10.04.2024 10:40
Hyväksytyssä datasäädöksessä tärkeitä täsmennyksiä laitevalmistajille, mutta tulkinnanvaraa jää
Tietoverkkoihin yhdistettyjä laitteita ja palveluita tuottavien yritysten kesken pelkoa herättänyt datasäädös (Data Act) on hyväksytty vuoden 2023 loppupuolella ja se astui voimaan tammikuun 11. päivänä. Säädöstä aletaan soveltamaan siirtymäkauden jälkeen porrastetusti, pääosin syyskuussa 2025. Datanjakovelvoite kohdistuu ensisijaisesti laitteiden valmistajiin, palveluiden tarjoajiin sekä laitteiden käyttäjiin.
Siirtymäkaudella pyritään huomioimaan säädöksen vaikutukset yritysten toimintaan antaen samalla yrityksille mahdollisuuden reagoida sääntelyn myötä tuleviin muutoksiin. Datanjakovelvoite kohdistuu ensisijaisesti laitteiden valmistajiin, palveluiden tarjoajiin sekä laitteiden käyttäjiin. Euroopan unionin neuvosto teki kompromisseja säädösversioon, joka lopulta muuttui suhteellisen paljon säädösprosessin aikana.
Vuosi sitten kirjoittamassani artikkelissa arvioin mahdollista kauhuskenaariota siitä, että IOT-laitteita valmistavat yritykset joutuisivat jakamaan laitteen tuottamaa dataa ilmaiseksi laitteiden käyttäjille ja siten edelleen kilpailijoiden hyödynnettäväksi. Velvoite asettaa data kolmansien osapuolien saataville ei ole poistunut, mutta soveltamisala on hieman täsmentynyt.
Toisin kuin vuoden takainen datasäädöksen versio, hyväksytty datasäädös sisältää useita eri kategorioita datalle. Datan eri muotoja ovat ”data”, ”metadata”, ”henkilötiedot”, ”muu data kuin henkilötieto”, ”tuotteen data” sekä ”tuotteeseen liittyvän palvelun data”. Sen lisäksi datan muotoa koskevia määritelmiä ovat helposti saatavilla oleva data sekä siirrettävissä oleva data. Kaikkea dataa ei kuitenkaan tarvitse jakaa, vaan jakamisvelvollisuuden piirissä ovat lähinnä tuotteen tai palvelun käytön tuloksena syntynyt data, niiden haettavaksi suunniteltu raakadata sekä sitä selittävä data tiettyyn rajaan asti. Käytännössä rajanveto on osoittautumassa tulkinnanvaraiseksi.
Lainsäätäjä on pyrkinyt rajaamaan kolmannen osapuolen oikeuksia käyttää dataa rajoittamalla käyttötarkoitusta. Kolmas osapuoli ei saa käyttää saamaansa dataa kilpailevan tuotteen kehittämiseen tai jakaa dataa muiden kolmansien osapuolien kanssa tätä tarkoitusta varten. (Datasäädös 6(2) (e) artikla). Yritysten tuleekin arvioida, mikä on kilpailevan verkkoon liitetyn tuotteen kehittämistä ja toisaalta huolehtia siitä, etteivät he omassa toiminnassaan käytä saatua dataa datasäädöksen vastaisesti. Tosiasiallisesti rajoitusten valvominen tulee olemaan varsinkin pienemmille yrityksille erittäin vaikeaa.
Velvoitteiden tunnistamisen näkökulmasta kysymys on datasäädöksen mukaisten roolien tunnistamisesta; kuten tietosuoja-asetuksessa, myös datasäädöksessä lähtökohtana on organisaation rooli suhteessa dataan. Yritys voi olla datasäädöksen näkökulmasta eri roolissa eri tilanteista riippuen, sillä roolit määräytyvät tapauskohtaisesti eikä niistä voida sopia. Yritysten on siten tunnistettava oma rooli eri tilanteissa voidakseen reagoida asetettuihin velvollisuuksiin.
Dataa, joka sisältää liikesalaisuuksia taikka on pääteltyä tai johdettua, ei tarvitse jakaa eteenpäin. Yrityksillä on kuitenkin näyttövelvollisuus siitä, jos jokin tieto on liikesalaisuuden alaista taikka johdettua tai pääteltyä. Kieltäytymispäätös jakaa liikesalaisuuksia sisältävää dataa on perusteltava tarvittaessa toimivaltaiselle viranomaiselle. Vaikka ensisilmäyksellä yritysten näkökulmasta datan jakamista koskevan velvoitteen rajaaminen on lisännyt yritysten mahdollisuuksia rajata jaettavaa dataa, se asettaa kuitenkin samalla velvollisuuden yrityksille olla valmiina perustelemaan toimintaansa. Yritysten on oltava tietoisia siitä, mitä dataa yritys kerää, eikä jakamisvelvoitetta voida kiertää työstämällä tai yhdistelemällä dataa liikesalaisuuksiin. Todennäköisempi keino jakamisvelvoitteen piirissä oleville toimijoille rajoittaa datan jakamista onkin kehittää toimintamalleja siihen suuntaan, että data jatkojalostetaan asetuksen tarkoittamalla tavalla siten, ettei jatkojalostettuun dataan kohdistu jakamisvelvoitetta.
Datasäädöksen myötä myös tarve sopimusten tarkastelulle kasvaa, sillä datasäädös sisältää sopimusten solmimista sekä sopimusten sisältöä koskevia velvoitteita. Tällä hetkellä EU:ssa kehitteillä on mallisopimusehdot, joilla pyritään auttamaan yrityksiä sopimaan datasta. Mallisopimusehtoja ei kuitenkaan ole vielä julkaistu, mikä vaikeuttaa yritysten reagoimismahdollisuuksia sopimusten osalta, sillä säädöksen soveltaminen alkaa lähestyä.
Tietosuoja-asetuksesta tuttu velvollisuus tehdä erilaisia arvioita, sisäisiä muistioita, tiedonantoa koskevia dokumentteja ja laatia sopimuksia tulee olemaan olennainen osa myös datasäädöksen soveltamista. Datasäädös pakottaa soveltamisalaan kuuluvat yritykset informoimaan julkisesti päätelmistään datanjakovelvollisuuteen liittyen.
Juuso Tuppurainen
asianajaja, osakas
Asianajotoimisto Pro Juridica Oy
Kysymyksiä yritystoimintaan liityvistä asioista? Ota yhteyttä maksuttomaan jäsenten neuvontapalveluun!