EU:n datasäädös (Data Act, asetus 2023/2854) asettaa SaaS-palveluntarjoajille uusia velvoitteita, jotka koskevat palvelunvaihtoa, datan siirrettävyyttä ja sopimusehtoja. Velvoitteet ovat olleet sovellettavia 12.9.2025 alkaen — myös ennen tuota päivää solmittuihin sopimuksiin. Tässä oppaassa käydään läpi, mitä datasäädös käytännössä tarkoittaa suomalaiselle SaaS-toimijalle, miten soveltamisala määritellään ja mitä konkreettisia toimenpiteitä vaaditaan.
Lyhyesti
Datasäädöksen VI luku velvoittaa pilvipalveluntarjoajia poistamaan palvelunvaihdon esteet ja takaamaan asiakkaalle dokumentoidun poistumistien.
- Soveltamisala kattaa lähtökohtaisesti SaaS-, PaaS- ja IaaS-palvelut, mutta kaikki SaaS-palvelut eivät automaattisesti kuulu sääntelyn piiriin.
- Sopimuksiin on sisällytettävä pakolliset vaihtolausekkeet: enintään kahden kuukauden enimmäisirtisanomisaika, enintään 30 kalenteripäivän siirtymäaika ja asiakkaan datan ulosvientimahdollisuus.
- Vaihtomaksut poistuvat kokonaan 12.1.2027. Sitä ennen voidaan periä vain todellisia kustannuksia vastaavia alennettuja maksuja.
- Palveluntarjoajan on julkaistava verkkosivuillaan tiedot datan vientimuodoista, siirtomenettelyistä ja infrastruktuurin lainkäyttövaltiosta.
- Velvoitteiden laiminlyönnistä voidaan määrätä kansallisia seuraamuksia, jotka jäsenvaltioittain vaihtelevat mutta voivat olla merkittäviä.
Mikä datasäädös on ja miksi se koskee SaaS-palveluja
Datasäädös on EU:n asetus, joka säätelee datan käyttöä, jakamista ja pilvipalveluiden vaihtamista koko unionin alueella.
Datasäädös tuli voimaan 11.1.2024, ja sen keskeisiä velvoitteita on sovellettu 12.9.2025 alkaen. Asetus on suoraan sovellettavaa oikeutta kaikissa EU:n jäsenvaltioissa — myös Suomessa — eikä se edellytä erillistä kansallista täytäntöönpanolakia tullakseen voimaan. Asetuksen VI luku sisältää pilvipalvelunvaihtoa koskevat säännöt, jotka koskevat SaaS-palveluntarjoajia suoraan.
Asetuksen taustalla on EU:n tavoite purkaa niin kutsuttuja vendor lock-in -tilanteita, joissa asiakas on tosiasiallisesti lukittu yhteen palveluntarjoajaan. Tavoite on sinänsä hyvä: sillä pyritään siihen, että asiakas voi halutessaan vaihtaa palveluntarjoajaa tai siirtää tietonsa omaan ympäristöönsä ilman kohtuuttomia esteitä. Käytännön tasolla tämä merkitsee sopimusehtojen uudistamista, teknisten siirtopolkujen rakentamista ja julkisen dokumentaation ylläpitämistä.
Kuuluuko SaaS-palveluni datasäädöksen soveltamisalaan?
SaaS-palvelu kuuluu datasäädöksen soveltamisalaan, jos asiakas hankkii sopimuksella pääsyn konfiguroitavissa oleviin, skaalattaviin ja joustaviin tietoteknisiin resursseihin — ei pelkästään ohjelmiston toiminnallisuuteen.
