Euroopan parlamentin ja neuvoston asetus (EU) 2018/1724 (asetus yhteisen digitaalisen palveluväylän perustamisesta)
Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (yleinen tietosuoja-asetus)
Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725 (EU-toimielinten tietosuo-ja-asetus)
Euroopan parlamentin ja neuvoston asetus (EU) 2022/2554 (asetus finanssialan digitaalisesta häiriönsietokyvystä)
Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi)
Euroopan parlamentin ja neuvoston asetus (EU) 2018/1807 (asetus muiden tietojen kuin henkilötietojen vapaasta liikkuvuudesta)
Euroopan parlamentin ja neuvoston asetus (EU) 2019/1150 (asetus oikeudenmukaisuuden ja avoimuuden edistämisestä verkossa toimivien välityspalvelujen yrityskäyttäjiä varten, P2B-asetus)
Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1024 (avoimen datan direktiivi)
3.1
3.1 Digiomnibus
Data-asetus
Komissio ehdottaa data-asetukseen yhdistettäväksi kolme kumottavaa säädöstä: asetus muiden tietojen kuin henkilötietojen vapaasta liikkuvuudesta, datanhallinta-asetus ja avoimen datan direktiivi. Lisäksi data-asetukseen ja siihen siirrettäviin säännöksiin tehtäisiin kohdennettuja muutoksia, jotta kokonaisuus olisi yhdenmukainen.
Lisäyksillä data-asetuksen II luvun artikloihin 4 ja 5 datanhaltijoille tulisi laajempi oikeus kieltäytyä jakamasta liikesalaisuuksia sisältäviä tietoja IoT-laitteiden käyttäjille tai kolmansille osapuolille, jos datanhaltija pystyy osoittamaan suojatoimenpiteistä huolimatta merkittävän riskin liikesalaisuuksien siirtymisestä EU:n ulkopuolelle kolmansiin maihin tai niiden määräysvallassa oleville yrityksille, joissa suojamekanismit ovat EU-sääntelyä heikompia. Datanhaltijan on ilmoitettava kieltäytymisestä perusteluineen asianomaiselle käyttäjälle tai kolmannelle osapuolelle sekä nimetylle toimivaltaiselle kansalliselle viranomaiselle.
Data-asetuksen V luvun mukaista julkisen sektorin elinten oikeutta saada pääsy yksityisen sektorin hallussa olevaan dataan rajoitettaisiin siten, että perusteltu pyyntö voidaan esittää vain, jos julkisen sektorin elin voi osoittaa tarpeen käyttää tiettyjä yksityisen sektorin tietoja julkiseen hätätilanteeseen vastaamiseksi, sen lieventämiseksi tai siitä palautumiseksi. Tietoja saisi pyytää vain siinä tapauksessa, että tietoja ei ole muutoin mahdollista saada tehokkaalla tavalla vastaavin ehdoin.
Data-asetuksen VI luvun datankäsittelypalvelujen vaihtamisen säännöksiin lisättäisiin poikkeuksia. Asiakkaalle räätälöityihin datankäsittelypalveluihin sekä pienten ja keskisuurten yritysten tarjoamiin datankäsittelypalveluihin sovellettaisiin kevennettyjä säännöksiä, jos sopimukset on tehty ennen 12.9.2025. Lisäksi selvennettäisiin, että näillä datankäsittelypalvelujentarjoajilla olisi oikeus sisällyttää määräaikaisiin sopimuksiinsa oikeasuhteisia sopimuksen ennenaikaiseen päättämiseen liittyviä sopimussakkoja, kunhan ne eivät muodosta estettä palveluntarjoajan vaihtamiselle. Muutokset eivät vaikuttaisi velvoitteisiin vaihtomaksujen asteittaisesta poistamisesta.
Data-asetuksen VII luvun soveltamisala laajenisi siten, että laittoman kolmansien maiden viranomaisten pääsyn estämistä muuhun kuin henkilötietoihin ja tällaisten tietojen kansainvälisen siirron rajoittamista koskevat säännöt ulottuisivat datankäsittelypalvelujen lisäksi myös julkisen sektorin elimiin, jotka tekevät suojattuja tietoja saataville uuden VIIc luvun 3 jakson mukaisesti, luonnollisiin ja oikeushenkilöihin, joille on annettu oikeus käyttää näitä tietoja uudelleen saman jakson perusteella, sekä datanvälityspalveluihin ja tunnustettuihin data-altruismiorganisaatioihin.
