EU:n datasäädöksen (Data Act) soveltaminen alkaa 12.9.2025.
Datasäädöksellä mahdollistetaan datan arvon oikeudenmukainen jakautuminen vahvistamalla selkeät ja oikeudenmukaiset säännöt dataan pääsylle ja sen käytölle Euroopan datataloudessa. Datasäädöksellä mm. parannetaan datan tuottamiseen osallistuvien yritysten ja kuluttajien oikeusvarmuutta, edesautetaan tasapuolista datan yhteiskäyttöä sekä luodaan puitteet sille, että asiakkaat voivat tosiasiallisesti vaihtaa datankäsittelypalvelujen tarjoajaa EU:n pilvipalvelumarkkinoiden avaamiseksi. Datasäädös täydentää datahallintosäädöstä, jota alettiin soveltaa syyskuussa 2023.
Datasäädös soveltuu internetverkkoon liitettyihin tuotteisiin (esineiden internet, Internet of Things, IoT) ja niihin liittyviin palveluihin ja niiden generoimaan ja keräämään dataan. Tämän ohella datasäädös soveltuu datankäsittelypalveluihin (esim. IaaS, SaaS ja PaaS).
Tässä blogikirjoituksessa avaamme säädöksen keskeiset velvoitteet ja vaikutukset.
Mitkä ovat datasäädöksen velvoitteet laitevalmistajille?
Sääntelyä sovelletaan verkkoon liitettyihin tuotteisiin ja niihin liittyviin palveluihin, jotka on saatettu markkinoille 12.11.2026 jälkeen.
Säädöksen keskeinen lähtökohta on, että laitteiden tuottama data kuuluu ensisijaisesti käyttäjälle. Tämä merkitsee huomattavaa muutosta niille valmistajille, jotka ovat tottuneet pitämään datan hallinnan kilpailuetunaan. Säädöksen mukaan verkkoon liitetyt laitteet on suunniteltava ja valmistettava siten, että laitteen data ja siihen liittyvän palvelun data, ovat suoraan käyttäjän saatavilla helposti, turvallisesti ja maksutta, kattavassa, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Sanottu koskee myös metadataa silloin kuin se on saatavissa, ja joka on tarpeen laitteeseen sisältyvän datan tulkitsemiseksi ja käyttämiseksi. Jatkossa valmistajan on tarjottava tekniset ratkaisut, joiden avulla käyttäjä voi saada datan itselleen ja jakaa sen kolmannelle osapuolelle, kuten esimerkiksi huoltopalvelu- tai analytiikkayritykselle. Tämä kolmas osapuoli voi käyttää käyttäjältä vastaanottamaansa tai tämän pyynnöstä välitettyä dataa vain käyttäjän kanssa sovittuihin tarkoituksiin ja käyttäjän kanssa sovituin ehdoin. Datasäädöksen mukaan laitevalmistajien ja palveluntarjoajien on jo suunnitteluvaiheessa varmistettava, että laitteet keräävät ja tallentavat dataa niin, että käyttäjä voi päästä dataan helposti käsiksi.
Datan luovuttamisvelvoite koskee jalostamatonta dataa eli datan jatkokäsittelyn, rikastamisen ja siitä tehtyjen päätelmien tulokset eivät ole luovutusvelvoitteen piirissä. Datan haltijan mahdollisuus kieltäytyä luovuttamasta dataa esimerkiksi liikesalaisuuksiin tai tuoteturvallisuuteen vedoten on rajallinen. Liikesalaisuuden rajat eivät ole aina yksiselitteiset ja datasäädöksen myötä voi tulla mielenkiintoisia rajanvetoja. Myös osapuolten väliset erimielisyydet ja jopa riitaisuudet voivat lisääntyä liikesalaisuuksien rajoja määriteltäessä.
