EU:n uutta data-asetustai sovelletaan 12.9.2024 alkaen. Asetus koskee verkkoon liitettyjen laitteiden tuottamaa dataa, ja sitä onkin luonnehdittu muun muassa esineiden internetin omadatalaiksi.ii Asetuksen piiriin kuuluu laaja kirjo laitteita teollisuuskoneista alkaen. Mitä data-asetus käytännössä tarkoittaa ja ketä se koskee?
Data-asetus koskee verkkoon liitettyjä laitteita, niiden tuottamaa dataa ja niihin liittyviä palveluita. Kyseessä on siis tilanne, jossa jokin laite saa, tuottaa tai kerää käytöstään ja ympäristöstään dataa ja tämä data on luettavissa jostain laitteen ulkopuolelta, esimerkiksi laitteesta itsestään, fyysisen yhteyden kautta tai sähköisesti. Data-asetus ei kuitenkaan koske laitteita, joiden pääasiallinen toiminto on datan tallennus, käsittely tai siirto jonkun muun kuin käyttäjän puolesta, eli esimerkiksi palvelimia. Lisäksi data-asetus koskee asetuksen mukaisiin laitteisiin ja dataan liittyviä palveluita.
Asetuksen keskeinen sisältö on, että datan haltijan on asetettava tietyn laitteen tuottama data ja sen tulkinnassa ja käytössä tarvittava metadata kyseisen laitteen käyttäjän saataville ilmaiseksi. Velvollisuus koskee siis juuri kyseisen tuotteen tuottamaa dataa, ei muiden käyttäjien vastaavien laitteiden tuottamaa dataa. Datan haltija on yleensä muttei aina laitteen valmistaja. Käyttäjällä taas tarkoitetaan ihmistä tai muuta toimijaa, joka omistaa verkkoon liitetyn laitteen tai jolle laitteen käyttöoikeus on sopimuksella siirretty tai joka vastaanottaa tuotteeseen liittyviä palveluja.
Jos ei ole mahdollista pitää dataa käyttäjän satavilla, datan haltijan on annettava data käyttäjälle käyttäjän pyynnöstä. Käyttäjän pyynnöstä data on jaettava myös EU:ssa toimivan kolmannen osapuolen kanssa. Datan haltija saa periä kolmannelta osapuolelta korvausta datan jakamisesta ja tehdä voittoakin, mutta korvausten on oltava syrjimättömiä ja kohtuullisia. Kuitenkin jos kolmas osapuoli on PK-yritys tai voittoa tavoittelematon tutkimusorganisaatio, korvaus ei saa ylittää aiheutuneita kustannuksia. Digimarkkina-asetukseniii mukaisten portinvartijoiden kanssa dataa ei kuitenkaan saa jakaa käyttäjän pyynnöstäkään, mutta kolmannet osapuolet, joille data on jaettu, saavat käyttää portinvartijoiden tarjoamia datankäsittelypalveluita. Toisaalta datan haltijat eivät saa antaa dataa kolmansien osapuolten saataville muutoin kuin laitteen käyttäjän ja datan haltijan välisen sopimuksen täyttämiseksi.
”Verkkoon liitetyt tuotteet on suunniteltava ja valmistettava ja niihin liittyvät palvelut on suunniteltava ja tarjottava siten, että tuotteen data ja siihen liittyvän palvelun data, myös asiaankuuluva metadata, joka on tarpeen kyseisen datan tulkitsemiseksi ja käyttämiseksi, on oletusarvoisesti ja – tapauksen mukaan ja silloin, kun se on teknisesti mahdollista – suoraan käyttäjän saatavilla helposti, turvallisesti ja maksutta kattavassa, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.”iv
Poikkeukset velvollisuuteen luovuttaa data
Velvollisuus pitää data käyttäjän saatavilla tai antaa data käyttäjälle ei kuitenkaan ole täysin ehdoton. PK-yritykset on tietyin edellytyksin vapautettu tästä velvoitteesta sekä osasta muitakin asetuksen mukaisia velvoitteita. Tietyissä tilanteissa on lisäksi mahdollista kieltäytyä jakamasta dataa liikesalaisuuksien suojaamiseksi tai jos jakaminen vaarantaisi tuoteturvallisuuden. Datan haltijoiden ensisijainen toimintamalli on kuitenkin liikesalaisuuksien ja tuoteturvallisuuden turvaaminen muilla asetuksen mukaisilla tavoilla. Samaten luovutetun datan käyttöä on rajoitettu; sitä ei saa esimerkiksi käyttää kilpailevan tuotteen kehittämiseen.