Datanhallinta-asetuksen luvut III ja IV sisällytettäisiin data-asetukseen uudeksi luvuksi VIIa. Datanvälityspalvelun määritelmää selkeytettäisiin, ja datanvälityspalvelujärjestelmä muuttuisi vapaaehtoisuuteen perustuvaksi. Velvoite pitää datanvälityspalvelut juridisesti erillisenä muista yhtiön palveluista korvattaisiin velvoitteella pitää ne toiminnallisesti erillisinä. Datan-välityspalveluihin kohdistuvia velvoitteita vähennettäisiin merkittävästi. Data-altruismiorganisaatioiden osalta raportointi- ja läpinäkyvyysvelvoitteet kumottaisiin ja suunnitelmista luoda yksityiskohtaisempi data-altruismisääntökirja luovuttaisiin. Komissio ylläpitäisi julkisia rekisterejä näihin palveluihin liittyen, ja jäsenvaltioiden tulisi nimetä toimivaltainen viranomainen soveltamaan ja valvomaan lukua VIIa omalle alueelleen sijoittautuneiden organisaatioiden osalta. Suomessa datanhallinta-asetuksen tarkoittama toimivaltainen viranomainen on Liikenne- ja viestintävirasto, joka valvoo pääasiallisesti myös data-asetusta.
Kielto asettaa kansallisesti datan lokalisointivaatimuksia ylläpidettäisiin lisäämällä data-asetukseen uusi luku VII b, samoin velvoite ilmoittaa komissiolle lokalisointivelvoitteista turvallisuussyistä säilytettäisiin. Velvoite ylläpitää kansallisesti keskitettyä infopistettä data-lokalisointivaatimuksista poistettaisiin.
Keskeiset säännökset avoimen datan direktiivistä ja datanhallinta-asetuksen suojattua dataa koskevasta II luvusta lisättäisiin data-asetuksen uuteen VIIc lukuun. Julkisen sektorin elinten hallussa olevan suojatun datan uudelleenkäytön sääntely säilyy sisällöllisesti ja soveltamisalaltaan samana. Anonymisoidun tiedon uudelleenkäyttöä kuitenkin selkeytettäisiin. Ehdotukseen sisältyisi uusi säännös, jonka mukaan julkisen sektorin elinten hallussa olevan suojatun datan uudelleenkäytöstä voitaisiin periä marginaalikustannusten lisäksi myös kohtuullinen tuotto. Tämä koskisi tilanteita, joissa dataa käyttää uudelleen erittäin suuri yritys, erityisesti sellainen, joka käyttää suurta taloudellista vaikutusvaltaa, kuten digimarkkina-asetuksessa (DMA) tarkoitettu portinvartija. Julkisen sektorin elimillä olisi myös mahdollisuus asettaa tällaisille erittäin suurille yrityksille niiden käyttäessään uudelleen julkisen sektorin dataa erityisiä käyttöehtoja, joiden on kuitenkin oltava perusteltuja ja oikeasuhtaisia. Kansallisten, suojatun datan uudelleenkäyttöä tukevien viranomaisten nimeämiseen sovellettaisiin jatkossa data-asetuksen 37 artiklaa.
Avoimen datan direktiivi, joka koskee julkisen sektorin elinten ja eräiden yleishyödyllisiä palveluita tuottavien yritysten hallussa olevaa avointa dataa sekä julkisin varoin tuotettua tutkimusdataa, tuotaisiin myös osaksi data-asetuksen uutta VIIc lukua ja muuttuisi sisällöllisesti vastaamaan data-asetuksessa ja datanhallinta-asetuksessa käytettyä datan määritelmää. Asiakirjan määritelmä säilyisi samana eikä soveltamisalan ole tarkoitus muuttua. Maksut asiakirjojen uudelleenkäytöstä olisi voitava maksaa verkossa rajat ylittävän maksupalvelun välityksellä. Lisäksi asiakirjojen uudelleenkäytöstä olisi mahdollista periä marginaalikustannusten lisäksi myös kohtuullinen tuotto, jos dataa käyttää uudelleen erittäin suuri yritys. Julkisen sektorin elinten olisi myös mahdollista asettaa tällaisille erittäin suurille yrityksille erityisiä, mutta perusteltuja ja oikeasuhtaisia, käyttöehtoja dataa uudelleen käytettäessä.
Data-asetuksen yhteentoimivuutta koskevasta VIII luvusta kumottaisiin artikla 36 eli velvoite noudattaa tiettyjä vaatimuksia datan jakamista koskevien älysopimusten täytäntöönpanosopimuksissa. Velvoite korvattaisiin komission toimivallalla ottaa käyttöön standardeja.
Data-asetuksen IX luvun täytäntöönpano- ja valvontamekanismeja sovellettaisiin jatkossa myös asetukseen lisättäviin uusiin säännöksiin. Nykyinen 38 artikla, joka koskee oikeutta tehdä valitus toimivaltaiselle viranomaiselle, korvattaisiin uudella säännöksellä, joka huomioisi sen, että datanvälityspalvelujen tai data-altruismiorganisaatioiden rekisteröintimaan viranomainen olisi toimivaltainen käsittelemään näitä toimijoita koskevat valitukset.
