EU:n datasäädöstä (Data Act, asetus (EU) 2023/2854) sovelletaan 12. syyskuuta 2025 alkaen datankäsittelypalveluiden vaihtamiseen (tietyin poikkeuksin). Datasäädöksen tarkoittamien ”datankäsittelypalveluiden” tarjoajille vaatimusten mukaisuuden aikataulu ei ole enää teoreettinen kysymys.
Datasäädöksen 2 artiklan 8 kohdassa määritelty ”datankäsittelypalvelu” on tarkoituksella laajasti määritelty. Se kattaa asiakkaalle tarjottavat digitaaliset palvelut, jotka mahdollistavat pääsyn kaikkialla käytössä oleviin konfiguroitavissa oleviin, skaalattaviin ja joustaviin, luonteeltaan keskitettyihin ja hajautettuihin tietoteknisiin resursseihin. Määritelmä sisältää useita kumulatiivisia kriteerejä, jotka perustuvat EU:n pilvipalvelumääritelmiin.
Erityisen tärkeä on datasäädöksen määritelmän vaatimus, jonka mukaan palvelu voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen. Juuri tämä vaatimus erottaa tehokkaimmin ne palvelut, jotka kuuluvat säädöksen soveltamisalaan niistä, jotka eivät kuulu.
Miksi ”nopea käyttöönotto” on tärkeä kriteeri?
Datasäädös asettaa datankäsittelypalveluille merkittäviä velvoitteita. Soveltamisalan virheellinen arviointi voi johtaa suoriin liiketoiminnallisiin ja oikeudellisiin seurauksiin. Palveluntarjoajat, jotka virheellisesti katsovat jäävänsä määritelmän ulkopuolelle, voivat joutua tilanteeseen, jossa ne eivät noudata säädöstä asiakkaan vedotessa palveluntarjoajan vaihtamista koskeviin oikeuksiin. Toisaalta palveluntarjoajat, jotka olettavat kuuluvansa sääntelyn piiriin ilman todellista velvoitetta, voivat aiheuttaa itselleen tarpeettomia vaatimustenmukaisuuskustannuksia tai jopa antaa asiakkaille harhaanjohtavaa tietoa heidän oikeuksistaan.
Mistä ”nopean käyttöönoton” kriteeri on peräisin?
Nopean käyttöönoton kriteeri perustuu Yhdysvaltain kansallisen standardointi- ja teknologiainstituutin (NIST) pilvipalvelun määritelmään (SP 800-145). Tavoitteena on erottaa aidosti joustavat ja itsepalveluna käytettävät digitaaliset infrastruktuuri- ja alustapalvelut muista IT-palveluiden muodoista. Datasäädöksen johdanto-osan 80 kappale vahvistaa, että lainsäätäjä on omaksunut teknologianeutraalin ja toiminnallisen lähestymistavan: ratkaisevaa ei ole palvelun nimi vaan sen todellinen toimintatapa.
Datankäsittelypalvelun määritelmän NIST-tausta selitetään myös Euroopan komission datasäädöstä koskevissa usein kysytyissä kysymyksissä (FAQ), kysymyksen 58a vastauksessa (versio 1.4, 22.1.2026): ”Tämä määritelmä perustuu kansallisen standardointi- ja teknologiainstituutin (NIST) laajasti ja kansainvälisesti hyväksyttyyn pilvilaskennan määritelmään…”
Alkuperäisessä NIST-määritelmässä sanat ”rapid” (nopea) ja ”provision” (ottaa käyttöön/provisioida) esiintyvät määritelmän olennaisissa ominaisuuksissa (Essential Characteristics, vapaa käännös):
- ”Tarveperusteinen itsepalvelu (On-demand self-service): Kuluttaja voi itsenäisesti ottaa käyttöön laskentaominaisuuksia, kuten palvelinaikaa tai verkkotallennustilaa, tarpeen mukaan automaattisesti ilman ihmisen osallistumista palveluntarjoajan puolelta.”
- ”Nopea joustavuus (Rapid elasticity): Kapasiteettia voidaan joustavasti ottaa käyttöön ja vapauttaa, joissakin tapauksissa automaattisesti, jotta kapasiteetti voidaan nopeasti kasvattaa tai pienentää kysynnän mukaisesti. Kuluttajan näkökulmasta käytettävissä oleva kapasiteetti vaikuttaa usein rajattomalta ja sitä voidaan hyödyntää missä tahansa määrässä milloin tahansa.”
Mitä ”nopea käyttöönotto” tarkoittaa EU:n datasäädöksen mukaan?
Datasäädöksen mukaan datankäsittelypalvelu tarkoittaa: ”asiakkaalle tarjottavaa digitaalista palvelua, joka … voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen.”
