ARTICLE
9 September 2024

Datasäädöksen pilvipalvelun vaihtamista koskevat määräykset

11.1.2024 voimaan tulleen datasäädöksen (Data Act) suhteen suurin mielenkiinto on keskittynyt sen II ja III lukuihin, jotka koskevat tuotteiden ja niiden oheispalveluiden keräämän datan...
Finland Privacy

11.1.2024 voimaan tulleen datasäädöksen (Data Act) suhteen suurin mielenkiinto on keskittynyt sen II ja III lukuihin, jotka koskevat tuotteiden ja niiden oheispalveluiden keräämän datan asettamista käyttäjien ja kolmansien osapuolten saataville. Nämä osiot datasäädöksestä tulevat vaadittavien toimenpiteiden osalta olemaan säädöksen merkittävin osa. Kuitenkin, jos datasäädöstä arvioidaan sen perusteella, kuinka montaa yksittäistä toimijaa kukin osio jollakin tapaa koskettaa, säädöksen VI luku datankäsittelypalvelujen vaihtamisesta on todennäköisimmin vähintään yhtä laajalti vaikuttava. 

Datankäsittelypalvelut

Datasäädöksen mukainen datankäsittelypalvelu tarkoittaa palveluja, jotka tarjoavat käyttäjille joustavaa ja skaalautuvaa pääsyä jaettuihin tietoteknisiin resursseihin, kuten verkkoihin, palvelimiin, ohjelmistoihin ja sovelluksiin, ilman merkittävää hallinnointia tai vuorovaikutusta palveluntarjoajan kanssa. Palvelut voidaan toteuttaa eri tavoin, kuten infrastruktuuri palveluna (IaaS), alusta palveluna (PaaS), ohjelmisto palveluna (SaaS) tai näiden muunnelmina. Näitä palveluja voidaan käyttää erilaisilla päätelaitteilla, ja ne mukautuvat käyttäjien tarpeisiin ja kysynnän vaihteluihin, mahdollistamalla resurssien nopean lisäämisen tai vähentämisen. Kuulostaa siis erittäin laajalta joukolta erilaisia IT-palveluja, vaikkakin esimerkiksi asiakasta varten räätälöidyt palvelut tai testattavaksi rajoitetun ajan tarjotut muut kuin vakiomuotoiset palvelut onkin suljettu soveltamisalan ulkopuolelle. 

Datankäsittelypalvelun määritelmää lukiessa saa siis helposti sen kuvan, että se kattaa erittäin laajan joukon palveluita. Merkitseväksi määritelmän osaksi ja soveltuvuutta rajoittavaksi tekijäksi muodostuu kuitenkin sen ”-- siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen --” -osio. Käytännössä siis vaikuttaisi, että mikäli palvelun käyttöönotto edellyttää mitä tahansa palveluntarjoajan suorittamaa vähäistä suurempaa toimenpidettä, se rajaisi tällaisen palvelun soveltamisalan ulkopuolelle. Eli säädöksen kohteena olisivat ennen kaikkea ”self service” -tyyppiset palvelut, joissa asiakas kykenee itse nopeasti ja yksipuolisesti ottamaan käyttöön, poistamaan käytöstä ja skaalaamaan palvelua. Tästä rajoituksesta huolimatta määritelmän mukaisia datankäsittelypalvelun tarjoajia on vähintäänkin tuhansia ja asiakkaina erittäin merkittävä osa kaikista yrityksistä. Toisaalta myös kuluttaja-asiakkaat hyötyvät datasäädöksen datankäsittelypalvelujen tarjoajille asettamista vaatimuksista, sillä velvoitteet ovat voimassa myös B2C suhteissa. 

Keskiössä palvelujen tehokas vaihtaminen

Datasäädöksen VI luvun tavoite on helpottaa pilvipalvelujen tarjoajan vaihtamista (tai palvelun siirtämistä asiakkaan omaan infrastruktuuriin) ja sitä kautta madaltaa datankäsittelyn kustannuksia lisääntyvän kilpailun kautta. Erityisesti todetaan, että palvelujen tarjoajien on oltava asettamatta ja poistettava esikaupallisia, kaupallisia, teknisiä, sopimusperusteisia ja organisatorisia esteitä, jotka estävät tai vaikeuttavat palvelun asiakasta vaihtamasta palveluntarjoajaa tai siirtämästä dataa pois palvelusta. Käytännön tasolla tämä tarkoittaa sitä, että palveluntarjoaja on velvoitettu toteuttamaan esimerkiksi seuraavat toimenpiteet: 

  • Täytettävä erinäisiä asiakkaiden informointivelvoitteita palvelun eri vaiheissa 
  • Palvelua koskeviin sopimuksiin tulee sisällyttää määrättyjä ehtoja 
  • Datan poimiminen, muuntaminen ja lataaminen asiakkaan saataville standardoidussa muodossa, kun vaihtoa pyydetään sekä datan poistaminen määrätyn datan hakuajan päätyttyä 
  • Kohtuullisen avun antaminen vaihtoprosessissa 
  • Toimittava huolellisesti palvelun toiminnallisuuksien jatkuvuuden ylläpitämiseksi 
  • Antaa siirtoon liittyviä tietoja riskeistä palvelun jatkuvuuteen liittyen 
  • Datan tietoturvallisen siirtomekanismin järjestäminen niin, että siinä on sama turvataso kuin palvelussa 
  • Perustettava verkkorekisteri, jossa yksityiskohtaiset tiedot palvelun datarakenteista ja muista seikoista 
  • Yhteistyön tekeminen vilpittömässä mielessä asiakkaan ja siirron kohteen kanssa, jotta siirtoprosessi on tehokas, oikea-aikainen ja palvelun jatkuvuus taataan 
  • Avattava rajapintoja datan siirtämiseksi 
  • Yhteensopivuusvaatimuksia myöhemmin julkaistavan standardin mukaisesti 

