PROMEMORIAKOMMUNIKATIONSMINISTERIET15.3.2022EU/2022/0235FÖRSLAG TILL DATAAKT
1
Bakgrund
Europeiska kommissionen publicerade den 23 februari 2022 ett förslag till parlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data, det vill säga EU:s så kallade dataakt (COM(2022) 68 final). Förslaget förverkligar kommissionens datastrategi från 2020 och dess mål är att främja en dataorienterad europeisk inre marknad. Förslaget är en del av kommissionens helhet för datareglering och kompletterar dataförvaltningsaktens ramar för förmedling av data och förordningen gällande digitala marknader om portvakters skyldigheter att dela data. Det är fråga om en horisontell akt som ställer upp grundläggande regler om skyldigheter att dela data och användning av data för alla sektorer som använder data. Akten ger nya skyldigheter att dela data och rättigheter att använda data för många aktörer och branscher. Dataakten ger också myndigheter inom den offentliga sektorn rätt att på begäran få tillgång och användningsrätt till data som innehas av privata företag för vissa exceptionella behov och enligt villkor som beskrivs separat. Genom akten vill man också förhindra oskäliga avtalsvillkor för användning och delning av data samt ge bedömningskriterier för bedömning av dem, samt införa ett krav på interoperabilitet för datadelningstjänster. Enligt förordningsförslaget ska internationella överföringar av icke-personuppgifter begränsas på ett nytt sätt. Aktförslaget förtydligar också hur data som samlas in genom produkter och tjänster som avses i akten förhåller sig till databasskyddet.
I bakgrunden till förslaget finns många utredningar och bedömningar som gjorts av kommissionen, enligt vilka allt mer industriella data produceras, men tillgången till och användningen av dem ofta är tekniskt eller avtalsmässigt begränsad och bristfällig. Förslaget gäller i synnerhet data som maskiner och apparater eller tillhörande tjänster producerar för förmedling i allmänt tillgängliga kommunikationstjänster (s.k. industriella data).
Förordningsförslagets bakgrund och mål gällande rättvisa villkor för delning av data och stärkande av användarens rättigheter har redan länge stått i centrum för påverkningsåtgärderna inom den finländska dataekonomin, och kommissionen har i uppställandet av mål för datastrategin och dataakten även dragit nytta av Finlands erfarenheter av datareglering inom bland annat hälso- och sjukvård samt trafik.
Finlands ställningstaganden till dataekonomi finns bland annat i följande tidigare E- och U-skrivelser: E-skrivelsen om datastrategin (E 24/2020 rd), E-skrivelsen om föregripande inflytande gällande dataakten (E 86/2021 rd) och U-skrivelsen om dataförvaltningsakten (U 1/2021 rd). Ställningstaganden som berör data ingår också i E-skrivelsen om kommissionens meddelande: Digital kompass 2030: den europeiska vägen in i det digitala decenniet (E 48/2021 rd) och i U-skrivelsen om kommissionens förslag till Europaparlamentets och rådets förordning (akt om digitala marknader, U 6/2021 rd).
2
Förslagets mål
Förslagets mål är att främja användning av data och det värde de ger samt en jämlik fördelning av dessa mellan olika aktörer i dataekonomin, underlätta tillgången till och användningen av data samt balansera små och medelstora företags ställning vid förhandlingar om delning av data. Rättvisare spelregler för användning av data jämnar ut parternas möjligheter att skapa värde genom data. Förslaget strävar efter att förtydliga rättigheterna och skyldigheterna i fråga om tillgång till, användning av och överföring av data. I förslaget avses med användare en fysisk eller juridisk person som äger eller hyr produkter eller tar emot tjänster. Förslaget gäller till stor del användarnas tillgång till data som samlas genom användning av olika produkter och tillhörande tjänster.