Jatkossa datan haltija voi käyttää tai luovuttaa dataa ainoastaan käyttäjän kanssa tekemänsä sopimuksen perusteella. Mikäli esimerkiksi laitteen valmistaja haluaa siis käyttää dataa vaikkapa omaan tuotekehitykseensä tai myydä dataa jollekin kolmannelle taholle, siitä pitää erikseen sopia laitteen käyttäjän kanssa.
Mitkä ovat datasäädöksen velvoitteet datankäsittelypalvelun tarjoajille?
Datan saataville asettamiseen liittyvää sääntelyä sovelletaan 12.9.2025 alkaen.
Datankäsittelypalvelun, tuttavallisimmin pilvipalvelun, käsite on laaja ja kattaa nykypäivänä suuren osan IT-palveluista, koska tähän lukeutuu myös mm. SaaS-palvelut. Siirtyminen pilvipalvelusta toiseen pilvipalveluun helpottuu, koska pilvipalveluntarjoajien on helpotettava palvelun vaihtamista ja datan siirtämistä palvelusta toiseen. Tämä vähentää niin sanottua toimittajalukkoa ja pakottaa pilvipalveluntarjoajat kilpailemaan palvelun laadulla ja hinnoittelulla sen sijaan, että asiakas jäisi kiinni teknisiin tai sopimuksellisiin esteisiin. Siirtymävaiheessa palveluntarjoajat voivat periä siirtomaksuja, mutta niiden on oltava kohtuullisia ja alenevia, ja lopulta, 12.1.2027 alkaen, siirron on oltava maksutonta.
Pilvipalveluntarjoajan asiakassopimukseen on jatkossa sisällytettävä tiettyjä pakollisia ehtoja. Pakollisia sopimusehtoja laadittaessa on samalla otettava huomioon datasäädöksen yksityiskohtaiset säännöt epäoikeudenmukaisista sopimusehdoista koskien datan käyttöön ja pääsyyn liittyviä yksipuolisia sopimusehtoja. Sääntöjen mukaan yrityksen toiselle yritykselle asettamat velvoitteet eivät sido jälkimmäistä yritystä, jos sopimusvelvoitteet ovat epäoikeudenmukaisia. Datasäädös määrittää, mitä tässä yhteydessä pidetään epäoikeudenmukaisena ja yksipuolisesti asetettuna sopimusehtona.
Kaikkien pilvipalveluntarjoajien on syytä käydä läpi omat sopimusehtonsa ja päivittää ne datasäädöksen mukaisiksi. Vastaavasti pilvipalvelun ostajien kannattaa olla hereillä ja tarkistaa, että sopimukset ovat linjassa datasäädöksen heille tarjoamien oikeuksien kanssa.
Lopuksi?
Mikäli data sisältää henkilötietoja, sovelletaan niiden käsittelyyn henkilötietojen käsittelyä koskevaa sääntelyä, kuten EU:n yleistä tietosuoja-asetusta (GDPR). Verkkoon liitettyjen tuotteiden valmistajien ja tarjoajien on keskeistä identifioida, mikä data on henkilötietoa ja mikä ei sekä henkilötietojen osalta toteutettava datasäädöksen ohella myös tietosuoja-asetuksen velvoitteet, koska tietosuoja-asetus on ensisijainen suhteessa datasäädökseen.
Auttaakseen yrityksiä selviytymään näistä uusista säännöistä Euroopan komissio tulee julkaisemaan hyvinkin yksityiskohtaiset ei-sitovat mallisopimusehdot, joilla autetaan yrityksiä tekemään oikeudenmukaisia, kohtuullisia ja syrjimättömiä datan yhteiskäyttösopimuksia. Näissä ehdoissa annetaan myös ohjeita kohtuullisesta korvauksesta ja liikesalaisuuksien suojaamisesta. Komissio tulee julkaisemaan myös ei-sitovia vakiosopimuslausekkeita pilvipalvelujen käyttäjien ja tarjoajien välisiin pilvipalvelusopimuksiin. Aika tulee näyttämään, miten yritykset ottavat vastaan nämä mallisopimuslausekkeet ja sen, aletaanko niitä soveltamaan käytännössä laajemminkin vai laativatko yritykset itsenäisesti omat täysin omaan tarkoitukseensa parhaiten soveltuvat sopimusehdot, jotka ovat linjassa datasäädöksen kanssa. Erilaisten sopimusehtojen markkinakäytäntöihin mallisopimuslausekkeilla tulee arviomme mukaan olemaan kuitenkin varmasti vaikutusta.
Teknologiatiimimme avustaa mielellään myös datasäädökseen liittyvissä kysymyksissä.
Osmo Lipponen
Senior Counsel
050 439 1899
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
EU:n digisääntely on viime vuosina kokenut mittavan murroksen. Uutta lainsäädäntöä on tullut nopealla tahdilla niin verkkopalvelujen, tekoälyn, datan käytön kuin kyberturvallisuudenkin osalta. Eikä tahti näytä hidastuvan – uusia velvoitteita on tulossa sovellettavaksi myös lähitulevaisuudessa.
Koostimme alle tilannekatsauksen siitä, mitä digisääntelyn kentällä on hiljattain tapahtunut ja millaisia uusia velvoitteita on näköpiirissä.
Suuret verkkoalustat piinapenkissä
EU:n digipalvelusäädös (DSA) astui voimaan vaiheittain vuosina 2023–2024, ja se velvoittaa laajasti erilaisia digipalvelualustoja muun muassa puuttumaan laittomaan sisältöön ja parantamaan läpinäkyvyyttä suhteessa käyttäjiin. Komissio ja kansalliset valvojat ovat jo käynnistäneet ensimmäisiä valvontatoimia: esimerkiksi X:ää tutkitaan mahdollisista rikkomuksista käyttäjiä manipuloiviin käytäntöihin ja mainonnan läpinäkyvyyteen liittyen.
Ns. portinvartijoina toimivat erittäin suuret verkkoalustat ovat joutuneet päivittämään käytäntöjään toukokuusta 2023 alkaen myös EU:n digimarkkinasäädöksen (DMA) myötä. Digimarkkinasäädöksellä on pyritty parantamaan kilpailua ja läpinäkyvyyttä suurten teknologia-alustojen ekosysteemeissä. Huhtikuussa 2025 Euroopan komissio langetti ensimmäiset sakot digimarkkinasäädöksen puitteissa. Apple sai 500 miljoonan euron seuraamuksen App Storessa asetetuista rajoituksista, joiden myötä sovelluskehittäjät eivät voineet riittävästi hyödyntää vaihtoehtoisia jakelualustoja. Metalle määrättiin 200 miljoonan euron sakko sen soveltamasta ”consent or pay” -mallista, joka edellytti Facebookin ja Instagramin käyttäjiltä maksua vastineeksi rajatummasta henkilötietojen käsittelystä.
Kohti riskiperustaista tekoälysääntelyä
Tekoälyhypen ollessa kuumimmillaan EU:n tekoälysäädöksen (AI Act) ensimmäiset velvoitteet alkoivat soveltua helmikuussa 2025. Kaikkien kielletyn riskiluokan tekoälyjärjestelmien kehittäminen, tarjoaminen ja käyttö on tullut lopettaa. Organisaatiot ovat lisäksi joutuneet pohtimaan, millaisilla koulutuksilla ja muilla toimenpiteillä ne täyttävät velvoitteensa varmistaa riittävä tekoälylukutaito.
Avoimeksi jääneiden kysymysten selventämiseksi komissio julkaisi alkuvuodesta 2025 ei-sitovaa ohjeistusta mm. tekoälyjärjestelmän määritelmästä, kielletyistä tekoälykäytännöistä sekä tekoälylukutaitoa koskevasta velvoitteesta. Pian ollaan taas uuden äärellä, kun muut tekoälysäädöksen velvoitteet tulevat asteittain sovellettaviksi vuosien 2025–2027 aikana. Erityisesti korkean riskin tekoälyjärjestelmiä koskevat velvoitteet tulevat vaikuttamaan sekä tarjoajien että käyttöönottajien toimintaan.
Reiluja pelisääntöjä datamarkkinoille
Datan saadessa yhä keskeisempää merkitystä yhteiskunnassa EU on pyrkinyt mahdollistamaan datan vapaan liikkuvuuden sisämarkkinoilla eri toimijoiden välillä. Keskeinen sääntelyhanke tämän strategian tukemiseksi on datasäädös (Data Act), jonka velvoitteista suurinta osaa aletaan soveltaa 12.9.2025 alkaen. Sääntelyn kohteena ovat erityisesti verkkoon kytketyt laitteet (IoT), joiden käyttäjille on jatkossa annettava pääsy laitteen tuottamaan dataan. Datasäädös myös kieltää kohtuuttomien dataan liittyvien sopimusehtojen soveltamisen, jos ne on asetettu yksipuolisesti toiselle yritykselle.
Datasäädös tulee vaikuttamaan myös pilvipalveluihin, ja ”vendor lock-in” -tilanteiden odotetaan jäävän sen myötä pitkälti historiaan. Pian esimerkiksi pilvipalvelun vaihtamista rajoittavat vaihtomaksut poistuvat asteittain, pilvipalveluntarjoajilla on velvollisuus avustaa palvelun vaihtamisessa, ja asiakkailla on oikeus irtisanoa pilvipalvelu kahden kuukauden irtisanomisajalla. Lähitulevaisuus näyttää, millaisiksi tarkemmat sopimuskäytännöt muodostuvat ja millaisia vaikutuksia datasäädöksen velvoitteilla on esimerkiksi pilvipalveluiden hinnoitteluun.
Kyberturvauhkiin varautumista sääntelyllä
Pitkään odotetun NIS2-direktiivin velvoitteet tulivat voimaan 8.4.2025, kun ne saatiin viimein toimeenpantua kansallisesti kyberturvallisuuslailla. Yhteiskunnan kriittisillä toimialoilla on kyberuhkien kasvaessa nyt myös lakisääteisesti velvoitteita hallita kyberturvallisuusriskejä sekä ilmoittaa merkittävistä tietoturvapoikkeamista viranomaisille. Uusi kyberturvallisuussääntely ei lopu kyberturvallisuuslakiin, sillä lähivuosina uusia vaatimuksia seuraa myös kyberkestävyyssäädöksestä (CRA). Se tulee vaikuttamaan digitaalisen elementin sisältäviin laitteisiin ja ohjelmistoihin, jotka ovat suoraan tai epäsuorasti liitettävissä toiseen laitteeseen tai verkkoon. Soveltamisalaan kuuluvilla toimijoilla on kuitenkin vielä aikaa varautua velvoitteisiin, sillä haavoittuvuuksista ilmoittamista koskevia velvoitteita aletaan soveltaa 11.9.2026 ja tuotteen tietoturvaominaisuuksia koskevia vaatimuksia aletaan soveltaa 11.12.2027.
Tietoturvauhkiin on vastattu myös toimialakohtaisella sääntelyllä. Erityisesti 17.1.2025 alkaen sovellettavaksi tullut asetus finanssialan digitaalisesta häiriönsietokyvystä (DORA) on vaikuttanut laajasti niin finanssialan toimijoihin kuin myös finanssialalle palveluita tuottaviin IT-palveluntarjoajiin. Alkuvuodesta nähtiin sopimuspäivitysrupeama, kun DORAn vaatimuksia neuvoteltiin osaksi finanssialan toimijoiden ja IT-palveluntarjoajien välisiä sopimuksia. Komissio on myös ehtinyt luonnostella ja julkaista useita teknisiä sääntelystandardeja, joissa täsmennetään DORAn vaatimuksia. Tällä hetkellä valvontaviranomaiset keskittyvät kriittisyysarviointien tekemiseen, joiden tavoitteena on nimetä ne kriittiset IT-palveluntarjoajat, jotka tulevat suoraan viranomaisvalvonnan piiriin. Nimitysten odotetaan tulevan voimaan syksyllä 2025.
