Datasäädös edellyttää toimenpiteitä lähes kaikilta yrityksiltä

Sakari Aalto

Artikkelit Teknologia ja data

31.10.2024

Yrityksiltä vaaditaan merkittäviä toimenpiteitä, että yritysten tarjoamien tuotteiden ja palveluiden keräämät tiedot ovat käyttäjien tai kolmansien osapuolten saatavilla ensi syksynä voimaan tulevan datasäädöksen edellyttämällä tavalla. Laajoilla datan jakamiseen liittyvillä velvoitteilla datasäädöksen pyrkii parantamaan edistämään teknistä sekä kaupallista kehitystä EU:ssa. Markkinaa muuttamaan pyrkivien tavoitteiden saavuttamiseksi säädös koskee lähes kaikkia internetiin liitettyjä laitteita ja niihin liittyviä palveluja.

Yritysten on ensi syksystä alkaen huolehdittava, että niiden tarjoamien tuotteiden ja niihin liittyvien palvelujen keräämät tiedot ovat käyttäjien tai kolmansien osapuolten saatavilla uuden datasäädöksen mukaisesti. Datasäädös on vuoden 2023 lopulla hyväksytty säännös, jonka tavoitteena on varmistaa hyvin erilaisten laitteiden ja niihin liittyvien palveluiden keräämän data saatavuus käyttäjille ja muille tuotteiden ja palveluiden tarjoajille. Datasäädöksen soveltamisalue on hyvin laaja, koska sen velvoitteet koskevat kaikkia laitteita, jotka on liitetty internettiin tai joiden keräämiin tietoihin käyttäjällä on pääsy esimerkiksi laitteeseen kuuluvan näytön kautta.

Datasäädöksen laajan soveltamisalan vuoksi käytännössä jokaisen tuotteita tai niihin liittyviä sähköisiä palveluja (sisältäen tietokoneohjelmistot) tarjoavan yrityksen tulee vähintään arvioida, soveltuuko datasäädös sen tuotteisiin ja palveluihin. Datasäännös koskee sekä kuluttajille että elinkeinonharjoittajille tarjottavia tuotteita ja niihin liittyviä palveluja. Selkeät poikkeukset soveltamisesta ovat tietoliikenne ja datan tallennuslaitteet sekä pienet yritykset, joiden liikevaihto on alle 10 miljoonaa euroa vuodessa. Tosin, jos yrityksellä on tavoitteena kasvaa, datasäädöksen velvoitteisiin voi olla syytä varautua jo ennen tuon rajan saavuttamista. Tämä johtuu siitä, että datasäädöksen päävelvoitteet edellyttävät tietojen luovuttamismahdollisuuden huomioimista jo tuotteiden ja niihin liittyvien palveluiden suunnitteluvaiheessa.

Datasäädöksen, johon keskustelussa usein viitataan sen englanninkielisellä nimellä Data Act, taustalla on datan ja sen saatavuuden merkityksen kasvu. Säännös on osa EU:n datastrategiaa ja perustuu ajatukseen siitä, että datan parempi saatavuus edistää teknistä ja kaupallista kehitystä EU:ssa. Tämän hyvin positiivisen tavoitteen näkökulmasta valitettavasti datasäädöksen teksti vaikuttaa monimutkaiselta ja sen soveltamiseen helposti liittyy paljon käytännön epävarmuuksia ja ongelmia. Tuotteiden ja niihin liittyvien palveluiden kehittämisen yhteydessä on perusteltua ottaa huomioon, että jos tuote tai palvelu ei täytä datasäädöksen velvoitteita, tämä saattaa käytännössä estää tuotteen tai palvelun myynnin siihen asti, kunnes tuote tai palvelu on korjattu säännöksen mukaiseksi.

Datasäädöksen ydinvelvoitteet

Datasäädöksen velvoitteet rakentuvat kahden ydinvelvoitteen ympärille. Ensinnäkin tuotteen tai siihen liittyvän palvelun toimittajalla on velvollisuus antaa tuotteen tai siihen liittyvän palvelun käyttäjälle yksityiskohtaisia tietoja siitä, mitä tietoja tuote tai siihen liittyvä palvelu kerää ja missä muodossa. Toiseksi toimittajalla on velvollisuus pyynnöstä toimittaa tuotteen keräämät tiedot käyttäjälle tai esimerkiksi kilpailevalle toimittajalle tai tarjota ne käyttäjän tai kolmannen osapuolen saataville.

