Digi- ja datasääntelyn huomioiminen liiketoiminnassa
Digi- ja datasääntelyllä tarkoitetaan lainsäädäntöä ja sääntelyä, joka määrää ja ohjaa, millaisia velvollisuuksia ja oikeuksia yrityksillä, viranomaisilla ja yksilöillä on, kun ne käyttävät digityökaluja ja dataa. Sääntelyn tarkoituksena on varmistaa kaikille mahdollisimman turvallinen ja oikeudenmukainen digitaalinen ympäristö (Valtiovarainministeriö).
Digi- ja datasääntely ei kuitenkaan ole pelkkä velvoite. Kun perusasiat ovat kunnossa, sääntely muuttuu yrityksen kasvun ja uudistumisen tukijaksi. Alta voit lukea tarkemmin sääntelyn tuomista hyödyistä liiketoimintaan.
Mitä hyötyjä sääntely tuo pk-yrityksen liiketoimintaan?
Sääntelyn noudattaminen turvaa pk-yrityksen selustaa, sillä se auttaa varmistamaan, että oma tontti on kunnossa. Kun esimerkiksi henkilötietoja käsitellään asianmukaisesti ja sääntelyn mukaisesti, ehkäisee se tietovuotoja ja väärinkäytöksiä, jotka voisivat johtaa huomattaviin mainehaittoihin tai jopa oikeudellisiin seurauksiin. Sääntelyn noudattaminen onkin riskienhallintaa.
Toisaalta myös asiakkaat ja yhteistyökumppanit odottavat, että yritys toimii vastuullisesti ja sääntöjen mukaisesti. Luotettavuus on ehdottomasti kilpailuetu ja positiivisen maineen kasvattamisen keino.
Sääntely voi myös vauhdittaa uusien ratkaisujen kehittämistä – esimerkiksi datan jakaminen voi mahdollistaa tehokkaampia toimitusketjuja tai uusia palveluita.
Digi- ja datasääntely käytännössä
Suomen digi- ja datasääntely ei synny tyhjästä, vaan se perustuu pääosin EU-tason sääntelyyn.
Esimerkkejä yritysten arkeen vaikuttavista säädöksistä ja asetuksista ovat muun muassa
Data-asetus (Data Act)
Data-asetus säätelee, kuka voi käyttää mitäkin dataa ja millä ehdoilla. Sen myötä yritykset, jotka keräävät ja tai käyttävät verkkoon liitettyjä laitteita, ovat velvoitettuja mahdollistamaan datan saatavuuden käyttäjille ja kolmansille osapuolille, jopa kilpailijoille. Vastaavasti muilta saatavissa oleva data voi tuoda mahdollisuuksia omalle yritykselle.
Esimerkki: Jos yritys käyttää älykkäitä trukkeja tai sensoreita, syntyvä data ei kuulu vain laitetoimittajalle – myös yrityksellä voi olla oikeus käyttää sitä toimintansa kehittämiseen tai jakaa sitä kumppaneilleen.
Lue lisää data-asetuksesta liikenne- ja viestintävirasto Traficomin sivuilta.
Katso myös Sitran Datatalouden ABC -kokonaisuuteen kuuluva maksuton, noin 90 minuutin pituinen kurssi Datan jakamisen reiluista säännöistä.
Datanhallinta-asetus (Data Governance Act)
Datanhallinta-asetus edistää luotettavaa ja turvallista datan jakamista eri toimijoiden välillä – erityisesti julkisen ja yksityisen sektorin kesken. Yritys voi hyödyntää julkisen sektorin hallussa olevaa suojattua dataa, kunhan noudattaa asetuksen ehtoja, kuten tietosuojan ja käyttötarkoitusrajoitusten huomioimista.
Esimerkki: Yritys haluaa optimoida varastojen täyttöä ja kuljetuksia. Se hyödyntää julkisen sektorin hallussa olevaa suojattua dataa, kuten liikenneviraston tietoja ruuhkista tai sääennusteita, jotka ovat saatavilla DGA:n mukaisesti luotettavien datavälittäjien kautta. Näin yritys voi parantaa toimitusvarmuutta ja vähentää turhaa ajamista – eli tehostaa toimintaansa ilman suuria investointeja.
Lue lisää datahallinta-asetuksesta liikenne- ja viestintävirasto Traficomin sivuilta.
