3.2
Valvonta- ja seuraamussääntely
Asetuksen 34 artiklan 1 kohdan mukaan jäsenvaltion on vahvistettava säännöt 5 artiklan 14 kohdan (asetuksen 2 luvussa) ja 31 artiklan mukaisten muiden kuin henkilötietojen siirtoa kolmansiin maihin koskevien, datan välityspalvelujen tarjoajan 11 artiklan mukaista ilmoitusvelvollisuutta koskevien, 12 artiklan mukaisten datan välityspalvelujen tarjoamisen edellytyksiä koskevien sekä 18, 20, 21 ja 22 artiklan mukaisten tunnustetuksi data-altruismipohjaiseksi organisaatioksi rekisteröintiä koskevien edellytysten rikkomiseen sovellettavista seuraamuksista ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Jäsenvaltioiden on seuraamuksia koskevissa säännöissään otettava huomioon Euroopan datainnovaatiolautakunnan suositukset.
Jäsenvaltion on 34 artiklan 2 kohdan mukaan otettava tarvittaessa huomioon seuraavat ei-tyhjentävät ja ohjeelliset perusteet määrättäessä seuraamuksia datan välityspalvelujen tarjoajille ja tunnustetuille data-altruismipohjaisille organisaatioille asetuksen rikkomisesta: rikkomisen luonne, vakavuus, laajuus ja kesto, datan välityspalvelujen tarjoajan tai tunnustetun data-altruismipohjaisen organisaation toteuttamat toimet rikkomisen aiheuttaman vahingon lieventämiseksi tai korjaamiseksi, datan välityspalvelujen tarjoajan tai tunnustetun data-altruismipohjaisen organisaation mahdolliset aiemmat rikkomiset, datan välityspalvelujen tarjoajan tai tunnustetun data-altruismipohjaisen organisaation rikkomisen johdosta saamat taloudelliset edut tai niiden välttämät tappiot, jos tällaiset voitot tai tappiot voidaan luotettavasti osoittaa sekä mahdolliset muut tapauksen olosuhteisiin sovellettavat raskauttavat tai lieventävät tekijät.
Koska datanhallinta-asetuksessa on kyse jäsenvaltioihin kohdistetusta yleisestä velvoitteesta säätää seuraamuksista, tarkempi harkintavalta sääntelyn sisällöstä jää kansalliselle tasolle. Kansallisen liikkumavaran käytössä merkityksellisiä ovat kansalliset reunaehdot sekä unionioikeuden yleiset opit. Kansallista liikkumavaraa on käytettävä perus- ja ihmisoikeuksista juontuvien vaatimusten mukaisesti ja sääntelyn on täytettävä muun muassa välttämättömyyden, hyväksyttävyyden ja oikeasuhtaisuuden vaatimukset. Unionioikeuteen kuuluvan vilpittömän yhteistyön periaatteen mukaan vaikka jäsenvaltiot voivat valita määrättävät seuraamukset, niiden on huolehdittava erityisesti siitä, että unionin oikeuden rikkominen sanktioidaan vastaavin aineellisin ja menettelyllisin edellytyksin kuin kansallisen oikeuden vastaavanlaatuinen ja vakavuudeltaan samanlainen rikkominen (vastaavuusperiaate) ja että seuraamus on joka tapauksessa tehokas, oikeasuhteinen ja varoittava (tehokkuusperiaate) (asia C-565/12 LCL Le Crédit Lyonnais SA, 44 kohta).
Toimivaltaisen viranomaisen käytössä on edellä mainituista näkökohdista hyvä olla mahdollisuus käyttää eri tyyppisiä seuraamuksia. Datan välityspalveluiden suhteen seuraamustoimivaltaa tulee jo asetuksen 14 artiklan 4 kohdasta. Toimivaltaisella viranomaisella on tarvittaessa toimivalta määrätä hallinnollisin menettelyin varoittavia taloudellisia seuraamuksia, joihin voi sisältyä uhkasakkoja ja takautuvia uhkasakkoja, tai panna vireille oikeudellisia menettelyjä sakkojen määräämiseksi, tai molempia. Lisäksi toimivaltaisella viranomaisella on tarvittaessa toimivalta vaatia lykkäystä datan välityspalvelun tarjoamisen aloittamiselle tai keskeyttämiselle, kunnes palvelun ehtoja on muutettu datan välityspalvelujen suhteen toimivaltaisen viranomaisen pyytämällä tavalla tai vaatia datan välityspalvelun tarjoamisen lopettamista, jos vakavia tai toistuvia rikkomisia ei ole korjattu ennakkoilmoituksesta huolimatta.
Tunnustettujen data-altruismipohjaisten organisaatioiden suhteen toimivaltuudet ovat osin samat kuin datan välityspalveluiden suhteen. Asetuksen 24 artiklan 4 kohdan mukaan toimivaltaisella viranomaisella on valtuudet vaatia laiminlyönnin lopettamista joko välittömästi tai kohtuullisen määräajan kuluessa, ja sen on toteutettava aiheelliset ja oikeasuhteiset toimenpiteet vaatimusten noudattamisen varmistamiseksi. Artiklan 5 kohdan mukaan jos puutteita ei korjata, tunnustettu data-altruismipohjainen organisaatio menettää oikeutensa käyttää itsestään nimitystä "unionissa tunnustettu data-altruismipohjainen organisaatio" kaikessa kirjallisessa ja suullisessa viestinnässään ja se poistetaan tunnustettujen data-altruismipohjaisten organisaatioiden asianomaisesta julkisesta kansallisesta rekisteristä ja unionin rekisteristä.
Näiden toimivaltuuksien käyttämiseen on 14 ja 24 artiklassa säädetty tiettyjä menettelysääntöjä tiedonsaantioikeudesta, kuulemisesta ja asetettavista määräajoista. Muutoin menettelyssä noudatetaan kansallista sääntelyä, kuten hallintolakia (datanhallinta-asetus on suoraan sovellettavaa sääntelyä ja menettelyllisesti erityissääntelyä, ks. myös hallintolain 5 § ja uhkasakkolain 3 §). Hallintoasian käsittelystä säädetään hallintolaissa. Erityisiä menettelysääntöjä on myös viestintäpalvelulain 312 (sähköinen tiedoksianto), 313 (valvonta-asioiden käsittely), (viranomaisen yleinen tiedonsaantioikeus) ja 318 §:ssä (tietojen luovuttaminen viranomaisesta).
