GDPR:n ja DMA:n ympärille uudet ohjeet - helpottaa teknologiajättejä noudattamaan kilpalusääntöjä yhdessä käyttäjien tietoturvan kanssa

Janne Yli-Korhonen
14. lokakuuta, 2025 19:08

Euroopan unionilla on pari merkittävää lakia, jotka ovat osittain päällekkäisiä ja aiheuttavat teknologiajättien kohdalla päänvaivaa. Kyseessä ovat tietosuoja-asetus (GDPR) ja digimarkkinasäädös (Digital Markets Act, DMA).
Nyt Euroopan tietosuojaneuvosto ja komissio ovat laatineet yhteisen ohjeen EU:n digimarkkina-asetuksen ja yleisen tietosuoja-asetuksen keskinäisestä suhteesta. Tiedotteen mukaan ohjeistus auttaa digimarkkinoiden niin kutsuttuja portinvartijayrityksiä eli komission nimeämiä suuria teknologiayrityksiä ymmärtämään kummastakin asetuksesta tulevia velvoitteita ja soveltamaan niitä rinnakkain.

EU:n digimarkkina-asetuksella edistetään digimarkkinoiden oikeudenmukaisuutta, avoimuutta ja kilpailua. Tietosuoja-asetuksella puolestaan turvataan ihmisten oikeuksia ja henkilötietojen suojaa digitaalisessa ympäristössä. Tietosuojaneuvosto ja komissio pyrkivät varmistamaan yhteisellä ohjeistuksella, että kumpaakin asetusta sovelletaan yhdenmukaisesti, tiedotteessa kerrotaan.
Uusi ohjeluonnos (PDF) on sidosryhmien kommentoitavana 4. joulukuuta saakka.

"Tietosuoja-asetuksen ja digimarkkina-asetuksen tavoitteet täydentävät toisiaan. Ohje auttaa portinvartijoita, yrityksiä ja loppukäyttäjiä ymmärtämään paremmin velvoitteitaan ja oikeuksiaan. Tietosuojaneuvoston ja komission yhteistyöllä on pyritty varmistamaan, että ohjeiden noudattaminen on yrityksille yksinkertaista ja parantamaan näin niiden oikeusvarmuutta", tietosuojaneuvoston puheenjohtaja, Suomen tietosuojavaltuutettu Anu Talus toteaa.

Ohjeistuksissa keskitytään siis kohtiin, joissa GDPR ja DMA risteytyvät ja auttaa tuomaan näihin selkeyttä. Tässä muutamia keskeisiä asioita dokumentista.

Artikla 5(2):n mukaan suostumuksen antaminen muuttuu. Portinvartijat eivät voi enää olettaa, että saavat yhdistellä ja käyttää ristiin käyttäjän henkilötietoja eri palveluidensa välillä ja pakollisena vaihtoehtona on tarjottava vähemmän personoitu, mutta vastaava vaihtoehtoinen palvelu, jos käyttäjä kieltäytyy antamasta suostumusta tietojen yhdistelyyn esimerkiksi mainontaa varten.

Jos käyttäjä ei anna suostumusta, yritys tai palvelu ei saa pyytää sitä uudelleen samaan tarkoitukseen vuoteen. Myöskään suostumusta tarjoava käyttöliittymä tulee olla selkeä ja neutraali eli käyttäjää ei saa johtaa harhaan.

Artikla 6(4) keskittyy vaihtoehtoisiin sovelluskauppoihin. Portinvartijoiden, kuten Applen, on teknisesti mahdollistettava kolmansien osapuolten sovellusten ja sovelluskauppojen asentaminen ja tehokas käyttö käyttöjärjestelmissään. Dokumentin mukaan portinvartija (esim. Apple) ja sovelluskehittäjä ovat lähtökohtaisesti erillisiä ja itsenäisiä rekisterinpitäjiä. Tämä tarkoittaa, että Apple ei voi sanella sovelluskehittäjälle, miten tämän tulee noudattaa GDPR:ää.

Artikla 6(9):n mukaan käyttäjien oikeus dataa vahvistuu. DMA:n siirto-oikeus on laajempi kuin GDPR:n vastaava. Se koskee kaikkea dataa riippumatta käsittelyperusteesta ja edellyttää jatkuvaa ja reaaliaikaista pääsyä tietoihin. Siirto-oikeus kattaa myös muiden henkilöiden dataa, jos se on syntynyt käyttäjän oman toiminnan kautta (esim. viestiketjut tai jaetut kuvat).

Artikla 7 puolestaan koskettaa viestipalveluita. Ohjeistuksen mukaan portinvartijoiden on tarjottava yhteentoimivuus muille viestipalveluille, jotka sitä pyytävät. Ohjeistus vaatii myös, että turvallisuus säilyy eli esimerkiksi päästä-päähän -salaus säilytetään yhteentoimivissa palveluissa. Lisäksi palveluiden välillä saa kerätä ja vaihtaa ainoastaan sellaista henkilötietoa, joka on ehdottoman välttämätöntä tehokkaan yhteentoimivuuden tarjoamiseksi.

Tietosuojavaltuutetun toimiston mukaan nyt annettu ohjeluonnos on toinen tänä syksynä julkaistu ohjeistus, jossa käsitellään EU:n tietosuojalainsäädännön sekä uusien digi- ja datasäädösten välistä suhdetta. Tietosuojaneuvosto julkaisi syyskuussa ohjeluonnoksen tietosuoja-asetuksen ja digipalveluasetuksen rinnakkaisesta soveltamisesta. Tietosuojaneuvosto ja Euroopan komissio laativat parhaillaan yhteistä ohjetta myös tekoälyasetuksen suhteesta tietosuoja-asetukseen.