Vaihtomaksujen poistaminen

Lisääntyneiden velvoitteiden ohella palveluntarjoajien mahdollisuutta laskuttaa palvelun vaihtamista koskevia maksuja rajoitetaan. Vaihtomaksuja on tyypillisesti peritty sekä kattamaan palveluntarjoajalle vaihtoprosessista aiheutuneita kustannuksia mutta myös luomaan keinotekoista taloudellista lisäpidäkettä vaihtamista harkitsevalle asiakkaalle. Välittömästi datasäädöksen voimaantulon seurauksena eli jo tammikuusta 2024 alkaen palveluntarjoajat voivat laskuttaa asiakkailtaan vaihtomaksuina ainoastaan summan, joka vastaa palveluntarjoajan sellaisia omia kustannuksia, jotka liittyvät välittömästi asianomaiseen vaihtoprosessiin. Kolmen vuoden siirtymäajan jälkeen eli vuoden 2027 tammikuusta alkaen vaihtoprosessista ei enää saa periä minkäänlaisia vaihtomaksuja. 

Vaihtomaksujen poistaminen kannustaa palveluntarjoajia kehittämään palveluitaan ja niihin liittyviä datan siirtämistä helpottavia ominaisuuksia siten, että vaihtaminen onnistuu jatkossa mahdollisimman pitkälti automatisoidusti ilman palveluntarjoajan myötävaikutusta yksittäistapauksissa. Mitään erityistä velvoitetta uusien vaihtamista helpottavien työkalujen kehittämiselle tai käyttöönotolle ei kuitenkaan datasäädöksessä aseteta, vaan asian tarkoituksenmukainen järjestäminen jää jokaisen palveluntarjoajan oman harkinnan varaan. 

Määräaikaiset sopimukset

Yksi poistettavista sopimuksellisista esteistä on datan siirtämistä koskevan ilmoitusajan rajoittaminen. Lähtökohtana palvelun datan tulee olla siirtovalmiina vaihtoprosessin aloittamista koskevan kahden kuukauden enimmäisilmoitusajan jälkeen ja siirto pitää suorittaa kuukauden enimmäissiirtymäajan kuluessa. Käytännössä siis palvelusta pitää päästä irrottautumaan kolmen kuukauden kuluessa käyttäjän ilmoituksesta. Monimutkaisemmille palveluille tätä aikaa voidaan pidentää, samoin asiakkaan niin pyytäessä. Nämä aikarajoitukset eivät kuitenkaan tarkoita sitä, etteikö määräaikaisia sopimuksia palveluista voisi tehdä. Määräaikaisiin sopimuksiin voidaan lisäksi liittää myös niiden ennenaikaista päättämistä koskevia seuraamusmaksuja, mutta niiden on oltava ”oikeasuhtaisia”. Oikeasuhtaisuuden tulkintaan datasäädös ei juuri tarjoa helpotusta. Voidaan kuitenkin olettaa, että jos esimerkiksi kolmen vuoden määräaikainen sopimus irtisanotaan sen ensimmäisen vuoden puolivälissä, oikeasuhtaista ei ole laskuttaa seuraamusmaksuna koko kolmen vuoden sopimuskauden arvoa. Seuraamusmaksut pitää lisäksi erikseen määritellä jo palvelua koskevassa sopimuksessa, jotta niitä voi asiakkailta periä. 

Käytännön vaikutukset ja varautuminen

Soveltamisalassa olevien datankäsittelypalvelujen tarjoajien tulee huomioida datasäädöksen velvoitteet vaihtomaksujen rajoittamisen osalta jo nyt. Laskutettavien vaihtomaksujen tulee perustua todellisiin, aiheutuneisiin kustannuksiin. Vaihtomaksujen lopulliseen poistumiseen vuonna 2027 kannattaa myös varautua jo tässä vaiheessa rakentamalla palvelut niin, että asiakkaiden data on niistä mahdollisimman yksinkertaisesti siirrettävissä ja poistettavissa, jolloin minimoidaan tulevaisuuden täysin tuottamattoman työn määrä. 

Ennen syyskuuta 2025 soveltamisalaan kuuluvaa palvelua koskevat sopimukset tulee myös täydentää uusilla datasäädöksen vaatimilla osioilla. Samoin tulee perustaa säädöksen edellyttämä verkkorekisteri, luoda rajapinnat palveluun ja täydentää tuotedokumentaatio. 

Tarkemmin datasäädöksen datankäsittelypalvelujen tarjoajille asettamiin velvoitteisiin ja säädöksen muuhun sisältöön pääsee tutustumaan täällä.

Originally Published 20 May 2024

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More