Datasäädös (jäljempänä myös asetus) on tullut voimaan 11.1.2024. Pääosin sen soveltaminen on alkanut 12.9.2025. Asetus luo uusia datan jakamisen velvoitteita sekä oikeuksia datan käyttöön. Tavoitteena on edistää datan saatavuutta ja käyttöä sekä varmistaa datan arvon oikeudenmukaisempi jakautuminen datatalouden toimijoiden kesken.
Datasäädöksen keskiössä ovat erilaiset verkkoon liitetyt tuotteet ja niihin liittyvät palvelut sekä niiden käytön tuloksena tuotettua dataa koskevat oikeudet ja velvoitteet. Tarkoitus on vahventaa käyttäjien (kuten kunnan) asemaa antamalla heille mahdollisuus hyötyä esimerkiksi omistamillaan, vuokraamillaan tai liisaamillaan verkkoon liitetyillä tuotteilla tuottamastaan datasta. Tavoitteena on edistää uusien verkkoon liitettyjen tuotteiden (Internet of Things, IoT, esineiden internet) ja niihin liittyvien palvelujen ja kokonaan uusien dataa hyödyntävien palveluiden kehittämistä sekä innovointia.
Asetuksessa myös
Datasäädöksellä on vaikutuksia kuntiin erityisesti, jos ne ottavat käyttöön säädöksen piiriin kuuluvia IoT-tuotteita ja palveluita. Kunnat voivat hyödyntää toiminnassaan erilaisia IoT-ratkaisuja. Kyse voi olla esimerkiksi erilaisten koneiden toiminnanohjauksesta, älykkäästä liikenteestä, kiinteistöjen sisäilman mittauksesta, älykkäämmästä kameravalvonnasta tai ulkoilupaikkojen valaistuksen ohjauksesta. Verkkoon liitettyjen tuotteiden (IoT-laite) ja niihin liittyvien palveluiden dataan pääsyä, käyttöä ja jakamista koskevat datasäädöksen velvoitteet ja oikeudet riippuvat siitä, missä roolissa (datan haltija, käyttäjä, vastaanottaja) kunta toimii. Kunnan tyypillisin datasäädöksen mukainen rooli on käyttäjä. Kun IoT-dataa saa jatkossa helpommin ja sitä voi jakaa kolmannelle osapuolelle, kuntien mahdollisuudet kilpailuttaa ja vaihtaa palveluita todennäköisesti paranevat.
Velvoitteet ja mahdollisuudet IoT-datan käsittelyssä käyttäjän roolissa:
Datasäädös mahdollistaa kunnille tietyissä poikkeuksellisissa tarpeissa oikeuden päästä yksityisten toimijoiden hallussa olevaan dataan tietyissä lakisääteisten yleistä etua koskevien tehtävien suorittamiseksi.
Velvoitteet ja mahdollisuudet poikkeuksellisen tarpeen datapyynnöissä:
Datasäädöksen nojalla verkkoon liitettyjen tuotteiden (IoT-laite) ja niihin liittyvien palvelujen käyttäjät voivat hyödyntää dataa, jota he tuottavat käyttämällä verkkoon liitettyjä tuotteita tai niihin liittyviä palveluja. Verkkoon liitetyillä tuotteilla tarkoitetaan laitteita, jotka komponenttiensa tai toimintajärjestelmiensä avulla saavat, tuottavat tai keräävät dataa suorituskyvystään, käytöstään tai ympäristöstään ja jotka pystyvät välittämään kyseisen datan sähköisen viestintäpalvelun, fyysisen yhteyden tai laiteyhteyden kautta, mitä kutsutaan usein esineiden internetiksi. Oleellista on datan kerääminen ja tallentuminen. Jos laite ainoastaan säilyttää dataa, eikä luo sitä, sitä ei pidetä asetuksen tarkoittamana IoT-laitteena. Laitteen ei tarvitse olla yhteydessä internetiin, vaikka niin usein on.
Esimerkkejä tyypillisistä IoT-laitteista tai IoT-laitteita sisältävistä tuoteryhmistä kunnissa ovat muun muassa koneet, hissit, ajoneuvot, dronet sekä sähkö- ja radiolaitteet. Kunnissa IoT-ratkaisuja voidaan hyödyntää esimerkiksi älykkään liikenteen ratkaisuihin, koneiden toiminnanohjaukseen, kiinteistöautomatiikkaan, urheilupaikkojen valaistuksen ohjaukseen ja älykkäämpään kameravalvontaan.
