Datasäädös (jäljempänä myös asetus) on tullut voimaan 11.1.2024 ja sen soveltaminen alkaa pääosin 12.9.2025. Datasäädös tarkentaa, kuka voi käyttää mitäkin dataa ja millä edellytyksillä. Tavoitteena on edistää datan saatavuutta ja käyttöä sekä varmistaa datan arvon oikeudenmukaisempi jakautuminen datatalouden toimijoiden kesken. Lisäksi tavoitteena on edistää uusien verkkoon liitettyjen tuotteiden (Internet of Things, IoT, esineiden internet) ja niihin liittyvien palvelujen ja kokonaan uusien dataa hyödyntävien palveluiden kehittämistä sekä innovointia.
Asetus luo uusia datan jakamisen velvoitteita sekä oikeuksia datan käyttöön. Asetuksen soveltamisala on laaja ja se kattaa lähtökohtaisesti kaikki toimialat. Merkittävämpiä toimialoja datasäädöksen soveltamisalan kannalta ovat koneiden ja laitteiden valmistus, ohjelmistot, konsultointi ja siihen liittyvä toiminta sekä sähkölaitteiden valmistus.
Datasäädöksen keskiössä ovat erilaiset verkkoon liitetyt tuotteet ja niihin liittyvät palvelut sekä niiden käytön tuloksena tuotettua dataa koskevat oikeudet ja velvoitteet. Tarkoitus on vahventaa käyttäjien asemaa antamalla heille mahdollisuus hyötyä esimerkiksi omistamillaan, vuokraamillaan tai liisaamillaan verkkoon liitetyillä tuotteilla tuottamastaan datasta. Käyttäjät voivat halutessaan myös jakaa tällaista dataa valitsemiensa kolmansien osapuolten kanssa joko itse taikka pyytämällä datan haltijan tai datan välityspalvelun toimittamaan tietoa kolmannelle osapuolelle, kuten jälkimarkkina, liitännäis- tai muita palveluita tarjoavalle yritykselle.
Asetuksella pyritään estämään datan hyödyntämistä ja jakamista koskevat kohtuuttomat sopimusehdot sekä edistämään datan käsittelypalveluiden, kuten pilvipalveluiden vaihtamista ja parantamaan datan ja datan jakamismekanismien ja -palveluiden yhteentoimivuutta unionissa. Lisäksi datasäädöksessä säädetään julkisen sektorin elimille tietyissä poikkeuksellisissa tarpeissa mahdollisuus saada pyynnöstä pääsy yksityisen sektorin hallussa olevaan dataan erikseen määritellyin ehdoin. Säädöksessä säädetään niin ikään esimerkiksi datan jakamiseen liittyvistä älysopimuksista sekä rajoitetaan ei-henkilötietojen kansainvälisiä siirtoja.
Datasäädös rakentuu erilaisten roolien ympärille. Rooleja ovat datan haltija, käyttäjä ja datan vastaanottaja. Verkkoon liitettyjen tuotteiden (IoT-laite) ja niihin liittyvien palveluiden dataan pääsyä, käyttöä ja jakamista koskevat velvoitteet ja oikeudet riippuvat siitä, missä roolissa kunta toimii.
Velvoitteet ja mahdollisuudet datan haltijana:
Velvoitteet ja mahdollisuudet käyttäjänä:
Velvoitteet ja mahdollisuudet dataa vastaanottavana kolmantena osapuolena:
Datasäädöksen keskiössä ovat erilaiset verkkoon liitetyt tuotteet ja niihin liittyvät palvelut sekä niiden käytön tuloksena tuotettua dataa koskevat oikeudet ja velvoitteet. Datasäädös on kuitenkin soveltamisalaltaan laaja.