Miltä tulevaisuus näyttää?
EU:n digisääntelykehys on muutamassa vuodessa muuttunut laajaksi kokonaisuudeksi, jolla on todellista vaikutusta yritysten arkeen. Uudistusten laajuus ja nopea toimeenpano ovat herättäneet monissa organisaatioissa tarpeen tarkistaa prosesseja, sopimuksia ja teknisiä ratkaisuja – eikä hengähdystaukoa ole näköpiirissä. Komissio ja kansalliset viranomaiset ovat osoittaneet myös valmiutensa tarttua epäkohtiin, ja valvonnan voidaan odottaa ulottuvan vähitellen myös suurten toimijoiden ulkopuolelle.
Organisaatioille tämä tarkoittaa ennen kaikkea tarvetta pysyä hereillä. Uusi sääntely ei ole vain hallinnollinen velvoite, vaan usein myös strateginen kysymys: miten rakentaa palveluita, jotka ovat paitsi käyttäjälähtöisiä ja kilpailukykyisiä, myös regulaatiovaatimusten mukaisia? Vaikka sääntelyn määrä voi tuntua kuormittavalta, se tarjoaa myös mahdollisuuden erottautua. Ne toimijat, jotka tarttuvat ajoissa sääntelyn tuomiin vaatimuksiin ja mahdollisuuksiin, voivat kääntää uudet velvoitteet myös kilpailueduksi.
Sääntelyn kiristyessä selkeä suunta ja käytännönläheinen tulkinta ovat tärkeämpiä kuin koskaan – tuemme asiakkaitamme molemmissa.
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
- Anna Paimela
- 18.12.2024
Miltä kulunut vuosi näytti lainsäädäntötrendien osalta? Yritysvastuusääntely tiukkeni niin ympäristöön kuin ihmisoikeuksiin liittyvissä kysymyksissä, kun taas digisääntely kehittyi tekoälyn, alustatalouden ja kyberturvallisuuden haasteiden myötä. Työmarkkinoilla tapahtui muutoksia erityisesti joustavuuden lisäämiseksi työpaikoilla. Samalla tietosuojasakot nousivat entistä näkyvämpään rooliin, mikä korostaa organisaatioiden velvollisuutta huolehtia henkilötietojen käsittelystä.
Lue alta Folksin tarkempi koonti kuluneesta vuodesta.
Yhtiöoikeudellisen sääntelyn keskiössä kestävyys ja vastuullisuus
Kuluneen vuoden teema yhtiöoikeudellisessa sääntelyssä on ollut vastuullisuus. Keväällä saavutettiin EU-tason sovinto yritysvastuudirektiivistä. Direktiivi tulee panna täytäntöön Suomessa kesään 2026 mennessä. Lisäksi kestävyysraportointidirektiiviin liittyvät raportointivelvollisuudet alkavat vaikuttaa jo tulevan vuoden osalta suurimpiin pörssiyhtiöihin. Vaikka molempien direktiivien pääasiallinen kohderyhmä ovat suuret yritykset, tulevat sääntelyn heijastevaikutukset näkymään todennäköisesti myös suurten yritysten alihankkijoissa, koska raportointivelvoitteet kattavat yrityksen lisäksi niiden toimitusketjua. Tämän vuoksi uudella sääntelyllä tulee todennäköisesti olemaan heijastevaikutuksia yleisiin sopimuskäytäntöihin ja esimerkiksi due diligence –tarkastuksiin, joissa tulee tunnistaa edellä tarkoitetusta sääntelystä johtuvat velvoitteet osana toimitusketjua.
