19.02.2026 | Kukapa meistä ei muistaisi sitä uutisoinnin määrä – tulkintoja, pelkoja ja mahdollisuuksia – joita EU:n suuri tietosuoja-asetus (tuttavien kesken GDPR) aiheutti tullessaan voimaan vuonna 2018? Asetus toi mukaan lukuisia tietosuojaan liittyviä vaatimuksia, jotka vaativat paljon työtä ja joiden kanssa on opittu elämään. Teknologisen kehityksen ja tekoälyn yleistymisen myötä on tullut myös uutta sääntelyä. Tässä blogissa osanaa Efimaa toimivan Sparta Consultingin asiantuntija Kalle Ahonen tarjoaa katsauksen siihen, mitä vaatimuksia EU:n datasäädös (Data Act) tuo yrityksille ja kuinka määrätietoinen tiedonhallinta auttaa vastaamaan niihin.
EU:n datasäädöstä (Data Act) on alettusoveltaa 12.9.2025 alkaen. Datasäädöksen tarkoituksena on selkeyttää datanpelisääntöjä, helpottaa datan jakamista sekä edistää sen hyödyntämistä EU:nsisämarkkinoilla. Tavoitteena on luoda uusia innovaatioita ja vahvistaaEuroopan kilpailukykyä.
Kenen tulee huomioida datasäädöksen vaikutukset?
Datasäädös keskittyy erityisesti verkkoon kytkettyjen tuotteiden eli ns. IoT-laitteiden sekä niihin liittyvien palveluiden keräämän datan saatavuuteen, siirrettävyyteen ja hallintaan. Kuluttajalle tuttuja esimerkkejä tällaisista laitteista ovat internetiin kytkettävät kodinkoneet, älykellot ja ajoneuvot. Laajemmin nämä laitteet kattavat myös esimerkiksi valmistavan teollisuuden ja maatalouden koneet.
Datasäädös pyrkii lisäksi helpottamaan datankäsittelypalveluiden – erityisesti pilvipalvelut, kuten SaaS, PaaS, IaaS sekä reunalaskenta – vaihtamista. Samalla se suojaa erityisesti pieniä ja keskisuuria yrityksiä isompien toimijoiden yksipuoleiselta sanelupolitiikalta kieltämällä dataan liittyvät kohtuuttomat sopimusehdot.
Käytännön vaikutukset
Datasäädös velvoittaa laitevalmistajia (datan haltija) suunnittelemaan laitteensa siten, että käyttäjä voi saada käyttöönsä laitteiden tuottaman datan joko suoraan yhteensopivan rajapinnan kautta tai pyynnöstä toimitettuna. Lisäksi datan haltijoilla on erityistapauksissa velvoite jakaa dataa julkisen sektorin toimijoille esimerkiksi hätätilaan, kuten pandemiaan, luonnonkatastrofiin tai vakavaan kyberuhkaan reagoimiseksi.
Käyttäjä (yksityishenkilö tai organisaatio) voi hyödyntää dataa omaan käyttöönsä tai jakaa sen eteenpäin esimerkiksi huoltoa tai lisäpalveluita varten kolmannelle osapuolelle (datan vastaanottaja). Esimerkiksi auton tuottama data voidaan luovuttaa auton käyttäjälle, joka voi sopia huoltoyrityksen kanssa datan jakamisesta. Tällä tavoin säädös purkaa riippuvuutta valmistajasta ja mahdollistaa uusien dataperustaisten liiketoimintojen syntymisen. Perusajatus on, että data ei kulu käytössä, vaan sen jakaminen voi jalostaa lisäarvoa ja synnyttää uusia palvelumarkkinoita.
Edellä mainittuun datajakovelvoitteeseen liittyy kuitenkin tiettyjä, olennaisia rajoituksia, sillä sen piirissä on lähtökohtaisesti vain laitteiden tuottama, helposti saatavilla oleva raakadata, esikäsitelty data sekä niiden tulkitsemiseksi tarvittava metadata, muttei jalostettu, johdettu tai päätelty data.