Tämä on käytännön tärkein kynnyskysymys, ja sen arviointi vaatii huolellisuutta. Datasäädöksen 2 artiklan 8 kohta määrittelee ”datankäsittelypalvelun” NIST:n pilvipalvelumallin pohjalta. Virallisen suomenkielisen asetustekstin mukaan datankäsittelypalvelulla tarkoitetaan ”asiakkaalle tarjottavaa digitaalista palvelua, joka mahdollistaa kaikkialla käytössä olevaan ja tarveperusteiseen verkkokäyttöön jaetun joukon konfiguroitavissa olevia, skaalattavia ja joustavia, luonteeltaan keskitettyjä, hajautettuja tai pitkälle hajautettuja tietoteknisiä resursseja niin, että se voidaan ottaa käyttöön ja poistaa käytöstä nopeasti siten, että hallinnointivaiva tai palveluntarjoajan vuorovaikutus on minimaalinen”. Kaikkien näiden tunnusmerkkien on täytyttävä samanaikaisesti.
Euroopan komissio tarkensi soveltamisalaa syyskuussa 2025 julkaistussa FAQ-asiakirjassaan (versio 1.4, kysymys 58a). Komission mukaan ratkaisevaa on sopimuksen tarkoitus: jos asiakas hankkii palvelun käyttääkseen nimenomaan tietoteknisiä resursseja (tallennustilaa, palvelinkapasiteettia, verkkoinfrastruktuuria), palvelu on soveltamisalassa. Jos taas datankäsittely on vain liitännäistä palvelun pääasialliseen tarkoitukseen nähden, palvelu voi jäädä soveltamisalan ulkopuolelle.
Komissio antoi konkreettisen esimerkin: musiikin suoratoistopalvelu, joka teknisesti toimii SaaS-mallilla, ei kuulu soveltamisalaan, koska kuuntelija hankkii musiikkipalvelun — ei tietoteknisiä resursseja. Vastaavasti esimerkiksi verkkokoulutusalusta, jossa asiakas käyttää valmiita kurssisisältöjä, suorittaa arviointeja ja saa henkilökohtaista tutorointia, voi jäädä soveltamisalan ulkopuolelle, jos sen taustalla tapahtuva datankäsittely on vain liitännäistä koulutuspalvelun pääasialliseen tarkoitukseen nähden.
Toiseen suuntaan viittaa se, että jos SaaS-palvelu tarjoaa asiakkaalle mahdollisuuden yksipuolisesti tuottaa tietoteknisiä valmiuksia (esimerkiksi lisätä tallennustilaa, käyttäjiä tai prosessointikapasiteettia ilman palveluntarjoajan myötävaikutusta), kynnys soveltamisalaan kuulumiselle madaltuu merkittävästi. Tyypillinen esimerkki soveltamisalaan kuuluvasta SaaS-palvelusta on CRM-järjestelmä, projektinhallintatyökalu tai pilvipohjainen toiminnanohjausjärjestelmä, jossa asiakas hallinnoi omaa dataansa ja skaalaa käyttöä tarpeen mukaan.
Käytännön esimerkki: Pilvipohjainen varastonhallintajärjestelmä
Ajatellaan SaaS-palvelua, jossa yritysasiakas hallitsee varastosaldoja, tilauksia, toimitusketjutietoja ja toimittajarekisteriä selainpohjaisessa ympäristössä. Palvelu toimii pilvipalveluna, asiakas voi lisätä käyttäjiä ja varastopisteitä itsenäisesti, ja data on tallennettu palveluntarjoajan infrastruktuuriin. Tällainen palvelu täyttää todennäköisesti kaikki datasäädöksen tunnusmerkit: jaettu joukko tietoteknisiä resursseja, tarveperusteinen skaalautuvuus ja minimaalinen palveluntarjoajan vuorovaikutus. Velvoitteet soveltuvat tällaiseen palveluun suoraan.
