Datasäädöksen soveltaminen alkaa syksyllä 2025 – uudet vaatimukset ja niihin valmistautuminen

Mistä on kyse?

Datasäädöksellä (EU 2023/2854) pyritään varmistamaan datan tasapuolinen ja oikeudenmukainen jakaminen eri datatalouden toimijoiden kesken. Säädös tulee vaikuttamaan verkkoon kytkettyjen tuotteiden ja niihin liittyvien palvelujen markkinoihin. Aiemmin eri toimijat ovat voineet vapaasti sopia tuotedatan jakamiseen liittyvistä oikeuksista ja velvoitteista – tämä tulee nyt muuttumaan, sillä säädöksellä luodaan pelisäännöt datan käytölle ja sen jakamiselle eri toimijoiden välillä.

Asetuksen ytimen muodostavat verkkoon liitetyn laitteen (IoT-laite) tai siihen liittyvän palvelun käytössä tuotetun datan jakamista koskevat säännöt. Jatkossa kerätty data on asetettava käyttäjän, käyttäjän pyynnöstä kolmansien osapuolten sekä poikkeustilanteissa julkisen sektorin toimijoiden saataville.

Datasäädöksessä määritetään se, mitä dataa voidaan käyttää ja kuka sitä voi käyttää – ja millä edellytyksillä.

Mitä datalla tarkoitetaan?

Data on digitaalista informaatiota, jota voidaan tallentaa, käsitellä ja analysoida. Se voi sisältää erilaisia tietotyyppejä, kuten tekstiä, numeroita, kuvia, videoita ja äänitallenteita. Esimerkiksi laitteiden keräämä sensoritieto, kuten lämpötila, paine ja sijainti, on tyypillistä dataa.

Datasäädöksen yhteydessä data viittaa erityisesti verkkoon liitettyjen tuotteiden ja palvelujen käytössä syntyvään tietoon. Tällaisia tietoja ovat esimerkiksi älylaitteiden keräämät mittaustiedot, ohjelmistojen lokitiedot ja IoT-laitteiden tuottama analytiikka. Tällainen data on erittäin arvokasta yrityksille, mutta sen käyttöön ja jakamiseen liittyy jatkossa uusia sääntöjä ja velvoitteita.

Ketä datasäädös velvoittaa?

Asetuksen soveltamisala on laaja ja se koskee lähtökohtaisesti kaikkia toimialoja ja yrityksiä, jotka tarjoavat tietoverkkoihin liitettyjä tuotteita tai niiden liitännäispalveluja. Koska säädöksen keskiössä on ns. IoT-laitteen tai sen liitännäispalvelun käytössä syntynyt data, soveltamisalan näkökulmasta keskeisen lohkon muodostavat luonnollisesti muun muassa laite-, sähkölaite-, ja konevalmistajat, ohjelmistoyritykset ja pilvipalvelujen tarjoajat sekä konsultointialan toimijat. Oli kyse sitten SaaS-palveluista, älykelloista, turvajärjestelmistä tai älykkäistä teollisuuskoneista – on valmistajien ja palveluntarjoajien syytä perehtyä datasäädöksen vaatimuksiin.

Datasäädös määrittää eri asemassa toimivien tahojen oikeuksia ja velvollisuuksia esittelemällä kolme keskeistä roolia datamarkkinoiden eri toimijoille. Toimijat ovat joko datan käyttäjän, datan haltijan tai datan vastaanottajan roolissa. Datan käyttäjillä tarkoitetaan sekä kuluttajia että yrityskäyttäjiä, jotka omistavat tai vaikkapa vuokraavat verkkoon liitetyn tuotteen. Kyseisen tuotteen valmistaja tai sen liitännäispalvelun tarjoava yritys on puolestaan tyypillisesti datan haltijan roolissa. Datan vastaanottajana puolestaan on kolmas osapuoli, kuten esimerkiksi tuotteen korjauspalvelun tarjoava yritys.

Minkälaisia vaatimuksia datasäädös luo yritysten näkökulmasta?

Datasäädöksen II luvussa on säädetty eri toimijoita koskevista oikeuksista ja  velvoitteista liittyen yritysten väliseen sekä yritysten ja kuluttajien väliseen datan yhteiskäyttöön.

Tiivistettynä datasäädöksellä luodaan datan käyttäjälle oikeus päästä käsiksi dataan, jonka tämä tuottaa käyttäessään verkkoon liitettyä tuotetta tai siihen liittyvää palvelua. Tuotetta käyttävällä kuluttajalla tai yrityskäyttäjällä tulee jatkossa olla pääsy tuotteen käytössä tuottamaansa dataan helposti, turvallisesti ja maksutta. Datan saataville asettaminen on puolestaan datan haltijan eli tyypillisesti tuotteen valmistajan velvollisuus. Lisäksi käyttäjälle on esimerkiksi ennen tuotteen osto- tai vuokrasopimuksen tekemistä annettava tarkat tiedot siitä, mitä tietoja tuote tai palvelu kerää ja missä muodossa nämä tiedot tallennetaan.

Datan jakamisen ydinvelvoite ei rajoitu vain datan haltijan ja käyttäjän välille, vaan data on käyttäjän pyynnöstä saatettava myös kolmannen osapuolen saataville. Aikaisemmin pääsy laitteen dataan on käytännössä ollut vain valmistajalla –  datasäädöksen myötä velvoite laajenee myös käyttäjille ja käyttäjien kautta myös muille talouden toimijoille.

