Datansiirtosopimus Suomi

Datansiirtosopimus Suomessa on oikeustoimilain (228/1929) mukainen kirjallinen sopimus, jolla kaksi tai useampi organisaatio sopii datan siirtämisestä tai jakamisesta toistensa välillä tiettyä käyttötarkoitusta varten. Datansiirtosopimus kattaa sekä kertaluonteisen datan siirron että toistuvat data-jakamisjärjestelyt. Suomessa datansiirtosopimuksen oikeudellinen perusta muodostuu oikeustoimilaista (228/1929), tietosuojalaista (1050/2018), yleisestä tietosuoja-asetuksesta (GDPR, EU 2016/679), EU:n datamarkkina-asetuksesta (Data Act, EU 2023/2854) ja tekijänoikeuslaista (404/1961).

Datansiirtosopimus eroaa tietojenkäsittelysopimuksesta (DPA) siinä, että DPA on pakollinen GDPR-velvoitteinen dokumentti, kun käsittelijä käsittelee henkilötietoja rekisterinpitäjän lukuun. Datansiirtosopimus on laajempi kaupallinen sopimus, joka voi koskea myös ei-henkilökohtaista dataa, liiketoimintadataa, IoT-dataa, analytiikkadataa tai tutkimusdataa. Datansiirtosopimukseen voidaan liittää DPA-liite, jos siirrettävä data sisältää henkilötietoja.

Datan oikeudellinen luonne Suomessa on moniulotteinen. Dataa ei ole suojattu omistusoikeudella (property right) samoin kuin kiinteää tai irtainta omaisuutta. Datan suoja perustuu eri oikeudellisiin mekanismeihin: tekijänoikeus (404/1961) suojaa luovaa sisältöä ja tietokantoja; liikesalaisuuslaki (595/2018) suojaa arvokkaan liiketoimintainformaation; tietosuojalainsäädäntö (GDPR) suojaa henkilötietoja; ja sopimusoikeus (oikeustoimilaki 228/1929) on tärkein mekanismi datan jakamisen säätelyyn. EU:n datamarkkina-asetus (Data Act, voimaantulo 2025) toi merkittäviä uudistuksia: oikeus saada pääsy IoT-laitteiden ja niihin liittyvien palveluiden tuottamaan dataan, pakollinen datan jakaminen eräissä tilanteissa ja kohtuuttomuuslauseke datan jakamissopimuksissa.

Datansiirtosopimuksen tarkoitus on ennen kaikkea selkeyttää käyttötarkoitus ja estää datan luvaton käyttö. Dataa vastaanottanut osapuoli saattaa käyttää dataa kilpailevaan toimintaan, myydä sitä kolmansille tai käyttää sitä koneoppimiseen ilman lupaa, jos käyttötarkoitusta ei ole kirjattu sopimukseen täsmällisesti. Sopimuksessa on syytä eritellä: sallitut analyysit ja mallinnus, sallittu jakaminen omassa organisaatiossa (esimerkiksi tytäryhtiöt vs. koko konserni) sekä kielletyt toimet (kilpaileva palvelu, jälleenmyynti, kolmannen osapuolen AI-mallin kouluttaminen).

Tietoturva on datansiirtosopimuksen kriittinen elementti. Siirrettäessä suuria datamassoja on varmistettava salaus kuljetuksen aikana (TLS 1.2+) ja tallennuksen aikana (AES-256). SFTP-siirrot, salatut pilvipalvelut (AWS S3 eu-central-1, Azure West Europe, Google Cloud europe-west3) ja VPN-yhteydet ovat yleisimmät tekniset toteutustavat. Tietoturvaloukkauksesta on ilmoitettava Luovuttajalle välittömästi ja GDPR:n puitteissa tietosuojavaltuutetulle 72 tunnin kuluessa.

EU:n datamarkkina-asetus (Data Act, EU 2023/2854) toi Suomeen uusia datan jakamista koskevia velvoitteita. IoT-laitteiden tuottama data on asetuksen nojalla käyttäjän saatavilla (right of access). Yritysten on pyynnöstä jaettava dataa viranomaisten kanssa hätätilanteiden tai yleisen edun vuoksi. Asetuksen kohtuuttomuuslauseke suojaa pk-yrityksiä epätasapainoisilta datansiirtosopimuksilta: sopimustermit, jotka rajoittavat pk-yrityksen oikeuksia kohtuuttomasti, ovat mitättömiä.

