Kattava katsaus datasäädökseen, mukaan lukien sen tavoitteet ja toiminta käytännössä.
Miksi datasäädös?
Datasäädös on säädös, jonka tarkoituksena on tehostaa EU:n datataloutta ja edistää kilpailukykyisiä datamarkkinoita parantamalla datan (erityisesti teollisen datan) saatavuutta ja käytettävyyttä, kannustamalla datavetoiseen innovointiin ja parantamalla datan saatavuutta. Tätä varten datasäädöksellä varmistetaan, että datan arvo jaetaan oikeudenmukaisesti datatalouden toimijoiden kesken. Siinä selvennetään, kuka voi käyttää mitäkin dataa ja millä edellytyksillä. Tarkempia tietoja on datasäädöksen usein kysytyissä kysymyksissä.”
Viime vuosina internetiin liitettyjen tuotteiden (”verkkoon liitetyt tuotteet”) saatavuus Euroopan markkinoilla on kasvanut nopeasti. Nämä tuotteet, jotka yhdessä muodostavat esineiden internetin (Internet of Things, IoT), lisäävät merkittävästi uudelleenkäytettävän datan määrää EU:ssa. Tämä tarjoaa valtavat mahdollisuudet innovointiin ja kilpailukykyyn EU:ssa.
Datasäädöksessä annetaan verkkoon liitettyjen tuotteiden käyttäjille (yritykset tai yksityishenkilöt, jotka omistavat, liisaavat tai vuokraavat tällaisen tuotteen) enemmän valtaa tuottamansa datan suhteen ja säilytetään samalla kannustimet niille, jotka investoivat datateknologiaan. Lisäksi siinä vahvistetaan yleiset ehdot tilanteille, joissa yrityksellä on lakisääteinen velvollisuus jakaa tietoja toisen yrityksen kanssa.
Datasäädös sisältää myös toimenpiteitä, joilla lisätään oikeudenmukaisuutta ja kilpailua Euroopan pilvipalvelumarkkinoilla sekä suojellaan yrityksiä datan jakamiseen liittyviltä kohtuuttomilta sopimusehdoilta, joita vahvemmat toimijat asettavat. Siinä vahvistetaan myös mekanismi, jonka avulla julkisen sektorin elimet voivat pyytää dataa yritykseltä, jolla on poikkeuksellinen tarve, esimerkiksi yleisissä hätätilanteissa, ja annetaan selkeät säännöt siitä, miten tällaiset pyynnöt olisi esitettävä. Lisäksi siinä otetaan käyttöön suojatoimia, joilla vältetään se, että kolmansien maiden viranomaiset voivat saada muita kuin henkilötietoja, jos tämä olisi EU:n tai kansallisen lainsäädännön vastaista. Datasäädöksessä määritellään yhteentoimivuutta koskevat olennaiset vaatimukset sen varmistamiseksi, että data voi virrata saumattomasti alojen ja jäsenvaltioiden välillä yhteisten eurooppalaisten data-avaruuksien avulla sekä datankäsittelypalvelujen tarjoajien välillä.
Datasäädös julkaistiin EU:n virallisessa lehdessä 22. joulukuuta 2023, ja sitä aletaan soveltaa 12. syyskuuta 2025.
Datasäädös täydentää datahallintosäädöstä, joka on ensimmäinen Euroopan datastrategian mukainen tuotos. Datahallintosäädöstä alettiin soveltaa syyskuussa 2023. Datahallintosäädös lisää luottamusta vapaaehtoisiin datanjakomekanismeihin, mutta datasäädös tarjoaa oikeudellista selkeyttä datan saatavuuden ja käytön osalta.
Yhdessä muiden poliittisten toimenpiteiden ja rahoitusmahdollisuuksien kanssa nämä kaksi asetusta edistävät EU:n datan sisämarkkinoiden luomista ja tekevät Euroopasta datatalouden edelläkävijän hyödyntämällä jatkuvasti kasvavien datamäärien, erityisesti teollisen datan, potentiaalia Euroopan talouden ja yhteiskunnan hyödyksi.
Käsitellyt kysymykset
Asetuksen soveltamisalaa ja keskeisiä käsitteitä koskevien yleisten säännösten (I luku) mukaisesti datasäädös jakautuu kuuteen päälukuun:
II luku yritysten välisestä ja yritysten ja kuluttajien välisestä datan yhteiskäytöstä esineiden internetin yhteydessä: esineiden internetin objektien käyttäjät voivat käyttää ja siirtää dataa, jota he tuottavat yhdessä käyttämällä verkkoon liitettyä tuotetta.
Yritysten välistä datan yhteiskäyttöä koskeva IIIluku: tällä selvennetään tietojen yhteiskäyttöä koskevia ehtoja aina, kun yritys on lain, myös datasäädöksen, nojalla velvollinen jakamaan tietoja toisen yrityksen kanssa.
Kohtuuttomia sopimusehtoja koskeva IV luku: Näillä säännöksillä suojellaan kaikkia yrityksiä, erityisesti pk-yrityksiä, niille asetetuilta kohtuuttomilta sopimusehdoilta.
V luku yritysten ja viranomaisten välisestä datan yhteiskäytöstä: julkisen sektorin elimet voivat tehdä enemmän näyttöön perustuvia päätöksiä tietyissä poikkeuksellisen tarpeen tilanteissa toimenpiteillä, joilla päästään tiettyihin yksityisen sektorin hallussa oleviin tietoihin.
