Kattava katsaus datasäädökseen ja sen tavoitteisiin sekä siihen, miten se toimii käytännössä.
Miksi datasäädös?
Datasäädöksen tarkoituksena on parantaa EU:n datataloutta ja edistää kilpailukykyisiä datamarkkinoita parantamalla datan (erityisesti teollisen datan) saatavuutta ja käytettävyyttä, kannustamalla datavetoiseen innovointiin ja lisäämällä datan saatavuutta. Tämän saavuttamiseksi datasäädöksellä varmistetaan datan arvon oikeudenmukainen jakaminen datatalouden toimijoiden kesken. Siinä selvennetään, kuka voi käyttää mitäkin tietoa ja millä edellytyksillä. Lisätietoja on datasäädöstä koskevissa usein kysytyissä kysymyksissä.
Viime vuosina internetiin liitettyjen tuotteiden, jäljempänä ’verkkoon liitetyt tuotteet’, saatavuus Euroopan markkinoilla on kasvanut nopeasti. Nämä tuotteet muodostavat yhdessä esineiden internetin (IoT), joka lisää merkittävästi uudelleenkäytettävän datan määrää EU:ssa. Tämä tarjoaa valtavat mahdollisuudet innovointiin ja kilpailukykyyn EU:ssa.
Datasäädös antaa verkkoon liitettyjen tuotteiden käyttäjille (yritykset tai yksityishenkilöt, jotka omistavat, vuokraavat tai liisaavat tällaisen tuotteen) paremman määräysvallan tuottamaansa dataan, samalla kun säilytetään kannustimet niille, jotka investoivat datateknologiaan. Lisäksi siinä säädetään yleisistä edellytyksistä tilanteissa, joissa yrityksellä on lakisääteinen velvollisuus jakaa tietoja toisen yrityksen kanssa.
Datasäädös sisältää myös toimenpiteitä, joilla lisätään oikeudenmukaisuutta ja kilpailua Euroopan pilvipalvelumarkkinoilla sekä suojellaan yrityksiä vahvempien toimijoiden määräämiltä datan yhteiskäyttöön liittyviltä kohtuuttomilta sopimusehdoilta. Siinä vahvistetaan myös mekanismi, jonka avulla julkisen sektorin elimet voivat pyytää dataa yritykseltä, jos siihen on poikkeuksellinen tarve, esimerkiksi yleisissä hätätilanteissa, ja annetaan selkeät säännöt siitä, miten tällaiset pyynnöt olisi esitettävä. Lisäksi siinä otetaan käyttöön suojatoimia, joilla estetään kolmansien maiden hallintoelinten pääsy muihin kuin henkilötietoihin, jos tämä olisi EU:n tai kansallisen lainsäädännön vastaista. Datasäädöksessä määritellään yhteentoimivuutta koskevat olennaiset vaatimukset sen varmistamiseksi, että data voi liikkua saumattomasti eri alojen ja jäsenvaltioiden välillä yhteisten eurooppalaisten data-avaruuksien avulla sekä datankäsittelypalvelujen tarjoajien välillä.
Datasäädös julkaistiin EU:n virallisessa lehdessä 22. joulukuuta 2023, ja sitä on sovellettu 12. syyskuuta 2025 alkaen.
Datasäädös täydentää datahallintosäädöstä, jota alettiin soveltaa syyskuussa 2023. Datahallintosäädös lisää luottamusta vapaaehtoisiin datan jakamismekanismeihin, kun taas datasäädös tuo oikeudellista selkeyttä datan saatavuuteen ja käyttöön.
Yhdessä muiden poliittisten toimenpiteiden ja rahoitusmahdollisuuksien kanssa nämä kaksi asetusta edistävät EU:n datan sisämarkkinoiden luomista. Tavoitteena on tehdä Euroopasta johtava datatalouden toimija hyödyntämällä jatkuvasti kasvavien datamäärien, erityisesti teollisen datan, potentiaalia Euroopan talouden ja yhteiskunnan hyödyksi.
Käsitellyt kysymykset
Asetuksen soveltamisalaa ja keskeisiä käsitteitä koskevien yleisten säännösten (I luku) mukaisesti datasäädös on jaettu kuuteen päälukuun:
II luku yritysten välisestä ja yritysten ja kuluttajien välisestä datan jakamisesta esineiden internetin yhteydessä: esineiden internetin esineiden käyttäjät voivat käyttää, käyttää ja siirtää dataa, jota he tuottavat yhdessä käyttämällä verkkoon liitettyä tuotetta.
Yritysten välistä datan yhteiskäyttöä koskeva III luku: tällä selvennetään datan jakamisen ehtoja aina, kun yritys on lain, myös datalain, nojalla velvollinen jakamaan dataa toisen yrityksen kanssa.
Kohtuuttomia sopimusehtoja koskeva IV luku: Näillä säännöksillä suojellaan kaikkia yrityksiä, erityisesti pk-yrityksiä, niiltä edellytetyiltä kohtuuttomilta sopimusehdoilta.
Yritysten ja viranomaisten välistä datan yhteiskäyttöä koskeva V luku: Julkisen sektorin elimet voivat tehdä enemmän näyttöön perustuvia päätöksiä tietyissä poikkeuksellisen tarpeen tilanteissa toimenpiteillä, joilla päästään käsiksi tiettyihin yksityisen sektorin hallussa oleviin tietoihin.
