Tämä artikkeli on osa viisiosaista artikkelisarjaa, jossa tarkastellaan data-avaruuksia eri näkökulmista liiketoiminnan mahdollisuuksista teknisiin ratkaisuihin ja ekosysteemeistä sääntelyyn. Sarjan on koonnut Karelian tiedolla johtamisen lehtori Tiina Soininen, joka on kutsunut kirjoittajiksi asiantuntijoita myös Karelian yhteistyökumppaneista. Sarjan ensimmäinen osa, “Data-avaruudet luovat mahdollisuuksia liiketoiminnalle: tehokkuutta, kustannussäästöjä ja uusia tuotteita”, avasi data-avaruuksien perusidean ja yrityksille syntyvät hyödyt. Toisessa artikkelissa, “Kun data alkaa liikkua – Euroopan tie kohti yhteisiä data-avaruuksia”, pureuduttiin datan liikkumiseen ja siihen, miten yhteiseurooppalaiset dataekosysteemit ovat vähitellen muotoutumassa. Artikkelisarjan kolmannessa osassa käsiteltiin data-avaruuksia kyberturvallisuuden näkökulmasta.
Tässä artikkelissa syvennytään siihen, millaiset lainsäädännölliset reunaehdot ohjaavat data-avaruuksien toteutusta. Tämän artikkelin on laatinut tietosuoja- ja datajuristi Aino Kosunen (Lawder Oy).
Lainsäädäntö luo kehikon data-avaruuksille – EU:n viidennen vapauden turvaaminen
Data-avaruudet eivät ole vain teknisiä ratkaisuja tai liiketoiminnallisia innovaatioita. Niiden taustalla vaikuttaa laaja oikeudellinen kokonaisuus, jonka tehtävänä on varmistaa, että data liikkuu turvallisesti, reilusti ja luottamukseen perustuen eri toimijoiden välillä. Samalla sääntely ei ole pelkkä rajoitus – data-avaruudet voivat myös toimia välineenä lainmukaiseen datan jakamiseen ja auttaa organisaatioita täyttämään esimerkiksi tietosuojan, immateriaalioikeuksien, tekoälysääntelyn ja tietoturvan vaatimuksia (Data Spaces Support Centre 2024).
Euroopan datastrategia toimii tämän kehityksen viitekehyksenä (Euroopan komissio 2020). Sen tavoitteena on vahvistaa eurooppalaista datataloutta ja luoda yhtenäiset pelisäännöt datan jakamiselle yli toimialojen ja maiden rajojen. Unionin tavoitteena on datan vapaa liikkuminen EU:n sisämarkkinoilla, jota on kutsuttu jopa EU:n “viidenneksi vapaudeksi” muiden perinteisten vapauksien rinnalla (Breskienė 2020).
EU:n datastrategia rakentuu kaksiosaiselle sääntelymallille: yhtäältä se pyrkii avaamaan alustojen tietovarantoja ja toisaalta vahvistamaan yksityishenkilöiden ja organisaatioiden kykyä hallita omia tietojaan (Ryan, Gürtler & Bogucki 2024). Datastrategia rakentuu laajasta lainsäädäntöpaketista, joka toisaalta avaa datan saatavuutta ja toisaalta vahvistaa yksilöiden ja organisaatioiden oikeuksia omaan dataansa. Näiden säädösten yhteisvaikutus luo edellytykset data-avaruuksien muodostumiselle (Penedo 2024).
EU:n datasääntely ulottuu henkilötietojen suojasta ei-henkilötietojen käyttöoikeuksiin, digitaalisten alustojen sääntelyyn, kilpailuoikeuteen ja toimialakohtaisiin kehyksiin (Data Spaces Support Centre 2024). Data Governance Act luo puitteet luotettaville data-välityspalveluille, data-altruismille ja julkisen sektorin suojattujen tietojen uudelleenkäytölle. Data Act puolestaan selkeyttää sitä, kenellä on oikeus käyttää esimerkiksi IoT-laitteiden tuottamaa dataa ja millä ehdoilla dataa on jaettava käyttäjille, muille yrityksille tai julkisille toimijoille. Tietosuoja-asetus eli GDPR määrittää henkilötietojen käsittelyn peruslähtökohdat, ja sen rinnalla kulkevat esimerkiksi ei-henkilötietoja sekä julkisen sektorin avoimuutta koskevat säädökset.