VI luku datankäsittelypalvelujen vaihtamisesta: Pilvi- ja reunalaskentapalvelujen tarjoajien on täytettävä vähimmäisvaatimukset yhteentoimivuuden helpottamiseksi ja palveluntarjoajan vaihtamisen mahdollistamiseksi.
VII luku kolmansien maiden viranomaisten laittomasta pääsystä tietoihin: EU:hun tallennetut muut kuin henkilötiedot on suojattu laittomilta ulkomaisen hallinnon tiedonsaantipyynnöiltä.
Yhteentoimivuutta koskeva VIII luku: data-avaruuksien osallistujien on täytettävä kriteerit, joiden perusteella data voi virrata data-avaruuksien sisällä ja välillä. EU:n tietovarastossa vahvistetaan pilvipalvelujen yhteentoimivuutta koskevat standardit ja eritelmät.
Täytäntöönpanoa koskeva IX luku: Jäsenvaltioiden on nimettävä yksi tai useampi toimivaltainen viranomainen valvomaan datasäädöstä ja valvomaan sen täytäntöönpanoa. Jos nimetään useampi kuin yksi viranomainen, on nimettävä ”datakoordinaattori”, joka toimii kansallisen tason keskitettynä yhteyspisteenä.
II luku: Yritysten välinen ja yritysten ja kuluttajien välinen datan yhteiskäyttö esineiden internetin markkinoilla
Miksi?
Datasäädöksen keskeisenä tavoitteena on luoda oikeudenmukaisuutta datatalouteen ja antaa käyttäjille mahdollisuus hyötyä tuottamastaan datasta omistamillaan, vuokraamillaan tai liisaamillaan verkkoon liitetyillä tuotteilla.
Datasäädöksen avulla verkkoon liitettyjen tuotteiden (esim. verkkoon liitetyt autot, lääkintä- ja kuntoilulaitteet, teollisuus- tai maatalouskoneet) ja niihin liittyvien palvelujen (eli kaikki, mikä saisi verkkoon liitetyn tuotteen käyttäytymään tietyllä tavalla, kuten sovellus valojen kirkkauden säätämiseksi tai jääkaapin lämpötilan säätämiseksi) käyttäjät voivat käyttää dataa, jota he luovat yhdessä käyttämällä verkkoon liitettyjä tuotteita tai niihin liittyviä palveluja.
Tällaisten tietojen saatavuus vaikuttaa merkittävästi talouteen. Esimerkiksi verkkoon liitettyjen tuotteiden ja niihin liittyvien palvelujen tuottamaa dataa voidaan käyttää jälkimarkkinoiden ja oheispalvelujen edistämiseen sekä täysin uusien palvelujen luomiseen, mikä hyödyttää sekä yrityksiä että kuluttajia.
Esimerkkejä verkkoon liitetyistä tuotteista: kuluttajatuotteet (esim. verkkoon liitetyt autot, terveydentilan seurantalaitteet, älykotilaitteet), muut tuotteet (esim. lentokoneet, robotit, teollisuuskoneet).
Esimerkki aiheeseen liittyvästä palvelusta: käyttäjä ostaa pesukoneen ja asentaa sovelluksen, jonka avulla hän voi mitata pesuohjelman ympäristövaikutukset koneen sisällä olevista eri antureista saatujen tietojen perusteella ja säätää ohjelmaa vastaavasti. Tätä sovellusta pidettäisiin siihen liittyvänä palveluna.
Esimerkkejä jälkimarkkina- ja oheispalveluista: korjaus- ja huoltopalvelut, tietopohjainen vakuutus.
Soveltamisalaan kuuluvat tietotyypit
Datalain yritysten välistä ja yritysten ja kuluttajien välistä datan yhteiskäyttöä koskevaa II lukua sovelletaan kaikkeen verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytöstä tuotettuun käsittelemättömään ja esikäsiteltyyn dataan, joka on helposti datan haltijan (esim. verkkoon liitetyn tuotteen valmistaja / siihen liittyvän palvelun tarjoaja) saatavilla, toisin sanoen dataan, joka on helposti saatavilla ilman kohtuutonta vaivaa ja joka menee pelkkää toimintaa pidemmälle. Tämä koskee sekä henkilötietoja että muita kuin henkilötietoja, mukaan lukien asiaankuuluvat metatiedot.
Tällaisia tietoja ovat yksittäisestä anturista tai siihen liitetystä anturiryhmästä kerätyt tiedot, kuten lämpötila, paine, virtausnopeus, ääni, pH-arvo, nesteen taso, sijainti, kiihtyvyys tai nopeus.
Päätellyt tai johdetut tiedot ja sisällöt (esim. erittäin rikastettu data, audiovisuaalinen materiaali) eivät kuulu soveltamisalaan. Datasäädös ei myöskään rajoita teollis- ja tekijänoikeuksien suojaa koskevien lakien soveltamista.
Jos käyttäjä esimerkiksi katsoo elokuvaa liitetystä televisiostaan, itse elokuva ei kuulu soveltamisalaan, mutta näytön kirkkautta koskevat tiedot kuuluvat soveltamisalaan.
