Datasäädöksen pilvipalveluja koskevat vaatimukset – mitä vaatimuksista tulisi tietää?

Datasäädös sääntelee verkkoon liitettyjen tuotteiden ja niihin liittyvien palvelujen tuottamaa dataa, mutta myös niin sanottuja datankäsittelypalveluja riippumatta siitä, mistä käsiteltävä data on peräisin. Milloin pilvipalvelu on datasäädöksen tarkoittama ”datankäsittelypalvelu”? Mitä velvoitteita datasäädös asettaa palveluntarjoajille ja mitä oikeuksia se luo käyttäjille? Mikä vaikutus datasäädöksellä on pilvipalvelujen sopimusehtoihin ja palvelun vaihtoa koskeviin maksuihin? Näitä kysymyksiä käsiteltiin suositun Datakoulu-webinaarisarjamme jaksossa 9.4.2025. Kokosimme webinaarin keskustelut tähän artikkeliin.

Webinaarissa puhuivat asiantuntijamme Pessi Honkasalo, Liisa Ollberg ja Anni Sofia Kivi-Koskinen.

Mitä datankäsittelypalvelu tarkoittaa ja mitä ominaisuuksia sen tulee sisältää?

Datankäsittelypalvelu tarkoittaa verkkopohjaista, joustavaa ja skaalautuvaa IT-palvelua, joka mahdollistaa resurssien nopean käyttöönoton ja hallinnan pienellä vaivalla. Datasäädöksessä datankäsittelypalveluita käsitellään säädöksen VI luvussa, joka koskee tilanteita, joissa asiakas haluaa vaihtaa yhdestä datankäsittelypalvelusta toiseen datankäsittelypalveluun, joka kattaa saman palvelutyypin ja jota tarjoaa eri datankäsittelypalvelujen tarjoaja, tai ottaa käyttöön useita datakäsittelypalveluja eri tarjoajilta. Asiakas voi myös vaihtaa omissa tiloissaan sijaitsevaan (on premise) tieto- ja viestintätekniseen infrastruktuuriin. Luvun säännöksiä sovelletaan datankäsittelypalvelujen tarjoajien käsittelemään dataan sekä palveluihin, joita tarjotaan asiakkaille Euroopan talousalueella.

Datasäädöksessä olevan datankäsittelypalvelun määritelmän mukaan palvelun tulee olla:

1. Kaikkialla käytettävissä: palvelun tulee olla digitaalinen palvelu, jota voi käyttää erilaisilla päätelaitteilla verkkoselaimista mobiililaitteisiin ja työasemiin.
2. Tarveperusteista verkkokäyttöä: asiakkaan tulee pystyä käyttämään palvelua tai resursseja aina tarvittaessa, ilman etukäteisvarausta tai manuaalista prosessia (on-demand computing).
3. Jaetun joukon konfiguroitavissa: palvelua tulee tarjota useille käyttäjille, joilla on yhteinen pääsy palveluun, mutta prosessoinnin tulee tapahtua käyttäjäkohtaisesti. Asiakkaan tulee voida konfiguroida, eli mukauttaa käytettävissä olevia tietoteknisiä resursseja tarpeidensa mukaan.
4. Skaalattava ja joustava: tietoteknisiä resursseja tulee jakaa muuntuvasti ja vapauttaa käyttöön kysynnän vaihtelun mukaan maantieteellisestä sijainnista riippumatta niin, että resursseja voidaan nopeasti lisätä tai vähentää kuormituksen mukaisesti.
5. Luonteeltaan keskitetty, hajautettu tai pitkälle hajautettu: tietotekniset resurssit voivat olla sijoitettuna yhteen paikkaan, ne voivat sijaita erillisissä verkotetuissa tietokoneissa tai laitteissa, tai ne voivat olla pitkälle hajautettuja (esim. reunalaskenta/edge computing).
6. Hallinnointivaivaltaan minimaalinen: hallinnoinnin tulee tapahtua datankäsittelypalvelun tarjoajan minimaalisella inhimillisellä vuorovaikutuksella.

Mikäli palvelu ei täytä näitä ehtoja, ei kyseessä ole datasäädöksen mukainen datankäsittelypalvelu. Määritelmä kattaa suuren määrän palveluja, mutta yleisen terminologian mukaisesti datankäsittelypalvelut kuuluvat pääsääntöisesti yhteen tai useampaan seuraavista toimitusmalleista: infrastruktuuri palveluna (IaaS), alusta palveluna (PaaS) tai ohjelmisto palveluna (SaaS).

Miten datankäsittelypalvelua voi vaihtaa ja mitä rooleja vaihtoprosessiin liittyy?

Datasäädös edellyttää, että asiakkaiden tulee pystyä siirtymään ilman esteitä datankäsittelypalvelusta toiseen (taikka rinnakkaiskäyttöön tai on premise -inrastruktuuriin). Prosessiin liittyy useita vaiheita aina datan poiminnasta lähdepalvelun tarjoajalta datan siirtämiseen uuteen sijaintiin. Prosessiin liittyy monia tärkeitä käsitteitä ja rooleja, joihin kuuluvat muun muassa:

• Lähdepalvelun tarjoaja: palveluntarjoaja, jonka ekosysteemistä data poimitaan.
• Kohdepalvelun tarjoaja: taho, jonka ekosysteemiin data ladataan, ja jonka tulee kattaa sama palvelutyyppi kuin lähdepalvelun tarjoajan.
• Asiakas: luonnollinen henkilö tai oikeushenkilö, joka on sopimussuhteessa datankäsittelypalvelun tarjoajan kanssa (vaihto-oikeus kattaa sekä B2B- että B2C-suhteet).
• Siirrettävissä oleva data: suoraan tai välillisesti tuotettu syöte- ja tuotosdata asiakkaan palvelun käytöstä. Siirrettävissä olevasta datasta on luettu pois esimerkiksi liikesalaisuuksiksi luokiteltu data.
• Siirrettävissä oleva digitaalinen omaisuus: digitaalisessa muodossa olevat elementit, joihin asiakkaalla on käyttöoikeus (esimerkiksi sovellusdata ja asetusten konfiguroinnin data).

Asiakkaan ja lähdepalvelun tarjoajan välisessä palvelusopimuksessa tulee datasäädöksen soveltamisen alettua olla määriteltynä vaihtamista koskevat sopimusehdot sekä siihen liittyvät asiakkaan oikeudet ja tarjoajan velvoitteet. Prosessin käynnistämiseksi asiakkaan tulee tehdä ilmoitus datankäsittelypalvelun vaihtamisesta lähdepalvelun tarjoajalle, johon kohdistuu tiedonantovelvoitteita ja teknisiä vaatimuksia vaihdon toteuttamiseksi. Vaihtoprosessin tavoitteena on saavuttaa toiminnallinen vastaavuus, eli ylläpitää tiettyä palvelun tasoa asiakkaan vaihtaessa palveluntarjoajaa. Kaikki prosessiin osallistuvat osapuolet ovat velvoitettuja tekemään yhteistyötä vilpittömässä mielessä. Prosessissa voidaan siirtää niin ”digitaalista omaisuutta” kuin ”siirrettävissä olevaa dataa”.

Mitä vaatimuksia palveluntarjoajilla on datankäsittelypalvelun vaihtamisen osalta?

Datasäädöksen palveluntarjoajille asettamat vaatimukset voidaan jakaa kolmeen kategoriaan: teknisiin, informatiivisiin ja sopimuksellisiin vaatimuksiin. Vaatimusten lähtökohtana on säädöksen 23 artikla, joka velvoittaa datankäsittelypalvelun tarjoajaa poistamaan kaikki esteet, joita asiakkaalla voisi olla tarjoajan vaihtamiselle.