Edellä mainittujen velvoitteiden ja mahdollisuuksien lisäksi datasäädös voi vaikuttaa kuntiin myös seuraavasti:
Datasäädöksen nojalla verkkoon liitettyjen tuotteiden (IoT-laite) ja niihin liittyvien palvelujen käyttäjät voivat hyödyntää dataa, jota he tuottavat käyttämällä verkkoon liitettyjä tuotteita tai niihin liittyviä palveluja. Verkkoon liitetyillä tuotteilla tarkoitetaan laitteita, jotka komponenttiensa tai toimintajärjestelmiensä avulla saavat, tuottavat tai keräävät dataa suorituskyvystään, käytöstään tai ympäristöstään ja jotka pystyvät välittämään kyseisen datan sähköisen viestintäpalvelun, fyysisen yhteyden tai laiteyhteyden kautta, mitä kutsutaan usein esineiden internetiksi.
Esimerkkejä tyypillisistä IoT-laitteista tai IoT-laitteita sisältävistä tuoteryhmistä kunnissa ovat muun muassa koneet, hissit, ajoneuvot, dronet sekä sähkö- ja radiolaitteet. Kunnissa IoT-ratkaisuja voidaan hyödyntää esimerkiksi älykkään liikenteen ratkaisuihin, koneiden toiminnanohjaukseen, kiinteistöautomatiikkaan, urheilupaikkojen valaistuksen ohjaukseen ja älykkäämpään kameravalvontaan.
IoT-laitteeseen liittyvällä palvelulla tarkoitetaan digitaalista palvelua, joka voidaan linkittää IoT-laitteen toimintaan ja joka vaikuttaa tämän laitteen toimivuuteen esimerkiksi välittämällä siihen dataa tai komentoja. Jotta digitaalista palvelua voidaan pitää IoT-laitteeseen liittyvänä palveluna, IoT-laitteen ja palveluntarjoajan välillä on vaihdettava dataa ja palvelun tulee vaikuttaa IoT-laitteen toimintoihin, käyttäytymiseen tai toimintaan. Kyse voi olla esimerkiksi sovelluksesta valojen tai lämpötilan säätämiseksi. Sen sijaan esimerkiksi avustavaa konsultointia, analytiikkaa, rahoituspalveluja taikka säännöllistä korjausta ja huoltoa ei ole pidettävä säädöksessä tarkoitettuina IoT-laitteisiin liittyvinä palveluina.
Uusien verkkoon kytkeytyvien laitteiden käyttöönoton yhteydessä sopimuksiin tulee sisältyä tieto, miten kunta käyttäjänä pääsee käsiksi dataan sekä mitä tietoja datan haltija kerää.
Datasäädöksen asettamat velvoitteet kohdistuvat erityisesti datan haltijoihin, joiden tulee esimerkiksi suunnitella ja valmistaa IoT-laitteet ja tarjota niihin liittyvät palvelut siten, että niiden käytön tuloksena tuotettu data on oletusarvoisesti helposti, turvallisesti ja tarvittaessa suoraan käyttäjän saatavilla sekä jaettavissa eteenpäin kolmansille osapuolille. Lisäksi datan haltijoiden tulee asettaa data saataville unionissa oikeudenmukaisin, kohtuullisin ja syrjimättömin ehdoin ja avoimesti. Mikro- ja pienyrityksiin datan haltijoina ei kuitenkaan sovelleta velvoitteita datan jakamisesta, jotta sääntelystä ei muodostuisi niille liiallista rasitetta.
Datan haltijoita ovat tyypillisesti esimerkiksi yksityisen sektorin toimijat, jotka valmistavat verkkoon liitettäviä tuotteita tai jotka pitävät hallussaan dataa, johon julkisen sektorin elimet haluavat pääsyn. Datan haltijan käsite ei yleensä kata julkisen sektorin elimiä, mutta se voi sisältää julkiset yritykset, siltä osin kuin ne tuottavat laitteita tai palveluita markkinoilla. Tietyissä tilanteissa datan haltijan rooli voidaan myös ulkoistaa. Tällöinkin edellytyksenä kuitenkin on, että kyseisellä taholla on mahdollisuus hallita pääsyä saataville asetettuun dataan.