Myös osakeyhtiölakia uudistettiin hallituskokoonpanoihin liittyvien vaatimusten osalta. Osakeyhtiölaki sisältää nyt raja-arvot ylittäviä pörssiyhtiöitä koskevan sukupuolikiintiön yhtiön hallituksen jäsenten osalta. Tämän muutoksen ja kestävyysraportointidirektiivin täytäntöönpanon johdosta myös pörssiyhtiöitä koskevaa hallinnointikoodia päivitettiin vastaamaan sukupuolikiintiövaatimusta sekä kestävyysraportointisääntelyä.
Pörssiyhtiöitä koskeva markkinoiden väärinkäyttöasetus päivittyi joulukuun alussa. Päivityksen johdosta johtohenkilöiden liiketoimien ilmoittamisen kynnystä nostettiin Suomessa aiemmasta 5 000 eurosta 20 000 euroon.
Yrityskaupparintamaa leimaa edelleen yleisen kustannustason noususta johtuva epävarmuus, joka näkyy pitkittyneinä prosesseina. Vuoden loppua kohden on havaittavissa pientä kajoa tunnelin päässä ja toivon mukaan ensi vuonna yrityskauppojen tahti vilkastuu entiselle tasolleen.
Kohti tiukempaa digitaalista vastuullisuutta
Vuosi 2024 toi mukanaan merkittäviä edistysaskeleita EU:n digitaalisen sääntelyn kentällä. Erityisen huomion kohteena oli elokuussa voimaantullut tekoälyasetus (AI Act). Tekoälyasetus asettaa globaalisti tarkastellen ainutlaatuiset raamit tekoälyjärjestelmien kehittämiselle, käyttöönotolle ja valvonnalle. Riskiperusteinen lähestymistapa määrittelee tekoälyn käytön sallittavuuden ja sovellettavat vaatimukset tekoälyjärjestelmän potentiaalisten vaikutusten perusteella.
Digipalvelusäädöksen (Digital Services Act, DSA) vaikutukset laajenivat vuonna 2024, kun säädöstä alettiin alkuvuodesta soveltaa täysimääräisesti. Digipalvelusäädös on vaikuttanut laajamittaisesti digipalveluntarjoajien toimintamalleihin asettamalla velvoitteita esimerkiksi käyttäjien toimittaman sisällön moderointiin liittyen. Alkuvuodesta voimaan tuli myös datasäädös (Data Act), jonka tarkoituksena on mahdollistaa datan oikeudenmukainen jakautuminen vahvistamalla selkeät ja oikeudenmukaiset säännöt dataan pääsylle ja sen käytölle.
Vuoden aikana myös kyberturvallisuus nousi entistä enemmän keskiöön NIS2-direktiivin myötä, jota sovelletaan laajasti erilaisiin toimialoihin. Vaikka NIS2-direktiivin kansallinen toimeenpano viivästyi, velvoitteisiin varautuminen on monessa yrityksessä jo aloitettu muun muassa riskienhallintaa, tietoturvapoikkeamien raportointia ja kyberturvallisuusstrategioita koskevien prosessien läpikäynnillä. Toisena merkittävänä kyberturvallisuussäädöksenä vuonna 2024 tuli voimaan DORA-asetus, jonka tavoitteena on suojella EU:n finanssijärjestelmää kasvavilta kyberuhilta ja vahvistaa luottamusta digitaalisiin palveluihin kriittisellä sektorilla. Finanssialan toimijoiden lisäksi DORA-asetus vaikuttaa myös ICT-palveluntarjoajiin, jotka tuottavat palveluita finanssialan toimijoille.
Vuosi 2024 osoitti, että EU:ssa sääntelyä kehitetään kiihtyvällä tahdilla vastaamaan nopeasti muuttuvaa teknologista ympäristöä. Tasapainon löytäminen tarpeettoman raskaiden velvoitteiden ja vastuullisen liiketoiminnan turvaamiseksi tarpeellisen sääntelyn välillä on osoittautunut ajoittain haastavaksi. Uuteen sääntelyyn liittyvät epäselvyydet tulevat toivottavasti lähivuosina selkeytymään, kun tulkintakäytäntöä alkaa muodostua.