Käytännössä
Datasäädöksen II luvussa annetaan käyttäjille (eli kaikille oikeushenkilöille tai luonnollisille henkilöille, jotka omistavat, vuokraavat tai liisaavat verkkoon liitetyn tuotteen) pääsy dataan, jonka he tuottavat käyttämällä verkkoon liitettyä tuotetta tai siihen liittyvää palvelua. Jos käyttäjä haluaa jakaa tämän datan toisen yhteisön tai henkilön, jäljempänä ’kolmasosapuoli’,kanssa, hän voi tehdä sen joko suoraan tai pyytää datan haltijaa jakamaan sen valitsemansa kolmannen osapuolen kanssa (lukuun ottamatta digimarkkinasäädöksenmukaisia portinvartijoita). Datan haltija on tyypillisesti yritys, joka valmistaa verkkoon liitettyä tuotetta tai tarjoaa siihen liittyvää palvelua. Datan haltijalla on oltava käyttäjän kanssa sopimus (esim. myyntisopimus, vuokrasopimus, siihen liittyvä palvelusopimus), jossa määritellään verkkoon liitetyn tuotteen tai siihen liittyvän palvelun tuottaman datan saatavuutta, käyttöä ja jakamista koskevat oikeudet. On tärkeää huomata, että datan haltija ei voi käyttää tuotteen tuottamia muita kuin henkilötietoja ilman käyttäjän suostumusta.
Esimerkkinä ja ottaen huomioon, että kyseisessä sopimuksessa määritetään täsmälliset roolit:
-
Yrityksellä on puskutraktori: datan haltija olisi tyypillisesti puskutraktorien valmistaja ja käyttäjä puskutraktoria käyttävä yritys.
-
Jos joku ostaa liitetyn jääkaapin ja lataa sovelluksen, joka auttaa häntä säätelemään jääkaapin sisällön optimaalista lämpötilaa, datan haltijoita olisi mahdollisesti kaksi eli jääkaapin markkinoille saattanut taho ja siihen liittyvää palvelua tarjoava taho (sovellus) ja vain yksi käyttäjä (jääkaapin omistaja).
Datasäädökseen sisältyy useita mekanismeja, joiden avulla käyttäjien on helpompi hyödyntää näitä säännöksiä: datan haltijoiden on annettava käyttäjälle tiedot siitä, minkä tyyppistä dataa ne tuottavat käyttäessään verkkoon liitettyä tuotetta tai siihen liittyvää palvelua (mukaan lukien datan määrä, keruutaajuus jne.); käyttäjien olisi voitava pyytää pääsyä tietoihin yksinkertaisella menettelyllä, ja Datan haltijoiden on asetettava data käyttäjien saataville maksutta.
Tietojen käyttöä koskevat rajoitukset
Jotta yrityksiä ei estettäisi investoimasta dataa tuottaviin tuotteisiin, saatua dataa ei voida käyttää kilpailevan verkkoon liitetyn tuotteen kehittämiseen. Datalaissa ei kielletä kilpailua liitännäis- tai jälkimarkkinapalveluissa. Datasäädöksen mukaan datan haltijalla ei myöskään ole velvollisuutta jakaa dataa EU:n ulkopuolelle sijoittautuneiden kolmansien osapuolten kanssa.
Datasäädös on täysin tietosuojasääntöjen, erityisesti yleisen tietosuoja-asetuksen, mukainen. Jos käyttäjä ei ole se rekisteröity, jonka tietoja pyydetään, henkilötietoja voidaan asettaa saataville vain, jos siihen on pätevä oikeusperusta (esim. suostumus). Tämä on tärkeä näkökohta, koska yhdessä tuotetut tiedot sisältävät usein sekä henkilötietoja että muita kuin henkilötietoja, joita voi olla vaikea erottaa toisistaan.
Se kannustaa kehittämään verkkoon liitettyjä tuotteita ja palveluja, jotka perustuvat uusiin datavirtoihin, jotka ovat erityisen arvokkaita pienemmille yrityksille. Mikro- ja pienyrityksiin, jotka ovat valmistajia tai niihin liittyvien palvelujen tarjoajia, ei myöskään sovelleta samoja velvoitteita kuin suurempiin yrityksiin.
Liikesalaisuuksien suojaamiseksi datan haltija ja käyttäjä/kolmas osapuoli voivat sopia tietyistä toimenpiteistä liikesalaisuuksien luottamuksellisuuden säilyttämiseksi heikentämättä datasäädöksen tavoitetta asettaa enemmän dataa saataville. Jos näitä toimenpiteitä ei noudateta, datan haltija voi kieltäytyä datan jakamisesta tai keskeyttää sen. Datan haltija voi kieltäytyä datan jakamisesta vain, jos se voi osoittaa, että liikesalaisuuksien ilmaiseminen aiheuttaa sille erittäin todennäköisesti vakavaa taloudellista vahinkoa.
Datan haltija ja käyttäjä voivat sopia datan jakamisen rajoittamisesta, jos on olemassa riski, että verkkoon liitetyn tuotteen turvallisuusvaatimukset voivat heikentyä, mikä aiheuttaa vakavia haittavaikutuksia ihmisten terveydelle, turvallisuudelle tai turvallisuudelle. Tällaiset vaatimukset on vahvistettava EU:n tai kansallisessa lainsäädännössä.
