Ajankohtaista/7.11.2022

EU:n uudet digitalisaatio- ja datasäädökset – tilannekuva (osa 1)

Erkko Korhonen

Euroopan komissio julkaisi helmikuussa 2020 Euroopan datastrategian. Datastrategian tavoitteena on luoda kilpailukykyiset sisämarkkinat datalle sekä edistää houkuttelevan, turvallisen ja dynaamisen datatalouden kehitystä Euroopan unionissa. Datastrategian toteuttamiseksi komissio on antanut useita lainsäädäntöehdotuksia – miten ne muuttaisivat pelikenttää?

Tässä kirjoitussarjassa syvennytään datastrategian kolmeen keskeiseen säädökseen – datasäädökseen (Data Act), digipalvelusäädökseen (Digital Services Act) ja digimarkkinasäädökseen (Digital Markets Act) ja pohditaan mm., minkälaisia vaikutuksia näillä säädöksillä on yritysten toimintaan. Ensimmäisenä esittelyssä on datasäädös.

Datasäädös (Data Act)

Euroopan komissio antoi lopullisen ehdotuksensa datasäädöksestä parlamentille ja neuvostolle tämän vuoden helmikuussa. Lainsäädäntöprosessi on vielä alkuvaiheessa, mutta arvioiden mukaan datasäädös tulisi voimaan ensi vuoden aikana. Datasäädöksen suora soveltaminen EU:n jäsenmaissa alkaa vastaavasti 12 kuukauden kuluttua voimaantulosta.

Datasäädös on ehdottomasti yksi merkittävimmistä EU:n datastrategian lainsäädäntöhankkeista, jonka tavoitteena on edistää datan saatavuutta ja datavetoista innovointia sekä vahvistaa yhdenmukaiset säännöt datan oikeudenmukaiseen käyttöön. Näin ollen datasäädös täydentää jo voimaan tullutta datanhallinta-asetusta (Data Governance Act).

Datasäädöksen soveltamisalaan kuuluvat kaikenkokoiset digitaalisten palveluiden tarjoajat sekä dataa keräävien tuotteiden valmistajat. Soveltamisalaan kuuluvat esimerkiksi pilvipalvelut, SaaS-palvelut ja IoT-yritykset. Ainoastaan mikroyrityksille ja pienille yrityksille asetetaan säädösehdotuksessa joitain lievennyksiä. Huomionarvoista on myös se, että datasäädöksen määritelmä datasta käsittää kaikenlaisen datan mukaan lukien henkilötiedot. Datasäädös ei kuitenkaan vaikuta GDPR:n soveltamiseen, vaan ainoastaan täydentää sitä.  

Mikä muuttuu datasäännöksen myötä?

Datasäännös aikaansaa merkittäviä muutoksia, joiden tarkoituksena on:

  • Edistää datan saatavuutta ja käyttöä.
  • Rajoittaa kansainvälisiä datasiirtoja.
  • Antaa yksilöille lisää vaikutusvaltaa siihen, miten heidän tietojaan voidaan käyttää.
  • Parantaa pk-yritysten neuvotteluasemaa ja rakentaa yleisesti tasavertaisempaa kilpailutilannetta markkinoilla.
  • Velvoittaa yritykset jakamaan dataa julkiselle sektorille yleisen edun vaatimissa tilanteissa.

Keskeiset vaikutukset yrityksille

Datasäädöksen keskeisenä tarkoituksena on vahvistaa datan siirrettävyyttä yritysten välillä. Yhtenä tavoitteena on helpottaa pilvipalveluntarjoajan vaihtamista. Datasäädöksen mukaan pilvipalveluntarjoajaa vaihdettaessa datansiirron tulisi tapahtua 30 päivän kuluessa asiakkaan irtisanomisilmoituksesta. Lisäksi yritysten oikeus periä datansiirrosta aiheutuvia kustannuksia asiakkaalta poistuu asteittain kolmen vuoden kuluttua säädökseen voimaantulosta. Uudet joustavammat pilviratkaisut voivat pitkällä aikavälillä lisätä paljon kaivattua kilpailua markkinoille ja esimerkiksi avata uusia mahdollisuuksia eurooppalaisille pilvipalveluille.

Pilvipalveluntarjoajille esitetään myös ankaria rajoituksia muun kuin henkilötietoja koskevan datan kansainväliseen siirrettävyyteen. Pilvipalveluntarjoajien on pyrittävä estämään esimerkiksi immateriaalioikeuksien tai liikesalaisuuksien suojaan liittyvän datan siirto kolmansiin maihin kaikin kohtuullisesti toteutettavissa olevin teknisin, oikeudellisin ja organisatorisin keinoin, sopimusjärjestelyt mukaan luettuna.