Tutkimusorganisaatioiden datansiirtosopimukset (Research Data Agreement) noudattavat kansainvälisiä standardeja: avoimen tieteen periaatteita (FAIR data: löydettävyys, saavutettavuus, yhteentoimivuus, uudelleenkäytettävyys), Suomen Akatemian rahoituksen edellytyksiä ja Research Data Alliance (RDA) -suosituksia. Henkilötietoja sisältävän tutkimusdatan käsittelyyn tarvitaan eettisen toimikunnan lupa ja tietosuojalain (1050/2018) 31 §:n mukainen tutkimuslupa.

Datansiirtosopimus Suomessa tarvitaan aina, kun organisaatio luovuttaa dataa toiselle organisaatiolle kaupallisessa, tutkimuksellisessa tai hallinnollisessa tarkoituksessa. Seuraavat tilanteet edellyttävät kirjallisen datansiirtosopimuksen laadintaa.

Yritysyhteistyö ja data-ekosysteemit. Kaksi kilpailematonta yritystä jakaa liiketoimintadataansa yhteisen asiakashyödyn tuottamiseksi. Esimerkiksi: vakuutusyhtiö ja autokauppa jakavat ajoneuvovauriotilastoja; vähittäiskauppa ja logistiikkayritys jakavat toimituspisteiden sijaintidataa; pankki ja kiinteistönvälittäjä jakavat maksukykyanalytiikkaa.

Akateeminen tutkimus. Yliopisto tai tutkimuslaitos hankkii yrityksen liiketoimintadataa tutkimusta varten. Esimerkiksi Aalto-yliopiston tutkimusryhmä käyttää teknologiayrityksen verkkokauppatapahtumadataa markkinatutkimukseen. Sopimus kattaa pseudonymisoinnin, datan hävittämisen tutkimuksen jälkeen ja julkaisuoikeudet.

Konsernin sisäinen datan siirto. Emoyhtiö siirtää dataa tytäryhtiölle tai toiseen konserniyhtiöön eri maassa. EU:n ulkopuolisiin konserniyhtiöihin siirtoon tarvitaan lainmukainen siirtomekanismi (GDPR 46 artikla, EU-mallisopimuslausekkeet tai sitovat yrityssäännöt).

Yrityskauppa ja due diligence. Potentiaalinen ostaja saa pääsyn myyjäyrityksen liiketoimintadataan due diligence -prosessin aikana. Datansiirtosopimus kattaa salassapidon, datan palautuksen kaupan epäonnistuessa ja rajoitetun käyttötarkoituksen (vain due diligence).

Public-private partnership. Julkinen viranomainen (esimerkiksi Tilastokeskus, THL tai Digi- ja väestötietovirasto DVV) jakaa julkista dataa yksityiselle yritykselle palveluiden kehittämiseen. Tiedonhallintalaki (906/2019) säätelee julkishallinnon tietojen jakamista.

IoT ja teollisuusdata. Teollisuuslaitteiden (koneet, sensorit, ajoneuvot) tuottama data jaetaan huoltoyhtiön tai analytiikkatoimittajan kanssa. EU:n datamarkkina-asetus (Data Act, 2025) säätelee IoT-datan jakamista.

Maksupalvelut ja FinTech. PSD2-maksupalveludirektiivi velvoittaa pankit avaamaan tilitietodatan kolmansille palveluntarjoajille (TPP). Datansiirtosopimus täydentää PSD2-sopimusehtoja erityistarpeilla.

Terveysdata. Sairaala tai terveydenhuollon toimija jakaa anonymisoitua tai pseudonymisoitua terveydataa tutkimustarkoituksiin. Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019, ns. Toissijaisuuslaki) ja FINDATA-lupaviranomainen säätelevät tätä.

Datansiirtosopimus Suomessa sisältää seuraavat oikeudelliset elementit, jotka varmistavat selkeän datan jakamisen, tietoturvan ja GDPR-vaatimusten täyttymisen.

Osapuolten yksilöinti. Luovuttajan ja Vastaanottajan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä tai viranomaistunnus. Nimenkirjoitusoikeudelliset edustajat osakeyhtiölain (624/2006) mukaan. Tietohallintoyhteyshenkilö teknisiä asioita varten ja tietosuojavastaaava (DPO) GDPR-asioita varten.

Siirrettävän datan täsmällinen kuvaus. Datan tyyppi (rakenteinen/rakentamaton), aikaväli, volyymi (tiedostokoko tai rivimäärä), formaatti (CSV, JSON, Parquet, XML), sisältö (tietokentät) ja mahdollinen luokittelu (julkinen, sisäinen, luottamuksellinen, salainen). Maininta siitä, sisältääkö data henkilötietoja, yrityssalaisuuksia tai immateriaalioikeuksia.

