7.1
Lag om tillsyn över förvaltningen och delningen av data
1 kap. Allmänna bestämmelser
1 §.Lagens syfte och tillämpningsområde.
Det föreslås att det ska stiftas en lag om tillsyn över förvaltningen och delningen av data. Eftersom det är fråga om en helt ny lag föreslås det att i 1 § för tydlighetens skull tas in en bestämmelse om lagens syfte. Lagens syfte är att komplettera Europaparlamentets och rådets förordning (EU) 2023/2854 om harmoniserade regler för skälig åtkomst till och användning av data och om ändring av förordning (EU) 2017/2394 och direktiv (EU) 2020/1828 (dataförordningen).
Avsikten är att lagen med syftet att harmonisera regleringshelheten om data i fortsättningen innehåller också de i Europaparlamentets och rådets förordning (EU) 2022/868 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten) ingående bestämmelser som förutsätter kompletterande reglering och som redan tidigare har antagits som en del av lagen om tjänster inom elektronisk kommunikation (RP 50/2023 rd). Bestämmelserna i fråga överförs enligt förslaget från lagen om tjänster inom elektronisk kommunikation i princip med oförändrat innehåll till den nya lag som nu föreslås. De behöriga myndigheter som nämns i artikel 7 och 8 i dataförvaltningsakten har utsetts genom finansministeriets förordning om produktion av vissa av förvaltningens gemensamma stödtjänster för e-tjänster (900/2023), och i detta sammanhang föreslås ingen ändring på denna punkt.
Den nationella lag som kompletterar förordningen tillämpas i regel i enlighet med tillämpningsområdena för förordningarna. Tillämpningen av dataförordningen grundar sig på de aktörsroller som anges i förordningen och dessutom föreskrivs det i förordningens kapitel V om en särskild rätt för organ inom den offentliga sektorn att få data av den privata sektorn på grund av ett exceptionellt behov. Artikel 1.6 i förordningen innehåller också tillämpningsbegränsningar till exempel i anslutning till branscher som inte hör till unionens befogenhet. Förordningen påverkar inte medlemsstaternas befogenheter i fråga om allmän säkerhet, försvar eller nationell säkerhet, oavsett vilken typ av enhet som medlemsstaterna har anförtrott att utföra uppgifter inom ramen för dessa befogenheter. Förordningen påverkar inte heller medlemsstaternas befogenheter i fråga om tull- och skatteförvaltning eller medborgarnas hälsa och säkerhet. Med offentliga organ avses enligt artikel 2 i dataförordningen medlemsstaternas nationella, regionala eller lokala myndigheter och medlemsstaternas offentligrättsliga organ, eller sammanslutningar som bildats av en eller flera sådana myndigheter eller ett eller flera sådana organ.
I artikel 1 i dataförvaltningsakten föreskrivs det om förordningens innehåll och tillämpningsområde. Enligt artikel 1.1 fastställs bestämmelser om a) villkoren för vidareutnyttjande inom unionen av vissa kategorier av data som innehas av offentliga myndigheter (kapitel II), b) en ram för anmälan av och tillsyn över tillhandahållandet av dataförmedlingstjänster (kapitel III), c) en ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål (kapitel IV) och d) en ram för inrättandet av en europeisk datainnovationsstyrelse (kapitel VI). Bestämmelser om utnyttjande av data finns redan i flera andra EU-rättsakter. Därför innehåller artikel 1.2–5 bestämmelser om förordningens förhållande till annan reglering. Förordningen begränsar inte till exempel tillämpningen av dataskyddslagstiftningen eller konkurrenslagstiftningen. Med offentliga organ avses enligt artikel 2 i dataförvaltningsakten statliga, regionala eller lokala myndigheter, medlemsstaternas offentligrättsliga organ eller sammanslutningar som bildats av en eller flera sådana myndigheter eller ett eller flera offentligrättsliga organ. I fråga om dataförvaltningsakten omfattar propositionen inte kapitel II i akten eller de anknytande myndighetsuppgifterna (se avsnitt 3.1.2 och 12.5.1).
I den nya lag som föreslås föreskrivs det om Transport- och kommunikationsverkets tillsynsbefogenheter. Grundlagsutskottet har i sin utlåtandepraxis betraktat det som problematiskt att riksdagsarbetet skulle stå under extern tillsyn. Grundlagsutskottet har också ansett att riksdagens kansli och delvis också dess ämbetsverk är en del av riksdagsorganisationen. Tillsynen över de högsta laglighetsövervakarna har för sin del med stöd av grundlagen ansetts höra till riksdagen och dess grundlagsutskott.
Dataförordningens och dataförvaltningsaktens artiklar om tillämpning tar inte ställning till om förordningen ska tillämpas också på riksdagens eller de högsta laglighetsövervakarnas verksamhet. Vid beredningen av propositionen har man inte kunnat utesluta att riksdagen, dess ämbetsverk eller de högsta laglighetsövervakarna i framtiden kan verka åtminstone som dataanvändare i den bemärkelse som dataförordningen avser, och dataanvändare omfattas av förordningens tillämpningsområde. På motsvarande sätt kan de anses ingå i dataförordningens rätt breda definition av offentligt organ. En myndighet kan inte verka som en sådan leverantör av dataförmedlingstjänst som avses i dataförvaltningsakten. Däremot kan också en myndighet bedriva motsvarande verksamhet som den dataaltruismorganisation som definieras i datahanteringsförordningen. En sådan sammanslutnings verksamhet omfattas emellertid inte automatiskt av myndighetstillsyn, utan det kräver registrering enligt förordningen, som sammanslutningar kan ansöka om på frivillig basis. (Se avsnitt 12.5.1 om definitionen av förmedlingstjänst och registrering av en dataaltruismorganisations verksamhet.)
På grund av grundlagsutskottets observationer om riksdagen har man stannat för att begränsa tillämpningsområdet för lagen så att riksdagsarbetet och riksdagens kansli inte omfattas av lagens tillämpningsområde. Riksdagens övriga ämbetsverk omfattas av den föreslagna lagens tillämpningsområde under vissa förutsättningar. Från tillämpningsområdet för den föreslagna lagen utesluts också de högsta laglighetsövervakarna. Uteslutandet av riksdagsarbetet, riksdagens ämbetsverk och de högsta laglighetsövervakarna från den föreslagna lagens tillämpningsområde behandlas närmare i avsnitt 12 i samband med motiveringen till lagstiftningsordningen.
Enligt
2 mom.
tillämpas lagen i regel i enlighet med tillämpningsområdet för de förordningar som sätts i kraft. Lagen ska enligt förslaget ändå inte tillämpas på riksdagsarbetet och inte heller på riksdagens kansli. Lagen tillämpas inte på riksdagens övriga ämbetsverk om den verksamhet som omfattas av de nämnda förordningarna har en central koppling till riksdagsarbetet.
Bestämmelser om definitionen av riksdagens ämbetsverk finns i lagen om riksdagens tjänstemän (1197/2003). Enligt 2 § 2 mom. i den lagen är riksdagens ämbetsverk riksdagens kansli och riksdagens justitieombudsmans kansli samt statens revisionsverk och forskningsinstitutet för internationella relationer och EU-frågor, som båda finns i anknytning till riksdagen. Forskningsinstitutet använder namnet Utrikespolitiska institutet. Riksdagens bibliotek har sedan 2001 hör till riksdagens kansli. Riksdagens ämbetsverk kan ha kopplingar av olika grad till riksdagsarbetet. Den ”centrala koppling till riksdagsarbetet” som ingår i den föreslagna bestämmelsen ska bedömas från fall till fall avseende vart och ett av riksdagens ämbetsverk. Till exempel Utrikespolitiska institutets verksamhet har inte i varje situation någon central koppling till riksdagsarbetet. Den föreslagna bestämmelsen innebär tillsammans med bestämmelsen om påförande av påföljdsavgifter (22 § i det första lagförslaget) att påföljdsavgifter inte kan påföras riksdagens ämbetsverk. Däremot kan ämbetsverken i fråga bli föremål för andra tillsynsåtgärder till den del som de omfattas av lagens tillämpningsområde.
Det föreslås dessutom att det i 2 mom. föreskrivs att lagen inte ska tillämpas på riksdagens justitieombudsman och inte heller på justitiekanslern i statsrådet. Den föreslagna bestämmelsen innebär att riksdagens justitieombudsman och justitiekanslern i statsrådet inte kan bli föremål för tillsyn av myndigheter på lägre nivå än de högsta laglighetsövervakarna eller för påföljder som dessa förordnar. Riksdagens justitieombudsman och justitiekanslern i statsrådet ska emellertid anses höra till tillämpningsområdet för dataförordningen och således omfattas av kraven i förordningen, om de verkar i en roll som hör till förordningens tillämpningsområde (se FvUB 13/2018 s. 36 i samband med antagandet av dataskyddslagen).
I 3
mom.
infogas för tydlighetens skull en informativ hänvisning till lagstiftningen om företagshemligheter, eftersom frågor som gäller företagshemligheter är relevanta på många sätt med tanke på dataförordningen. Relationerna mellan regleringarna har förtydligats redan i dataförordningen och därmed har det i den här lagen ansetts behövligt att ta in endast en informativ hänvisning. I dataförordningen anges att ”i denna förordning krävs att datahållare röjer vissa data för användarna, eller för de tredje parter som väljs av en användare, även när dessa data uppfyller kraven för skydd i egenskap av företagshemligheter; den bör dock tolkas på ett sådant sätt att skyddet för företagshemligheter enligt direktiv (EU) 2016/943 bevaras.” Data som delas med stöd av dataförordningen kan således innehålla data som ska betraktas som företagshemligheter, men konfidentialiteten i sådana data ska respekteras.
Dessutom föreslås 4
mom.
innehålla en informativ hänvisning till lagen om säkerställande av bevisning i tvistemål som gäller immateriella rättigheter, som tillämpas i ärenden som gäller antingen ersättande av skada som baserar sig på att en sådan företagshemlighet eller teknisk anvisning som avses i lagen om företagshemligheter obehörigen har utnyttjats eller röjts eller meddelande av ett förbud som avses i 8 § i lagen om företagshemligheter. Lagen i fråga tillämpas inte på interimistiska förbud som avses i 9 § i lagen om företagshemligheter.
2 §. Datasamordnare och andra behöriga myndigheter.
Paragrafen föreslås innehålla bestämmelser om myndigheter som är behöriga i Finland med tanke på dataförordningen och dataförvaltningsakten. Dataförordningen förutsätter att om en medlemsstat utser mer än en behörig myndighet ska den bland dem utse en datasamordnare för att underlätta samarbetet mellan de behöriga myndigheterna och bistå dem i frågor som rör förordningen.
I 1
mom.
föreslås det att Transport- och kommunikationsverket ska vara den datasamordnare som avses i artikel 37 i dataförordningen. Ämbetsverket ansvarar i Finland för de uppgifter som i artikeln föreskrivs för datasamordnaren. Ämbetsverket är på den grunden bland annat gemensam kontaktpunkt i alla frågor som gäller tillämpning av förordningen.
Enligt 2
mom.
ansvarar Transport- och kommunikationsverket för tillsynen om det inte är fråga om en uppgift som enligt 3 § hör till konsumentombudsmannens behörighet. Utöver de uttryckliga tillsynsuppgifterna föreskrivs det i 3 § att Konkurrens- och konsumentverket ska öka datakompetensen bland konsumenter i enlighet med artikel 37.5 i dataförordningen. De tre myndigheterna är behöriga myndigheter i Finland i fråga om förordningen.
I 3
mom.
föreskrivs det om Transport- och kommunikationsverkets andra uppgifter enligt artikel 37 i dataförordningen förutom tillsyn. Transport- och kommunikationsverket ska öka den i artikel 37.5 a i dataförordningen avsedda datakompetensen hos företag och sammanslutningar, medan Konkurrens- och konsumentverket enligt 3 § ansvarar för att öka datakompetensen hos konsumenter. Trafik- och kommunikationsverket ska också öka den i artikel 37.5 e i dataförordningen avsedda utveckling som är relevant för tillgängliggörande och användning av data.
Enligt artikel 37.5 i dataförordningen ska medlemsstaterna säkerställa att uppgifterna och befogenheterna för de behöriga myndigheterna är tydligt definierade och omfattar bland annat de uppgifter som uppräknas i 5 punkten. Eftersom det inte direkt hör till ämbetsverkets tillsynsuppgifter enligt artikel 37.5 i dataförordningen och 2 mom. i den här paragrafen att främja datakompetensen eller följa utvecklingen i anslutning till tillgängliggörandet och användningen av data måste det föreskrivas separat om detta. Vidare ska det föreskrivas om andra uppgifter i förteckningen i artikel 37.5 som inte anses höra till tillsynsuppgifterna införs enligt förslaget antingen som direkt tillämpliga bestämmelser annanstans i förordning eller i denna lag. Bestämmelser om artikel 37.5 f–h införs i paragraferna om samarbete mellan myndigheterna och bestämmelser om påföljder enligt artikel 37.5 d införs i 10–12 § och 13–22 § i den föreslagna lagen. Förpliktande bestämmelser om uppgiften enligt artikel 37.5 j finns redan i artikel 22 i den förordningen. Ytterligare föreslås led b, c och i omfattas av tillsynsuppgiften. Dessutom föreskrivs det i 7 § i den föreslagna lagen om de undersökningar som avses i led c och om det samarbete som avses i led f.
I
4 mom.
föreslås det att Transport- och kommunikationsverket i enlighet med artikel 10.5 i dataförordningen ska certifiera de organ för tvistlösning utanför domstol som är etablerade i Finland. I artikel 10.5 i dataförordningen förutsätts det att medlemsstaten på begäran av de tvistlösningsorgan utanför domstolarna som avses i artikel 10 ska certifiera organen. I samma punkt i förordningen föreskrivs det också om de villkor som ett tvistlösningsorgan för att kunna bli certifierat ska visa att det uppfyller. I dataförordningen anges inte till vem certifieringsuppgiften i medlemsstaten hör. Uppgiften har i Finland ansetts lämpa sig bäst för Transport- och kommunikationsverket, som utses till datasamordnare, och som redan med stöd av förordningen om digitala tjänster har en motsvarande certifieringsuppgift. Det har också i många andra medlemsstater beslutats att den certifieringsuppgift som avses i detta moment anvisas samma myndighet som den certifieringsuppgift som föreskrivs i förordningen om digitala tjänster.
I 5
mom.
föreslås det bestämmelser om den behöriga myndighetens uppgifter enligt kap. III och IV i dataförvaltningsakten, som redan nu hör till Transport- och kommunikationsverket. Transport- och kommunikationsverket föreslås också i fortsättningen vara den myndighet enligt artikel 13.1 i förordningen som har behörighet att sköta uppgifterna i anslutning till dataförmedlingstjänster samt den behöriga myndighet som avses i artikel 23.1 och som ansvarar för det offentliga nationella registret över erkända dataaltruismorganisationer. Genom paragrafen genomförs i fortsättningen de ovannämnda artiklarna.
I fråga om skyddet av personuppgifter är utgångspunkten att dataskyddsförordningen tillämpas på behandling av personuppgifter som äger rum inom ramen för dataförordningen och dataförvaltningsakten (se artikel 1.5 i dataförordningen och skäl 35 och artikel 1.3 i dataförvaltningsakten.
Dataförordningen och dataförvaltningsakten respekterar dataskyddsmyndigheternas behörighet att utöva tillsyn över efterlevnaden av bestämmelserna om skydd av personuppgifter. Dataskyddsmyndigheterna är behöriga att genomföra de skyldigheter som beror direkt på den allmänna dataskyddsförordningen (se artikel 37.3 i dataförordningen och skäl 4 och 35 samt artikel 1.3 och 13.3 i dataförvaltningsakten).
I Finland kommer dataombudsmannen att ansvara för tillsynen över tillämpningen av förordningarna i fråga om skyddet av personuppgifter och dataombudsmannen kan inom ramen för sin behörighet (skydd för personuppgifter) påföra administrativa sanktionsavgifter enligt dataskyddsförordningen för överträdelse av kapitel II, III och V i dataförordningen (artikel 40.4) samt för överträdelse av skyldigheterna enligt dataförvaltningsakten (se i fråga om dataförvaltningsakten RP 50/2023 rd). Dataombudsmannen ska också framöver avgöra ärendena med stöd av den allmänna dataskyddsförordningen och dataskyddslagen. Till exempel artiklarna 4.12, 5.8, 6.1 samt 6.2 b i dataförordningen ska anses vara sådana som dataombudsmannen kan övervaka med stöd av dataskyddsförordningen. Överträdelser av kapitel II, III och V i dataförordningen innebär emellertid inte nödvändigtvis överträdelse av dataskyddsförordningen.
Således föreslås det inte några befogenheter för dataskyddsmyndigheterna i denna lag, och denna proposition innehåller inte heller ändringar i lagstiftningen om personuppgifter.
3 §.Konsumentombudsmannens och Konkurrens- och konsumentverkets behörighet.
I paragrafen föreskrivs det om konsumentombudsmannens och Konkurrens- och konsumentverkets behörighet. Trots att konsumentombudsmannen verkar vid Konkurrens- och konsumentverket har den ändå självständig behörighet som myndighet, och enligt 2 § i lagen om Konkurrens- och konsumentverket föreskrivs det särskilt om de uppgifter inom tillsynen över efterlevnaden av lagstiftningen som ska skötas av konsumentombudsmannen.
Enligt
1 mom.
är konsumentombudsmannen den behöriga myndighet enligt artikel 37 i dataförordningen som ansvarar för tillsynen i fråga om artikel 3.2 och 3.3 i dataförordningen om det gäller situationer mellan näringsidkare och konsumenter. Enligt artikel 1.9 i dataförordningen kompletteras genom dataförordningen annan EU-reglering som har syftet att säkerställa en hög nivå av konsumentskydd i hela unionen. Konsumentombudsmannen övervakar inom ramen för sina allmänna befogenheter också efterlevnaden av den direkt tillämpliga regleringen om konsumentskyddet inom Europeiska unionen. Befogenheterna enligt den föreslagna i 3 § kompletterar konsumentombudsmannens allmänna befogenheter.
Det har ansetts att tillsynen enligt artikel 3.2 och 3.3 i dataförordningen är en lämplig uppgift för konsumentombudsmannen, som verkar vid Konkurrens- och konsumentverket, när annan EU-reglering kompletteras genom dataförordningen med syftet att säkerställa en hög nivå av konsumentskydd i unionen. Konsumentombudsmannen övervakar också inom ramen för sin allmänna behörighet direkt tillämplig reglering av konsumentskyddet i Europeiska unionen. Behörigheten enligt den föreslagna 3 § kompletterar konsumentombudsmannens allmänna behörighet när det är fråga om data som näringsidkare ska lämna till konsumenter innan avtal ingås. Konsumentombudsmannens behörighet begränsas, liksom tillämpningsområdet för konsumentskyddslagen och annan reglering som skyddar konsumenterna, till relationerna mellan näringsidkare och konsumenter, och det är motiverat att ta detta som utgångspunkt också i tillsynen över efterlevnaden av dataförordningen. I övrigt svarar Transport- och kommunikationsverket för tillsynen över efterlevnaden av dessa bestämmelser.
