Datasäädöksen soveltaminen lähenee – nämä asiat muuttuvat

Tässä kirjoituksessa sivutaan laitteita ja oheispalveluita, mutta keskitytään ennen kaikkea datankäsittelypalvelujen vaihtamista koskeviin uusiin sääntöihin.

Datasäädöksen perusteet

Mistä datasäädöksessä on kyse?

Datasäädös yhdessä datanhallinta-asetuksen (Data Governance Act) kanssa muodostaa EU:n datastrategian kivijalan. Tavoitteet ja pyrkimykset datasäädöksen taustalla ovat ylevät: Se pyrkii edistämään datan oikeudenmukaista saatavuutta ja käyttöä luomalla yhdenmukaiset säännöt, jotka mahdollistavat datan uudelleenkäytön ja esteiden poistamisen Euroopan datatalouden kehittämisen tieltä. Se keskittyy innovoinnin ja datavetoisen talouden potentiaalin vapauttamiseen poistamalla teknisiä, taloudellisia ja luottamukseen liittyviä esteitä, samalla kunnioittaen eurooppalaisia arvoja ja edistäen oikeudenmukaista datan jakautumista eri toimijoiden kesken. Mutta millä keinoin tätä kaikkea aiotaan toteuttaa?

Datasäädöksen eri osa-alueet:

Datasäädös sisältää useita toisiinsa liittyviä aihepiirejä, joiden yhteinen nimittäjä on datan saatavuus ja sen käytön pelisäännöt. Merkittävimpänä sisältönä säädös määrittelee yhdenmukaiset säännöt, jotka koskevat verkkoon liitetyn laitteen ja siihen liittyvän palvelun käytön tuloksena tuotetun datan asettamista käyttäjän ja käyttäjän pyynnöstä myös kolmannen osapuolen saataville. Toinen säädöksen ydinsisältö koskee datankäsittelypalvelusta toiseen vaihtamisen helpottamista. Lisäksi datasäädös käsittelee datan luovutusta koskevien yksipuolisten sopimusehtojen sallittua sisältöä, datan yhteiskäyttömekanismien ja -palvelujen standardointia, datan siirtämistä Euroopan ulkopuolelle ja viranomaisten pääsyä laite- ja palveludataan.

Toimeenpano ja suhde yleiseen tietosuoja-asetukseen (GDPR)

Datasäädös on asetustasoinen säädös, joten se on suoraan sovellettavaa oikeutta eikä vaadi erillistä kansallista toimeenpanoa. Toki jokainen jäsenvaltio joutuu sovittamaan datasäädöksen oman lainsäädäntönsä systematiikkaan ja esimerkiksi säätämään valvovan viranomaisen toimivaltuuksista. Suomessa datasäädöksen valvonta tulee kuulumaan pääosin Liikenne- ja viestintävirasto Traficomille. Toinen merkittävä valvova viranomainen on Tietosuojavaltuutetun toimisto. Tämä johtuu siitä, että datasäädös täydentää yleistä tietosuoja-asetusta (GDPR) ja näitä säädöksiä sovelletaan yhdessä silloin, kun käsillä oleva data sisältää sekä henkilötietoja että muuta dataa. Säädöshierarkiassa GDPR asettuu pykälää ylemmälle tasolle siinä mielessä, että säädösten ristiriitatilanteissa noudatetaan GDPR:n määräyksiä. Esimerkiksi laitteiden keräämää, henkilötiedoksi katsottavaa dataa luovutettaessa tulee siis varmistua siitä, että datan vastaanottajalla on laillinen peruste käsitellä kyseisiä henkilötietoja, koska datasäädöksen mukainen oikeus vastaanottaa dataa ei ole tällainen peruste.