Tietojenkäsittelypalvelujen vaihtamista koskeva VI luku: pilvipalvelujen ja reunalaskentapalvelujen tarjoajien on täytettävä vähimmäisvaatimukset yhteentoimivuuden helpottamiseksi ja vaihtamisen mahdollistamiseksi.
VII luku, joka koskee kolmansien maiden viranomaisten laitonta pääsyä tietoihin: EU:ssa tallennetut muut kuin henkilötiedot on suojattu ulkomaisten viranomaisten laittomilta tiedonsaantipyynnöiltä.
Yhteentoimivuutta koskeva VIII luku: data-avaruuksien osallistujien on täytettävä kriteerit, jotta data voi virrata data-avaruuksien sisällä ja niiden välillä. EU:n tietovarastossa vahvistetaan pilvipalvelujen yhteentoimivuutta koskevat standardit ja eritelmät.
Täytäntöönpanoa koskeva IX luku: Jäsenvaltioiden on nimettävä yksi tai useampi toimivaltainen viranomainen valvomaan datasäädöksen täytäntöönpanoa. Jos nimetään useampi kuin yksi viranomainen, on nimettävä ”datakoordinaattori”, joka toimii kansallisen tason keskitettynä yhteyspisteenä.
II luku: Yritysten välinen ja yritysten ja kuluttajien välinen datan jakaminen esineiden internetin markkinoiden yhteydessä
Miksi?
Datasäädöksen keskeisenä tavoitteena on luoda oikeudenmukaisuutta datatalouteen ja antaa käyttäjille mahdollisuus saada arvoa tuottamastaan datasta omistamillaan, vuokraamillaan tai liisaamillaan verkkoon liitetyillä tuotteilla.
Datasäädöksen ansiosta verkkoon liitettyjen tuotteiden (esim. verkkoon liitetyt autot, lääkinnälliset ja kuntoilulaitteet, teollisuus- tai maatalouskoneet) ja niihin liittyvien palvelujen (eli kaiken sellaisen, joka saisi verkkoon liitetyn tuotteen käyttäytymään tietyllä tavalla, kuten sovelluksen, joka säätää valojen kirkkautta tai säätelee jääkaapin lämpötilaa) käyttäjät voivat käyttää dataa, jonka he luovat yhdessä verkkoon liitettyjen tuotteiden tai niihin liittyvien palvelujen avulla.
Tällaisten tietojen saatavuus vaikuttaa merkittävästi talouteen. Esimerkiksi verkkoon liitettyjen tuotteiden ja niihin liittyvien palvelujen tuottamaa dataa voidaan käyttää jälkimarkkinoiden ja oheispalvelujen tehostamiseen sekä täysin uusien palvelujen luomiseen, mikä hyödyttää sekä yrityksiä että kuluttajia.
Esimerkkejä verkkoon liitetyistä tuotteista: kulutustuotteet (esim. verkkoon liitetyt autot, terveydenvalvontalaitteet, älykodin laitteet), muut tuotteet (esim. lentokoneet, robotit, teollisuuskoneet).
Esimerkki asiaan liittyvästä palvelusta: käyttäjä ostaa pesukoneen ja asentaa sovelluksen, jonka avulla hän voi mitata pesuohjelman ympäristövaikutukset koneen eri antureista saatujen tietojen perusteella ja säätää ohjelmaa vastaavasti. Tätä hakemusta pidettäisiin siihen liittyvänä palveluna.
Esimerkkejä jälkimarkkinoinnista ja oheispalveluista: korjaus- ja huoltopalvelut, tietoperusteiset vakuutukset.
Soveltamisalaan kuuluvat tietotyypit
Datalain II lukua yritysten välisestä ja yritysten ja kuluttajien välisestä datan jakamisesta sovelletaan kaikkeen verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytöstä tuotettuun raakaan ja esikäsiteltyyn dataan, joka on helposti datan haltijan (esim. verkkoon liitetyn tuotteen valmistajan tai siihen liittyvän palvelun tarjoajan) saatavilla eli dataan, joka on helposti saatavilla ilman kohtuutonta vaivaa ja joka ylittää yksinkertaisen toiminnon. Tämä koskee sekä henkilötietoja että muita kuin henkilötietoja, mukaan lukien asiaankuuluvat metatiedot.
Tällaisia tietoja ovat yhdestä anturista tai yhdistetystä anturiryhmästä kerätyt tiedot, kuten lämpötila, paine, virtausnopeus, ääni, pH-arvo, nesteen taso, sijainti, kiihtyvyys tai nopeus.
Päätelty tai johdettu data ja sisältö (esim. pitkälle rikastettu data, audiovisuaalinen materiaali) eivät kuulu soveltamisalaan. Datalaki ei myöskään rajoita teollis- ja tekijänoikeuksien suojaa koskevan lainsäädännön soveltamista.
Jos käyttäjä esimerkiksi katsoo elokuvaa yhdistetyllä televisiolla, elokuva itsessään ei kuulu soveltamisalaan, mutta näytön kirkkautta koskevat tiedot kuuluvat soveltamisalaan.