Lisäksi voit käydä Sitran Datatalouden ABC -kokonaisuuteen kuuluvan maksuttoman, noin 90 minuutin pituisen kurssin Datan jakamisen reiluista säännöistä.
Digipalveluasetus (DSA)
Digipalveluasetus tuo vaatimuksia verkkopalveluiden luotettavuudelle ja turvallisuudelle. Asetus koskee lähtökohtaisesti suuria toimijoita, mutta sen vaatimusten täyttäminen palvelee myös pk-yrityksiä.
Esimerkki: Jos yrityksesi tarjoaa verkkokauppaa tai sisäistä markkinapaikkaa, sinun tulee varmistaa, että mainonta on tunnistettavaa ja ettei alaikäisille kohdisteta profilointiin perustuvaa mainontaa.
Lue lisätietoa digipalveluasetuksesta Tietosuojavaltuutetun sivuilla.
Lisäksi voit käydä Sitran Datatalouden ABC -kokonaisuuteen kuuluvan maksuttoman, noin 90 minuutin pituisen kurssin Verkkoalustojen reiluista säännöistä.
Tekoälyasetus (AI Act)
Tekoälyasetus ohjaa tekoälyn turvallista ja eettistä käyttöä. Se luokittelee tekoälyjärjestelmät riskitason mukaan ja ohjaa toimenpiteitä tason perusteella.
Esimerkki: Jos yrityksesi käyttää tekoälyä esimerkiksi työntekijöiden rekrytoinnissa tai työvuorojen optimoinnissa, järjestelmä voi kuulua korkean riskin luokkaan ja vaatia dokumentaatiota, riskienhallintaa ja läpinäkyvyyttä.
Esimerkki: Yrityksesi käyttää tekoälyä kuljetusten suunnitteluun asiakkaiden osoitetietojen ja aikatoiveiden perusteella. Tällöin on kerrottava selkeästi, mihin näitä henkilötietoja käytetään ja miten tekoäly vaikuttaa toimituksiin.
Lue lisää tekoälyasetuksesta liikenne- ja viestintävirasto Traficomin sivuilta.
Katso myös Pk-yrityksille suunnattu opas tekoälyasetuksesta (Finnish AI Region FAIR EDIH).
Lisäksi voit käydä Sitran Datatalouden ABC -kokonaisuuteen kuuluvan maksuttoman, noin 90 minuutin pituisen kurssin Tekoälyn reiluista säännöistä.
Tietosuoja (GDPR)
Tietosuoja-asetus asettaa säännöt henkilötietojen käsittelylle. Sen tavoitteena on suojata yksilöiden oikeuksia ja varmistaa, että henkilötietoja käsitellään läpinäkyvästi, lainmukaisesti ja tarkoituksenmukaisesti.
Esimerkki: Työntekijöiden kulunvalvontatiedot varastossa ovat henkilötietoja, koska ne voidaan yhdistää yksittäiseen työntekijään. Kulunvalvontatiedot täytyy tallentaa vain siihen tarkoitukseen, mihin ne on kerätty (esimerkiksi työajanseurantaan tai turvallisuuden varmistamiseen), ja ne on poistettava, kun niitä ei enää tarvita. Tietojen käsittelystä vastaavat nimetyt henkilöt, kuten esihenkilöt tai HR-henkilöstö, joilla on siihen asianmukaiset käyttöoikeudet.
Lue lisää tietosuoja-asetuksesta tietosuojavaltuutetun sivuilta.
Kyberturvallisuusdirektiivi (NIS2)
Kyberturvallisuusdirektiivi varmistaa, että digitaaliset järjestelmät ovat turvallisia ja kestäviä hyökkäyksiä vastaan. Kybertuvallisuuskeskuksen mukaan ”Sääntelyä sovelletaan yhteiskunnan kriittisiin toimialoihin. Sääntelyn kohteena olevat organisaatiot ovat joko keskeisiä tai tärkeitä riippuen niiden koosta, toimialasta ja kriittisyydestä.”
NIS2 ei suoraan koske sisälogistiikkaa, ellei toiminta liity kriittisen infrastruktuurin aloihin, mutta vaatimuksia voi tulla välillisesti asiakkaiden ja kumppaneiden kautta.
Esimerkki: Jos kyberturvallisuusdirektiivin alaisen organisaation varastonhallintajärjestelmä toimii pilvipalvelussa, yrityksen on huolehdittava vahvoista käyttäjätunnuksista, varmuuskopioinnista ja käyttöoikeuksien hallinnasta.