IoT-laitteeseen liittyvällä palvelulla tarkoitetaan digitaalista palvelua, joka voidaan linkittää IoT-laitteen toimintaan ja joka vaikuttaa tämän laitteen toimivuuteen esimerkiksi välittämällä siihen dataa tai komentoja. Jotta digitaalista palvelua voidaan pitää IoT-laitteeseen liittyvänä palveluna, IoT-laitteen ja palveluntarjoajan välillä on vaihdettava dataa ja palvelun tulee vaikuttaa IoT-laitteen toimintoihin, käyttäytymiseen tai toimintaan. Kyse voi olla esimerkiksi sovelluksesta valojen tai lämpötilan säätämiseksi. Sen sijaan esimerkiksi avustavaa konsultointia, analytiikkaa, rahoituspalveluja taikka säännöllistä korjausta ja huoltoa ei ole pidettävä säädöksessä tarkoitettuina IoT-laitteisiin liittyvinä palveluina.
Uusien verkkoon kytkeytyvien laitteiden käyttöönoton yhteydessä sopimuksiin tulee sisältyä tieto, miten kunta käyttäjänä pääsee käsiksi dataan sekä mitä tietoja datan haltija kerää ja miten dataa käytetään.
Datasäädöksen asettamat velvoitteet kohdistuvat erityisesti datan haltijoihin, joiden tulee esimerkiksi suunnitella ja valmistaa IoT-laitteet ja tarjota niihin liittyvät palvelut siten, että niiden käytön tuloksena tuotettu data on oletusarvoisesti helposti, turvallisesti ja tarvittaessa suoraan käyttäjän saatavilla sekä jaettavissa eteenpäin kolmansille osapuolille. Lisäksi datan haltijoiden tulee asettaa data saataville unionissa oikeudenmukaisin, kohtuullisin ja syrjimättömin ehdoin ja avoimesti. Mikro- ja pienyrityksiin datan haltijoina ei kuitenkaan sovelleta velvoitteita datan jakamisesta, jotta sääntelystä ei muodostuisi niille liiallista rasitetta.
Datan haltijoita ovat tyypillisesti esimerkiksi yksityisen sektorin toimijat, jotka valmistavat verkkoon liitettäviä tuotteita tai jotka pitävät hallussaan dataa, johon julkisen sektorin elimet haluavat pääsyn. Datan haltijan käsite ei yleensä kata julkisen sektorin elimiä, mutta se voi sisältää julkiset yritykset, siltä osin kuin ne tuottavat laitteita tai palveluita markkinoilla. Tietyissä tilanteissa datan haltijan rooli voidaan myös ulkoistaa. Tällöinkin edellytyksenä kuitenkin on, että kyseisellä taholla on mahdollisuus hallita pääsyä saataville asetettuun dataan.
Datan käyttäjä tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka omistaa tai vuokraa verkkoon liitetyn tuotteen tai vastaanottaa tällaiseen tuotteeseen liittyviä palveluita. Käyttäjän roolissa kunnalla on oikeus saada IoT-laitteista data käyttöönsä sekä jakaa data halutessaan eteenpäin. Kunnissa uusi sääntely luo muutostarpeita esimerkiksi sopimuksiin, joissa sovitaan pääsystä verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytöstä kertyvään dataan. Käyttäjänä toimivalla kunnalla on oltava datan haltijan kanssa sopimus (esim. myyntisopimus, vuokrasopimus, siihen liittyvä palvelusopimus), jossa määritellään verkkoon liitetyn tuotteen tai siihen liittyvän palvelun tuottaman datan saatavuutta, käyttöä ja jakamista koskevat velvoitteet ja oikeudet.