Käytännössä
Datasäädöksen II luvun mukaan käyttäjillä (eli kaikilla oikeushenkilöillä tai luonnollisilla henkilöillä, jotka omistavat, vuokraavat tai liisaavat verkkoon liitetyn tuotteen) on pääsy dataan, jonka ne tuottavat käyttämällä verkkoon liitettyä tuotetta tai siihen liittyvää palvelua. Jos käyttäjä haluaa jakaa tämän datan toisen tahon tai henkilön, jäljempänä ’kolmasosapuoli’,kanssa, hän voi joko tehdä sen suoraan tai pyytää datan haltijaa jakamaan sen valitsemansa kolmannen osapuolen kanssa (lukuun ottamatta digimarkkinasäädöksenmukaisia portinvartijoita). Datan haltija on tyypillisesti yritys, joka valmistaa verkkoon liitetyn tuotteen tai tarjoaa siihen liittyvän palvelun. Datan haltijalla on oltava käyttäjän kanssa sopimus (esim. myyntisopimus, vuokrasopimus, siihen liittyvä palvelusopimus jne.), jossa määritellään verkkoon liitetyn tuotteen tai siihen liittyvän palvelun tuottaman datan saatavuutta, käyttöä ja jakamista koskevat oikeudet. On tärkeää huomata, että datan haltija ei voi käyttää tuotteen tuottamia muita kuin henkilötietoja ilman käyttäjän suostumusta.
Esimerkiksi ja ottaen huomioon, että kyseisessä sopimuksessa määritetään täsmälliset roolit:
-
Yrityksellä on puskutraktori: datan haltija olisi tyypillisesti puskutraktorin valmistaja ja käyttäjä puskutraktoria käyttävä yritys.
-
Jos joku ostaa liitetyn jääkaapin ja lataa sovelluksen, joka auttaa häntä säätelemään jääkaapin sisällön optimaalista lämpötilaa, tietojen haltijoita voi olla kaksi: jääkaapin markkinoille saattanut yksikkö ja siihen liittyvää palvelua tarjoava yksikkö (sovellus) ja vain yksi käyttäjä (jääkaapin omistaja).
Datasäädökseen sisältyy useita mekanismeja, joiden avulla käyttäjien on helpompi hyödyntää näitä säännöksiä: datan haltijoiden on annettava käyttäjälle tiedot siitä, minkä tyyppistä dataa ne tuottavat käyttäessään verkkoon liitettyä tuotetta tai siihen liittyvää palvelua (mukaan lukien määrä, keräystiheys jne.); käyttäjien olisi voitava pyytää pääsyä tietoihin yksinkertaisella menettelyllä, ja datan haltijoiden on asetettava data käyttäjien saataville maksutta.
Tietojen käyttöä koskevat rajoitukset
Jotta yrityksiä ei estettäisi investoimasta dataa tuottaviin tuotteisiin, saatua dataa ei voida käyttää kilpailevan verkkoon liitetyn tuotteen kehittämiseen. Datalaissa ei kielletä kilpailua liitännäis- tai jälkimarkkinapalveluissa. Datalaissa ei myöskään velvoiteta datan haltijaa jakamaan dataa EU:n ulkopuolelle sijoittautuneiden kolmansien osapuolten kanssa.
Datasäädös on täysin tietosuojasääntöjen ja erityisesti yleisen tietosuoja-asetuksen mukainen. Jos käyttäjä ei ole se rekisteröity, jonka tietoja pyydetään, henkilötiedot voidaan asettaa saataville vain, jos niillä on pätevä oikeusperuste (esim. suostumus). Tämä on tärkeä näkökohta, koska yhdessä tuotetut tiedot sisältävät usein sekä henkilötietoja että muita tietoja, joita voi olla vaikea erottaa toisistaan.
Se kannustaa kehittämään verkkoon liitettyjä tuotteita ja palveluja, jotka perustuvat uusiin datavirtoihin, jotka ovat erityisen arvokkaita pienemmille yrityksille. Mikro- ja pienyrityksiin, jotka ovat niihin liittyvien palvelujen valmistajia tai tarjoajia, ei myöskään sovelleta samoja velvoitteita kuin suurempiin yrityksiin.
Liikesalaisuuksien suojaamiseksi datasäädöksen tavoitetta asettaa enemmän dataa saataville heikentämättä datan haltija ja käyttäjä/kolmas osapuoli voivat sopia tietyistä toimenpiteistä liikesalaisuuksien luottamuksellisuuden säilyttämiseksi. Jos näitä toimenpiteitä ei noudateta, datan haltija voi keskeyttää datan jakamisen tai keskeyttää sen. Datan haltija voi kieltäytyä jakamasta dataa vain, jos se voi osoittaa, että liikesalaisuuksien ilmaiseminen aiheuttaa sille erittäin todennäköisesti vakavaa taloudellista vahinkoa.
Datan haltija ja käyttäjä voivat sopia datan jakamisen rajoittamisesta, jos on olemassa riski, että verkkoon liitetyn tuotteen turvallisuusvaatimukset voivat vaarantua, mikä aiheuttaa vakavia haittavaikutuksia ihmisten terveydelle, turvallisuudelle tai turvallisuudelle. Tällaisista vaatimuksista on säädettävä EU:n tai kansallisessa lainsäädännössä.