Sallittu käyttötarkoitus ja kiellot. Täsmällinen kuvaus sallituista käyttötapauksista. Kielletyt toimet: jälleenmyynti kolmansille, data AI/ML-mallien kouluttamiseen ilman lupaa, yhdistäminen muihin henkilötietoja sisältäviin lähteisiin, kilpaileva käyttö. EU:n datamarkkina-asetuksen (Data Act) 13 artiklan mukainen kohtuuttomuuslauseke pk-yrityksille.

Tietoturva. Kuljetuskerroksen salaus (TLS 1.2+), tallennusajan salaus (AES-256), pääsynhallintamenettelyt (RBAC, vähimmäisoikeudet), pääsylokit (24 kk säilytys), tietoturvaloukkauksen ilmoitusmenettely (24 h Luovuttajalle, GDPR 33 artikla tietosuojavaltuutetulle 72 h). Vastaanottajan tietoturvasertifikaatit (ISO 27001 tai SOC 2 toivottavia).

Henkilötietoja koskevia erityisvelvoitteita. GDPR 28 artiklan mukainen DPA pakollisena liitteenä, jos siirrettävä data sisältää henkilötietoja. Anonyymisointi- tai pseudonymisointimenettelyt. Siirtokielto EU/ETA-alueen ulkopuolelle ilman lainmukaista mekanismia (SCC, GDPR 46 artikla). Datan minimoinnin periaate (GDPR 5 artikla). Forms-legal.com suosittelee tarkistamaan Data Act -velvoitteet IoT-dataa sisältävissä sopimuksissa.

Immateriaalioikeudet. Luovuttaja säilyttää omistusoikeuden dataan. Vastaanottajan tuottamat analyysitulokset voivat kuulua Vastaanottajalle. Tekijänoikeuslain (404/1961) mukainen tietokantasuoja voi soveltua strukturoituun dataan. Avoimen datan lisenssit (Creative Commons, ODbL) huomioitava.

Datan hävittäminen. Sopimuksen päättyessä data hävitetään 30 päivässä kirjallisella vahvistuksella. NIST SP 800-88 tai ISO 27001 -standardin mukainen hävittäminen. Varmuuskopiointijärjestelmien puhdistus.

Vastuunrajoitus. Luovuttaja ei takaa datan virheettömyyttä. Osapuolten kokonaisvastuu enintään sopimuksen kokonaisarvoa vastaava. Välilliset vahingot poissuljettuja.

Sovellettava laki. Suomen laki; riidat käräjäoikeudessa.

Datansiirtosopimus Suomessa laaditaan seuraavien vaiheiden mukaisesti, jotka varmistavat GDPR-vaatimusten täyttymisen, tietoturvan ja selkeän datan jakamisen.

Vaihe 1 — Luokittele siirrettävä data. Selvitä ennen sopimuksen laadintaa: (a) sisältääkö data henkilötietoja (GDPR soveltuu; DPA pakollinen liite); (b) onko data liikesalaisuuslain (595/2018) mukaista liikesalaisuutta; (c) soveltaako EU:n datamarkkina-asetus (Data Act, 2025) IoT-laitteiden tuottamaan dataan; (d) onko data tekijänoikeuslain (404/1961) nojalla suojattu tietokantateos. Luokittelu vaikuttaa pakollisiin lausekkeisiin.

Vaihe 2 — Yksilöi osapuolet. Kirjaa Luovuttajan ja Vastaanottajan täydellinen toiminimi, kotipaikka ja Y-tunnus PRH:n kaupparekisteristä. Kirjaa nimenkirjoitusoikeudelliset edustajat. Nimeä tietosuojavastaavat (DPO) GDPR-asioille ja tekniset yhteyshenkilöt datan siirtoa varten.

Vaihe 3 — Kuvaa siirrettävä data täsmällisesti. Kirjaa datan tyyppi, aikaväli, volyymi (rivimäärä tai tiedostokoko), formaatti (CSV, JSON, Parquet), sisältö (tietokentät) ja luokittelu. Mainitse erikseen, sisältääkö data henkilötietoja, liikesalaisuuksia tai tekijänoikeussuojattua sisältöä. Epämääräinen datakuvaus johtaa kiistoihin siitä, mikä data kuuluu sopimuksen piiriin.

Vaihe 4 — Kirjaa käyttötarkoitus konkreettisesti. Kirjaa sallitut käyttötapaukset täsmällisesti (esimerkiksi „kysynnän ennustaminen omassa tuotannonohjausjärjestelmässä“) ja listaa kielletyt toimet (jälleenmyynti, AI/ML-koulutus ilman lupaa, yhdistäminen ulkoisiin henkilörekistereihin). Yleinen „analyyttinen käyttö“ on liian epämääräinen.