Genom att ge användare av produkter och tillhörande tjänster rättigheter att få tillgång till data och att dela dem med tredje parter strävar kommissionen efter att öka användningen av data och påskynda datadrivna inre marknader, och på så sätt öka konkurrensen och innovationerna inom olika sektorer. Förslaget strävar också att främja interoperabiliteten mellan datahanteringstjänster och därigenom även byten av tjänsteleverantör för att öka konkurrensen i synnerhet mellan aktörer som tillhandahåller och använder sig av molntjänster. Enligt kommissionen kan man genom att förbättra möjligheterna att överföra data även skapa större konkurrens på eftermarknaden. Med eftermarknaden för data avses i detta sammanhang återanvändning av data, köp och försäljning av data eller användning av data utan ersättning efter att de lösgjorts från den miljö där de ursprungligen uppstått eller producerats (överlåtelse av data).
3
Förslagets huvudsakliga innehåll
3.1
Tillämpningsområde och definitioner
Tillämpningsområdet och definitionerna behandlas i artikel 1–2 i förslaget. Förslagets tillämpningsområde omfattar tillverkare av produkter som gjorts tillgängliga på EU:s marknad och leverantörer av tillhörande tjänster samt användarna av sådana produkter eller tjänster. Kraven riktar sig särskilt mot datainnehavare, som har en skyldighet att göra data tillgängliga för mottagare i EU. I förslaget avses med datamottagare en juridisk eller fysisk person som verkar i syften som anknyter till egen närings-, affärs-, hantverks- eller yrkesverksamhet och som inte är användare av produkten eller en tillhörande tjänst och för vilken datainnehavaren tillgängliggör data, även tredje parter. I förordningen tilldelas rättigheter också till offentliga organ och EU:s institutioner, byråer och organ, som begär data av datainnehavare, om det finns ett exceptionellt behov av detta för att utföra en uppgift som hör till allmänt intresse. Som leverantörer av databehandlingstjänster enligt förslaget betraktas aktörer som tillhandahåller digitala databehandlingstjänster till kunder i EU. Utanför tillämpningsområdet lämnas exempelvis medlemsstaternas rättsväsende, försvar, tull och skatteförvaltning (artikel 1(4)).
Enligt förslaget avses med data varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, fakta eller information, även i form av ljudupptagningar, bildupptagningar eller audiovisuella upptagningar (artikel 2 punkt 1). Data som uppstår genom användning av en produkt eller tjänst kan vara data som användaren medvetet sparar eller så kan de uppstå som biprodukt av användarens åtgärder eller utan åtgärder av användaren, exempelvis när produkten är i stand by-läge. Även data som sparats vid tidpunkter när produkten varit avstängd kan vara data som uppstår genom användning av produkten eller tjänsten. Sådana data ska vara i den form i vilken enheten har skapat dem.
Förslaget tillämpas på produkter som får, skapar eller samlar in data om en enhets funktion, användningen av den eller dess miljö, och som kan förmedla data via allmänt tillgängliga elektroniska kommunikationstjänster. Förslagets tillämpningsområde omfattar alltså olika anordningar som är kopplade till nätet och det så kallade sakernas internet samt data som produceras eller samlas in av anordningar av sensortyp. Sådana data och tjänster finns inom många sektorer, exempelvis trafik, industri, konsumentbranschen och jordbruk. Förslaget gäller också tillhörande tjänster som har ett väsentligt samband med sådana anslutna anordningar. Data som man härlett eller slutit sig till utifrån sådana data hör däremot inte till förslagets tillämpningsområde. Förslaget tillämpas inte heller på sådana produkter som bara visar data (eng. display) eller där det också behövs en insats (eng. input) av en människa. Exempelvis bärbara datorer, smarttelefoner och webbkameror (motiveringsstycke 15 i förslagets inledningsdel) samt data som delas frivilligt (motiveringsstycke 38 i förslagets inledningsdel) lämnas därför utanför förslaget. Gränsdragningen för användningsdata har gjorts så att de inte omfattar data som härletts eller analyserats utifrån data som uppstått vid användning, som kan omfatta IP-rättigheter (motiveringsstycke 17 i förslagets inledningsdel).
