Tammikuussa 2024 voimaan astunut datasäädös (Data Act) vaikuttaa lähes kaikkien dataa keräävien yritysten toimintaan ja prosesseihin. Sen soveltaminen alkaa 12.9.2025, mutta sen asettamia velvoitteita ja mahdollisuuksia tulisi tarkastella jo nyt, jotta muutokseen ehditään valmistautua. Säädös selkeyttää datan hyödyntämiseen ja kaupalliseen käyttöön liittyviä sääntöjä ja vahvistaa käyttäjän oikeuksia dataan.
Mitä yrityksiltä edellytetään?
Datasäädöksen soveltamisala on laaja, ja se koskee lähtökohtaisesti kaikkia EU:n alueella toimivia yrityksiä, jotka tarjoavat tietoverkkoihin yhdistettyjä tuotteita tai tällaiseen tuotteeseen liittyviä liitännäispalveluita. Asetus koskee myös tietojenkäsittelypalveluita tarjoavia yhtiöitä sekä yhtiöitä, jotka osallistuvat data avaruuksiin tai tarjoavat älysopimuksien käyttämiseen liittyviä palveluita.
Laitteiden ja palveluiden käytön yhteydessä syntynyttä dataa on totuttu pitämään laitteita ja palveluita tarjoavien yritysten omaisuutena. Jatkossa datasäädös velvoittaa suunnittelemaan ja tarjoamaan verkkoon yhdistetyt tuotteet ja niihin liittyvät liitännäispalvelut siten, että niiden keräämä data on oletusarvoisesti myös käyttäjän saatavilla helposti, turvallisesti ja maksutta. Dataa saa jatkossakin kerätä ja käyttää sopimuksen mukaisesti, mutta yritysten on tarjottava rajoitettu käyttömahdollisuus muillekin. Datanjakovelvoitteet koskevat tuotteen tai palvelun käytöstä syntynyttä dataa tai niiden haettavaksi suunniteltua raakadataa sekä sitä selittävää dataa (mukaan lukien datan tulkitsemiseksi ja käyttämiseksi tarvittava metadata). Jakovelvoite ei kuitenkaan lähtökohtaisesti koske pidemmälle jalostettua dataa. Koska yritysten tulee tarjota jakovelvoitteen piirissä oleva data käyttäjälle ja sivulliselle, joka toimii käyttäjän puolesta, jakovelvoitteen alaisen datan erottaminen jatkojalostetusta ja yksinomaan yrityksen omaan käyttöön tarkoitetusta datasta on tärkeää.
Vastaavasti datankäsittelypalveluiden tarjoajien tulee tarjota palvelunsa siten, että käyttäjä voi halutessaan helposti vaihtaa palveluntarjoajaa. Datasäädöksessä velvoitetaan poistamaan tekniset esteet käyttäjän datan siirrettävyydestä ja siinä puututaan myös palveluntarjoajan ja käyttäjän välisiin sopimusehtoihin, jatkuvuuden ja kohtuullisen siirtoajan takaamiseksi.
Datasäädöksen keskeisenä tavoitteena on mahdollistaa datan helppo kopiointi ja siirtäminen eri tuotteiden ja palveluiden välillä. Käyttäjä voi jatkossa esimerkiksi helpommin kilpailuttaa laitteiden huollon ja korjaamisen, sillä datasäädöksen myötä korjauspalvelua ei voi enää sitoa valmistajan tarjoamiin korjauspalveluihin. Yritykset voivat niin ikään vaihtaa halutessaan helposti palveluntarjoajia ja erilaisia sovelluksia toisiin vastaaviin ilman, että sen tarvitsee itse siirtää tallennettuja tietoja. Käytännössä nämä muutokset edellyttävät siten myös hinnoittelumallien tarkistusta kilpailukyvyn ylläpitämiseksi. Lisäksi säädös sisältää velvoitteita muun muassa datan asettamisesta julkisten toimijoiden saataville tietyin edellytyksin.
