Data Act – Datatalouden uusi aikakausi Euroopassa

Euroopan unionin Data Act, eli datasäädös, on yksi keskeisimmistä EU:n datastrategian keinoista, joiden tavoitteena on tehdä EU:sta edelläkävijä datavetoisessa yhteiskunnassa. Datasäädös astui voimaan tammikuussa 2024 ja valtaosaa sen säännöksistä alettiin soveltaa syyskuussa 2025.

Datasäädöksen tavoitteena on luoda yhtenäiset pelisäännöt datan saatavuudelle, käytölle ja jakamiselle EU:n alueella. Säädös koskee erityisesti verkkoon liitettyjen laitteiden (IoT-laitteet) ja niihin liittyvien palveluiden tuottamaa dataa, kuten esimerkiksi älylaitteiden, koneiden ja laitteistojen tuottamaa tietoa.

Miksi datasäädös on merkittävä?

Digitalisaation myötä data on noussut yhdeksi arvokkaimmista resursseista, ja sen merkitys kasvaa jatkuvasti lähes kaikilla yhteiskunnan osa-alueilla. Yritykset, julkinen sektori ja yksityishenkilöt tuottavat ja hyödyntävät dataa yhä enemmän, esimerkiksi teollisuuden koneiden, älylaitteiden, ajoneuvojen ja erilaisten palveluiden kautta. Datan avulla voidaan kehittää uusia tuotteita, tehostaa toimintaa, parantaa asiakaskokemusta ja luoda täysin uusia liiketoimintamalleja.

Datan hyödyntämistä on kuitenkin tähän asti rajoittanut se, että data on usein ollut vain laitteiden valmistajien tai palveluntarjoajien hallinnassa. Tämä on estänyt uusien innovaatioiden syntymistä ja rajoittanut kilpailua, koska muut toimijat eivät ole päässeet käsiksi dataan, jonka avulla he voisivat kehittää omia palveluitaan tai tarjota vaihtoehtoisia ratkaisuja. Datan keskittyminen harvoille suurille toimijoille on voinut myös johtaa markkinoiden vinoutumiseen ja hidastaa datatalouden kehitystä.

Datasäädös pyrkii poistamaan nämä esteet ja tekemään mahdolliseksi datan laajemman ja oikeudenmukaisemman hyödyntämisen. Säädöksen tavoitteena on edistää datan jakamista, lisätä luottamusta datatalouteen ja varmistaa, että datan arvo jakautuu tasapuolisemmin eri toimijoiden kesken.

Keskeiset periaatteet ja velvoitteet

Datan saatavuus ja jakaminen
Datasäädös velvoittaa, että tietyt laitteet ja niihin liittyvät palvelut on suunniteltava siten, että käyttäjät – niin yritykset kuin kuluttajatkin – pääsevät käsiksi laitteiden tuottamaan dataan. Käyttäjillä on oikeus saada laitteidensa tuottama data helposti ja maksutta käyttöönsä sekä jakaa sitä kolmansille osapuolille, esimerkiksi huolto- tai analytiikkapalveluiden tarjoajille. Näiden oikeuksien käyttöä helpottaakseen datan haltijoiden on annettava käyttäjälle tiedot siitä, minkä tyyppistä dataa käyttäjät tuottavat käyttäessään verkkoon liitettyä tuotetta tai siihen liittyvää palvelua.
Sopimusehdot ja reiluus
Säädös edellyttää tiettyjen sopimuslausekkeiden sisällyttämistä datankäsittelypalveluja koskeviin sopimuksiin. Lisäksi se asettaa vaatimuksia näiden sopimusehtojen tasapainolle. Verkkoon kytkettyjen tuotteiden ja niitä tukevien palvelujen tuottamaa dataa koskevien oikeuksien selkeyttäminen kannattaa varmistaa sopimusteitse — ei ainoastaan sääntelyn edellyttämänä velvoitteena, vaan myös sopimuspuolten yhteisenä etuna, joka lisää ennakoitavuutta ja tasapainottaa oikeudet ja velvoitteet. Etenkin datan luovutusta koskevat menettelyt, haltijan oikeus hyödyntää dataa omiin käyttötarkoituksiinsa sekä datasta mahdollisesti johdettavien liikesalaisuuksien suoja on syytä määritellä nimenomaisesti.