Uusi VIIc luku rajattaisiin kokonaan data-asetuksen seuraamuksia koskevan 40 artiklan soveltamisalan ulkopuolelle. Julkisen sektorin toimijoille asetettaisiin kuitenkin velvollisuus ilmoittaa VIIc luvun perusteella tietoja uudelleenkäyttöä pyytäville, mitä oikeussuojakeinoja heillä on käytettävissään kyseisiin päätöksiin tai menettelyihin liittyen.
Data-asetukseen lisättäisiin myös uusi IXa luku, joka kokoaisi yhteen datanhallinta asetuksen ja muutettujen säännösten keskeiset määräykset Euroopan datainnovaatiolautakunnasta (EDIB) ja sen tehtävistä. Komissio päättäisi jatkossa EDIB:in kokoonpanosta ja sen alaryhmistä, kun taas nykyinen sääntely edellyttää vähintään kolmea lakisääteistä alaryhmää. Muutosten myötä komissio voisi laajentaa EDIB:in jäsenyyttä toimivaltaisten viranomaisten edustajien lisäksi myös kansallisen datatalouspolitiikan vastuuelinten, kuten ministeriöiden, edustajiin. EDIB:in tehtäviä yksinkertaistettaisiin merkittävästi, minkä myötä sen roolina olisi toimia strategisen tason keskustelufoorumina data-asioissa, tukea komissiota data-asetuksen täytäntöönpanon kehittämisessä, edistää jäsenvaltioiden toimivaltaisten viranomaisten välistä yhteistyötä sekä jakaa parhaita käytäntöjä julkisen datan uudelleenkäytöstä. Muutosehdotus ei sisällä korvaavia yksityiskohtaisia määräyksiä esimerkiksi EDIB:in työjärjestyksestä.
Pienten ja keskisuurten yritysten velvoitteisiin liittyviä helpotuksia laajennettaisiin myös pie-nempiin mid-cap-yrityksiin (SMC). SMC-luokka määritellään yrityksiksi, joiden työntekijöi-den määrä on yli 250, mutta alle 750, ja joiden liikevaihto on enintään 150 miljoonaa euroa tai taseen loppusumma enintään 129 miljoonaa euroa.
Yleinen tietosuoja-asetus, toimielinten tietosuoja-asetus ja sähköisen viestinnän tietosuojadirektiivi
Yleinen tietosuoja-asetus
Komission ehdotuksessa yleiseen tietosuoja-asetukseen ehdotetaan kohdennettuja muutoksia, joiden tarkoituksena on muun muassa yhdenmukaistaa ja yksinkertaistaa asetuksen tulkintaa sekä keventää rekisterinpitäjien velvollisuuksia liittyen vähäriskiseen henkilötietojen käsittelyyn. Komission tavoitteena on ehdotuksen mukaan varmistaa samalla kuitenkin nykyinen henkilötietojen suojan taso.
Komissio ehdottaa muutoksia määritelmiä koskevaan 4 artiklaan. Muutosten tarkoituksena on ennen muuta selventää anonymisointiin ja pseudonymisointiin sekä tieteelliseen tutkimukseen liittyviä epävarmuuksia. Anonymisoinnin ja pseudonymisoinnin osalta henkilötiedon määritelmään ehdotetaan lisättäväksi säännös, jossa selvennettäisiin, ettei henkilötiedosta olisi kyse pelkästään siksi, että joku toinen taho voi tietojen avulla tunnistaa rekisteröidyn, vaan ratkaisevaa on, miten rekisterinpitäjä voi itse tunnistaa rekisteröidyn kohtuullisella todennäköisyydellä. Muutos vastaisi unionin tuomioistuimen oikeuskäytäntöä. Asetukseen ehdotetaan lisättäväksi myös tieteellisen tutkimuksen määritelmä sekä ehdotetaan selvennettäväksi käyttötarkoitussidonnaisuuden periaatetta yleisen edun mukaisia arkistointitarkoituksia, tieteellisiä tai historiallisia tutkimustarkoituksia ja tilastollisia tarkoituksia varten.
Anonymisoinnin ja pseudonymisoinnin osalta komissio ehdottaa lisäksi sääntelyä, jolla tuettaisiin rekisterinpitäjiä anonymisointiin ja pseudonymisointiin liittyvien kriteerien ja keinojen määrittämisessä. Tältä osin ehdotettavassa uudessa 41 a artiklassa annettaisiin komissiolle valta täytäntöönpanosäädösten antamiseen. Komissio voisi artiklan mukaan arvioida käytettävissä olevan tekniikan viimeisintä tasoa ja kehittää kriteeristöjä, joita rekisterinpitäjät voisivat hyödyntää osoittamaan, etteivät tiedot voi enää johtaa rekisteröidyn uudelleentunnistamiseen.
Erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelyn osalta ehdotettaisiin uutta poikkeusperustetta (uusi 9 artiklan 2 kohdan l alakohta) liittyen biometristen tietojen käsittelyyn silloin, kun se on tarpeen rekisteröidyn henkilöllisyyden todentamiseksi (verification). Esityksessä edellytettäisiin tältä osin, että biometriset tiedot tai todentamiseen tarvittavat keinot olisivat rekisteröidyn yksinomaisessa hallinnassa.
Myös tietosuoja-asetuksen 12 ja 13 artikloihin ehdotetaan muutoksia, joiden tarkoituksena on keventää rekisterinpitäjien velvollisuutta informoida rekisteröityä henkilötietojensa käsittelystä erityisesti vähäriskisessä käsittelyssä ja rekisteröidyn oikeuksien väärinkäytöstilanteissa. Automatisoituja yksittäispäätöksiä (mukaan lukien profilointi) koskevaa 22 artiklaa selvennettäisiin siten, että artiklasta kävisi selkeästi ilmi, että automaattista päätöksentekoa olisi mahdollista tehdä ainoastaan artiklassa säädetyin reunaehdoin.
Rekisterinpitäjien velvollisuuksia kevennettäisiin myös henkilötietojen käsittelyyn liittyvien tietoturvaloukkausilmoitusten osalta nostamalla ilmoituskynnystä korkeaan riskiin sekä pidentämällä loukkausilmoitusten tekemistä koskevaa määräaikaa nykyisestä 72 tunnista 96 tuntiin (33 artikla). Ehdotuksen mukaan tietoturvaloukkausilmoitukset tehtäisiin jatkossa uuden keskitetyn ilmoituskanavan (single-entry point) kautta.
Komissio ehdottaa päätelaitteen yksityisyyttä koskevan eli niin kutsutun evästesääntelyn (henkilötietojen tallentaminen ja käyttö rekisteröidyn päätelaitteella) siirtämistä henkilötietojen käsittelyn osalta sähköisen viestinnän tietosuojadirektiivistä yleiseen tietosuoja-asetukseen. Tältä osin yleisen tietosuoja-asetuksen 4 artiklaan lisättäisiin uusia määritelmiä. Lisäksi ehdotettavassa uudessa 88a artiklassa säädettäisiin henkilötietojen osalta edellytyksistä päätelaitteiden tietoihin, kuten evästeisiin, liittyvälle käsittelylle. Ehdotuksen mukaan henkilötietojen tallentaminen ja käyttö edellyttäisi rekisteröidyn suostumusta, vastaavasti kuin sähköisen viestinnän tietosuojadirektiivissä. Komissio ehdottaa, että rekisteröidyn suostumusta ei kuitenkaan tarvitsisi jo voimassa olevien sähköisen viestinnän tietosuojadirektiivin poikkeusten lisäksi pyytää myöskään tietyt ehdot täyttävän yleisömittauksen suorittamiseksi rekisterinpitäjän omaan käyttöön tai jos se on välttämätöntä rekisterinpitäjän tarjoaman ja rekisteröidyn pyytämän palvelun tai sellaisen palvelun tarjoamiseksi käytetyn päätelaitteen turvallisuuden ylläpitämiseksi tai palauttamiseksi. Lisäksi uudessa 88b artiklassa rekisterinpitäjille säädettäisiin velvollisuus noudattaa rekisteröidyn automaattisesti ja koneluettavassa muodossa antamaa suostumusta esimerkiksi verkkoselainten kautta erikseen laadittavien standardien mukaisesti.
Tekoälyjärjestelmien kehittämisen ja operoinnin osalta ehdotuksessa selvennettäisiin ennen muuta käsittelyn oikeusperusteita ja erityisiin henkilötietoryhmiin liittyvää käsittelyä (9 artikla ja uusi 88 c artikla). Ehdotuksen mukaan tekoälyjärjestelmien kehittämiseksi ja operoimiseksi olisi mahdollista käsitellä henkilötietoja rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Käsittely ei olisi kuitenkaan sallittua, mikäli henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti, jos rekisteröity on lapsi. Henkilötietojen käsittelyltä vaadittaisiin kuitenkin rekisteröidyn suostumus, mikäli tällaisesta vaatimuksesta säädetään unionin oikeudessa tai jäsenvaltion lainsäädännössä. Komissio ehdottaa tekoälyjärjestelmien kehittämiseen ja operointiin liittyen myös uutta poikkeusperustetta erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelykieltoon (uusi 9 artiklan 2 kohdan k alakohta) sekä käsittelyä koskevia erityisiä suojatoimia (uusi 9 artiklan 5 kohta).