3.2
Skyldigheter som gäller delning av data och innehavare av data
Den föreslagna akten ger nya skyldigheter i fråga om tillgång till och användning av data. Enligt förslaget ska produkter planeras och tillverkas och tillhörande tjänster tillhandahållas så att de data som produceras genom användning av dem i regel är enkelt, tryggt och vid behov direkt tillgängliga för användaren. Innan en produkt eller tjänst köps eller hyrs ska den kommande användaren också få tydlig och begriplig information om bland annat vilka data som uppstår genom användningen av produkten eller tjänsten, hur användarens tillgång till data kan förverkligas, hur innehavar- och ägarförhållandena gällande data fastställs samt att användaren har rätt att lämna in klagomål om dataakten inte följs (artikel 3). Om användaren inte kommer åt data direkt via produkten, ska innehavaren av data på användarens begäran ge användaren tillgång till data som har uppstått i samband med användning av produkten eller en tillhörande tjänst utan oskäligt dröjsmål, avgiftsfritt och vid behov kontinuerligt och i realtid. Tillgången till data som betraktas som affärshemligheter är mer begränsad. Om de data som lämnas ut innehåller personuppgifter, ska man säkerställa att behandlingen av personuppgifter är lagenlig enligt den så kallade allmänna dataskyddsförordningen (EU) 2016/679 (artikel 4).
Användaren har rätt att använda data om sig själv för vilket lagligt syfte som helst, exempelvis överlåta data som fåtts med stöd av akten vidare till en tredje part. Innehavaren av data ska på användarens begäran göra data tillgängliga för en tredje part som användaren valt utan att detta medför kostnader för användaren. Enligt förslaget ska användare beviljas tillgång till data genom enkla begärandemekanismer, som möjliggör automatiskt genomförande och inte förutsätter att tillverkaren eller datainnehavaren gör undersökningar eller utredningar. Detta innebär att data måste göras tillgängliga endast när användaren verkligen vill det. Datainnehavaren får inte kräva andra uppgifter av användaren än vad som behövs för att fastställa användarens eller en tredje parts roll och rättigheter. I fråga om detta måste man kunna förhindra eventuellt missbruk av begäranden om data. Enligt förslaget ska begäranden om information inte vara manipulativa eller bedrägliga. Vid överföring av personuppgifter med stöd av akten ska man säkerställa att behandlingen är lagenlig enligt den allmänna dataskyddsförordningen. Om datainnehavaren och den tredje parten misslyckas med arrangemang för överföring av uppgifter får det inte förhindra eller störa den registrerades användning av rättigheter enligt den allmänna dataskyddsförordningen och i synnerhet rätten till överföring av uppgifter enligt artikel 20 i nämnda förordning (artikel 5).
Så kallade portvaktsföretag enligt kommissionens förslag av den 15 december 2020 till Europaparlamentets och rådets förordning om öppna och rättvisa marknader inom den digitala sektorn (rättsakten om digitala marknader) (COM/2020/842 final) (nedan ”rättsakten om digitala marknader”) eller företag som tillhör samma företagsgrupp som portvaktsföretag kan inte vara tredje parter enligt dataakten och tredje parter får inte heller göra data som de fått tillgång till med stöd av förslaget tillgängliga för portvakter. Till dessa delar har man i aktförslaget också beaktat EU:s föreslagna rättsakt om digitala marknader, som är under beredning.
Förslaget ställer upp begränsningar för användningen av data för tredje parter som tar emot data. Den tredje parten får bland annat behandla data som den tar emot endast för avtalade ändamål och enligt avtalade villkor, och den måste radera data när de inte längre behöver behandlas. Tredje parter förbjuds dessutom att använda data som de tagit emot för att profilera personer, om det inte behövs för att tillhandahålla tjänsten (artikel 6).
Förslaget ger också aktörer som betraktas som mikroföretag och små företag enligt kommissionens rekommendation 2003/361/EG om definition av mikroföretag samt små och medelstora företag vissa befrielser bland annat från skyldigheten att tillgängliggöra data (artikel 7).
Kapitel III i förslaget gäller skyldigheter för innehavare av data som enligt lag är skyldiga att tillgängliggöra data. Villkor kan ställas för delning av data, bara de är rättvisa, rimliga och icke-diskriminerande (artikel 8 punkt 1). Till denna del påminner förslaget till sina centrala delar om exempelvis de så kallade FRAND-villkoren i patentlagstiftningen.
En rimlig ersättning kan betalas för tillgängliggörande av data (artikel 9).
