Hyppää sisältöön

Data-asetus ja tietosuojavaltuutetun toimivalta

EU:n data-asetuksessa (Data Act, DA) säädetään siitä, miten verkkoon kytkettyjen laitteiden tuottamaa dataa voidaan jakaa. Sääntelyn soveltaminen alkoi suurelta osin 12.9.2025. Tietosuojavaltuutetun toimisto valvoo, että henkilötietojen suojaa koskevaa lainsäädäntöä noudatetaan myös data-asetuksen soveltamisen yhteydessä.

Data-asetuksen tavoitteena on helpottaa datan saatavuutta ja hyödyntämistä. Asetus koskee laajasti dataa, jota syntyy verkkoon kytkettyjen laitteiden käytöstä. Tällaisia laitteita voivat olla esimerkiksi erilaiset sensorit, älykellot, sähköautot tai jopa paperikoneet tai lentokoneet. Laitteet keräävät monenlaista dataa. Jos laitteen keräämä data kertoo jotakin laitteen käyttäjästä, se on henkilötietoa. Esimerkiksi älykello voi tallentaa käyttäjän terveystietoja ja sähköauto sijaintitietoja. Henkilötietojen käsittelyssä täytyy noudattaa tietosuojaa koskevaa lainsäädäntöä. 

Mitä oikeuksia käyttäjällä on?

Data-asetuksen mukaan laitteiden valmistajien on suunniteltava laitteensa niin, että käyttäjä voi saada käyttöönsä niiden tuottaman datan. Jos dataa ei voi saada teknisistä syistä esimerkiksi suoraan laitteesta, valmistajan täytyy luovuttaa se käyttäjälle tämän pyynnöstä. Käyttäjä voi myös jakaa tätä dataa esimerkiksi huoltoa tai lisäpalveluita tarjoavalle yritykselle. 

Käyttäjä voi olla sekä yksityishenkilö että yritys tai yhteisö (oikeushenkilö). Käyttäjä voi siis tarkoittaa myös organisaatiota, eikä aina sitä ihmistä, joka laitetta konkreettisesti käyttää.

Lisäksi data-asetus helpottaa pilvipalvelun vaihtamista ja datan siirtämistä järjestelmästä toiseen. Yhteiskunnallisissa poikkeustilanteissa, kuten luonnonkatastrofien tai pandemioiden yhteydessä, myös viranomaisilla voi olla oikeus saada dataa, jos sitä tarvitaan yleisen edun kannalta pakottavasta syystä.  

Mitä rekisterinpitäjän tulee ottaa huomioon?

Rekisterinpitäjän tulee olla tarkkana siitä, mikä verkkoon kytketyn laitteen tuottamasta datasta on henkilötietoa. Henkilötietoja ovat kaikki tiedot, joista henkilö voidaan tunnistaa. Henkilötietoja on käsiteltävä tietosuojasääntelyn vaatimusten mukaisesti, kun taas muunlaisen datan käyttö on vapaampaa. 

Henkilötietojen käsittely edellyttää aina laista löytyvää käsittelyperustetta, eikä data-asetus itsessään luo tällaista perustetta. Tämä on tärkeää huomioida erityisesti tilanteissa, joissa laitteen käyttäjä on esimerkiksi yritys tai julkinen organisaatio, joka kerää henkilötietoja laitetta konkreettisesti käyttävästä henkilöstä. Jos laitteen käyttäjä on jokin muu taho kuin se henkilö, josta tietoja kerätään, tietoja voidaan jakaa vain, jos sille on lainmukainen peruste. Tällainen tilanne voi syntyä esimerkiksi jos: 

  • Käyttäjä on yritys, jonka laite kerää tietoja sitä käyttävästä työntekijästä 
  • Käyttäjä on koulu, jonka lainaama tietokone kerää tietoja oppilaasta 
  • Käyttäjä on autonvuokrausyritys, jonka vuokraama auto kerää tietoja kuljettajasta 

Rekisterinpitäjän on syytä muistaa rekisteröidyn oikeudet ja niihin liittyvät säännökset myös data-asetusta sovellettaessa. Rekisterinpitäjän on lisäksi annettava rekisteröidyille ajantasaiset ja kattavat tiedot henkilötietojen käsittelystä.

Lisätietoja käsittelyperusteista: Milloin henkilötietoja saa käsitellä?
Lisätietoja rekisteröidyn oikeuksista: Rekisteröidyn oikeudet
Lisätietoja rekisteröityjen informoinnista: Kerro käsittelystä rekisteröidylle

Työnantajilta vaaditaan erityistä tarkkuutta

Erityisen tarkkana on oltava niissä tilanteissa, joissa työnantaja käyttää laitteita, joiden keräämän datan perusteella voidaan tehdä päätelmiä yksittäisten työntekijöiden työskentelystä tai muusta käytöksestä. Työnantajan on näissä tilanteissa huolehdittava työntekijöiden yksityisyyden suojasta. Työnantajan on varmistettava, että työntekijöitä ei seurata teknisin keinoin yleisen tietosuoja-asetuksen tai työelämän tietosuojalain (laki yksityisyyden suojasta työelämässä, 759/2004) vastaisesti. 

Lisätietoja työelämän tietosuojasta: Usein kysyttyä työelämästä

Data-asetuksen soveltaminen ja valvonta

Suomessa on valmistelussa kansallinen lainsäädäntö, jossa määritellään tarkemmin data-asetuksen valvontavastuut eri viranomaisten välillä. Esityksen mukaan pääasiallinen valvova viranomainen ja datakoordinaattori olisi Liikenne- ja viestintävirasto Traficom. Esityksen käsittely on kuitenkin kesken. Valmistelun etenemistä voi seurata valtioneuvoston hankeikkunasta sivulta Hallituksen esitys EU:n data-asetuksen toimeenpanosta.

Data-asetus tuli voimaan 11.1.2024. Sääntelyn soveltaminen alkoi suurelta osin 12.9.2025, mutta tietyt velvoitteet tulevat voimaan vasta vuonna 2026. 

Missä asioissa voit olla yhteydessä tietosuojavaltuutetun toimistoon?

Tietosuojavaltuutetun toimisto valvoo, että henkilötietojen suojaa koskevaa lainsäädäntöä noudatetaan myös data-asetuksen soveltamisen yhteydessä. Tietosuojavaltuutettu valvoo tietosuoja-asetuksen sääntöjä myös silloin, kun henkilötiedot ja muunlainen data liittyvät erottamattomasti toisiinsa. Lisäksi jos viranomainen tai muu julkisen sektorin toimija pyytää yritykseltä henkilötietoja sisältävää dataa yhteiskunnallisessa poikkeustilanteessa, asiasta on ilmoitettava tietosuojavaltuutetulle. Tietosuojavaltuutetun toimistolla ei ole toimivaltaa valvoa muita data-asetuksen liittyviä kysymyksiä.  

Voit ottaa yhteyttä tietosuojavaltuutetun toimistoon, jos katsot, että henkilötietojen suojaa koskevaa lainsäädäntöä on rikottu data-asetuksen soveltamisen yhteydessä. 

Lisätietoja: 

Lisätietoa data-asetuksesta Euroopan komission sivuilla 
Data-asetus selitettynä Euroopan komission sivuilla
Datan haltijan velvollisuuksista Traficomin sivuilla
Data-asetuksesta Traficomin sivuilla

Sivun alkuun