Yhdistetyt laitteet ja niiden oheispalvelut

Pääsy laitteiden ja oheispalveluiden dataan

Syyskuun 12. päivästä alkaen tietoverkkoon yhdistetyn laitteen tai siihen liittyvän palvelun käyttäjälle tulee antaa pääsy laitteen tai palvelun tuottamaan dataan. Käyttäjä voi myös halutessaan pyytää saman datan luovuttamista jollekin kolmannelle osapuolelle. Velvollisuus datan luovuttamiseen on sillä taholla, joka kerättyä dataa hallinnoi, todennäköisimmin tämä taho on laitteen valmistaja tai palvelun tuottaja. Datan luovuttamisvelvoite koskee jalostamatonta dataa eli datan jatkokäsittelyn, rikastamisen ja siitä tehtyjen päätelmien tulokset eivät ole luovutusvelvoitteen piirissä. Datan haltijan mahdollisuus kieltäytyä luovuttamasta dataa esimerkiksi liikesalaisuuksiin tai tuoteturvallisuuteen vedoten on rajallinen – ainoa varma keino välttyä datan luovuttamisvelvoitteelta on suunnitella laitteet ja palvelut niin, ettei dataa synny. Myös datan haltijan oma käyttöoikeus laitteiden ja palvelujen dataan muuttuu merkittävästi. Jatkossa datan haltija voi käyttää tai luovuttaa dataa ainoastaan käyttäjän kanssa tekemänsä sopimuksen perusteella. Mikäli esimerkiksi laitteen valmistaja haluaa siis käyttää dataa vaikkapa omaan tuotekehitykseensä tai myydä dataa jollekin kolmannelle taholle, siitä pitää erikseen sopia laitteen käyttäjän kanssa.

Lisääntyneen datan mahdollisuudet

Datan haltijoita koskevien velvoitteiden kääntöpuolena on laitteiden ja palvelujen käyttäjien uudet mahdollisuudet hyödyntää dataa analytiikassa, toimintojensa tehostamisessa ja palvelujen kilpailutuksessa. Esimerkiksi tuotannon laitteistojen datan avautuessa käyttäjille ja lisäpalveluita tarjoaville kolmansille osapuolille voidaan laitteiston huolto-, päivitys- ja konfigurointiin liittyviä töitä teettää muillakin toimijoilla kuin laitteiston valmistajalla sekä kilpailuttaa huomattavasti paremmista lähtökohdista. Lisääntyneen datan avulla voidaan rakentaa uusia analytiikkaratkaisuja ja automaatiojärjestelmiä esimerkiksi tuotannon ohjaukseen ja varastonhallintaan. Samoin esimerkiksi työajanseurantajärjestelmien tuottama on jatkossa oltava asiakkaan käytettävissä sellaisenaan ja maksutta sen sijaan, että asiakasyritys saisi tämän tiedon vain maksullisilla raporteilla. Datasäädös tarjoaa siis rutkasti mahdollisuuksia datan avulla lisä- ja oheispalveluita tuottaville yrityksille ja juuri tällainen datavetoisen uuden liiketoiminnan mahdollistaminen onkin ollut säädöksen yhtenä päätavoitteena.

Datankäsittelypalvelut

Datankäsittelypalvelun määritelmästä

Datankäsittelypalvelujen yleiskäsite kattaa suuren määrän palveluja, joiden tarkoitukset, toiminnot ja tekniset järjestelyt ovat hyvin erilaisia. Datankäsittelypalveluihin kuuluvat ainakin säädöksen perusteluissa nimenomaisesti mainitut palvelutyypit IaaS (infrastruktuuri palveluna), PaaS (alusta palveluna); ja SaaS (ohjelmisto palveluna). Kyseistä kolmea tietojenkäsittelyn perustoteutusmallia täydentävät vielä muunnelmat, kuten tallennustila palveluna ja tietokanta palveluna. Määritelmään kuuluvat myös reunalaskentapalvelut (edge computing), jotka mahdollistavat hajautetun laskennan yhdistetyssä laitteessa lähempänä paikkaa, jossa dataa tuotetaan tai kerätään.

Datasäädöksessä käytetään edellisten palvelutyyppien osalta yleisesti käyttöön vakiintuneen ”pilvipalvelu” termin sijasta termiä ”datankäsittelypalvelu”, jolla tarkoitetaan:

”asiakkaalle tarjottavaa digitaalista palvelua, joka mahdollistaa kaikkialla käytössä olevaan ja tarveperusteiseen verkkokäyttöön jaetun joukon konfiguroitavissa olevia, skaalattavia ja joustavia, luonteeltaan keskitettyjä, hajautettuja tai pitkälle hajautettuja tietoteknisiä resursseja niin, että se voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen.”

Jotta jokin palvelu katsottaisiin määritelmän mukaiseksi datankäsittelypalveluksi ja näin ollen sellaiseksi palveluksi, johon datasäädöksen vaatimuksia sovelletaan, tulisi sen olla määritelmän mukainen kaikilta osiltaan. Datasäädöksen määritelmä on ainakin rajatapauksissa vaikeaselkoinen ja tulkinnanvarainen. Oletettavaa kuitenkin on, että datasäädöksen määräykset tulevat koskemaan merkittävää osaa talous- ja henkilöstöhallinnon ohjelmistoista.