Jos datan haltija keskeyttää, pidättää tai kieltäytyy jakamasta dataa liikesalaisuuksien suojaan tai turvallisuusvaatimuksiin liittyvistä syistä, sen on ilmoitettava asiasta kansalliselle toimivaltaiselle viranomaiselle. Käyttäjät voivat riitauttaa tällaisen päätöksen joko jäsenvaltion toimivaltaisessa tuomioistuimessa, toimivaltaiselle viranomaiselle tehtävällä valituksella tai datan haltijan suostumuksella riitojenratkaisuelimessä.
III luku: Yritysten välistä pakollista datan yhteiskäyttöä koskevat säännöt
Miksi?
Datasäädöksellä otetaan käyttöön sääntöjä sellaisia tilanteita varten, joissa yrityksellä, jäljempänä ’datan haltija’, on EU:n tai kansallisen lainsäädännön nojalla oikeudellinen velvoite asettaa dataa toisen yrityksen, jäljempänä ’datan vastaanottaja’, saataville, myös esineiden internetin datan yhteydessä. Tietojen yhteiskäyttöä koskevien ehtojen on erityisesti oltava oikeudenmukaisia, kohtuullisia ja syrjimättömiä.
Datan jakamisen kannustimena datan haltijat, jotka ovat velvollisia jakamaan dataa, voivat pyytää datan vastaanottajalta ”kohtuullista korvausta”.
Soveltamisalaan kuuluvat tietotyypit
Datalain III lukua sovelletaan kaikkiin yrityksen hallussa oleviin tietoihin (sekä henkilötietoihin että muihin kuin henkilötietoihin), mukaan lukien datalain II luvun soveltamisalaan kuuluvat tilanteet.
Käytännössä
Datan haltijat voivat pyytää kohtuullista korvausta datan asettamisesta datan vastaanottajan saataville. Tähän voi sisältyä datan saataville asettamisesta aiheutuvia kustannuksia sekä jakeluun ja tallentamiseen liittyviä teknisiä kustannuksia. Mikroyrityksiltä, pk-yrityksiltä ja voittoa tavoittelemattomilta tutkimusorganisaatioilta ei kuitenkaan voida periä enempää kuin datan saataville asettamisesta aiheutuvat kustannukset.
Datasäädös sisältää datan haltijoiden suojelemiseksi ei-tyhjentävän luettelon toimenpiteistä sellaisten tilanteiden korjaamiseksi, joissa kolmas osapuoli tai käyttäjä on saanut laittomasti pääsyn dataan tai käyttänyt sitä laittomasti. Datan haltija voisi esimerkiksi vaatia, että oikeuksia loukkaava osapuoli lopettaa kyseisen tuotteen tuottamisen tai tuhoaa laittomasti hankkimansa datan, tai se voisi hakea korvausta.
Tämä ei vaikuta datasäädöstä edeltäviin tietojen yhteiskäyttöä koskeviin velvoitteisiin. Tulevan (alakohtaisen) lainsäädännön velvoitteet olisi yhdenmukaistettava datasäädöksen III luvun säännösten kanssa.
IV luku: Kohtuuttomat sopimusehdot
Miksi?
Sopimusvapaus on keskeistä yritysten välisissä suhteissa. Datasäädöksellä pyritään kuitenkin suojelemaan kaikkia dataa hankkivia eurooppalaisia yrityksiä, erityisesti pk-yrityksiä, kohtuuttomilta sopimusehdoilta toimenpiteillä, joilla puututaan tilanteisiin, joissa esimerkiksi yhdellä yrityksellä on vahvempi neuvotteluasema (esim. markkinakokonsa vuoksi), ja asetetaan toiselle dataan pääsyyn ja sen käyttöön liittyvä ehto, josta ei voida neuvotella (”ota tai jätä”).
Soveltamisalaan kuuluvat tietotyypit
Nämä säännöt kattavat kaikki yksityisen tahon hallussa olevat sekä henkilökohtaiset että muut tiedot, joihin on pääsy ja joita käytetään yritysten välisen sopimuksen perusteella.
Käytännössä
Yksipuolisesti määrättyihin take-it-or-leave-it-ehtoihin voidaan soveltaa kohtuuttomuustestiä, jos ne liittyvät tietojen saataville asettamiseen.
Datasäädöksessä vahvistetaan ei-tyhjentävä luettelo ehdoista, joita pidetään aina kohtuuttomina (esim. joilla suljettaisiin pois tai rajoitettaisiin ehdon yksipuolisesti määränneen osapuolen vastuuta tahallisista teoista tai törkeästä huolimattomuudesta), ja ehdoista, joiden oletetaan olevan kohtuuttomia (esim. joilla rajoitettaisiin epäasianmukaisesti oikeussuojakeinoja sopimusvelvoitteiden täyttämättä jättämisen tapauksessa tai vastuuta kyseisten velvoitteiden rikkomisen tapauksessa tai laajennettaisiin sen yrityksen vastuuta, jolle ehto on yksipuolisesti määrätty). Jos ehtoa pidetään kohtuuttomana, se ei ole enää voimassa – mahdollisuuksien mukaan se yksinkertaisesti erotetaan yhteydenotosta. Jos ehdon oletetaan olevan kohtuuton, ehdon määrännyt yksikkö voi yrittää osoittaa, että ehto ei ole kohtuuton.
V luku: Yritysten ja viranomaisten välinen datan yhteiskäyttö
Miksi?