Jos datan haltija keskeyttää, pidättää tai kieltäytyy jakamasta dataa liikesalaisuuksien suojaan tai turvallisuusvaatimuksiin liittyvistä syistä, sen on ilmoitettava asiasta kansalliselle toimivaltaiselle viranomaiselle. Käyttäjät voivat riitauttaa tällaisen päätöksen joko jäsenvaltion toimivaltaisessa tuomioistuimessa tekemällä valituksen toimivaltaiselle viranomaiselle tai datan haltijan suostumuksella riitojenratkaisuelimessä.
III luku: Yritysten välistä pakollista datan yhteiskäyttöä koskevat säännöt
Miksi?
Datasäädöksellä otetaan käyttöön säännöt sellaisia tilanteita varten, joissa yrityksellä, jäljempänä ’datan haltija’, on EU:n tai kansallisen lainsäädännön mukainen oikeudellinen velvoite asettaa data toisen yrityksen, jäljempänä ’datan vastaanottaja’, saataville, myös esineiden internetiin liittyvän datan yhteydessä. Erityisesti tietojen yhteiskäyttöä koskevien ehtojen on oltava oikeudenmukaisia, kohtuullisia ja syrjimättömiä.
Datan jakamisen kannustimena datan haltijat, joilla on velvollisuus jakaa dataa, voivat pyytää datan vastaanottajalta ”kohtuullista korvausta”.
Soveltamisalaan kuuluvat tietotyypit
Datalain III lukua sovelletaan kaikkiin yrityksen hallussa oleviin tietoihin (sekä henkilötietoihin että muihin kuin henkilötietoihin), mukaan lukien datalain II luvun soveltamisalaan kuuluvat tilanteet.
Käytännössä
Datan haltijat voivat pyytää kohtuullista korvausta datan asettamisesta datan vastaanottajan saataville. Tähän voivat sisältyä datan saataville asettamisesta aiheutuvat kustannukset sekä levittämiseen ja tallentamiseen liittyvät tekniset kustannukset. Mikroyrityksiltä, pk-yrityksiltä ja voittoa tavoittelemattomilta tutkimusorganisaatioilta ei kuitenkaan voida veloittaa enempää kuin datan saataville asettamisesta aiheutuvat kustannukset.
Datan haltijoiden suojelemiseksi datalaki sisältää ei-tyhjentävän luettelon toimenpiteistä sellaisten tilanteiden korjaamiseksi, joissa kolmas osapuoli tai käyttäjä on laittomasti päässyt dataan tai käyttänyt sitä. Datan haltija voi esimerkiksi vaatia, että loukkaava osapuoli lopettaa kyseisen tuotteen valmistamisen tai tuhoaa laittomasti hankkimansa datan, tai se voi hakea korvausta.
Tämä ei vaikuta datalakia edeltäviin tietojen yhteiskäyttöä koskeviin velvoitteisiin. Tulevan (alakohtaisen) lainsäädännön velvoitteet olisi yhdenmukaistettava datasäädöksen III luvun säännösten kanssa.
IV luku: Kohtuuttomat sopimusehdot
Miksi?
Sopimusvapaus on keskeinen tekijä yritysten välisissä suhteissa. Datasäädöksellä pyritään kuitenkin suojelemaan kaikkia eurooppalaisia yrityksiä, erityisesti pk-yrityksiä, jotka haluavat hankkia dataa, kohtuuttomilta sopimusehdoilta toimenpiteillä, joilla puututaan tilanteisiin, joissa esimerkiksi toinen yrityksistä on vahvemmassa neuvotteluasemassa (esimerkiksi markkinoiden koon vuoksi), ja asetetaan datan saatavuuteen ja käyttöön liittyvä ehto, josta ei voida neuvotella (”ota tai jätä”).
Soveltamisalaan kuuluvat tietotyypit
Nämä säännöt kattavat kaikki yksityisen tahon hallussa olevat sekä henkilökohtaiset että ei-henkilökohtaiset tiedot, joihin on pääsy ja joita käytetään yritysten välisen sopimuksen perusteella.
Käytännössä
Jos yksipuolisesti asetetut take-it-or-leave-it-ehdot liittyvät tietojen saataville asettamiseen, niihin voidaan soveltaa kohtuuttomuustestiä.
Datalaissa vahvistetaan ei-tyhjentävä luettelo ehdoista, joita pidetään aina kohtuuttomina (esim. jotka poistaisivat ehdon yksipuolisesti asettaneen osapuolen vastuun tahallisista teoista tai törkeästä huolimattomuudesta tai rajoittaisivat sitä) ja ehdoista, joiden oletetaan olevan kohtuuttomia (esim. jotka rajoittaisivat epäasianmukaisesti oikeussuojakeinoja sopimusvelvoitteiden täyttämättä jättämisen tapauksessa tai vastuuta kyseisten velvoitteiden rikkomisen tapauksessa tai laajentaisivat sen yrityksen vastuuta, jolle ehto on yksipuolisesti asetettu). Jos ehtoa pidetään kohtuuttomana, se ei ole enää pätevä – jos mahdollista, se yksinkertaisesti irrotetaan sopimuksesta. Jos ehto oletetaan kohtuuttomaksi, ehdon määrännyt taho voi yrittää osoittaa, että ehto ei ole kohtuuton.
V luku: Yritysten ja viranomaisten välinen datan jakaminen
Miksi?