Dataan pääsyä koskeva pyyntö voidaan toteuttaa esimerkiksi käyttäjätilillä. Käyttäjätiliä voidaan hyödyntää paitsi dataan pääsyä koskevien pyyntöjen esittämiseen ja käsittelemiseen myös esimerkiksi viestimiseen ja käyttäjän tunnistamiseen sen varmistamiseksi, että käyttäjällä on oikeus dataan pääsyyn. Tiliratkaisujen olisi annettava käyttäjille mahdollisuus poistaa tilinsä ja heihin liittyvät tiedot, ja ne voisivat antaa käyttäjille mahdollisuuden lopettaa dataan pääsyn, sen käytön tai jakamisen tai esittää tätä koskevia pyyntöjä ottaen erityisesti huomioon tilanteet, joissa IoT-laitteen omistus tai käyttö muuttuu. Jos dataan pääsyä koskevan pyynnön automaattinen toteuttaminen ei ole mahdollista esimerkiksi käyttäjätilin kautta tai IoT-tuotteen tai siihen liittyvän palvelun mukana toimitetun mobiilisovelluksen kautta, datan haltijan olisi ilmoitettava käyttäjälle, miten dataan voi päästä.
Datan vastaanottaja tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka toimii omaan elinkeino-, liike-, käsiteollisuus- tai ammattitoimintaansa liittyvässä tarkoituksessa ja joka ei ole tuotteen tai siihen liittyvän palvelun käyttäjä ja jonka saataville datan haltija asettaa dataa, myös kolmatta osapuolta. Kolmas osapuoli, jonka saataville data asetetaan, voi olla luonnollinen henkilö tai oikeushenkilö, kuten kuluttaja, yritys, tutkimusorganisaatio, voittoa tavoittelematon järjestö tai ammattitoimintaa harjoittava yksikkö.
Datan vastaanottaja voi käsitellä dataa vain käyttäjän kanssa sovittuihin tarkoituksiin ja jakaa dataa muun kolmannen osapuolen kanssa vain, jos tällaisesta datan jakamisesta on sovittu käyttäjän kanssa.
IoT-laitteen data voi sisältää tapauskohtaisesti myös henkilötietoa. Esimerkiksi, jos laite kerää dataa vaikkapa maaperästä käyttäjästä riippumatta, ei laitteelle kerry henkilötietoa. Jos laitteelle kertyy kirjautumisdataa, tietoa ajoreiteistä, -tavasta tai laitteen käyttöajoista, voi kyseessä olla henkilötieto. Esimerkiksi kaupungin ruohonleikkuria ajava henkilö voitaisi tunnistaa ruohonleikkurin sijaintitiedoista ja työntekijän työvuorolistoista. Tällöin kyseessä olisi henkilötieto työnantajalle, joka hallitsee sekä työvuorotietoja että pääsee käsiksi ruohonleikkurin keräämään dataan. Ruohonleikkurin dataa ei välttämättä tulkittaisi henkilötietoja sisältäväksi sellaiselle kolmannelle taholle jaettuna, joka ei pysty yhdistämään ruohonleikkurin dataa työvuorotietoihin tai muihin tunnistamista auttaviin lisätietoihin.
Henkilötietoihin liittyen kannattaa tutustua myös alempana sijaitsevaan haitarin kohtaan ” Miten pseudonymisointi eroaa anonymisoinnista?”.
Datasäädös mahdollistaa julkisen sektorin elimille, kuten kunnille, tietyissä poikkeuksellisissa tarpeissa pääsyn yksityisten toimijoiden hallussa olevaan dataan tietyn lakisääteisen yleistä etua koskevan tehtävän suorittamiseksi. Sääntelyn tavoitteena on, että julkisen sektorin elimet pystyvät tekemään parempia päätöksiä ja toimimaan tehokkaammin erilaisissa poikkeuksellisissa tilanteissa. Poikkeuksellinen tarve voi syntyä esimerkiksi yleiseen hätätilaan, kuten tulvaan, maastopaloihin, vakavaan kyberturvallisuusuhkaan tai pandemiaan reagoimiseksi tai virallisten tilastojen tuottamiseen, jos data ei ole muuta kautta saatavilla. Kuitenkaan esimerkiksi kunnan määräysvallassa olevat yritykset eivät ole sääntelyssä tarkoitettuja julkisen sektorin elimiä. Käytännössä kyse on lähinnä kansallisia tiedonsaantioikeuksia täydentävästä sääntelystä. Esimerkiksi covid-19-pandemian yhteydessä tällaista jakamista tehtiin jo ainakin jossain määrin.
Poikkeuksellisen tarpeen datapyynnön yhteydessä kunnan on täsmennettävä datasäädöksen mukaisesti muun muassa datan käyttötarkoitus ja -aika sekä osoitettava, että muut säädetyt edellytykset pyyntöön täyttyvät. Poikkeuksellisen tarpeen datapyynnön tekemiseen on tulossa malleja komissiolta. Jos dataa on saatu tällaisen pyynnön kautta, tulee data hävittää käytön jälkeen, kun pyynnössä ilmoitettu tarve päättyy, eikä tällaisen pyynnön kautta saatua dataa tule katsoa avoimeksi dataksi. Covid-19-pandemian aikana puhelinoperaattoreiden hallussa olevaa dataa ihmisten liikkumisesta hyödynnettiin yleisen edun nimissä. Datasäädöksellä mahdollistetaan tällainen datan jakaminen lainsäädännöllisesti. Myös EU:n toimielimillä on oikeus tehdä poikkeuksellisen tarpeen pyyntöjä.
Datasäädöksessä säädetty oikeus pyytää tietoja poikkeuksellisen tarpeen nojalla on tarkoitettu viimeiseksi käytettävissä olevaksi keinoksi, joten se tulee melko harvoin kyseeseen. Datasäädöstä voi pitää tässä yhteydessä siis täydentävänä sääntelynä, joka ei syrjäytä kansallista sääntelyä.
Poikkeuksellisen tarpeen datapyynnön nojalla saadut tiedot on erikseen merkittävä datasäädöksen V luvun nojalla saaduksi tiedoksi, jotta datasäädöksen velvoitteet voidaan ottaa huomioon, kun dataa käsitellään kunnan toiminnassa tai kun dataa pyydetään julkisuuslain nojalla.
Datalukutaidolla tarkoitetaan datasäädöksen mukaan taitoja, tietämystä ja ymmärtämystä, joiden avulla kuluttajat ja yhteisöt voivat tulla tietoisiksi sellaisen datan mahdollisesta arvosta, jota ne tuottavat ja jakavat, ja johon niillä on halua tarjota pääsy asiaankuuluvien oikeudellisten sääntöjen mukaisesti. Tavoitteena on lisätä kansalaisten ja yhteisöjen kykyä hyötyä datamarkkinoista. Datalukutaidon edistäminen vaatii yhteistyötä opetus- ja kulttuuriministeriön hallinnonalan viranomaisten kanssa, joiden tehtäviin kuuluu edistää kokonaisvaltaisemmin digitaalisia lukutaitoja ja niiden osana myös datalukutaitoa. Datalukutaidon kaltainen osaamisen kehittyminen vaatii aikaa ja aiheen huomioimista esimerkiksi oppilaitoksissa.
Säädöksen odotetaan myös sujuvoittavan datankäsittelypalveluiden vaihtamista ja rinnakkaista käyttöä. 12.9.2027 jälkeen datankäsittelupalveluiden vaihtamisen ja siirtämisen tulee olla täysin maksutonta. Siihen asti vaihtamisesta voi periä alennetun, palveluntarjoajan vaihtokustannukset kattavan maksun.
Yleinen käsite ’datankäsittelypalvelut’ kattaa huomattavan määrän palveluja, joihin kuuluu hyvin laaja valikoima eri tarkoituksia, toimintoja ja teknisiä järjestelyjä. Esimerkiksi pilvipalvelut ovat säädöksessä tarkoitettuja datankäsittelypalveluita. Säädöksen odotetaan myös mahdollistavan helpomman pilvipalveluiden kilpailutuksen ja vaihdon. Pilvipalveluiden sujuvan vaihdon esteiden purkamisella ja yhteentoimivuudella pyritään edistämään pilvipalveluiden käyttöönottoa ja useamman palvelun käyttämistä rinnakkain.
Älysopimukset ovat entistä keskeisempi väline datan jakamisessa jatkossa, ja suunta on vahvasti kohti yhä automatisoidumpaa datan jakamista. Datasäädöksessä on asetettu vaatimukset datan jakamiseen liittyville älysopimuksille.
Datasäädös asettaa datankäsittelypalvelujen tarjoajille velvoitteen toteuttaa riittävät suojatoimenpiteet estääkseen muiden kuin henkilötietojen siirron tai viranomaisten pääsyn, jos siirto tai pääsy olisi ristiriidassa EU:n tai jäsenvaltion kansallisen lainsäädännön kanssa.