Yksityisten yhteisöjen hallussa oleva data voi olla olennaisen tärkeää julkisen sektorin elimelle yleistä etua koskevan tehtävän suorittamiseksi. Datasäädöksen V luvussa sallitaan julkisen sektorin elinten pääsy tällaiseen dataan tietyin ehdoin ja edellytyksin, jos siihen on poikkeuksellinen tarve. Viimeksi mainitulla tarkoitetaan ennalta arvaamatonta ja ajallisesti rajattua tilannetta, jossa yksityisen yhteisön hallussa olevat tiedot ovat tarpeen yleisen edun mukaisen tehtävän suorittamiseksi, erityisesti näyttöön perustuvan päätöksenteon parantamiseksi. Poikkeuksellisia tarpeita ovat sekä yleiset hätätilanteet (kuten suuret luonnonkatastrofit tai ihmisen aiheuttamat katastrofit, pandemiat ja kyberturvallisuuspoikkeamat) että muut kuin hätätilanteet (esimerkiksi kuljettajien GPS-järjestelmistä saatuja yhdistettyjä ja anonymisoituja tietoja voitaisiin käyttää liikennevirtojen optimointiin).
Datasäädöksellä varmistetaan, että viranomaisilla on pääsy tällaisiin tietoihin oikea-aikaisesti ja luotettavasti aiheuttamatta kohtuutonta hallinnollista rasitetta yrityksille.
Soveltamisalaan kuuluvat tietotyypit
V luvun mukaan kaikki tiedot kuuluvat soveltamisalaan, ja painopiste on muissa kuin henkilötiedoissa.
Yritysten ja viranomaisten välistä datan yhteiskäyttöä koskevassa datalain V luvussa erotetaan toisistaan kaksi skenaariota:
-
Vastatakseen yleiseen hätätilaan julkisen sektorin elimen olisi pyydettävä muita kuin henkilötietoja. Jos tämä ei kuitenkaan riitä tilanteeseen vastaamiseksi, henkilötietoja voidaan pyytää. Datan haltijan olisi mahdollisuuksien mukaan anonymisoitava tämä data.
-
Muissa kuin hätätilanteissa julkisen sektorin elimet voivat pyytää ainoastaan muita kuin henkilötietoja.
Keskeiset sidosryhmät
Tietojen pyytämiseen oikeutettuja tahoja ovat jäsenvaltioiden julkisen sektorin elimet sekä tietyt EU:n toimielimet, elimet ja virastot. Nämä yhteisöt voivat myös jakaa tietoja tutkimusta tekevien ja rahoittavien organisaatioiden kanssa tietyin edellytyksin.
Yritysten ja viranomaisten välisten pyyntöjen yhteydessä datan haltijat ovat tyypillisesti yksityisiä yhteisöjä, mutta niihin voi kuulua myös julkisia yrityksiä.
Käytännössä
Julkisen sektorin elin voi tietyin edellytyksin velvoittaa datan haltijan asettamaan tietyn datan saataville ilman aiheetonta viivytystä yleiseen hätätilaan reagoimiseksi. Datasäädöksessä määritellään yleinen hätätila; mutta sen olemassaolo määräytyy kansallisten tai EU:n menettelyjen tai lakien mukaisesti.
Poikkeuksellisissa tarpeissa, jotka eivät liity yleiseen hätätilaan, julkisen sektorin elin voi pyytää muita kuin henkilötietoja täyttämään tietyn yleisen edun mukaisen tehtävän, josta on säädetty laissa, jos julkisen sektorin elin voi osoittaa, ettei se ole voinut saada dataa muilla keinoin.
Molemmissa tapauksissa (hätä- ja ei-hätätapauksissa) pyynnöissä on noudatettava tiettyjä tiukkoja periaatteita ja ehtoja. Pyyntöjen on esimerkiksi oltava täsmällisiä, avoimia ja oikeasuhteisia, liikesalaisuudet on suojattava ja tiedot on poistettava, kun niitä ei enää tarvita.
Seuraavassa taulukossa esitetään yhteenveto siitä, mitä yritykset voivat pyytää datan toimittamiseksi julkisen sektorin elimelle tässä yhteydessä.
Korvaus datalain V luvun mukaisesta datan saataville asettamisesta
| Muut yritykset kuin mikro- ja pienyritykset voivat pyytää: | Mikro- ja pienyritykset voivat pyytää: | |
| Yleinen hätätila | Yritykset voivat pyytää vastaanottavaa julkisen sektorin elintä tunnustamaan ja julkisesti tunnustamaan niiden toimittaman datan. | Kohtuullinen korvaus, joka ei ylitä aiheutuneita teknisiä ja organisatorisia kustannuksia + pyynnöstä annettava julkinen tunnustus |
| Muu kuin hätätilanne | Kohtuullinen korvaus, joka ei ylitä aiheutuneita teknisiä ja organisatorisia kustannuksia (lukuun ottamatta virallisten tilastojen tuottamista) | Ei merkintää (vapautettu tietojen toimittamista koskevasta velvoitteesta) |
Yrityksille aiheutuvan rasitteen minimoimiseksi useampi kuin yksi julkisen sektorin elin voi pyytää samaa dataa vain kerran (yhden kerran periaate). Tästä syystä datakoordinaattorin on asetettava kaikki pyynnöt julkisesti saataville (ellei turvallisuusongelmia ole).