Enligt
2 mom
. ska Konkurrens- och konsumentverket öka datakompetensen bland konsumenter i enlighet med artikel 37.5 a i dataförordningen. Enligt 2 § 1 mom. 7 punkten i lagen om Konkurrens- och konsumentverket hör det till verkets uppgifter att sköta också andra uppgifter som det föreskrivs att verket ska sköta eller som ålagts verket. Således finns det ingen orsak att utöver det som föreskrivs i 3 § i lagen om tillsyn över förvaltningen och delningen av data separat föreskriva om uppgiften att öka konsumenternas datakompetens i lagen om Konkurrens- och konsumentverket.
Att öka datakompetensen bland konsumenterna är i förhållande till det nuvarande uppgiftsområdet en ny uppgift för Konkurrens- och konsumentverket. Även om ökande av datakompetensen i den mening som avses i dataförordningen innehållsmässigt inte motsvarar verkets nuvarande konsumentupplysning och konsumentfostran, kan det anses vara möjligt att som en del av verkets verksamhet öka datakompetensen bland konsumenter i den mening som avses i artikel 37.5 a i dataförordningen på ett ändamålsenligt sätt.
Transport- och kommunikationsverket ska enligt 2 § 3 mom. i den föreslagna lagen öka datakompetensen bland företag och enheter i enlighet med artikel 37.5 a i dataförordningen.
I
3 mom.
föreslås det en informativ hänvisning, enligt vilken det finns bestämmelser om vissa befogenheter för konsumentombudsmannen i lagen om vissa befogenheter för konsumentskyddsmyndigheterna (566/2020). Således ska det till exempel i eventuella förfaranden för påföljdsavgifter inom konsumentombudsmannens tillsyn tillämpas vad som föreskrivs om detta i den lagen. I lagen om vissa befogenheter för konsumentskyddsmyndigheterna föreslås det dessutom preciseringar, som gör att dataförordningen beaktas också som en akt som hör till tillämpningsområdet för den lagen.
I 3 mom. föreslås också en annan informativ hänvisning, enligt vilken bestämmelser om prioritetsordningen för konsumentombudsmannens uppgifter finns i lagen om Konkurrens- och konsumentverket. Enligt 7 § ska konsumentombudsmannen i fråga om konsumentärenden och konsumentombudsmannen vara verksamma i synnerhet inom de områden som har avsevärd betydelse för konsumenterna eller inom vilka det kan antas att problem som gäller konsumenternas ställning förekommer mest allmänt.
4 §. Samarbete mellan myndigheterna.
Paragrafen innehåller preciserande bestämmelser om det nationella myndighetssamarbetet i fråga om dataförordningen och denna lag. Med myndighetssamarbete avses i detta sammanhang samarbete med andra myndigheter än de som är behöriga myndigheter i fråga om dataförordningen.
Enligt 1
mom.
ska Transport- och kommunikationsverket, konsumentombudsmannen och Konkurrens- och konsumentverket vid skötseln av uppgifter enligt dataförordningen och enligt denna lag samarbeta med dataombudsmannen och andra relevanta myndigheter. Bestämmelsen behövs med tanke på genomförandet av artikel 37.5 g och 37.5 h i dataförordningen, som gäller samarbete mellan myndigheterna, eftersom 5 punkten inte är direkt tillämplig. Däremot är artikel 37.2, som gäller samarbete mellan nationella behöriga myndigheter, direkt tillämplig. Således är det inte möjligt att föreskriva nationellt om samarbetet mellan behöriga myndigheter, men momentet gäller samarbete mellan behöriga myndigheter och andra myndigheter inom olika branscher eller sektorer.
I fråga om dataombudsmannen behövs det ett uttryckligt omnämnande i bestämmelsen, eftersom artikel 37.5 g ålägger medlemsstaterna att föreskriva om att de behöriga myndigheterna ska samarbeta bland annat med den myndighet som ansvarar för tillsynen över efterlevnaden av den allmänna dataskyddsförordningen. Den myndighet som enligt dataskyddsförordningen är behörig nämns uttryckligt i artikeln, medan de övriga myndigheter som är föremål för samarbetsskyldigheten anges på en mer allmän nivå eller benämns relevant myndighet. I artikel 37.5 g åläggs medlemsstaterna att föreskriva om samarbetet också till exempel med myndigheter med behörighet på området data och elektroniska kommunikationstjänster, men detta är onödigt, eftersom Transport- och kommunikationsverket också på dessa områden är den primära behöriga myndigheten. För det att dataombudsmannen uttryckligen ska nämnas i bestämmelsen talar också det faktum att dataombudsmannen nationellt kommer att vara en central aktör i samband med behandling av personuppgifter när det gäller att tillämpa dataförordningen. På grund av det potentiellt stora antalet övriga relevanta myndigheter med vilka de behöriga myndigheterna ska samarbeta är det inte ändamålsenligt eller ens möjligt att ge en förteckningen över dessa myndigheter. Förordningens tillämpningsområde är omfattande och förordningen kan komma att tillämpas inom flera olika områden som eventuellt övervakas av andra myndigheter än de som uttryckligen nämns i momentet. Här ska framför allt sektors- och branschmyndigheterna beaktas.
I dataförvaltningsakten är ordalydelsen i bestämmelserna om myndigheternas samarbetsskyldighet mer förpliktande än i dataförordningen (artikel 13.3 och artikel 23.3). Eftersom dataförvaltningsakten är direkt tillämplig när det gäller skyldigheten för behöriga myndigheter och andra myndigheter att samarbeta kan det inte föreskrivas nationellt om detta på samma sätt som det i detta moment föreslås i fråga om dataförordningen. I Finland omfattar skyldigheten dataombudsmannen, Transport- och kommunikationsverket, Konkurrens- och konsumentverket samt konsumentombudsmannen (se RP 50/2023 rd).
I
2 mom.
föreslås det bestämmelser om konsumentombudsmannens skyldighet att underrätta Transport- och kommunikationsverket, om konsumentombudsmannen tar emot en anmälan som gäller överträdelser av skyldigheter som föreskrivs i dataförordningen och ser behov av att undersöka ärendet. Underrättelseskyldigheten gäller sådana i dataförordningen föreskrivna skyldigheter som förutsätter att myndigheten vidtar undersökningsåtgärder. Underrättelseskyldigheten gäller inte sådana kontakter till myndigheten som myndigheten avgör genom vägledning eller rådgivning. Underrättelseskyldigheten behövs för att datasamordnaren ska ha tillgång till aktuell information om tillsynsåtgärder i anslutning till dataförordningen och så att datasamordnaren kan fullgöra sina rapporterings- och samordningsuppgifter enligt dataförordningen.
Konsumentombudsmannens underrättelser till Konkurrens- och konsumentverket om misstänkta överträdelser blir inte automatiskt anhängiga som tillsynsärenden. Enligt 7 § i lagen om Konkurrens- och konsumentverket ska Konkurrens- och konsumentverket i fråga om konsumentärenden och konsumentombudsmannen vara verksamma i synnerhet inom de områden som har avsevärd betydelse för konsumenterna eller inom vilka det kan antas att problem som gäller konsumenternas ställning förekommer mest allmänt (s.k. prioriteringsskyldighet). I regel besvaras anmälningar till konsumentombudsmannen med ett standardsvar och anmälaren får inte partsställning genom sin kontakt (se t.ex. riksdagens biträdande justitieombudsmans beslut Dnr 3616/4/15). Anmälningarna är impulser för tillsyn som konsumentombudsmannen utnyttjar för att välja föremål för tillsyn i enlighet med sin prioriteringsskyldighet. Således behöver konsumentombudsmannen inte underrätta Transport- och kommunikationsverket om att den mottagit en anmälan om misstänkt överträdelse, utan underrättelsen görs först om konsumentombudsmannen anser ärendet behöver undersökas.
På samarbetet tillämpas dessutom 10 § i förvaltningslagen, enligt vilken varje myndighet inom ramen för sin behörighet och i den omfattning ärendet kräver på andra myndigheters begäran ska bistå dessa i skötsel av en förvaltningsuppgift, och även i övrigt sträva efter att främja samarbetet mellan myndigheterna.
2 kap. Myndigheternas undersökningsförfarande och tillsynsåtgärder.
5 §. Rätt att få information.
Enligt artikel 37.14 i dataförordningen ska de behöriga myndigheterna ha befogenhet att från användare, datahållare eller datamottagare, eller deras rättsliga företrädare, som omfattas av deras medlemsstats behörighet begära all information som krävs för att kontrollera efterlevnaden av denna förordning. På motsvarande sätt ska enligt artikel 14.2 i dataförvaltningsakten de behöriga myndigheterna för dataförmedlingstjänster ha befogenhet att från leverantörer av dataförmedlingstjänster eller deras rättsliga företrädare begära all information som är nödvändig för att kontrollera uppfyllandet av kraven på dataförmedlingstjänster (kapitel III). Enligt artikel 24.2 i dataförvaltningsakten ska de behöriga myndigheterna för registrering av dataaltruismorganisationer ha befogenhet att från erkända dataaltruismorganisationer begära sådan information som är nödvändig för att kontrollera att kraven på dataaltruismorganisationer följs (kapitel IV). Enligt båda akterna ska varje begäran om information stå i proportion till uppgiftens utförande och innehålla en motivering.
I
1 mom.
föreslås det en informativ hänvisning till Transport- och kommunikationsverkets rättigheter enligt dataförordningen och dataförvaltningsakten att få information. Rätten att få information kan gälla både fysiska personer och juridiska personer när de agerar i roller som omfattas av den tillsyn som i lag fastställts för Transport- och kommunikationsverket. Det föreslås dessutom en nationell precisering av att Transport- och kommunikationsverket har rätt att få information oberoende av sekretessbestämmelserna, utan obefogat dröjsmål, i den form som myndigheten begär och avgiftsfritt. Rätten till information bryter alltså i princip sekretessen. Enligt båda akterna ska Transport- och kommunikationsverkets begäran om information stå i proportion till uppgiftens utförande och innehålla en motivering. Avsikten med kravet på att informationen ska lämnas ut i den form som myndigheten begär är att säkerställa i synnerhet Transport- och kommunikationsverkets möjlighet att behandla uppgifterna elektroniskt. Myndigheten ska i sina begäranden tillämpa skälighet, vilket innebär att myndigheten till exempel inte kan förutsätta att uppgifterna lämnas ut över öppna gränssnitt i maskinläsbar form, om inte den som lämnar ut uppgifterna har tekniska färdigheter för detta. Uppgifterna kan lämnas elektroniskt, också till exempel per e-post. Om Transport- och kommunikationsverket kan få de uppgifter som behövs elektroniskt av andra myndigheter ska verket i första hand sträva efter att skaffa dem den vägen för att minska företagens administrativa börda.
De nationella bestämmelser som anknyter till tillsynen över efterlevnaden av dataförvaltningsakten ingår i nuläget i lagen om tjänster inom elektronisk kommunikation, där det i 315 § föreskrivs bland annat om myndigheternas allmänna rätt att få information. Med denna proposition föreslås det att bestämmelserna om dataförvaltningsakten upphävs i lagen om tjänster inom elektronisk kommunikation och att den nationella kompletterande regleringen i anslutning till dataförvaltningsakten flyttas till denna paragraf. Transport- och kommunikationsverkets rätt att få information, som grundar sig på dataförvaltningsakten, utvidgas inte i och med ändringen.
I
2 mom.
preciseras det nationellt att Transport- och kommunikationsverket har den rätt att få information som avses i denna paragraf om verket med stöd av en begäran som en behörig myndighet i en annan medlemsstat lämnat i enlighet med artikel 37.15 i dataförordningen begär information för att uppfylla de behöriga myndigheternas skyldighet att samarbeta i enlighet med artiklarna 37.2 och 38.3 i dataförordningen. Med bestämmelserna genomförs också artikel 37.5 f i dataförordningen.
Artikel 37 i dataförordningen gäller genomförande och tillsyn över efterlevnaden av förordningen. Enligt artikel 37.15 i dataförordningen kan en behörig myndighet i en medlemsstat begära bistånd eller verkställighetsåtgärder från en behörig myndighet i annan medlemsstat genom att lämna en motiverad begäran. En myndighet som får en sådan begäran ska lämna ett svar med detaljerade uppgifter om de åtgärder som har vidtagits eller planerats. Om begäran från en behörig myndighet i en annan medlemsstat gäller hjälp vid utredning av en misstänkt överträdelse av dataförordningen och anknytande inhämtande av information i Finland, ska Transport- och kommunikationsverket bedöma begäran och enligt sitt övervägande besluta att lämna en motiverad begäran om information i enlighet med dataförordningen till den aktör som misstänks för överträdelse av dataförordningen i Finland. Begäran från myndigheten i den andra medlemsstaten förpliktar inte Transport- och kommunikationsverket att till exempel göra en begäran om information som verket inte anser vara motiverad. Transport- och kommunikationsverket har emellertid med stöd av dataförordningen en skyldighet att samarbeta för att avgöra klagomål som lämnats till behöriga myndigheter i medlemsstaterna.
6 §. Informationsutbyte mellan myndigheter.
I
1 mom.
föreslås det bestämmelser om Transport- och kommunikationsverkets och konsumentombudsmannen rätt att till varandra lämna ut sekretessbelagda uppgifter, om det är nödvändigt för skötseln av deras uppgifter enligt dataförordningen, dataförvaltningsakten eller den föreslagna lagen. Avsikten är att bestämmelsen i fråga om båda förordningarna ska gälla behöriga myndigheters, dock inte Konkurrens- och konsumentverkets, möjlighet att utbyta sekretessbelagda uppgifter. Konkurrens- och konsumentverkets uppgift att öka datakompetensen är till sin natur sådan att det inte i anslutning till den finns något behov av att utbyta sekretessbelagda uppgifter mellan myndigheter. En förutsättning för det informationsutbyte som avses i momentet är att det är nödvändigt.
I
2 mom.
finns bestämmelser om de i 1 mom. nämnda myndigheternas, det vill säga Transport- och kommunikationsverkets och konsumentombudsmannens möjlighet att av andra myndigheter begära yttranden i ett ärende som behandlas och trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av information till dem lämna ut de handlingar och den information som är nödvändiga för att de ska kunna lämna yttranden. Dessutom förutsätts det att informationsutbytet är nödvändigt för att Transport- och kommunikationsverket eller konsumentombudsmannen ska kunna sköta sina uppgifter enligt dataförordningen, dataförvaltningsakten eller denna lag.
I
3 mom.
finns bestämmelser om Transport- och kommunikationsverkets skyldighet att ta hänsyn till aspekter som gäller den nationella säkerheten eller försvaret och kontakta de myndigheter som nämns i 25 § 1 mom., det vill säga inrikesministeriet och Huvudstaben, om det finns skäl att misstänka att ett ärende som verket har fått kännedom om eller behandlar och som gäller åtkomsten till eller överföringen av data har samband med den nationella säkerheten eller försvaret. Med bestämmelsen säkerställs den nationella säkerheten eller försvaret i situationer där ett ärende som är under behandling kan ha betydelse för eller inverkan på den nationella säkerheten eller försvaret.
Det föreslagna
4 mom.
gör det möjligt för Transport- och kommunikationsverket att lämna ut sekretessbelagd information i samband med ett remissförfarande enligt 25 §. Bestämmelsen behövs, eftersom utlämnande av sekretessbelagd information ska regleras i lag. I fråga om inrikesministeriet kan Transport- och kommunikationsverket lämna ut sekretessbelagd information också till ministeriets underlydande myndigheter, om detta är nödvändigt med tanke på remissförfarandet. Momentet innehåller inte bestämmelser om vidareutlämnande av information mellan myndigheterna, utan Transport- och kommunikationsverket lämnar vid behov ut informationen direkt till inrikesministeriets underlydande myndigheter.
Genom den 6 § som nu föreslås genomförs nationellt skyldigheten enligt artikel 37.5 g i dataförordningen för myndigheter att samarbeta.
7 §.Inspektion
er
.
I paragrafen föreskrivs det om Transport- och kommunikationsverkets inspektionsrätt. Enligt 1
mom
. har Transport- och kommunikationsverket för tillsynen över misstänkta överträdelser av skyldigheterna enligt dataförordningen och denna lag rätt att få tillträde till lokaler som en användare, datahållare eller datamottagare enligt dataförordningen använder för ändamål som rör deras närings- eller yrkesverksamhet och att utföra de inspektioner som behövs för tillsynsärendet. Rätten att få tillträde till och utföra inspektioner i lokaler gäller inte utrymmen som används för boende av permanent natur.
Genom bestämmelsen genomförs bland annat artikel 37.5 b och 37.5 c i dataförordningen, där det anges att en medlemsstat ska säkerställa att de behöriga myndigheternas befogenheter definieras tydligt och att de behöriga myndigheterna i enlighet med dem hanterar klagomål som härrör från påstådda överträdelser av förordningen, inbegripet vad gäller företagshemligheter, och undersöker föremålet för klagomålen, också utifrån uppgifter som erhålls av en annan myndighet. Enligt skäl 107 i dataförordningen bör de behöriga myndigheterna genom att utöva sina utredningsbefogenheter kunna söka efter och erhålla information, särskilt om en enhets verksamhet som omfattas av deras behörighet och, inbegripet i samband med gemensamma utredningar.
Syftet med myndighetens inspektion är vanligen att utreda om de uppgifter som lämnats till myndigheten är riktiga eller om aktörens verksamhet eller förfarande uppfyller de uppställda förutsättningarna och att skaffa bevis om en eventuell förseelse. Transport- och kommunikationsverket ska enligt 1 mom. ha rätt att utföra en inspektion när det finns skäl att misstänka överträdelse av en skyldighet enigt dataförordningen eller denna lag. Tröskeln ska inte vara särskilt hög, men det ska krävas ett konkret skäl för att man ska inleda en inspektion av inspektionsobjektet.
Inspektionen kan enligt 1 mom. gälla lokaler som används av aktörer som är föremål för de skyldigheter som definieras i dataförordningen för ändamål som hänför sig till deras närings- och yrkesverksamhet. Rätten att få tillträde till och utföra inspektioner i lokaler gäller emellertid inte utrymmen som används för boende av permanent natur. Med denna begränsning strävar man efter att beakta konstitutionella villkor som gäller inspektioner och inrikta inspektionsbefogenheterna på mer omfattande överträdelser av allvarligare karaktär, för vilka administrativa påföljdsavgifter kan påföras.
I
2 mom
. föreskrivs det om omfattningen av inspektionsbefogenheterna. Transport- och kommunikationsverket har vid inspektionerna trots sekretessbestämmelserna och oberoende av lagringsmediet rätt att få för granskning, kopiera och för kopiering omhänderta affärskorrespondens, bokföring, andra handlingar och information, i vilken form som helst, som behövs för en tillsynsuppgift i samband med en misstänkt överträdelse.
Skyldigheterna enligt dataförordningen är till stor del olika krav på förfaranden och funktioner som ställs på aktörerna och som kan vara förknippade med aktörernas interna system eller med teknisk utrustning som används vid insamling av data. Av denna anledning avses med handlingar och uppgifter som omfattas av inspektionen därför också olika elektroniska material som kan läsas eller på annat sätt förstås endast med hjälp av ett tekniskt hjälpmedel, inklusive uppgifter och funktioner i anslutning till företagets elektroniska system eller till enheter som är relevanta med tanke på skyldigheterna enligt dataförordningen.
