimivallan jakoa on ehdotettu seuraavasti: 

  • Liikenne- ja viestintävirasto (Traficom) toimittaisi jatkossa datakoordinaattorin tehtävää. Datakoordinaattori on päävastuussa datasäädöksen soveltamisen ja täytäntöönpanon valvonnasta. Ehdotus on jatkumoa Traficomin nykyiselle roolille datanhallinta-asetuksen ja digipalveluasetuksen valvontaviranomaisena.  

  • Tietosuojavaltuutettu vastaa henkilötietojen suojasta ja yleisen tietosuojasäännöksen (GDPR) velvoitteiden noudattamisesta datasäädöksen soveltamisen yhteydessä.  

  • Kuluttaja-asiamies vastaa datasäädöksessä asetetuista elinkeinonharjoittajien tiedonantovelvollisuuksien noudattamisesta kuluttajien ja yritysten välisessä suhteessa. Tiedonantovelvollisuudet koskevat annettavia tietoja ennen sopimuksen solmimista verkkoon liitetyn tuotteen ostamisesta, vuokraamisesta tai liisaamisesta ja tuotteeseen liittyvän palvelun tarjoamisesta.  

  • Kilpailu- ja kuluttajavirasto vastaa datanlukutaidon ja tietoisuuden edistämisestä kuluttajien ja yritysten keskuudessa. Datanlukutaito on uusi viranomaistehtävä, jonka tarkoituksena on lisätä kuluttajien ja yritysten tietoisuutta heidän tuottamansa datan arvosta ja käyttömahdollisuuksista.  

Toimivaltaiset viranomaiset toimivat valvontatehtävien hoitamisessa tiiviissä yhteistyössä ja tekevät tarvittaessa yhteistyötä myös muiden viranomaisten kanssa. Hallituksen esitysluonnoksessa säädetään viranomaisiin kohdistuvista ilmoitusvelvollisuuksista Traficomille, jotta tämä voi noudattaa omia velvollisuuksiaan esimerkiksi raportointivelvollisuuksien osalta.  

Toimivallan käytöstä ja seuraamuksista

Datasäädöksessä velvoitetaan jäsenvaltiot varmistamaan, että asetuksen noudattamatta jättämisestä ja rikkomisesta aiheutuvat seuraamukset ovat tehokkaita, oikeasuhteisia ja varoittavia. Hallituksen esitysluonnoksessa säädetään seuraamusten osalta viranomaisten valvontatoimenpiteistä sekä seuraamusmaksuista. Odotetusti seuraamusjärjestelmä noudattelee porrastettua keinovalikoimaa, jossa painopiste on asetettu viranomaisten ohjaukselle ja neuvonnalle seuraamusmaksujen sijaan.  

Toimivaltainen viranomainen olisi jatkossa oikeutettu muun muassa saamaan valvontatehtävänsä hoitamiseksi tarvittavat välttämättömät tiedot yritykseltä salassapitosäännösten estämättä, tekemään tarkastuksia yrityksen liiketiloihin epäillyn rikkomuksen vuoksi sekä antamaan huomautuksen tai varoituksen ja velvoittaa sen, joka rikkoo datasäädöksessä asetettuja velvollisuuksia, korjaamaan toimintansa. 

Lisäksi hallituksen esitysluonnoksessa säädetään seuraamusmaksujen määräytymisestä datan haltijoille, käyttäjille ja vastaanottajille sekä muille asetuksen tarkoittamille toimijoille datasäädöksen noudattamatta jättämisen ja rikkomisen varalta. Seuraamusmaksujen enimmäismäärä jäljittelee GDPR:ssä asetettua 4 %:n enimmäismäärää yrityksen vuotuisesta EU:n laajuisesta kokonaisliikevaihdosta.  

Lopullisesta seuraamusmaksusta päättää ehdotetusti Traficom, joka määrittää seuraamuksen määrän kokonaisarvioinnin perusteella. Arvioinnissa vaikuttaa muun muassa rikkomisen luonne, vakavuus, laajuus ja kesto. Lisäksi seuraamusmaksun määräämiseltä edellytettäisiin tahallisuutta tai huolimattomuutta toiminnassa. Seuraamusmaksua ei määrättäisi lainkaan silloin, jos rikkomista on pidettävä vähäisenä taikka seuraamusmaksun määräämistä ilmeisen kohtuuttomana.  

Datasäädöksessä on säädetty luonnollisten henkilöiden ja oikeushenkilöiden oikeudesta tehdä valitus jäsenvaltion asianomaiselle ja toimivaltaiselle viranomaiselle, mikäli he katsovat datasäädökseen perustuvien oikeuksiensa tulleen loukatuksi sekä datakoordinaattorin eli esitysluonnoksessa Traficomin velvollisuudesta antaa pyynnöstä kaikki tarvittavat tiedot kyseisen valituksen tekemistä varten. Kaikista toimivaltaisten viranomaisten päätöksistä voidaan pääsääntöisesti tehdä valitus oikeudenkäynnistä hallintoasioissa annetun lain mukaisesti.  

Seuraavat stepit

Lausuntokierros datan hallinnasta ja jakamisen valvonnasta annettavasta laista päättyy 31.1.2025, jonka jälkeen hallituksen esityksen valmistelu jatkuu virkatyönä.  

Valmisteluvaiheesta huolimatta datasäädöksen ja datan hallinnasta ja jakamisen valvonnasta annetun lain soveltaminen lähestyy kovaa vauhtia, sillä molempia aletaan soveltamaan 12.9.2025 alkaen. Tämä tarkoittaa sitä, että yritysten tulee saattaa toimintansa vastaamaan asetuksen ja uuden lain vaatimuksia annettuun päivämäärään mennessä. Yritysten on suositeltavaa ryhtyä asianmukaisiin toimenpiteisiin hyvissä ajoin, sillä esimerkiksi asetuksen edellyttämät muutokset sekä myytäviä laitteita ja niiden oheispalveluita, että datankäsittelypalvelujen tarjoamista koskeviin asiakassopimuksiin tulisi tehdä ennen kuin asetuksen soveltaminen syyskuussa alkaa. Sopimuspohjien muotoilu esimerkiksi komission asettaman asiantuntijaryhmän julkaisemien mallisopimusehtojen pohjalta vaatii jo itsessään merkittävän työpanoksen yrityksiltä ja tämän työn valmistuttua sopimusmuutosten neuvottelu asiakkaiden kanssa vaatii vielä oman aikansa. Jo ennen tämän sopimusprojektin aloittamista voi olla välttämätöntä inventoida organisaation dataomaisuus, jotta pystytään ylipäätään tunnistamaan ja kategorisoimaan se data, jota asetuksen velvoitteet koskevat, sekä määrittämään tälle datalle esimerkiksi liikesalaisuuksien suojaamiseksi tarvittavat toimenpiteet. 

Fondian asiantuntijat tukenasi

Apua datasäädöksen soveltamiseen ja siihen liittyvien käytännön toimenpiteiden toteuttamiseen on saatavilla Fondian Datatalouden asiantuntijoilta.  

Tämä artikkeli on osa datasäädökseen keskittyvää artikkelisarjaa, joka pureutuu datasäädöksen yksittäisiin kysymyksiin eri näkökulmista ja mahdollisimman käytännönläheisesti. Sarjan aiemmat osat: