Kaikki mitä sinun tarvitsee tietää datan käyttöä ja saatavuutta koskevasta lakiesityksestä

Kaikki mitä sinun tarvitsee tietää datan käyttö- ja saatavuuslakista

Rebecca Harperin kirjoittama • 22 syyskuu 2025

Ison-Britannian uusi datan käyttöä ja saatavuutta koskeva lakiesitys (DUAA) sai kuninkaallisen hyväksynnän 19. kesäkuuta 2025. Se on päivitys maan tietosuoja- ja digitaalitalouslainsäädäntöön. Laki on suunniteltu edistämään innovaatioita, lisäämään luottamusta datalähtöisiin järjestelmiin ja yksinkertaistamaan vaatimustenmukaisuutta. Se tuo mukanaan laajoja uudistuksia sekä julkisella että yksityisellä sektorilla.

Yrityksille muutokset saattavat helpottaa tiettyjä hallinnollisia taakkoja esimerkiksi rekisteröityjen tiedonsaantipyyntöjen (DSAR) ja evästeiden osalta, samalla kun ne nostavat rimaa muilla alueilla, kuten läpinäkyvyydessä, markkinointisuostumuksissa ja valvonnassa. Tässä blogikirjoituksessa selitetään, mitä muutoksia on tulossa, ja tarjotaan käytännön ohjeita, jotka auttavat organisaatioita valmistautumaan.

Missä DUAA istuu: Se korjaa, ei korvaa

Laki ei korvaa Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta (GDPR) tai vuoden 2018 tietosuojalakia, vaan se muuttaa ja täydentää molempia. Se myös päivittää tietosuoja- ja sähköisen viestinnän asetusten (PECR) keskeisiä säännöksiä, erityisesti evästeiden suostumuksen ja sähköisen markkinoinnin osalta.

Yhdessä nämä uudistukset pyrkivät luomaan "yritysystävällisemmän ja innovaatiovalmiimman datajärjestelmän" säilyttäen samalla yksilöiden tietosuojan perusperiaatteet. Näiden kehysten välinen vuorovaikutus tarkoittaa kuitenkin sitä, että organisaatioiden on navigoitava uudessa maisemassa huolellisesti.

Keskeiset muutokset, jotka yritysten on tiedettävä

Tunnustetut oikeutetut edut

Laki esittelee uuden käsitteen: ”tunnustetut oikeutetut edut”. Nämä ovat erityisiä tarkoituksia, joita varten organisaatiot voivat käsitellä henkilötietoja ilman, että niiden tarvitsee suorittaa täydellistä oikeutettujen etujen arviointia. Esimerkkejä tästä ovat rikollisuuden ehkäiseminen, kansallisen turvallisuuden suojaaminen, yleisen turvallisuuden ylläpitäminen, hätätilanteisiin reagoiminen, haavoittuvien henkilöiden suojeleminen ja tietojen luovuttaminen yleisen edun mukaista tehtävää suorittavalle henkilölle.

Erillään tästä laissa esitetään myös esimerkkejä tavallisista oikeutetuista eduista, jotka edellyttävät edelleen kolmiosaista vakiotestiä: tarkoitus, tarpeellisuus ja tasapainotesti kirjallisine perusteluineen. Näihin kuuluvat esimerkiksi suoramarkkinointi, konsernin sisäinen hallinto sekä verkko- tai tietoturva.

Yhteenvetona voidaan todeta, että vaikka tämä vähentää tietyntyyppisen tiedonkäytön paperityötä, se ei poista vaatimusta kunnioittaa rekisteröityjen oikeuksia. On silti tärkeää varmistaa, että käsittely on tarpeellista ja oikeasuhteista.

Kansainväliset tiedonsiirrot

Kansainvälisten tiedonsiirtojen kynnystä on madallettu. Sen sijaan, että organisaatiot vaatisivat "olennaisesti vastaavaa" suojaa kuin Yhdistyneen kuningaskunnan GDPR:ssä, niiden on nyt varmistettava, että suojaus "ei ole olennaisesti alhaisempi".