Om inspektionen för att kunna utföras på ändamålsenligt sätt behöver utsträckas till att gälla kommunikationen hos inspektionsobjektet eller bland personalen ska inspektionen begränsas till affärskorrespondens i anslutning till den misstänkta överträdelsen, och inspektionen får inte inriktas till exempel på arbetstagarnas meddelanden av privat natur. Med affärskorrespondens avses kommunikation i anslutning till den näringsverksamhet som inspektionsobjektet bedriver, oavsett kommunikationsmedium. Vid utövandet av inspektionsbefogenheterna ska 8 § i det första lagförslaget, som vid kommunikation skyddar det förtroliga förhållandet mellan klient och advokat eller annat rättegångsombud eller rättegångsbiträde, beaktas.
Myndigheten kan ha ett behov av att tillfälligt omhänderta material i anslutning till inspektionsobjektet för att förhindra att uppgifter eller handlingar förstörs medan inspektionen pågår. Uppgifter och handlingar som är behövliga för utredningen och bevisandet av överträdelsen ska kopieras utan onödigt dröjsmål och återbördas till den person från vilken de har omhändertagits.
Enligt 2 mom. kan den tjänsteman som förrättar inspektionen av lagliga företrädare för eller anställda hos föremålet för inspektionen begära redogörelser för fakta och handlingar som har samband med föremålet för och ändamålet med inspektionen och protokollföra de svar som har erhållits. Syftet med myndighetens inspektion är en detaljerad och sanningsenlig utredning av tillsynsärendet. För att syftet med inspektionen ska kunna uppnås på ett ändamålsenligt sätt är det viktigt att myndigheterna vid behov redan i samband med inspektionen kan begära muntliga förtydliganden eller förklaringar om de faktiska omständigheterna kring föremålet för inspektionen eller de uppgifter som inspekteras.
I
3 mom.
föreskrivs det att även de förfarandebestämmelser för granskning som anges i 39 § i förvaltningslagen (434/2003) ska följas vid inspektionen. Inspektionsförfarandet inleds genom ett beslut av en myndighet om att inspektionen ska utföras. Enligt förvaltningslagen ska parten bland annat underrättas om när granskningen inleds, om inte detta äventyrar syftet med inspektionen. Vid behov kan inspektionen alltså göras även utan förvarning. Under inspektionen ska den berörda parten, om möjligt, informeras om syftet med inspektionen, om dess genomförande och om de fortsatta åtgärderna. Inspektionen ska också förrättas så att föremålet för inspektionen eller dess innehavare inte orsakas oskälig olägenhet.
Vid inspektionen ska även principerna om god förvaltning enligt förvaltningslagen tillämpas. Enligt dessa ska de handlingar och andra uppgifter som granskas vara behövliga för tillsynsärendet och omfattningen av det material som begärs för granskning ska stå i proportion till det mål som eftersträvas genom inspektionen. Proportionalitetskriteriet är inte nödvändigtvis uppfyllt om man vill utnyttja inspektionsrätten till exempel för att få fram bevis som finns tillgängliga på företagets offentliga webbplats. Utnyttjandet av inspektionsrätten är i allmänhet mer motiverat om de uppgifter som behövs för inspektionen eller tillsynsärendet finns i företagets interna system eller när inspektionen förutsätter till exempel granskning av en fysisk anordning. En inspektion kan också behövas om det finns anledning att befara att information som är behövlig med tanke på utredningen av överträdelsen inte lämnas ut på begäran eller om det finns särskilda tekniska utmaningar med att lämna ut informationen.
I inspektionsbeslutet får ändring inte sökas särskilt. Ett inspektionsbeslut är inte ett beslut enligt 6 § i lagen om rättegång i förvaltningsärenden (808/2019) om avgörande eller avvisande av ett förvaltningsärende.
Enligt
4 mom.
har Transport- och kommunikationsverket de inspektionsrättigheter som anges i denna paragraf om verket med stöd av en begäran som en behörig myndighet i en annan medlemsstat lämnat i enlighet med artikel 37.15 i dataförordningen förrättar inspektion i Finland för att uppfylla de behöriga myndigheternas skyldighet att samarbeta i enlighet med den artikeln och artikel 38.3 i dataförordningen.
Syftet med bestämmelsen är att säkerställa att Transport- och kommunikationsverket har ändamålsenliga befogenheter att utföra de utredningsåtgärder som förordningen förutsätter också på motiverad begäran av behöriga myndigheter i andra medlemsstater. Genom bestämmelsen genomförs också artikel 37.5 c och 37.5 f i dataförordningen, som förutsätter att en medlemsstat säkerställer att befogenheterna för de behöriga myndigheterna är tydligt definierade och att de utsedda behöriga myndigheterna utför undersökningar också på grundval av information som erhålls från en annan myndighet och samarbetar för att säkerställa en effektiv tillämpning av denna förordning, inbegripet utbyte av all relevant information på elektronisk väg.
I fråga om dataförvaltningsakten föreslås ingen inspektionsrätt och akten förutsätter det inte direkt. Verksamhet som i den förenas med sanktioner är i huvudsak överträdelser som gäller regleringen av juridiska personers anmälningsskyldighet och näringsverksamhet, varför överträdelsernas art inte förutsätter reglering av en sådan rättighet. Ifrågavarande överträdelse av bestämmelserna om näringsverksamhet kan i enlighet med dataförvaltningsakten vara överföring av icke-personuppgifter till tredjeländer i strid med de villkor som föreskrivs i förordningen (artikel 5.14 och artikel 31), i fråga om leverantörer av dataförmedlingstjänster försummelse av anmälningsskyldigheten (artikel 11) och överträdelse av villkoren för tillhandahållande av dataförmedlingstjänster (artikel 12) samt i fråga om erkända dataaltruismorganisationer överträdelse av kraven på registrering (artikel 18, 20, 21 och 22).
8 §. Undantag från rätten att få information och utföra inspektioner när det gäller advokatsekretess.
De undersökningsbefogenheter som föreslås för Transport- och kommunikationsverket gäller föremål för myndighetstillsyn enligt dataförordningen och dataförvaltningsakten, och begäranden om information eller inspektioner kan inte riktas till tredje parter, såsom ombud. Föremålen för myndighetstillsynen kan emellertid inneha material som anknyter till myndighetsutredning och som innehåller korrespondens eller annan kommunikation som omfattas av advokatsekretessen.
I paragrafen begränsas konfidentiell korrespondens mellan klienten och advokaten eller ett annat rättegångsombud så att den inte omfattas av Transport- och kommunikationsverkets rätt att få information och utföra inspektioner. Syftet är att trygga det förtroliga förhållandet mellan rättegångsombudet eller rättegångsbiträdet och klienten.
Enligt
1 mom.
har Transport- och kommunikationsverket när det utöver de undersökningsbefogenheter som föreskrivs i 5 och 7 § inte rätt att få eller inspektera handlingar som innehåller konfidentiell korrespondens mellan en klient och en advokat, ett rättegångsbiträde med tillstånd eller ett offentligt rättsbiträde.
Målet är att från rätten att få information och utföra inspektioner utesluta handlingar som innehåller konfidentiell korrespondens som omfattas av advokatsekretessen. Med korrespondens avses också olika former av elektroniskt material som kan läsas eller på annat sätt förstås endast med hjälp av ett tekniskt hjälpmedel. Det exaktare innehållet i advokatsekretessen grundar sig på annan lagstiftning och rättspraxis och avsikten är inte att genom propositionen begränsa innehållet i advokatsekretessen. Bestämmelser om advokatsekretessen finns i 5 c § i lagen om advokater (496/1958) och bestämmelser om den nära anknytande tystnadsplikten för rättegångsombud finns bland annat i 15 kap. 17 § i rättegångsbalken (4/1734), i 34 § i lagen om rättegång i förvaltningsärenden (808/2019) och i 8 § 1 mom. 4–5 punkten i lagen om rättegångsbiträden med tillstånd (715/2011). Enligt Europeiska unionens domstols rättspraxis omfattas konfidentiell kommunikation mellan en klient och en advokat av advokatsekretessen, om kommunikationen anknyter till advokatens professionella verksamhet, såsom juridisk rådgivning eller förberedelser för rättegång och skyddandet av kommunikationen behövs för tryggande av klientens rätt till försvar (se avgörande den 18 maj 1982, AM & S Europe Limited mot Europeiska kommissionen, C-155/79, ECLI:EU:C:1982:157, punkt 23 och 27).
Undantaget från advokatsekretessen gäller klientens korrespondens med jurister som ger juridisk rådgivning, vilka omfattas av den ovan avsedda professionella tystnadsplikten och lyder under offentlig tillsyn. Undantaget gäller dock inte rådgivning av en jurist som står i arbetsavtalsförhållande till en näringsidkare, även om juristen verkar som sin arbetsgivares rättegångsombud eller rättegångsbiträde. Den personrelaterade aspekten av undantaget från advokatsekretessen behandlas också i avsnitt 12.3.2.3.
Enligt
2 mom.
tillämpas undantaget på Transport- och kommunikationsverkets undersökningsbefogenheter enligt 5 och 7 § i denna lag, oberoende av om de utövas vid utförandet av Transport- och kommunikationsverkets egna tillsynsuppgifter eller på begäran av en behörig myndighet i en annan medlemsstat.
9 §. Handräckning.
I denna paragraf föreskrivs det om givande av nödvändig handräckning. Enligt paragrafen har Transport- och kommunikationsverket rätt att på begäran få handräckning av polisen för att utföra sina uppgifter enligt detta lagförslag. Enligt 9 kap. 1 § 1 mom. i polislagen (872/2011) ska polisen på begäran ge andra myndigheter handräckning, om så föreskrivs särskilt. Polisen ska ge andra myndigheter handräckning också för fullgörande av en lagstadgad tillsynsskyldighet, om den myndighet som begär handräckning hindras i sin tjänsteutövning. Behovet av att få handräckning av polisen kan i fråga om tillsynen över efterlevnaden av dataförordningen komma i fråga i samband med förrättande av inspektioner, om Transport- och kommunikationsverket hindras från att förrätta inspektion eller om det med fog kan förväntas att detta kommer att ske.
10 §. Tillsynsbeslut.
I
1 mom.
Föreskrivs det om Transport- och kommunikationsverkets tillsynsbeslut i anslutning till tillsynen över efterlevnaden av dataförordningen och dataförvaltningsakten. Om Transport- och kommunikationsverket konstaterar en överträdelse av skyldigheterna eller förbuden enligt dataförordningen eller dataförvaltningsakten, kan verket meddela en anmärkning eller utfärda en varning samt ålägga den som bryter mot dataförordningen eller dataförvaltningsakten att upphöra med överträdelsen eller att avhjälpa sitt fel eller sin försummelse, eller också kan verket förbjuda den åtgärd som står i strid med dataförordningen eller dataförvaltningsakten. Den föreslagna befogenheten för myndigheten grundar sig på artikel 37.5 b i dataförordningen och artikel 34 i dataförvaltningsakten.
En anmärkning och en varning är tillsynsmyndighetens lindrigare medel för att ingripa, och de används framför allt i inledningsskedet av tillsynen primärt – efter rådgivning och vägledning.
Om en anmärkning eller en varning inte anses vara tillräcklig med hänsyn till hur allvarlig överträdelsen är eller om överträdelsen fortsätter eller upprepas trots anmärkningen eller varningen kan Transport- och kommunikationsverket också påföra påföljdsavgifter eller döma ut administrativa påföljder, exempelvis vite, som är kopplade till skyldigheterna enligt tillsynsbeslutet.
I fråga om dataförvaltningsakten kan Transport- och kommunikationsverket enligt 330 § i den gällande lagen om tjänster inom elektronisk kommunikation meddela den som bryter mot anmälningsskyldigheten för leverantörer av dataförmedlingstjänster enligt artikel 11 i dataförvaltningsakten, mot villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12 i dataförvaltningsakten, mot villkoren för registrering som erkänd dataaltruismorganisation enligt artiklarna 18 eller 20–22 i dataförvaltningsakten, eller mot villkoren för överföring av andra uppgifter än personuppgifter till tredjeländer enligt artikel 31 i dataförvaltningsakten en anmärkning eller en varning samt ålägga denne att avhjälpa sitt fel eller sin försummelse. Enligt förslaget ska regleringen om tillsynsbeslut, när det gäller tillsynen över efterlevnaden av dataförvaltningsakten, i fortsättningen ingå i denna paragraf.
Enligt
2 mom.
kan Transport- och kommunikationsverket sätta ut en skälig tidsfrist inom vilken överträdelsen eller försummelsen ska upphöra. Den tidsfrist som sätts ut beror bland annat på hur allvarlig överträdelsen är och på dess karaktär.
I och med det föreslagna 2 mom. behöver Transport- och kommunikationsverket, avvikande från 330 § 3 mom. i den gällande lagen om tjänster inom elektronisk kommunikation inte längre automatiskt sätta ut en skälig tidsfrist för skyldigheten att avhjälpa överträdelsen eller försummelsen. I stället kan verket sätta ut en tidsfrist vid behov.
11 §. Vite och hot om avbrytande.
I
1 mom.
föreslås Transport- och kommunikationsverket kunna förena sitt tillsynsbeslut enligt 10 § och andra ålägganden enligt denna lag med vite eller hot om avbrytande. Detta grundar sig på artikel 37.5 b–d i dataförordningen, som gäller hanteringen av klagomål och utförande av undersökningar samt åläggande av ekonomiska sanktioner, samt artikel 34 i dataförvaltningsakten.
Att Transport- och kommunikationsverkets tillsynsbeslut eller åläggande förenas med hot om avbrytande är sannolikt rätt ovanligt. Hot om avbrytande kan anknyta exempelvis till situationer där en överträdelse av skyldigheterna enligt dataförordningen sker på ett sätt som inte längre kan avhjälpas enbart genom att överträdelsen upphör och åläggandet förenas med vite. En sådan situation kan uppstå till exempel vid överträdelse av artikel 6 i dataförordningen, om en tredje part konstateras ha använt data utan datahållarens tillstånd eller data som den fått av en annan tredje part för utveckling av en konkurrerande produkt eller tjänst och inlett anknytande affärsverksamhet. Transport- och kommunikationsverket kan i en sådan situation till exempel behöva förbjuda tillverkningen av den produkt eller tillhandahållandet av den tjänst eller del av den som har utvecklats genom överträdelse av skyldigheterna enligt dataförordningen och förena förbudet med hot om avbrytande.
Med stöd av artikel 14 i dataförvaltningsakten kan Transport- och kommunikationsverket bland annat kräva att inledandet av tillhandahållandet av dataförmedlingstjänsten skjuts upp tills villkoren, enligt myndighetens begäran, har ändrats, eller kräva att tillhandahållandet av dataförmedlingstjänsten upphör om allvarliga eller upprepade överträdelser inte har åtgärdats. I nuläget kan de skyldigheter i ett tillsynsbeslut som Transport- och kommunikationsverket meddelar på grund av överträdelse av dataförvaltningsakten förenas med vite, hot om avbrytande eller med hot om tvångsutförande enligt 332 § i lagen om tjänster inom elektronisk kommunikation. Med stöd av den bestämmelse som föreslås i denna proposition kan beslut i anslutning till tillsynen över efterlevnaden av dataförvaltningsakten inte längre förenas med hot om tvångsutförande.
I
2 mom.
föreslås det en bestämmelse om att skyldigheten att lämna information inte får förenas med ett vitesförläggande riktat till en fysisk person, om det finns anledning att misstänka personen för brott och uppgifterna har samband med det ärende som brottsmisstanken hänför sig till. Med begränsningen beaktas skyddet mot självinkriminering, vilket innebär att den som misstänks för ett brott har rätt att vägra medverka i en utredning av den brottsmisstanke som gäller honom eller henne. Enligt förslaget utgörs tröskeln av ”finns anledning att misstänka”, för att regleringen ska stämma överens till exempel med lagen om vissa befogenheter för konsumentskyddsmyndigheterna och dataskyddslagen. Skyddet mot självinkriminering omfattar utöver de fall där förundersökningsmyndigheten redan har fattat beslut om att inleda förundersökning även de situationer där tillsynsmyndigheten gör bedömningen att fallet senare kan leda till straffrättsliga påföljder.
12 §. Uppgifternas prioritetsordning och lämnande av ett ärende utan prövning.
I
1 mom.
föreskrivs det att Transport- och kommunikationsverket kan ställa sina tillsynsuppgifter enligt denna lag i prioritetsordning. Det är fråga om en procedurbestämmelse, enligt vilken prioritetsordningen fastställs utifrån hur viktiga ärendena är.
I 2
mom.
föreskrivs det att Transport- och kommunikationsverket får lämna ett ärende utan prövning, om ärendet trots en misstanke om fel eller försummelser endast har ringa betydelse med tanke på fullgörandet av skyldigheterna enligt dataförordningen eller dataförvaltningsakten. Transport- och kommunikationsverket ska emellertid i enlighet med principerna i förvaltningslagen avgöra ärendet genom rådgivning. Transport- och kommunikationsverket ska genast när det är möjligt fatta beslut om att inte ta upp ett ärende till prövning. I många fall kan bedömningen göras snabbt efter att ärendet inletts. Beslut om att inte ta upp ett ärende till prövning kan fattas också när ärendet har utretts en längre tid men det inte finns orsak att vidta åtgärder.
Målet med paragrafens 1 och 2 mom. är att Transport- och kommunikationsverket använder sina befogenheter så att verket inriktar sina resurser särskilt på att utreda ärenden som är betydande med tanke på uppfyllelsen av målen enligt dataförordningen eller dataförvaltningsakten. Motsvarande prioriteringsbestämmelser finns i 313 § i lagen om tjänster inom elektronisk kommunikation, som redan är tillämplig i fråga om dataförvaltningsakten, och 7 § i lagen om Konkurrens- och konsumentverket.
3 kap. Administrativa påföljdsavgifter.
I 13–19 § föreskrivs det om sådana överträdelser av skyldigheter enligt dataförordningen som ger Transport- och kommunikationsverket, som huvudsakligen utövar tillsyn över efterlevnaden av dataförordningen och dataförvaltningsakten, möjlighet att påföra en påföljdsavgift för de aktörer som avses i paragraferna. Genom paragraferna genomförs artikel 37.5 d i dataförordningen. Påföljderna har fastställts med beaktande av Europeiska datainnovationsstyrelsens rekommendationer.
13 §. Påföljdsavgift för tillverkare, försäljare, uthyrare, leasegivare och tjänsteleverantörer.
I paragrafen föreslås det bestämmelser om påföljdsavgift som kan påföras tillverkare, försäljare, uthyrare, leasegivare och tjänsteleverantörer.
Enligt
1 mom.
kan påföljdsavgift av Transport- och kommunikationsverket påföras en tillverkare eller tjänsteleverantör som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten att utforma, tillverka och tillhandahålla uppkopplade produkter och tillhörande tjänster i enlighet med artikel 3.1 i dataförordningen.
Enligt artikel 3.1 ska uppkopplade produkter utformas och tillverkas, och tillhörande tjänster ska utformas och tillhandahållas, så att produktdata och data från tillhörande tjänster, inbegripet relevanta metadata som krävs för att tolka och använda dessa data, som standard är direkt tillgängliga för användaren, när detta är relevant och tekniskt möjligt, på ett enkelt, säkert och kostnadsfritt sätt i ett heltäckande, strukturerat, allmänt använt och maskinläsbart format. Begreppen produktdata, data från tillhörande tjänster och metadata definieras i förordningen.