Datasäädöksen johdanto-osan 80 kappale selittää em. ”minimaalista vaivaa ja vuorovaikutusta” seuraavasti: ”Datankäsittelypalvelun asiakkaan kykyä tuottaa itse yksipuolisesti tietoteknisiä valmiuksia, kuten palvelinaikaa tai verkkotallennustilaa, ilman minkäänlaista datankäsittelypalvelujen tarjoajan inhimillistä vuorovaikutusta voitaisiin kuvata siten, että se edellyttää minimaalista hallinnointivaivaa ja siihen liittyy minimaalinen vuorovaikutus palveluntarjoajan ja asiakkaan välillä.”
Lisäselvitystä annetaan Euroopan komission datasäädöstä koskevissa usein kysytyissä kysymyksissä (kysymys 58a, vapaa käännös):
”Datasäädöksen VI luku ei tee eroa erilaisten SaaS-palveluiden välillä, joten sitä sovelletaan kaikkiin SaaS-palveluihin, jotka täyttävät datankäsittelypalvelun määritelmässä luetellut ominaisuudet:
- Ne mahdollistavat tarveperusteisen verkkoyhteyden, mikä tarkoittaa, että asiakas voi itsenäisesti ottaa käyttöön verkon kautta ja vakiomenetelmin saatavilla olevia tietoteknisiä resursseja esimerkiksi matkapuhelimella, kannettavalla tietokoneella tai työasemalla;
- Ne voidaan ottaa käyttöön ja vapauttaa nopeasti minimaalisessa hallintovaivalla tai minimaalisella vuorovaikutuksella palveluntarjoajan ja asiakkaan välillä, mikä tarkoittaa, että käyttöönotto voidaan tehdä ilman merkittävää palveluntarjoajan vuorovaikutusta ja että palvelu voidaan ottaa käyttöön nopeasti siten, että organisaatio voi alkaa käyttää resursseja lähes välittömästi.”
Kun datasäädöksen määritelmää verrataan sen alkuperäiseen lähteeseen eli NIST:n pilvipalvelun määritelmään, voidaan todeta, että NIST korostaa käyttöönottamista täysin itsepalveluna ilman ihmisen osallistumista. Datasäädös sallii kuitenkin jonkin verran minimaalista vaivaa ja vuorovaikutusta. Palvelu voi silti kuulua datasäädöksen soveltamisalaan, kunhan käyttöönotto tapahtuu ilman merkittävää palveluntarjoajan vuorovaikutusta ja resurssit ovat käytettävissä nopeasti siten, että organisaatio voi aloittaa niiden käytön lähes välittömästi.
[Suom. Huom. NIST käyttää ilmaisua ”Cloud Computing”, joka suomennettu tässä pilvipalveluksi, Datasäädöksessä käytetään ilmaisua ”Cloud Computing [contracts]” vain kerran artiklassa 41, jossa se on suomennettu pilvilaskenta[sopimukseksi]. Data Actin useammin käyttämä ilmaisu on ”computing resources”, joka suomenkielisessä datasäädöksessä on käännetty ”tietoteknisiksi resursseiksi”.]
Vinkkejä ja neuvoja Pilvi- ja SaaS-palveluiden tarjoajille
Ei kannata olettaa, että markkinointiterminologia määrittää palvelun oikeudellisen luokituksen. ”Managed service” tai ”IT outsourcing” -palveluna markkinoitu ratkaisu voi silti olla datasäädöksen tarkoittama datankäsittelypalvelu, jos se täyttää määritelmän kriteerit. Vastaavasti pilvi- tai ohjelmistopalveluna markkinoitu ratkaisu voi jäädä määritelmän ulkopuolelle.
Joitakin lisähuomioita datasäädöksestä:
- Myös yritysten väliset (B2B) sopimukset kuuluvat sääntelyn piiriin, eikä se rajoitu kuluttajasopimuksiin. Datasäädöksen mukainen asiakas tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka on solminut sopimussuhteen datankäsittelypalvelujen tarjoajan kanssa tarkoituksenaan käyttää yhtä tai useampaa datankäsittelypalvelua.
- Palveluntarjoajan vaihtamista koskevat vaatimukset edellyttävät, että myös asiakkaan uusi pilvi- tai ohjelmistopalveluntarjoaja tarjoaa datasäädöksen määrittelyn mukaista datankäsittelypalvelua (kts. datasäädöksen 23 artikla).
- Yksittäisen asiakkaan erityistarpeisiin räätälöidyille datankäsittelypalveluille on oma erityissääntelynsä datasäädöksen 31 artiklassa.