Toimielinten tietosuoja-asetus
Komissio ehdottaa toimielinten tietosuoja-asetukseen vastaavia muutoksia kuin yleiseen tietosuoja-asetukseen. Ehdotusten tarkoituksena on yhdenmukaistaa ja yksinkertaistaa toimielinten tietosuoja-asetuksen sääntelyä, säilyttämällä samanaikaisesti nykyinen henkilötietojen suojan taso. Muutosehdotukset liittyvät ennen muuta anonymisointiin, pseudonymisointiin, tieteelliseen tutkimukseen, tekoälyjärjestelmien kehittämiseen ja operointiin sekä rekisterinpitäjien velvollisuuksien keventämiseen ja selventämiseen. Muutoksia ehdotetaan toimielinten tietosuoja-asetuksen 3 artiklaan (määritelmät), 4 artiklaan (käsittelyä koskevat periaatteet), 10 artiklaan (erityisiä henkilötietoryhmiä koskeva käsittely), 14 ja 15 artiklaan (rekisteröidyn informointi), 24 artiklaan (automaattinen päätöksenteko), 34 artiklaan (tietoturvaloukkausilmoitukset), 37 artikla (evästesääntely), 39 artikla (vaikutustenarviointi) ja uusi 45 a artikla (pseudonymisointia koskevat kriteerit). Erotuksena yleiseen tietosuoja-asetukseen ehdotettavista muutoksista, henkilötietojen käsittelyä valvoo Euroopan tietosuojavaltuutettu (EDPS), jolle unionin toimielinten, elinten ja laitosten tulee muun muassa ilmoittaa tietoturvaloukkauksista. Tältä osin esimerkiksi 34 artiklassa säädetyt tietoturvaloukkausilmoitukset tehdään EDPS:lle. Toimielinten tietosuoja-asetuksen osalta ei ehdoteta keskitetyn ilmoituskanavan käyttämistä.
Sähköisen viestinnän tietosuojadirektiivi
Komissio ehdottaa, että jatkossa nykyiseen sähköisen viestinnän tietosuojadirektiiviin sisältyvää käyttäjän päätelaitteen tietojen sääntelyä uudistettaisiin siten, että yleiseen tietosuoja-asetukseen lisättäisiin uudet 88a ja 88b artiklat.
Ehdotuksen 5 artiklassa säädettäisiin sähköisen viestinnän tietosuojadirektiiviin kohdistuvista muutoksista. Sähköisen viestinnän tietosuojadirektiivin 4 artikla (käsittelyn turvallisuus) kumottaisiin. Sähköisen viestinnän tietosuojadirektiivin 5 artiklan 3 alakohtaan lisättäisiin uusi lause, jonka mukaan luonnollisen henkilön päätelaitteen henkilötietojen tallentamiseen tai käyttämiseen sovellettaisiin yleistä tietosuoja-asetusta. Jatkossa päätelaitteen henkilötietojen tallentamisesta ja käyttämisestä säädettäisiin yleisen tietosuoja-asetuksen uudessa 88a artiklassa.
Keskitetty EU-ilmoituskanava poikkeamille
Komissio ehdottaa erilaisia häiriötilanne- ja poikkeamailmoituksia varten keskitetyn EU-ilmoituskanavan perustamista (Single-Entry Point for Incident Reporting). Lisäksi eräisiin säädöksiin perustuvia poikkeamaraportointivelvoitteita uudistettaisiin siten, että ilmoittamista koskevien velvollisuuksien täyttämiseksi niiden mukaiset ilmoitukset olisi jatkossa tehtävä keskitetyn EU-ilmoituskanavan kautta.
Komission ehdotuksen mukaan keskitettyä EU-ilmoituskanavaa sovellettaisiin NIS 2-direktiivin, yleisen tietosuoja-asetuksen, DORA-asetuksen, eIDAS-asetuksen ja CER-direktiivin nojalla annettaviin ilmoituksiin. Ehdotuksella muutettaisiin näitä säädöksiä siten, että niissä tarkoitetut ilmoitukset olisi jatkossa annettava keskitetyn EU-ilmoituskanavan kautta. Ehdotukseen ei sisälly muita muutoksia näiden säädöksien mukaiseen ilmoittamiseen, kuten ilmoituskynnyksiin tai ilmoitettaviin tietoihin. Keskitettyä EU-ilmoituskanavaa olisi mahdollista laajentaa myös muiden säädösten mukaisiin ilmoituksiin tulevaisuudessa.
Keskitetystä EU-ilmoituskanavasta säädettäisiin NIS 2-direktiiviin ehdotettavassa uudessa 23a artiklassa. Ilmoituskanavan perustaisi ja sitä ylläpitäisi Euroopan unionin kyberturvallisuusvirasto ENISA. Velvollisuudesta käyttää keskitettyä EU-ilmoituskanavaa säädettäisiin erikseen ilmoitusvelvollisuuden perustavien säännöksien yhteydessä.
