Jos valmistatte verkkoon liitettyjä tuotteita, jotka keräävät käyttöön liittyvää dataa, tai tarjoatte datankäsittelypalveluja, monet 12. syyskuuta 2025 jälkeen voimaan tulevat datasäädöksen velvoitteet voivat koskea toimintaanne. Nyt on hyvä hetki tarkistaa, koskevatko nämä velvoitteet teitä, ja ottaa ne huomioon sopimusehdoissanne ja käytännöissänne. Mikro- ja pienyrityksille on myös poikkeuksia, jotka voidaan arvioida tapauskohtaisesti.

Verkkoon liitetyn tuotteen data käyttäjille

Syyskuun 12. päivän jälkeen datan haltijoiden (kuten verkkoon liitettyjä tuotteita valmistavien yritysten, esim. verkkoon liitettyjen ajoneuvojen, lääkinnällisten laitteiden tai kuntosalilaitteiden valmistajat) on annettava käyttäjille pääsy tuotteen käytön tuloksena tuotettuun dataan, joka on haettavissa verkkoon liitetystä tuotteesta. Esimerkiksi käyttölokit, anturidata tai palveluinteraktiot voivat olla tällaista tuotteen käytön tuloksena tuotettua dataa. Datan haltijan on annettava data käyttäjälle samanlaatuisena kuin datan haltijan käytettävissä oleva data, helposti, turvallisesti ja käyttäjälle maksutta kattavassa, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä tarvittaessa ja kun se on teknisesti mahdollista, jatkuvasti ja reaaliaikaisesti. Käyttäjällä tarkoitetaan tässä esimerkiksi yritystä tai kuluttajaa, joka omistaa verkkoon liitetyn tuotteen tai jolle kyseisen verkkoon liitetyn tuotteen tilapäinen käyttöoikeus on sopimuksella siirretty taikka joka vastaanottaa tuotteeseen liittyviä palveluja.

Ennen sopimuksen tekemistä verkkoon liitetyn tuotteen tai tuotteeseen liittyvän palvelun ostamisesta, vuokraamisesta tai liisaamisesta, myyjän, vuokraajan tai liisaajan, joka voi olla valmistaja, on annettava datasäädöksen määrittämiä pakollisia tietoja käyttäjälle.

Uusien sääntöjen mukaan valmistajat voivat käyttää tuotteistaan kerättyä dataa esimerkiksi tuotekehityksessä vain, jos käyttäjän kanssa on tehty siihen oikeuttava sopimus. Datan haltijat eivät saa myöskään antaa tuotteen dataa kolmansille osapuolille kaupallisiin tai ei-kaupallisiin tarkoituksiin muutoin kuin käyttäjän kanssa tekemänsä sopimuksen täyttämiseksi.

Verkkoon liitetyn tuotteen data kolmansille osapuolille käyttäjän pyynnöstä

Datan haltijan on käyttäjän pyynnöstä asetettava kolmannen osapuolen saataville helposti saatavilla oleva data ja asiaankuuluva metadata. Kolmas osapuoli ei saa käyttää dataa kehittääkseen tuotteen, joka kilpailee sen verkkoon liitetyn tuotteen kanssa, josta sen saama data on peräisin.

Yritysten välisissä suhteissa datan jakamista koskevien ehtojen on oltava oikeudenmukaisia, kohtuullisia ja syrjimättömiä, kun ne määrätään yksipuolisesti vastaanottajalle. Datasäädöksessä on luettelo sopimusehdoista, joita pidetään kohtuuttomina. Kohtuuttomia sopimusehtoja koskevia sääntöjä sovelletaan itse asiassa kaikkiin dataan liittyviin yritysten välisiin sopimuksiin, jotka koskevat dataan pääsyä ja datan käyttöä.

Datan haltija voi vaatia kohtuullista korvausta datan saataville asettamisesta. Datan haltija voi myös kieltäytyä tarjoamasta dataa, esimerkiksi suojellakseen liikesalaisuuksia.

Datankäsittelypalvelut

Datasäädös soveltuu myös ”datankäsittelypalveluihin”. Datankäsittelypalvelun määritelmä on melko monimutkainen. Se tarkoittaa asiakkaalle tarjottavaa digitaalista palvelua, joka mahdollistaa kaikkialla käytössä olevaan ja tarveperusteiseen verkkokäyttöön jaetun joukon konfiguroitavissa olevia, skaalattavia ja joustavia, luonteeltaan keskitettyjä, hajautettuja tai pitkälle hajautettuja tietoteknisiä resursseja niin, että se voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen. Datankäsittelypalveluja voivat olla esimerkiksi ohjelmisto palveluna (software-as-a-service, SaaS), alusta palveluna (platform-as-a-service, PaaS) ja infrastruktuuri palveluna (inrasftructure-as-a-service, IaaS) -ratkaisut.

Datasäädös ei määrää, että kaikki SaaS-palvelut katsottaisiin datankäsittelypalveluiksi, mutta selkeää tulkintakäytäntöä ei vielä ole. Siksi kaikkien SaaS-palveluntarjoajien tulisi arvioida, voiko heidän palvelunsa täyttää ”datankäsittelypalvelun” määritelmän.

Esimerkiksi on huomionarvoista, että datankäsittelypalvelujen tarjoajat eivät saa asettaa esteitä, jotka estäisivät asiakkaita vaihtamasta palveluntarjoajaa tehokkaasti.

Lisäksi asiakkailla on oikeus irtisanoa datankäsittelypalvelu kahden kuukauden irtisanomisajalla, jonka jälkeen vaihtoprosessi on saatettava päätökseen 30 päivän kuluessa.

Tällä hetkellä vaihtomaksut eivät saa olla suuremmat kuin datankäsittelypalvelujen tarjoajalle aiheutuvat kustannukset, jotka liittyvät välittömästi vaihtoprosessiin. 12. tammikuuta 2027 jälkeen vaihtomaksuja ei saa enää periä asiakkaalta.

Osapuolten oikeudet ja velvollisuudet liittyen palveluntarjoajan vaihtamiseen (tai on-premise ICT infrastruktuuriin vaihtamiseen), sekä vakiopalvelumaksut, vaihtomaksut ja ennenaikaisesta irtisanomisesta aiheutuvat seuraamusmaksut on määriteltävä sopimuksessa. Palveluntarjoajan on annettava asiakkaalle pakollista tietoa esimerkiksi vaihtoprosessista.

Tämä hyödyttää asiakkaita, mutta voi vähentää palveluntarjoajien tuloja, koska pitkäkestoiset sopimukset tai pidennetyt irtisanomisajat eivät välttämättä ole enää sovellettavissa aiotulla tavalla. Datasäädös ei kuitenkaan estä osapuolia sopimasta määräaikaisia sopimuksia, jotka sisältävät kohtuulliset seuraamusmaksut kattamaan tällaisten sopimusten ennenaikaisesta päättämisestä aiheutuva haitta. Siksi palveluntarjoajien tulisi harkita tällaisen seuraamusmaksun sisällyttämistä sopimuksiin.

Palvelumme

◆ Yksityisyyden suoja ja henkilötiedot
◆ Kaupalliset sopimukset