Komission asiantuntijaryhmä on laatinut mallisopimuslausekkeet (Model Contractual Terms, MCT sekä Standard Contractual Clauses, SCC), joiden tarkoituksena on helpottaa sopimusten laatimista niin (i) datan haltijan ja käyttäjän, (ii) käyttäjän ja datan vastaanottajan että (iii) datan haltijan ja vastaanottajan välisissä suhteissa. Ne ovat hyvä perusratkaisut, mutta niissä ei kuitenkaan huomioida esim. kansallista lainsäädäntöä eikä niissä ole voitu ottaa huomioon yksittäisten tilanteiden erityispiirteitä tai sidosryhmäkontekstia. Mallisopimusehtoja tulisi siten mukauttaa osapuolten tarpeisiin ja näkökohtiin sopiviksi ennen kuin ne otetaan sopimusten osaksi.

Datan jakaminen viranomaisille
Yritysten on luovutettava hallussaan olevaa dataa viranomaisten käyttöön yleisen hätätilan aikana tai muutoin ainoastaan muun kuin henkilötiedon osalta, kun laissa säädettyä yleistä etua koskevaa tehtävää ei voida muuten hoitaa. Mikro- ja pienyritykset on vapautettu muista kuin hätätilanteista johtuvien (15(1)(b)) pyyntöjen soveltamisesta. Datapyyntöjen on oltava kirjallisia, täsmällisiä ja oikeasuhtaisia sekä määriteltävä tarvittava data ja metadata, käyttötarkoitus, kesto, vastaanottajat, poistamisajankohta, tietosuojatoimet ja määräajat. Datan haltijan on lähtökohtaisesti asetettava data saataville viipymättä, mutta henkilötiedot tulee kuitenkin anonymisoida tai pseudonymisoida. Vastaanottajat vastaavat datan turvallisuudesta ja ne saavat käyttää sitä vain ilmoitettuun tarkoitukseen, minkä jälkeen data on poistettava. Hätätilanteissa data on annettava maksutta, muissa tilanteissa yrityksillä on oikeus datan luovuttamisesta johtuvaan kohtuulliseen korvaukseen.
Pilvipalveluiden vaihdettavuus
Datasäädöksen tarkoituksena on vähentää niin sanottua vendor lock-in -ilmiötä ja helpottaa pilvipalveluiden käyttäjien mahdollisuuksia siirtää dataansa palveluntarjoajalta toiselle. Datasäädös velvoittaa datankäsittelypalvelujen tarjoajia poistamaan asiakkaan vaihtamisen esteet (23 artikla) ja asettaa tälle teknisiä, informatiivisia ja sopimuksellisia vaatimuksia. Teknisiin velvoitteisiin kuuluvat mm. vaihdon teknisten esteiden purku ja korkean tietoturvan varmistaminen. Informatiiviset vaatimukset korostavat läpinäkyvyyttä vaihtomenettelyistä, riskeistä ja rajoituksista sekä edellyttävät verkkosivuilla tietoja infrastruktuurin lainkäyttöalueesta ja toimista, joilla estetään kolmansien maiden viranomaisten pääsy ETA:ssa olevaan muuhun kuin henkilötietoon. Sopimuksellisesti sopimuksiin on sisällytettävä Datasäädöksen VI luvun vaihtovaatimukset, mukaan lukien pakollinen irtisanomisehto myös määräaikaisissa sopimuksissa sekä vaihtomaksujen asteittainen poistaminen 12.1.2027 mennessä. Euroopan komission suosittelemat, ei-sitovat vakiosopimuslausekkeet tarjoavat hyödyllisen lähtökohdan ehtojen arviointiin ja vaihdon toteuttamiseen.

Vaikutukset yrityksille ja kuluttajille

Yrityksille datasäädös tuo sekä mahdollisuuksia että velvoitteita. Kun dataa on helpommin saatavilla, datan pohjalta tarjottavat palvelut voivat kasvaa merkittävästi. Toisaalta yritysten on huolehdittava siitä, että niiden tuotteet ja palvelut täyttävät säädöksen vaatimukset esimerkiksi datan saatavuuden, tietoturvan ja sopimusehtojen osalta. Yritysten on päivitettävä teknisiä järjestelmiään, jotta data on helposti käyttäjien saatavilla ja siirrettävissä turvallisesti kolmansille osapuolille. Yritysten on myös varmistettava, että niiden sopimukset ovat reiluja ja läpinäkyviä, erityisesti pk-yritysten ja kuluttajien näkökulmasta.