Yksityisten tahojen hallussa oleva data voi olla olennaisen tärkeää, jotta julkisen sektorin elin voi suorittaa yleisen edun mukaisen tehtävän. Datalain V luvun mukaan julkisen sektorin elimillä on pääsy tällaiseen dataan tietyin ehdoin, jos siihen on poikkeuksellinen tarve. Viimeksi mainitulla tarkoitetaan ennalta arvaamatonta ja ajallisesti rajoitettua tilannetta, jossa yksityisen tahon hallussa olevat tiedot ovat tarpeen yleisen edun mukaisen tehtävän suorittamiseksi, erityisesti näyttöön perustuvan päätöksenteon parantamiseksi. Poikkeuksellisia tarpeita ovat sekä yleiset hätätilanteet (kuten suuret luonnonkatastrofit tai ihmisen aiheuttamat katastrofit, pandemiat ja kyberturvallisuuspoikkeamat) että muut kuin hätätilanteet (esimerkiksi kuljettajan GPS-järjestelmien yhdistettyjä ja anonymisoituja tietoja voitaisiin käyttää liikennevirtojen optimointiin).
Datasäädöksellä varmistetaan, että viranomaisilla on pääsy tällaisiin tietoihin oikea-aikaisesti ja luotettavasti aiheuttamatta yrityksille tarpeetonta hallinnollista rasitetta.
Soveltamisalaan kuuluvat tietotyypit
V luvun mukaan kaikki tiedot kuuluvat soveltamisalaan keskittyen muihin kuin henkilötietoihin.
Datalain V luvussa yritysten ja viranomaisten välisestä datan jakamisesta tehdään ero kahden skenaarion välillä:
-
Yleiseen hätätilaan reagoimiseksi julkisen sektorin elimen olisi pyydettävä muita kuin henkilötietoja. Jos tämä ei kuitenkaan riitä tilanteeseen vastaamiseksi, henkilötietoja voidaan pyytää. Datan haltijan olisi mahdollisuuksien mukaan anonymisoitava nämä tiedot.
-
Muissa kuin hätätilanteissa julkisen sektorin elimet voivat pyytää ainoastaan muita kuin henkilötietoja.
Keskeiset sidosryhmät
Yksiköitä, joilla on oikeus pyytää tietoja, ovat jäsenvaltioiden julkisen sektorin elimet sekä tietyt EU:n toimielimet, elimet ja virastot. Nämä yhteisöt voivat myös jakaa tietoja tutkimusta tekevien ja rahoittavien organisaatioiden kanssa tietyin edellytyksin.
Yritysten ja viranomaisten välisissä pyynnöissä datan haltijat ovat tyypillisesti yksityisiä yhteisöjä, mutta niihin voi kuulua myös julkisia yrityksiä.
Käytännössä
Julkisen sektorin elin voi tietyin edellytyksin velvoittaa datan haltijan asettamaan tietyn datan saataville ilman aiheetonta viivytystä yleiseen hätätilaan reagoimiseksi. Datalaissa määritellään yleinen hätätila; mutta sen olemassaolo määräytyy kansallisten tai EU:n menettelyjen tai lakien mukaisesti.
Poikkeuksellisissa tarpeissa, jotka eivät liity yleiseen hätätilaan, julkisen sektorin elin voi pyytää muita kuin henkilötietoja tietyn yleisen edun mukaisen ja laissa säädetyn tehtävän suorittamiseksi, jos julkisen sektorin elin voi osoittaa, ettei se ole voinut saada dataa muilla keinoin.
Molemmissa tapauksissa (hätätapauksissa ja muissa tapauksissa) pyynnöissä on noudatettava tiettyjä tiukkoja periaatteita ja ehtoja. Pyyntöjen on esimerkiksi oltava täsmällisiä, avoimia ja oikeasuhteisia, liikesalaisuuksia on suojattava ja tiedot on poistettava, kun niitä ei enää tarvita.
Seuraavassa taulukossa esitetään yhteenveto siitä, mitä yritykset voivat pyytää toimittamaan tietoja julkisen sektorin elimelle tässä yhteydessä.
Korvaus datalain V luvun mukaisesta datan saataville asettamisesta
| Muut yritykset kuin mikro- ja pienyritykset voivat pyytää: | Mikro- ja pienyritykset voivat pyytää: | |
| Yleinen hätätila | Yritykset voivat pyytää, että vastaanottava julkisen sektorin elin tunnustaa ja tunnustaa julkisesti niiden toimittamat tiedot. | Kohtuullinen korvaus, joka ei ylitä aiheutuneita teknisiä ja organisatorisia kustannuksia + julkinen vahvistus pyynnöstä |
| Muu kuin hätätilanne | Kohtuullinen korvaus, joka ei ylitä aiheutuneita teknisiä ja organisatorisia kustannuksia (virallisten tilastojen tuottamista lukuun ottamatta) | Ei sovelleta (vapautettu tietojen toimittamisvelvollisuudesta) |
Yrityksille aiheutuvan rasitteen minimoimiseksi useampi kuin yksi julkisen sektorin elin voi pyytää samoja tietoja vain kerran (”yhden kerran periaate”). Tästä syystä datakoordinaattorin on asetettava kaikki pyynnöt julkisesti saataville (ellei kyseessä ole turvallisuusongelma).
