EU:n uusi datasäädös tuli voimaan vuoden 2024 alusta ja sen soveltaminen alkaa porrastetusti syksyllä 2025. Datasäädös soveltuu esineiden internetin (Internet of Things, IoT) laitteisiin ja niihin liittyviin palveluihin, jotka keräävät ja generoivat dataa käyttäjien käyttäessä niitä. Säädös selventää sensoreiden avulla kerättävän IoT-datan käyttö- ja omistusoikeuteen liittyviä kysymyksiä ja yhtenäistää hajanaista ja ristiriitaista dataan liittyvää lainsäädäntöä. Sen tavoitteena on varmistaa oikeudenmukainen ja innovatiivinen datatalous vahvistaen horisontaaliset ja yhdenmukaiset säännöt datan käyttöön ja hyödyntämiseen eri toimijoiden välillä ja tehostaen huolto- ja jälkimarkkinoiden kilpailua.
Datasäädös perustaa jatkossa käyttäjille laajat oikeudet saada pääsy niin kutsuttuun IoT-dataan. IoT-dataa syntyy verkkoon liitettyjen tuotteiden ja liitännäispalveluiden käytössä. Sen hyödyntämisen mahdollisuus on ollut aiemmin yksinomaan datan haltijoiden eli useimmiten tuotevalmistajien käsissä.
IoT-datan määritelmän osalta on olennaista korostaa, että datanjakovelvoitteiden alainen IoT-data on tarkoitettu käsittämään ainoastaan raakadatan, ja siihen liittyvät selittävät tiedot. Raakadata on käsittelemätöntä ja muokkaamatonta dataa, mutta määritelmä kattaa myös datan, joka on esiprosessoitu ilman merkittäviä ponnisteluja.
Liikesalaisuuksia sisältävä data
Sääntely asettaa tuotteiden ja palveluiden käyttäjien pääsyn dataan ensisijaiseen asemaan. Samalla on osittain unohdettu huomioida tuotevalmistajien kannusteet investoida dataan perustuvien tuotteiden ja palvelujen kehitykseen ja sen ympärille rakentuvaan osaamiseen. On jopa mahdollista, että tuotteen käyttäjä voi velvoittaa tuotevalmistajan jakamaan tuotedataa kolmannen osapuolen kanssa, joka voi olla samalla alalla toimiva kilpailija. Datasäädöksen pakolliset datanjakovelvoitteet ovatkin tästä johtuen arveluttavia tuotevalmistajan liikesalaisuuksien kannalta, sillä tuotteen käytöstä syntyvä data voi sisältää liikesalaisuuksia, jonka lisäksi jatkoanalyysin avulla datasta voidaan johtaa liikesalaisuuksia.
Datasäädöksen sisältämä liikesalaisuusmekanismi
Datasäädös kuitenkin antaa tuotevalmistajalle mahdollisuuden olla luovuttamatta dataa, joka sisältää EU:n liikesalaisuusdirektiivin määritelmän kriteerit täyttäviä liikesalaisuuksia. Tästä huolimatta liikesalaisuudet eivät itsessään kuitenkaan ole peruste kieltäytyä luovuttamasta dataa käyttäjälle tai kolmannelle osapuolelle, vaan niitä varten datasäädökseen on sisällytetty eräänlainen liikesalaisuusmekanismi, joka asettaa liikesalaisuutena pidetyn datan jakamisen ja hyödyntämisen rajat. On myös huomattava, ettei dataa ja sen sisältämiä liikesalaisuuksia suojaa mikään erityinen IPR-tyyppinen oikeus, sillä datasäädöksen soveltamisalaan kuuluva data on nimenomaisesti rajattu pois tietokantadirektiivissä säädetyn, sui generis -tietokantasuojan ulkopuolelle. Jatkossa pääsääntöisesti luovutettavan dataan sisältyvien liikesalaisuuksien suojaaminen perustuu sopimuksiin ja osittain liikesalaisuuden suojaan.
Arvioita uudesta sääntelystä
Säädös vaikuttaa laajasti yritysten totuttuun tapaan suojata dataa, jonka lisäksi datanjakovelvoitteet sekä datan kansainvälinen siirrettävyys lisäävät auttamattomasti riskejä liikesalaisuuksien suojan näkökulmasta. Riski nostaa esille liikesalaisuuksien osalta kilpailuoikeudellisia huolia mutta myös sopimusoikeudellisia näkökohtia, joita ei ole paikattu datasäädöksen neuvotteluprosessin aikana. Vaikka hyväksytyssä lopullisessa datasäädöksessä on useita tärkeitä täsmennyksiä liikesalaisuuksien suojan osalta verrattuna aiempiin säädöstekstin versioihin, niiden voidaan silti todeta olevan jossain määrin riittämättömiä tuotevalmistajien näkökulmasta. Liikesalaisuuksien suojaamisen osalta datasäädös jättää avoimeksi monia abstrakteja käsitteitä ja sen sisältämien määritelmien hahmottaminen tulee oleman haasteellista monimutkaisissa ja monitahoisissa teknisissä toimintaketjuissa.
Datasäädöksen sisältämä liikesalaisuusmekanismi on monimutkainen ja tulkinnanvarainen, ja sen yhteensovittaminen muun lainsäädännön kuten liikesalaisuussääntelyn kanssa tulee todennäköisesti aiheuttamaan jänniteitä käytännön soveltamistilanteissa. Toisekseen on todettava, ettei uusi datan sääntely nykymuodossaan huomioi kaikilta osin teollisuuden ja teollisen raakadatan erityispiirteitä, asettaen vaikeuksia liikesalaisuuksien suojalle. On myös korostettava kuinka datasäädöksen läheinen muu datastrategiaan sisältyvä sääntely muodostaa laajan ja runsaasti ristiviittauksia sisältävän kokonaisuuden, jolloin epävarmuustekijät ja tulkintavaikeudet kasaantuvat.
Yritysten varautuminen uuteen datasääntelyyn
Yritysten on oltava jatkossa tietoisia siitä, mitä dataa yritys kerää, kuin myös tiedostettava se, ettei datanjakovelvoitteita voida kiertää työstämällä tai yhdistämällä dataa liikesalaisuuksiin. Datasäädökseen varautumiseen liittyvät valmistelut on syytä aloittaa ajoissa, sillä muutokset tulevat vaikuttamaa datan hallinnan prosesseihin kokonaisuutena. Yritysten hallinnoimien liikesalaisuuksien osalta on keskeistä osoittaa, mitkä datanjakovelvoitteen alaisesta datasta ovat liikesalaisuuksiksi luokiteltavaa. Tärkeää on tarkistaa liikesalaisuuksia koskevat prosessit, kiinnittää huomiota dataan liittyviin sopimuksiin ja ottaa huomioon datasäädöksen vaikutukset datasta sopimiseen.
Kirjoittaja:
Kiira Toikka
Oikeusnotaari
Kirjoitus perustuu Toikan pro gradu-työhön