Vaihe 5 — Sovi tietoturvavaatimuksista. Kirjaa tekniset vähimmäisvaatimukset: TLS-salaus siirrossa, AES-256 tallennuksessa, pääsynhallintamenettelyt, pääsylokit (24 kk). Pyydä Vastaanottajaa toimittamaan ISO 27001 -sertifikaatti tai SOC 2 Type II -raportti ennen datan siirtoa.

Vaihe 6 — Laadi DPA-liite tarvittaessa. Jos data sisältää henkilötietoja, laadi GDPR 28 artiklan mukainen tietojenkäsittelysopimus (DPA) pakolliseksi liitteeksi. Kirjaa käsittelyn tarkoitus, henkilötietotyypit, turvatoimet, alihenkilötietojenkäsittelijöiden lista, tietoturvaloukkauksen ilmoitusmenettely ja datan hävittäminen.

Vaihe 7 — Sovi siirtotavasta ja aikataulusta. Kirjaa tekninen siirtotapa (SFTP, salattu pilvipalvelu, suojattu API) ja siirtoaikataulu (kertaluonteinen tai toistuva). Dokumentoi datan eheyden tarkistusmekanismi (checksum, hash-tarkistus).

Vaihe 8 — Kirjaa datan hävittämismenettely. Sovi hävittämisaikataulusta (30 päivää sopimuksen päättymisestä), hävittämistavasta (NIST SP 800-88 tai ISO 27001) ja kirjallisesta vahvistuksesta. Tarkista, että varmuuskopiointijärjestelmät sisältyvät hävittämisvelvollisuuden piiriin.

Vaihe 9 — Allekirjoita sopimus. Molemmat osapuolet allekirjoittavat sopimuksen kahtena samansisältöisenä kappaleena. Sähköinen allekirjoitus on pätevä oikeustoimilain (228/1929) mukaan. Säilytä sopimukset tietosuojalain (1050/2018) mukaisten säilytysaikavaatimusten mukaisesti.

Datansiirtosopimus Suomessa kuuluu useaan oikeudelliseen viitekehykseen riippuen siirrettävän datan tyypistä ja osapuolten toimialasta.

Oikeustoimilaki (228/1929). Sopimusvapaus datansiirtosopimuksen perustana. Kohtuuttomat ehdot sovitellaan 36 §:n nojalla. EU:n datamarkkina-asetuksen (Data Act) 13 artikla täydentää tätä pk-yritystä suojaavalla erityissäännöksellä: datansiirtosopimuksen ehdot, jotka rajoittavat pk-yrityksen oikeuksia kohtuuttomasti, ovat mitättömiä.

GDPR (EU 2016/679) ja tietosuojalaki (1050/2018). Jos siirrettävä data sisältää henkilötietoja, GDPR ja tietosuojalaki tulevat sovellettaviksi. Keskeisiä velvoitteita: GDPR 28 artiklan mukainen DPA pakollinen; GDPR 5 artiklan käsittelyperiaatteet (minimointi, tarkoituksenmukaisuus, täsmällisyys); GDPR 32 artiklan tekniset ja organisatoriset turvatoimet; GDPR 33-34 artiklojen tietoturvaloukkausilmoitus 72 h tietosuojavaltuutetulle. Tietosuojavaltuutetun toimisto Suomessa valvoo GDPR:n noudattamista.

EU:n datamarkkina-asetus (Data Act, EU 2023/2854). Asetus tuli voimaan 12.9.2025 ja koskee koko EU:ta. Soveltuu erityisesti IoT-laitteiden tuottamaan dataan. Keskeisiä velvoitteita: käyttäjän oikeus saada pääsy IoT-laitteiden tuottamaan dataan; pk-yritysten suojaa kohtuuttomilta sopimusehdoilta (13 artikla); julkishallinnon oikeus saada dataa yleisen edun vuoksi (15-22 artikla); pilvipalveluiden vaihtamista helpottavat säännöt (23-31 artikla).

Tietokantalaki ja tekijänoikeuslaki (404/1961). Strukturoitu data voi olla tekijänoikeuslain 49 §:n mukainen tietokanta, joka nauttii sui generis -suojaa. Tietokannan tekijänoikeuden haltija voi kieltää olennaisen osan poimimisen tai uudelleenkäytön.