Onko palvelu määritelmän piirissä vai ei?

Merkittävimmäksi vedenjakajakäsitteeksi noussee määritelmän viimeinen osa, jonka mukaan palvelun kuuluminen soveltamisalaan näyttäisi edellyttävän palvelulta ainakin jonkinasteista itsenäistä käytettävyyttä ja mukautettavuutta käyttäjän näkökulmasta. Asiakkaan on siis voitava ottaa käyttöön palvelun resursseja, kuten palvelinaikaa tai verkkotallennustilaa joustavasti, nopeasti ja ilman, että palveluntarjoaja merkittävissä määrin joutuu tähän puuttumaan. Voi siis ajatella, että mikäli palvelun käyttöönotto tai skaalaaminen edellyttää erillistä käyttöönotto- tai muutosprojektia palveluntarjoajan toimesta, palvelu ei todennäköisimmin kuuluisi soveltamisalaan. Tarkempia virallisia tulkintasääntöjä tai ohjeita ei kuitenkaan vielä tällä hetkellä ole saatavilla. Komissio tulee ilmeisesti julkaisemaan suuntaa antavia tulkintaohjeita datasäädöstä selittävässä FAQ-dokumentissaan, mutta tällaisen ohjeistuksen aikataulusta ei ole tietoa.

Poikkeukset

Datasäädöksen määräysten soveltamiseen on määritetty tiettyjä poikkeuksia. Ensinnäkin räätälöidyt palvelut, joiden pääpiirteet on rakennettu yksilölliseen käyttöön yksittäisen asiakkaan erityistarpeisiin vastaamiseksi tai joiden kaikki komponentit on kehitetty yksittäisen asiakkaan tarpeisiin, vapautetaan osittain datasäädöksen velvoitteista. Niiden osalta vaihtomaksujen perimistä ei rajoiteta eikä palveluntarjoajalla ole velvollisuutta pyrkiä varmistumaan siitä, että asiakas saa uudessa ympäristössä vastaavat toiminnallisuudet kuin lähdepalvelussa.

Toisaalta sellaiset palvelut, jotka tarjotaan rajoitetuksi ajaksi ei-tuotannollisena versiona testaus- ja arviointitarkoituksiin, on kokonaan vapautettu datasäädöksen luvun VI mukaisista velvoitteista. Ilmaisversiot eivät sen sijaan ole poikkeuksen piirissä. Tämän vuoksi datasäädöksen osien soveltuvuuden vuoksi voi olla oleellista merkitystä sillä, onko kyseessä kokeiluversio vai ilmaisversio.

Ennen kun palveluntarjoaja sopii asiakkaan kanssa jonkin edellä mainitun poikkeuksen piiriin kuuluvan palvelun toimittamisesta, sen on muistettava ilmoittaa asiakkaalle niistä datasäädöksen velvoitteista, joita ei sovelleta palveluun. Huomioitavaa on myös se, että toisin kuin datasäädöksen muissa osissa, datankäsittelypalveluja koskevissa säännöissä ei ole mikroyrityksiä eikä pieniä tai keskisuuria yrityksiä koskevia poikkeuksia.

Palvelusta siirrettävä data ja digitaalinen omaisuus

Palveluntarjoajan tulee jatkossa jo palvelua koskevassa sopimuksessa kyetä kirjallisesti ja kattavasti erittelemään kaikki siirrettävissä olevat datan ja digitaalisen omaisuuden luokat. Palvelusta tulee voida siirtää asiakkaan syöte- ja tuotosdata, mukaan lukien metadata, joka on tuotettu asiakkaan datankäsittelypalvelun käytöllä. Datan lisäksi tulee voida siirtää sellainen digitaalinen omaisuus, kuten sovellukset, johon asiakkaalla on käyttöoikeus jotain muuta kuin lähdepalvelua koskevan sopimuksen kautta.