Tämä tarjoaa yrityksille enemmän joustavuutta globaaleissa tietovirroissa, erityisesti työskennellessään kumppaneiden kanssa maissa, joita Yhdistyneen kuningaskunnan tietosuojan riittävyyssäännökset eivät kata. Se kuitenkin myös lisää tietojen viejän vastuuta suojauksen arvioinnissa.

Viejien on omaksuttava kohtuullinen ja oikeasuhteinen lähestymistapa ottaen huomioon tietojen luonteen, määränpään ja niihin liittyvät riskit. Jos paikalliset lait eivät täytä odotuksia, on otettava käyttöön lisäsuojatoimia, kuten salaus, käyttöoikeuksien hallinta ja vankat sopimusehdot, jotta varmistetaan, että tiedot pysyvät suojattuina Yhdistyneen kuningaskunnan lain mukaisella tasolla.

On myös syytä huomata, että EU on väliaikaisesti jatkanut Yhdistyneen kuningaskunnan tietosuojan riittävyysstatusta 27. joulukuuta 2025 asti, mikä sallii datan virtauksen EU:sta Yhdistyneeseen kuningaskuntaan Euroopan komission viimeistellessä tarkastelunsa. EU-tietoja vastaanottavien yritysten tulisi seurata tilannetta ja harkita sopimuksellisia vararatkaisuja häiriöiden välttämiseksi.

Rekisteröidyn tiedonsaantipyynnöt (DSAR)

Uusi lainsäädäntö tuo mukanaan yritysystävällisemmän standardin tietopyyntöjen (DSAR) osalta, joka edellyttää hakujen olevan "kohtuullisia ja oikeasuhtaisia". Tämä on tervetullut muutos organisaatioille, jotka aiemmin kamppailivat aikaa vievien tai liiallisten pyyntöjen kanssa. Se antaa yrityksille mahdollisuuden keskittyä mielekkääseen vastaamiseen sen sijaan, että he jahtaisivat kaikkia mahdollisia tietolähteitä.

Käyttöön on otettu myös uusi pyyntöjen käsittelyn pysäyttämistä koskeva säännös. Jos sinun on selvennettävä pyyntöä, varmistettava pyytäjän henkilöllisyys tai pyydettävä maksua (ilmeisen perusteettomien tai kohtuuttomien pyyntöjen tapauksessa), yhden kuukauden vastausaikaa voidaan lykätä, kunnes saat tarvittavat tiedot. Tämä antaa hieman liikkumavaraa monimutkaisten tai epäselvien pyyntöjen tehokkaaseen käsittelyyn.

Keskeiset velvoitteet kuitenkin pysyvät voimassa. Yritysten on edelleen vastattava ilman aiheetonta viivytystä ja annettava rekisteröidyille selkeää ja helposti saatavilla olevaa tietoa, ja perusteettomat viivästykset aiheuttavat edelleen vaatimustenmukaisuusriskejä.

Evästeet ja markkinointi (PECR)

Tietyntyyppiset evästeet, kuten palvelun parantamiseen tai yleisön mittaamiseen käytettävät evästeet, eivät välttämättä enää vaadi suostumusta, jos ne selitetään selkeästi ja käyttäjille annetaan asianmukaiset tiedot ja hallintaoikeudet.

Samaan aikaan sähköisen markkinoinnin valvontaa tiukennetaan. PECR-rikkomuksista määrättäviä sakkoja on saatettu Yhdistyneen kuningaskunnan GDPR:n mukaisiksi, ja seuraamukset voivat olla jopa 17.5 miljoonaa puntaa tai 4 % maailmanlaajuisesta liikevaihdosta. Tämä korostaa yritysten tarvetta tarkastella suostumuskäytäntöjään, päivittää evästebannereita ja tietosuojailmoituksia sekä varmistaa markkinointitoimien vankka sisäinen dokumentointi.

