EU-regulaatio kyberturvallisuus

24 - 10 - 2024 - Näkemyksiä

EU:n datasäädös - uudet säännöt datan jakamiselle

Artikkelissamme avataan, miten uusi sääntely muuttaa datan jakamisen ja datasta sopimisen käytänteitä ja kerrotaan miten yritykset voivat valmistautua pian edessä olevaan muutokseen.

KyberkonsultointiKyberturvallisuus

Kun puhumme datasta ja siihen liittyvästä sääntelystä, olemme tottuneet ajattelemaan henkilötietoja ja niiden suojelua koskevaa EU:n yleistä tietosuoja-asetusta (GDPR). Henkilötiedot eivät kuitenkaan ole ainoita tietoja, joita tallennetaan laitteisiimme ja jotka liikkuvat verkossa. Mitä erilaisemmista tuotteista aina pölynimureista kaivinkoneisiin kerätään yhä enemmän dataa. Tällaisten tietojen saatavuus vaikuttaa merkittävästi talouteen, sillä datan avulla voidaan luoda huomattavaa lisäarvoa niin tuotteen käyttäjälle, valmistajalle kuin muille tahoille. 

Epäselvää on kuitenkin ollut, kenellä on lopulta oikeus hyödyntää tätä tuotteiden käytöstä syntyvää dataa ja millä perusteella. Kuuluuko valta pölynimurin tai kaivinkoneen valmistajalle, sen käyttäjälle vai peräti koneen tai laitteen ulkopuoliselle huoltoyritykselle? 

Vastauksia kysymyksiin antaa EU:n datasäädös (eng. Data Act), joka tuli voimaan tammikuussa 2024 ja jota aletaan soveltaa syyskuussa 2025.  

Pähkinänkuoressa datasäädös asettaa yrityksille velvollisuuden jakaa verkkoon liitetyistä tuotteista ja niihin liittyvistä palveluista kertyvää dataa käyttäjälle ja käyttäjän pyynnöstä kolmansille osapuolille. 

Uudet datan käsittelijöiden roolit 

Datasäädös esittelee joukon uusia datan käsittelyyn liittyviä määritelmiä ja rooleja, jotka yritysten tulee sisäistää pikavauhtia etenkin, jos yrityksen tuotteet tai tuotteiden liitännäispalvelut keräävät dataa taikka jos datan hyödyntäminen muutoin on osa yrityksen liiketoimintaa. 

  • Ensinnäkin datasäädöksessä määrätään käyttäjän oikeuksista. Tuotteen tai siihen liittyvän palvelun käyttäjällä täytyy olla pääsy ja määräysvaltaa hänen käyttämästään tuotteesta syntyneeseen dataan ja vieläpä ilman lisäkustannuksia.  

  • Toiseksi datasäädöksessä määrätään datan haltijan, joka on monessa tapauksessa tuotteen valmistaja, velvollisuuksista. Merkittävimpänä voidaan mainita, että valmistaja ei saa käyttää dataa ilman käyttäjän sopimuksella antamaa hyväksyntää. Datan haltijalla on lisäksi informointivelvollisuus siitä, minkä tyyppistä dataa verkkoon liitettävä tuote tai sen liitännäispalvelu kerää tuotteen käytöstä. 

  • Kolmas merkittävä datasäädöksellä luotu rooli on datan vastaanottaja, jolle tuotteen käyttäjä voi jopa velvoittaa datan haltijan – yleensä siis laitevalmistajan - jakamaan tuotedataa. Huomionarvoista on, että datan vastaanottajat voivat olla myös valmistajan suoria kilpailijoita.  

Datasäädös tulee näin ollen avaamaan verkkoon liitettyjen tuotteiden ja niihin liittyvien palvelujen käyttäjille oikeuden päästä hyödyntämään tuotteiden laajaa datavarastoa. Säädös tulee myös avaamaan uusia liiketoimintamahdollisuuksia, kun esimerkiksi tuotteiden huoltoon tarvittava data on entistä helpommin ja laajemmin kolmansien osapuolten, kuten tuotteiden huoltoa tarjoavien toimijoiden, saatavilla. Kolikon kääntöpuolena on, että samalla säädös rajoittaa tuotteiden valmistajien oikeutta hyödyntää kyseistä dataa. 

Velvollisuus taata pääsy dataan 

Datasäädös edellyttää, että verkkoon liitetyt tuotteet on suunniteltava ja valmistettava siten, että tuotteen data ja siihen liittyvän palvelun data – asiaankuuluva metadata mukaan lukien – on lähtökohtaisesti suoraan käyttäjän saatavilla. Data on jaettava käyttäjän kannalta yksinkertaisesti, turvallisesti ja maksutta.  

Siinä tapauksessa, että käyttäjä ei voi saada dataa suoraan tuotteesta tai siihen liittyvästä palvelusta, on data asettava käyttäjän saataville tämän pyynnöstä. Samoin on toimittava, jos käyttäjä haluaa käyttää oikeuttaan jakaa dataa kolmansien osapuolien kanssa. 

Käytännössä datan jakamisvelvoite tarkoittaa, että datasäädöksen soveltamisen alkamispäivään mennessä (12. syyskuuta 2025) markkinoilla jo olevien tuotteiden sekä uusien tuotteiden (kun ne tuodaan markkinoille) on mahdollistettava käyttäjän pääsy tietoihin. Valmistajien on päätettävä tähän mennessä, toteutetaanko käyttäjän pääsy dataan suoraan vai epäsuorasti – tai näiden yhdistelmällä – ja millä tavalla laitteen tuottama data saadaan jaettua kolmansille osapuolille datasäädöksen edellyttämällä tavalla.  

