Mitä eroa EU:n Data Actilla ja GDPR:llä on?

EU:n Data Act ja GDPR ovat kaksi keskeistä EU:n tietolainsäädäntöä, jotka täydentävät toisiaan mutta palvelevat eri tarkoituksia. GDPR keskittyy henkilötietojen suojaamiseen ja yksityisyyteen, kun taas Data Act sääntelee laajemmin datatalouden toimintaa ja datan jakamista etenkin laitteiden ja palveluiden tuottaman tiedon osalta. Data Actin päätavoite on varmistaa reilumpi datatalous, kun GDPR:n ydin on yksilöiden oikeuksien turvaaminen. Molemmat ovat keskeisiä säädöksiä organisaatioille, jotka toimivat EU:n digitaalisessa ympäristössä.

Mitä EU:n Data Act tarkoittaa ja miten se eroaa GDPR:stä?

EU:n Data Act on asetus, joka koskee verkkoon liitettyjen laitteiden tuottamaa dataa ja sen jakamista, kun taas GDPR keskittyy henkilötietojen käsittelyyn ja suojaamiseen. Data Act velvoittaa datan haltijat (tyypillisesti valmistajat) jakamaan laitteiden tuottamaa dataa käyttäjille ilmaiseksi, kun GDPR sääntelee henkilötietojen keräämistä, tallentamista ja käsittelyä.

Data Actin piiriin kuuluvat erilaiset verkkoon liitetyt laitteet teollisuuskoneista kuluttajatuotteisiin, jotka keräävät tietoa käytöstään ja ympäristöstään. Asetusta aletaan soveltaa 12.9.2025 alkaen, ja sitä onkin kutsuttu “esineiden internetin omadatalaiksi”. GDPR:n kohteena ovat puolestaan kaikki toimijat, jotka käsittelevät EU-kansalaisten henkilötietoja.

Näiden lainsäädäntöjen perimmäiset tarkoitukset eroavat toisistaan merkittävästi: GDPR pyrkii suojaamaan yksilöiden yksityisyyttä, kun Data Act tähtää reilumpaan datatalouteen varmistamalla, että laitteiden keräämää dataa voidaan hyödyntää laajemmin. Kumpikin asetus on kuitenkin osa EU:n laajempaa digitaalistrategiaa, jolla pyritään luomaan kilpailukykyistä ja käyttäjäkeskeistä digitaalista toimintaympäristöä.

Mitkä ovat yritysten keskeiset velvollisuudet Data Actin ja GDPR:n alla?

Data Actin keskeinen velvoite yrityksille on asettaa verkkoon liitettyjen laitteiden tuottama data käyttäjän saataville maksutta, helposti ja turvallisesti. Valmistajien on suunniteltava tuotteensa niin, että data on saatavilla joko suoraan tai pyynnöstä. GDPR puolestaan edellyttää henkilötietojen käsittelyn läpinäkyvyyttä, käsittelyperusteita ja rekisteröityjen oikeuksien toteuttamista.

Data Actin mukaan datan haltijan on jaettava käyttäjän pyynnöstä data myös kolmansien osapuolten kanssa, mikä mahdollistaa uusien palveluiden ja innovaatioiden kehittämisen. Jakamisesta voi periä kohtuullisen korvauksen, mutta PK-yrityksille ja tutkimusorganisaatioille kustannukset eivät saa ylittää jakamisesta aiheutuvia kuluja. GDPR:n alla yritysten on puolestaan huolehdittava tietosuojasta ja tietoturvasta sekä dokumentoitava henkilötietojen käsittelytoimet.

Yritysten on dokumentoitava Data Actin mukainen toimintansa eri tavalla kuin GDPR:n alla. Data Act edellyttää tietojen antamista käyttäjälle ennen sopimuksen tekoa datan tuottamisesta ja saatavuudesta, kun taas GDPR vaatii rekisteriselosteiden laatimista ja tietosuojakäytäntöjen dokumentointia.

Miten Data Act ja GDPR vaikuttavat eri tavoin datan omistajuuteen ja siirrettävyyteen?

Data Act luo uuden oikeuden dataan pääsyyn ja sen siirrettävyyteen laitteen käyttäjälle, mikä on merkittävä muutos datan omistajuuteen. Käyttäjä voi pyytää datan jakamista kolmansille osapuolille, mikä avaa uusia mahdollisuuksia datan hyödyntämiseen. GDPR:ssä on myös tietojen siirto-oikeus, mutta se koskee vain henkilötietoja ja siirto tapahtuu yleensä rekisteröidyn aloitteesta.

Data Actin mukaan jakamisvelvoite kattaa raakamuodossa olevan datan ja sitä selittävän metadatan. Jakovelvoitteeseen on kuitenkin poikkeuksia, kuten liikesalaisuuksien suojaaminen tai tuoteturvallisuuden varmistaminen. GDPR:n siirto-oikeus koskee vain niitä tietoja, jotka rekisteröity on itse antanut, ja siirron tulee olla teknisesti mahdollista.

Data Act tuo uuden käsitteen data-altruismista, joka mahdollistaa datan vapaaehtoisen jakamisen yleishyödyllisiin tarkoituksiin. Tämä eroaa GDPR:n lähestymistavasta, jossa henkilötietojen käsittelyyn tarvitaan aina oikeusperuste, kuten suostumus tai oikeutettu etu.

Kuinka organisaation tulisi valmistautua sekä Data Actin että GDPR:n vaatimuksiin?

Organisaatioiden tulisi kartoittaa, mitä verkkoon liitettyjä laitteita ja palveluita niillä on käytössään ja mitä dataa ne tuottavat. Valmistajien on tarkasteltava tuotteisiinsa liittyvää data-arkkitehtuuria ja suunniteltava, miten dataa kerätään, jaetaan ja suojataan turvallisesti koko tuotteen elinkaaren ajan.

Teknisestä näkökulmasta organisaatioiden on rakennettava rajapintoja ja integraatioita, jotka mahdollistavat datan sujuvan jakamisen Data Actin vaatimusten mukaisesti. Samalla on varmistettava, että GDPR:n mukaiset tietosuojavaatimukset täyttyvät, mikä voi edellyttää tietosuojaa koskevia vaikutustenarviointeja ja käsittelyprosessien päivittämistä.

Organisaation kannattaa myös luoda hallintamalli, joka huomioi sekä Data Actin että GDPR:n vaatimukset. Tämä sisältää datan luokittelun, käyttöoikeuksien hallinnan ja prosessit datan jakamiseen liittyviin pyyntöihin vastaamiseksi. Molempien säädösten rikkomisesta voi seurata merkittäviä sanktioita, joten vaatimustenmukaisuuteen on syytä kiinnittää huomiota.

Circles Consulting auttaa organisaatioita valmistautumaan EU:n Data Actin ja GDPR:n vaatimuksiin. Asiantuntijamme tarjoavat räätälöityjä workshop-kokonaisuuksia, joissa perehdytetään henkilöstöä säädöksiin, tunnistetaan mahdollisuuksia ja haasteita sekä laaditaan tiekartta kitkattomaan sopeutumiseen. Toteutamme myös teknisiä ratkaisuja, kuten rajapintoja, integraatioita ja datavarastoja, jotka täyttävät säädösten vaatimukset. Lisäksi tarjoamme hallintamallin, joka on rakennettu erityisesti datalähtöisten säädösten tarpeisiin. Circles Consultingin laaja osaaminen ohjelmistokehityksen, DevSecOpsin ja data-analytiikan saralla mahdollistaa kokonaisvaltaisen tuen digitaalisen sääntelyn-ympäristön muutoksissa.