Samaan aikaan digitaalisia alustoja koskevat säädökset – kuten Digital Services Act ja Digital Markets Act – vaikuttavat data-avaruuksien toimintaympäristöön välillisesti. Ne lisäävät läpinäkyvyyttä, vastuullisuutta ja rajoittavat portinvartijayritysten mahdollisuuksia käyttää dataa tavalla, joka sulkisi muut toimijat ulos. Kokonaisuus voi näyttää monimutkaiselta, mutta juuri tämä monikerroksinen kehikko tekee data-avaruuksista kiinnostavia: ne ovat paikka, jossa nämä normit muuttuvat käytännöiksi (Data Spaces Support Centre 2024).
Keskeiset datasäädökset data-avaruuksien taustalla
Data-avaruuksien kannalta keskeiset säädökset muodostavat kokonaisuuden, jossa luottamus, oikeuksien tasapaino ja tekninen yhteentoimivuus ovat keskiössä. Kukin säädös tuo oman kerroksensa datan jakamisen ehtoihin, toimijoiden rooleihin ja teknisiin sekä organisatorisiin vaatimuksiin. Yhdessä ne luovat ympäristön, jossa dataa voidaan hyödyntää eri toimialoilla turvallisesti, ennakoitavasti ja reilusti (Euroopan komissio 2024).
Data Governance Act toimii luottamuksen perustana. Se määrittelee, kuinka data-välityspalveluiden tulee toimia ja asettaa tiukat neutraalisuusvaatimukset näille toimijoille. Lisäksi se luo raamit data-altruismille – mekanismille, jossa dataa jaetaan yleishyödyllisiin tarkoituksiin – ja määrittää, millä ehdoilla julkisen sektorin suojattua dataa voidaan hyödyntää (Euroopan komissio 2024).
Data Act täydentää Data Governance Actia ja keskittyy erityisesti laitteiden ja palvelujen tuottamaan dataan. Se pyrkii purkamaan tilanteita, joissa data on lukittu yhden toimijan haltuun, ja vahvistaa käyttäjien oikeuksia saada käyttöönsä omaa tai laitteidensa tuottamaa dataa. Lisäksi Data Act sisältää velvoitteita datan jakamisesta poikkeustilanteissa julkiselle sektorille ja linkittyy vahvasti yhteentoimivuusstandardeihin, jotka ovat data-avaruuksien toiminnan ytimessä (Euroopan komissio 2024).
GDPR on edelleen kaiken henkilötietojen käsittelyn kivijalka. Data-avaruudet eivät muuta tätä: monitoimijaympäristössä korostuvat erityisesti läpinäkyvyys, minimointi ja rekisteröityjen oikeuksien toteutuminen (AEPD 2023). GDPR:n periaatteiden toteutuminen edellyttää selkeitä rooleja, etukäteen määriteltyjä käyttötarkoituksia ja teknisiä suojauskeinoja. Data-avaruudet voivat kuitenkin jopa tukea henkilötietojen suojaa, kun rakenteet – kuten pääsynhallinta, lokitus ja datan pseudonymisointi – toteutetaan systemaattisesti (AEPD 2023). Lisäksi ePrivacy-sääntely voi tulla sovellettavaksi erityisesti silloin, kun tietoa kerätään tai luetaan päätelaitteista (Data Spaces Support Centre 2025).
AI Act liittyy data-avaruuksiin ennen kaikkea välillisesti. Vaikka tekoälyasetus ei suoraan säätele data-avaruuksia, sillä on keskeinen vaikutus siihen, miten data-avaruuksien kautta saatua dataa voidaan hyödyntää (Euroopan komissio 2024). Korkean riskin tekoälyjärjestelmien kehittäminen edellyttää läpinäkyvää, dokumentoitua ja valvottua datan käyttöä. Näin ollen data-avaruudet voivat toimia tärkeänä infrastruktuurina AI Actin noudattamisessa – ne tarjoavat kontrolloidun ympäristön, jossa voidaan varmistaa datan alkuperä, käyttötarkoitus ja laatu (Data Spaces Support Centre 2025).