Datan käyttäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka omistaa tai vuokraa verkkoon liitetyn tuotteen tai vastaanottaa tällaiseen tuotteeseen liittyviä palveluita. Käyttäjän roolissa kunnalla on oikeus saada IoT-laitteista data käyttöönsä sekä jakaa data halutessaan eteenpäin. Kunnissa uusi sääntely luo muutostarpeita esimerkiksi sopimuksiin, joissa sovitaan pääsystä verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytöstä kertyvään dataan. Käyttäjänä toimivalla kunnalla on oltava datan haltijan kanssa sopimus (esim. myyntisopimus, vuokrasopimus, siihen liittyvä palvelusopimus), jossa määritellään verkkoon liitetyn tuotteen tai siihen liittyvän palvelun tuottaman datan saatavuutta, käyttöä ja jakamista koskevat velvoitteet ja oikeudet.
Dataan pääsyä koskeva pyyntö voidaan toteuttaa esimerkiksi käyttäjätilillä. Käyttäjätiliä voidaan hyödyntää paitsi dataan pääsyä koskevien pyyntöjen esittämiseen ja käsittelemiseen myös esimerkiksi viestimiseen ja käyttäjän tunnistamiseen sen varmistamiseksi, että käyttäjällä on oikeus dataan pääsyyn. Tiliratkaisujen olisi annettava käyttäjille mahdollisuus poistaa tilinsä ja heihin liittyvät tiedot, ja ne voisivat antaa käyttäjille mahdollisuuden lopettaa dataan pääsyn, sen käytön tai jakamisen tai esittää tätä koskevia pyyntöjä ottaen erityisesti huomioon tilanteet, joissa IoT-laitteen omistus tai käyttö muuttuu. Jos dataan pääsyä koskevan pyynnön automaattinen toteuttaminen ei ole mahdollista esimerkiksi käyttäjätilin kautta tai IoT-tuotteen tai siihen liittyvän palvelun mukana toimitetun mobiilisovelluksen kautta, datan haltijan olisi ilmoitettava käyttäjälle, miten dataan voi päästä.
Datan vastaanottaja tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka toimii omaan elinkeino-, liike-, käsiteollisuus- tai ammattitoimintaansa liittyvässä tarkoituksessa ja joka ei ole tuotteen tai siihen liittyvän palvelun käyttäjä ja jonka saataville datan haltija asettaa dataa, myös kolmatta osapuolta. Kolmas osapuoli, jonka saataville data asetetaan, voi olla luonnollinen henkilö tai oikeushenkilö, kuten kuluttaja, yritys, tutkimusorganisaatio, voittoa tavoittelematon järjestö tai ammattitoimintaa harjoittava yksikkö.
Datan vastaanottaja voi käsitellä dataa vain käyttäjän kanssa sovittuihin tarkoituksiin ja jakaa dataa muun kolmannen osapuolen kanssa vain, jos tällaisesta datan jakamisesta on sovittu käyttäjän kanssa.
Esimerkki: Kunta tarjoaa autonvuokrauspalvelua
Kunta tarjoaa kuntalaisille autonvuokrauspalvelua, joka kerää auton käytöstä dataa. Kunta omistaa autot, jotka on ostettu auton valmistajalta. Kunnalla on auton valmistajan kanssa sopimus, joka varmistaa, että kunta ja kuntalaiset saavat pääsyn auton käytöstä kertyviin tietoihin. Kun kuntalainen vuokraa auton, hänen kanssaan solmittu sopimus sisältää yksityiskohtaiset tiedot auton käytöstä kertyvistä tiedoista ja siitä, miten niihin saa pääsyn.
Tässä tapauksessa auton valmistaja on datan haltija. Käyttäjän roolissa ovat sekä kunta (joka omistaa auton) että kuntalainen (joka vuokraa auton).