VI luku: Tietojenkäsittelypalvelujen vaihtaminen
Miksi?
Kilpailukykyisten markkinoiden varmistamiseksi EU:ssa datankäsittelypalvelujen (mukaan lukien pilvipalvelut ja reunapalvelut) asiakkaiden olisi voitava siirtyä saumattomasti palveluntarjoajalta toiselle. Asiakkailla on kuitenkin tällä hetkellä useita esteitä, kuten korkeat maksut, jotka liittyvät esimerkiksi tietojen poistumiseen, pitkällisiin menettelyihin ja palveluntarjoajien välisen yhteentoimivuuden puutteeseen, mikä voi johtaa tietojen ja sovellusten menettämiseen.
Datasäädös tekee vaihtamisesta ilmaista, nopeaa ja sujuvaa. Tämä hyödyttää asiakkaita, jotka voivat vapaasti valita tarpeitaan parhaiten vastaavat palvelut, sekä palveluntarjoajia, jotka hyötyvät suuremmasta asiakasjoukosta.
Soveltamisala
Datasäädöksen VI lukua sovelletaan datankäsittelypalvelujen (eli kaikkialla saatavilla olevan ja tilattavan verkkoyhteyden mahdollistavien digitaalisten palvelujen, kuten verkkojen, palvelimien tai muun virtuaalisen tai fyysisen infrastruktuurin ja ohjelmistojen) tarjoajiin. Vaihtamisen kannalta keskeisiä tietoja ovat syöttö- ja tulostiedot, mukaan lukien metatiedot, jotka asiakas on tuottanut käyttäessään palvelua, lukuun ottamatta tietoja, jotka on suojattu teollis- ja tekijänoikeuksilla tai jotka muodostavat palveluntarjoajan liikesalaisuuden.
Käytännössä
Pilvipalvelujen tarjoajien ja asiakkaiden välisen vallan epätasapainon poistamiseksi datasäädöksessä asetetaan vähimmäisvaatimukset pilvisopimusten sisällölle. Erityisesti yksityisen ja julkisen sektorin asiakkaat hyötyvät paljon suuremmasta sopimusten avoimuudesta.
Datasäädökseen sisältyy toimenpiteitä, joilla varmistetaan, että asiakkaat voivat vaihtaa datankäsittelypalvelujen tarjoajasta, jäljempänä ’lähdepalvelujen tarjoaja’, toiseen, jäljempänä ’kohdepalvelujen tarjoaja’, nopeasti ja sujuvasti menettämättä dataa tai sovellusten toiminnallisuutta. Esimerkiksi alustan ja ohjelmistopalvelun tarjoajien on asetettava avoimet rajapinnat saataville ja vähintään vietävä dataa yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Infrastruktuuri palveluna -palvelun tarjoajien on toteutettava toimenpiteitä, joilla helpotetaan sitä, että kun asiakas siirtyy samantyyppiseen palveluun, asiakas saa olennaisesti vertailukelpoisia tuloksia vastauksena samaan syötteeseen niiden ominaisuuksien osalta, jotka molemmat palvelut jakavat (”toiminnallinen vastaavuus”). Esimerkkinä tällaisesta toimenpiteestä lähdetoimittaja voi joutua käyttämään työkaluja tietojenkäsittelyn työkuormien siirtämiseen virtualisointitekniikasta toiseen.
Kaikkien palveluntarjoajien on poistettava esteet, joita niiden asiakkaat voivat kohdata, kun he haluavat vaihtaa palveluntarjoajaa tai käyttää useita palveluja samanaikaisesti.
Datasäädöksellä poistetaan myös kokonaan vaihtamisesta perittävät maksut, mukaan lukien tietojen poistamisesta perittävät maksut (eli tietojen siirrosta perittävät maksut), 12. tammikuuta 2027 alkaen. Tämä tarkoittaa, että palveluntarjoajat eivät voi veloittaa asiakkailtaan toimintoja, jotka ovat tarpeen vaihtamisen helpottamiseksi tai tietojen poistamiseksi. Siirtymätoimenpiteenä datasäädöksen voimaantuloa seuraavien kolmen ensimmäisen vuoden aikana (11 päivän tammikuuta 2024 ja 12 päivän tammikuuta 2027 välisenä aikana) palveluntarjoajat voivat kuitenkin edelleen veloittaa asiakkailtaan vaihtamisesta ja datan poistumisesta aiheutuvat kustannukset.
VII luku: Kolmannen maan viranomaisten luvaton pääsy tietoihin
Miksi?
Joskus EU:n ulkopuolisen maan, jäljempänä ’kolmas maa’, antamalla päätöksellä tai tuomiolla pyritään sallimaan viranomaisten pääsy EU:ssa käsiteltäviin ja säilytettäviin muihin kuin henkilötietoihin ja niiden siirto. Tietyissä tapauksissa pääsyn myöntäminen tällaisiin tietoihin tai niiden siirtäminen voi kuitenkin olla laitonta, erityisesti jos pyyntö on ristiriidassa yksilöiden perusoikeuksien, kansallisten turvallisuusetujen tai kaupallisesti arkaluonteisten tietojen suojelua koskevan EU:n lainsäädännön ja takeiden kanssa.