Ehdotuksen mukaan ENISA:n tulisi ilmoituskanavaa kehittäessään ja ylläpitäessään huolehtia tarpeellisista teknisistä, operatiivisista ja organisatorisista toimenpiteistä, jotka liittyvät ilmoituskanavan turvallisuuteen ja luotettavuuteen (riskienhallinta). ENISA:n tulisi huolehtia siitä, että toimivaltaisilla viranomaisilla on tarvittava pääsy ja mahdollisuus käsitellä ilmoituskanavassa olevaa tietoa, sekä huomioida käsiteltävien tietojen arkaluonteisuus. Keskitetyn ilmoituskanavan toimeenpanoa ja kehittämistä tulisi tehdä yhteistyössä ENISA:n, komission, CSIRT-verkoston ja jäsenvaltioiden toimivaltaisten viranomaisten kanssa. ENISA:lla ei olisi pääsyä keskitetyn ilmoituskanavan kautta tehtyihin ilmoituksiin, ellei toisin ole säädetty EU-oikeudessa. Keskitetyn ilmoituskanavan tulisi täyttää ehdotetun 23a(3) artiklan osa-alueet.
Ehdotuksen mukaan ENISA:n tulisi pilotoida ja testata keskitettyä ilmoituskanavaa 18 kuukauden kuluttua säädöksen voimaantulosta. Tämän perusteella komissio arvioisi ilmoituskanavan toimivuutta, luotettavuutta, eheyttä sekä luottamuksellisuutta yhteistyössä ENISA:n kanssa. Komission tulisi lisäksi konsultoida CSIRT-verkostoa ja kansallisia toimivaltaisia viranomaisia. Jos komissio toteaisi ilmoituskanavan täyttävän tarvittavat vaatimukset, se julkaisisi ilmoituksen Euroopan unionin virallisessa lehdessä, minkä nojalla ENISA voisi käynnistää ilmoituksien vastaanottamisen keskitetyn EU-ilmoituskanavan kautta. Jos ilmoituskanavan ollessa käytössä komissio toteaisi, että ilmoituskanava ei täytä tarvittavia vaatimuksia, ENISA:n tulisi tehdä yhteistyössä komission kanssa kaikki tarvittavat korjaavat toimenpiteet ilmoituskanavan toimivuuden, luotettavuuden, eheyden ja luottamuksellisuuden turvaamiseksi. Tarvittaessa komission tulisi uudelleenarvioida ilmoituskanavan toimintaa ja päivittää tai julkaista ilmoitus, jonka perusteella ENISA pitää ilmoituskanavaa käynnissä.
Ehdotuksen myötä NIS 2 -direktiivin 23 artiklan 1 kohtaan lisättäisiin, että poikkeamailmoitus olisi tehtävä 23a artiklan mukaisen keskitetyn ilmoituskanavan kautta. Lisäksi NIS 2 -direktiivin 23 artiklaan lisättäisiin 12 kohta, jonka mukaan asetuksen (EU) 2024/2847 (kyberkestävyyssäädös) 14 artiklan 3 kohdan mukainen ilmoitus digitaalisia elementtejä sisältävän tuotteen tietoturvaan vaikuttavista vakavista poikkeamista katsottaisiin myös NIS 2 -direktiivin mukaiseksi poikkeamailmoitukseksi. Lisäksi NIS 2 -direktiivin 30 artiklaa muutettaisiin siten, että jäsenvaltioiden tulisi varmistaa, että niille voidaan tehdä artiklassa tarkoitettuja vapaaehtoisia ilmoituksia keskitetyn EU-ilmoituskanavan kautta.
Ehdotuksella muutettaisiin eIDAS-asetuksen 19a, 4 ja 45a artikloita lisäämällä niihin kohdat siitä, että artikloissa tarkoitetut ilmoitukset olisi tehtävä keskitetyn EU-ilmoituskanavan kautta.
Ehdotuksella muutettaisiin DORA-asetuksen 19 artiklaa siten, että siinä tarkoitetut ilmoitukset olisi tehtävä keskitetyn EU-ilmoituskanavan kautta. Lisäksi keskitetyn EU-ilmoituskanavan kautta olisi mahdollisuus tehdä vapaaehtoisia ilmoituksia.
Ehdotuksella muutettaisiin CER-direktiivin 15 artiklaa siten, että siinä tarkoitetut ilmoitukset olisi tehtävä keskitetyn EU-ilmoituskanavan kautta. Lisäksi keskitetyn EU-ilmoituskanavan kautta olisi mahdollisuus tehdä vapaaehtoisia ilmoituksia.
Yleisen tietosuoja-asetuksen 33 artiklaan lisättäisiin viittaus siitä, että henkilötietojen käsittelyä koskevat tietoturvaloukkausilmoitukset olisi tehtävä keskitetyn EU-ilmoituskanavan kautta.
Ennen keskitetyn EU-ilmoituskanavan käyttöönottoa säädöksien mukaiset ilmoitukset olisi tehtävä säädöksien nykyiseen toimeenpanoon perustuvien toimintamallien mukaisesti kansallisille toimivaltaisille viranomaisille.