Liikesalaisuuslaki (595/2018). Liiketoimintatieto, jolla on taloudellista arvoa ja jota yritys pitää salassa, voi olla liikesalaisuus. Datansiirtosopimuksessa on tarkistettava, sisältääkö siirrettävä data liikesalaisuuksia, joiden paljastumiseen tarvitaan erityinen lupalauseke.

Tiedonhallintalaki (906/2019). Julkishallinnon tietojen jakaminen on säänneltyä. Viranomaisen on noudatettava tiedonhallintalakia ja arkistolakia (831/1994) datan jakamisessa yksityisille organisaatioille.

Laki sosiaali- ja terveystietojen toissijaisesta käytöstä (552/2019). Terveysdata on erityissuojattua. FINDATA-lupaviranomainen käsittelee terveysdatan käyttölupahakemukset. Rekisteritutkimukset vaativat aina FINDATAn tai rekisterinpitäjän luvan.

Vahingonkorvauslaki (412/1974). Sopimuksen ulkopuolinen tietoturvaloukkaus voi johtaa vahingonkorvausvelvollisuuteen. GDPR 82 artikla antaa rekisteröidylle suoran oikeuden vahingonkorvaukseen tietosuojarikkomuksen aiheuttamista vahingoista.

Datansiirtosopimus Suomessa epäonnistuu seuraavista yleisimmistä virheistä, jotka aiheuttavat tietosuojarikkomuksia, immateriaalioikeusloukkauksia tai kiistoja datan käyttötarkoituksesta.

Virhe 1 — Epämääräinen datakuvaus. Sopimuksessa ei kuvailla siirrettävää dataa riittävän täsmällisesti, jolloin kiistoja syntyy siitä, mikä data kuuluu sopimuksen piiriin. Suositus: kirjaa datan tyyppi, aikaväli, volyymi, formaatti ja tietokentät yksityiskohtaisesti sopimuksen liitteeseen.

Virhe 2 — DPA-liitteen puuttuminen henkilötietoja sisältävässä siirrossa. Data sisältää pseudonymisoituja tai epäsuoria henkilötietoja, mutta osapuolet eivät laadi GDPR 28 artiklan mukaista DPA:ta. Tietosuojavaltuutettu voi määrätä seuraamusmaksun kummallekin osapuolelle. Suositus: tarkista aina ennen sopimuksen allekirjoittamista, sisältääkö siirrettävä data mitään henkilötietoja.

Virhe 3 — Käyttötarkoituksen liiallinen laajuus. Sopimuksessa sallitaan „kaikki analyyttinen käyttö“ tai „liiketoiminnan kehittäminen“, joka antaa Vastaanottajalle lähes rajoittamattoman oikeuden käyttää dataa. Vastaanottaja voi käyttää dataa kilpailevaan toimintaan tai AI/ML-mallien kouluttamiseen. Suositus: kirjaa sallitut käyttötapaukset täsmällisesti ja listaa kielletyt toimet.

Virhe 4 — Datan hävittämisvelvollisuuden laiminlyönti. Sopimuksessa ei sovita datan hävittämisestä sopimuksen päättyessä, jolloin Vastaanottajalla on hallussaan Luovuttajan data indefiniittisesti. Suositus: kirjaa hävittämisaikataulu (30 päivää sopimuksen päättymisestä), hävittämistapa ja kirjallinen vahvistusvelvollisuus.

Virhe 5 — EU:n ulkopuolinen datan siirto ilman lainmukaista mekanismia. Data siirretään EU/ETA-alueen ulkopuolelle (esimerkiksi USA:hän tai Intiaan) ilman EU-mallisopimuslausekkeita (SCC, GDPR 46 artikla). Suositus: tarkista, sijaitseeko Vastaanottajan palvelinympäristö EU/ETA-alueella tai onko käytössä asianmukainen siirtomekanismi.

Virhe 6 — IoT-datan Data Act -velvoitteiden huomiotta jättäminen. Teollisuus-IoT-laitteiden tuottamaa dataa jaetaan huoltoyhtiölle ilman EU:n datamarkkina-asetuksen (Data Act, 2025) velvoitteiden huomioimista. Suositus: tarkista Data Act -soveltuvuus IoT-dataa sisältävissä sopimuksissa.

Virhe 7 — Tietoturvatason riittämättömyys. Sopimuksessa ei sovita tietoturvan vähimmäisvaatimuksista, jolloin Vastaanottaja saattaa tallentaa arkaluonteista dataa suojaamattomasti. Suositus: kirjaa sopimukseen tekniset vähimmäisvaatimukset (TLS-salaus, AES-256, pääsynhallinta, pääsylokit) ja vaadi ISO 27001 -sertifikaattia tai SOC 2 -raporttia.