Syftet med dataförordningen är att uppnå bättre tillgång till data och bättre datatillgänglighet samt en rättvisare fördelning av data mellan aktörer. Dataförordningen gör det möjligt för användare av IoT-enheter att dra nytta av eftermarknadstjänster, stödtjänster och andra tjänster baserade på data som samlas in av sensorer som är inbyggda i sådana produkter, och insamlingen av dessa data är av potentiellt värde när det gäller att förbättra de uppkopplade produkternas prestanda. Därför kan planeringen av uppkopplade produkter eller tillhörande tjänster så att produktdata och data från tillhörande tjänster direkt eller indirekt är tillgängliga för användaren anses vara en av de viktigaste skyldigheterna i förordningen. Med tanke på tillämpningen av och tillsynen över efterlevnaden av förordningen är det viktigt att införa påföljder för överträdelse av dessa skyldigheter enligt artikeln.
Data ska som standard vara direkt tillgängliga för användaren. Om detta emellertid inte är relevant eller tekniskt möjligt ska datahållaren överlämna data till användaren (artikel 3.1). Uppkopplade produkter får vara utformade så att vissa data görs direkt tillgängliga genom datalagring i enheten eller från en fjärrserver till vilken data kommuniceras (skäl 22). Uppkopplade produkter får vara utformade så att de tillåter användaren eller en tredje part att behandla dessa data i den uppkopplade produkten, i en databehandlingsinstans hos tillverkaren eller i en miljö för informations- och kommunikationsteknik (IKT) som användaren eller den tredje parten väljer (skäl 22 i ingressen). Av den anledningen ska artikel 3.1 i förordningen och sanktionerna i artikeln bedömas tillsammans med artikel 4.1 och 5.1, som kompletterar skyldigheten i fråga att få ut data från enheten eller en tillhörande tjänst.
Om utformandet, tillverkningen eller tillhandahållandet av en enhet eller tjänst misslyckas så att data inte är direkt eller indirekt tillgängliga kan också strängare sanktioner påföras. Transport- och kommunikationsverket kan för överträdelse av artikel 3.1 påföra en högre påföljdsavgift i enlighet med 20 § 2 mom. Enskilda överträdelser av bestämmelserna om utformande, tillverkning eller tillhandahållande kan alla ensamma eller tillsammans leda till påföljdsavgift.
Enligt
2 mom.
kan av Transport- och kommunikationsverket påföljdsavgift påföras en försäljare, uthyrare eller leasegivare som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten att innan ett avtal ingås lämna den information som avses i artikel 3.2 i dataförordningen till andra användare än konsumenter. I momentet avses med leasegivare den definition av leasegivare (på finska liisaaja) som anges i dataförordningen. På finska är leasingantaja den korrekta formen (se Kielikello 4/1998).
Endast den information som nämns i artikel 3.2 i förordningen omfattas av påföljd i form av påföljdsavgift. Förteckningen i artikelpunkten är inte uttömmande, utan där uppräknas den information som enligt lagen minst måste ges för kännedom. Således kan en försäljare, uthyrare eller leasegivare lämna eller komma överens om att lämna användaren också annan tilläggsinformation, men om denna inte lämnas omfattas det inte av påföljd i form av påföljdsavgift.
I fråga om brott mot informationsskyldigheten tillämpas beroende på fallet i princip först andra lindrigare tillsynsmetoder, till exempel anmärkning.
Enligt
3 mom.
kan av Transport- och kommunikationsverket påföljdsavgift påföras en sådan i förordningen definierad leverantör av en tillhörande tjänst som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten att innan ett avtal ingås lämna den information som avses i artikel 3.3 i dataförordningen till andra i förordningen definierade användare än konsumenter.
Transport- och kommunikationsverket kan påföra påföljdsavgift endast för information som nämns i artikel 3.3. Förteckningen i artikelpunkten är inte uttömmande, utan där uppräknas den information som enligt lagen minst måste ges för kännedom. Således kan en tjänsteleverantör lämna eller komma överens om att lämna användaren också annan tilläggsinformation, men om denna inte lämnas omfattas det inte av påföljd i form av påföljdsavgift.
I fråga om försummelse av informationsskyldigheten tillämpas beroende på fallet i princip först andra lindrigare tillsynsmetoder, till exempel anmärkning.
14 §. Påföljdsavgift för datahållare.
I paragrafen föreskrivs det om en påföljdsavgift som kan påföras datahållare som definieras i förordningen.
Enligt
1 mom.
kan av Transport- och kommunikationsverket påföljdsavgift påföras en datahållare som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 4.1 att göra lätt åtkomliga data och relevanta metadata tillgängliga för användaren.
Om användaren av en uppkopplad produkt inte kan få data direkt från enheten eller en tillhörande tjänst, ska datahållaren utan oskäligt dröjsmål för användaren tillgängliggöra lätt åtkomliga data samt de relevanta metadata som är nödvändiga för att tolka och använda dessa data, av samma kvalitet som den som är tillgänglig för datahållaren, på ett enkelt och säkert sätt, kostnadsfritt för användaren, i ett heltäckande, strukturerat, allmänt använt och maskinläsbart format och, när så är relevant och tekniskt genomförbart, kontinuerligt och i realtid. Detta ska göras på grundval av en enkel begäran på elektronisk väg om det är tekniskt möjligt (artikel 4.1).
Personuppgiftsbiträden enligt definitionen i artikel 4.8 i dataskyddsförordningen anses inte agera som datahållare. De kan dock särskilt ges i uppdrag att göra data tillgängliga av den personuppgiftsansvarige enligt definitionen i artikel 4.7 i dataskyddsförordningen (skäl 22 i ingressen).
’Lätt åtkomliga data’ är produktdata och data från en tillhörande tjänst som en datahållare, utan oproportionell ansträngning, lagligen erhåller eller lagligen kan erhålla från den uppkopplade produkten eller tillhörande tjänsten, till exempel genom den uppkopplade produktens utformning, datahållarens avtal med användaren om tillhandahållande av tillhörande tjänster och dess tekniska medel för åtkomst till data. Lätt åtkomliga data omfattar inte data som genereras genom användning av en uppkopplad produkt om den uppkopplade produkten inte har utformats för att lagra eller överföra sådana data utanför den komponent i vilken de genereras eller den uppkopplade produkten som helhet. Om senare uppdateringar eller ändringar av en uppkopplad produkt eller en tillhörande tjänst från tillverkarens eller någon annan parts sida leder till ytterligare tillgängliga data eller till en begränsning av data som ursprungligen var tillgängliga, bör sådana ändringar meddelas användaren i samband med uppdateringen eller ändringen (skäl 20).
Artikel 4.1 i förordningen kompletterar den i artikel 3.1 föreskrivna centrala skyldigheten att utforma en produkt eller tjänster så att de data de producerar är tillgängliga för användaren i enlighet med artikeln. Med tanke på uppfyllelsen av och tillsynen över skyldigheterna är det viktigt att förena även skyldigheterna enligt denna artikel med sanktioner.
Om mekanismer för behandling av datahållarens begäran enligt artikeln saknas ska också detta kunna medföra strängare påföljder. Transport- och kommunikationsverket kan för överträdelse av skyldigheten påföra en högre påföljdsavgift i enlighet med 20 § 2 mom. i den föreslagna lagen.
Enligt
2 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en datahållare som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 4.2, 4.7 eller 4.8 eller artikel 5.10 eller 5.11 i dataförordningen att underrätta Transport- och kommunikationsverket om att delningen av data hindrats, avbrutits eller vägrats.
I artikel 4.2, 4.7 och 4.8 och i artikel 5.10 och 5.11 i dataförordningen föreskrivs det om på vilka grunder datahållare får hindra delning av data eller vägra att dela data eller avbryta datadelning. Sådan vägran ska enligt bestämmelserna i artiklarna anmälas till den myndighet som är datasamordnare.
Om det inte finns något avtal om de nödvändiga åtgärderna eller om en användare, eller de tredje parter som väljs av en användare, underlåter att genomföra överenskomna åtgärder eller äventyrar konfidentialiteten för företagshemligheter bör datahållaren kunna hindra eller avbryta delningen av data som identifierats som företagshemligheter. I sådana fall bör datahållaren meddela användaren eller den tredje parten beslutet skriftligen utan oskäligt dröjsmål och underrätta den behöriga myndigheten i den medlemsstat där datahållaren är etablerad om att den har hindrat eller avbrutit datadelningen och identifiera vilka åtgärder som inte har överenskommits eller genomförts och, i förekommande fall, vilka företagshemligheter som har äventyrats. Datahållare kan i princip inte avslå en begäran om åtkomst till data enligt denna förordning enbart på grundval av att vissa data anses vara en företagshemlighet, eftersom detta skulle undergräva de avsedda verkningarna av denna förordning (artikel 4.7, artikel 5.10 och skäl 31 i ingressen).
När det gäller vägran att dela data leder enligt denna punkt endast försummelse av anmälan till påföljder. Skyldigheten enligt artikel 4.7 och artikel 5.10 att underrätta myndigheten kompletteras emellertid av skyldigheten att i underrättelsen motivera sitt beslut. Båda överträdelserna är förenade med påföljder och beaktas i helhetsbedömningen av den påföljdsavgift som påförs. Annan försummelse av datahållares motiverings- och informationsskyldighet i förhållande till användaren kan betraktas som ett privaträttsligt tvistemål mellan användaren och datahållaren. Bestämmelser om påföljder för en datahållare som försummar sin skyldighet att lämna ett motiverat och skriftligt beslut till användaren eller den tredje parten finns i 5 punkten.
Datasamordnaren har i enlighet med artikel 37.6 c skyldighet att årligen informera kommissionen om de avslag som den underrättats om enligt artiklarna 4.2, 4.8 och 5.11. Därför ska Transport- och kommunikationsverket, som verkar som samordnare, få informationen i fråga. För att underrättelsen ska genomföras effektivt ska den förenas med hot om påföljder.
Påföljder vid försummelse av underrättelseskyldigheten kan också bidra till att delning av data inte avbryts av ogrundad anledning. Till exempel ska datahållaren enligt artikel 4.7 också i sin underrättelse till myndigheten identifiera vilka åtgärder som inte har överenskommits eller genomförts och, i förekommande fall, för vilka företagshemligheter konfidentialiteten har äventyrats.
Enligt
3 mom.
kan av Transport- och kommunikationsverket påföljdsavgift påföras en datahållare som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 4.4 i dataförordningen att göra det orimligt svårt för användaren att göra val eller utöva rättigheter.
Datahållare får inte göra det orimligt svårt för användaren att göra val eller utöva rättigheter enligt artikel 4, inbegripet genom att erbjuda användaren val på ett icke-neutralt sätt eller genom att undergräva eller försämra användarens självständighet, beslutsfattande eller val via strukturen, utformningen, funktionen eller driftssättet för ett digitalt användargränssnitt eller en del därav (artikel 4.4).
Datahållare får inte göra det orimligt svårt för användaren att göra sina val eller utöva sina rättigheter, inbegripet genom att erbjuda användaren val på ett icke-neutralt sätt, eller genom att utöva tvång mot, vilseleda eller manipulera användaren eller undergräva eller inskränka användarens självständighet, beslutsfattande eller val, inbegripet genom ett digitalt användargränssnitt eller en del därav. I detta sammanhang bör tredje parter eller datahållare inte förlita sig på så kallade mörka mönster i designen av sina digitala gränssnitt. Mörka mönster är designtekniker som driver eller vilseleder konsumenter till beslut som har negativa konsekvenser för dem. Dessa manipulationstekniker kan användas för att övertyga användarna, i synnerhet utsatta konsumenter, att ägna sig åt oönskat beteende, för att vilseleda dem genom att ”puffa” dem så att de fattar beslut om att lämna ut data eller för att otillbörligt påverka de beslut som fattas av tjänstens användare på ett sådant sätt att det undergräver eller inskränker deras handlingsfrihet, beslutsfattande och valfrihet. Gemensamma och legitima affärsmetoder som är förenliga med unionsrätten bör inte i sig anses utgöra mörka mönster (se skäl 38).
Samma skyldighet och hot om påföljder åläggs tredje parter i 17 § 7 punkten i lagen.
Enligt
4 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en datahållare som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet i artikel 4.5 mot att begära att en användare lämnar någon information utöver vad som behövs för att kontrollera om personen kan anses vara en användare och att spara information om användarens åtkomst till begärda data utöver vad som behövs eller förbudet enligt artikel 5.4 mot att begära att en användare eller en tredje part lämnar någon information utöver vad som behövs för att kontrollera om personen kan anses vara en användare eller en tredje part och att spara information om den tredje partens åtkomst till begärda data utöver vad som behövs.
Datahållare kan kräva lämplig användaridentifiering för att kontrollera en användares rätt till dataåtkomst (skäl 29). För att kontrollera om en fysisk eller juridisk person kan anses vara en användare vid tillämpning av artikel 4.1 får en datahållare inte kräva att denna person lämnar någon information utöver vad som är nödvändigt. Datahållare får inte spara någon information, i synnerhet inte loggdata, om användarens åtkomst till de data som begärs utöver vad som är nödvändigt för ett korrekt utförande av användarens begäran om åtkomst och för säkerheten och underhållet av datainfrastrukturen (artikel 4.5). För att kontrollera om en fysisk eller juridisk person kan anses vara en användare eller en tredje part vid tillämpning av artikel 5.1 ska användaren eller den tredje parten inte vara skyldig att tillhandahålla någon information utöver vad som är nödvändigt. Datahållare får inte spara någon information om den tredje partens åtkomst till begärda data utöver vad som är nödvändigt för ett korrekt utförande av den tredje partens begäran om åtkomst och för säkerheten och underhållet av datainfrastrukturen (artikel 5.4).
När det gäller personuppgifter som behandlas av ett personuppgiftsbiträde på uppdrag av den personuppgiftsansvarige bör datahållare säkerställa att begäran om åtkomst tas emot och hanteras av personuppgiftsbiträdet (skäl 29 i ingressen).
Enligt 5 punkten kan av Transport- och kommunikationsverket påföljdsavgift påföras en datahållare som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 4.7 eller artikel 5.10 att skriftligen till användaren eller den tredje parten lämna ett motiverat beslut om att delningen av data hindrats eller delningen av data avbrutits eller skyldigheten enligt artikel 4.8 eller artikel 5.11 att skriftligen tillhandahålla användaren eller den tredje parten motiveringen till att datahållaren vägrat att dela data.
I förordningen förutsätts det att datahållare lämnar ut vissa data till användarna eller till tredje parter som användarna valt. Datahållare bör kunna kräva att användarna, eller de tredje parter som väljs av en användare, bevarar konfidentialiteten hos data som betraktas som företagshemligheter. Datahållare bör därför identifiera företagshemligheter innan data röjs och ha möjlighet att komma överens med användarna, eller de tredje parter som väljs av en användare, om nödvändiga åtgärder för att bevara deras konfidentialitet, bland annat användning av standardavtalsvillkor, avtal om konfidentialitet, strikta åtkomstprotokoll, tekniska standarder och tillämpning av uppförandekoder. Om det inte finns något avtal om de nödvändiga åtgärderna eller om en användare, eller de tredje parter som väljs av en användare, underlåter att genomföra överenskomna åtgärder eller äventyrar konfidentialiteten för företagshemligheter bör datahållaren kunna hindra eller avbryta delningen av data som identifierats som företagshemligheter. I sådana fall bör datahållaren meddela användaren eller den tredje parten beslutet skriftligen utan oskäligt dröjsmål och underrätta den behöriga myndigheten i den medlemsstat där datahållaren är etablerad (se skäl 31).
Datahållare kan i princip inte avslå en begäran om åtkomst till data enligt denna förordning enbart på grundval av att vissa data anses vara en företagshemlighet, eftersom detta skulle undergräva de avsedda verkningarna av denna förordning. Under särskilda omständigheter bör dock en datahållare som är innehavare av en företagshemlighet från fall till fall kunna avslå en begäran om åtkomst till de specifika data i fråga om den kan visa för användaren eller den tredje parten att röjandet av den företagshemligheten, trots tekniska och organisatoriska åtgärder som vidtas av användaren eller av den tredje parten, med stor sannolikhet kommer att orsaka allvarlig ekonomisk skada. Allvarlig ekonomisk skada innebär allvarliga och irreparabla ekonomiska förluster. Datahållaren bör utan oskäligt dröjsmål vederbörligen motivera sitt avslag skriftligen för användaren eller den tredje parten och underrätta den behöriga myndigheten. Denna motivering bör bygga på objektiva faktorer som visar den konkreta risken för allvarlig ekonomisk skada som väntas uppstå till följd av ett visst röjande av data och skälen till att de åtgärder som vidtagits för att skydda de data som begärts inte anses vara tillräckliga. Eventuell negativ inverkan på cybersäkerheten kan beaktas i detta sammanhang. Om användaren eller en tredje part vill bestrida datahållarens beslut att vägra eller att hindra eller avbryta delningen av data kan användaren eller den tredje parten, utan att det påverkar rätten att få sin sak prövad i en domstol, lämna in ett klagomål till den behöriga myndigheten, som utan oskäligt dröjsmål bör besluta huruvida och på vilka villkor datadelning bör inledas eller återupptas eller kan komma överens med datahållaren om att hänskjuta frågan till ett tvistlösningsorgan. Undantagen från rätten till dataåtkomst enligt denna förordning bör under inga omständigheter begränsa de registrerades rätt till tillgång och rätt till dataportabilitet enligt förordning (EU) 2016/679 (se skäl 31).
I punkten finns bestämmelser om påföljder för datahållare som underlåter att meddela användaren eller den tredje parten ett motiverat skriftligt beslut. Syftet med det skriftliga beslutet är att förhindra missbruk av obalans i avtalsförhållanden i anslutning till datatillgång och dataanvändning. För att detta ska kunna rättas till är det viktigt att ett motiverat avtal görs upp skriftligen och att användaren får det utan oskäligt dröjsmål. På så sätt kan kunden granska beslutet om eller grunderna för informationen om vägran av datadelning och vid behov bestrida dem. Enligt artikel 4.7 och artikel 5.10 ska datahållaren lämna ett beslut om att delningen av data avbrutits eller hindrats, medan datahållaren enligt artikel 4.8 och artikel 5.11 skriftligen ska tillhandahålla motiveringen till att datahållaren vägrat att dela data.
Själva skyldigheten enligt artikeln att skydda företagshemligheter i enlighet med artikel 4.6 beaktas genom påföljderna i denna punkt. Denna proposition innehåller emellertid inga påföljder som gäller skyldigheterna i artikeln, utan dessa är privaträttsliga tvistemål mellan innehavaren av företagshemligheten och användaren eller en tredje part. Transport- och kommunikationsverket har inte möjlighet att bedöma villkoren i avtalen bland annat avseende skälighet eller exempelvis huruvida datahållaren har bestämt alltför stränga skyddsåtgärder eller om användaren eller den tredje parten har vidtagit nödvändiga skyddsåtgärder.
Enligt
6 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en datahållare som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 4.13 mot att använda lätt åtkomliga data som är icke-personuppgifter utan ett avtal med användaren eller förbudet enligt artikel 4.14 mot att göra sådana data som är icke-personuppgifter tillgängliga för tredje parter utan ett avtal med användaren.