Vaikutukset yrityksen sopimuksiin ja liikesalaisuuksiin
Datasäädös asettaa laitteen tai liitännäispalvelun tarjoajalle sekä tietojenkäsittelypalveluiden tarjoajalle tiedonantovelvollisuuksia, jotka on toteutettava ennen sopimuksen solmimista. Tietoverkkoon yhdistetyn tuotteen ja liitännäispalvelun tarjoajan tiedonantovelvollisuuden piiriin kuuluu muun muassa se, mitä dataa tuotetaan tai kerätään, missä sitä säilytetään, sekä se, kuinka käyttäjä tai kolmas osapuoli pääsee dataan käsiksi. Vastaavasti tietojenkäsittelypalvelun tarjoajan on kerrottava tiedon siirtoon ja vaihtoon käytettävissä olevista menetelmistä, muodoista ja mahdollisista teknisistä rajoituksista.
Datasäädös ottaa kantaa käyttäjän kanssa solmittavan sopimuksen sisältöön. Tuotteen tai liitännäispalvelun tarjoajan on sovittava käyttäjän kanssa siitä, miten käyttäjän dataa saa käyttää ja jakaa, mutta sen lisäksi sen on sovittava datan käytöstä myös käyttäjän puolesta toimivan sivullisen kanssa. Esimerkiksi laitteita korjaavan huoltoliikkeen ja tuotteen tai liitännäispalvelun tarjoajan välisessä sopimuksessa huoltoliikkeelle tulee tarjota pääsy dataan sellaisilla ehdoilla, jotka ovat FRAND-periaatteiden (Fair, Reasonable and Non‑Discriminatory) mukaisia. Huoltoliike ei kuitenkaan saa käyttää saamaansa dataa miten tahansa, vaan sen käyttö on suoraan asetuksen nojalla rajoitettu käsittämään vain sen, mikä on tarpeen käyttäjälle tarjottavan palvelun mahdollistamiseksi. Sen tulee myös poistaa data heti sen jälkeen, kun käyttäjän kanssa sovittu tarkoitus on saavutettu.
Tietojenkäsittelypalvelussa tietojen käsittelystä sovitaan joka tapauksessa, mutta datasäädös tuo tärkeitä sopimusvapauden rajoituksia osapuolten välille. Sopimuksissa tulee olla yksilöitynä siirrettävä data tietoluokittain ja sujuvan siirron edellyttämät lausekkeet eikä siirrosta saa siirtymäajan jälkeen enää periä maksua. Tietojenkäsittelypalvelun tarjoajalla on velvollisuus auttaa siirron toteuttamisessa, huolellisuusvelvoitteita jatkuvuuteen liittyen ja velvoitteita huolehtia mm. tietoturvasta. Lisäksi asetus asettaa vähimmäis- ja enimmäisaikoja irtisanomiseen ja siirron toteuttamiseen liittyen.
Datan käyttöä koskevat sopimukset tulisi laatia hyvissä ajoin ennen datasäädöksen soveltamisen alkamista ja jo ennen sopimuksen laatimista laitteiden ja liitännäispalveluiden tarjoajien kannattaa pysähtyä tarkastelemaan kerättyä dataa, sen siirtomahdollisuuksia ja hallinnointia. Vaikka asetus sisältää jaettuun tietoon liittyviä käyttörajoituksia ja velvollisuuksia toimia vilpittömässä mielessä, tällaisten rajoitusten velvoitteiden valvominen voi olla käytännössä erittäin vaikeaa.
Vaikka datan jakovelvoite ei kata pidemmälle työstettyä ja jatkojalostettua dataa, laitteiden tai liitännäispalveluiden keräämään dataan liittyviä ilmaisu- ja jakovelvoitteita ei voi välttää työstämällä, jäsentämällä, jatkojalostamalla ja yhdistelemällä sitä esimerkiksi omiin tai muiden liikesalaisuuksiin. Datasäädöksen lähtökohta toki on, että teollis- ja tekijänoikeuksien suoja sekä liikesalaisuudet on säilytettävä ja muun muassa datan käyttö kilpailevan tuotteen kehittämiseen on nimenomaisesti kielletty. Liikesalaisuudet eivät kuitenkaan sinällään ole peruste kieltäytyä luovuttamasta dataa käyttäjälle tai sivulliselle. Liikesalaisuuksia ei tulisikaan ajatella toimenpiteitä helpottavana seikkana, vaan päinvastoin, niiden suojaamiseksi tarvitaan lisätoimia myös data asetuksen kontekstissa. Liikesalaisuudet mahdollistavat tietyin edellytyksin rajoitetun oikeuden pidättäytyä datan jakamisesta, mutta edellytysten täyttyminen tulee tarkistaa huolellisesti. Kieltäytymispäätös on perusteltava toimivaltaiselle viranomaiselle.