Lue lisätietoa kyberturvallisuusdirektiivistä Kyberturvallisuuskeskuksen sivuilta.
Vastuullisuusdirektiivi (CSRD)
CSRD velvoittaa suuret yritykset raportoimaan vastuullisuustietoja, kuten päästöjä ja energiatehokkuutta. Pienet sisälogistiikkayritykset voivat kuulua epäsuorasti tämän raportoinnin piiriin, koska suuret yritykset tarvitsevat tietoa toimitusketjunsa ympäristövaikutuksista – ja siksi pyytävät sitä myös pieniltä kumppaneiltaan. Tiedot halutaan tyypillisesti digitaalisessa muodossa. Digitaalinen tietojen keruu myös mahdollistaa sen, että tietojen toimitus eteenpäin on helpompaa toteuttaa reaaliajassa tai ainakin raportointisykleittäin.
Lue lisätietoa vastuullisuusdirektiivistä Euroopan komission sivuilta.
Katso myös CSRD- ja CSDDD-direktiivien vaikutukset pk-yrityksiin (SeAMK).
Vastuullisuusdirektiivi ei suoraan kuulu digi- ja datasääntelyn piiriin, mutta digitalisaation hyödyntäminen voi edistää esimerkiksi sisälogistiikan ympäristökestävyyttä merkittävästi. Kestävä kehitys avaa taas osaltaan ovia työhyvinvointiin, turvallisuuteen ja säästöihin. Lue lisää sivuston Kestävä digitalisaatio -osiosta.
Digi- ja datasääntelyn lisäksi yrityksen tulee ottaa huomioon myös toimialaa koskeva muu sääntely, kuten vaikkapa työturvallisuutta koskeva direktiivi. Tiesithän, että digitalisaation hyödyntäminen edistää usein myös työturvallisuutta? Lue lisää aiheesta sivuston Digitalisuus työturvallisuudessa -osiosta.
Miten lähteä liikkeelle?
1. Tee kartoitus
Mitä digitaalisia järjestelmiä yrityksessänne on käytössä, mitä dataa keräätte ja mihin tarkoitukseen sitä käytetään?
2. Tunnista velvoitteet
Selvitä, mitä sääntelyä omaan toimialaasi ja digitalisaation ja datan käyttöön liittyy. Muista myös, että sääntely kehittyy jatkuvasti – seuraa siis oman toimialan ja EU:n uutisia. Apuna voit käyttää esimerkiksi Traficomin listausta keskeisimmistä digi- ja datasäädöksistä ja Sitran sivua digisääntelystä. Tutustu myös Sitran ja Teknologiateollisuuden kehittämiin RegTech-työkaluihin, jotka auttavat pk-yrityksiä arvioimaan, miten EU:n digisääntely vaikuttaa juuri heidän toimintaansa.
3. Rakenna käytäntöjä
Varmista, että dokumentointi, prosessit, järjestelmät ja sopimuskäytänteet tukevat sääntelyn noudattamista.
4. Kouluta henkilöstöä
Perusosaaminen tietosuojasta, tietoturvasta ja digitaalisesta vastuullisuudesta kuuluu kaikille. Koulutuksia on hyvä järjestää säännöllisin väliajoin, sillä asia ei vanhene. Ensiaskeleita aiheisiin tutustumiseen voit ottaa tutustumalla sivujemme Digiosaaminen-osioon.
5. Hyödynnä mahdollisuudet
Mieti, miten sääntelyn avaamat kanavat datan jakamiseen, tietoturvan varmistamiseen tai vastuullisuuden osoittamiseen voisivat kehittää liiketoimintaanne. Tässä auttaa digitalisaation ottaminen osaksi strategiaa.
Digi- ja datasääntely on osa pk-yrityksen arkea nyt ja tulevaisuudessa. Kun säännöt tuntee ja käytännöt rakentaa oikein, voi sääntelyä hyödyntää yrityksen kasvun, uudistumisen ja asiakasluottamuksen rakentamisen tukena.
Kun olet tutustunut digitalisaatiota ja datan käyttöä ohjaavaan sääntelyyn ja ennakoinut yrityksen digitalisaatioon liittyviä kehityssuuntia ja osaamistarpeita, voit edetä kehittämisprosessissa digikyvykkyyden tason selvittämiseen.