Viestintäpalvelulain 330 §:n mukaan Liikenne- ja viestintävirasto voi viestintäpalvelulain mukaisia tehtäviä hoitaessaan antaa huomautuksen sille, joka rikkoo kyseistä lakia taikka sen nojalla annettuja säännöksiä, määräyksiä, päätöksiä ja lupaehtoja sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Viestintäpalvelulain 332 §:n mukaan 330 §:n mukaan asetetun velvoitteen tehosteeksi voidaan asettaa uhkasakko tai uhka siitä, että toiminta keskeytetään taikka että tekemättä jätetty toimenpide teetetään laiminlyöjän kustannuksella. Nämä valtuudet on syytä ulottaa koskemaan myös datanhallinta-asetuksen valvontaa. Tämä edellyttää viestintäpalvelulain 330 §:n muuttamista lisäämällä viittaus datanhallinta-asetukseen.
Taloudellisten seuraamusten osalta asetuksessa on määritelty, mitä keinoja viranomaisella voi olla käytössä. Keinojen tarkempi määrittely jää kuitenkin kansallisen liikkumavaran piiriin asetuksen 34 artiklan mukaisesti. Uhkasakkoa on käsitelty edellä. Mahdollisesta seuraamusmaksusta tulisi kuitenkin säätää erikseen. Luonteva paikka olisi lisätä viestintäpalvelulakiin uusi 334 a §. Sitä edeltäisi säännökset teleyrityksen seuraamusmaksusta (333 §) sekä televisio- tai radiotoiminnan harjoittajan seuraamusmaksusta (334 §).
Seuraamusmaksun käyttämistä datanhallinta-asetuksen täytäntöönpanossa on käsitelty hallituksen esitystä edeltäneessä työryhmän selvityksessä (Liikenne- ja viestintäministeriö 2023: Datanhallinta-asetus: kansallinen täytäntöönpano. Työryhmän selvitys. Liikenne- ja viestintäministeriön julkaisuja 2023:8, s. 83–102). Selvityksen perusteella seuraamusmaksu olisi syytä säätää datan välityspalveluille. Selvityksessä todetaan, että seuraamusmaksun määräämiseen sovelletaan hallintolakia. Se turvaisi jo riittävästi oikeusturvanäkökulmat seuraamusmaksumenettelyssä. Sen sijaan tunnustettujen data-altruismipohjaisten organisaatioiden tietojen käsittelyn asianmukaisuutta voidaan valvoa jo pitkälti yleisen tietosuoja-asetuksen perusteella, sillä ne käsittelevät luonnollisilta henkilöiltä saatuja tietoja. Lisäksi tunnustettujen data-altruismipohjaisten organisaatioiden vaatimukset perustuvat vapaaehtoiseen rekisteröitymiseen. Koska henkilötietolainsäädännön vastaiseen toimintaan voidaan puuttua tietosuojasääntelyn kautta ja muiden kuin henkilötietojen osalta vaatimusten noudattaminen perustuu käytännössä vapaaehtoisuuteen, seuraamusmaksun säätämisen edellytyksenä olevan välttämättömyyskriteerin täyttyminen ei ole selvää. Näin ollen tunnustettujen data-altruismipohjaisen organisaatioiden osalta riittävinä seuraamuksina voidaan pitää edellä käsiteltyä huomautusta ja siihen liittyviä uhkasakkolain mukaisia tehosteita.
Viestintäpalvelulain 335 §:ssä säädetään seuraamusmaksun täytäntöönpanosta. Sen mukaan seuraamusmaksun perimisestä säädetään verojen ja maksujen täytäntöönpanosta annetussa laissa. Viestintäpalvelulain seuraamusmaksujen määräämistavalla ja laissa nykyisin olevilla muutoksenhakumenettelyillä on historiallinen tausta, joka liittyy lakia edeltäneeseen viestintämarkkinalakiin. Datanhallinta-asetuksen mukainen toiminta on kuitenkin erityyppistä. Näin ollen on syytä säätää tästä poikkeavasta menettelystä. Nykyään seuraamusmaksun täytäntöönpano on usein säädetty toteutettavaksi sakon täytäntöönpanosta annetun lain (672/2002) mukaisessa menettelyssä. Näin olisi tarkoituksenmukaista tehdä tässäkin yhteydessä.
3.3
Viranomaisten välinen yhteistyö
Uudet viranomaistehtävät eivät vaikuta muiden viranomaisten tehtäviin ja toimivaltuuksiin. Vaikka kukin viranomainen valvoo omaa sääntelyänsä, eri lainsäädännön velvoitteet voivat olla sillä tavoin osittain päällekkäisiä, että toimijan toiminta tai laiminlyönti voi tarkoittaa usean säädöksen rikkomista. Viranomaisten välinen yhteistyö voitaisiin kuitenkin järjestää ilman säädösmuutoksia.
Datanhallinta-asetuksessa on nimenomaisesti säädetty, ettei se rajoita tietosuojaviranomaisten toimivaltuuksia (asetuksen 1 artiklan 3 kohta ja 13 artiklan 3 kohta). Tietosuojalain (1050/2018) 8 §:n mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena on tietosuojavaltuutettu. Tietosuojavaltuutetun tehtävät ja toimivalta perustuvat yleisen tietosuoja-asetuksen 55–59 artiklaan. Tämän lisäksi tietosuojavaltuutetulle on kansallisesti säädetty eräitä muita tehtäviä tietosuojalain 14 §:ssä. Tietosuojavaltuutetun keskeinen tehtävä on valvoa yleisen tietosuoja-asetuksen noudattamista (yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan a alakohta).
