Ajankohtaista/4.1.2023
EU:n uudet digitalisaatio- ja datasäädökset – tilannekuva (osa 3)
Erkko Korhonen
Euroopan komissio julkaisi helmikuussa 2020 Euroopan datastrategian. Datastrategian tavoitteena on luoda kilpailukykyiset sisämarkkinat datalle sekä edistää houkuttelevan, turvallisen ja dynaamisen datatalouden kehitystä Euroopan unionissa. Datastrategian toteuttamiseksi komissio on antanut useita lainsäädäntöehdotuksia – miten ne muuttaisivat pelikenttää?
Tässä kirjoitussarjassa syvennytään datastrategian kolmeen keskeiseen säädökseen – datasäädökseen (Data Act), digipalvelusäädökseen (Digital Services Act) ja digimarkkinasäädökseen (Digital Markets Act) ja pohditaan mm., minkälaisia vaikutuksia näillä säädöksillä on yritysten toimintaan. Viimeisenä esittelyssä on digimarkkinasäädös.
Digimarkkinasäädös (Digital Markets Act)
Digimarkkinasäädöksen tarkoituksena on edistää reilumpia sisämarkkinoita puuttumalla teknologiajättien epäoikeudenmukaisiin käytänteisiin. Tällä hetkellä tietyillä teknologiajäteillä on ylivalta datasta ja niiden ydinalustapalvelut ovat muodostuneet keskeiseksi osaksi digitaalisia markkinoita. Säädöksellä pyritään vähentämään epätasapainoa eri kokoisten toimijoiden välillä ja näin ollen parantamaan pienten ja keskisuurten yritysten mahdollisuuksia osallistua datatalouden toimintaan. Samalla edistetään myös loppukäyttäjien, eli esimerkiksi kuluttajien etuja.
Digimarkkinasäädös soveltuu ainoastaan suurimpiin niin kutsuttuihin portinvartijayrityksiin, jotka komissio nimeää, kun ne täyttävät tietyt kynnysarvot esimerkiksi liikevaihdon ja loppukäyttäjien määrässä. Yritys katsotaan portinvartijaksi, jos
- yrityksen liikevaihto EU:ssa on vähintään 7,5 miljardia euroa kunakin kolmena viimeksi kuluneena tilikautena,
- yrityksen keskimääräinen pörssiarvo tai vastaava käypä markkina-arvo oli vähintään 75 miljardia euroa viimeksi kuluneen tilikauden aikana,
- yritys tarjoaa ydinalustapalveluaan vähintään kolmessa jäsenvaltiossa, ja
- yrityksellä on kuukausittain vähintään 45 miljoonaa aktiivista loppukäyttäjää ja vuosittain vähintään 10 000 yrityskäyttäjää EU:ssa.
Edellä olevien kriteerien lisäksi kyseisten kynnysarvojen tulee täyttyä jokaisena kolmena viimeksi kuluneena tilikautena. Näin ollen soveltamisalaan kuuluvat isot ydinalustapalvelut, kuten välityspalvelut, hakukoneet, verkkoyhteisöpalvelut, videonjakoalustapalvelut, viestintäpalvelut, käyttöjärjestelmät, verkkoselaimet, virtuaaliavustajat, pilvipalvelut sekä verkkomainontapalvelut. Komissio tekee ensimmäiset nimeämispäätöksensä syyskuuhun 2023 mennessä, mutta olettaa saattaa, että komission nimeämiä portinvartijayhtiöitä olisivat esimerkiksi Google, Meta, Apple, Microsoft ja Amazon.
Euroopan komissio antoi ehdotuksensa digimarkkinasäädökseksi parlamentille ja komissiolle vuoden 2020 lopussa osana EU:n digitaalisten palveluiden lainsäädäntöpakettia. Digimarkkinasäädöksen lopullinen versio hyväksyttiin lokakuussa 2022 ja säädös astui voimaan nyt marraskuun alussa. Säädöksen soveltaminen alkaa toukokuussa 2023, mutta käytännössä säädöksen velvoitteet sitovat portinvartijoita kuuden kuukauden siirtymäjakson kuluttua niiden nimeämisestä eli aikaisintaan maaliskuussa 2024.
Mikä muuttuu digimarkkinasäädöksen myötä?