I enlighet med bestämmelserna i artikel 4.13 får en datahållare endast använda lätt åtkomliga data som är icke-personuppgifter på grundval av ett avtal med användaren. Enligt artikel 4.14 får datahållare inte göra sådana produktdata som är icke-personuppgifter tillgängliga för tredje parter för kommersiella eller icke-kommersiella ändamål annat än för att fullgöra avtalet med användaren. Vid behov ska datahållare genom avtal förbinda tredje parter att inte dela vidare data som de har mottagit från dem.
Påföljderna enligt punkten omfattar datahållares användning av data utan avtal. Åtgärder som står i strid med innehållet i avtalet omfattas emellertid inte av påföljderna, utan de är privaträttsliga tvistemål mellan datahållaren och användaren eller en tredje part som Transport- och kommunikationsverket inte har möjligheter att bedöma. Till dessa tvistemål kan höra bland annat att bedöma om användningen av data i strid med avtalet lett till att användarens kommersiella ställning har försämrats på marknaden.
Enligt
7 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en datahållare som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 5.1 att på begäran göra lätt åtkomliga data och relevanta metadata tillgängliga för en tredje part eller förbudet enligt artikel 8.4 mot att göra data tillgängliga för en datamottagare om inte användaren begär det eller skyldigheten enligt artikel 8.1 att komma överens med en datamottagare om villkoren för att göra data tillgängliga.
Enligt artikel 5.1 ska datahållaren på begäran av en användare, eller av en part som agerar för en användares räkning, utan oskäligt dröjsmål för en tredje part tillgängliggöra lätt åtkomliga data samt de relevanta metadata som är nödvändiga för att tolka och använda dessa data, av samma kvalitet som de som är tillgängliga för datahållaren, på ett enkelt och säkert sätt, kostnadsfritt för användaren, i ett heltäckande, strukturerat, allmänt använt och maskinläsbart format och, när så är relevant och tekniskt genomförbart, kontinuerligt och i realtid. Data ska göras tillgängliga av datahållaren för den tredje parten i enlighet med artiklarna 8 och 9.
Datahållaren ska göra data tillgängliga för den tredje parten i enlighet med artikel 5.1, men den får inte, inbegripet på exklusiv grund, göra data tillgängliga för en datamottagare, såvida inte användaren begär detta enligt kapitel II (artikel 8.4).
Artikel 5.1 kompletterar de centrala skyldigheterna i förordningen att utforma produkter och tjänster så att de data de genererar är tillgängliga för användaren antingen direkt eller indirekt, samt skyldigheten i artikel 4.1 för datahållare att göra lätt åtkomliga data, samt relevanta metadata tillgängliga för användaren. Försummelse av att göra data tillgängliga och avsaknad av en mekanism för behandling av begäranden enligt artikeln ska förenas med påföljder. Vid påförande av en påföljdsavgift ska hänsyn tas till om data har gjorts tillgängliga för den tredje parten i enlighet med artikeln.
Som självständig skyldighet ska det leda till påföljd om data tillgängliggörs i strid med artikel 8.4, det vill säga utan en begäran av användaren. Skyldigheten enligt förordningen att dela data grundar sig på användarens begäran och identifiering av användaren för realisering av rättigheter och skyldigheter.
Påföljdsavgift kan också påföras om datahållaren försummar sin skyldighet enligt artikel 8.1 att komma överens med en datamottagare om villkoren för att göra data tillgängliga. Om en datahållare inom ramen för förbindelser mellan företag är skyldig att göra data tillgängliga för en datamottagare enligt artikel 5 eller enligt annan tillämplig unionsrätt eller nationell lagstiftning som antagits i enlighet med unionsrätten, ska datahållaren komma överens med en datamottagare om villkoren för att göra data tillgängliga och ska göra detta på rättvisa, rimliga och icke-diskriminerande villkor och på ett öppet sätt i enlighet med kapitel III och kapitel IV (artikel 8.1).
Dataåtkomsten enligt förordningen bör baseras på rättvisa, rimliga och icke-diskriminerande villkor. Dessa allmänna åtkomstregler är inte tillämpliga på skyldigheter att göra data tillgängliga enligt förordning (EU) 2016/679. Frivillig datadelning påverkas inte av dessa regler. De icke-bindande standardavtalsvillkor för datadelning mellan företag som ska utarbetas och rekommenderas av kommissionen kan hjälpa parterna att ingå avtal som innehåller rättvisa, rimliga och icke-diskriminerande villkor och som genomförs på ett transparent sätt. Ingåendet av ett sådant avtal, som kan inkludera de icke-bindande standardavtalsvillkoren, bör inte innebära att rätten att dela data med tredje parter på något sätt är avhängig av att det finns ett sådant avtal. Om parterna inte kan ingå ett avtal om datadelning, inbegripet med stöd av tvistlösningsorgan, kan rätten att dela data med tredje parter inte åberopas i nationella domstolar (se skäl 42).
På grundval av principen om avtalsfrihet bör parterna fortsatt vara fria att förhandla fram de exakta villkoren för att göra data tillgängliga i sina avtal, inom ramen för de allmänna åtkomstreglerna för tillgängliggörandet av data. Villkoren i sådana avtal kan omfatta tekniska och organisatoriska åtgärder, bland annat i samband med datasäkerhet (skäl 43).
Varje skyldighet ska som enskild gärning vara förenad med påföljder. Eftersom skyldigheterna är centrala för uppfyllelsen av syftet med förordningen ska den högre påföljdsavgiften enligt 20 § i lagen kunna påföras för gärningarna.
Enligt
8 mom.
kan av Transport- och kommunikationsverket påföljdsavgift påföras en datahållare som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 18.1 att utan oskäligt dröjsmål göra data tillgängliga för de begärande organ som avses i artikeln.
En datahållare som mottar en begäran om att göra data tillgängliga enligt detta kapitel ska utan oskäligt dröjsmål göra dessa data tillgängliga för det begärande offentliga organet, kommissionen, Europeiska centralbanken eller ett unionsorgan, med beaktande av nödvändiga tekniska, organisatoriska och rättsliga åtgärder (artikel 18.1).
Datahållare bör ha möjlighet att antingen avslå en begäran som gjorts av ett offentligt organ, kommissionen, Europeiska centralbanken eller ett unionsorgan eller begära en ändring av den utan onödigt dröjsmål men det bör finnas ett giltigt skäl till att inte göra data tillgängliga. En datahållare som avvisar begäran eller begär en ändring av den bör meddela den motivering som ligger till grund för detta till det offentliga organ, kommissionen, Europeiska centralbanken eller ett unionsorgan som begär data. I de fall då rätten av sitt eget slag avseende databaser enligt Europaparlamentets och rådets direktiv 96/9/EG (29) gäller för de datamängder som begärts, bör datahållare utöva sina rättigheter på ett sådant sätt att det inte hindrar ett offentligt organ, kommissionen, Europeiska centralbanken eller ett unionsorgan från att erhålla dessa data eller från att dela dessa data, i enlighet med denna förordning (se skäl 71 i ingressen).
Mekanismen har skapats eftersom syftet med förordningen är att stödja myndigheternas möjligheter att sköta sina lagstadgade uppgifter som ligger i allmänt intresse. Åtkomsten i vissa situationer till data som innehas av privata aktörer underlättar myndigheternas verksamhet. Detta är en av de viktigaste skyldigheterna i förordningen. Med tanke på tillämpningen av och tillsynen över efterlevnaden av förordningen är det viktigt att påföra påföljder för försummelse av att tillgängliggöra data.
För att minska bördan för företag bör emellertid mikroföretag och små företag endast omfattas av skyldigheten att förse offentliga organ, kommissionen, Europeiska centralbanken eller unionsorgan med data i situationer då det finns exceptionella behov om sådana data krävs för att hantera ett allmänt nödläge och det offentliga organet, kommissionen, Europeiska centralbanken eller unionsorganet inte i tid, på ett ändamålsenligt sätt och på likvärdiga villkor kan erhålla sådana data på alternativa sätt (skäl 63).
15 §. Påföljdsavgift för användare.
I paragrafen föreslås bestämmelser om de skyldigheter i förordningen som vid överträdelse kan leda till påföljdsavgift för användaren av en uppkopplad produkt eller tillhörande tjänst, som kan vara en juridisk person eller en fysisk person. Användaren kan påföras en påföljdsavgift endast för överträdelse av de centrala skyldigheterna i förordningen, varvid maximibeloppet av påföljdsavgiften kan fastställas som det högre beloppet enligt 20 § 2 mom.
Enligt
1 mom.
kan av Transport- och kommunikationsverket påföljdsavgift påföras en i dataförordningen avsedd användare som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 4.6 att iaktta de skyddsåtgärder för bevarande av företagshemligheter som överenskommits med datahållaren eller innehavaren av företagshemligheter.
Företagshemligheter ska bevaras och får endast röjas om datahållaren och användaren före utlämnandet vidtar alla nödvändiga åtgärder för att bevara deras konfidentialitet, särskilt avseende tredje parter. Datahållaren, eller om det inte är samma person, innehavaren av en företagshemlighet, ska identifiera de data som skyddas som företagshemligheter, inbegripet i relevanta metadata, och ska komma överens med användaren om de proportionella tekniska och organisatoriska åtgärder som är nödvändiga för att bevara konfidentialiteten för delade data, särskilt i förhållande till tredje parter, såsom standardavtalsvillkor, avtal om konfidentialitet, strikta åtkomstprotokoll, tekniska standarder och tillämpning av uppförandekoder (artikel 4.6). Dessa skyddsåtgärder ska tas i bruk innan data delas.
Datahållaren får alltså inte införa alltför strikta skyddsåtgärder, utan de ska vara proportionella. Om användaren inte vidtar skyddsåtgärder enligt artikeln för att skydda företagshemligheter kan datahållarna i vissa fall avslå begäran om åtkomst till data. Datahållare kan i princip inte avslå en begäran om åtkomst till data enligt denna förordning enbart på grundval av att vissa data anses vara en företagshemlighet, eftersom detta skulle undergräva de avsedda verkningarna av denna förordning. Under särskilda omständigheter bör dock en datahållare som är innehavare av en företagshemlighet från fall till fall kunna avslå en begäran om åtkomst till de specifika data i fråga om den kan visa för användaren eller den tredje parten att röjandet av den företagshemligheten, trots tekniska och organisatoriska åtgärder som vidtas av användaren eller av den tredje parten, med stor sannolikhet kommer att orsaka allvarlig ekonomisk skada. Allvarlig ekonomisk skada innebär allvarliga och irreparabla ekonomiska förluster. Datahållaren bör utan oskäligt dröjsmål vederbörligen motivera sitt avslag skriftligen för användaren eller den tredje parten och underrätta den behöriga myndigheten. Denna motivering bör bygga på objektiva faktorer som visar den konkreta risken för allvarlig ekonomisk skada som väntas uppstå till följd av ett visst röjande av data och skälen till att de åtgärder som vidtagits för att skydda de data som begärts inte anses vara tillräckliga. Eventuell negativ inverkan på cybersäkerheten kan beaktas i detta sammanhang. Om användaren eller en tredje part vill bestrida datahållarens beslut att vägra eller att hindra eller avbryta delningen av data kan användaren eller den tredje parten, utan att det påverkar rätten att få sin sak prövad i en domstol, lämna in ett klagomål till den behöriga myndigheten, som utan oskäligt dröjsmål bör besluta huruvida och på vilka villkor datadelning bör inledas eller återupptas eller kan komma överens med datahållaren om att hänskjuta frågan till ett tvistlösningsorgan. Undantagen från rätten till dataåtkomst enligt denna förordning bör under inga omständigheter begränsa de registrerades rätt till tillgång och rätt till dataportabilitet enligt förordning (EU) 2016/679 (se skäl 31).
Enligt 2 punkten kan av Transport- och kommunikationsverket påföljdsavgift påföras en användare enligt dataförordningen som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 4.10 mot att använda eller med en tredje part dela data erhållna av en datahållare för att utveckla en uppkopplad produkt som konkurrerar med den produkt som dessa data härrör från.
Förordningen syftar till att undvika att undergräva investeringsincitamenten för den typ av uppkopplad produkt som data erhålls från, exempelvis genom användning av data för utveckling av en konkurrerande uppkopplad produkt som utifrån sina egenskaper, priset och den avsedda användningen skulle kunna ersätta den ursprungliga produkten. I denna förordning föreskrivs inget förbud mot utveckling av en tillhörande tjänst med hjälp av data som erhålls enligt denna förordning, eftersom detta skulle ha en oönskad avskräckande effekt på innovation. Att förbjuda användning av data som görs tillgängliga enligt denna förordning för att utveckla konkurrerande uppkopplade produkter skyddar datahållares innovationsinsatser. Huruvida en uppkopplad produkt konkurrerar med den uppkopplade produkt som data härrör från beror på om de båda uppkopplade produkterna konkurrerar på samma produktmarknad. Detta bör fastställas på grundval av de principer i unionens konkurrenslagstiftning som fastslagits för att definiera den relevanta produktmarknaden. Lagliga ändamål för användningen av data kan dock omfatta bakåtkompilering, under förutsättning den uppfyller kraven i denna förordning och i unionsrätten eller nationell rätt. Detta kan vara fallet när det gäller reparation eller förlängning av en uppkopplad produkts livslängd eller tillhandahållande av eftermarknadstjänster för uppkopplade produkter (skäl 32). En tredjepart får emellertid använda data för att utveckla en ny och innovativ uppkopplad produkt eller tillhörande tjänst men inte för att utveckla en konkurrerande uppkopplad produkt (skäl 39).
Ett förbud enligt artikel 6.2 e i förordningen att utveckla en konkurrerande produkt har i 17 § 5 punkten föreskrivits också för användaren.
Enligt
3 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en användare enligt dataförordningen som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 4.11 mot att för att få åtkomst till data, använda tvångsmedel eller missbruka luckor i en datahållares tekniska infrastruktur som utformats för att skydda data.
Hotet om påföljder omfattar användarens missbruk av luckor i den tekniska infrastrukturen som sker uppsåtligen eller av oaktsamhet. Det förutsätts alltså att överträdelsen sker uppsåtligen eller av oaktsamhet. Det ska vara fråga om något slag av medveten strävan att få åtkomst till data som användaren inte har fått rätt till. Inom ramen för teknisk infrastruktur kan det också vara fråga om verksamhet av oaktsamhet, om bristerna utnyttjas när det är möjligt, utan utredning av om användare har rätt till det.
16 §. Påföljdsavgift för grindvaktsföretag.
Paragrafen föreslås innehålla bestämmelser om Transport- och kommunikationsverkets möjlighet att påföra ett grindvaktsföretag som betecknats enligt artikel 3 i förordningen om den digitala marknaden en påföljdsavgift, om grindvaktsföretaget uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 5.3 i dataförordningen att begära eller ta emot data.
Ett grindvaktsföretag anses inte enligt artikel 5.3 i dataförordningen vara en godtagbar tredje part och får därför inte
på något som helst sätt anmoda en användare, genom begäran eller kommersiellt incitament, inbegripet genom att erbjuda ekonomisk eller annan ersättning, att göra data som användaren har erhållit till följd av en begäran enligt artikel 4.1 tillgängliga för en av förtagets tjänster,
anmoda en användare, genom begäran eller kommersiellt incitament, att begära att datahållaren gör data tillgängliga för en av företagets tjänster enligt punkt 1 i denna artikel,
från en användare ta emot data som användaren har erhållit till följd av en begäran enligt artikel 4.1.
Eftersom grindvaktsföretagen enligt skäl 40 till dataförordningen i förhållande till konkurrenterna till dessa företag har en unik förmåga att förvärva data, är det inte nödvändigt för uppnåendet av dataförordningens mål, och därför oproportionellt för datahållare som omfattas av sådana skyldigheter, att låta grindvakter omfattas av rätten till dataåtkomst. Om sådana företag omfattades skulle sannolikt även fördelarna med dataförordningen begränsas för mikroföretag och små och medelstora företag med avseende på en rättvis fördelning av datavärdet mellan marknadsaktörerna. Detta betyder att ett företag som tillhandahåller centrala plattformstjänster som har utsetts till grindvakt inte kan begära eller beviljas åtkomst till användares data som genereras genom användning av en uppkopplad produkt eller tillhörande tjänst eller av en virtuell assistent enligt dataförordningen. Dessutom får tredje parter som får tillgång till data på begäran av användaren inte göra dessa data tillgängliga för en grindvakt. Den tredje parten får exempelvis inte lägga ut tjänstetillhandahållandet på entreprenad hos en grindvakt. Detta hindrar dock inte tredje parter från att använda databehandlingstjänster som erbjuds av en grindvakt. Det hindrar inte heller dessa företag från att erhålla och använda samma data på annat lagligt sätt. Åtkomsträttigheterna enligt den här förordningen bidrar till ett större urval av tjänster för konsumenter. Eftersom frivilliga avtal mellan grindvakter och datahållare inte påverkas, skulle begränsningen när det gäller beviljande av åtkomst för grindvakter inte utestänga dem från marknaden eller hindra dem från att erbjuda sina tjänster.
På grund av grindvaktsföretagens ovan beskrivna roll tillämpas i fråga om dem vid överträdelser eller försummelser av förbudet enligt denna paragraf 20 § 2 mom. i den föreslagna lagen, för att hotet om påföljd ska vara tillräckligt avskräckande och effektivt.
17 §. Påföljdsavgift för tredje parter.
Paragrafen innehåller bestämmelser om de skyldigheter enligt förordningen som vid överträdelse kan leda till påföljdsavgift för en tredje part för vilken data görs tillgängliga. Tredje parten kan vara en fysisk person eller en juridisk person inklusive till exempel forskningsorganisationer, andra organisationer eller föreningar.
Enligt
1 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en tredje part som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 5.5 mot att använda tvångsmedel och att missbruka luckor i en datahållares tekniska infrastruktur som utformats för att skydda data, för att få åtkomst till data.
Tredje parter får inte göra det orimligt svårt för användaren att göra sina val eller utöva sina rättigheter, inbegripet genom att erbjuda användaren val på ett icke-neutralt sätt, eller genom att utöva tvång mot, vilseleda eller manipulera användaren eller undergräva eller inskränka användarens självständighet, beslutsfattande eller val, inbegripet genom ett digitalt användargränssnitt eller en del därav. I detta sammanhang bör tredje parter inte förlita sig på så kallade mörka mönster i designen av sina digitala gränssnitt. Mörka mönster är designtekniker som driver eller vilseleder konsumenter till beslut som har negativa konsekvenser för dem. Dessa manipulationstekniker kan användas för att övertyga användarna, i synnerhet utsatta konsumenter, att ägna sig åt oönskat beteende, för att vilseleda dem genom att ”puffa” dem så att de fattar beslut om att lämna ut data eller för att otillbörligt påverka de beslut som fattas av tjänstens användare på ett sådant sätt att det undergräver eller inskränker deras handlingsfrihet, beslutsfattande och valfrihet. Gemensamma och legitima affärsmetoder som är förenliga med unionsrätten bör inte i sig anses utgöra mörka mönster (se skäl 38).
I fråga om missbruk av tekniska luckor i infrastrukturen förutsätts det att överträdelsen är uppsåtlig eller beror på oaktsamhet. Det ska vara fråga om något slag av medveten strävan att få åtkomst till data som användaren inte har fått rätt till. Vid missbruk av brister i den tekniska infrastrukturen kan det också vara fråga om verksamhet av oaktsamhet, om bristerna utnyttjas eftersom det är möjligt, utan utredning av om användare har rätt till det. Också för användarens del ska motsvarande förbud med stöd av artikel 4.11 i dataförordningen förenas med påföljder enligt 15 § 3 punkten i den föreslagna lagen.