Datanhallinta-asetuksessa ei ole suoraan säädetty datan välityspalvelun asemasta rekisterinpitäjänä tai käsittelijänä. Datanhallinta-asetuksessa ei myöskään ole säädetty henkilötietojen käsittelyperusteesta. Ne määräytyvät tapauskohtaisesti yleisen tietosuoja-asetuksen mukaisesti (ks. datanhallinta-asetuksen johdanto-osan 35 perustelukappale ja 1 artiklan 3 kohta). Silloin kun datan välityspalvelu käsittelee henkilötietoja, osa 12 artiklan mukaisista vaatimuksista voi olla mahdollista johtaa yleisestä tietosuoja-asetuksesta. Näitä voisivat esimerkiksi olla seuraavat vaatimukset:
Vaatimus | Datanhallinta-asetus | Tietosuoja-asetus |
Käyttötarkoitussidonnaisuus | 12 artiklan a, c, d ja e alakohta | 5 artiklan 1 kohdan b alakohta ja 6 artiklan 4 kohta |
Luvattoman pääsyn estäminen | 12 artiklan g alakohta | 5 artiklan 1 kohdan f alakohta, 25 artikla ja 32 artikla |
Rekisteröidyn informointi sekä suostumuksen saaminen ja peruuttaminen | 2 artiklan 5 kohta 12 artiklan m ja n alakohta | 4 artiklan 11 kohta, 6 artiklan 1 kohdan a alakohta, 7 artikla, 9 artiklan 2 kohdan a alakohta, 12 artikla, 13 ja 14 artikla |
Selosteen ylläpitäminen käsittelytoimista | 12 artiklan o alakohta | 5 artiklan 2 kohta, 24 artikla ja 30 artikla |
Henkilötietojen käsittelyn käyttötarkoitussidonnaisuuden periaatteen mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Datanhallinta-asetuksessa datan välityspalvelun sallitaan käsitellä tietoja vain säädettyihin tarkoituksiin. Datan välityspalvelujen tarjoaja ei saa käyttää datan välityspalvelunsa kohteena olevaa dataa muihin tarkoituksiin kuin datan asettamiseen datan käyttäjien saataville. Välitystarkoituksen toteuttamiseksi datan muotoa saa kuitenkin tietyin edellytyksin muuntaa. Lisäksi datan välityspalvelu voi datan vaihdon helpottamiseksi tietyin edellytyksin tarjota erityisiä lisävälineitä ja palveluita. Näihin voi kuulua datan vaihdon helpottamiseksi datan haltijoille tai rekisteröidyille tarjottavia erityisiä lisävälineitä ja -palveluita, kuten väliaikainen tallentaminen, kuratointi, muuntaminen, anonymisointi ja pseudonymisointi. Datan välityspalvelun asiakkaista kerättyä dataa on käytettävä ainoastaan kyseisen datan välityspalvelun kehittämiseen, mihin voi sisältyä datan käyttäminen petosten havaitsemiseen tai kyberturvallisuustarkoituksiin. Tässäkin käsittelyssä on kuitenkin otettava huomioon tietosuojasääntelystä tulevat reunaehdot.
Yleisen tietosuoja-asetuksen mukaan henkilötietojen eheys ja luottamuksellisuus on varmistettava. Tähän sisältyy suojaaminen luvattomalta pääsyltä. Rekisterinpitäjän on lisäksi muiltakin osin varmistettava käsittelyn turvallisuus ja noudatettava sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusta. Tietosuoja-asetuksessa ei ole säädetty näitä artikloja yksityiskohtaisemmin kyseisistä vaatimuksista. (ks. kuitenkin Euroopan tietosuojaneuvoston ohje 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, 29 kappale). Niin ikään datanhallinta-asetuksen vaatimukset ovat yleisluonteiset. Sen mukaan datan välityspalvelujen tarjoajalla on oltava käytössään menettelyt, joilla estetään sellaisten osapuolten vilpilliset käytännöt tai väärinkäytökset, jotka tavoittelevat pääsyä dataan näiden palvelujen kautta.
Suostumus on yksi tietosuoja-asetuksen mukaisista laillisista henkilötietojen käsittelyperusteista. Yleisessä tietosuoja-asetuksessa on määritelty suostumus-käsite. Lisäksi on määritelty suostumuksen edellytykset. Tältä osin on muun muassa säädetty, että suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. (Ks. Euroopan tietosuojaneuvoston suuntaviivat 05/2020 tietosuoja-asetuksen mukaisesta suostumuksesta.) Lisäksi yleisessä tietosuoja-asetuksessa on säädetty läpinäkyvästä informoinnista. Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle tietosuoja-asetuksen 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. (Ks. Tietosuojatyöryhmän suuntaviivat WP260 rev.01 tietosuoja-asetuksen mukaisesta läpinäkyvyydestä.) Suostumus on datanhallinta-asetuksessa määritelty viittaamalla suoraan tietosuoja-asetuksen mukaisen suostumuksen käsitteeseen eli datanhallinta-asetuksen mukaisella suostumuksella tarkoitetaan tietosuoja-asetuksen mukaista suostumusta. Datanhallinta-asetuksessa näkökulma suostumuksen käyttöön ja rekisteröidyn informoimiseen on teknisempi ja keskittyy enemmän käytännön näkökulmiin: datan välityspalvelun on tiedotettava rekisteröityjä ja tarvittaessa annettava rekisteröidyille neuvontaa tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa tarkoituksista, joihin datan käyttäjät käyttävät dataa, sekä tällaisiin käyttötarkoituksiin liittyvistä vakioehdoista ja -edellytyksistä, ennen kuin rekisteröidyt antavat suostumuksensa. Jos datan välityspalvelujen tarjoaja tarjoaa välineitä suostumuksen saamiseksi rekisteröidyiltä tai luvan saamiseksi datan haltijoiden saataville asettaman datan käsittelyyn, sen annettava rekisteröidyille välineet suostumuksen antamiseen ja peruuttamiseen ja datan haltijoille välineet tietojen käsittelyä koskevien lupien antamiseen ja peruuttamiseen.
Tietosuoja-asetuksessa säädetään rekisterinpitäjälle osoitusvelvollisuus siitä, että se noudattaa henkilötietojen käsittelyä koskevia periaatteita. Lisäksi rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen vähimmäissisältö on määritetty. Datanhallinta-asetuksessa on puolestaan vain yleisellä tasolla säädetty, että datan välityspalvelujen tarjoajan on ylläpidettävä selostetta datan välitystoiminnasta.
Datan välityspalveluiden sisältö ja toimintaperiaate kuitenkin vaihtelevat, mikä korostaa tapauskohtaista arviointia. Mahdollisia päällekkäisyyksiä datanhallinta-asetuksen ja yleisen tietosuoja-asetuksen kanssa ei voida yleispätevästi tai tyhjentävästi etukäteen määritellä.