Automatisoitu päätöksenteko ja tekoäly

Laki tuo lisää joustavuutta tekoälyä ja automatisoitua päätöksentekoa (ADM) käyttäville organisaatioille korvaamalla Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen 22 artiklan uusilla säännöksillä: 22A–22D artiklat. Nämä muutokset mahdollistavat ADM:n laajemman soveltamisen erityisesti tapauksissa, joissa tehdyillä päätöksillä ei ole merkittäviä oikeudellisia tai vastaavanlaisia olennaisia vaikutuksia yksilöihin.

Merkittäviä vaikutuksia tuottava automaattinen datankäsittely, erityisesti erityisryhmiin liittyvien tietojen osalta, on kuitenkin edelleen tiukasti säänneltyä. Näissä tapauksissa organisaatioiden on silti varmistettava, että käytössä on merkityksellinen ihmisen suorittama valvonta, selkeä läpinäkyvyys ja asianmukaiset suojatoimet. Erityisryhmiin perustuviin tietoihin perustuva automaattinen datankäsittely edellyttää yleensä joko nimenomaista suostumusta tai sen on täytettävä lainsäädännössä asetetut erityisehdot.

Älykkäät tiedot ja digitaaliset tunnukset

Laki tasoittaa tietä toimialakohtaisille ”älykkäille datajärjestelmille”, joiden avulla kuluttajat ja pienyritykset voivat jakaa tietojaan turvallisesti ja siirrettävästi. Se myös perustaa lakisääteisen digitaalisten varmennuspalveluiden (DVS) luottamuskehyksen tukemaan varmennettujen digitaalisten henkilöllisyyksien käyttöä koko taloudessa.

Nämä säännökset ovat tässä vaiheessa laajalti mahdollistavia, ja lisätietoja annetaan johdetussa lainsäädännössä.

Sääntelyviranomaisten uudistus

ICO:sta tulee tiedotuskomissio, jolla on laajennetut tutkinta- ja täytäntöönpanovaltuudet. Näihin kuuluvat todistajanlausuntojen pakottaminen, teknisten tarkastusten määrääminen ja ankarampien rangaistusten määrääminen määräysten rikkomisesta.

Jotkin näistä uusista valtuuksista tulivat voimaan kaksi kuukautta kuninkaallisen hyväksynnän jälkeen, kun taas toiset otetaan käyttöön vaiheittain johdetun lainsäädännön kautta. Organisaatioiden tulisi ennakoida määrätietoisempaa sääntely-ympäristöä ja valmistautua sen mukaisesti varmistaen, että hallinto, dokumentointi ja sisäiset prosessit ovat tarkastusvalmiita.

Mitä yrityksille on vaakalaudalla

Vaikka jotkin uudistukset yksinkertaistavat vaatimustenmukaisuutta esimerkiksi vähentämällä DSAR-taakkaa tai selkeyttämällä oikeutetun edun käyttöä, toiset tuovat mukanaan lisääntynyttä sääntelyvalvontaa ja ankarampia seuraamuksia. Tämä ristiriitainen tilanne tarkoittaa, että yritysten ei pitäisi pitää lakia sääntöjen lieventämisenä. Sen sijaan se on tilaisuus nykyaikaistaa tiedonhallintaa, vähentää riskejä ja rakentaa luottamusta asiakkaiden, kumppaneiden ja sääntelyviranomaisten kanssa.

Aikajana ja vaiheittainen käyttöönotto

Laki tuli voimaan kesäkuussa 2025, mutta kaikki säännökset eivät tulleet voimaan välittömästi. Hallitus on vahvistanut vaiheittaisen voimaantulon, jossa muutokset toteutetaan noin 2, 6 ja 12 kuukauden vaiheissa. Voimaantuloa koskevat asetukset nro 1 tulivat voimaan 20. elokuuta 2025, ja ne kattavat tiettyjä teknisiä ja sääntelyyn liittyviä säännöksiä.