Kokonaisuutena tietojen toimittamisvelvollisuuksista on vain vähän poikkeuksia. Poikkeuksista merkittävimmät ovat todennäköisesti se, että luovutuksissa pitää noudattaa tietosuoja-asetuksen ja muiden tietosuojaa koskevien säännösten asettamia rajoituksia. Tämän rajoituksen käytännön soveltaminen on näyttää erittäin haastavalta erityisesti tilanteissa, joissa tuotteen tai siihen liittyvän palvelun käyttäjiä on useita tai tuotteeseen muusta syystä kertyy muiden kuin datasäädöksen mukaisen käyttäjän henkilötietoja. Jos yritys aikoo rajoittaa tietojen siirtoa vedoten tietosuojasäännöksiin, vetoamisen perusteet olisi syytä koota ja dokumentoida hyvissä ajoin ennen datasäädöksen voimaantuloa.

Vielä tietosuojasäännöksiä epäselvempi on liikesalaisuuksien suojaan perustuva poikkeus tietojen toimittamisvelvollisuudesta. Lähtökohtaisesti datasäädöksen mukaan luovutusvelvollisuus koskee myös liikesalaisuuksia. Datasäädös lähtee siitä, että toimittajan tietojen vastaanottajalle asettamien sopimuksellisten rajoitusten pitäisi olla riittäviä turvaamaan tuotteen tai siihen liittyvän palvelun toimittajan liikesalaisuuksien suoja. Tietojen luovutuksesta saa kieltäytyä vain poikkeuksellisesti liikesalaisuuksien suojaan vedoten, jos tuotteen tai siihen liittyvän palvelun toimittaja osoittaa, että tietojen toimittamisesta todennäköisesti seuraa merkittävää taloudellista vahinkoa. Osoitusvelvollisuuden täyttäminen edellyttää toimittajalta huomattavaa panosta ja tästä syystä liikesalaisuuksien suojaan perustuviin luovutuksista kieltäytymisiin tulisi pyrkiä varautumaan etukäteen ja mahdollisuuksien mukaan myös muokata kerättäviä tietoja niin, että niihin sisältyisi vähemmän liikesalaisuuksia ja niiden perusteella liikesalaisuuksia ei ole suoraan pääteltävissä.

Ydinvelvoitteita tukevat osapuolten velvoitteet ja oikeudet

Kerättyjen tietojen ja niiden kuvausta toimittamisvelvollisuuksia täydentävät toimittajan velvollisuudet kehittää, valmistaa ja tuottaa tuotteet ja niihin liittyvät palvelut tavalla, joka mahdollistaa tietojen ja kuvastusten toimittamisvelvollisuuden toteuttamisen.

Tuotteita ja palveluita koskevien ydinvelvoitteiden lisäksi datasäädös määrittelee tarkemmin datan luovuttajan ja vastaanottajan oikeuksia ja velvollisuuksia. Datasäädös sisältää varsin yksityiskohtaisia määräyksiä tietojen siirtoon liittyvistä hinnoittelusta, toteuttamistavoista ja siirtyvien tietoihin sisältöön ja käyttöön liittyvistä vastuista.

Yritysten datasäädöksen voimaantuloon liittyvillä toimenpiteillä on kiire

Datasäädös asettaa velvoitteita liittyen tuotteiden ja niihin liittyvien palveluiden suunnitteluun. Lisäksi tuotteita ja niihin liittyviä palveluita tarjoavien yritysten oikeuksien turvaaminen saattaa edellyttää merkittäviä muutoksia siihen, kuinka tuotteet ja niihin liittyvä palvelut käsittelevät ja siirtävät tietoja. Näistä syistä, vaikka datasäädöksen velvoitteet tulevat voimaan vasta 12.9.2025 useimpien yritysten on täytynyt aloitteet sisäiset muutostoimet jo tämän vuoden alkupuolella. Jos yritys ei ole tällaisia toimia aloittanut, tarkoituksenmukaisten ratkaisujen käyttöönottotoimien aloittamisella on helposti jo kova kiire.

Vastaavasti jos yritys suunnittelee uusia liiketoimintamahdollisuuksia datasäädöksen myötä saataville tulevan datan perusteella, valmistelutoimet on syytä aloittaa mahdollisimman pian, jos niitä ei ole vielä aloitettu. Säännösten monimutkaisuuden vuoksi tietojen saantiin saattaa liittyä huomattavia hallinnollisia viiveitä. Viiveiden minimoimiseksi valmistelu- ja muita toimia kannattaa tehdä mahdollisuuksien mukaan ennen säädöksen voimaantuloajankohtaa.

Sakari Aalto