Samoin yllämainitut tietosuoja-asetuksen lainkohdat voivat olla merkityksellisiä tunnustetuille data-altruismipohjaisille organisaatioille. Tältä osin voidaan esimerkkinä mainita vaatimukset velvollisuudesta pitää kirjaa käsittelystä (20 artiklan 1 kohta), rekisteröidyn informoimisesta (21 artiklan 1 kohta), käyttötarkoitussidonnaisuudesta (21 artiklan 2 kohta), suostumuksen saamisesta ja peruuttamisesta (21 artiklan 3 kohta) sekä informoimisesta kolmannessa maassa tapahtuvasta käsittelystä (21 artiklan 6 kohta). Myös tulevaan data-altruismia koskevaan sääntökirjaan sisältyy vaatimuksia rekisteröidyn informoimisesta ja suostumuksesta (22 artiklan 1 kohdan a ja b alakohta).
Datan välityspalvelujen suhteen toimivaltaisen viranomaisen tehtävä ei myöskään vaikuta kansallisten kilpailuviranomaisten, kyberturvallisuudesta vastaavien viranomaisten ja muiden asiaankuuluvien alakohtaisten viranomaisten valtuuksiin (13 artiklan 3 kohta). Muu asiaankuuluva alakohtainen viranomainen voisi Suomessa olla esimerkiksi kuluttaja-asiamies. Data-altruismipohjaisten organisaatioiden suhteen toimivaltaisen viranomaisen on suoritettava tehtävänsä yhteistyössä asiaankuuluvien alakohtaisten viranomaisten kanssa (23 artiklan 3 kohta).
Osa datanhallinta-asetuksen velvoitteista voi niin ikään olla johdettavissa kilpailu- ja kuluttajaoikeudellisesta sääntelystä. Esimerkkeinä voidaan mainita, että datan välityspalvelua ei saa sitoa muiden palveluiden käyttöön (12 artiklan b alakohta) ja että pääsyn palveluun on oltava oikeudenmukaista, läpinäkyvää ja syrjimätöntä (12 artiklan f alakohta). Kuluttajansuojalaissa (38/1978) on kielletty esimerkiksi aggressiivisten menettelyjen kielto (2 luvun 9 §) ja kohtuuttomat ehdot (3 luvun 1 §). Kuluttajansuojalaissa on myös säännökset digitaalista sisältöä ja digitaalisia palveluita koskevista sopimuksista (5 a luku). Jos datan välityspalvelu on luvussa tarkoitettu digitaalinen palvelu, tulee luku sovellettavaksi. Luvussa on säädetty muun muassa digitaalisen palvelun toimittamisesta (mainitun luvun 5 §). Datan välityspalvelujen tarjoajan on niin ikään toteutettava asianmukaiset toimenpiteet yhteentoimivuuden varmistamiseksi (12 artiklan 1 alakohta), millä voi olla kilpailuoikeudellisia ulottuvuuksia. Myös sitomisella muihin palveluihin voi olla kilpailuoikeudellista merkitystä. Näin olisi kahden viimeksi mainitun osalta varsinkin, jos yksi datan välityspalvelu olisi määräävässä markkina-asemassa.
Datanhallinta-asetuksessa ei ole tarkkaa sääntelyä, miten menetellä tilanteessa, jossa samalla toimenpiteellä tai laiminlyönnillä on rikottu useaa säädöstä. Tilannetta on arvioitava datanhallinta-asetuksen sääntelyn, sen johdanto-osassa kuvatun tarkoituksen sekä kansallisten menettelysääntöjen valossa.
Ensinnäkin datanhallinta-asetus ei siirrä tietosuojasääntelyn eikä kilpailu- ja kuluttajasääntelyn valvontaa uudelle viranomaiselle. Datanhallinta-asetuksen 13 artiklan 3 kohdan mukaan datan välityspalvelujen suhteen toimivaltaisten viranomaisten valtuudet eivät vaikuta tietosuojaviranomaisten, kansallisten kilpailuviranomaisten, kyberturvallisuudesta vastaavien viranomaisten ja muiden asiaankuuluvien alakohtaisten viranomaisten valtuuksiin. Näiden viranomaisten on unionin oikeudessa ja jäsenvaltioiden lainsäädännössä vahvistettujen valtuuksiensa mukaisesti kehitettävä vahvaa yhteistyötä ja vaihdettava tietoja, jotka ovat tarpeen niiden tehtävien hoitamiseksi, joita niillä on datan välityspalvelujen tarjoajiin liittyen, sekä varmistettava tämän asetuksen mukaan tehtyjen päätösten johdonmukaisuus. Datanhallinta-asetuksen 23 artiklan 3 kohdan mukaan jäsenvaltion data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisen viranomaisen on suoritettava tehtävänsä yhteistyössä asiaankuuluvan tietosuojaviranomaisen kanssa, jos tällaiset tehtävät liittyvät henkilötietojen käsittelyyn, ja kyseisen jäsenvaltion asiaankuuluvien alakohtaisten viranomaisten kanssa.
Jos toimivaltaiselle viranomaiselle toimitetaan erehdyksessä muiden valvontaviranomaisten vastuulle kuuluvia asiakirjoja, on asiakirjat siirrettävä hallintolain (434/2003) 21 §:n mukaisesti toimivaltaiseksi katsotulle viranomaiselle. Siirtovelvollisuus koskee kaikenlaisia asiakirjoja (HE 72/2002 vp, s. 71), joita ovat oikeuskirjallisuuden mukaan hakemusten lisäksi muun muassa selvitykset, esitykset tai vaatimukset (Mäenpää 2021: Hallintolaki ja hyvän hallinnon takeet, 6. uudistettu painos. Edita, s. 139). Jos siis Liikenne- ja viestintävirastolle tulisi ratkaistavaksi yleisen tietosuoja-asetuksen tulkintaan liittyvä kysymys, asia tulisi siirtää toimivaltaiselle viranomaiselle eli tietosuojavaltuutetulle. Tältä osin Suomessa asia hoidettaisiin asian siirtämisellä eikä esimerkiksi johdanto-osan 44 ja 51 perustelukappaleessa esiin tuodulla mahdollisuudella pyytää lausunto tai päätös tietosuojaviranomaiselta.