Sopimukset ja suojamekanismit 

Datasäädös edellyttää, että datan haltijalla on oltava käyttäjän kanssa sopimus (esim. myyntisopimus, vuokrasopimus tai palvelusopimus), jossa määritellään verkkoon liitetyn tuotteen tai siihen liittyvän palvelun tuottaman datan saatavuutta, käyttöä ja jakamista koskevat oikeudet.  

Tämä tarkoittaa, että datan haltija ei voi jatkossa käyttää tuotteen tuottamia tietoja ilman käyttäjän hyväksyntää. On tärkeää huomata, että henkilötietojen käsittelyä varten on edelleen oltava GDPR:stä johdettu käsittelyperuste, joka voi olla esimerkiksi suostumus tai osapuolten välinen sopimus. 

Datan haltijan on niin ikään sovittava datan saataville asettamista koskevista ehdoista datan vastaanottavien kolmansien osapuolien kanssa. Näissä yritysten välisissä tilanteissa osapuolilla on lähtökohtaisesti vapaus sopia datan saataville asettamista koskevista järjestelyistä. Datasäädöksessä määrätään kuitenkin datan haltijan oikeudesta vaatia kohtuullista korvausta datan asettamisesta datan vastaanottajan saataville.  

Toisekseen datasäädöksellä suojellaan yrityksiä kohtuuttomilta take-it-or-leave-it -tyyppisiltä sopimusehdoilta, joita vahvemmassa neuvotteluasemassa olevat osapuolet saattavat vaatia datan hyödyntämiseen liittyen. EU:n lainsäätäjä pyrkii näin murtamaan suurten tuotevalmistajien ja teknologiapalvelujen tarjoajien datamonopolia ja avaamaan mahdollisuuksia uusille liiketoimintamalleille ja innovaatiolle datan käytön ympärillä. 

Liikesalaisuudet ja kilpailu 

Datasäädöksellä luotua datan jakovelvoitetta on pidetty tuotteiden valmistajien kannalta arveluttava, koska tuotteen käytöstä syntyvä data voi sisältää tuotteen suunnittelun ja toiminnan kannalta hyvin tärkeitä liikesalaisuuksia ja immateriaalioikeuksia. On arvioitu, että pahimmassa tapauksessa datan jakamisvelvoite voi johtaa tilanteisiin, joissa kilpailija pääsee käsiksi dataan, jota se voisi hyödyntää omassa kilpailevan laitteen suunnittelu- ja kehitystyössä.  

Datasäädös pyrkii vastaamaan näihin aiheellisiin huoliin tietojen käyttöä koskevilla rajoituksilla. Datasäädöksessä määrätään, että toiselta yritykseltä saatua dataa ei saa käyttää kilpailevan verkkoon liitetyn tuotteen kehittämiseen. Toisaalta datasäädöksessä ei kielletä kilpailua liitännäis- tai jälkimarkkinapalveluissa, vaan päinvastoin kannustetaan siihen.  

Liikesalaisuuksien suojaamiseksi datan haltija ja käyttäjä taikka kolmas osapuoli voivat sopia tietyistä toimenpiteistä liikesalaisuuksien luottamuksellisuuden säilyttämiseksi. Datan haltijalla on oikeus kieltäytyä datan jakamisesta tai keskeyttää jakaminen, jos sopimuskumppani ei noudata sovittuja toimenpiteitä. Todistustaakka on kuitenkin asetettu datan haltijalle, jonka on voitava osoittaa, että liikesalaisuuksien ilmaiseminen aiheuttaa sille erittäin todennäköisesti vakavaa taloudellista vahinkoa. 

Riskienhallinta ja valmistautuminen 

Datasäädös on väistämättä uusi historiallinen muutos datataloudelle. Sääntely aiheuttaa yrityksille velvoitteita ja riskejä, mutta toisaalta myös uusia mahdollisuuksia liiketoiminnalle.  

Datasäädöksen soveltaminen alkaa jo syyskuussa 2025, joten valmistautuminen on syytä aloittaa viipymättä. Ottaen huomioon datan jakamiseen liittyvät velvoitteet, ensimmäinen askel on aloittaa yrityksen datainventaarista ja tietojen luokittelusta, jotta tunnistetaan esimerkiksi liikesalaisuuksiksi luettavat tiedot ja niiden suojaamiseksi tarvittavat toimenpiteet. 

Toiseksi yritysten on suunniteltava, miten käyttäjien pääsy dataan mahdollistetaan datasäädöksen edellyttämällä tavalla turvallisesti ja yksinkertaisesti, ja miten laitteiden tuottama data jaetaan tarvittaessa kolmansille osapuolille.  

Sopimuksiin ja muuhun dokumentaatioon liittyen on päätettävä, miten käyttäjiä informoidaan tuotteen tai palvelun datan keräämisestä ja käytöstä. Lisäksi yritysten arvioitavaksi tulee, minkälaisia sopimusmuutoksia datan jakovelvoitteet ja niihin liittyvät suojalausekkeet edellyttävät.  

Installa on tietoturvan, ohjelmistokehityksen sekä datasääntelyn juridinen osaaminen saman katon alla, mikä mahdollistaa kokonaisvaltaisen kyvyn avustaa asiakkaitamme datasäädöksen vaatimusten täyttämisessä. 

Data- ja kyberlainsäädäntöOta yhteyttäLue lisää kyberturvallisuuden palveluista ja ratkaisuistamme

Jassi Saurio
Kirjoittaja

Jassi Saurio

Senior Privacy Consultant

Jaa artikkeli

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.