Eräiden säädösten kumoaminen
Komissio ehdottaa kumottavaksi asetuksen oikeudenmukaisuuden ja avoimuuden edistämisestä verkossa toimivien välityspalvelujen yrityskäyttäjiä varten (P2B-asetus). Komission mukaan asetuksen keskeiset velvoitteet (läpinäkyvyys, reilu kohtelu, riidanratkaisu) sisältyvät vuonna 2022 voimaan tulleisiin digipalveluasetukseen (DSA) ja digimarkkina-asteukseen (DMA), jotka tarjoavat laajemmat ja sitovammat säännöt alustataloudelle. Tietyt P2B-asetuksen artiklat jäisivät voimaan siirtymäkauden ajaksi vuoteen 2032 saakka, jotta varmistetaan oikeusvarmuus säädöksille, jotka viittaavat P2B-asetukseen. Näitä artikloita olisivat osa 2 artiklan määritelmistä ('yrityskäyttäjä', 'verkossa toimivaa välityspalvelu', verkossa toimiva hakukone'), 4 artikla palvelujen rajoittamisesta, keskeyttämisestä ja lopettamisesta, 11 artikla sisäisestä valitustenkäsittelyjärjestelmästä ja 15 artikla täytäntöönpanon valvonnasta.
3.2
Tekoälyomnibus
Tekoälyasetukseen ehdotetaan muutoksia, joiden tarkoituksena on keventää tekoälyjärjestelmien tarjoajien sekä vaatimustenmukaisuuden arviointilaitosten hallinnollista taakkaa. Lisäksi komissiolle annettaisiin toimivalta valvoa sellaisia yleiskäyttöisiä tekoälyjärjestelmiä, jotka perustuvat saman tarjoajan yleiskäyttöiseen tekoälymalliin, sekä tekoälyjärjestelmiä, jotka sisältyvät erittäin suuriin verkkoalustoihin tai erittäin suuriin hakukoneisiin.
Komissio ehdottaa, että pieniä ja keskisuuria yrityksiä koskeva erityiskohtelu ulotettaisiin koskemaan myös SMC-yrityksiä: tietyt suuririskisiin tekoälyjärjestelmiin liittyviä velvoitteita koskevat poikkeukset, yritysten tarpeita huomioon ottavien tukitoimenpiteiden osoittaminen ja alemmat hallinnollisten seuraamusmaksujen enimmäismäärät.
Nykyinen tekoälyjärjestelmien tarjoajille ja käyttöönottajille osoitettu tehtävä edistää tekoälylukutaitoa siirrettäisiin jäsenvaltioiden ja toimivaltaisten viranomaisten tehtäväksi.
Komissio ehdottaa nykysääntelyyn verrattuna, että suuririskisten tekoälyjärjestelmien tarjoajien lisäksi myös suuririskisten tekoälyjärjestelmien käyttöönottajat sekä muiden tekoälyjärjestelmien tarjoajat ja käyttöönottajat voisivat tietyin edellytyksin käsitellä erityisiä henkilötietoryhmiä, jos se on tarpeellista vinoutumien havaitsemiseksi ja korjaamiseksi. Nykyisen ehdottoman välttämättömyyden vaatimuksen sijaan käsittely olisi perustuisi tarpeellisuuteen. Komission mukaan vinoumien havaitseminen ja korjaaminen on yleisen edun mukaista, sillä se suojaa ihmisiä tekoälyn haitallisilta vaikutuksilta, kuten syrjinnältä. Kyseisessä käsittelyssä tulee noudattaa erityisiä suojatoimia.
Suuririskiseen käyttötapaukseen tarkoitettuja tekoälyjärjestelmiä, jotka eivät kuitenkaan olisi suuririskisiä tekoälyjärjestelmiä, ei olisi enää tarpeen rekisteröidä komission ylläpitämään tietokantaan.
Ehdotuksen tarkoituksena olisi myös helpottaa vaatimustenmukaisuuden arviointia sekä arviointilaitosten ilmoittamista koskevaa menettelyä. Vaatimustenmukaisuuden arviointilaitoksia koskevaa sääntelyä muutettaisiin niin, että laitoksen olisi mahdollista hakea samalla hakemuksella ilmoittamista sekä tekoälyasetuksen että muun sektorilainsäädännön mukaisuutta arvioivaksi laitokseksi. Lisäksi vaatimustenmukaisuuden arviointia selkeytettäisiin.
Komissiolta poistettaisiin valtuutus antaa täytäntöönpanosäädöksiä, jotka koskisivat yleiskäyttöisten tekoälyjärjestelmien käytännesääntöjä ja tiettyjen tekoälyjärjestelmien avoimuutta. Tarkoitus on, että yhdenmukaistettuja sääntöjä toimeenpanolle annetaan vain, mikäli tämä on ehdottoman välttämätöntä.