Viranomainen ei kuitenkaan voi suoraan siirtää asiaa toiselle viranomaiselle, jos (myös) sillä itsellään on toimivalta käsitellä asia (ks. Mäenpää 2021: Hallintolaki ja hyvän hallinnon takeet, 6. uudistettu painos. Edita, s. 140 ja 226). Kun datanhallinta-asetuksen rikkomiseen johtanut toimenpide tai laiminlyönti on tarkoittanut myös muun sääntelyn rikkomista, tämän muun sääntelyn suhteen toimivaltaiset viranomaiset voivat myös tutkia asiaa oman sääntelynsä näkökulmasta. Tutkiminen olisi kuitenkin tehtävä yhteistyössä. Oikeuskirjallisuudessa on katsottu, että ”jos toimivallasta syntyy epäselvyyttä useiden viranomaisten välillä, joustavin menettely on, että viranomaiset pyrkivät keskenään neuvotellen selvittämään epäselvyyden” (Mäenpää 2021: Hallintolaki ja hyvän hallinnon takeet, 6. uudistettu painos. Edita, s. 141). Tässä yhteistyössä voitaisiin arvioida, minkä sääntelyn ja viranomaisen keinoin valvontaa on syytä tehdä.
Viranomaisten välisiä neuvotteluja valvontavaltuuksien käyttämisestä käydään jo nyt. Viestintäpalvelulain 308 §:ään sisältyy säännös eri viranomaisten yhteistyöstä mainitun lain mukaisia tehtäviä hoitaessa. Viranomaiset tekevät yhteistyötä jo nyt myös esimerkiksi kuluttajaoikeudellisten kysymysten kanssa. Lisäksi kuluttajan oikeuksien sääntelyssä on jo nyt yleissääntelyä ja erityissääntelyä omine valvontaviranomaisineen. Tällöin toimivaltakysymykset voivat ratketa sillä, että erityislainsäädäntö valvovine viranomaisineen saa etusijan suhteessa yleislainsäädäntöön. Viranomaisyhteistyössä on kuitenkin otettava huomioon muun muassa hyvän hallinnon vaatimukset, hallinnon lakisidonnaisuus sekä oikeusturvanäkökulmat. Tilanteesta riippuen perusteltua voi esimeriksi olla, että asiakirjan siirron ohella tehdään päätös asian tutkimatta jättämisestä (ks. KHO 2012:7).
Yhteistyövelvoite tulee suoraan datanhallinta-asetuksesta. Datanhallinta-asetuksen yhteistyövelvoite koskee Suomessa ainakin tietosuojavaltuutettua, Liikenne- ja viestintävirastoa, Kilpailu- ja kuluttajavirastoa sekä kuluttaja-asiamiestä. Kansallisen liikkumavaran piiriin kuitenkin jää, miten yhteistyö järjestetään (ks. myös asia C‑5/22 Green Network SpA, 26 kohta). Yhteistyön voisi ajatella tarkoittaa pitkälti samaa kuin hallintolain 10 §:n viranomaisten yhteistyön. Säännöskohtaisten perusteluiden mukaan sillä tarkoitetaan muun muassa hallintoasian selvittämisen ja ratkaisemisen kannalta tarpeellisten lausuntojen ja selvitysten antamista, viranomaisten välisiä neuvotteluja ja toisten viranomaisten käytäntöjen seuraamista (HE 72/2002 vp, s. 60 ja 61). Yhteistyön tarkemmasta sisällöstä ei siten ole tarve säätää erikseen.
Hallintolain mukainen yhteistyövelvoite ei vaikuta asioiden salassapitoon. Eri viranomaisilla on kuitenkin jo säädetty tietojensaantioikeudet tehtäviensä hoitamiseksi. Tässä yhteydessä keskeinen sääntely olisi viestintäpalvelulain 318 § (ks. myös tietosuojalain 18 §, kilpailulain (948/2011) 39 § sekä kuluttajansuojaviranomaisten eräistä toimivaltuuksista annetun lain (566/2020) 7 §). Mainitun pykälän nojalla Liikenne- ja viestintäministeriöllä, Liikenne- ja viestintävirastolla, tietosuojavaltuutetulla, Kilpailu- ja kuluttajavirastolla, markkinavalvonta- ja tuoteturvallisuusviranomaisilla sekä Kansallisella audiovisuaalisella instituutilla on salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toisilleen, jos se on näille säädettyjen tehtävien hoitamiseksi välttämätöntä.
Viranomaisille on paikoin säädetty erinäisistä kuulemis- ja tiedottamisvelvollisuuksia, mutta vastaavien velvoitteiden säätäminen ei näyttäydy toistaiseksi perustellulta, kun valvottavien ja valvontatoimenpiteiden määrän voidaan tässä vaiheessa arvioida maltilliseksi.
Yhteistyövelvoite ilmenee käytännössä eri tavoin. Yhteistyön muodot ja tavat riippuvat myös siitä, miten datan välityspalveluita aletaan tarjota ja mikä tarve yhteistyölle on. Yleisellä tasolla viranomaisilla voi esimerkiksi keskenään olla asiantuntija- tai johtotason ajankohtaispalavereita joko säännöllisesti tai tarpeen mukaan. Niissä yhteyksissä Liikenne- ja viestintäviraston olisi esimerkiksi luontevaa kertoa Euroopan datainnovaatiolautakunnan työn etenemisestä ja datanhallinta-asetuksen soveltamiskäytännöstä. Vastaavasti muut viranomaiset voisivat kertoa oman toimialansa kehityksestä siltä osin kuin sillä voi olla vaikutusta datanhallinta-asetuksen valvontaan. Tietosuojavaltuutetun toimisto voisi esimerkiksi kertoa henkilötieto-käsitteen taikka sisäänrakennetun ja oletusarvoisen tietosuojan periaatteen mahdollisesta tulkinkäytännöstä. Vaihdettujen tietojen perusteella voitaisiin pyytää lisätietoja tai jatkaa keskusteluja tarpeen mukaan. Näin voi etenkin olla niiden datanhallinta-asetuksen vaatimusten osalta, jotka voivat olla osittain päällekkäisiä tietosuoja-asetuksen kanssa.