Immateriaalioikeudet ja kilpailuoikeus ohjaavat datan käyttöä ja ehkäisevät datamonopoleja
Data-avaruuksien näkökulmasta immateriaalioikeuksien merkitys on erittäin suuri. Data ei ole pelkästään tekninen resurssi, vaan siihen voi kohdistua erilaisia immateriaalioikeuksia, kuten tekijänoikeus, tietokantaoikeus ja liikesalaisuuden suoja (Euroopan parlamentti 2022). Nämä oikeudet määrittelevät, kuka saa päättää datan käytöstä ja millä ehdoin sitä voidaan jakaa muiden toimijoiden kanssa.
Immateriaalioikeuksien huomioiminen data-avaruuksissa tarkoittaa, että datan omistajuutta ja käyttöoikeuksia ei voida ratkaista pelkästään teknisin keinoin (Data Spaces Support Centre 2025). On varmistettava, että dataa ei jaeta tavalla, joka loukkaa oikeudenhaltijoiden etuja tai vaarantaa yrityksen kilpailuedun. Samalla on luotava selkeitä lisensointimalleja, joiden avulla data voidaan avata hallitusti ja turvallisesti osaksi laajempaa ekosysteemiä (Data Spaces Support Centre 2024).
Myös kilpailuoikeus vaikuttaa siihen, millaista yhteistyötä data-avaruuksissa voidaan tehdä. Data-avaruuksien ydinajatus perustuu yhteistyöhön, mutta kilpailijoiden välinen tiedonvaihto ei saa vääristää markkinoita eikä aiheuttaa tilanteita, jotka muistuttavat kartelleja (Borowicz 2025). Toisaalta kilpailuoikeus voi tietyissä tilanteissa myös velvoittaa yrityksiä jakamaan dataa, jos datan yksipuolinen hallinta estää uusia toimijoita tai innovaatioita syntymästä (Data Spaces Support Centre 2025). Tämä tasapaino on tärkeä huomioida etenkin silloin, kun data-avaruuksia rakennetaan toimialoille, joilla toimijat ovat sekä kilpailijoita että yhteistyökumppaneita.
Sektorikohtaiset data-avaruudet muovaavat seuraavaa sääntelyvaihetta
Vaikka EU:n horisontaalinen datasääntely luo data-avaruuksille yhteisen perustan, todellinen kehityspaine näkyy nyt sektorikohtaisissa data-aloitteissa. EU:ssa on parhaillaan käynnissä useita sektorikohtaisia data-aloitteita, jotka täydentävät koko Euroopan datatalouden kehitystä omilla erityispiirteillään. Ensimmäisenä konkreettisena sektoridatasääntelynä on hyväksytty European Health Data Space (EHDS), jonka täytäntöönpano etenee vaiheittain vuoteen 2027 saakka (Euroopan komissio 2025). EHDS luo puitteet sekä potilastietojen ensisijaiselle käytölle että tutkimuksen ja innovoinnin toissijaiselle käytölle, ja sen odotetaan tarkentuvan komission tulevien täytäntöönpano-ohjeiden myötä (Euroopan komissio 2024).
Rahoitussektorilla vastaavaa kehitystä vie eteenpäin Framework for Financial Data Access (FIDA), joka pyrkii luomaan yhtenäisen eurooppalaisen mallin asiakasdatan hallittuun jakamiseen (Euroopan komissio 2023). Lainsäädäntöehdotus on edennyt vuoden 2025 aikana, ja jatkossa huomio kohdistuu erityisesti suostumuksen hallinnan ja rajapintojen teknisiin vaatimuksiin.
Liikkumisen ja liikenteen puolella kehitystä ohjaa European Mobility Data Space -aloite, jota edistetään ohjelmallisesti ilman erillistä sektoriasetusta. Painopiste on yhteentoimivissa ratkaisuissa, standardoinnissa ja toimialan laajuisissa rajapintamalleissa (Euroopan komissio 2024). Energiasektorilla datan jakamista kehitetään puolestaan osana mittaus- ja verkkotietojen digitalisaatiota, ja komission työtä tukevat Data for Energy -ryhmän linjaukset sekä kansalliset täytäntöönpanotoimet (Euroopan komissio 2024).