Datasäädöksessä noudatetaan datahallintosäädöstä niiden säännösten osalta, joilla pyritään estämään laiton kolmansien maiden viranomaisten pääsy EU:ssa oleviin muihin kuin henkilötietoihin ja niiden siirto. Tällaisilla säännöksillä ei ole vaikutusta yritysten väliseen säännölliseen datan yhteiskäyttöön. Ne lisäävät avoimuutta ja oikeusvarmuutta niiden prosessien ja edellytysten osalta, joiden mukaisesti EU:n ulkopuoliset viranomaiset voivat tutustua muihin kuin henkilötietoihin tai siirtää niitä niille.
Soveltamisalaan kuuluvat tietotyypit
Kaikki datankäsittelypalvelun tarjoajan EU:ssa säilyttämät muut kuin henkilötiedot.
Käytännössä
Datasäädöksessä ei kielletä rajat ylittäviä tietovirtoja, mutta sillä varmistetaan, että EU:ssa oleville tiedoille myönnetty suoja kulkee EU:n ulkopuolelle siirrettyjen tietojen mukana.
Tässä yhteydessä datasäädöksessä vahvistetaan säännöt ja suojatoimet, jotka koskevat ulkomaisen julkisen sektorin elimen pyyntöjä saada pääsy unionissa oleviin muihin kuin henkilötietoihin. Nämä säännökset eivät vaikuta lainvalvontaan liittyvään lailliseen kansainväliseen yhteistyöhön.
Jos ei ole olemassa kansainvälistä sopimusta, jolla säännellään kolmannen maan hallituksen pääsyä EU:ssa sijaitseviin muihin kuin henkilötietoihin, tietoja voidaan siirtää tai niihin voidaan päästä käsiksi vain tietyin edellytyksin. Näillä edellytyksillä viitataan tiettyihin takeisiin, joilla turvataan eurooppalaiset oikeudet ja jotka kolmannen maan oikeusjärjestelmän on täytettävä, mukaan lukien vaatimus esittää päätöksessä perustelut ja arvioida oikeasuhteisuus. Tällaisessa päätöksessä tarkoitettu datankäsittelypalvelujen tarjoaja voi ottaa yhteyttä asianomaiseen kansalliseen elimeen arvioidakseen, täyttyvätkö datasäädöksessä säädetyt edellytykset. Auttaakseen arvioimaan, täyttyvätkö nämä edellytykset, Euroopan komissio laatii yhdessä Euroopan datainnovaatiolautakunnan (datahallintosäädöksellä perustettu asiantuntijaryhmä, jonka tehtävänä on helpottaa parhaiden käytäntöjen jakamista ja asettaa etusijalle monialaiset yhteentoimivuusstandardit) kanssa suuntaviivat.
Datankäsittelypalvelujen tarjoajien olisi toteutettava kaikki kohtuulliset toimenpiteet (esim. salaus, tarkastukset, sertifiointijärjestelmien noudattaminen) estääkseen pääsyn järjestelmiin, joihin ne tallentavat muita kuin henkilötietoja. Nämä toimenpiteet olisi julkaistava niiden verkkosivustoilla. Lisäksi niiden olisi mahdollisuuksien mukaan ilmoitettava asiakkailleen ennen kuin ne antavat pääsyn tietoihinsa.
VIII luku: Yhteentoimivuus
Miksi?
Standardit ja yhteentoimivuus ovat avainasemassa sen varmistamisessa, että eri lähteistä peräisin olevaa dataa voidaan käyttää yhteisissä eurooppalaisissa data-avaruuksissa ja niiden välillä tutkimuksen edistämiseksi ja uusien tuotteiden tai palvelujen kehittämiseksi. Tätä varten datasäädöksessä vahvistetaan joitakin keskeisiä vaatimuksia, jotka data-avaruuksien osallistujien on täytettävä ja joita Euroopan komissio voi täsmentää delegoiduilla säädöksillä.
Sillä pyritään myös varmistamaan datankäsittelypalvelujen yhteentoimivuus. Tämä on olennaisen tärkeää, jotta asiakkaat voivat hyötyä helpommasta vaihtamisesta.
Keskeiset sidosryhmät
Tämä luku koskee sellaisten data-avaruuksien osallistujia, jotka tarjoavat dataa tai datapohjaisia palveluja muille osallistujille ja jotka helpottavat datan jakamista data-avaruuksien sisällä tai osallistuvat siihen.
Se koskee myös älysopimusten myyjiä ja datankäsittelypalvelujen tarjoajia.
Käytännössä
Data-avaruuteen osallistujien olisi täytettävä useita olennaisia vaatimuksia, jotta data voi virrata data-avaruuksien sisällä ja välillä. Esimerkiksi tietorakenteiden, tietomuotojen ja sanastojen kuvauksen, jos sellainen on saatavilla, olisi oltava julkisesti saatavilla. Lisäksi olisi varmistettava keinot, joilla varmistetaan datan yhteiskäyttöä koskevien sopimusten, kuten älysopimusten, yhteentoimivuus.
Datasäädöksellä valmistellaan myös datankäsittelypalvelujen yhteentoimivuuden lisäämistä yhdenmukaistettujen standardien ja avointen yhteentoimivuuseritelmien avulla.
Lisäksi siinä asetetaan älykkäiden sopimusten toimittajille tietojen yhteiskäyttöä koskevien sopimusten automaattista täytäntöönpanoa koskevia vaatimuksia esimerkiksi sen varmistamiseksi, että ne noudattavat asianmukaisesti tietojen yhteiskäyttöä koskevan sopimuksen määräyksiä ja kestävät kolmansien osapuolten manipuloinnin.