Datasäädös myös helpottaa erityisesti yksilön ja pienempien yritysten pääsyä dataan. Lisäksi datasäädös parantaa huomattavasti yksilön vaikutusvaltaa sen suhteen, miten hänen tietojaan voidaan käyttää. Ehdotuksen mukaan käyttäjillä on oikeus saada tuottamansa data haltuunsa ja jakaa sitä edelleen kolmansille osapuolille. Yritysten tulee siis varautua mahdollistamaan pääsy käyttäjien tuottamaan dataan ilmaiseksi ja jopa reaaliaikaisesti tai vähintään ilman aiheetonta viivästystä.

Datasäädökseen sisällytetyistä muutoksista keskeisimpiä ovat pk-yritysten eduksi tehdyt lisäykset. Datasäädös edellyttää syrjimättömien sekä kohtuullisten ja reilujen sopimusehtojen eli niin kutsuttujen FRAND-ehtojen käyttöä datan jakoon liittyvissä sopimuksissa. Datasäädöksen tueksi komissio laatii myös vakiosopimusehtoja, joiden avulla pk-yritykset voivat tehokkaammin neuvotella oikeudenmukaisemmista datanjakosopimuksista nimenomaan sellaisten yritysten kanssa, joilla on vahvempi neuvotteluasema.

Datasäädös tarjoaa myös keinoja, joilla yleisen edun tilanteissa, kuten Covid-pandemian tyyppisissä terveyskriiseissä, yritykset voidaan velvoittaa jakamaan dataa julkiselle sektorille. Datasäädöksen mukaan datan jaon tulee olla ilmaista kriisitilanteessa. Datan jakoa kriisitilanteissa voidaan pitää perusteltuna, jotta tilanteeseen voidaan reagoida nopeasti ja turvallisesti sekä minimoida yrityksille aiheutuvat rasitteet.

Säädös kaipaa yhä selkeyttä

Tuleva säädös ulottuu laajasti yhteiskunnan eri toimijoihin ja on kokonaisuutena varsin kunnianhimoinen. Säädösehdotukseen liittyy vielä jonkin verran avoimia kysymyksiä ja joitain potentiaalisia käytännön ongelmia.

Erityisenä huolenaiheena on datasäädöksen yhteensovittaminen muun EU-lainsäädännön kanssa. Datasäädöksen mahdollistama dataan pääsy ja datan jakamisvelvoitteet voivat olla ristiriidassa GDPR:n kanssa etenkin tietojen minimointiperiaatteen ja käyttötarkoitussidonnaisuuden näkökulmasta. Toisaalta taas datasäädöksen rajoitukset kansainvälisten datasiirtojen osalta vaikuttavat GDPR:ää tiukemmilta. Yhteensovittamisen selkeyttämisen lisäksi tarvitaan myös rajoituksia käyttäjien tuottaman datan käytölle esimerkiksi mainonnassa ja työntekijöiden seurannassa sekä erityisesti haavoittuvassa asemassa olevien ja alaikäisten suojelemiksi.

Käytännön näkökulmasta datasäädöksen keinot immateriaalioikeuksien ja liikesalaisuuksien suojaksi kaipaavat myös selvennystä. Datasäädöksessä ehdotetaan tietokantojen sui generis -suojan rajaamista, mutta rajoituksen soveltamisala jää epäselväksi. Datan jakamisvelvoitteet ja kansainvälinen siirrettävyys sisältävät riskejä liikesalaisuuksien jakamisesta, mutta ehdotetut suojatoimenpiteet eivät sisällä paljoakaan konkretiaa. Käytännön ongelmia saattaa aiheuttaa myös esimerkiksi pilvipalveluntarjoajan vaihtamistoimenpiteille asetettu 30 päivän aikamääre, jota on pidetty kovin lyhyenä erityisesti merkittäviä pilviresursseja tarjoavien operaattorien kannalta.

Datasäädösehdotus on tällä hetkellä Euroopan parlamentin ensimmäisessä käsittelyssä ja nähtäväksi jää, hyväksyykö parlamentti ehdotuksen muutoksitta vai tekeekö se siihen tarkistuksia – seuraamme mielenkiinnolla, miten asia etenee.

Jos yllä esitetyt näkökulmat herättävät kysymyksiä tai haluat muutoin keskustella asiasta lisää, asiantuntijamme keskustelevat mielellään näistä aiheista kanssanne.

Erkko Korhonen

Erkko neuvoo asiakkaitamme teknologiaan liittyvissä transaktioissa ja järjestelyissä sekä ICT-projekteihin, ulkoistukseen ja pilvipalveluihin liittyvissä kysymyksissä. Erkon toimenkuvaan kuuluu myös datatalouteen liittyvät kysymykset sekä yleisesti kaikki tietoturvaan ja tietosuojaan liittyvät kokonaisuudet, erityisesti tietosuoja-asetukseen ja sähköisen viestinnän tietosuojaan liittyvät kysymykset.

 

Erkko vastaa Boreniuksen Technology & Data -tiimistä yhdessä Samuli Simojoen kanssa.