Datankäsittelypalvelujen tarjoajan tai kolmannen osapuolen teollis- ja tekijänoikeuksilla suojattua omaisuutta tai dataa ei tarvitse siirtää, erityisesti mikäli dataa on pidettävä palveluntarjoajan tai kolmannen osapuolen liikesalaisuutena. Olennaiseksi palveluntarjoajan oikeudeksi saattaa muodostua myös tietokantojen suoja. Datasäädös nimittäin sulkee pois tietokantojen ”sui generis” suojan perusteena laite- ja oheispalvelun keräämän datan luovuttamisesta kieltäytymiselle, mutta datankäsittelypalveluiden osalta vastaavaa suoraa poissuljentaa ei säädöksessä ole. Mikäli siis palveluun kerätty data muodostaa tietokannan, jonka sisällön kerääminen, varmistaminen tai esittäminen merkitsee määrällisesti ja/tai laadullisesti huomattavaa investointia, sitä voidaan mahdollisesti suojata tietokantana eikä sitä tällöin tarvitsisi luovuttaa. Arviointi suojan edellytysten täyttymisestä on aina tapauskohtaista ja toisaalta tällainen keino datan siirtämisestä kieltäytymiseksi on ristiriidassa datasäädöksen tavoitteiden kanssa, joten mikään yleinen vakioratkaisu siirrosta kieltäytymiseen tietokantasuoja ei voi olla. Myöskään dataa, jonka vienti johtaa palvelun kyberturvallisuuden haavoittuvuuteen, kuten palvelun eheyteen ja turvallisuuteen liittyvä data, ei tarvitse siirtää.

Palvelun tarjoajien tulee etukäteen kirjallisesti eritellä siirrettävästä datasta sellaiset datankäsittelypalvelun sisäiseen toimintaan liittyvät tietoluokat, joiden luovuttaminen johtaisi palveluntarjoajan liikesalaisuuksien paljastumiseen. Tällaisen datan ja digitaalisen omaisuuden poistaminen siirrettävän datan joukosta ei saa johtaa viivästyksiin vaihtoprosessissa. Käytännössä nämä vaatimukset edellyttävät sitä, että palvelussa oleva data ja digitaalinen omaisuus on jo sen tuottamis- ja tallennusvaiheessa kategorisoitu ja eroteltu niin, että luovutettavan datan poiminta vaihtamistilanteessa voidaan tehdä ongelmitta ja optimitilanteessa automaattisesti.

Taloushallinnon ohjelmistoissa on tyypillisesti paljon automatisointeja, järjestelmäintegraatioita ja robotiikkatoimintoja, joiden on tyypillisesti katsottu olevan palveluntarjoajan omaisuutta silloin, kun palveluita tuotetaan palveluntarjoajan lisensoimalla tai sen omalla ohjelmistolla. Lähtökohtaisesti tällaiset palvelun sisäiseen toimintalogiikkaan liittyvät tiedot ja integroinnit eivät kuulu sellaisen datan piiriin, joiden siirtämisessä palveluntarjoajan tulee asiakastaan avustaa myöskään datasäädöksen myötä. Asiakkaan palveluntarjoajalle antama tai palvelun käyttämisen myötä syntyvä data tulee kuitenkin asiakkaan pyynnöstä olla siirrettävissä, ellei sitä koske jokin edellä mainittu poikkeus. Eli esimerkiksi pilvipalveluna käytettävän taloushallinto-ohjelmiston tietokantaan kirjanpidon hoidon tuotoksena kertyvä data tositteista, kirjauksista ja niiden perustana syntyvistä laskennan tuloksista on dataa, jonka tulee lähtökohtaisesti olla siirrettävissä.

Mitä velvoitteita datankäsittelypalvelujen tarjoajille asetetaan?

Datasäädöksen datankäsittelypalveluita koskevien velvoitteiden ytimessä on palvelusta toiseen vaihtamisen helpottaminen. Vaihtamista pyritään helpottamaan asettamalla palveluntarjoajille velvollisuus purkaa esikaupallisia, kaupallisia, teknisiä, sopimusperusteisia ja organisatorisia esteitä vaihtamisen tieltä. Käytännössä tämä esteiden purkaminen konkretisoituu teknisiin velvoitteisiin, informointivelvoitteisiin ja sopimusvelvoitteisiin. Yksittäisinä vaihtamisen esteinä purkavina määräyksinä voidaan vielä erikseen mainita se, että palvelut tulee jatkossa voida käyttäjän puolelta irtisanoa kahden kuukauden enimmäisirtisanomisajalla sekä se, että palveluntarjoaja ei voi enää siirtymäajan jälkeen periä lainkaan maksuja vaihtoprosessissa avustamisesta.