Digimarkkinasäädös aikaansaa merkittäviä muutoksia, joiden tarkoituksena on:
- Parantaa pk-yritysten mahdollisuuksia osallistua datatalouden toimintaan.
- Estää sopimatonta menettelyä ja edistää portinvartijoiden toiminnan läpinäkyvyyttä.
- Edistää turvallista datan käyttöä, siirrettävyyttä ja jakamista.
Keskeiset vaikutukset yrityksille
Vaikka digimarkkinasäädöksen velvoitteet koskevat suoranaisesti vain portinvartijayrityksiä, velvoitteista seuraa relevantteja vaikutuksia myös muille datatalouden parissa toimiville tahoille. Listasimme alle viisi keskeisintä hyötyä tai muutosta.
1. Yksi keskeisimmistä hyödyistä liittyy siihen, että jatkossa portinvartijoiden tulee mahdollistaa kolmansien osapuolien palveluiden yhteentoimivuus portinvartijan omien palveluiden kanssa. Portinvartijoiden tulee esimerkiksi sallia kolmansien osapuolien sovellusten asentaminen ja tehokas käyttö portinvartijan käyttöjärjestelmässä myös portinvartijan oman sovelluskaupan ulkopuolelta, eli esimerkiksi muiden sovelluskehittäjien sovelluskaupoista tai muualta verkosta.
Tämän lisäksi portinvartijat eivät saa rajoittaa esimerkiksi sovelluskauppansa maksutapoja portinvartijan omiin maksu- tai tunnistusmenetelmiin, vaan niiden tulee muun muassa sallia ulkoisten maksunvälityspalveluiden käyttö. Edellä mainitun lisäksi yhteentoimivuutta edellytetään myös pikaviestintäpalveluiden perustoimintojen välillä.
2. Digimarkkinasäädöksen velvoitteet ja rajoitukset edistävät myös sitä, että loppukäyttäjien on helpompi vaihtaa eri palveluiden välillä. Digimarkkinasäädös edellyttää portinvartijoita huolehtimaan, että loppukäyttäjät voivat helposti poistaa valmiiksi asennettuja ohjelmistosovelluksia tai muuttaa niihin liittyviä oletusasetuksia käyttöjärjestelmässä.
Toisin sanoen asennuksen poistamisen tai tilauksen perumisen tulee olla yhtä vaivatonta kuin kyseisen tuotteen tai palvelun asentaminen tai tilaaminen. Alustapalvelun vaihtamista helpottaa myös se, että portinvartijan tulee mahdollistaa loppukäyttäjän tietojen siirto portinvartijan alustalta toiselle alustalle maksutta. Nämä seikat osaltaan parantavat pk-yritysten mahdollisuuksia digitaalisilla markkinoilla.
3. Kilpailun epätasapainoa vähentääkseen digimarkkinasäädös myös edellyttää, etteivät portinvartijat saa enää jatkossa suosia omia tuotteitaan tai palveluitaan verrattuna kilpaileviin kolmansien osapuolten palveluihin, esimerkiksi luokituksen tai hakutulosten järjestyksen avulla. Portinvartijat voivat olla kaksoisroolissa käyttöjärjestelmien kehittäjinä sekä laitevalmistajina, jolloin ne ovat voineet rajoittaa muiden pääsyä esimerkiksi joihinkin laitteiden toimintoihin.
Jatkossa portinvartijoiden tulee kuitenkin olla tässäkin suhteessa avoimempia ja sallia yrityskäyttäjille, kuten ohjelmisto- tai sovelluskehittäjille, pääsy portinvartijoiden käyttöjärjestelmiin, laitteistoon ja ohjelmiston ominaisuuksiin. Lisäksi portinvartijoiden tulee olla avoimempia myös verkkomainonnan ehdoistaan ja ilmoittaa eri sidosryhmille esimerkiksi laskentamenetelmänsä hintoihin liittyen.
4. Digimarkkinasäädöksen velvoitteet ja rajoitukset ovat merkityksellisiä myös yksityisyyden suojan kannalta. Ensinnäkin portinvartijat eivät saa käyttää yrityskäyttäjien kanssa kilpaillen mitään dataa, joka on syntynyt niiden toiminnasta portinvartijan alustalla eikä ole julkisesti saatavilla. Toisaalta säädöksessä rajoitetaan datan jakamista myös siten, etteivät portinvartijat voi enää yhdistellä dataa palvelujensa välillä ilman kuluttajan nimenomaista suostumusta.