Datasäädös edistää myös pilvipalveluiden vaihtamista helpottamalla sopimuksien irtisanomista sekä velvoittamalla palveluntarjoajia rakentamaan yhteensopivia teknisiä rajapintoja, joiden kautta data voidaan siirtää helposti palvelusta toiseen sopimussuhteen päättyessä. Tämä ehkäisee ns. vendor lock -ilmiötä eli riippuvuutta yhdestä palveluntarjoajasta.
Datasäädös ja GDPR
Datasäädöksestä on puhuttu "datan GDPR:nä", ja tämä vertaus EU:n tietosuoja-asetukseen on monin tavoin osuva. Datasäädöksen myötä käyttäjällä on entistä paremmat mahdollisuudet hallinnoida ja päättää omasta datastaan.
On kuitenkin tärkeää huomioida, että datasäädös ei korvaa tietosuoja-asetusta tai muuta henkilötietojen käsittelyä koskevaa lainsäädäntöä. GDPR sekä sitä täydentävä kansallinen lainsäädäntö ovat edelleen voimassa sellaisenaan, ja niiden vaatimukset on otettava huomioon myös silloin, kun hyödynnetään datasäädöksen tarjoamia oikeuksia – esimerkiksi tiedonsiirtojen yhteydessä.
Miten organisaation tulisi valmistautua datasäädökseen?
Roolit, vastuut ja oikeudet
Tiedolla johtaminen ja digitalisaatio ovat olleet organisaatioiden keskeisiä prioriteetteja jo vuosien ajan, lähes toimialasta tai kokoluokasta riippumatta. Datasäädös haastaa organisaatiot tarkastelemaan tiedonhallintaa uudesta näkökulmasta: mikä on organisaation rooli – haltija, käyttäjä, vastaanottaja vai mahdollisesti useampi näistä? Tämä roolitus vaikuttaa siihen, mitä velvoitteita ja oikeuksia datasäädös tuo mukanaan. Samalla se avaa uusia mahdollisuuksia datan hyödyntämiseen liiketoiminnassa.
Tiedonhallinta kuntoon
Hyvä lähtökohta datasäädöksen vaatimusten täyttämiseen on kartoittaa, mitä dataa organisaatio tällä hetkellä kerää, missä se sijaitsee, miten sitä käsitellään ja kuka siihen pääsee käsiksi. Toimenpiteenä tämä vertautuu siihen, mitä tehtiin henkilötietojen osalta GDPR:n soveltamisen yhteydessä, mutta viimeistään tässä kohtaa se on hyvä ulottaa se koskemaan kaikkea organisaation dataa.
Seuraavaksi organisaation tulisi luoda itselleen tiedonhallinnan säännöt (Data Governance), jotka ottavat kantaa datan omistajuuteen ja luovat edellytykset dataa koskevalle päätöksenteolle, datakulttuurin rakentumiselle sekä tiedolla johtamiselle. Hyvin suunniteltu tiedonhallintamalli auttaa organisaatiota määrittelemään datalle roolit ja vastuut, standardit ja laatusäännöt sekä edistää tiedonhallinnan prosessien ja käytäntöjen luomista, jotka varmistavat datan mitattavuuden ja jäljitettävyyden.
Nämä toimenpiteet ovat edellytyksiä sille, että organisaatio tunnistaa datasäädöksen vaikutukset omaan toimintaansa ja kykenee kytkemään sen mukanaan tuomat velvoitteet ja mahdollisuudet osaksi omaa operatiivista toimintaansa.
Sopimukset
Datasäädös vaikuttaa monella tapaa myös voimassa oleviin sopimuksiin, koska ensinnäkin datan haltijoilla, kuten IoT-laitteiden valmistajilla, ei ole enää lähtökohtaisesti oikeutta käyttää laitteen tuottamaa dataa omiin tarkoituksiinsa, vaan se edellyttää sopimusta datan haltijan ja käyttäjän välillä. Lisäksi huomiotavaksi tulee eri osapuolien vastuut ja velvoitteet sekä esimerkiksi liikesalaisuuksien suojakeinoista sopiminen osana datanjakoa. Pilvipalvelusopimuksien osalta tulee huomioida datankäsittelypalveluiden vaihtamista koskevat vaatimukset.