Skyldigheten kan betraktas som väsentlig med tanke på målen för förordningen, varvid maximibeloppet av den påföljdsavgift som påförs vid överträdelse kan fastställas enligt det högre beloppet i 20 § 2 mom.
Enligt
2 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en tredje part som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 6.2 a mot att göra det orimligt svårt för användaren att göra val eller utöva rättigheter.
Enligt artikel 6.2 a får den tredje parten inte göra det orimligt svårt för användaren att göra sina val eller utöva sina rättigheter enligt artikel 5 och den här artikeln, inbegripet genom att erbjuda användaren val på ett icke-neutralt sätt, eller utöva tvång mot, vilseleda eller manipulera användaren eller genom att undergräva eller inskränka användarens självständighet, beslutsfattande eller val, inbegripet genom ett digitalt användargränssnitt eller en del därav.
Som orimligt svåra kan alltså anses åtminstone situationer, där en tredje part utnyttjar mörka mönster som får användare att agera i strid med sitt eget intresse eller sina egna avsikter.
Det finns också bestämmelser om möjligheten att påföra datahållare påföljder vid överträdelse av förbudet mot att göra det svårt för användaren att utnyttja sin valfrihet och sina rättigheter. För användarens rättigheter enligt 5 kap., se specialmotiveringen till 14 § 3 punkten.
För att förhindra att användare utnyttjas bör tredje parter som fått tillgång till data på användarens begäran endast behandla dessa data för de ändamål som överenskommits med användaren och endast dela dem med annan tredje part med användarens samtycke till en sådan datadelning (skäl 37).
I enlighet med principen om uppgiftsminimering ska tredje parter ha åtkomst endast till sådana uppgifter som behövs för tillhandahållande av den tjänst användaren begär. När en tredje part har fått åtkomst till data ska den behandla data för ändamål som överenskommits med användaren utan datahållarens ingripande. Att vägra eller avbryta den tredje partens åtkomst till data ska vara lika enkelt för användaren som att tillåta åtkomsten. Tredje parter och datahållare får inte göra det orimligt svårt för användaren att göra sina val eller utöva sina rättigheter, inbegripet genom att erbjuda användaren val på ett icke-neutralt sätt, eller genom att utöva tvång mot, vilseleda eller manipulera användaren eller undergräva eller inskränka användarens handlingsfrihet, beslutsfattande eller val, inbegripet genom ett digitalt användargränssnitt eller en del därav. I detta sammanhang bör tredje parter eller datahållare inte förlita sig på så kallade mörka mönster i designen av sina digitala gränssnitt. Mörka mönster är designtekniker som driver eller vilseleder konsumenter till beslut som har negativa konsekvenser för dem. Dessa manipulationstekniker kan användas för att övertyga användarna, i synnerhet utsatta konsumenter, att ägna sig åt oönskat beteende, för att vilseleda dem så att de fattar beslut om att lämna ut data eller för att otillbörligt påverka de beslut som fattas av tjänstens användare på ett sådant sätt att det undergräver eller inskränker deras handlingsfrihet, beslutsfattande och valfrihet. Gemensamma och legitima affärsmetoder som är förenliga med unionsrätten bör inte i sig anses utgöra mörka mönster. Tredje parter och datahållare bör fullgöra sina skyldigheter enligt relevant unionsrätt, i synnerhet kraven i Europaparlamentets och rådets direktiv 98/6/EG (24) och 2000/31/EG (25) samt i direktiven 2005/29/EG och 2011/83/EU (skäl 38).
Tredje parter bör också avstå från att använda data som omfattas av denna förordning för profilering av individer om inte sådan behandling är strikt nödvändig för tillhandahållandet av den tjänst som begärs av användaren, bland annat i samband med automatiserat beslutsfattande. Kravet att radera data när de inte längre krävs för det ändamål som överenskommits med användaren, om inte annat överenskommits när det gäller icke-personuppgifter, kompletterar den registrerades rätt till radering enligt artikel 17 i förordning (EU) 2016/679. När en tredje part är en leverantör av en dataförmedlingstjänst tillämpas de skyddsåtgärder för den registrerade som föreskrivs i förordning (EU) 2022/868. Den tredje parten får använda data för att utveckla en ny och innovativ uppkopplad produkt eller tillhörande tjänst men inte för att utveckla en konkurrerande uppkopplad produkt (skäl 39).
Enligt
3 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en tredje part som uppsåtligen eller av oaktsamhet bryter mot eller försummar) förbudet enligt artikel 6.2 c mot att göra de data som den tar emot tillgängliga för en annan tredje part utan ett avtal med användaren och utan att den andra tredje parten vidtar alla de skyddsåtgärder för bevarande av företagshemligheter som överenskommits mellan datahållaren och den tredje parten.
För att förhindra att användare utnyttjas bör tredje parter som fått tillgång till data på användarens begäran endast behandla dessa data för de ändamål som överenskommits med användaren och endast dela dem med annan tredje part med användarens samtycke till en sådan datadelning (skäl 37).
Enligt
4 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en tredje part som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 6.2 d mot att göra data tillgängliga för ett grindvaktsföretag enligt artikel 3 i förordningen om digitala marknader.
Det är svårt för uppstartsföretag, små företag och medelstora företag att få åtkomst till relevanta data. Målet för dataförordningen är att underlätta dataåtkomsten för dessa sammanslutningar och samtidigt säkerställa att motsvarande skyldigheter tillämpas så proportionellt som möjligt, så att överdrifter kan undvikas. Samtidigt har ett litet antal mycket stora företag med betydande ekonomisk styrka vuxit fram i den digitala ekonomin genom ackumulering och aggregering av enorma datavolymer och den tekniska infrastrukturen för monetarisering av dem. Dessa mycket stora företag inkluderar företag som tillhandahåller centrala plattformstjänster och kontrollerar hela plattformsekosystem i den digitala ekonomin och som befintliga eller nya marknadsaktörer inte kan utmana eller konkurrera med dem. Förordningen om digitala marknader syftar till att avhjälpa dessa ineffektiva aspekter och obalanser genom att tillåta att kommissionen utser ett företag till grindvakt. I enlighet med förordningen om digitala marknader och mot bakgrund av dessa företags unika möjlighet att förvärva data, är det inte nödvändigt för uppnåendet av dataförordningens mål, och därför oproportionellt för datahållare som omfattas av sådana skyldigheter, att låta grindvakter omfattas av rätten till dataåtkomst. Om sådana företag omfattades skulle sannolikt även fördelarna med den här förordningen begränsas för mikroföretag och små och medelstora företag med avseende på en rättvis fördelning av datavärdet mellan marknadsaktörerna. Detta betyder att ett företag som tillhandahåller centrala plattformstjänster som har utsetts till grindvakt inte kan begära eller beviljas åtkomst till användares data som genereras genom användning av en uppkopplad produkt eller tillhörande tjänst eller av en virtuell assistent enligt den här förordningen. Dessutom får tredje parter som får tillgång till data på begäran av användaren inte göra dessa data tillgängliga för en grindvakt. Den tredje parten får exempelvis inte lägga ut tjänstetillhandahållandet på entreprenad hos en grindvakt. Detta hindrar dock inte tredje parter från att använda databehandlingstjänster som erbjuds av en grindvakt. Det hindrar inte heller dessa företag från att erhålla och använda samma data på annat lagligt sätt. Åtkomsträttigheterna enligt den här förordningen bidrar till ett större urval av tjänster för konsumenter. Eftersom frivilliga avtal mellan grindvakter och datahållare inte påverkas, skulle begränsningen när det gäller beviljande av åtkomst för grindvakter inte utestänga dem från marknaden eller hindra dem från att erbjuda sina tjänster (se skäl 40). Se också den föreslagna lagens 16 §.
Enligt
5 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en tredje part som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 6.2 e mot att använda eller med en annan tredje part dela data erhållna av en datahållare för att utveckla en uppkopplad produkt som konkurrerar med den produkt som dessa data härrör från.
Den tredje parten får använda data för att utveckla en ny och innovativ uppkopplad produkt eller tillhörande tjänst men inte för att utveckla en konkurrerande uppkopplad produkt (skäl 39). Förordningen syftar till att undvika att undergräva investeringsincitamenten för den typ av uppkopplad produkt som data erhålls från, exempelvis genom användning av data för utveckling av en konkurrerande uppkopplad produkt som utifrån sina egenskaper, priset och den avsedda användningen skulle kunna ersätta den ursprungliga produkten. I denna förordning föreskrivs inget förbud mot utveckling av en tillhörande tjänst med hjälp av data som erhålls enligt denna förordning, eftersom detta skulle ha en oönskad avskräckande effekt på innovation. Att förbjuda användning av data som görs tillgängliga enligt denna förordning för att utveckla konkurrerande uppkopplade produkter skyddar datahållares innovationsinsatser. Huruvida en uppkopplad produkt konkurrerar med den uppkopplade produkt som data härrör från beror på om de båda uppkopplade produkterna konkurrerar på samma produktmarknad. Detta bör fastställas på grundval av de principer i unionens konkurrenslagstiftning som fastslagits för att definiera den relevanta produktmarknaden. Lagliga ändamål för användningen av data kan dock omfatta bakåtkompilering, under förutsättning den uppfyller kraven i denna förordning och i unionsrätten eller nationell rätt. Detta kan vara fallet när det gäller reparation eller förlängning av en uppkopplad produkts livslängd eller tillhandahållande av eftermarknadstjänster för uppkopplade produkter (skäl 32).
I 15 § 2 punkten har ett motsvarande förbud enligt artikel 2.10 i förordningen att utveckla en konkurrerande produkt föreskrivits också för användaren.
Skyldigheten kan betraktas som väsentlig med tanke på uppfyllelse av målen för förordningen, varvid maximibeloppet av den påföljdsavgift som påförs vid överträdelse kan fastställas enligt det högre beloppet i 20 § 2 mom.
Enligt
6 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en tredje part som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 6.2 g att iaktta de åtgärder för bevarande av företagshemligheter som överenskommits med datahållaren eller innehavaren av företagshemligheter.
Tredje parten får inte bortse från specifika åtgärder som överenskommits med en datahållare eller med innehavaren av företagshemligheter enligt artikel 5.9 och äventyra konfidentialiteten för företagshemligheter (artikel 6.2 g). Datahållaren, eller, om det inte är samma person, innehavaren av en företagshemlighet, ska identifiera de data som skyddas som företagshemligheter, inbegripet i relevanta metadata, och ska komma överens med den tredje parten om alla proportionella tekniska och organisatoriska åtgärder som är nödvändiga för att bevara konfidentialiteten för delade data, såsom standardavtalsvillkor, avtal om konfidentialitet, strikta åtkomstprotokoll, tekniska standarder och tillämpning av uppförandekoder (artikel 5.9).
Skyldigheten kan betraktas som väsentlig med tanke på uppfyllelse av målen för förordningen, varvid maximibeloppet av den påföljdsavgift som påförs vid överträdelse kan fastställas enligt det högre beloppet i 20 § 2 mom.
Enligt
7 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en tredje part som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 6.2 h mot att hindra en användare som är en konsument från att göra mottagna data tillgängliga för andra parter.
Tredje parten får inte hindra en användare som är konsument från att göra data som den tagit emot tillgängliga för andra parter, inte heller med stöd av avtal.
18 §. Påföljdsavgift för leverantörer av databehandlingstjänster.
Enligt
1 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en leverantör av databehandlingstjänster som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 25.1 i dataförordningen att ingå ett skriftligt avtal med kunden och göra avtalet tillgängligt för kunden före undertecknandet av avtalet.
Kundens rättigheter och leverantörens skyldigheter vad gäller ett byte av leverantör av databehandlingstjänster eller, i tillämpliga fall, till lokal IKT-infrastruktur ska tydligt anges i ett skriftligt avtal. Leverantören av databehandlingstjänster ska göra detta avtal tillgängligt för kunden före undertecknandet av avtalet på ett sätt som gör det möjligt för kunden att lagra och återge avtalet (artikel 25.1).
Syftet med förordningen är att förhindra missbruk av obalans i avtalsförhållanden i anslutning till datatillgång och dataanvändning. För att detta ska kunna rättas till är det viktigt att avtalet görs upp skriftligt så att kunden får det före undertecknandet på ett sådant sätt att avtalet kan lagras. På så sätt kan kunden granska avtalet på förhand.
Enligt
2 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en leverantör av databehandlingstjänster som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 26 i dataförordningen att förse kunden med den information som anges i artikeln.
Leverantören av databehandlingstjänster ska förse kunden med
information om tillgängliga förfaranden för byte och portering till databehandlingstjänsten, inbegripet information om tillgängliga metoder och format för byten och portering samt tekniska och andra begränsningar som leverantören av databehandlingstjänster känner till,
en hänvisning till ett uppdaterat onlineregister som sköts av leverantören av databehandlingstjänster, med uppgifter om alla datastrukturer och dataformat samt relevanta standarder och öppna interoperabilitetsspecifikationer i vilka de exporterbara data som avses i artikel 24.2 e är tillgängliga.
Avsikten är att information som leverantörer av databehandlingstjänster tillhandahåller kunderna ska stödja kundens rättighet att lösgöra sig och byta tjänst. Informationen bör omfatta förfaranden för att påbörja ett byte från databehandlingstjänsten, de maskinläsbara dataformat till vilka användarens data kan exporteras, verktygen för export av data, inklusive ett öppet gränssnitt och information om kompabilitet med harmoniserade standarder eller gemensamma specifikationer baserade på öppna interoperabilitetsspecifikationer, information om kända tekniska restriktioner och begränsningar som kan påverka bytesprocessen och den beräknade tid som krävs för att slutföra bytesprocessen (skäl 95).
Enligt 3
punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en leverantör av databehandlingstjänster som uppsåtligen eller av oaktsamhet bryter mot eller försummar förbudet enligt artikel 29.1 i dataförordningen mot att ta ut bytesavgifter.
Från och med den 12 januari 2027 får leverantörer av databehandlingstjänster inte ta ut bytesavgifter för bytesprocessen.
Bytesavgifter är sådana avgifter som leverantörer av databehandlingstjänster debiterar sina kunder för bytesprocessen. Syftet med dessa avgifter är vanligen att föra vidare de kostnader som den ursprungliga leverantören av databehandlingstjänster kan komma att ådra sig på grund av bytesprocessen till den kund som vill byta leverantör. Vanliga exempel på bytesavgifter är kostnader som rör överföringen av data från en leverantör till en annan leverantör av databehandlingstjänster eller till lokal IKT-infrastruktur (uttagsavgifter för data) eller kostnader för särskilda stödåtgärder under bytesprocessen. Onödigt höga uttagsavgifter för data och andra omotiverade avgifter utan anknytning till faktiska byteskostnader hindrar kunderna från att byta, begränsar det fria flödet av data, riskerar att begränsa konkurrensen samt skapar inlåsningseffekter för kunderna genom att de minskar incitamenten att välja en annan eller ytterligare en tjänsteleverantör. Bytesavgifter bör därför avskaffas tre år från dagen för denna förordnings ikraftträdande. Leverantörer av databehandlingstjänster bör kunna ta ut nedsatta bytesavgifter till och med den dagen (skäl 88 i ingressen). Se också skäl 89 till förordningen.
Enligt
4 punkten
kan av Transport- och kommunikationsverket påföljdsavgift påföras en leverantör av databehandlingstjänster som uppsåtligen eller av oaktsamhet bryter mot eller försummar skyldigheten enligt artikel 32.1 i dataförordningen att vidta adekvata åtgärder för att förhindra överföring till tredjeländer av och tredjeländers statliga åtkomst till icke-personuppgifter.
Leverantörer av databehandlingstjänster ska vidta alla adekvata tekniska, organisatoriska och rättsliga åtgärder, inbegripet avtal, för att förhindra internationell statlig åtkomst och tredjeländers statliga åtkomst till och överföring av icke-personuppgifter som innehas i unionen, om en sådan överföring eller åtkomst skulle strida mot unionsrätten eller den berörda medlemsstatens nationella rätt, utan att det påverkar tillämpningen av punkt 2 eller 3 (artikel 32.1).
För att främja förtroendet för data är det viktigt att det i möjligaste mån genomförs skyddsåtgärder för unionens medborgare, offentliga organ och företag för att säkra deras kontroll över sina data. Dessutom bör unionsrätten och unionens värden och standarder med avseende på bland annat säkerhet, dataskydd och integritet samt konsumentskydd upprätthållas. För att förhindra olaglig statlig åtkomst till icke-personuppgifter av myndigheter i tredjeländer bör leverantörer av databehandlingstjänster som omfattas av denna förordning, däribland molntjänster och edgetjänster, vidta alla rimliga åtgärder för att förhindra åtkomst till system där icke-personuppgifter lagras, inbegripet, när så är lämpligt, genom kryptering av data, frekventa revisioner, verifierad anslutning till relevanta certifieringssystem för säkerhetsförsäkran och ändring av företagspolicyer (skäl 102).
19 §.Påföljdsavgift för leverantörer av dataförmedlingstjänster.
I paragrafen föreskrivs det om en påföljdsavgift som Transport- och kommunikationsverket kan påföra en leverantör av dataförmedlingstjänster enligt artikel 10 i dataförvaltningsakten.
I
1 punkten
föreskrivs det att av Transport- och kommunikationsverket kan påföljdsavgift påföras en leverantör av dataförmedlingstjänster som bryter mot eller försummar den anmälningsskyldighet för leverantörer av dataförmedlingstjänster som föreskrivs i artikel 11 i dataförvaltningsakten. Enligt
2 punkten
kan en påföljdsavgift påföras om en leverantör av dataförmedlingstjänster bryter mot eller försummar de villkor för tillhandahållande av dataförmedlingstjänster som föreskrivs i artikel 12 i förordningen. Enligt
3 punkten
kan en påföljdsavgift påföras om en leverantör av dataförmedlingstjänster bryter mot eller försummar de villkor för överföring till tredjeländer av andra uppgifter än personuppgifter som föreskrivs i artikel 31 i förordningen.
Avgiften förutsätter tillräknande, det vill säga uppsåt eller oaktsamhet. Paragrafen innehåller ingen ny lagstiftning, utan motsvarande bestämmelser ingår i 334 a § i den gällande lagen om tjänster inom elektronisk kommunikation, som i propositionen föreslås bli upphävd. Det föreslås att bestämmelserna flyttas till den nya lagen utan att ändras i sak. Genom paragrafen genomförs artikel 34 i dataförvaltningsakten.
20 §.Storleken på påföljdsavgifter som gäller dataförordningen.
I paragrafen föreslås det bestämmelser om storleken på påföljdsavgifter som gäller dataförordningen. Det högsta beloppet av påföljdsavgiften är graderat så att en påföljdsavgift där det högsta beloppet är högre kan påföras för brott mot centrala skyldigheter i förordningen, eftersom försummelse av dem på ett väsentligt sätt hindrar uppfyllelsen av målen för förordningen.
Utgångspunkten vid påförande av påföljdsavgift är att avgiften ska ha en tillräcklig individuellt och allmänt avhållande verkan. Påföljdsavgiftens belopp ska vara sådant att det inte lönar sig för näringsidkaren att bryta mot bestämmelserna. För att påföljden ska ha en tillräcklig förebyggande effekt ska avgiften vara tillräckligt stor.