Kuluttajille datasäädös tarkoittaa parempaa läpinäkyvyyttä ja mahdollisuutta hyödyntää omien laitteidensa tuottamaa dataa sekä suurempaa valinnanvapautta. Esimerkiksi auton omistaja voi jatkossa helpommin jakaa ajoneuvonsa dataa valitsemalleen huoltoliikkeelle tai dataa voidaan hyödyntää energiankulutuksen seurannassa, terveyslaitteiden käytössä tai kodin älylaitteiden hallinnassa.

Tietosuoja ja -turvallisuus

Datasäädös ei muuta EU:n tietosuoja-asetuksen (GDPR) vaatimuksia, vaan täydentää niitä. Henkilötietojen käsittelyssä on edelleen noudatettava GDPR:n periaatteita, kuten lainmukaisuutta, läpinäkyvyyttä ja tietojen minimointia. Datasäädöksen ja GDPR:n säännöksiä sovelletaan yhdessä, mikäli käsillä oleva data sisältää henkilötietoja. Esimerkiksi IoT-laitteiden keräämää, henkilötietoja sisältävää dataa luovutettaessa kolmannelle osapuolelle tulee varmistua siitä, että datan vastaanottajalla on laillinen peruste käsitellä henkilötietoja, koska datasäädökseen perustuva oikeus vastaanottaa dataa ei ole GDPR:n mukainen laillinen käsittelyperuste.

Lisäksi datasäädös korostaa tietoturvan merkitystä: datan jakamisen on tapahduttava turvallisesti, ja osapuolten on varmistettava, ettei data joudu vääriin käsiin. Yritysten on arvioitava riskit ja toteutettava asianmukaiset suojatoimet, jotta sekä henkilötiedot että yritysten liikesalaisuudet pysyvät turvassa.

Erityistä huomiota kiinnitetään myös siihen, että datan jakaminen ei johda väärinkäytöksiin, kuten kilpailijoiden liikesalaisuuksien paljastumiseen tai kuluttajien yksityisyyden loukkaamiseen. Datasäädös sisältää säännöksiä, jotka rajoittavat datan käyttöä tietyissä tilanteissa ja asettavat selkeät rajat sille, kuka voi käyttää dataa ja mihin tarkoitukseen. Lisäksi viranomaisilla on oikeus valvoa säädöksen noudattamista ja puuttua mahdollisiin väärinkäytöksiin.

Haasteet ja tulevaisuuden näkymät

Datasäädöksen toimeenpano edellyttää yrityksiltä teknisiä ja organisatorisia muutoksia, investointeja yhteensopiviin ja turvallisiin jakamisratkaisuihin sekä prosessien ja sopimusten päivittämistä säädöksen mukaisiksi. Keskeisiä haasteita ovat standardien yhdenmukaistaminen, yhteentoimivuus ja tietoturva sekä kansainväliset datavirrat, vaikka säädös vahvistaakin eurooppalaista datainfrastruktuuria eikä velvoita jakamaan dataa EU:n ulkopuolisille kolmansille. Onnistunut toimeenpano vaatii myös viranomaisten selkeää valvontaa ja ohjeistusta, jotta toimijoiden velvoitteet ja oikeudet ymmärretään yhdenmukaisesti. Säädös luo perustan reilummalle ja kilpailukykyisemmälle eurooppalaiselle datataloudelle, lisää käyttäjien vaikutusvaltaa ja tukee innovaatioita sekä reilua kilpailua.

PwC:n asiantuntijat auttavat yrityksiä datasäädöksen oikeudellisessa toimeenpanossa: vaatimustenmukaisuuden arvioinneissa ja tiekartoissa, hallintamallien ja prosessien juridisessa suunnittelussa sekä sopimusehtojen (MCT/SCC) räätälöinnissä, laadinnassa ja neuvotteluissa. Avustamme lisäksi pilvipalveluiden vaihdettavuuden juridisessa toteutuksessa sekä GDPR:n yhteensovittamisessa, liikesalaisuuksien suojassa ja kolmansien maiden viranomaistoimivallan riskien hallinnassa.