Tavoitteena ketterämmät työmarkkinat
Vuosi 2024 on pitänyt sisällään useita, erityisesti kollektiivista työlainsäädäntöä koskevia muutoshankkeita. Kuluvan vuoden kevättä värittivätkin laajat poliittiset lakot eri työpaikoilla, joilla työntekijäpuoli vastusti hallituksen kaavailemia uudistuksia.
Toukokuussa tuli voimaan rajoituksia perinteiseen työtaisteluoikeuteen. Jatkossa myötätuntolakoilla, eli varsinaisen työehtosopimusriidan työntekijöitä tukevilla lakoilla ei saisi olla suhteettomia vaikutuksia kohteena olevan työnantajan liiketoimintaan. Samoin poliittisten työnseisausten kestoa rajoitettiin vuorokauteen ja muiden poliittisten työtaistelutoimien kestoa kahteen viikkoon.
Työehtosopimuksiin perustuva paikallinen sopiminen laajenee myös järjestäytymättömille työpaikoille, jolloin paikallisen sopimisen joustot ovat jatkossa mahdollisia kaikilla kyseisen työehtosopimuksen velvoittamilla työpaikoilla. Uusi sääntely tuo siten yleissitovuuden nojalla työehtosopimusta soveltavat työpaikat samalle viivalle kuin liittoon kuuluvat, ja lisäksi jatkossa paikallista sopimista voitaisi hyödyntää myös yrityskohtaisissa työehtosopimuksissa.
Myös yhteistoimintalakiin esitetään huomionarvoisia muutoksia, jotka höllentäisivät pienten ja keskisuurten työnantajien yhteistoimintavelvoitteita. Lain yleisen soveltamisalan nosto tarkoittaisi selkeitä kevennyksiä alle 50 työntekijän työpaikoille, kun esimerkiksi vuoropuhelua voitaisiin käydä nykyistä työpaikkakohtaisemmin, ja samoin muutosneuvotteluita tulisi käydä huomattavasti rajatummissa tilanteissa. Myös työvoiman vähentämistä koskevien vähimmäisneuvotteluaikojen rajaaminen puoleen nykyisistä olisi merkittävä muutos nykyiseen sääntelyyn, jonka myötä työpaikat voivat reagoida ripeämmin mahdollisiin muutostilanteisiin. Lakimuutosten olisi tarkoitus tulla voimaan 2025 kesällä.
Kiistanalainen vientivetoinen palkkamalli etenee parhaillaan eduskunnassa. Lailla on tarkoitus säätää valtakunnan sovittelijan toimintavaltuuksista tilanteessa, jossa työmarkkinaosapuolet eivät pääse keskenään sopuun sopimuskauden palkankorotuksista. Tämä tarkoittaisi sovittelijan ehdottamien palkankorotusten sitouttamista niin sanottuun yleiseen linjaan, jossa palkankorotusten taso on melko vakiintuneesti määrittynyt isojen vientialojen palkkaratkaisujen mukaan.
Kuluneena vuonna työmarkkinakentällä on myllertänyt ja suomalaisen työelämän nykytilasta ja tulevaisuudesta on käyty laajaa poliittista keskustelua. Alkavana vuonna myöskään tuskin vältytään työmarkkinaväännöiltä, kun hallituksen lakihankkeet muun muassa henkilöperusteisen irtisanomisen osalta etenevät ja kevään työehtosopimuskierros pääsee kunnolla vauhtiin.