Käytännön esimerkki: Verkkokoulutusalusta asiantuntijatuella
Vertailukohtana palvelu, joka tarjoaa valmiita verkkokursseja, arviointityökaluja ja henkilökohtaista asiantuntijatutorointia. Asiakas ei tässä tuota itse tietoteknisiä valmiuksia, vaan käyttää alustaa henkilöstönsä osaamisen kehittämiseen. Komission FAQ:n valossa tällainen palvelu voi jäädä soveltamisalan ulkopuolelle — mutta rajanveto on tulkinnanvaraista, ja lopullinen ratkaisu edellyttää tuomioistuinkäytäntöä. Varovaisuusperiaatteella tällaisenkin palvelun tarjoajan kannattaa tehdä dokumentoitu soveltamisala-arvio ja harkita vapaaehtoista velvoitteiden noudattamista.
Mitä sopimuksessa on pakko lukea: datasäädöksen 25 artikla
Datasäädöksen 25 artikla listaa yhdeksän pakollista sopimuslauseketta, jotka jokaisen soveltamisalaan kuuluvan palveluntarjoajan on sisällytettävä asiakassopimuksiinsa.
Tämä on datasäädöksen käytännön vaikuttavin kohta, koska se puuttuu suoraan sopimusvapauteen. Sopimuksen on oltava kirjallinen, ja se on annettava asiakkaalle ennen sopimuksen allekirjoittamista tallennettavassa ja toistettavassa muodossa. Sopimukseen on sisällytettävä vähintään seuraavat elementit:
Vaihto-oikeus ja siirtymäaika. Asiakkaan on saatava pyynnöstä vaihtaa toiseen palveluntarjoajaan tai siirtää kaikki siirrettävissä oleva data ja digitaalinen omaisuus omissa tiloissa sijaitsevaan tieto- ja viestintätekniseen infrastruktuuriin. Vaihtoprosessin aloittamista koskeva enimmäisirtisanomisaika saa olla enintään kaksi kuukautta, ja itse siirtymälle on varattava pääsääntöisesti enintään 30 kalenteripäivää. Jos 30 päivän siirtymäaika ei ole teknisesti mahdollinen, tarjoajan on ilmoitettava asiasta asiakkaalle 14 työpäivän kuluessa vaihtoa koskevan pyynnön tekemisestä, perusteltava tekninen mahdottomuus asianmukaisesti ja ilmoitettava vaihtoehtoinen siirtymäaika, joka saa olla enintään seitsemän kuukautta. Asiakkaalla on lisäksi oikeus pidentää siirtymäaikaa kerran.
Irtautumisstrategian tukeminen. Sopimuksessa on oltava tarjoajan velvoite tukea asiakkaan irtautumisstrategiaa sopimuksen kohteena olevien palvelujen osalta, myös antamalla kaikki asiaan liittyvät tiedot. Tämä on itsenäinen, ennakoiva velvoite — ei pelkästään siirtymäajan aikaista avustamista.
Datan erittely ja suojaukset. Sopimuksen on sisällettävä kattava eritelmä kaikista dataluokista ja digitaalisen omaisuuden luokista, jotka voidaan siirtää vaihtoprosessin aikana, sekä erikseen tyhjentävä eritelmä niistä dataluokista, jotka on rajattu pois liikesalaisuussuojan perusteella. Tarjoajan ei tarvitse luovuttaa omaa ohjelmakoodiaan, teollis- ja tekijänoikeuksillaan suojattua omaisuutta tai liikesalaisuuksiaan — mutta poissulkemiset on yksilöitävä etukäteen, eivätkä ne saa estää tai viivästyttää vaihtoprosessia.
Datan hakemista koskeva vähimmäisaika ja poistaminen. Siirtymäajan päättymisen jälkeen asiakkaalle on taattava vähintään 30 kalenteripäivän pituinen datan hakemista koskeva vähimmäisaika, jonka aikana data on vielä saatavilla. Lisäksi sopimuksessa on taattava kaiken asiakkaan siirrettävissä olevan datan ja digitaalisen omaisuuden täydellinen poistaminen tämän vähimmäisajan päättymisen jälkeen, edellyttäen että vaihto on onnistuneesti saatettu loppuun.