Datasäädös edellyttää oikeudenmukaisia, kohtuullisia ja syrjimättömiä sopimusehtoja. Organisaation olisikin siis hyvä käydä läpi omat sopimuspohjansa sekä kartoittaa, millaisia sopimuksia sillä on tällä hetkellä niin asiakkaidensa kuin toimittajiensa kanssa ja mitä mahdollisia vaikutuksia datasäädöksellä on niihin.
Tekniset vaatimukset
Verkkoon kytkettyjen laitteiden tuottama data on oltava helposti saatavilla, koneluettavassa muodossa ja turvallisesti jaettavissa. Tekninen infrastruktuuri on keskeisessä roolissa datasäädöksen vaatimusten täyttämisessä. Datankäsittelypalvelujen tarjoajien on tarjottava tukea palvelunvaihdon yhteydessä muun muassa dokumentaation, avoimien rajapintojen sekä teknisen tuen osalta. Hyvän tiedonhallinnan ja dokumentoinnin avulla myös tekniset vaatimukset ovat helpommin ratkaistavissa.
Datasäädös ei ole pelkkää sääntelyä
Datasäädös ei ole pelkkä sääntelykehys, vaan mahdollisuus rakentaa luottamusta, parantaa kilpailukykyä ja kehittää datalähtöisiä palveluita vastuullisesti. Oman roolin ymmärtäminen ja siihen liittyvien velvoitteiden täyttäminen on keskeistä tulevaisuuden datataloudessa.
Oman haasteensa asettaa myös alati muuttuva sääntely-ympäristö. Esimerkiksi tuore EU Digital Omnibus -lainsäädäntöesitys pyrkii yksinkertaistamaan EU:n yleistä tietosuoja- sekä tekoälysasetusta, mutta se sisältää myös datasäädöstä koskevia muutosehdotuksia, kuten datan jakamista koskevien liikesalaisuuksien suojan tarkentaminen ja pk-yritysten velvoitteiden keventäminen.
Mitä paremmin organisaatio on tästä kokonaisuudesta perillä ja pystyy mukauttamaan toimintaansa vaatimustenmukaiseksi, sitä parempi mahdollisuus sillä on erottua kilpailijoistaan ja sääntelyyn vastaamalla luoda kilpailuetua itselleen.
Miten lähteä liikkeelle?
Datasäädöksen asettamien vaatimusten selvitykseen kannattaa etsiä tukea kokeneilta alan toimijoilta. Sparta Consultingilla on vuosien vankka kokemus digitaalisen liiketoiminnan ja tiedonhallinnan kehittämisestä eri asiakkaille vahvasti säännellyissä toimintaympäristöissä muun muassa valmistavan teollisuuden, tietoliikenne-, finanssi- ja energiatoimialoilla ja on kumppaniverkostoineen auttanut monia yrityksiä sääntelyn asettamien haasteiden ratkaisemisessa liiketoimintalähtöisesti.
Tunnemme sääntelyn ja monien erityislakien vaikutukset tiedonhallintaan. Jos kaipaat tiedonhallinnan ja sääntelyn tuntevaa kumppania, ole meihin rohkeasti yhteydessä!
Sparta Consulting on tiedonhallinnan ja datan johtamisen asiantuntijayritys, joka tarjoaa kokonaisvaltaisia ja vaikuttavaa tiedonhallintaa. Keväällä 2025 Sparta liittyi osaksi Efimaa. Yhdessä toteutamme älykkäitä, datalähtöisiä ratkaisuja ja alustoja, jotka tukevat organisaatioiden kestävää kasvua, vahvistavat strategista päätöksentekoa sekä mahdollistavat digitaalisen transformaation ja regulaationmukaisuuden eri toimialoilla.