Yhteistyötä voidaan tehdä myös operatiivisemmalla tasolla. Operatiivisella tasolla on kuitenkin erityisesti kiinnitettävä huomiota edellä kuvattuun salassapidosta. Toisaalta tilastotiedot esimerkiksi tietyn asiaryhmän kasvusta ovat lähtökohtaisesti julkisia. Jos tietosuojavaltuutetun toimistoon tulisi esimerkiksi datanvälityspalvelun tarjoajilta useita ennakkokuulemispyyntöjä, se voisi tiedottaa siitä Liikenne- ja viestintävirastoa. Näin Liikenne- ja viestintävirasto voisi valmistautua omien tehtäviensä kasvuun. Niin ikään tieto asian vireille tulosta viranomaisessa on lähtökohtaisesti julkinen. Jos on esimerkiksi epäselvää, onko kyseisessä tapauksessa kyse henkilötietojen käsittelystä, Liikenne- ja viestintävirasto ja tietosuojavaltuutetun toimisto voisivat keskustella henkilötieto-käsitteen tulkinnasta ennen asian (osittaista) siirtoa. Vastaavasti jos tietosuojavaltuutetun toimistossa on epäselvyyttä siitä, onko kyse datan välityspalvelusta, se voisi keskustella datan välityspalvelun määritelmästä Liikenne- ja viestintäviraston kanssa. Puolestaan jos samoja tosiseikkoja koskeva valvonta-asia on vireillä kahdessa viranomaisessa, salassa pidettävien tietojen vaihtaminen voi olla esimerkiksi viestintäpalvelulain 318 §:n 1 momentin mukaisesti välttämätöntä, jotta viranomaiset pystyvät hoitamaan tehtäväänsä ja ottamaan huomioon jäljempänä kuvatun kaksoisrangaistavuuden kiellon vaikutukset esimerkiksi menettelyjen yhteensovittamiseen sekä seuraamusmaksun määrään.
Viranomaisten yhteistyölle perustuvaa datanhallinta-asetuksen pääsääntöä vaikuttaa kuitenkin olevan tarpeen nyansoida tietosuojaviranomaisen osalta. Nimittäin datanhallinta-asetuksen 1 artiklan 3 kohdan mukaan asetus ei etenkään rajoita tietosuojasääntelyn soveltamista, mukaan lukien valvontaviranomaisten valtuuksien ja toimivallan osalta. Jos datanhallinta-asetuksen säännökset ovat ristiriidassa henkilötietojen suojaa koskevan sääntelyn kanssa, olisi sovellettava asiaan kuuluvaa henkilötietojen suojaa koskevaa unionin oikeutta tai kansallista lainsäädäntöä. Mahdollisten päällekkäisten vaatimusten suhdetta ei ole asetuksessa selvennetty. Tietosuojasääntelyn ensisijaisuus lienee mahdollista huomioida valvontaa ohjaavana periaatteena siten, että lähdettäisiin sen arvioinnista, täyttääkö toiminta tietosuojasääntelyn edellytykset, ja vasta tämän jälkeen arvioitaisiin yleisluonteisempia datanhallinta-asetuksen mukaisten velvoitteiden täyttymistä.
Datanhallinta-asetuksen johdanto-osan 4 perustelukappaleessa on selvennetty, että jos asetuksen mukaisina toimivaltaisina viranomaisina toimii muita viranomaisia kuin tietosuojaviranomainen, ne eivät saisi toimiessaan näin rajoittaa yleisen tietosuoja-asetuksen mukaisten tietosuojaviranomaisten valvontavaltuuksia. Edelleen johdanto-osan 35 perustelukappaleen mukaan datanhallinta-asetus ei saisi vaikuttaa datan välityspalvelujen tarjoajien velvoitteeseen noudattaa yleistä tietosuoja-asetusta eikä valvontaviranomaisten velvollisuuteen varmistaa kyseisen asetuksen noudattaminen.
Näin ollen datanhallinta-asetuksen mukaisen toimivaltaisen viranomaisen ei tulisi toiminnallaan rajoittaa tietosuojaviranomaisen toimivaltaa. Kaikki henkilötietojen käsittelyyn liittyvät kysymykset tulisi saattaa tietosuojavaltuutetun toimiston arvioitaviksi. Koska eri viranomaisten toimivalta perustuu eri säädöksiin, toimivallat eivät de jure rajoita toisiaan. Pelkästään se, että kaksi viranomaista selvittää samaa asiaa oman toimivaltansa näkökulmasta, ei johda toimivallan rajoituksiin. Sen sijaan seuraamusten asettaminen voi de facto rajoittaa toisen viranomaisen mahdollisuutta käyttää toimivaltuuksiaan. Tämä johtuu kaksoisrangaistavuuden kiellosta. Sitä on selitetty seuraavasti: ”Kaksoisrangaistavuuden kielto kattaa myös samaa tekoa koskevat rangaistusluonteiset hallinnolliset seuraamukset. [--] Kaksoisrangaistavuuden kielto ei sen sijaan estä määräämästä hallinnollista sanktiota muiden, rangaistusluonteisuutta vailla olevien hallinnollisten seuraamusten ohella. Kaksoisrangaistavuuden kielto ei siten estä esimerkiksi elinkeinoluvan peruuttamista sillä perusteella, että luvanhaltija on toiminut elinkeinoa koskevan sääntelyn vastaisesti ja siitä on määrätty seuraamusmaksu.” (Rangaistusluonteisia hallinnollisia seuraamuksia koskevan sääntelyn kehittäminen. Työryhmän mietintö. Oikeusministeriön julkaisuja, Mietintöjä ja lausuntoja 52/2018, s. 32 ja 34.) Myöskään uhkasakon asettamista ja velvoitteen jäätyä noudattamatta uhkasakon tuomitsemista maksettavaksi, ei ole tarkoitettu rangaistusluonteiseksi seuraamukseksi (KHO 2016:96).