Asiakkaan valinnanvapaus irtisanomishetkellä. Sopimuksessa on annettava asiakkaalle oikeus ilmoittaa irtisanomisajan päättyessä, haluaako hän vaihtaa toiseen palveluntarjoajaan, siirtyä omissa tiloissa sijaitsevaan tieto- ja viestintätekniseen infrastruktuuriin vai pyytää siirrettävissä olevan datansa ja digitaalisen omaisuutensa poistamista. Tämä kolmivaihtoehtomalli on pakollinen sopimusehto.
Turvallisuus siirtymän aikana. Tarjoajan on huolehdittava korkeasta turvallisuustasosta koko vaihtoprosessin ajan, erityisesti datan siirron ja hakuajan aikana. Tarjoajan on myös ylläpidettävä palvelun jatkuvuutta, kerrottava tiedossa olevista jatkuvuusriskeistä ja tehtävä yhteistyötä vilpittömässä mielessä kaikkien osapuolten kanssa.
Vaihtomaksut. Sopimuksessa on eriteltävä mahdolliset vaihtomaksut, tavanomaiset palvelumaksut ja ennenaikaisen päättämisen seuraamusmaksut. Nämä kolme kategoriaa on pidettävä selkeästi erillään.
Julkinen dokumentaatio ja tiedotusvelvoitteet
Palveluntarjoajan on ylläpidettävä verkkosivuillaan ajantasaista tietoa vaihtomenettelyistä, datan formaateista ja infrastruktuurin lainkäyttövaltiosta.
Datasäädöksen 26 artikla asettaa kaksi erillistä velvoitetta. Ensinnäkin tarjoajan on annettava asiakkaalle tiedot käytettävissä olevista vaihtomenettelyistä, siirtotavoista ja -formaateista sekä tiedossa olevista teknisistä rajoitteista. Toiseksi tarjoajan on ylläpidettävä ajantasaista verkkorekisteriä, jossa on yksityiskohtaiset tiedot kaikista datarakenteista ja -muodoista sekä asiaa koskevista standardeista ja avoimista yhteentoimivuuden eritelmistä, joissa siirrettävissä oleva data on saatavilla. Pelkkä ”ota yhteys tukeen” ei riitä — asiakkaan on voitava arvioida vaihdon toteutettavuutta itsenäisesti.
Lisäksi 28 artikla velvoittaa tarjoajaa julkaisemaan verkkosivuillaan tiedot siitä, minkä lainkäyttöalueen piirissä kunkin palvelun datankäsittelyyn käytettävä tieto- ja viestintätekninen infrastruktuuri on, sekä yleiskuvauksen teknisistä, organisatorisista ja sopimusperusteisista toimenpiteistä, joilla tarjoaja estää kolmannen maan viranomaisten pääsyn unionissa olevaan muuhun dataan kuin henkilötietoihin tai tällaisen datan siirron. Näiden verkkosivujen URL-osoitteet on mainittava jokaisessa datankäsittelypalvelua koskevassa sopimuksessa — tämä on helposti sivuutettu mutta pakollinen sopimuslauseke.
Vaihtomaksujen poistumisaikataulu
Datasäädös poistaa pilvipalvelunvaihdon maksut asteittain — 12.1.2027 alkaen vaihtomaksuja ei saa enää periä lainkaan.
Datasäädöksen 29 artikla erottelee kolme maksuluokkaa, joiden erillään pitäminen on juridisesti tärkeää. Vaihtomaksut ovat datasäädöksen 2 artiklan 36 kohdan mukaan muita kuin tavanomaisia palvelumaksuja tai sopimuksen ennenaikaisesta päättämisestä aiheutuvia seuraamusmaksuja, joita tarjoaja perii vaihtoprosessista, mukaan lukien datan poistomaksut. Nämä on poistettava kokonaan 12.1.2027 mennessä, ja siirtymäkaudella ne saavat vastata vain tarjoajalle aiheutuvia välittömiä kustannuksia. Sopimuksen ennenaikaisesta päättämisestä aiheutuvat seuraamusmaksut ovat sopimusperusteisia seuraamuksia, jotka ovat sallittuja jatkossakin mutta eivät saa olla kohtuuttomia. Vakiopalvelumaksut ovat normaaleja palvelumaksuja, joita saa periä rajoituksetta.