Tekniset velvoitteet

Palveluntarjoajalla on velvollisuus tarjota asiakkaalleen teknistä tukea vaihtoprosessin helpottamiseksi. Teknisten velvoitteiden sisältö riippuu osin palvelutyypistä. IaaS palveluissa teknisen avun piiriin kuuluu vaihtoprosessin helpottaminen tarjoamalla tietoa, dokumentaatiota, teknistä tukea ja työkaluja, joiden avulla siirto voidaan suorittaa. Muissa palveluissa asiakkaiden ja siirron kohteena olevien palvelujen tarjoajien saataville on asetettava avoimia rajapintoja vaihtoprosessin helpottamiseksi. Rajapintojen kautta tulee olla saatavilla riittävät tiedot lähdepalvelusta, jotta voidaan kehittää ohjelmistoja viestimään palveluiden välillä. Samoin palveluista tulee määräajassa tehdä yhdenmukaiset myöhemmin erikseen julkaistavien standardien kanssa ja vähintäänkin tulee varmistaa, että lähdepalvelusta vietävä data on jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa.

Informointivelvoitteet

Asiakkaalla on datasäädöksen myötä oikeus saada palveluntarjoajalta tiettyjä tietoja palveluun ja sen rakenteeseen liittyen. Tietoja pitää antaa esimerkiksi palvelun jatkuvuuteen liittyvistä riskeistä siirtotilanteesta ja käytettävissä olevista vaihtomenettelyistä ja niiden rajoituksista. Erityisesti palveluntarjoajalla on velvollisuus perustaa ajantasainen verkkorekisteri sisältäen yksityiskohtaiset tiedot kaikista palvelujen datarakenteista ja -muodoista sekä dataan liittyvistä standardeista.

Sopimusvelvoitteet

Datankäsittelypalveluita koskevia palvelusopimuksia koskien datasäädöksessä on pakottavia sisältövaatimuksia. Lähtökohtaisesti nämä pakolliset osiot tulisi sisällyttää kaikkiin soveltamisalaan kuuluvia palveluita koskeviin sopimuksiin ennen kuin datasäädöksen soveltaminen syyskuussa alkaa, myös jo tällä hetkellä tuotannossa olevien palveluiden osalta. Tämä tarkoittaa paitsi nykyisten palvelusopimuspohjien ja -mallien päivittämistä vaatimuksia vastaaviksi, myös vanhojen sopimusten päivittämistä nykyisten asiakkaiden kanssa.

Pakottavat sopimusvaatimukset on luetteloitu datasäädöksessä aihetasolla, mutta niiden muotoilu sopimuskielelle jää jokaisen palveluntarjoajan tehtäväksi. Palveluntarjoajien toiminnan helpottamiseksi Komission asettama asiantuntijaryhmä on laatinut ei-sitovat mallilausekkeet, jotka kattavat pakollisten vaatimusten lisäksi joitakin käytännön näkökohtia datasäädöksen määräyksiin liittyen. Mallilausekkeet on tarkoitus sisällyttää datankäsittelypalveluita koskeviin palvelusopimuksiin. Ne käsittelevät esimerkiksi vaihto- ja irtautumisprosessin käytännön järjestelyitä ja aikataulutusta, palvelusopimuksen päättämistä sekä turvallisuutta ja palvelun jatkuvuutta vaihtoprosessin aikana. Mallilausekkeisiin voi tutustua asiantuntijaryhmän 2.4.2025 julkaistussa loppuraportissa.

Palvelun irtisanomisoikeus ja määräaikaiset sopimukset

Datasäädös ei kiellä määräaikaisia sopimuksia datankäsittelypalveluiden toimittamisesta, mutta asiakkailla on aina oikeus irtisanoa soveltamisalaan kuuluva palvelu. Kun asiakas ilmoittaa halukkuutensa vaihtaa palveluntarjoajaa, on palvelun datan siirto aloitettava kahden kuukauden enimmäisirtisanomisajan kuluttua asiakkaan ilmoituksesta ja normaalitilanteessa saatettava päätökseen kuukauden määräajan sisällä. Näistä aikarajoista voidaan tietyin edellytyksin poiketa.

Palveluntarjoajan tulevaisuuden kassavirran ennustaminen käy siis vaikeammaksi, kun se ei voi enää luottaa sopimusten pysyvyyteen. Tämä saattaa vaikeuttaa myös esimerkiksi lisärahoituksen saamista yhtiöissä, joiden valuaatio rakentuu määräaikaissopimusten tulevaisuuden kassavirran varaan. Palveluntarjoajat voivat kyllä periä määräaikaisen sopimuksen ennenaikaisesta päättämisestä erityisiä seuraamusmaksuja. Näistä seuraamusmaksuista tulee ilmoittaa asiakkaille etukäteen kirjallisesti ja niiden määrä on oltava kohtuullinen. Kohtuullisuutta ei datasäädöksessä ole erikseen määritelty. Voitaneen kuitenkin todeta, että esimerkiksi kolmen vuoden määräaikaisen sopimuksen irtisanomisesta sen ensimmäisen vuoden aikana laskutettava, suuruudeltaan koko kolmen vuoden sopimuskauden palvelumaksuja vastaava seuraamusmaksu tuskin on kohtuullinen. Sen sijaan esimerkiksi kuuden kuukauden palvelumaksuja vastaava seuraamusmaksu todennäköisesti olisi.