Tietosuojassa puhuttaa evästeet ja generatiivinen tekoäly
Tietosuojakentän vuotta 2024 on leimannut jälleen evästeiden käyttö ja kohdennettu mainonta. Suomessa Traficom on useissa päätöksissään tehnyt selväksi, että vapaaehtoisten evästeiden asettaminen edellyttää aktiivista suostumusta, joka on pystyttävä antamaan helposti jo evästebannerin ensimmäisellä ruudulla. Euroopan tietosuojaneuvosto (EDPB) on tarkastellut erityisesti suurten verkkoalustojen ”maksa tai suostu” -malleja, ja todennut, etteivät ne yleensä täytä pätevän suostumuksen vaatimuksia, jos käyttäjien annetaan valita ainoastaan kahdesta vaihtoehdosta, eli siitä, suostuvatko he henkilötietojen käsittelyyn kohdennettua mainontaa varten vai maksavatko he siitä, että heidän henkilötietojaan ei käytetä tällaiseen mainontaan. Elinkeinoelämä on kritisoinut linjausta todeten, että se jättää yksityisyydensuojan rinnalla se toisen perusoikeuden, elinkeinovapauden, huomioimatta. EDPB on julkaisemassa seuraavaksi muita kuin suuria verkkoalustoja koskevan ohjeistuksen ”maksa tai suostu” -malleihin liittyen.
Myös generatiivinen tekoäly on puhuttanut tietosuojayhteisöä. Keskeinen kysymys on ollut, mitä GDPR:n mukaista oikeusperustetta voidaan käyttää, kun käsitellään henkilötietoja tekoälymallien koulutusta varten, esim. kun tietoja crawlataan verkkosivustoilta tai sosiaalisen median palveluista. Iso-Britannin tietosuojaviranomainen ICO ja Ranskan tietosuojaviranomainen CNIL ovat julkaisseet ohjeistuksia, joissa viitataan oikeutettuun etuun käsittelyperusteena edellyttäen, että tavoiteltu etu on lainmukainen, ja käsittely on tarpeen tuon laillisen tarkoituksen toteuttamiseksi, eivätkä rekisteröidyn perusoikeudet ja -vapaudet syrjäytä tavoiteltua oikeutettua etua. EPDB:n ChatGPT työryhmä ei ottanut käsittelyn oikeusperusteeseen selkeää kantaa raportissaan, mutta linjaa yleisesti oikeutettua edun käyttämistä käsittelyperusteena lokakuussa julkaistussa ohjeistuksessaan.
Tietosuojasakot eivät jääneet tänäkään vuonna vähäisiksi. Irlannin tietosuojaviranomainen antoi LinkedInille 310 MEUER sakot, sillä LinkedIn ei ollut pyytänyt käyttäjiltään pätevää suostumusta mainonnan kohdentamiseen. Hollannin tietosuojaviranomainen taas antoi Uberille 290 MEUR sakot sen siirrettyä henkilötietoja Yhdysvaltoihin ilman asianmukaista perustetta. Meta sai 91 MEUR sakot käsiteltyään käyttäjien salasanoja huolimattomasti selkokielisenä sisäisissä järjestelmissään. Komission raportti GDPR:n soveltamisesta ja toimivuudesta kertoo, että Suomessa sakkoja on annettu jäsenmaista kolmanneksi vähiten. Raportti myös nostaa esiin, että tietosuojalainsäädännön soveltamisessa on yhä havaittu hajanaisuutta EU-maiden välillä, että tulevina vuosina tulisi keskittyä lisäämään tietosuoja-asetuksen yhdenmukaista tulkintaa entisestään. Myös EU:n uuden digi- ja datasääntelyn yhtenäinen soveltaminen edellyttää viranomaisten toimivaa yhteistyötä.
Tervetuloa 2025!
Digitalisaatio ja globalisaatio haastoivat lainsäätäjiä kuluneena vuonna, ja näemme varmasti saman trendin jatkuvan myös tulevina vuosina. Tilaa Folks Fokus ja Folksin uutiskirje, niin pysyt jatkossakin kartalla keskeisistä organisaatioihin vaikuttavista muutoksista. Pääset tilaamaan uutiskirjeen täältä.
Folks toivottaa kaikille rentouttavaa joulunaikaa ja iloista uutta vuotta!