Miten valmistautua datasäädöksen soveltamiseen?

Yrityksen roolin ja velvoitteiden tunnistaminen

Yritykset voivat aloittaa datasäädöksen vaatimuksiin tutustumisen tunnistamalla ensin oman roolinsa, sillä kuhunkin toimijaan kohdistuvat velvoitteet ja oikeudet määrittyvät sen mukaan, missä roolissa kyseinen taho toimii.

Esimerkiksi datan jakamista koskeva ydinvelvoite kohdistuu datan haltijaan. Datan vastaanottajalla ja käyttäjällä puolestaan on velvollisuus huomioida esimerkiksi kilpailevan verkkoon liitetyn tuotteen kehittämistä koskeva kielto.

Onko yritys tuotteen valmistaja eli datan haltija? Entä tarjoaako yritys esimerkiksi verkkoon liitettyjen tuotteiden huolto- tai korjauspalveluja – eli toimii mahdollisesti jatkossa datan vastaanottajan asemassa? Onko kyse sittenkin yrityskäyttäjästä, joka toiminnassaan puhtaasti hyödyntää verkkoon liitettyjä tuotteita tai liitännäispalveluja tuottamatta näitä kuitenkaan itse?

Valmius datan jakamiseen

Vaatimusten täyttämisen näkökulmasta tulee pohtia sitä, onko datan haltijan roolissa olevalla yrityksellä käytännössä valmiudet datan jakamiseen. Ennen syyskuuta 2025 tulisi selvittää, miten dataa käytännössä voidaan jakaa käyttäjille ja tarvittaessa kolmansille.

On myös huomioitava se, että kyseeseen voi toisinaan tulla datan jakaminen myös suoraan kilpailevalle yritykselle. Jotta voidaan dataa jaettaessa varmistaa liikesalaisuuksiksi katsottavien tietojen suojaaminen, voi olla hyödyllistä kehittää keinoja, joiden avulla yritys voi paitsi kerätä myös seuloa ja luokitella dataa – esimerkiksi keräämällä datamateriaalista käyttäjäkohtaisen datan, minkä jälkeen se voidaan asettaa asianmukaisesti saataville. Tässä yhteydessä on syytä muistaa, ettei datasäädös sivuuta tietosuoja-asetuksen vaatimuksia eli henkilötietojen suojaamisen näkökulma tulee ottaa huomioon datan jakamisessa.

Minkälaista dataa yritys kerää ja miten sitä käsitellään? Miten yritys informoi käyttäjiä datan keräämisestä? Miten mahdollistetaan käyttäjien pääsy dataan – sekä helposti, turvallisesti ja maksutta? Miten data jaetaan tarvittaessa kolmansille? Miten tunnistetaan liikesalaisuudeksi luokiteltavat tiedot ja miten ne suojataan datan jakamisessa? Entä miten henkilötietojen suojaaminen varmistetaan?

Sopimuskäytäntöjen päivittäminen

Datasäädöksen asettamat vaatimukset tulevat väistämättä vaikuttamaan eri toimijoiden välisiin sopimuksiin. Ensinnäkin tuotteen käytöstä syntyvän datan hyödyntäminen edellyttää sopimusta tuotteen valmistajan ja käyttäjän välillä – valmistaja ei saa käyttää tuotteen käytössä syntyvää dataa ilman käyttäjän hyväksyntää. Lisäksi valmistajan tulee informoida käyttäjää tuotteen keräämästä datasta ennen sopimuksen tekemistä.

Datasäädöksen vaikutus tulee näkymään voimakkaasti myös yritysten välisissä sopimuksissa eli tyypillisesti datan haltijan ja datan vastaanottajan eli kolmannen osapuolen välillä. Koska datan haltija voi olla velvoitettu jakamaan dataa myös kilpaileville yrityksille, tämä kannattaa huomioida sopimusprosessien ja -ehtojen tarkistamisen yhteydessä.

Sopimusten päivittämisen tueksi komissio laatii vuoden 2025 aikana ei-sitovia mallisopimusehtoja, joita voidaan jatkossa hyödyntää sopimusehtojen luonnostelussa. Tällä hetkellä luonnosteluvaiheessa olevien mallisopimusehtojen on tarkoitus ohjata sopimuspuolia kohtuullisen ja oikeudenmukaisen sopimuksen laatimisessa datasäädöksen uudet vaatimukset huomioiden. Lisäksi komissio pyrkii luomaan erillisiä vakiosopimuslausekkeita, joita on mahdollista hyödyntää pilvipalvelujen käyttäjien ja tarjoajien välisissä pilvipalvelusopimuksissa.

Miten sovitaan datan käytöstä datan haltijan ja käyttäjän välillä? Onko yrityksen sopimuskäytäntö päivitetty niin, että siinä huomioidaan tulevat vaatimukset?

Mikä on datasäädöksen kansallisen toimeenpanon tilanne?

Datasäädöksen kansallinen toimeenpano on parhaillaan käynnissä. Hallituksen esityksen luonnos on ollut lausuntokierroksella, joka on päättynyt helmikuussa. Alustavan aikatauluarvion mukaan hallituksen esitys annetaan huhtikuun 2025 alussa.

Yritysten kannattaa viimeistään tässä vaiheessa perehtyä datasäädöksen vaatimuksiin, ja viedä tarvittavat toimenpiteet maaliin kuuden kuukauden aikaikkunan puitteissa – ennen asetuksen soveltamisen alkamista syyskuussa 2025.