VI luku: Tietojenkäsittelypalvelujen vaihtaminen
Miksi?
Kilpailuun perustuvien markkinoiden varmistamiseksi EU:ssa datankäsittelypalvelujen (mukaan lukien pilvipalvelut ja reunapalvelut) asiakkaiden olisi voitava siirtyä saumattomasti palveluntarjoajalta toiselle. Asiakkailla on kuitenkin tällä hetkellä useita esteitä, kuten korkeat maksut, jotka liittyvät esimerkiksi tietojen poistamiseen, pitkällisiin menettelyihin ja palveluntarjoajien välisen yhteentoimivuuden puutteeseen, joka voi johtaa tietojen ja sovellusten menettämiseen.
Datasäädös tekee vaihtamisesta ilmaista, nopeaa ja sujuvaa. Tämä hyödyttää asiakkaita, jotka voivat vapaasti valita tarpeitaan parhaiten vastaavat palvelut, sekä palveluntarjoajia, jotka hyötyvät suuremmasta asiakasjoukosta.
Soveltamisala
Datalain VI lukua sovelletaan datankäsittelypalvelujen tarjoajiin (eli digitaalisiin palveluihin, jotka mahdollistavat kaikkialla saatavilla olevan ja tilattavan verkkoon pääsyn, kuten verkkoihin, palvelimiin tai muuhun virtuaaliseen tai fyysiseen infrastruktuuriin ja ohjelmistoihin). Vaihtamisen kannalta keskeinen data koostuu syöttö- ja lähtötiedoista, metatiedot mukaan lukien, jotka on tuotettu asiakkaan käyttäessä palvelua, lukuun ottamatta tietoja, jotka on suojattu teollis- ja tekijänoikeuksilla tai jotka muodostavat palveluntarjoajan liikesalaisuuden.
Käytännössä
Jotta voidaan poistaa palveluntarjoajien ja asiakkaiden välinen vallan epätasapaino pilvipalvelumarkkinoilla, datasäädöksessä asetetaan vähimmäisvaatimukset pilvipalvelusopimusten sisällölle. Erityisesti yksityisen ja julkisen sektorin asiakkaat hyötyvät paljon suuremmasta sopimusten avoimuudesta.
Datalaki sisältää toimenpiteitä, joilla varmistetaan, että asiakkaat voivat vaihtaa datankäsittelypalvelujen tarjoajasta, jäljempänä ’lähdepalvelujen tarjoaja’, toiseen, jäljempänä ’kohdepalvelujen tarjoaja’, nopeasti ja sujuvasti menettämättä dataa tai sovellusten toimintoja. Esimerkiksi Platform and Software as a Service -palveluntarjoajien on asetettava avoimet rajapinnat saataville ja vähintään vietävä tietoja yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Infrastruktuuri palveluna -palvelun tarjoajien on toteutettava toimenpiteitä helpottaakseen sitä, että kun asiakas siirtyy samantyyppiseen palveluun, asiakas saa olennaisesti vertailukelpoisia tuloksia vastauksena samoihin tietoihin, jotka koskevat ominaisuuksia, joita molemmilla palveluilla on yhteinen (”toiminnallista vastaavuutta”). Esimerkkinä tällaisesta toimenpiteestä lähdetoimittaja voi joutua käyttämään työkaluja tietojenkäsittelyn työmäärän siirtämiseksi yhdestä virtualisointitekniikasta toiseen.
Kaikkien palveluntarjoajien on poistettava esteet, joita niiden asiakkaat saattavat kohdata halutessaan vaihtaa palveluntarjoajaa tai käyttää useita palveluja samanaikaisesti.
Datasäädöksellä myös poistetaan kokonaan vaihtomaksut, mukaan lukien datan poistamisesta perittävät maksut (eli datan siirtämisestä perittävät maksut), 12. tammikuuta 2027 alkaen. Tämä tarkoittaa, että palveluntarjoajat eivät voi veloittaa asiakkailtaan maksuja toiminnoista, jotka ovat tarpeen vaihtamisen helpottamiseksi tai tietojen poistamiseksi. Siirtymätoimenpiteenä datasäädöksen voimaantuloa seuraavien kolmen ensimmäisen vuoden aikana (11. tammikuuta 2024 – 12. tammikuuta 2027) palveluntarjoajat voivat kuitenkin edelleen veloittaa asiakkailtaan vaihtamisesta ja datan poistamisesta aiheutuvat kustannukset.
VII luku: Laiton pääsy kolmansien maiden hallituksille
Miksi?
Joskus EU:n ulkopuolisen maan, jäljempänä ’kolmas maa’, antamalla päätöksellä tai tuomiolla pyritään sallimaan valtion pääsy EU:ssa käsiteltyihin ja tallennettuihin muihin kuin henkilötietoihin ja niiden siirto. Tietyissä tapauksissa tällaisiin tietoihin pääsyn tai niiden siirtämisen myöntäminen voi kuitenkin olla lainvastaista, erityisesti jos pyyntö on ristiriidassa yksilöiden perusoikeuksien, kansallisten turvallisuusetujen tai kaupallisesti arkaluonteisten tietojen suojaamista koskevan EU:n lainsäädännön ja takeiden kanssa.