I
1 mom
. finns bestämmelser om hur stor påföljdsavgiften i regel kan vara som högst. Om en påföljdsavgift som gäller dataförordningen påförs en näringsidkare, får påföljdsavgiften uppgå till högst 2 procent av omsättningen under den räkenskapsperiod som föregår beslutet om påföljdsavgift. Om en påföljdsavgift påförs en fysisk person som inte är näringsidkare, får påföljdsavgiften uppgå till högst 2 procent av personens skattepliktiga inkomster enligt den senast verkställda beskattningen, dock högst 2 000 euro.
Enligt
2 mom.
får påföljdsavgiften, med avvikelse från vad som föreskrivs i 1 mom., för överträdelser och försummelser enligt 13 § 1 mom., 14 § 1 och 7 punkten, 15 och 16 §, 17 § 1, 5 och 6 punkten uppgå till 4 procent av näringsidkarens omsättning under den räkenskapsperiod som föregår beslutet om påföljdsavgift. Om en påföljdsavgift enligt detta moment påförs en fysisk person som inte är näringsidkare, får påföljdsavgiften uppgå till högst 4 procent av den fysiska personens skattepliktiga inkomster enligt den senast verkställda beskattningen, dock högst 4 000 euro.
Med näringsidkare avses i 1 och 2 mom. en fysisk person eller en privat eller offentlig juridisk person, som bedriver näringsverksamhet eller annan motsvarande ekonomisk verksamhet. En näringsidkare kan också vara en privat näringsidkare, det vill säga en så kallad firma eller till exempel en forskningsorganisation, en annan organisation eller en förening.
En fysisk person som inte är näringsidkare, kan åtminstone vara en användare eller tredje part som avses i förordningen. Det föreslås bestämmelser i 15 och 17 § om påföljder för användares och tredje parters agerande.
Förordningen innehåller inga bestämmelser om påföljdsavgifternas storlek. Propositionen innehåller flera skyldigheter av olika typ, med olika grad av väsentlighet, för vilka påföljdsavgifter kan påföras. Dessutom ska påförandet av påföljdsavgift grundas på helhetsprövning. Därför har det inte ansetts möjligt att fastställa en enhetlig undre gräns som är lämplig i alla situationer. I lagen föreslås bestämmelser endast om maximibeloppen av påföljdsavgifter, vilket ger tillsynsmyndigheten möjlighet att från fall till fall påföra lägre påföljdsavgifter för försummelser som ska betraktas som ringa, utan att sätta en alltför låg nivå för allvarligare försummelser.
I de föreslagna högsta beloppen av påföljdsavgifter tas hänsyn till de högsta beloppen av sanktionsavgifter enligt dataskyddsförordningen och förordningen om digitala tjänster för att det högsta beloppet av påföljdsavgift enligt dataförordningen ska vara i linje med den övriga regleringen om digitalisering och data. De högsta belopp av sanktionsavgifter som härrör direkt från förordningarna indikerar också vilken nivå av sanktioner som är förväntad på EU-nivå. Påföljdsavgiften ska påföras i enlighet med dataskyddslagstiftningen när det är fråga om ett brott eller en försummelse av dataskyddsbestämmelser som sker i samband med tillämpningen av dataförordningen.
I lagen anges endast maximibeloppen av påföljdsavgiften, och de är graderade så att för överträdelse av de centrala skyldigheterna i förordningen kan påföras en påföljdsavgift där maximibeloppet är större. Maximibeloppen av påföljdsavgifterna ska stå i proportion till gärningens klandervärdhet och skyddsintresset. Det är motiverat att föreskriva om ett högre belopp av påföljdsavgift för överträdelse av centrala skyldigheter i förordningen, eftersom försummelse av dessa på ett väsentligt sätt förhindrar uppfyllelsen av förordningens syfte. Om en aktör i samma eller sammankopplade åtgärder uppsåtligen eller av oaktsamhet bryter mot flera bestämmelser i förordningen, får det totala beloppet av den administrativa påföljdsavgiften inte överskrida den påföljdsavgift som påförts för den allvarligaste överträdelsen.
Tillämpningsområdet för dataförordningen omfattar stora globalt verksamma företag men också små och medelstora företag. På grund av att företagen och skyldigheterna varierar måste den myndighet eller domstol som påför påföljdsavgifterna ges prövningsrätt när det gäller att fastställa storleken på påföljdsavgiften i ett enskilt fall. Ett belopp som är relaterat till omsättningen garanterar att det högsta beloppet av påföljdsavgift är tillräckligt stort också för stora företag för att ha en avskräckande effekt, men samtidigt är ett högsta belopp som graderas proportionerlig i förhållande till verksamhetens omfattning och arten av överträdelse. En högsta påföljdsavgift som är mindre än två eller fyra procent skulle inte nödvändigtvis vara tillräckligt avskräckande i synnerhet i fråga om stora företag, medan en högsta påföljdsavgift skulle kunna bli oskälig och inte vara i linje med de ovannämnda övriga centrala bestämmelserna.
Maximibeloppet av påföljdsavgiften för en fysisk person som inte är näringsidkare grundar sig på en procentuell andel av de skattepliktiga inkomsterna vid den senast förrättade beskattningen. Ett belopp som är relaterat till inkomsterna garanterar att det högsta beloppet av påföljdsavgift är tillräckligt stort också för höginkomsttagare för att ha en avskräckande effekt, men samtidigt är ett högsta belopp som graderas proportionellt i förhållande till arten av överträdelse. Det är motiverat att föreskriva om ett högre belopp av påföljdsavgift för överträdelse av centrala skyldigheter i förordningen, eftersom försummelse av dessa på ett väsentligt sätt förhindrar uppfyllelsen av förordningens syfte. Som garanti för proportionaliteten föreslås det i propositionen dessutom ett maximibelopp i euro för fysiska personer. De föreslagna maximibeloppen har bedömts vara skäliga men samtidigt tillräckligt avskräckande. Ett maximibelopp i euro garanterar att påföljdsavgiften för höginkomsttagare inte blir oskäligt stor i förhållande till den skada den fysiska personen har orsakat.
Beloppet av påföljdsavgiften grundar sig inte direkt på ett företags omsättning eller en fysisk persons inkomster enligt beskattningen, utan beloppet av påföljdsavgiften fastställs genom helhetsprövning, där de kriterier som ska beaktas anges i artikel 40.3 i dataförordningen.
I
3 mom.
föreslås det bestämmelser om att tidpunkten för den omsättning som beaktas ska fastställas när konsumentombudsmannen gör en framställning om påförande av påföljdsavgift till marknadsdomstolen i enlighet med lagen om vissa befogenheter för konsumentskyddsmyndigheterna. Då beaktas i framställningen företagets omsättning under den räkenskapsperiod som föregår framställningen om påföljdsavgift.
Omsättning avser enligt
4 mom.
omsättning enligt 4 kap. 1 § i bokföringslagen (1336/1997). Momentet föreslås dessutom innehålla en särskild bestämmelse om situationer där bokslutet ännu inte är klart när påföljdsavgiften påförs eller där affärsverksamheten nyligen inletts och inget bokslut därför finns att tillgå. Omsättningen ska då kunna uppskattas utifrån någon annan tillgänglig utredning.
I det föreslagna
5 mom.
föreskrivs det om den helhetsbedömning som påföljdsavgiften ska basera sig på och om de kriterier som då ska följas. Fastställandet av påföljdsavgiftens storlek ska grunda sig på en helhetsbedömning i enlighet med proportionalitetskravet. I artikel 40.3 i dataförordningen finns bestämmelser om medlemsstaternas skyldighet att beakta rekommendationerna från Europeiska datainnovationsstyrelsen och vissa icke uttömmande kriterier för åläggande av sanktioner. Momentet innehåller en informativ hänvisning till dessa kriterier i förordningen, eftersom förordningen till den del är direkt tillämplig. När påföljder påförs ska således beaktas: a) överträdelsens art, allvar, omfattning och varaktighet, b) varje åtgärd som den överträdande parten har vidtagit för att begränsa eller avhjälpa den skada som överträdelsen har orsakat, c) eventuella tidigare överträdelser som begåtts av den överträdande parten, d) de ekonomiska fördelar som den överträdande parten har erhållit eller de förluster denna har undvikit genom överträdelsen, i den mån sådana fördelar eller förluster kan fastställas på ett tillförlitligt sätt, e) eventuella andra försvårande eller förmildrande omständigheter som är tillämpliga på ärendet, f) den överträdande partens årsomsättning i unionen under det föregående räkenskapsåret.
Att omsättningen i unionen beaktas när påföljdsavgiften fastställs ger myndigheten eller domstolen en metod för att beakta omfattningen av företagets verksamhet och således också överträdelsernas betydelse inom tillämpningsområdet för förordningen. På detta sätt kan man i beloppet av påföljdsavgiften beakta till exempel om omsättningen för ett företag med global verksamhet huvudsakligen uppkommer inom EU-området eller utanför det.
Transport- och kommunikationsverket och domstolen ska när de påför påföljdsavgift säkerställa att påföljden och dess belopp står i rätt proportion till överträdelsen. Exempelvis ska den avgift som påförs för ringa överträdelse av anmälningsskyldigheten enligt artikel 4.2 vara mindre än den avgift som påförs för överträdelse av skyldigheterna enligt artikel 3.1 eller 4.1. Mot bakgrund av förordningens ratio är det betydligt mer klandervärt att till exempel försumma att tillgängliggöra data än att försumma underrättelseskyldigheten, i synnerhet om verksamheten annars är korrekt.
I nivån på det högsta beloppet av påföljdsavgiften ska också beaktas vilken betydelse dataförordningen har i genomförandet av EU:s datastrategi. Datarörligheten och möjligheten att utnyttja data ska öka avsevärt för att målen för dataförordningen ska kunna nås. Situationen kan i viss mån jämföras med när den allmänna dataskyddsförordningen trädde i kraft. Ur företagens synvinkel sett var sanktionerna den viktigaste förändring som dataskyddsförordningen förde med sig. Alltför lindriga sanktioner har ingen förebyggande effekt och utgör inte tillräckliga incitament för att följa skyldigheterna enligt förordningen, i synnerhet inte i stora företag. På samma sätt främjar en tillräckligt stor påföljdsavgift uppfyllelsen av skyldigheterna och syftet med dataförordningen. Utgångspunkten för bestämmelserna om påföljdsavgift är förutom den allmänna och särskilda förhindrande effekten också att avgiften ska vara proportionell.
21 §.Storleken på påföljdsavgifter som gäller dataförvaltningsakten.
I
1 mom.
föreslås det en bestämmelse om storleken på påföljdsavgifter som gäller dataförvaltningsakten. Bestämmelsen flyttas oförändrad till den lag som nu föreslås från 334 a § 2 mom. i lagen om tjänster inom elektronisk kommunikation. Påföljdsavgiften är minst 1 000 euro och högst 100 000 euro. För att påföljden ska ha en tillräcklig förebyggande effekt ska avgiften vara tillräckligt stor. Transport- och kommunikationsverket ska säkerställa att sanktionen och dess belopp står i proportion till gärningen. Exempelvis ska den avgift som påförs för ringa överträdelse av anmälningsskyldigheten enligt artikel 11 vara mindre än den avgift som påförs för överträdelse av skyldigheterna enligt artikel 12. Skyldigheterna enligt artikel 12 kan inte heller jämställas med varandra. Mot bakgrund av förordningens ratio är det betydligt mer klandervärt att till exempel en leverantör av förmedlingstjänster använder data som förmedlas för sina egna syften än försummelser i fråga om det loggregister som ska föras över förmedlingsverksamheten, om verksamheten annars är som sig bör. Det föreslås att storleken på påföljdsavgiften bevaras oförändrad. Vid överträdelse av bestämmelserna i dataförvaltningsakten är det fråga om en annan typ av situationer än vid överträdelse av skyldigheterna enligt dataförordningen. Också de aktörer som kan omfattas av påföljdsbestämmelserna är av olika typ. Det finns grunder för att påföljdsavgifterna gällande dataförvaltningsakten och dataförordningen är av olika storlek.
I det föreslagna
2 mom.
föreskrivs det om den helhetsbedömning som påföljdsavgiften ska basera sig på och om de kriterier som då ska följas. Fastställandet av påföljdsavgiftens storlek ska grunda sig på en helhetsbedömning i enlighet med proportionalitetskravet. I artikel 34.2 i dataförvaltningsakten anges riktgivande kriterier som kan beaktas när myndigheten fastställer typen av och nivån på påföljden. Det föreskrivs att dessa kriterier ska beaktas. Det bör beaktas att det däremot i fråga om dataförordningen finns bestämmelser om motsvarande kriterier direkt i förordningen. Även om kriterierna i dataförordningen och dataförvaltningsakten till denna del är ganska lika innehåller 20 § 3 mom. i dataförordningen bara en informativ hänvisning i stället för en materiell bestämmelse. Det förslagna 2 mom. flyttas med oförändrat innehåll till denna lag från 334 a § 3 mom. i lagen om tjänster inom elektronisk kommunikation. I storleken på påföljdsavgiften ska således beaktas a) överträdelsens art, allvar, omfattning och varaktighet, b) varje åtgärd som leverantören av förmedlingstjänster har vidtagit för att begränsa eller avhjälpa den skada som överträdelsen har orsakat, c) eventuella tidigare överträdelser som begåtts av leverantören av förmedlingstjänster, d) de ekonomiska fördelar som leverantören av förmedlingstjänster har erhållit eller de förluster denna har undvikit genom överträdelsen, i den mån sådana fördelar eller förluster kan fastställas på ett tillförlitligt sätt, e) eventuella andra försvårande eller förmildrande omständigheter som är tillämpliga på ärendet.
22 §.Påförande av påföljdsavgift.
I paragrafen föreslås det bestämmelser om påförande av påföljdsavgift och avstående från att påföra påföljdsavgift.
I
1 mom.
Föreskrivs det om situationer där påföljdsavgift inte får påföras för överträdelse eller försummelse av en skyldighet enligt dataförordningen eller dataförvaltningsakten. Med avseende på dataförvaltningsakten motsvarar den föreslagna bestämmelsen huvudsakligen 334 a § 4 mom. i den gällande lagen om tjänster inom elektronisk kommunikation. Det finns grunder för att bestämmelserna om kriterierna för att inte påföra påföljdsavgift för överträdelse av dataförordningen och dataförvaltningsakten är enhetliga. Enligt momentet ska påföljdsavgift inte påföras om överträdelsen av en skyldighet ska anses vara ringa eller påförande av påföljdsavgift ska anses vara uppenbart oskäligt. Med avseende på dataförvaltningsakten innebär den föreslagna bestämmelsen att den inte i fortsättningen innehåller den grund för att inte påföra påföljdsavgift som ingår i 334 a § 4 mom. 1 punkten i lagen om tjänster inom elektronisk kommunikation, om leverantören av dataförmedlingstjänster har vidtagit åtgärder för att avhjälpa överträdelsen och överträdelsen inte är allvarlig eller upprepad. En sådan situation kan i fortsättningen beaktas antingen genom att påföljdsavgift inte påförs på den grunden att det skulle vara uppenbart oskäligt eller som en del av en helhetsbedömning av avgiftens storlek med stöd av artikel 34.2 a och 34.2 b i dataförvaltningsakten.
Åtgärden att påföra påföljdsavgift är till sin karaktär en betydande förvaltningsåtgärd, och avsikten är att den ska utnyttjas endast vid allvarligare överträdelser. Vid påförande av påföljdsavgift i ett enskilt fall är det fråga om tillsynsmyndighetens prövningsrätt, som ska utövas i enlighet med principerna för god förvaltning i förvaltningslagen. Utgångspunkten för myndighetens tillsynsverksamhet är att när myndigheten överväger de befogenheter som den har till sitt förfogande vid överträdelser av förordningen, ska den befogenhet som utövas stå i proportion till överträdelsen. Om överträdelsen fortgår kan myndigheten, beroende på överträdelsens art och allvar, i första hand exempelvis ålägga tjänsteleverantören att rätta till sin verksamhet och eventuellt förena sitt beslut med vite innan påföljdsavgift påförs. Dataförordningen, dataförvaltningsakten eller den lag som nu föreslås förutsätter emellertid inte att lindrigare medel alltid ska användas innan förfarandet för påföljdsavgift tillämpas. Det är ändå klart att myndigheternas tillsynsarbete ska utgå från vägledning och rådgivning, i synnerhet eftersom dataförordningen innehåller bestämmelser av helt ny typ som det inte finns tidigare tillämpningserfarenhet av.
Enligt momentet ska påföljdsavgift inte alls påföras om överträdelsen av en skyldighet ska anses vara ringa eller påförande av påföljdsavgift ska anses vara uppenbart oskäligt. Bestämmelserna om påföljdsavgift ska i regel göra det möjligt att inte påföra någon avgift i sådana situationer. Grundlagsutskottet har i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra påföljd ska vara bunden prövning, och att påföljdsavgift inte ska påföras om de villkor som anges i lagen är uppfyllda (se t.ex. GrUU 49/2017 rd). Överträdelse av en skyldighet kan anses ringa till exempel om en aktör på eget initiativ och omedelbart efter att ha upptäckt sin överträdelse har vidtagit åtgärder för att korrigera sitt förfarande och de slutliga konsekvenserna för andra aktörer således blivit obetydliga. I fråga om situationer där det skulle vara uppenbart oskäligt att påföra påföljdsavgift ska det göras en helhetsbedömning där hänsyn kan tas exempelvis till orsakerna till och konsekvenserna av det felaktiga förfarandet och gärningsmannens individuella omständigheter.
Enligt 7 a § i den gällande lagen om Transport- och kommunikationsverket har Transport- och kommunikationsverkets påföljdskollegium till uppgift att påföra påföljdsavgifter som omfattas av verkets behörighet i sådana fall när påföljdsavgiften överstiger 100 000 euro. Kollegiet ska således påföra påföljdsavgift också för överträdelse av dataförordningen när avgiften överstiger 100 000 euro.
I
2 mom.
finns det bestämmelser om situationer där överträdelser av förordningen samtidigt uppfyller brottsrekvisiten. För sådana fall är det nödvändigt att föreskriva att påföljdsavgift inte kan påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som behandlas i domstol eller den som för samma gärning redan har meddelats en lagakraftvunnen dom. Bestämmelsen motsvarar den så kallade
ne bis in idem
-principen, det vill säga förbudet att åtala och döma två gånger för samma sak.
I
3 mom.
föreskrivs det att påföljdsavgift enligt 13–19 § inte får påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, samkommuner, välfärdsområden, välfärdssamanslutningar, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland eller ortodoxa kyrkan i Finland och de två sistnämndas församlingar, kyrkliga samfälligheter eller övriga organ. Med andra ord kan administrativ påföljdsavgift inte påföras myndigheter som avses i 2 § i förvaltningslagen eller statliga affärsverk. I princip verkar statliga affärsverk inte längre på den konkurrensutsatta marknaden, utan producerar tjänster inom statsförvaltningen. Avgränsningen gäller inte de privata aktörer som sköter offentliga förvaltningsuppgifter enligt 124 § i grundlagen.
Statens affärsverk behöver nämnas i det föreslagna momentet, eftersom begreppet statlig myndighet endast omfattar inrättningar som hör till myndighetsorganisationen. Begreppet kommunal myndighet innehåller däremot också kommunala affärsverk.