Sääntelyn testiympäristöjä koskevaa sääntelyä laajennettaisiin niin, että tosielämän olosuhteissa tehtävä testaaminen olisi mahdollista toteuttaa tiiviimmin testiympäristöjen yhteydessä ja myös niiden ulkopuolella. Testaaminen sallittaisiin aiempaa laajemmin myös liitteen I mukaisilla järjestelmillä, ei vain liitteen III mukaisilla järjestelmillä. Liitteen I osan B mukaisten järjestelmien osalta komission ja jäsenvaltioiden olisi mahdollista tehdä keskenään vapaaehtoisia sopimuksia testaamisen käytännön toteuttamiseksi. Lisäksi komissiolle annettaisiin toimivalta perustaa testiympäristöjä yleiskäyttöisille tekoälyjärjestelmille, jotka perustuvat saman tarjoajan yleiskäyttöiseen tekoälymalliin. Näissä tapauksissa komissiolla olisi kansallisia markkinavalvontaviranomaisia vastaavat toimivaltuudet. Komissiolle annettaisiin toimivalta valvoa tekoälyjärjestelmiä, jotka kuuluvat digipalveluasetuksen piiriin erittäin suurina verkkoalustoina tai hakukoneina, tai jotka ovat niiden osia.
Mikroyrityksiä koskeva poikkeus suuririskisen tekoälyjärjestelmän laadunvalvontajärjestelmää koskevista vaatimuksista ulotettaisiin myös pk-yrityksiin.
Tiedelautakuntaa koskevaa sääntelyä tarkennettaisiin siten, että asiantuntijoille maksettavat palkkiot määriteltäisiin selkeämmin silloin, kun ne tukevat jäsenvaltioita asetuksen täytäntöönpanossa. Lisäksi jäsenvaltioille annettaisiin mahdollisuus konsultoida tiedelautakunnan asiantuntijoita suoraan ilman komission osallistumista.
Jälkimarkkinaseurantaa joustavoitettaisiin poistamalla komissiolta valtuutus antaa täytäntöönpanosäädös, jossa vahvistetaan yksityiskohtaiset säännökset markkinoille saattamisen jälkeistä seurantaa koskevan suunnitelman mallista ja suunnitelmaan sisällytettävistä tiedoista.
Perusoikeuksien toteutumista valvovien viranomaista oikeutta saada tietoja toimivaltaisilta markkinavalvontaviranomaisilta selkeytettäisiin ja samalla korostettaisiin markkinavalvontaviranomaisten velvollisuutta vastata perusoikeuksia valvovien viranomaisten pyyntöihin.
Yhdenmukaistetut standardit, jotka tukevat tekoälyasetuksen noudattamista, eivät mitä todennäköisimmin valmistu 2.8.2026 mennessä, jolloin asetusta aletaan soveltaa täysimääräisesti. Tämä koskee myös liitteen III suuririskisiä järjestelmiä, kuten koulutukseen, työllistymiseen ja kriittiseen infrastruktuuriin liittyviä vaatimuksia. Tämän vuoksi ehdotukseen sisältyy useita muutoksia siirtymä- ja voimaantuloaikoihin, jotta standardien valmistelulle ja talouden toimijoiden sopeutumiselle jää enemmän aikaa:
Keinotekoista sisältöä, kuten kuvia ja ääniä, tuottavia järjestelmiä ja niiden avoimuutta koskevaa sääntelyä sovellettaisiin järjestelmiin, jotka on otettu käyttöön ennen 2.8.2026, vasta kuuden kuukauden siirtymäajan jälkeen eli 2.2.2027 alkaen. Tämä olisi kuusi kuukautta myöhemmin kuin nykyinen soveltamispäivä 2.8.2026.
Suuririskisiä tekoälyjärjestelmiä koskevien vaatimusten soveltaminen sidottaisiin siihen, että tukevat välineet, kuten yhdenmukaistetut standardit, yhteiset eritelmät tai komission ohjeet, ovat olemassa komission päätöksellä. Komission päätöksen julkaisun jälkeen talouden toimijoilla olisi aikaa tehdä vaaditut muutokset kuusi kuukautta (liite III) tai 12 kuukautta (liite I). Asetukseen sisältyisi varauma, että vaatimuksia sovelletaan viimeistään 2.12.2027 liitteen III järjestelmiin ja viimeistään 2.8.2028 liitteen I järjestelmiin, vaikka standardit eivät olisi valmistuneet.
Jo markkinoille saatettujen tai käyttöön otettujen tekoälyjärjestelmien vaatimusten soveltaminen vastaisi suuririskisten tekoälyjärjestelmien soveltamisaikataulua. Muutos ei koskisi viranomaiskäyttöön tarkoitettuja järjestelmiä, joiden on edelleen täytettävä asetuksen vaatimukset 2.8.2030 mennessä.
Lisäksi EU:n siviili-ilmailun turvallisuutta ja Euroopan unionin lentoturvallisuusvirasto EASA:a koskevaa perusasetusta muutettaisiin siten, että tekoälyasetuksen suuririskisiä tekoälyjärjestelmiä koskevat vaatimukset voidaan yhdistää kyseiseen asetukseen.