Datasäädöksen mukaan liikesalaisuuksia sisältävää dataa voi ilmaista, jos laitteen tai liitännäispalvelun tarjoaja ja käyttäjä toteuttavat ennen niiden ilmaisemista kaikki tarvittavat toimenpiteet niiden luottamuksellisuuden säilyttämiseksi. Siksi on valtavan tärkeää yksilöidä salassa pidettävä data ja siihen liittyvä tai siihen kuuluva metadata. Käyttäjän kanssa tulee sopia myös oikeasuhteisista teknisistä ja organisatorisista toimenpiteistä, jotka ovat tarpeen jaettavan datan luottamuksellisuuden säilyttämiseksi. Tällaisia toimenpiteitä ovat salassapitosopimukset, tiukat pääsyprotokollat, tekniset standardit ja käytännesääntöjen soveltaminen.
Miten datasäädökseen tulisi valmistautua?
Datasäädös edellyttää yritykseltä järjestelmien ja prosessien kehittämistä siten, että se kykenee täyttämään asetetut velvoitteet. Valmistautuminen tulee aloittaa hyvissä ajoin sillä muutokset koskevat ennen kaikkea tuotteiden ja palveluiden teknistä toteutusta, sekä datan hallinnoinnin prosesseja kokonaisuudessaan. Kun jakovelvoitteen alainen data on hallinnoitu siten, että siihen voi sallia pääsyn mieluusti reaaliaikaisesti ja verkkopalvelun kautta tai siirtää vaivattomasti, huomiota tulee kiinnittää myös dataan liittyviin sopimuksiin sekä tarkistaa liikesalaisuuksia koskevat prosessit. Huomionarvoista on myös se, että henkilötietojen käsittelyyn sovelletaan edelleen ensisijaisesti tietosuojalainsäädäntöä.
Olemme koonneet alle muistilistan datasäädöksen soveltamisen alkamiseen valmistautuville yrityksille:
- Kartoita mitä yrityksen dataa jakovelvoitteet koskevat ja kuinka dataa hallinnoidaan
- Tarkista, voiko jakovelvoitteen alaisen datan pitää erillään yrityksen sisäisestä datasta
- Selvitä sisältääkö data yrityksen tai kolmannen osapuolen liikesalaisuuksia
- Tarkista minkälaiset prosessit yrityksessä on liikesalaisuuksien suojaamiseksi
- Selvitä miten tiedonantovelvoitteet käytännössä toteutetaan ja onko ne huomioitu sopimustoiminnassa
- Selvitä voiko jakovelvoitteen alaiseen dataan tarjota pääsyn verkkopalvelun kautta
- Selvitä sisältääkö jakovelvoitteen alainen data henkilötietoja
- Tarkista ovatko sopimukset tiedon pääsyn, jako- ja siirtovelvoitteiden mukaiset
Datasäädös edellyttää valmistautumista, mutta sen myötä syntyy myös uusia liiketoimintamahdollisuuksia ja yhteistyötä eri alojen välillä. Yritykset voivat hyödyntää säädöksen tarjoamaa puitetta ja kehittää uusia palveluita ja tuotteita, jotka perustuvat datan vapaaseen liikkuvuuteen ja käyttöön. Esimerkiksi data-analytiikkaan erikoistuneet yritykset voivat tarjota palveluita, jotka auttavat käyttäjiä hyödyntämään dataansa entistä tehokkaammin. Datasäädös mahdollistaa käyttäjille palveluiden kilpailuttamisen ja teknisiin esteisiin ja sopimuksiin perustuva toimittajariippuvuus poistuu niin verkkoon liitettyjen tuotteiden, niiden liitännäispalveluiden kuin tietojenkäsittelypalveluiden tarjoamisesta. Tämän kaiken tarkoituksena on avata uusia liiketoimintamahdollisuuksia, edistää EU:n kilpailukykyä ja innovaatioita, sekä vahvistaa pk- yritysten asemaa datamarkkinoilla.
Blogin ovat kirjoittaneet juristimme Iiro Nurminen ja Elisa Huusko, jotka syventävät aihetta tulevassa aamiaisseminaarissamme keskiviikkona 17.4.
Lue lisää ja ilmoittaudu mukaan aamiaisseminaariimme!