Datasäädös mahdollistaa julkisen sektorin elimille, kuten kunnille, tietyissä poikkeuksellisissa tarpeissa pääsyn yksityisten toimijoiden hallussa olevaan dataan tietyn lakisääteisen yleistä etua koskevan tehtävän suorittamiseksi. Sääntelyn tavoitteena on, että julkisen sektorin elimet pystyvät tekemään parempia päätöksiä ja toimimaan tehokkaammin erilaisissa poikkeuksellisissa tilanteissa. Poikkeuksellinen tarve voi syntyä esimerkiksi yleiseen hätätilaan, kuten tulvaan, maastopaloihin, vakavaan kyberturvallisuusuhkaan tai pandemiaan reagoimiseksi tai virallisten tilastojen tuottamiseen, jos data ei ole muuta kautta saatavilla. Kuitenkaan esimerkiksi kunnan määräysvallassa olevat yritykset eivät ole sääntelyssä tarkoitettuja julkisen sektorin elimiä. Käytännössä kyse on lähinnä kansallisia tiedonsaantioikeuksia täydentävästä sääntelystä. Esimerkiksi covid-19-pandemian yhteydessä tällaista jakamista tehtiin jo ainakin jossain määrin.
Poikkeuksellisen tarpeen datapyynnön yhteydessä kunnan on täsmennettävä datasäädöksen mukaisesti muun muassa datan käyttötarkoitus ja -aika sekä osoitettava, että muut säädetyt edellytykset pyyntöön täyttyvät. Poikkeuksellisen tarpeen datapyynnön tekemiseen on tulossa malleja komissiolta. Jos dataa on saatu tällaisen pyynnön kautta, tulee data hävittää käytön jälkeen, kun pyynnössä ilmoitettu tarve päättyy, eikä tällaisen pyynnön kautta saatua dataa tule katsoa avoimeksi dataksi. Covid-19-pandemian aikana puhelinoperaattoreiden hallussa olevaa dataa ihmisten liikkumisesta hyödynnettiin yleisen edun nimissä. Datasäädöksellä mahdollistetaan tällainen datan jakaminen lainsäädännöllisesti. Myös EU:n toimielimillä on oikeus tehdä poikkeuksellisen tarpeen pyyntöjä.
Datasäädöksessä säädetty oikeus pyytää tietoja poikkeuksellisen tarpeen nojalla on tarkoitettu viimeiseksi käytettävissä olevaksi keinoksi, joten se tulee melko harvoin kyseeseen. Datasäädöstä voi pitää tässä yhteydessä siis täydentävänä sääntelynä, joka ei syrjäytä kansallista sääntelyä.
Poikkeuksellisen tarpeen datapyynnön nojalla saadut tiedot on erikseen merkittävä datasäädöksen V luvun nojalla saaduksi tiedoksi, jotta datasäädöksen velvoitteet voidaan ottaa huomioon, kun dataa käsitellään kunnan toiminnassa tai kun dataa pyydetään julkisuuslain nojalla.
Säädöksen odotetaan myös sujuvoittavan datankäsittelypalveluiden vaihtamista ja rinnakkaista käyttöä.
Yleinen käsite ’datankäsittelypalvelut’ kattaa huomattavan määrän palveluja, joihin kuuluu hyvin laaja valikoima eri tarkoituksia, toimintoja ja teknisiä järjestelyjä. Esimerkiksi pilvipalvelut ovat säädöksessä tarkoitettuja datankäsittelypalveluita. Säädöksen odotetaan myös helpomman pilvipalveluiden kilpailutuksen ja vaihdon. Pilvipalveluiden sujuvan vaihdon esteiden purkamisella ja yhteentoimivuudella pyritään edistämään pilvipalveluiden käyttöönottoa ja useamman palvelun käyttämistä rinnakkain.