Vaihtamisesta perittävät maksut

Datasäädös rajoittaa palvelun päättymisen yhteydessä datan siirtämisestä perittäviä palvelumaksuja. Nämä palvelumaksut ovat siis muita kuin tavanomaisia palvelumaksuja tai määräaikaisen sopimuksen ennenaikaisesta päättymisestä laskutettavia seuraamusmaksuja. Oikeus periä vaihtomaksuja poistuu portaittain. Heti datasäädöksen voimaantulosta eli 12.1.2024 alkaen vaihtomaksujen sallittu määrä on rajoitettu vaihtamisesta lähdepalvelun tarjoajalle aiheutuneisiin todellisiin kuluihin. Tästä kolmen vuoden päästä eli 12.1.2027 alkaen vaihtomaksuja ei saa enää periä ollenkaan. Kaikista perittävistä maksuista on annettava asiakkaalle etukäteen selkeät tiedot.

Miten valmistautua?

Konkretia

Organisaatioissa tulisi selvittää seuraavat asiat:

• Ovatko tuotteemme ja/tai palvelumme datasäädöksen mukaisia yhdistettyjä laitteita tai niiden oheispalveluita tai hallinnoimmeko tällaisten tuotteiden tai palvelujen dataa ja jos kyllä, niin:
  • onko meillä tarkat tiedot hallitsemastamme datasta, jotta voimme antaa vaaditut tiedot laitteiden/palvelujen käyttäjille
  • onko käytännön valmius datan luovuttamiseen olemassa
  • onko data kategorisoitu niin, että voimme noudattaa GDPR:n määräyksiä
  • mitä liikesalaisuudeksi katsottavaa dataa haluamme suojata
  • mitä dataa haluamme käyttää omiin tarkoituksiimme
  • onko tuotekehityksen prosesseissa otettu huomioon datasäädöksen vaatimukset uusien tuotteiden ja/tai palveluiden osalta
  • onko meillä tarvittavat sopimukset tai sopimusmallit käyttäjien ja käyttäjien pyynnöstä dataa vastaanottavien kolmansien osapuolten kanssa solmittavaksi, jotta varmistamme liikesalaisuuksiemme suojan sekä oman oikeutemme käyttää dataa
• Ovatko datankäsittelypalvelumme datasäädöksen soveltamisalassa ja jos kyllä, niin:
  • onko meillä selvyys siitä, mitä dataa tulee voida pyynnöstä siirtää
  • onko palveluissamme oleva data ja digitaalinen omaisuus siinä määrin jäsenneltyä, että siirrettävän materiaalin poiminta onnistuu helposti
  • onko meillä valmius avata rajapinnat datan siirtämiseksi, jotta prosessi saadaan automatisoitua viimeistään siirtomaksujen poistuessa vuonna 2027
  • annammeko asiakkaalle riittävät tiedot vaihto- ja siirtomenetelmistä
  • ylläpidämmekö verkkorekisteriä, joka selventää palvelun datarakenteet ja -muodot sekä art. 28 mukaista selostetta
  • onko meillä pakolliset sopimusehdot lisättynä palveluja koskeviin sopimuksiin

Aikataulu

Monissa organisaatioissa on tuoreessa muistissa GDPR:n voimaantuloon liittynyt stressi ja kiire. Datasäädöksen vaikutusten laajuus ei välttämättä yllä aivan samaan mittaluokkaan, mutta jos tuosta vuoden 2018 kevääseen kulminoituneesta valmistautumisprosessista jotakin voi oppia niin sen, että aivan viime hetkiin ei asian hoitamista kannata jättää. Kun ottaa huomioon tulevan kesälomakauden sekä useimpiin palveluehtoihin sisältyvät ennakkoilmoitusajat ehtoja muutettaessa, lämmin suositus on selvittää säädöksen vaatimusten soveltuminen oman organisaation palveluihin ensi tilassa ja ryhtyä toteuttamaan teknisten velvoitteiden vaatimia muutoksia sekä laatimaan sopimusehtomuutoksia viipymättä.