Kaksoisrangaistavuuden kielto olisi otettava huomioon valvontatoimenpiteissä. Näin olisi etenkin silloin, kun seuraamusmaksua oltaisiin määräämässä. Näin olisi etenkin tilanteessa, jossa voitaisiin tosiasiallisesti rajoittaa tietosuojavaltuutetun toimivaltaa. Myös luonteeltaan rikosoikeudellisten menettelyjen aloittaminen voi sellaisenaan kuulua kaksoisrangaistavuuden kiellon soveltamisalaan riippumatta siitä, johtaako menettely tosiasiallisesti seuraamuksen määräämiseen (asia C-151/20 Nordzucker, 63 kohta).
Unionin tuomioistuimen ratkaisujen perusteella kaksoisrangaistavuuden kielto ei kuitenkaan aina ole esteenä sille, että eri viranomaiset määräävät seuraamusmaksuja samojen tosiseikkojen perusteella eri säädösten perusteella. Näin on ainakin kilpailuoikeuden saralla (asiat C-117/20 bpost sekä C-151/20 Nordzucker). Kaksoisrangaistavuuden kielto ei ollut esteenä sille, että oikeushenkilölle määrätään sakko unionin kilpailuoikeuden rikkomisesta, kun kyseisen henkilön osalta on samojen tosiseikkojen perusteella jo tehty lopullinen päätös kyseessä olevien markkinoiden vapauttamiseen tähtäävän alakohtaisen säännöstön rikkomista koskevan menettelyn päätteeksi, edellyttäen, että on olemassa selkeitä ja täsmällisiä sääntöjä, joiden perusteella voidaan ennakoida, mitkä toimet ja laiminlyönnit voivat olla menettelyjen ja seuraamusten päällekkäisyyden sekä kahden toimivaltaisen viranomaisen välisen yhteensovittamisen kohteena, että molemmat menettelyt on toteutettu riittävän yhteensovitetusti ja ajallisesti lähellä toisiaan ja että määrättyjen seuraamusten kokonaisuus vastaa rikkomisten vakavuutta (asia C-117/20 bpost, 58 kohta). Lisäksi kaksoisrangaistavuuden kielto ei ollut esteenä sille, että jäsenvaltion kilpailuviranomainen toteuttaa yritystä koskevan menettelyn tai määrää sille mahdollisesti sakon SEUT 101 artiklan ja vastaavien kansallisen kilpailuoikeuden säännösten rikkomisesta sellaisen käyttäytymisen perusteella, jolla on ollut kilpailua rajoittava tarkoitus tai vaikutus tämän jäsenvaltion alueella, vaikka toisen jäsenvaltion kilpailuviranomainen on jo maininnut tämän käyttäytymisen SEUT 101 artiklan ja tämän toisen jäsenvaltion kilpailuoikeuden vastaavien säännösten rikkomista koskevan menettelyn päätteeksi kyseisen yrityksen osalta tekemässään lopullisessa päätöksessä, kunhan tämä päätös ei perustu toteamukseen kilpailua rajoittavasta tarkoituksesta tai vaikutuksesta ensin mainitun jäsenvaltion alueella (asia C-151/20 Nordzucker, 58 kohta).
Datanhallinta-asetuksen yhteydessä kaksoisrangaistavuuden kiellon soveltumista tulee harkita etenkin silloin, kun valvonnan kohteena on datan välityspalvelu, kyse on henkilötietojen käsittelystä ja datan välityspalvelun tarjoajan epäillään rikkoneen edellä mainittuja datanhallinta-asetuksen tai yleisen tietosuoja-asetuksen säännöksiä. Tapauskohtaisesti on silloin varmistuttava, että viranomaisten vireille panemilla menettelyillä pyritään toisiaan täydentäviin päämääriin, jotka liittyvät kyseessä olevan saman rangaistavan teon eri ulottuvuuksiin (asia C-117/20 bpost, 50 kohta). Unionin tuomioistuimen ratkaisuissa ei kuitenkaan ole täsmällisiä vaatimuksia viranomaisten toiminnalle. Ratkaisukäytännön mahdollinen kehittyminen on kuitenkin otettava huomioon. Käytännön näkökulmasta merkitystä on ollut sillä, ovatko päällekkäiset seuraamukset olleet ennakoitavia ja onko molemmat menettelyt toteutettu riittävän yhteensovitetusti ja ajallisesti lähellä toisiaan (asia C-117/20 bpost, 51 ja 55 kohta; ks. myös A ja B v. Norja [GC], nrot. 24130/11 ja 29758/11, § 130, 15.11.2016). Eri oikeudellisista keinoista yhdessä ei kuitenkaan saa aiheutua asianomaiselle henkilölle kohtuutonta rasitetta (mukaan lukien ensimmäisen seuraamuksen huomioiminen toista määrättäessä) ja määrättyjen seuraamusten kokonaismäärän on vastattava rikkomisten vakavuutta (asia C-117/20 bpost, 49 ja 51 kohta).
3.4
Valitusoikeus ja muutoksenhaku
Datanhallinta-asetuksen 27 artiklan 1 kohdan mukaan luonnollisilla henkilöillä ja oikeushenkilöillä on oltava oikeus tehdä asianomaiselle datan välityspalvelujen suhteen toimivaltaiselle viranomaiselle yksin tai tapauksen mukaan kollektiivisesti valitus datan välityspalvelujen tarjoajasta tai data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisille viranomaisille tunnustetusta data-altruismipohjaisesta organisaatiosta missä tahansa tämän asetuksen soveltamisalaan kuuluvassa asiassa. Artiklan 2 kohdan mukaan datan välityspalvelujen suhteen toimivaltaisen viranomaisen tai data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisen viranomaisen, jolle valitus on jätetty, on ilmoitettava valituksen tekijälle valituksen käsittelyn etenemisestä ja siitä tehdystä päätöksestä sekä 28 artiklassa säädetyistä oikeussuojakeinoista. Asetuksen vaatimukset eivät edellyttäisi säädösmuutoksia.