Useimpien lain osan 5 merkittävien päivitysten, mukaan lukien Yhdistyneen kuningaskunnan yleisen tietosuoja-asetuksen (GDPR), vuoden 2018 tietosuojalain ja PECR:n muutokset, odotetaan tulevan voimaan noin kuuden kuukauden kuluttua. Lisää päivityksiä seuraa johdetun lainsäädännön ja sääntelyviranomaisten ohjeiden kautta.

Organisaatioiden tulisi pysyä valppaina uusien valmistujaismääräysten suhteen, seurata ICO-viestintää ja suunnitella vaatimustenmukaisuustoimintansa tulevien määräaikojen mukaisesti.

8-kohtainen toimintasuunnitelmasi

Tarkista oikeusperustasi

Kartoita, missä uudet tunnustetut oikeutetut edut soveltuvat, ja päivitä tietosuojaselosteesi ja RoPA-ehdot vastaamaan todellisuutta.

Arvioi globaalit tietovirrat uudelleen

Tarkista siirtomekanismeja uuden ”ei olennaisesti alhaisemman” kynnysarvon perusteella. Dokumentoi siirtoriskinarviointisi ja pidä valmiina varajärjestelmä EU-tietoja varten.

Yksinkertaista DSAR-käsittelyä

Kouluta henkilöstöä soveltamaan "kohtuullisen ja oikeasuhtaisen" testiä ja sisällytä uusi pysäytysprosessi henkilöllisyyden tarkastuksia tai selvityksiä varten.

Evästeiden ja markkinoinnin siistiminen

Päivitä evästebannerit vähäriskisten poikkeusten varalta, tarkista suostumusprosessit uudelleen ja huomioi, että PECR-sakot ovat nyt Yhdistyneen kuningaskunnan GDPR-tason mukaisia. Hyväntekeväisyysjärjestöt: tarkista, toimiiko pehmeä suostumus nyt sinulle.

Auditoi ADM- ja tekoälykäyttöäsi

Tunnista, mitkä järjestelmät lasketaan merkittäväksi automatisoiduksi päätöksenteoksi. Toteuta merkityksellinen ihmisen valvonta, hanki tarvittaessa nimenomainen suostumus ja laadi dokumentoidut suojatoimet.

Valmistaudu älykkääseen dataan

Tarkastele, miten toimialakohtaiset järjestelmät (kuten Open Banking) voisivat soveltua omalle toimialallesi ja voisivatko digitaaliset vahvistuspalvelut tulla osaksi perehdytys- tai asiakasprosessejasi.

Vahvista hallintoa nyt

Uuden tiedotuskomission saatua valtuudet määrätä haastatteluja, tarkastuksia ja GDPR-tason sakkoja PECR-säännösten noudattamisesta, on aika tiukentaa käytäntöjä, todisteita ja koulutusta.

Pysy kanavalla

Seuraa valmistumismääräyksiä ja ICO-ohjeistusta vaiheittaisten käyttöönottojen alkaessa seuraavien 2, 6 ja 12 kuukauden aikana. Priorisoi ensin voimaan tulevat muutokset.

Bottom Line

Vuoden 2025 datan käyttöä ja saatavuutta koskeva laki on käännekohta Yhdistyneen kuningaskunnan datan hallinnassa. Se löytää tasapainon yksinkertaistamisen ja vastuullisuuden välillä ja tarjoaa tulevaisuuteen suuntautuneille yrityksille mahdollisuuden omaksua innovaatioita tinkimättä luottamuksesta. Varhainen valmistautuminen ei ainoastaan vähennä riskejä, vaan auttaa myös hyödyntämään älykkäämmän ja selkeämmän datan käytön tarjoamia mahdollisuuksia.

Rebecca Harper

Rebecca on ISMS.online-sisältömarkkinoinnin johtaja. Yli 12 vuotta tieto- ja kyberturvallisuusalalla toiminut Rebecca on omistautunut kouluttamaan, lisäämään tietoisuutta ja vahvistamaan yrityksiä saavuttamaan vaatimustenmukaisuuden, tiedon ja kyberturvallisuuden hallinnan tavoitteet.