Yhteistä näille sektorikohtaisille aloitteille on, että ne luovat omien toimialojensa tarpeisiin tarkennettuja datan jakamisen pelisääntöjä ja vahvistavat edellytyksiä rakentaa yhteentoimivia eurooppalaisia dataekosysteemejä. Kokonaisuutena ne osoittavat, että datan sääntely kehittyy EU:ssa samanaikaisesti sekä horisontaalisesti että toimialoittain, ja sektorikohtaiset data-avaruudet muodostuvat osaksi laajempaa eurooppalaista datainfrastruktuuria.
Ilman sääntelyä ei ole data-avaruuksia
Data-avaruuksien oikeudellinen ympäristö on monitasoinen ja vaativa, mutta se ei ole este kehitykselle. Päinvastoin, sääntely luo perustan, jonka varaan eurooppalainen datatalous rakentuu. Lainsäädäntö antaa pelisäännöt, joiden avulla datan jakaminen voidaan toteuttaa turvallisesti, luotettavasti ja reilusti. Data-avaruudet puolestaan konkretisoivat nämä periaatteet käytännön ratkaisuiksi ja ekosysteemeiksi, joissa data voi liikkua vastuullisesti yli organisaatio- ja toimialarajojen.
Yrityksille ja organisaatioille tämä tarkoittaa sekä velvoitteita että mahdollisuuksia. On tärkeää tunnistaa oman datan oikeudellinen luonne, hallita siihen liittyvät riskit ja rakentaa selkeät sopimukset. Samalla data-avaruudet tarjoavat uuden tavan toteuttaa datayhteistyötä ja kehittää innovatiivisia palveluja tavalla, joka on paitsi kilpailukykyistä myös lainmukaista.
Kirjoittaja:
LLM Aino Kosunen
Lawderilla tietosuoja- ja datajuristina työskentelevä Aino Kosunen on erikoistunut dataan liittyvään juridiikkaan laaja-alaisesti. Hänen työnsä painopisteenä ovat tietosuojavelvoitteiden noudattaminen sekä tekoälyä koskeva sääntely. Ainolla on monipuolinen kokemus eri liiketoimintojen datasääntelyä koskevista prosesseista, ja hänen osaamisensa nojaa vahvasti EU:n datasääntelykokonaisuuteen.
Lähteet:
AEPD. 2023. Approach to Data Spaces from GDPR Perspective. https://conformally.com/featured_item/approach-to-data-spaces-from-gdpr-perspective-aepd/
Borowicz M.K. 2025. Competition, standards, and EU data spaces. https://www.sciencedirect.com/science/article/pii/S2352340925006882
Breskienė I. 2020. Free Movement of Data in the European Union: Opportunity or Big Challenge in a Use of Artificial Intelligence? https://www.journals.vu.lt/open-series/en/article/view/22385/21643
Data Spaces Support Centre. 2024. Starter Kit for Data Sapce Designers. https://dssc.eu/space/SK/759234564
Data Spaces Support Centre. 2025. Data Spaces Blueprint v2.0. https://dssc.eu/space/BVE2/1071251457/Data+Spaces+Blueprint+v2.0+-+Home
Euroopan komissio. 2020. Euroopan datastrategia. https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A52020DC0066
Euroopan komissio. 2023. Financial data access and payments package. https://finance.ec.europa.eu/publications/financial-data-access-and-payments-package_en#details
Euroopan komissio. 2024. Commission Staff Working Document on Common European Data Spaces. https://digital-strategy.ec.europa.eu/en/library/second-staff-working-document-data-spaces?utm_source=chatgpt.com
Euroopan komissio. 2025. e-News: Regulation on the European Health Data Space published. https://ec.europa.eu/newsroom/sante/newsletter-archives/60931
Euroopan parlamentti. 2022. IPR and the use of open data and data sharing initiatives by public and private actors. https://www.europarl.europa.eu/thinktank/en/document/IPOL_STU(2022)732266
Penedo A.C. 2024. The Regulation of Data Spaces under the EU Data Strategy: Towards the ‘Act-ification’ of the Fifth European Freedom for Data? https://www.ejlt.org/index.php/ejlt/article/view/995
Ryan M., Gürtler P. & Bogucki A. 2024. Will the real data sovereign please stand up? An EU policy response to sovereignty in data spaces. https://academic.oup.com/ijlit/article/doi/10.1093/ijlit/eaae006/7708555