Datasäädöstä ei sovelleta yksityisten elinten ja julkisyhteisöjen välistä datan vaihtoa tai jakamista koskeviin vapaaehtoisiin järjestelyihin eli esimerkiksi datanhallinta-asetuksen data-altruistisiin mekanismeihin.
Data-avaruuteen osallistuvan kunnan tulee noudattaa datasäädöksessä asetettuja yhteentoimivuutta tukevia vaatimuksia yhteisistä käytännöistä.
Pseudonymisoinnin ja anonyymien tietojen käsitteet on määritelty yleisessä tietosuoja-asetuksessa, pseudonymisointi artiklatekstissä ja anonyymit tiedot asetuksen johdanto-osan perusteluissa.
Pseudonymisoinnilla tarkoitetaan henkilötietojen käsittelemistä siten, että henkilötietoja ei voida enää yhdistää tiettyyn henkilöön käyttämättä lisätietoja. Tällaiset lisätiedot täytyy säilyttää huolellisesti erillään henkilötiedoista. Pseudonymisointi voidaan tehdä esimerkiksi koodaamalla tai peitenimillä. Pseudonymisoidut tiedot ovat yhä henkilötietoja sille taholle, joka pseudonymisoinnin on tehnyt, joten niiden käsittelyssä on noudatettava tietosuojalainsäädäntöä. Vastaanottavalle taholle pseudonymisoitu data ei välttämättä ole enää henkilötietoa, jos sillä ei esimerkiksi ole pääsyä lisätietoihin, joihin yhdistämällä voisi tunnistaa henkilön. Yleisen tietosuoja-asetuksen johdanto-osan kohdan 26 perustelukappaleen mukaan, jotta voidaan määrittään, onko henkilö tunnistettavissa, tulee huomioida kaikki keinot, joita saatettaisiin kohtuullisen todennäköisesti käyttää henkilön tunnistamiseen. Pseudonymisoidut tiedot eivät välttämättä ole kaikissa tilanteissa henkilötietoja, jos tiedot on suojattu niin, ettei niitä ole mahdollista yhdistää tiettyyn henkilöön. Se, pidetäänkö pseudonymisoituja tietoja edelleen henkilötietoina, vaatii tilannekohtaista arviointia.
Tiedot ovat anonyymejä, jos ne eivät liity tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Anonymisoiduista tiedoista voidaan puhua, kun henkilötietojen tunnistettavuus on käsitelty siten, ettei henkilön tunnistaminen ole mahdollista. Tunnistautumisen täytyy estyä peruuttamattomasti. Tunnistamisen mahdollisuutta arvioitaessa on otettava huomioon kaikki kohtuudella toteutettavissa olevat keinot, joiden avulla tiedot voitaisiin muuttaa takaisin tunnisteellisiksi. On arvioitava tapauskohtaisesti, voidaanko jokin tieto katsoa anonyymiksi vai ei. Henkilö voi olla tunnistettavissa muistakin tiedoista kuin esimerkiksi nimestä. Pelkästään nimen ja muiden yksilöintitietojen poistaminen ei siis esimerkiksi tarkoita, että tiedot olisivat anonyymejä. Anonymisoituja tietoja ei katsota enää henkilötiedoiksi, jolloin tietosuoja-asetusta ei sovelleta.
Esimerkki kulkutunnistustietojen pseudonymisoinnista ja anonymisoinnista: Kunnalla on hallussa uimahallin kulkurannekkeiden tietoja.
Datan voi pseudonymisoida siten, että yksittäisten rannekkeen käyttäjien nimet ja yhteystiedot poistetaan datasta tai nimet muutetaan koodeiksi. Tiedot ovat edelleen eriteltävissä kunnassa yksilötasolle ja esimerkiksi tietojen, kuten sukupuoli, alennuskategoria ja rannekkeen aktivointipäivä, yhdistäminen voi silti riittää yksittäisen henkilön tunnistamiseen. Kyse on siis edelleen henkilötiedoista. Jos kunta luovuttaisi pseudonymisoituja tietoja toiselle organisaatiolle, on arvioitava, pystyykö tietojen vastaanottaja yhdistämään tiedot tunnistettaviin henkilöihin. Jos tunnistaminen ei ole mahdollista, pseudonymisoituja tietoja ei pidetä henkilötietoina tietojen vastaanottajan näkökulmasta.
Datan anonymisointi voitaisiin toteuttaa esimerkiksi muuttamalla data yleisluonteisemmaksi tai tilastolliseen muotoon, jolloin yksilöä on mahdotonta eritellä. Anonymisoidusta datasta voisi selvittää esimerkiksi, että eläkeläisalennuksella ranneketta käytetään eniten tiistai- ja torstaiaamuisin, ja miehet käyvät naisia useammin iltaisin uimahallilla. Yksittäisen rannekkeen käyttäjän käyntitietoja ei kuitenkaan pystyisi selvittämään, joten datan ei katsota enää sisältävän henkilötietoja.
EU:n digi- ja datasäädöksiä soveltaessa on tärkeä tunnistaa, käsitelläänkö henkilötietoja vai ei. Kun esimerkiksi dataa asetetaan saataville ja avattava data on sisältänyt henkilötietoja, mutta ne anonymisoidaan, noudatetaan avoimen datan direktiiviä. Jos data sisältää henkilötietoja, jotka pseudonymisoidaan, sovelletaan sen sijaan datanhallinta-asetusta. Myös datasäädöstä soveltaessa on keskeistä hahmottaa, sisältyykö esimerkiksi verkkoon liitettyjen tuotteiden ja niihin liittyvien palveluiden käytöstä tuotettuun dataan henkilötietoja.
Lisää tietoa anonymisoinnista ja pseudonymisoinnista
Datasäädös täydentää datanhallinta-asetusta, jolla lisätään luottamusta vapaaehtoisiin datanjakomekanismeihin. Datasäädöksessä puolestaan määritellään, kenellä on oikeus saada pääsy, käyttää ja jakaa laitteista/palveluista kertyvää dataa ja millä edellytyksillä. Yhdessä datasäädöksen ja datanhallinta-asetuksen on tarkoitus helpottaa datan luotettavaa ja turvallista saatavuutta sekä edistää sen käyttöä keskeisillä talouden aloilla ja yleistä etua koskevilla aloilla.
Datasäädös ei säädä avoimesta datasta, vaan siitä säädetään avoimen datan direktiivissä.
Datanhallinta-asetuksessa määritelty datainnovaatiolautakunta toimii neuvovana tahona myös datasäädökseen liittyen.
Komissio voi laatia yhteentoimivuutta koskevia eritelmiä ja pyytää eurooppalaisia standardointiorganisaatioita laatimaan datasäädöksen vaatimusten mukaisia standardeja. Lisäksi komissio kehittää datan jakamiseen ei-sitovia mallisopimusehtoja, joita halutessaan voi hyödyntää.
Liikenne ja viestintäministeriö toimii kansallisena toimeenpanosta vastaavana viranomaisena. Hallituksen esitysluonnoksessa on ehdotettu, että asetuksen mukaisena datakoordinaattorina Suomessa toimii Liikenne- ja viestintävirasto Traficom. Tehtävänä datakoordinaattorilla on helpottaa toimivaltaisten viranomaisten välistä yhteistyötä ja toimia keskitettynä yhteyspisteenä kaikissa asetuksen soveltamiseen ja täytäntöönpanoon liittyvissä kysymyksissä.
Datakoordinaattorina Traficom asettaa julkisesti saataville julkisen sektorin tekemät poikkeuksellisen tarpeen pyynnöt sekä edistää vapaaehtoisia datan jakamista koskevia sopimuksia julkisen sektorin elinten ja datan haltijoiden välillä. Traficomin vastuulla olevan poikkihallinnollisen EU:n datasäädöksen täytäntöönpanoa tukeva työryhmä toimikautta on jatkettu.
Kuluttajasopimusten osalta kansallisessa täytäntöönpanoehdotuksessa (Lausunto - Lausuntopalvelu) ehdotetaan Kilpailu- ja kuluttajaviraston vastuuksi datalukutaidon ja ymmärryksen lisääminen, Kuluttaja-asiamiehen vastuuksi kuluttajien informointia sopimusasioissa sekä tietosuojavaltuutetun vastuualueeksi datasäädöksen alainen henkilötietojen käsittely.
Myös tietosuojavaltuutetulla, joka valvoo henkilötietojen käsittelyn lainmukaisuutta, tulee olemaan merkittävä rooli datasäädökseen liittyvässä henkilötietojen käsittelyn valvonnassa.
