EU:n digi- ja datasäädökset
EU:n uusilla digi- ja datasäädöksillä edistetään datan liikkumista EU:n sisällä, luodaan selkeät ja oikeudenmukaiset säännöt datan käytölle sekä edistetään yksityisyyden suojaa, tietosuojaa ja kilpailua koskevien sääntöjen noudattamista. Digi- ja datasäädökset tuovat tehtäviä myös tietosuojavaltuutetun toimistolle.
Tietosuojavaltuutetun rooli ja toimivaltuudet keskeisimmissä digi- ja datasäädöksissä
Digimarkkinasäädöksen (Digital Markets Act, DMA) tarkoituksena on varmistaa oikeudenmukaisuus ja avoimuus digimarkkinoilla. Sen tavoitteena on puuttua suurimpien alustayritysten epäoikeudenmukaisiin kaupan käytänteisiin ja varmistaa, etteivät digitaaliset markkinat keskity täysin niiden haltuun.
Asetuksessa säädetään velvoitteita EU-alueella toimiville suurimmille alustayrityksille, jotka ovat markkinoiden ns. portinvartijoita. Niiden pitää esimerkiksi sallia kilpailevien sovellusten asentaminen tai kilpaileviin palveluihin pääsy, eivätkä ne saa suosia omia palveluitaan. Euroopan komissio on nimennyt portinvartijayritykset digimarkkinasäädöksessä säädettyjen kriteerien perusteella.
Asetuksen noudattamista valvoo ensisijaisesti Euroopan komissio. Tietosuojaan liittyvissä kysymyksissä komissio voi pyytää neuvoa Euroopan tietosuojaneuvostolta. Lisäksi se voi nimittää valvonnan tueksi asiantuntijoita EU-maiden tietosuojaviranomaisista. Asetusta alettiin soveltaa toukokuussa 2023.
Lisää tietoa digimarkkinasäädöksestä työ- ja elinkeinoministeriön verkkosivuilla
Lisätietoa portinvartijayrityksistä komission verkkosivuilla
Digipalveluasetuksessa (Digital Services Act, DSA) säädetään digipalveluiden tarjoajille velvollisuuksia palvelujen avoimuuden ja turvallisuuden parantamiseksi. Digipalveluasetus koskee niin sanottuja verkon välityspalveluja, joihin kuuluvat muun muassa verkkoalustat, säilytyspalvelut ja verkon markkinapaikat.
Digipalveluasetuksen valvonta on jaettu Suomessa Liikenne- ja viestintävirasto Traficomin, tietosuojavaltuutetun ja kuluttaja-asiamiehen kesken. Traficom on asetuksen pääasiallinen valvoja. Tietosuojavaltuutettu valvoo aatteellisen ja yhteiskunnallisen mainonnan tunnistettavuutta, verkkomainonnan ja suosittelujärjestelmien läpinäkyvyyttä sekä alaikäisten suojelua verkkoalustoilla. Asetuksen soveltaminen alkoi täysimääräisesti helmikuussa 2024.
Digipalveluasetus ja tietosuojavaltuutetun toimivalta verkkoalustojen valvonnassa
Tekoälyasetuksella (Artificial Intelligence Act, AIA) säännellään tekoälyjärjestelmiä EU-maissa. Sen avulla halutaan varmistaa, että tekoälyn käyttö on turvallista kaikille ja että tekoälyjärjestelmissä kunnioitetaan perusoikeuksia ja eettisiä periaatteita. Mitä suurempia riskejä tekoälyjärjestelmä aiheuttaa, sitä tiukemmat säännöt sitä koskevat. Sellaiset tekoälyjärjestelmät, joita pidetään selvänä uhkana ihmisten turvallisuudelle, toimeentulolle ja oikeuksille, kielletään.
Tekoälyasetus tuli voimaan 1.8.2024, ja sen soveltaminen alkaa vaiheittain. Suurinta osaa säännöistä aletaan soveltaa 2.8.2026. Tekoälyasetuksen noudattamista valvovat sekä Euroopan komissio että useat EU-maiden viranomaiset. Asetus tuo tehtäviä myös tietosuojavaltuutetulle.
Tietosuojavaltuutetun toimisto tulee toimimaan niin sanottuna markkinavalvontaviranomaisena, joka valvoo, että tekoälyjärjestelmät ovat lainmukaisia ja että kiellettyjä tekoälyjärjestelmiä ei kehitetä ja käytetä. Se myös tarkistaa, täyttävätkö tietyt suuririskiset tekoälyjärjestelmät tekoälyasetuksen vaatimukset ennen kuin ne tulevat markkinoille. Lisäksi tietosuojavaltuutetun toimisto tulee käsittelemään valituksia ja osallistumaan tekoälysääntelyn testiympäristötoimintaan (ns. hiekkalaatikot). Tietosuojavaltuutetun rooli tarkentuu, kun viranomaistehtävistä säädetään Suomessa lailla.
Datanhallinta-asetus (Data Governance Act, DGA) sääntelee datan jakamista organisaatioiden välillä. Asetuksella lisätään datan saatavuutta ja yhtenäistetään sen jakamista EU:ssa yhteisillä säännöillä. Sen tarkoituksena on lisätä luottamusta datan laajempaan hyödyntämiseen. Asetuksella edistetään julkisen sektorin hallussa olevan suojatun datan (esimerkiksi henkilötietojen) uudelleenkäyttöä ja helpotetaan myös datan liikkuvuutta yritysten välillä.
Asetus luo säännöt uusille datatalouden toimijoille eli niin kutsutuille datan välityspalveluille sekä data-altruismipohjaisille organisaatioille. Datan välityspalvelujen kautta dataa välitetään datan haltijoiden ja datan käyttäjien välillä. Data-altruismi tarkoittaa sitä, että datan luovuttamista edistetään yleistä etua varten, kuten tieteelliseen tutkimukseen, terveydenhuoltoon ja ilmastonmuutoksen torjuntaan.
Tietosuojavaltuutetun toimisto valvoo henkilötietojen käsittelyä datanhallinta-asetuksessa säädetyssä toiminnassa. Datanhallinta-asetusta sovelletaan tietosuojasääntelyn lisäksi. Datanhallinta-asetuksen soveltaminen alkoi syyskuussa 2023.
Lisää tietoa datanhallinta-asetuksesta komission verkkosivuilla
Datasäädös (Data Act, DA) muuttaa sääntöjä internetiin kytkettyjen laitteiden ja verkkoon liitettyjen palveluiden tuottamien tietojen jakamisesta. Sen tavoitteena on lisätä tällaisen datan saatavuutta ja hyödyntämistä.
Käyttäjillä on jatkossa oikeus saada itselleen internetiin kytkettyjen laitteiden ja palveluiden käytöstä syntynyt data. He voivat myös jakaa tätä dataa esimerkiksi huoltoa tai lisäpalveluita tarjoavalle kilpailevalle yritykselle. Datasäädöksellä halutaan myös parantaa ihmisten oikeutta vaihtaa pilvipalvelutarjoajaa ja siirtää tietojaan järjestelmästä toiseen.
Tietosuojavaltuutetun toimisto valvoo asetuksen noudattamista henkilötietojen suojan osalta. Datasäädöksen myötä tietosuojavaltuutettu valvoo tietosuoja-asetuksen sääntöjä myös silloin, kun henkilötiedot ja muunlainen data liittyvät erottamattomasti toisiinsa. Datasäädöksen soveltaminen alkaa 12.9.2025.