Datasäädös noudattaa datahallintosäädöstä niiden säännösten osalta, joiden tarkoituksena on estää kolmansien maiden viranomaisten laiton pääsy EU:ssa oleviin muihin kuin henkilötietoihin ja niiden siirtäminen. Tällaisilla säännöksillä ei ole vaikutusta yritysten väliseen säännölliseen datan jakamiseen. Ne lisäävät avoimuutta ja oikeusvarmuutta sen prosessin ja niiden edellytysten osalta, joiden mukaisesti EU:n ulkopuoliset valtion elimet voivat saada muita kuin henkilötietoja tai siirtää niitä niille.
Soveltamisalaan kuuluvat tietotyypit
Kaikki datankäsittelypalvelun tarjoajan EU:ssa säilyttämät muut kuin henkilötiedot.
Käytännössä
Datasäädöksessä ei kielletä rajat ylittäviä tiedonsiirtoja, mutta sillä varmistetaan, että EU:ssa datalle annettu suoja kulkee kaikkien EU:n ulkopuolelle siirrettyjen tietojen mukana.
Datasäädöksessä vahvistetaan tässä yhteydessä säännöt ja suojatoimet, jotka koskevat ulkomaisen julkisen sektorin elimen pyyntöjä saada tutustua unionissa oleviin muihin kuin henkilötietoihin. Nämä säännökset eivät vaikuta lainvalvonnan alalla tehtävään lailliseen kansainväliseen yhteistyöhön.
Jos ei ole olemassa kansainvälistä sopimusta, jolla säänneltäisiin kolmannen maan hallituksen pääsyä EU:ssa sijaitseviin muihin kuin henkilötietoihin, tietoja voidaan siirtää tai niihin voidaan päästä vain tietyin edellytyksin. Nämä edellytykset liittyvät tiettyihin takeisiin, joilla turvataan eurooppalaiset oikeudet, jotka kolmannen maan oikeusjärjestelmän on täytettävä, mukaan lukien vaatimus perustelujen esittämisestä ja oikeasuhteisuuden arvioinnista päätöksessä. Tällaisen päätöksen kohteena oleva datankäsittelypalvelujen tarjoaja voi ottaa yhteyttä asianomaiseen kansalliseen elimeen auttaakseen arvioimaan, täyttyvätkö datasäädöksessä säädetyt edellytykset. Auttaakseen arvioimaan, täyttyvätkö nämä edellytykset, Euroopan komissio laatii suuntaviivat yhdessä Euroopan datainnovaatiolautakunnan kanssa (datahallintosäädöksellä perustettu asiantuntijaryhmä, joka helpottaa parhaiden käytäntöjen jakamista ja asettaa etusijalle monialaiset yhteentoimivuusstandardit).
Datankäsittelypalvelujen tarjoajien olisi toteutettava kaikki kohtuulliset toimenpiteet (esim. salaus, auditoinnit, sertifiointijärjestelmien noudattaminen) estääkseen pääsyn järjestelmiin, joihin ne tallentavat muita kuin henkilötietoja. Nämä toimenpiteet olisi julkaistava niiden verkkosivuilla. Lisäksi niiden olisi mahdollisuuksien mukaan tiedotettava asiakkailleen ennen kuin ne antavat pääsyn tietoihinsa.
VIII luku: Yhteentoimivuus
Miksi?
Standardit ja yhteentoimivuus ovat avainasemassa sen varmistamisessa, että eri lähteistä peräisin olevaa dataa voidaan käyttää yhteisissä eurooppalaisissa data-avaruuksissa ja niiden välillä tutkimuksen edistämiseksi ja uusien tuotteiden tai palvelujen kehittämiseksi. Tätä varten datasäädöksessä vahvistetaan joitakin olennaisia vaatimuksia, jotka data-avaruuksiin osallistujien on täytettävä ja joita Euroopan komissio voi täsmentää delegoiduilla säädöksillä.
Sillä pyritään myös varmistamaan datankäsittelypalvelujen yhteentoimivuus; Tämä on olennaisen tärkeää, jotta asiakkaat voivat hyötyä helpommasta vaihtamisesta.
Keskeiset sidosryhmät
Tämä luku on tarkoitettu data-avaruuksien osallistujille, jotka tarjoavat dataa tai datapohjaisia palveluja muille osallistujille ja jotka helpottavat datan jakamista data-avaruuksissa tai osallistuvat siihen.
Se koskee myös älysopimusten myyjiä sekä tietojenkäsittelypalvelujen tarjoajia.
Käytännössä
Data-avaruuteen osallistujien olisi noudatettava useita olennaisia vaatimuksia, jotta data voi virrata data-avaruuksien sisällä ja välillä. Esimerkiksi tietorakenteiden, tietomuotojen ja sanastojen kuvauksen, jos ne ovat saatavilla, olisi oltava julkisesti saatavilla. Lisäksi olisi varmistettava keinot, joilla varmistetaan datan yhteiskäyttöä koskevien sopimusten, kuten älysopimusten, yhteentoimivuus.
Datasäädöksellä valmistellaan myös datankäsittelypalvelujen yhteentoimivuuden lisäämistä yhdenmukaistettujen standardien ja avointen yhteentoimivuuseritelmien avulla.