Käytännössä tämä tarkoittaa, että jos palveluntarjoaja perii esimerkiksi erillisen datan exportmaksun tai migraatiopalkkion, tällainen maksu on vaihtomaksu ja se poistuu kokonaan 12.1.2027. Sen sijaan sopimuskaudelta jäljellä oleva palvelumaksu voi olla perittävissä ennenaikaisen päättämisen seuraamusmaksuna — mutta silloinkin tiedon on oltava asiakkaalle selvillä ennen sopimuksen solmimista.
Tekniset vaatimukset: rajapinnat ja datan vientimuodot
Muiden kuin IaaS-palvelujen tarjoajien on asetettava avoimet rajapinnat kaikkien asiakkaidensa ja kohteena olevien palveluntarjoajien saataville maksutta.
Datasäädöksen 30 artiklan 2 kohta velvoittaa muiden kuin infrastruktuuripalvelujen (IaaS) tarjoajia asettamaan avoimia rajapintoja kaikkien asiakkaidensa ja kohteena olevien datankäsittelypalvelujen tarjoajien saataville maksutta vaihtoprosessin helpottamiseksi. Rajapintojen on sisällettävä riittävät tiedot asianomaisesta palvelusta, jotta voidaan kehittää ohjelmistoja datan siirrettävyyttä ja yhteentoimivuutta varten. Jos yhdenmukaistettuja standardeja ei ole vielä julkaistu — kuten tilanne on maaliskuussa 2026 — asiakkaan pyynnöstä tarjoajan on vietävä kaikki siirrettävissä oleva data jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Käytännössä tämä tarkoittaa esimerkiksi CSV-, JSON- tai XML-vientiä, ei pelkkää PDF-raporttia tai ruutukaappausta.
Käytännön esimerkki: Varastodatan vienti pilvipohjaisesta järjestelmästä
Kuvitellaan tilanne, jossa asiakas haluaa siirtyä toiseen varastonhallintajärjestelmään. Datasäädöksen mukaan vanhan tarjoajan on tarjottava mahdollisuus viedä ulos ainakin varastosaldot, tilaushistoria, toimittajatiedot, tuoterekisteri ja liitteet jäsennellyssä muodossa. Jos tarjoajalla on olemassa API-rajapinta esimerkiksi taloushallintojärjestelmiin, se on hyvä lähtökohta — mutta datasäädös menee pidemmälle. Siirtymistä varten on oltava dokumentoitu, asiakkaalle aidosti käytettävissä oleva export- tai rajapintapolku, eikä asia saa jäädä tapauskohtaiseksi tukipyynnöksi.
Seuraamukset ja valvonta Suomessa
Laki datan hallinnan ja jakamisen valvonnasta (1148/2025) tuli voimaan 1.1.2026. Datasäädöksen noudattamista valvoo pääasiallisesti Liikenne- ja viestintävirasto Traficom. Traficom voi määrätä datankäsittelypalvelun tarjoajalle seuraamusmaksun, jonka enimmäismäärä on 2 prosenttia edeltävän tilikauden liikevaihdosta. Seuraamusmaksu voidaan määrätä neljästä rikkomuksesta: sopimuksen kirjallista muotoa ja saataville asettamista koskevan velvoitteen rikkomisesta (25 art. 1 k.), tiedotusvelvoitteiden laiminlyönnistä (26 art.), vaihtomaksukiellon rikkomisesta (29 art. 1 k.) ja kolmansiin maihin siirron estämisvelvoitteen laiminlyönnistä (32 art. 1 k.).