Vaikka artiklan 1 kohdassa käytetään valitus-käsitettä, tässä yhteydessä kansallisesti olisi kyse valvontailmoituksesta (viranomaiselle osoitettu pyyntö selvittää väitetty lainvastainen menettely) eli hallintoasiasta. Lisäsääntely ei vaikuta olevan välttämätöntä: Hallintolain 19 §:n mukaan asia pannaan vireille ilmoittamalla vaatimukset perusteineen. Valvonta-asioiden käsittelystä Liikenne- ja viestintävirastossa on erityissääntelyä viestintäpalvelulain 313 §:ssä. Sen 1 momentin mukaan Liikenne- ja viestintävirasto voi ottaa asian tutkittavakseen asianosaisen tai 22 a luvussa tarkoitetuissa asioissa myös sellaisen muun tahon pyynnöstä, jolla on asiassa oikeutettu intressi, sekä omasta aloitteestaan. Suomessa ei ole käytössä ryhmävalitusta. Useat valitukset on kuitenkin mahdollista käsitellä yhdessä hallintolain 25 §:n perusteella. Asian ratkaisu tehdään kirjallisesti (hallintolain 43 §) ja siihen on myös liitettävä oikaisuvaatimusohje tai valitusosoitus (hallintolain 46 ja 47 §). Muulla kuin asianosaisella ei ole valitusoikeutta viranomaisen päätöksestä, mistä muulle kuin asianosaiselle on tarvittaessa kerrottava.
Artiklan 2 kohdassa säädetään valituksen tekijän tiedottamisesta. Datanhallinta-asetuksen vaatimukset täyttyisivät tältäkin osin jo nykysääntelyn perusteella: Kun valvontailmoitus tehdään, viranomainen selvittää ilmoituksen tekijän asianosaisaseman. Asianosaisella on hallintoasian käsittelyssä hallintolaissa säädetyt oikeudet. Jos muu kuin asianosainen on yhteydessä toimivaltaiseen viranomaiseen datanhallinta-asetuksen rikkomisesta, asia tulee vireille valvontailmoituksena. Hyvän hallinnon periaatteiden ja palveluperiaatteen nojalla (hallintolain 7 ja 8 §) asiallisiin tiedusteluihin esimerkiksi käsittelyn tilanteesta on vastattava. Lisäksi on mahdollista tehdä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) mukainen asiakirjapyyntö.
Datanhallinta-asetuksen 28 artiklan 1 kohdan mukaan sen estämättä, mitä hallinnollisista tai muista tuomioistuimen ulkopuolisista oikeussuojakeinoista säädetään, luonnollisilla henkilöillä ja oikeushenkilöillä, joita asia koskee, on oltava oikeus tehokkaisiin oikeussuojakeinoihin 14 artiklassa tarkoitetuissa datan välityspalvelujen suhteen toimivaltaisten viranomaisten oikeudellisesti sitovissa päätöksissä, jotka on tehty osana datan välityspalvelujen tarjoajia koskevan ilmoitusjärjestelmän hallinnointia, valvontaa ja täytäntöönpanoa sekä 19 ja 24 artiklassa tarkoitetuissa data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisten viranomaisten oikeudellisesti sitovissa päätöksissä, jotka on tehty osana tunnustettujen data-altruismipohjaisten organisaatioiden seurantaa. Artiklan 2 kohdan mukaan artiklan mukaiset kanteet on nostettava yksin tai tapauksen mukaan yhden tai useamman luonnollisen henkilön tai oikeushenkilön edustajien toimesta sen jäsenvaltion tuomioistuimissa, jossa kanteen kohteena oleva datan välityspalvelujen suhteen toimivaltainen viranomainen tai data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltainen viranomainen sijaitsee.
Viranomaisten päätöksistä valittamisessa on Suomessa kyse hallintoprosessista. Valitusoikeus on asianosaisilla tai sillä, jonka valitusoikeudesta laissa erikseen säädetään. Vaikka kohdassa käytetään kanne-käsitettä, asia saatetaan Suomessa vireille valituksella eikä kanteella. Oikeudenkäynnistä hallintoasioissa annettu laki (808/2019) sisältää muutoksenhakua koskevan perussääntelyn. Muutoksenhausta on viestintäpalvelulain 344 §:ssä informatiivinen viittaus kyseiseen lakiin. Mainitussa pykälässä säädetään myös mahdollisuudesta määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää. Pääsääntönä kuitenkin on ollut, että seuraamusmaksun määräävän viranomaisen päätös olisi täytäntöönpanokelpoinen vasta lainvoimaisena. Nyt ehdotetun seuraamusmaksun täytäntöönpanokelpoisuus olisi tarkoituksenmukaista järjestää pääsäännön mukaisesti.
Jos muutoksenhakukeinona halutaan käyttää kansallisesti ensin oikaisuvaatimusta hallintolain 7 a luvun mukaisesti, tästä olisi säädettävä kansallisesti. Tarkoituksena on, että oikaisuvaatimus olisi muutoksenhaun ensi vaiheena mahdollisimman laajasti. Oikaisumenettely ei kuitenkaan luontevasti sovellu seuraamusmaksuihin. Sen sijaan oikaisumenettely soveltuisi siihen, kun Liikenne- ja viestintävirasto tekisi päätöksen siitä, rekisteröikö se toimijan tunnustetuksi data-altruismipohjaiseksi organisaatioksi (asetuksen 19 artiklan 5 kohta). Oikaisumenettely voitaisiin ottaa käyttöön muuttamalla viestintäpalvelulain 342 §:n 2 momenttia. Kyseisessä lainkohdassa säädetään jo oikaisumenettelyn käyttämisestä eräissä viestintäpalvelulain mukaisissa päätöksissä.
Artiklan 3 kohdan mukaan, jos datan välityspalvelujen suhteen toimivaltainen viranomainen tai data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltainen viranomainen ei ryhdy toimiin valituksen perusteella, kaikilla luonnollisilla henkilöillä ja oikeushenkilöillä, joita asia koskee, on kansallisen lainsäädännön mukaisesti oltava joko oikeus tehokkaisiin oikeussuojakeinoihin tai mahdollisuus hakea muutosta puolueettomalta elimeltä, jolla on asianmukainen asiantuntemus. Valitus-sana viittaa tässä yhteydessä edellä käsiteltyyn 27 artiklan mukaiseen tilanteeseen eli Suomessa valvontailmoitukseen. Niin kutsuttua viivästysvalitusta Suomen lainsäädäntö ei tunne. Suomessa oikeussuojakeinona onkin viivästystilanteissa kanteleminen ylimmille laillisuusvalvojille tai hallintolain 8 a luvun mukainen hallintokantelu toimintaa valvovalle viranomaiselle.