EU:n uusi datasäädös luo pelisäännöt datan jakamiselle ja saatavuudelle
Yhteyshenkilö
Euroopan parlamentin ja neuvoston asetus (2023/2854) datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä (”datasäädös”) on tullut voimaan 11.1.2024 mullistaen datan saatavuuden ja tuoden yrityksille uusia velvollisuuksia datan jakamiseen. Asetus on suoraan sovellettavaa oikeutta unionin jäsenvaltioissa, ja sen soveltaminen alkaa 12.9.2025. Datasäädös on osa Euroopan datastrategiaa (2020), jonka tavoitteena on tehdä EU:sta edelläkävijä datavetoisessa yhteiskunnassa.
Datasäädös yhdenmukaistaa säännöt IoT-laitteiden tuottaman datan käytöstä. IoT-laitteita ovat internetiin yhdistyvät laitteet, kuten älypuhelimet ja -kellot, älykkäät jääkaapit, lukot, palovaroittimet ja autot. Datan määritelmä on asetuksessa laaja: datalla tarkoitetaan mm. kaikkea tietojen digitaalista esittämistä tai tietojen koosteita, myös ääni- tai kuvatallenteena tai audiovisuaalisena tallenteena. Datasäädöksen tarkoittama data voi sisältää myös henkilötietoja, mikä edellyttää EU:n yleisen tietosuoja-asetuksen (GDPR, 2016/679) säännösten huomioimista datan jakamisessa. GDPR:n ja muun sovellettavan henkilötietojen ja yksityisyyden suojaa koskevan lainsäädännön vaatimukset ovat ensisijaisia datasäädökseen nähden, joten datan haltijoiden täytyy ratkaista, miten ne voivat samanaikaisesti täyttää datasäädöksen sekä henkilötietojen suojaa koskevan lainsäädännön vaatimukset.
Datasäädöksen keskeinen tarkoitus on antaa IoT- laitteiden tai niihin liittyvän palvelun käyttäjälle mahdollisuus saada laitteen käytön tuloksena syntyvä data itselleen ja jakaa data eteenpäin haluamalleen palveluntarjoajalle lisäarvoa tuottavaa palvelua, kuten korjausta varten. Esimerkiksi X-merkkisen älykellon käyttäjä voi pyytää, että korjauspalvelun tarjoaja Y saa datan käyttöönsä, jotta korjauspalvelun tarjoaja Y voi korjata älykellon. Datasäädöksen tuomat muutokset ovat olennaisia esimerkiksi autojen, koneiden ja laitteiden valmistajille. Säädös koskee sekä julkista että yksityistä sektoria.
Asetuksessa otetaan lähtökohdaksi kanta, jonka mukaan laitteen käyttäjällä tulee olla määräysvalta hänen laitteellaan luotuun dataan ennen kuin dataa voidaan jatkojalostaa. Laitteen valmistajan tulee varmistaa, että laitteen tuottama data voidaan helposti antaa käyttäjän saataville. Valmistaja ei saa itse kerätä tai käyttää dataa ilman sopimusta käyttäjän kanssa. Käyttäjä voi velvoittaa valmistajan jakamaan dataa kolmansien osapuolten kanssa. Datasäädös antaa kuitenkin valmistajalle mahdollisuuden olla luovuttamatta dataa, joka sisältää liikesalaisuuksia. Mahdollisia haasteita käytännön tilanteisiin saattaa aiheuttaa salassa pidettävien tietojen pitäminen erillään jaettavasta muusta datasta ja sen osoittaminen, että kaikki liikesalaisuuden kriteerit täyttyvät jaettavaksi pyydettävän datan osalta.
Nämä datasäädöksen tuomat muutokset edellyttävät yritysten reagoimista uuteen sääntelyyn ja erilaisten datanjakosopimusten kehittämistä. Yritysten tulee varmistaa, että heillä on selkeät sisäiset prosessit ja sopimukset datan keräämiseen sekä jakamiseen datasäännöksen tuomat vaatimukset ja soveltuva tietosuojalainsäädäntö huomioiden. EU:n tarkoituksena on ennen datasäädöksen soveltamisen alkamista julkaista malliehdot datasäädöksen implementoinnista sopimusehtoihin, mutta moni tapauskohtainen kysymys jää yritysten itsensä arvioitavaksi.