Muut data-asetuksen mukaiset velvollisuudet
Data-asetus asettaa myös velvoitteita asetuksen mukaisia tuotteita ja palveluita koskeville yritysten välisille sopimuksille ja tiedoille, jotka on annettava käyttäjälle ennen sopimuksen tekoa. Kohtuuttomat yksipuoliset dataa koskevat sopimusehdot eivät sido sitä osapuolta, joka ei laatinut kyseistä ehtoa. Lisäksi käyttäjälle on annettava tiettyjä tietoja, muun muassa datan tuottamisesta ja saatavilla olosta, ennen tuotteen tai palvelun hankinnasta tehtävän sopimuksen tekemistä.
Datan haltijalla on tietyissä tilanteissa velvollisuus antaa data julkisen sektorin toimijoille. Jos se on tarpeen heidän yleisen edun mukaisten lakisääteisten tehtäviensä hoitamiseksi, julkisen sektorin toimijat voivat poikkeuksellisen tarpeen vuoksi saada oikeuden dataan. Datan haltijan on silloin pääsääntöisesti annettava data ilman aiheetonta viivytystä.
Asetuksessa on myös datan, datan jakamismekanismien ja datapalvelujen sekä yhteisten eurooppalaisten data-avaruuksien yhteentoimivuutta koskevia vaatimuksia. Lisäksi datankäsittelypalveluiden tuottajien on tehtävä datankäsittelypalvelun vaihtaminen helpoksi poistamalla vaihtamisen esteitä.
Data-asetuksen voimaantulo ja sanktiot sen rikkomisesta
Data-asetuksen mukaisten velvoitteiden rikkomisesta on säädetty ankara sanktio. Velvoitteiden rikkomisesta seuraamuksena on hallinnollista sakkoa enintään 20 000 000 euroa tai 4 % edeltävän tilikauden vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi.
Asetusta sovelletaan 12.9.2025 alkaen. Velvoitetta suunnitella, valmistaa ja tarjota tuotteet ja palvelut siten, että data on käyttäjän saatavilla, sovelletaan tuotteisiin ja palveluihin, jotka on saatettu markkinoille 12.9.2026 jälkeen. Datan saatavuutta ja käyttöä yritysten välillä koskevia kohtuuttomia sopimusehtoja koskevia data-asetuksen määräyksiä sovelletaan 12.9.2027 alkaen sopimuksiin, jotka on tehty 12.9.2025 tai sen jälkeen ja lisäksi sellaisiin ennen 12.9.2025 tehtyihin sopimuksiin, jotka ovat toistaiseksi voimassa tai joiden voimassaolon on määrä päättyä 10 vuotta tai enemmän 11.1.2024 jälkeen.
Lopuksi
Data-asetus asettaa uusia, merkittäviä velvoitteita. Laitevalmistajien tulee ottaa huomioon datan jakaminen ja hallinta kaikissa tuotteen elinkaaren vaiheissa. Täytyy pohtia huolellisesti mitä dataa ja miten tuotteista kerätään. Täytyy myös suunnitella, miten dataa jaetaan sekä miten tämä kaikki tehdään turvallisesti. Syntyy siis tarve tarkastella tuotteisiin liittyvää data-arkkitehtuuria ja myös tietoturvakysymykset nousevat keskeisiksi. Vaikka data-asetus tuo uusia vaatimuksia valmistajille, on ennakoitavissa, että asiaan ripeästi tarttuvat valmistajat voivat luoda tästä kilpailuetua ja laadullisen ominaisuuden tuotteilleen. Data-asetus avaa myös uusia mahdollisuuksia datan hyödyntämiseen. Jos kaipaat apua, autamme mielellämme.
4 Lainaus data-asetuksen 3 artiklan 1-kohdasta.