Älysopimukset ovat entistä keskeisempi väline datan jakamisessa jatkossa, ja suunta on vahvasti kohti yhä automatisoidumpaa datan jakamista. Datasäädöksessä on asetettu vaatimukset datan jakamiseen liittyville älysopimuksille.
Datasäädös asettaa datankäsittelypalvelujen tarjoajille velvoitteen toteuttaa riittävät suojatoimenpiteet estääkseen muiden kuin henkilötietojen siirron tai viranomaisten pääsyn, jos siirto tai pääsy olisi ristiriidassa EU:n tai jäsenvaltion kansallisen lainsäädännön kanssa.
Datasäädöstä ei sovelleta yksityisten elinten ja julkisyhteisöjen välistä datan vaihtoa tai jakamista koskeviin vapaaehtoisiin järjestelyihin eli esimerkiksi datanhallinta-asetuksen data-altruistisiin mekanismeihin.
Data-avaruuteen osallistuvan kunnan tulee noudattaa datasäädöksessä asetettuja yhteentoimivuutta tukevia vaatimuksia yhteisistä käytännöistä.
Pseudonymisoinnin ja anonyymien tietojen käsitteet on määritelty yleisessä tietosuoja-asetuksessa, pseudonymisointi artiklatekstissä ja anonyymit tiedot asetuksen johdanto-osan perusteluissa.
Pseudonymisoinnilla tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn rekisteröityyn käyttämättä lisätietoja. Tällaiset lisätiedot täytyy säilyttää huolellisesti erillään henkilötiedoista. Pseudonymisointi voidaan tehdä esimerkiksi koodaamalla tai peitenimillä. Pseudonymisoidut tiedot ovat yhä henkilötietoja, joiden käsittelyssä on noudatettava tietosuojalainsäädäntöä.
Anonyymit tiedot ovat puolestaan tietoja, jotka eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, tai henkilötietoja, joiden tunnistettavuus on poistettu siten, ettei rekisteröidyn tunnistaminen ole tai ei ole enää mahdollista. Huomioitavaa on kuitenkin, että tunnistautumisen täytyy estyä peruuttamattomasti. Tunnistamisen mahdollisuutta arvioitaessa on otettava huomioon kaikki kohtuudella toteutettavissa olevat keinot, joiden avulla tiedot voitaisiin muuttaa takaisin tunnisteellisiksi. On arvioitava tapauskohtaisesti, voidaanko jokin tieto katsoa anonyymiksi vai ei. Henkilö voi olla tunnistettavissa muistakin tiedoista kuin esimerkiksi nimestä. Pelkästään nimen ja muiden yksilöintitietojen poistaminen ei siis tarkoita, että tiedot olisivat anonyymejä. Anonymisoituja tietoja ei katsota enää henkilötiedoiksi, jolloin tietosuoja-asetusta ei sovelleta.
EU:n digi- ja datasäädöksiä soveltaessa on tärkeä tunnistaa, käsitelläänkö henkilötietoja vai ei. Kun esimerkiksi dataa asetetaan saataville ja avattava data on sisältänyt henkilötietoja, mutta ne anonymisoidaan, noudatetaan avoimen datan direktiiviä. Jos data sisältää henkilötietoja, jotka pseudonymisoidaan, sovelletaan sen sijaan datanhallinta-asetusta. Myös datasäädöstä soveltaessa on keskeistä hahmottaa, sisältyykö esimerkiksi verkkoon liitettyjen tuotteiden ja niihin liittyvien palveluiden käytöstä tuotettuun dataan henkilötietoja.
Lisää tietoa anonymisoinnista ja pseudonymisoinnista
Datasäädös täydentää datanhallinta-asetusta, jolla lisätään luottamusta vapaaehtoisiin datanjakomekanismeihin. Datasäädöksessä puolestaan määritellään, kenellä on oikeus saada pääsy, käyttää ja jakaa laitteista/palveluista kertyvää dataa ja millä edellytyksillä. Yhdessä datasäädöksen ja datanhallinta-asetuksen on tarkoitus helpottaa datan luotettavaa ja turvallista saatavuutta sekä edistää sen käyttöä keskeisillä talouden aloilla ja yleistä etua koskevilla aloilla.