Tämän muutoksen myötä portinvartijat eivät voi enää profiloida käyttäjiä verkossa perustuen oikeutettuun etuun. Lisäksi portinvartijoiden tulee jakaa niiden ydinalustan käytön yhteydessä syntyneitä tai annettuja loppukäyttäjien tietoja portinvartijan alustalla toimiville yrityskäyttäjille. Kyseiseen tietojen jakamisvelvoitteeseen sisältyvät myös henkilötiedot – kuitenkin vain loppukäyttäjän nimenomaisen suostumuksen perusteella ja siinä tapauksessa, että tiedot liittyvät suoraan siihen käyttöön, jota yrityskäyttäjä tarjoaa portinvartijan kautta.
5. Digimarkkinasäädös edellyttää portinvartijoilta itsearviointia velvoitteiden noudattamisen suhteen ja omatoimista raportointia komissiolle. Edellä mainittujen velvoitteiden lisäksi portinvartijoiden tulee myös ilmoittaa komissiolle suunnittelemistaan yritysostoista ja -sulautumisista, vaikka toimenpide ei muuten edellyttäisi perinteistä kilpailuoikeudellista yrityskauppavalvontaa. Digimarkkinasäädöksen noudattamatta jättämisestä komissio voi määrätä portinvartijalle tuntuvan sakon – enintään jopa 10 % sen edellisen tilikauden maailmanlaajuisesta kokonaisliikevaihdosta.
Säädöksen tulkinta kaipaa yhä selkeyttä
Digimarkkinasäädös asettaa portinvartijoille useita velvoitteita ja rajoituksia, joiden käytännön toteutus portinvartijoiden tulee pääosin ratkaista itse. Komissio on kuitenkin varannut mahdollisuuden tarkentaa edellytettyjä toimenpiteitä, joiden avulla portinvartijat voivat noudattaa tehokkaasti tiettyjä digimarkkinasäädöksen velvoitteita. Tilannetta ei tästä huolimatta edesauta se, että nimityksen jälkeen portinvartijoilla on vain kuusi kuukautta aikaa implementoida digimarkkinasäädöksen velvoitteet.
Käytännön haasteiden lisäksi digimarkkinasäädökseen liittyy myös muita ongelmakohtia esimerkiksi tietoturvaan ja tietosuojaan liittyen. Kysymyksiä on herättänyt muun muassa se, miten ja millaisin keinoin voidaan riittävällä varmuudella taata tietoturva esimerkiksi tilanteessa, jossa yrityskäyttäjä pääsee portinvartijan käyttöjärjestelmään tai sovelluksia ladataan portinvartijan sovelluskaupan ulkopuolelta.
Tietojen jakamisvelvoite osaltaan jättää epäselväksi sen, mitkä ovat portinvartijan ja yrityskäyttäjän roolit tietosuoja-asetuksen näkökulmasta henkilötietojen käsittelyyn liittyen, eli pidettäisiinkö portinvartijaa ja yrityskäyttäjää mahdollisesti yhteisrekisterinpitäjinä. Tämä asetelma taas osaltaan voi johtaa haasteisiin yhteisrekisterinpitäjäsopimuksen laatimisessa, sillä osapuolten voimasuhteiden ollessa epätasapainoissa, pk-yrityksillä voi käytännössä olla vain rajoitettu sananvalta sopimuksen ehtoihin.
Jos yllä esitetyt näkökulmat herättävät kysymyksiä tai haluat muutoin keskustella asiasta lisää, asiantuntijamme keskustelevat mielellään näistä aiheista kanssanne.
Erkko neuvoo asiakkaitamme teknologiaan liittyvissä transaktioissa ja järjestelyissä sekä ICT-projekteihin, ulkoistukseen ja pilvipalveluihin liittyvissä kysymyksissä. Erkon toimenkuvaan kuuluu myös datatalouteen liittyvät kysymykset sekä yleisesti kaikki tietoturvaan ja tietosuojaan liittyvät kokonaisuudet, erityisesti tietosuoja-asetukseen ja sähköisen viestinnän tietosuojaan liittyvät kysymykset.
Erkko vastaa Boreniuksen Technology & Data -tiimistä yhdessä Samuli Simojoen kanssa.