Tekniset vaatimukset liittyvät vaihdon teknisten esteiden poistamiseen, korkean turvallisuuden tason säilyttämiseen prosessin aikana sekä teknisiin näkökulmiin toiminnallisesta vastaavuudesta. IaaS-palveluntarjoajien on toteutettava kohtuulliset toimenpiteet vaihdon edistämiseksi sekä tarjottava valmiuksia, dokumentaatiota, teknistä tukea ja tarvittavia työkaluja. SaaS- ja PaaS-palveluntarjoajien on puolestaan tarjottava avoimia rajapintoja (API) sekä tarvittavat tiedot datan siirtämiseksi datasäädöksessä asetettujen maksurajojen puitteissa. Lisäksi SaaS- ja PaaS-palveluntarjoajien tulee varmistaa palveluidensa yhteentoimivuus niin sanottujen EU:n yhdenmukaistettujen standardien ja yhteisten eritelmien kanssa.

Informatiiviset vaatimukset tarkoittavat käytännössä erilaisia tiedonanto- ja avoimuusvelvoitteita sekä asiakkaan tukemista irtautumisstrategian osalta. Asiakasta tulee tiedottaa esimerkiksi palvelujen tarjoamisen jatkuvuuteen liittyvistä riskeistä ja käytettävissä olevista vaihtomenettelyistä, eli vaihtomenetelmistä- ja muodoista sekä palveluntarjoajan tiedossa olevista teknisistä ja muista rajoituksista. Lisäksi datankäsittelypalvelun tarjoajien on asetettava verkkosivuilleen tiedot käytettävän infrastruktuurin lainkäyttöalueesta sekä yleiskuvaus niistä teknisistä, organisatorisista ja sopimusperusteisista toimenpiteistä, jotka datankäsittelypalvelun tarjoaja on toteuttanut kolmannen maan viranomaisten pääsyn estämiseksi Euroopan talousalueella olevaan muuhun dataan kuin henkilötietoihin.

Sopimuksellisiin vaatimuksiin kuuluu vaatimus huolehtia siitä, että datankäsittelypalvelua koskeva sopimus sisältää datasäädöksen VI luvun vaihdolle asettamat vaatimukset. Vastaavasti kuin yleisen tietosuoja-asetuksen 28 artikla, joka asettaa vaatimuksia rekisterinpitäjän ja henkilötietojen käsittelijän välisen sopimuksen sisällölle, asetetaan myös datasäädöksessä vaatimuksia sopimuksen sisällölle. Keskeisimmät datankäsittelypalveluntarjoajan vaihtamista koskevat sopimukselliset vaatimukset liittyvät irtisanomisaikoihin ja vaihtomaksujen asteittaiseen poistamiseen 12.1.2027 mennessä. Datasäädöksen VI luku asettaa pakottavan irtisanomisehdon myös määräajaksi tehdyille sopimuksille, joka palveluntarjoajan vinkkelistä pakottaa arvioimaan mekanismeja vuotuisen toistuvan liikevaihdon (ARR) säilyttämiselle. Voit lukea lisää aiemmin julkaisemastamme artikkelista: The EU Data Act and SaaS: How to secure annual recurring revenue amid mandatory termination rights.

Sopimusehtoja muotoillessa kannattaa tarkastella Euroopan komission hiljattain suosittelemia standardimuotoisia vakiosopimuslausekkeita (standard contractual clauses, SCC:t). Ne eivät ole sitovia, eikä niitä ole pakko käyttää, mutta ne sisältävät vaihtoprosessin kannalta olennaisia näkökohtia ja voivat toimia hyödyllisenä lähtökohtana sopimusehdoille tarvittavien muutosten arvioinnissa.

Ilmoittaudu mukaan kevään viimeiseen Datakoulun jaksoon!

Technology, Data ja IP -praktiikkamme jatkaa mielellään kanssasi keskusteluja Datakoulun aiheista. Datakoulusta on myös tämän kevään osalta jäljellä vielä yksi jakso datan ja tekoälysääntelyn valvonnasta 7.5.2025 klo 9–10, johon voit ilmoittautua kuulolle Datakoulun verkkosivujen kautta.