Datasäädös ei säädä avoimesta datasta, vaan siitä säädetään avoimen datan direktiivissä.
Datanhallinta-asetuksessa määritelty datainnovaatiolautakunta toimii neuvovana tahona myös datasäädökseen liittyen.
Komissio voi laatia yhteentoimivuutta koskevia eritelmiä ja pyytää eurooppalaisia standardointiorganisaatioita laatimaan datasäädöksen vaatimusten mukaisia standardeja. Lisäksi komissio kehittää datan jakamiseen ei-sitovia mallisopimusehtoja, joita halutessaan voi hyödyntää.
Liikenne ja viestintäministeriö toimii kansallisena toimeenpanosta vastaavana viranomaisena. Hallituksen esitysluonnoksessa on ehdotettu, että asetuksen mukaisena datakoordinaattorina Suomessa toimii Liikenne- ja viestintävirasto Traficom. Tehtävänä datakoordinaattorilla on helpottaa toimivaltaisten viranomaisten välistä yhteistyötä ja toimia keskitettynä yhteyspisteenä kaikissa asetuksen soveltamiseen ja täytäntöönpanoon liittyvissä kysymyksissä.
Datakoordinaattorina Traficom asettaa julkisesti saataville julkisen sektorin tekemät poikkeuksellisen tarpeen pyynnöt sekä edistää vapaaehtoisia datan jakamista koskevia sopimuksia julkisen sektorin elinten ja datan haltijoiden välillä. Traficomin vastuulla olevan poikkihallinnollisen EU:n datasäädöksen täytäntöönpanoa tukeva työryhmä toimikautta on jatkettu.
Kuluttajasopimusten osalta kansallisessa täytäntöönpanoehdotuksessa (Lausunto - Lausuntopalvelu) ehdotetaan Kilpailu- ja kuluttajaviraston vastuuksi datalukutaidon ja ymmärryksen lisääminen, Kuluttaja-asiamiehen vastuuksi kuluttajien informointia sopimusasioissa sekä tietosuojavaltuutetun vastuualueeksi datasäädöksen alainen henkilötietojen käsittely.
Myös tietosuojavaltuutetulla, joka valvoo henkilötietojen käsittelyn lainmukaisuutta, tulee olemaan merkittävä rooli datasäädökseen liittyvässä henkilötietojen käsittelyn valvonnassa.
Kuntaliitossa on käynnissä vuoden 2025 loppuun kestävä EU:n digi- ja datasäädöksiä kuntasektorilla selvittävä projekti. Projektissa tuotetaan selkeyttävää materiaalia säädöksistä siitä näkökulmasta, mitä mikäkin säädös tarkoittaa kunnille. Lisäksi projektin aikana järjestetään erilaisia tilaisuuksia ja keskusteluja asian tiimoilta. Jos kunnassasi tai kaupungissasi on pohdintoja samojen asioiden äärellä, tervetuloa mukaan projektin verkostoon.
Toivomme kaupungeista ja kunnista mukaan henkilöitä, jotka toimivat digitalisaation, tiedon liikkumiseen ja hyödyntämisen parissa. Tuotokset, materiaalit ja yhteistyökeskustelu tuovat kunnille lisää osaamisen kehittymistä sekä ymmärrystä EU vaikuttamisesta.
Ilmoittaudu mukaan verkostoon ottamalla yhteyttä Jaana Jormanaiseen (jaana.jormanainen(at)kuntaliitto.fi).
Lisätietoa muista tarkastelluista säädöksistä löydät sivulta EU:n digi- ja datalainsäädäntö kuntasektorille.
Jokainen meistä käyttää joka päivä kuntapalveluja, vaikka ei ehkä sitä tule edes ajatelleeksi.