Komissio arvioi yhteentoimivuuden esteitä ja asettaa etusijalle standardointitarpeet, joiden perusteella se voi pyytää eurooppalaisia standardointiorganisaatioita laatimaan yhdenmukaistettuja standardeja, jotka ovat edellä mainittujen vaatimusten mukaisia.
Jos pyyntö ei johda yhdenmukaistettuun standardiin tai jos standardi ei riitä varmistamaan datasäädöksen noudattamista, komissio voi hyväksyä yhteisiä eritelmiä vararatkaisuna. Niitä olisi kehitettävä avoimella ja osallistavalla tavalla ottaen huomioon Euroopan datainnovaatiolautakunnalta saatu palaute.
IX luku: Täytäntöönpano ja yleiset säännökset
Jäsenvaltiot nimeävät yhden tai useamman (uuden tai olemassa olevan) toimivaltaisen viranomaisen varmistamaan datasäädöksen tehokkaan täytäntöönpanon. Jos toimivaltaisia viranomaisia on useita, jäsenvaltioiden on nimettävä yksi niistä datakoordinaattoriksi. Datakoordinaattori toimii keskitettynä asiointipisteenä kaikissa kysymyksissä, jotka liittyvät datasäädöksen täytäntöönpanoon kansallisella tasolla, ja helpottaa sen soveltamista sekä yritysten että viranomaisten kannalta. Jos yritys esimerkiksi hakee korvausta datasäädöksen mukaisten oikeuksiensa rikkomisesta, datakoordinaattorin olisi (pyydettäessä) annettava kaikki tarvittavat tiedot, joiden avulla se voi tehdä valituksensa asianomaiselle toimivaltaiselle viranomaiselle. Datakoordinaattori helpottaa yhteistyötä myös rajat ylittävissä tilanteissa, kuten silloin, kun tietyn jäsenvaltion toimivaltainen viranomainen ei tiedä, mitä viranomaista sen olisi lähestyttävä datakoordinaattorin jäsenvaltiossa.
Komissio ylläpitää julkista rekisteriä toimivaltaisista viranomaisista ja datakoordinaattoreista.
Euroopan datainnovaatiolautakunta helpottaa toimivaltaisten viranomaisten välisiä keskusteluja esimerkiksi koordinoidakseen ja hyväksyäkseen suosituksia datasäädöksen rikkomisesta määrättävistä seuraamuksista. Seuraamuksista päättävät toimivaltaiset viranomaiset, ja datasäädöksen mukaan seuraamusten olisi oltava tehokkaita, oikeasuhteisia ja varoittavia.
Jäsenvaltiot voivat halutessaan perustaa sertifioituja riitojenratkaisuelimiä auttamaan osapuolia, jotka eivät pääse sopimukseen oikeudenmukaisista, kohtuullisista ja syrjimättömistä ehdoista datan saataville asettamiselle. Osapuolet voivat vapaasti kääntyä minkä tahansa riitojenratkaisuelimen puoleen joko siinä jäsenvaltiossa, johon ne ovat sijoittautuneet, tai muussa jäsenvaltiossa.
Sertifioidut riitojenratkaisumekanismit ja toimivaltaiset erityisviranomaiset helpottavat yritysten, erityisesti pienten yritysten, datasäädöksen mukaisten oikeuksien toteutumista, koska ne tarjoavat osapuolille yksinkertaisen, nopean ja edullisen ratkaisun.
Mitä seuraavaksi?
Euroopan datastrategia viitoittaa tietä EU:n johtoasemalle datataloudessa. Tämä saavutetaan luomalla eurooppalaiset datan sisämarkkinat, joilla data voi virrata alojen ja jäsenvaltioiden välillä turvallisella ja luotettavalla tavalla talouden ja yhteiskunnan hyödyksi. Datasäädös on keskeinen tekijä tämän vision saavuttamisessa, koska sillä varmistetaan, että datan arvo jaetaan oikeudenmukaisesti sidosryhmien kesken.
Datasäädöstä aletaan soveltaa 12. syyskuuta 2025.
Auttaakseen yrityksiä selviytymään näistä uusista säännöistä komissio suosittelee mallisopimusehtoja, joilla autetaan yrityksiä tekemään oikeudenmukaisia, kohtuullisia ja syrjimättömiä datan yhteiskäyttösopimuksia (datasäädöksen II ja III luku). Näissä ehdoissa annetaan myös ohjeita kohtuullisesta korvauksesta ja liikesalaisuuksien suojaamisesta. Komissio aikoo myös suositella ei-sitovia vakiosopimuslausekkeita pilvipalvelujen käyttäjien ja tarjoajien välisiin pilvipalvelusopimuksiin. Asiantuntijaryhmä on perustettu auttamaan komissiota tällaisten ehtojen ja lausekkeiden laatimisessa, ja se aikoo suositella niitä syksyyn 2025 mennessä.
Komissio arvioi datasäädöksen vaikutuksia kolmen vuoden kuluessa sen soveltamisen alkamisesta. Tämän perusteella komissio voi tarvittaessa ehdottaa lain muuttamista.
Oikeudellinen huomautus
Tämän asiakirjan ei pitäisi katsoa edustavan Euroopan komission virallista kantaa.