Bestämmelsen motsvarar till sin ordalydelse 24 § 4 mom. i dataskyddslagen. Grundlagsutskottet har i fråga om regeringens proposition med förslag till dataskyddslag ansett att en utvidgning av bestämmelserna om påföljdsavgift till myndighetsverksamhet inte är problemfri i konstitutionellt hänseende (se GrUU 14/2018 rd, även GrUU 13/2023 rd). Grundlagsutskottet har, bland annat vid bedömning av statsrådets skrivelse om förslaget till AI-förordning poängterat betydelsen av att myndigheter i Finland inte kan påföras påföljdsavgifter, eftersom myndigheter kan påföras endast straffrättsliga påföljder (se GrUU 37/2021 rd, 40 stycket, på finska). Bestämmelsen grundar sig på det omfattande nationella handlingsutrymme som dataförordningen medger. I dataförordningen lämnas det inte, avvikande från den allmänna dataskyddsförordningen, uttryckligen öppet för medlemsstaten att bestämma om påföljdsavgifter ska utsträckas till att gälla också myndigheter. Dataförordningen medger emellertid som helhet betydligt mer nationellt handlingsutrymme än den allmänna dataskyddsförordningen när det gäller att bestämma om påföljdsregleringen. Därmed kan det anses att detta handlingsutrymme också omfattar möjligheten att besluta också om påföljdsavgifter ska utsträckas till myndighetsverksamhet. Detta motiveras närmare i avsnitt 12 propositionen.
I
4 mom.
finns det bestämmelser om preskriberingen av rätten att påföra en påföljdsavgift. Den behöriga myndigheten får inte påföra en påföljdsavgift, om det har förflutit mer än fem år sedan överträdelsen eller försummelsen inträffade, eller vid fortlöpande överträdelse eller försummelse om det har förflutit mer än fem år sedan överträdelsen eller försummelsen upphörde.
I
5 mom.
föreskrivs det att påföljdsavgift får påföras en sådan näringsidkare som till följd av ett företagsförvärv har övertagit den näringsverksamhet inom vilken försummelsen eller överträdelsen skett. Bestämmelsen behövs för att det inte ska vara möjligt att gå fri från en administrativ påföljdsavgift genom bolagsrättsliga arrangemang efter överträdelsen. Påföljd ska alltså kunna påföras det juridiska subjekt som begått överträdelsen eller den till vilken näringsverksamheten övergått. Förslaget är en nära motsvarighet till bestämmelsen i 12 § i konkurrenslagen och det är förenligt med den etablerade princip om ekonomisk succession som tillämpas i EU:s konkurrensrätt. Bestämmelsen kan bli tillämplig exempelvis när den aktör som har begått överträdelsen har upphört att existera juridiskt (till exempel mål C-49/92 P, Anic Partecipazioni SpA, punkt 145) eller om ett bolag i och för sig existerar, men har upphört att bedriva affärsverksamhet (till exempel mål C – 40–48, 50, 54–56, 111, 113, 114 /73 Coöperatieve Vereniging ”Suiker Unie” UA m.fl., punkterna 79–87).
I
6 mom.
föreslås det en informativ hänvisning till lagen om verkställighet av böter. Lagen sågs över våren 2025 och målet för ändringarna är att harmonisera och förtydliga regleringen (se RP 5/2025 rd och RSv 52/2025 rd). Lagen innehåller bland annat bestämmelser om när påföljdsavgifter förfaller (4 b §) och om betalning till staten (7 § 1 mom.). Bestämmelser om dessa faktorer ska inte separat tas in i den nu föreslagna lagen.
4 kap. Internationellt samarbete
23 §. Samarbete med övriga medlemsstater samt Europeiska kommissionen.
I paragrafen föreskrivs det om Transport- och kommunikationsverkets EU-samarbete. Transport- och kommunikationsverket ska samarbeta med övriga medlemsstaters datasamordnare, behöriga myndigheter, Europeiska kommissionen och Europeiska datainnovationsstyrelsen. Genom bestämmelsen genomförs artikel 37.5 f i dataförordningen. I fråga om dataförvaltningsakten härrör skyldigheten däremot till en viss del direkt från förordningen (framför allt artikel 14.7 och 24.6). Därför gäller bestämmelsen i praktiken i högre grad internationellt myndighetssamarbete i anslutning till dataförordningen.
Enligt artikel 42 i dataförordningen kan behöriga myndigheter vara företrädda i datainnovationsstyrelsen, och det behövs inga särskilda bestämmelser om detta. Europeiska datainnovationsstyrelsen är en expertgrupp som inrättats i enlighet med artikel 29 i dataförvaltningsakten och där de behöriga myndigheterna är företrädda. Den har till uppgift att bland annat ge råd till och bistå kommissionen vid utvecklingen av konsekventa förfaranden för behöriga myndigheter och vid genomförandet av dataförordningen, underlätta samarbetet mellan behöriga myndigheter och ge råd och bistå kommissionen i ärenden som särskilt uppräknas i artikel 42 i dataförordningen.
Transport- och kommunikationsverket deltar redan i Europeiska datainnovationsstyrelsens verksamhet med stöd av artikel 29.1 och 29.2 i dataförvaltningsakten. I styrelsen deltar verket i arbetet i undergruppen för de behöriga myndigheterna och samarbetar både med myndigheterna i andra medlemsstater och med Europeiska kommissionen. Arbetet i Europeiska datainnovationsstyrelsen utformas fortfarande i fråga om dataförordningen.
24 §.Utlämnande av handlingar till en behörig myndighet i en annan medlemsstat eller till Europeiska kommissionen.
Enligt förslaget föreskrivs det i paragrafen att Transport- och kommunikationsverket har rätt att lämna ut sekretessbelagda handlingar till och röja sekretessbelagd information för behöriga myndigheter i andra medlemsstater eller för Europeiska kommissionen, om det är nödvändigt för tillsynen över efterlevnaden av dataförordningen eller dataförvaltningsakten
5 kap. Särskilda bestämmelser
25 §.Särskilt remissförfarande.
Det föreslås att paragrafen ska innehålla preciserande bestämmelser om det särskilda förfarande för yttrande som förutsätts i artikel 32 i dataförordningen. Enligt artikel 32.3 i dataförordningen kan en leverantör av databehandlingstjänster, om den är adressat för ett beslut eller en dom från en domstol i ett tredjeland eller ett beslut från en administrativ myndighet i ett tredjeland om att överföra eller ge åtkomst till icke-personuppgifter som omfattas av tillämpningsområdet för denna förordning och som innehas i unionen, begära ett yttrande av det relevanta nationella organet eller en behörig myndighet inom internationell rättshjälp för att fastställa om de villkor som anges i artikel 32.3 första stycket uppfylls. Adressaten är skyldig att begära yttrande av relevanta aktörer om det med stöd av artikel 32.3 andra stycket är fråga om intressen i anslutning till den nationella säkerheten eller försvaret.
I
1 mom.
föreskrivs det av vilka myndigheter adressaten för ett beslut enligt artikel 32 i dataförordningen ska begära de yttranden som behövs, när det är fråga om intressen i anslutning till den nationella säkerheten eller försvaret. Nationell behörig myndighet är i fråga om den nationella säkerheten inrikesministeriet och i fråga om försvaret Huvudstaben. Till denna del är remissförfarandet obligatoriskt.
Momentet innehåller också bestämmelser om inrikesministeriets och Huvudstabens skyldighet att begära yttrande av utrikesministeriet om de nationella säkerhetsintressena eller försvarsintressena även berör utrikes- och säkerhetspolitiken. Till inrikesministeriets verksamhetsområde hör bland annat den allmänna ordningen och säkerheten, den civila underrättelsen samt regionalförvaltningens gemensamma beredskap för undantagsförhållanden och störningssituationer. Till försvarsministeriets verksamhetsområde hör bland annat det militära försvaret och samordningen av totalförsvaret. Till Försvarsmaktens verksamhetsområde hör cyberförsvaret som en del av det militära försvaret. Till utrikesministeriets behörighet hör till exempel det internationella samarbetet kring kontrollen av exporten och kontrollen av exporten av produkter med dubbel användning samt genomförandet av internationella informationssäkerhetsskyldigheter. Inrikesministeriet och Huvudstaben har de bästa förutsättningarna att bedöma sambandet mellan begäran om yttrande och utrikes- och säkerhetspolitiken. Därför åläggs dessa myndigheter ansvaret för att begära yttrande av utrikesministeriet.
I
2 mom.
finns det bestämmelser om att en i artikel 32 i dataförordningen avsedd adressat för ett beslut kan begära yttrande av den behöriga myndigheten för att avgöra om de villkor som anges i artikel 32.3 första stycket i den förordningen är uppfyllda, om adressaten anser att beslutet kan avse företagshemligheter och andra kommersiellt känsliga data samt innehåll som skyddas av immateriella rättigheter eller att överföringen kan leda till återidentifiering. Den relevanta myndighet som tagit emot begäran om yttrande är skyldig att bedöma saken och i förekommande fall begära yttrande av den myndighet till vars verksamhetsområde det hör att skydda de intressen enligt dataförordningen som beslutet berör, för att kunna avgöra om de förutsättningar som anges i artikel 32.3 första stycket uppfylls. Den relevanta myndigheten kan i förekommande fall begära yttrande av flera myndigheter samtidigt i fall där de berörda intressena gäller flera aktörer. På remissförfarandena tillämpas också förvaltningsförfaranden enligt förvaltningslagen (434/2003), till exempel i fråga om överföring av ärenden. På motsvarande sätt som i situationer enligt 1 mom. ska myndigheten kontakta inrikesministeriet eller Huvudstaben, om det finns skäl att misstänka att åtkomsten till eller överföringen av data har samband med den nationella säkerheten eller försvaret.
Intressen som enligt paragrafen ska skyddas är i synnerhet skyddet av individers grundläggande rättigheter, såsom rätten till säkerhet och rätten till ett effektivt rättsmedel, eller en medlemsstats grundläggande intressen med avseende på nationell säkerhet eller försvar samt skyddet av kommersiellt känsliga uppgifter och skyddet av immateriella rättigheter, inbegripet dess avtalsskyldigheter i fråga om konfidentialitet i enlighet med sådan rätt (skäl 101 i ingressen).
I
3 mom.
föreskrivs det att närmare bestämmelser om remissförfarandet får utfärdas genom förordning av statsrådet. Genom statsrådets förordning kan bestämmelser utfärdas till exempel om utnämnande av sakkunniga som deltar i remissförfarandet. Till exempel i fråga om intressen i anslutning till upphovsrätt och närstående rättigheter enligt dataförordningen kan undervisnings- och kulturministeriet vara en myndighet som yttrar sig. I Finland finns inte i nuläget någon myndighet som kan stödja den behöriga myndigheten när det gäller att tillämpa dataförordningen på upphovsrättsliga frågor.
I beredningen av genomförandet av dataförordningen har det varit en utmaning att bedöma om det behövs en myndighet som utövar tillsyn över tillämpningen av dataförordningen och i så fall i vilken omfattning, i synnerhet när det gäller internationell överföring av data som avses i artikel 32. Det är således motiverat att statsrådet i förekommande fall genom förordning utfärdar bestämmelser om yttrande i enlighet med artikeln och i övrigt i fråga om yttrande som gäller tillämpning av dataförordningen och om utnämnande av sakkunniga som deltar i yttrandet. Genom bemyndigandet görs det möjligt att lämna yttrande och utnämna sakkunniga flexibelt och snabbt om det är fråga om ärenden som är nödvändiga med tanke på genomförandet av bestämmelsen. Det föreslås att bemyndigandet läggs till för säkerhets skull, för att det ska vara möjligt att precisera remissförfarandet enligt vad som visar sig behövas i tillämpningspraxis.
26 §.Ersättning för tillgängliggörande av data vid situationer då det föreligger ett exceptionellt behov.
Enligt artikel 20 i dataförordningen har en datahållare rätt till skälig ersättning på vissa villkor om ett offentligt organ har begärt data enligt artikel 15.1. Artikel 20 i förordningen innehåller också närmare bestämmelser om hur en skälig ersättning fastställs. Det finns ett nationellt behov av kompletterande lagstiftning om förfarandet i anslutning till utbetalning av ersättning.
I
1 mom.
föreslås det en informativ hänvisning till datahållares rätt till ersättning enligt artikel 20 i dataförordningen. Om data har begärts med stöd av artikel 15.1 a har endast mikroföretag och små företag enligt förordningen rätt till ersättning. Om data har begärts med stöd av artikel 15.1 b har i praktiken alla utom mikroföretag och små företag rätt till ersättning, eftersom artikel 15.1 b inte tillämpas på mikroföretag och små företag. Den ersättningsskyldiga myndigheten kan förutom en statlig myndighet vara till exempel en kommun eller ett välfärdsområde som har begärt uppgifter med stöd av artikel 15.1 i dataförordningen.
I
2 mom.
föreskrivs det om datahållarens skyldighet att skriftligen ange beloppet av den begärda ersättningen och den information som behövs för betalningen av ersättningen. Datahållarens rätt till ersättning grundar sig direkt på dataförordningen, men myndigheten har ingen skyldighet att betala ersättning på eget initiativ, utan datahållaren ska kräva ersättning. Det vilar på datahållarens ansvar att räkna ut beloppet av den ersättning som den kräver med hänsyn till de grunder för skälig ersättning som anges i artikel 20.2 i dataförordningen. Detta kan betraktas som motiverat, eftersom datahållaren själv har mest information om hurdana kostnader den har orsakats av att göra data tillgängliga för myndigheten. Datahållaren kan också besluta att inte ansöka om ersättning.
I
3 mom.
föreskrivs det om tidsplanen för utbetalning av ersättningen och om de skeden i förfarandet som påverkar tidsplanen.
Myndigheten ska betala ersättning till datahållaren inom två månader från det att begäran om ersättning togs emot. Om underlaget till ersättningsbeloppet inte beskrivs tillräckligt redan i begäran om ersättning och myndigheten med stöd av artikel 20.2 i dataförordningen ber datahållaren tillhandahålla ytterligare information om underlaget till ersättningsberäkningen, skjuts tidsfristen för betalningen framåt med lika många dagar som det tar för datahållaren att tillhandahålla den begärda informationen. Om myndigheten anser att ersättningsbeloppet med hänsyn till beräkningsgrunderna enligt dataförordningen och den ytterligare informationen från datahållaren inte är skälig kan myndigheten med stöd av artikel 20.5 i dataförordningen föra ärendet gällande ersättningens storlek till Transport- och kommunikationsverket före förfallodagen för betalning av ersättningen. Ersättningen ska då betalas till datahållaren när Transport- och kommunikationsverkets beslut om det skäliga ersättningsbeloppet har vunnit laga kraft.
Enligt artikel 20.5 kan myndigheten lämna in ett klagomål till den behöriga myndighet som utsetts enligt artikel 37 i dataförordningen. I Finland är Transport- och kommunikationsverket datasamordnare och behörig myndighet i ärenden som gäller kapitel V i dataförordningen. Verket har i kapitel V i dataförordningen getts också andra uppgifter i anslutning till begäranden om att tillgängliggöra data från myndigheter än att behandla klagomål i anslutning till skäligt belopp av ersättning som ska betalas till en datahållare.
I
4 mom.
föreskrivs det om innehållet i Transport- och kommunikationsverkets beslut om ersättningsbeloppet och om bedömning av huruvida ersättningsbeloppet är skäligt. Datahållarens rätt till ersättning och grunderna för rätten fastställs direkt enligt dataförordningen. Enligt artikel 20.5 i dataförordningen kan myndigheten lämna klagomål till den enligt artikel 37 behöriga myndigheten endast gällande nivån på den ersättning som datahållaren begär. Transport- och kommunikationsverket kan i sitt beslut fastställa ersättningsbeloppet i enlighet med begäran eller sänka beloppet av den ersättning som ska anses skälig. När ärendet avgörs tillämpas bestämmelserna i artikel 20.2 i dataförordningen om beräkning av det skäliga ersättningsbeloppet och hänsyn tas till datahållarens utredning över grunderna för ersättningsbeloppet.
På grund av Transport- och kommunikationsverkets omfattande uppgiftsområde kan verket bli tvunget att göra en begäran enligt artikel 15.1 i dataförordningen om att data ska göras tillgängliga för verket vid situationer då det föreligger ett exceptionellt behov. Då kan verket å ena sidan få en ansökan om ersättning enligt artikel 20 i dataförordningen, å andra sidan vara den behöriga myndighet som har till uppgift att vid behov bedöma huruvida den ersättning som begärs är skälig. Opartiskheten i Transport- och kommunikationsverkets beslutsfattande kan i en sådan situation påverkas genom interna arbetsarrangemang. Med tanke på parternas rättsskydd kan det emellertid betraktas som tillräckligt att Transport- och kommunikationsverkets beslut om ersättningens skälighet är ett förvaltningsbeslut som det går att söka ändring i enligt lagen om rättegång i förvaltningsärenden (808/2019).
27 §. Omprövning.
Paragrafen föreslås innehålla en bestämmelse om en grupp av beslut på vilka begäran om omprövning tillämpas som första skede när ändring söks.
Enligt
1 mom.
får omprövning begäras i ett beslut enligt artikel 19.5 i dataförvaltningsakten. Med stöd av artikeln ska Transport- och kommunikationsverket registrera en enhet i det offentliga nationella registret över erkända dataaltruismorganisationer inom tolv veckor efter mottagandet av ansökan om registrering, om enheten har lämnat de uppgifter som krävs och uppfyller de föreskrivna villkoren. Det är ändamålsenligt att tillämpa förfarandet för omprövning, eftersom registreringen förutsätter prövningsrätt i fråga om huruvida organisationen uppfyller kraven enligt dataförvaltningsakten. Den föreslagna ändringen baserar sig inte direkt på dataförvaltningsakten, utan på nationella riktlinjer för tillämpningsområdet för omprövningsförfarandet. Förslaget är förenligt med kraven i artikel 28.1 i förordningen (rätten till ett effektivt rättsmedel), eftersom ändring får sökas i beslut med anledning av begäran om omprövning (49 b § 3 mom. i förvaltningslagen och 7 § 2 mom. i lagen om rättegång i förvaltningsärenden).
I
2 mom.
finns en informativ hänvisning till förvaltningslagen (434/2003), som innehåller närmare bestämmelser om begäran om omprövning.
28 §. Sökande av ändring i myndighetsbeslut.
I
1 mom.
föreslås det i fråga om sökande av ändring att ändring i beslut av i denna lag avsedda behöriga myndigheter får sökas i enlighet med bestämmelserna i lagen om rättegång i förvaltningsärenden.
I
2 mom.
finns det en bestämmelse om viteslagens tillämplighet i ärenden som gäller föreläggande och påförande av vite.
I
3 mom.
finns det en bestämmelse om att den behöriga myndigheten i beslut som inte gäller påförande av påföljdsavgift kan bestämma att beslutet ska följas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.
Enligt artikel 39 i dataförordningen ska alla fysiska personer och juridiska personer som ärendet berör ha rätt till effektiva rättsskyddsmedel i fråga om juridiskt bindande beslut som behöriga myndigheter fattar. Konsumentombudsmannens befogenheter och sökande av ändring i beslut som gäller dessa fastställs i enlighet med lagstiftningen om konsumentombudsmannens befogenheter.
29 §.Ikraftträdande.
I paragrafen föreskrivs det om lagens ikraftträdande.