Sen sijaan esimerkiksi 25 artiklan 2 kohdan pakollisten sopimuslausekkeiden puuttumisesta, 28 artiklan jurisdiktiotietojen julkaisematta jättämisestä tai 30 artiklan rajapintavelvoitteen rikkomisesta seuraamusmaksua ei voida suoraan määrätä. Näissä tilanteissa Traficom voi antaa huomautuksen tai varoituksen ja tehostaa päätöstä uhkasakolla.
Usein kysytyt kysymykset
Koskeeko datasäädös kaikkia SaaS-palveluja?
Ei automaattisesti. SaaS-palvelu kuuluu soveltamisalaan vain, jos se täyttää kaikki datasäädöksen tunnusmerkit: palvelu mahdollistaa asiakkaalle pääsyn konfiguroitavissa oleviin, skaalattaviin ja joustaviin tietoteknisiin resursseihin, resurssien käyttöönotto tapahtuu tarveperusteisesti ja hallinnointivaiva on minimaalinen. Jos datankäsittely on vain liitännäistä pääpalveluun, palvelu voi jäädä ulkopuolelle.
Milloin vaihtomaksut poistuvat kokonaan?
Vaihtomaksut poistuvat kokonaan 12.1.2027 alkaen. Siirtymäkaudella 12.9.2025–12.1.2027 voidaan periä vain alennettuja maksuja, jotka eivät saa ylittää tarjoajalle aiheutuvia välittömiä kustannuksia. Sopimuksen ennenaikaisesta päättämisestä aiheutuvat seuraamusmaksut ovat erikseen sallittuja myös jatkossa.
Pitääkö sopimukset päivittää myös vanhojen asiakkaiden osalta?
Kyllä. Datasäädöksen VI luvun velvoitteet soveltuvat kaikkiin sopimuksiin 12.9.2025 alkaen — myös ennen tuota päivää solmittuihin. Erityistä siirtymäsäännöstä ei ole.
Mitä dataa asiakkaalle on luovutettava?
Kaikki asiakkaan palveluun tuoma, palvelussa tuottama ja asiakkaaseen suoraan liittyvä data, sekä siirtymiseen tarvittavat metatiedot ja asetukset. Tarjoajan teollis- ja tekijänoikeuksilla suojattua omaisuutta, ohjelmakoodia ja liikesalaisuuksia ei tarvitse luovuttaa — mutta poissulkemiset on yksilöitävä sopimuksessa etukäteen.
Mikä on seuraamusten taso Suomessa?
Datankäsittelypalvelun tarjoajalle enintään 2 prosenttia edeltävän tilikauden liikevaihdosta. Valvovana viranomaisena toimii Traficom.
Yhteenveto
Datasäädös ei pakota SaaS-palveluntarjoajaa luovuttamaan omaa tuotettaan kilpailijalle. Sen sijaan se pakottaa rakentamaan asiakkaalle rehellisen, dokumentoidun ja sopimuksessa kuvatun poistumistien palvelusta. Siihen kuuluu selkeät sopimusehdot, datan vientimahdollisuus jäsennellyssä muodossa, tarvittavat rajapinnat, siirtymäajan tuki, läpinäkyvä hinnoittelu ja julkinen dokumentaatio. Palveluntarjoajille, jotka toimivat jo nyt asiakaslähtöisesti, datasäädöksen noudattaminen ei edellytä liiketoimintamallin muutosta — mutta se edellyttää sopimus- ja dokumentaatiotason päivitystä.
Soveltamisala-arvio, sopimusehtojen gap-analyysi ja datan vientipolkujen kartoittaminen ovat ne kolme askelta, joilla pääsee alkuun. Aikataulu on tiukka, koska velvoitteet ovat jo voimassa.
Tarvitsetko apua datasäädöksen soveltamisala-arviossa tai sopimusehtojen päivittämisessä? Lakitoimisto Uhmu auttaa SaaS-palveluntarjoajia ja muita teknologia-alan yrityksiä datasäädöksen, GDPR:n ja sopimusoikeuden kysymyksissä.
Ota yhteyttä niin kartoitetaan tilanteesi.