Lisäksi siinä asetetaan vaatimuksia älysopimusten toimittajille datan yhteiskäyttöä koskevien sopimusten automaattista täytäntöönpanoa varten esimerkiksi sen varmistamiseksi, että ne noudattavat asianmukaisesti datan yhteiskäyttöä koskevan sopimuksen määräyksiä ja kestävät kolmansien osapuolten suorittaman manipuloinnin.
Komissio arvioi yhteentoimivuuden esteitä ja asettaa etusijalle standardointitarpeet, joiden perusteella se voi pyytää eurooppalaisia standardointiorganisaatioita laatimaan yhdenmukaistettuja standardeja, jotka täyttävät edellä mainitut vaatimukset.
Jos pyyntö ei johda yhdenmukaistettuun standardiin tai jos standardi ei riitä varmistamaan datasäädöksen noudattamista, komissio voi hyväksyä yhteisiä eritelmiä vararatkaisuna. Niitä olisi kehitettävä avoimella ja osallistavalla tavalla ottaen huomioon Euroopan datainnovaatiolautakunnalta saatu palaute.
IX luku: Täytäntöönpano ja yleiset säännökset
Jäsenvaltiot nimeävät yhden tai useamman (uuden tai olemassa olevan) toimivaltaisen viranomaisen varmistamaan datasäädöksen tehokkaan täytäntöönpanon. Jos toimivaltaisia viranomaisia on useita, jäsenvaltioiden on nimettävä yksi niistä ”tietokoordinaattoriksi”. Datakoordinaattori toimii keskitettynä asiointipisteenä kaikissa datasäädöksen täytäntöönpanoon liittyvissä kysymyksissä kansallisella tasolla, mikä helpottaa soveltamista sekä yrityksissä että viranomaisissa. Jos yritys esimerkiksi hakee hyvitystä datalain mukaisten oikeuksiensa rikkomisesta, datakoordinaattorin olisi (pyydettäessä) annettava kaikki tarvittavat tiedot, joiden avulla se voi tehdä valituksen asianomaiselle toimivaltaiselle viranomaiselle. Datakoordinaattori helpottaa yhteistyötä myös rajatylittävissä tilanteissa, kuten silloin, kun tietyn jäsenvaltion toimivaltainen viranomainen ei tiedä, mitä viranomaista sen olisi lähestyttävä datakoordinaattorin jäsenvaltiossa.
Komissio ylläpitää julkista rekisteriä toimivaltaisista viranomaisista ja datakoordinaattoreista.
Euroopan datainnovaatiolautakunta helpottaa toimivaltaisten viranomaisten välisiä keskusteluja esimerkiksi koordinoimalla ja antamalla suosituksia datasäädöksen rikkomisesta määrättävistä seuraamuksista. Toimivaltaiset viranomaiset määräävät seuraamukset, ja datalain mukaan seuraamusten olisi oltava tehokkaita, oikeasuhteisia ja varoittavia.
Jäsenvaltiot voivat halutessaan perustaa sertifioituja riitojenratkaisuelimiä auttamaan osapuolia, jotka eivät voi sopia tietojen saataville asettamista koskevista oikeudenmukaisista, kohtuullisista ja syrjimättömistä ehdoista. Osapuolet voivat ottaa yhteyttä mihin tahansa riitojenratkaisuelimeen joko siinä jäsenvaltiossa, johon ne ovat sijoittautuneet, tai toisessa jäsenvaltiossa.
Sertifioidut riitojenratkaisumekanismit ja erikoistuneet toimivaltaiset viranomaiset helpottavat yritysten, erityisesti pienyritysten, datasäädöksen mukaisten oikeuksien täytäntöönpanoa, koska ne tarjoavat osapuolille yksinkertaisen, nopean ja edullisen ratkaisun.
Datasäädöksen täytäntöönpanon tukeminen
Datalakia on sovellettu 12. syyskuuta 2025 alkaen. Auttaakseen yrityksiä navigoimaan näissä uusissa säännöissä komissio on julkaissut
- Usein kysyttyjä kysymyksiä datalaista
- Suositusluonnos tietojen saatavuutta ja käyttöä koskevista ei-sitovista mallisopimusehdoista ja pilvipalvelusopimuksia koskevista ei-sitovista mallisopimuslausekkeista
- Ajoneuvotietoja koskevat ohjeet, jotka ovat datasäädöksen liitteenä
Tulevaisuudessa komissio julkaisee ohjeistuksen yritysten välisestä pakollisesta datan jakamisesta maksettavasta kohtuullisesta korvauksesta datasäädöksen III luvun yhteydessä.
Jo julkaistun ohjemateriaalin pohjalta käynnistetty datasäädöksen oikeudellinen neuvontapalvelu tarjoaa sidosryhmille konkreettista ohjeistusta datasäädökseen liittyvistä oikeudellisista kysymyksistä.
Digitaalisessa koontisäädöksessä komissio ehdottaa erityisiä muutoksia datasäädökseen, jotta voidaan tarjota välitöntä helpotusta yrityksille, julkishallinnoille ja kansalaisille sekä edistää kilpailukykyä.
Komissio arvioi datasäädöksen vaikutuksia kolmen vuoden kuluessa sen soveltamisen alkamisesta. Tämän perusteella komissio voi tarvittaessa ehdottaa lain muuttamista.
Oikeudellinen huomautus
Tämän asiakirjan ei pitäisi katsoa edustavan Euroopan komission virallista kantaa.