Enligt förslaget kan en datainnehavare vid tillgängliggörandet av data vidta lämpliga tekniska skyddsåtgärder för att förhindra obehörig åtkomst till data samt säkerställa överensstämmelse med akten och med överenskomna avtalsvillkor (artikel 11).
3.3
Förbud mot oskäliga avtalsvillkor
Enligt den föreslagna akten ska ett avtalsvillkor i ett datadelningsavtal som, till nackdel för en part eller, där detta är tillämpligt, till nackdel för användaren, utesluter tillämpningen av kapitel III, avviker från det eller ändrar dess verkan, inte vara bindande för den parten. (artikel 12). Enligt förslaget ska oskäliga avtalsvillkor som ensidigt ställts upp för mikro- och småföretag också vara ogiltiga. Villkoren ska i regel överensstämma med god sed (artikel 13 i förslaget). Akten innehåller också en lista med villkor för när ett avtalsvillkor ska anses vara oskäligt (artikel 13(4)). Ett centralt villkor med tanke på oskälighet är kommissionens rekommendation 2003/361/EG om definition av mikroföretag samt små och medelstora företag.
Innehavare och mottagare av data ska kunna använda tvistlösningsorgan som certifierats i enlighet med artikel 10 punkt 2 för att avgöra sådana tvister som gäller fastställande av rättvisa, rimliga och icke-diskriminerande villkor för tillgängliggörande av data enligt artikel 8 och 9 samt öppenhet som tillämpas på detta (artikel 10). Enligt förslaget ska tvistlösningsorganets beslut binda parterna, om parterna uttryckligen har godkänt dess bindande karaktär innan tvistlösningsförfarandet inleddes. Artikeln förutsätter ett tvistlösningsorgan utanför domstol som omfattas av nästan samma krav som organ enligt Europaparlamentets och rådets direktiv 2013/11/EU om alternativ tvistlösning vid konsumenttvister och om ändring av förordning (EG) nr 2006/2004 och direktiv 2009/22/EG (direktivet om alternativ tvistlösning).
3.4
Den offentliga sektorns rätt att få data för exceptionella behov
Den föreslagna akten innehåller också bestämmelser om offentliga samfunds rätt att få data från den privata sektorn för vissa exceptionella behov (kapitel V). Innehavaren av data ska på begäran göra data tillgängliga för offentliga organ eller unionens institutioner, byråer och organ som påvisar ett exceptionellt behov av att använda de data som begärs. Detta kapitel ska dock inte tillämpas på små företag och mikroföretag enligt definitionen i artikel 2 i bilagan till rekommendation 2003/361/EG (artikel 14). Förslaget innehåller bland annat kriterier för bedömning av när det är fråga om ett så kallat exceptionellt behov (artikel 15). Syftet med denna del av regleringen är att stödja den offentliga sektorn i exempelvis förebyggande av eller återhämtning från naturkatastrofer eller i situationer med betydande cyberstörningar. I fråga om dessa bör man också beakta myndigheternas rätt att få information. Exempelvis i fråga om cyberstörningar bör man ännu bedöma om detta kan leda till att myndigheterna får nya rättigheter till information vid allvarliga cyberstörningar.
Förslaget är inte avsett att påverka befintliga skyldigheter att lämna uppgifter eller rapporteringsskyldigheter enligt unionens eller nationell lagstiftning. Akten påverkar inte heller tillämpningen av medlemsstaternas eller unionens brotts- och polislagstiftning, utan när det gäller rättsväsendet, väckande av åtal, bekämpning av brott, fastställande och verkställande av administrativa och straffrättsliga påföljder, tullförfaranden och beskattning ska den gällande regleringen på unionsnivå eller nationell nivå tillämpas på begäranden om eller tillgång till data (artikel 16). En nationell myndighet eller ett unionsorgan som gör en begäran om tillgång till data ska motivera sin begäran (artikel 17). Detta gäller även sekretessbelagda uppgifter (inklusive personuppgifter, om det är nödvändigt). När begäran besvaras (jakande) ska de data som begärts göras tillgängliga för den som framfört begäran utan dröjsmål (artikel 18). Om efterlevnad av en begäran om att göra data tillgängliga för ett offentligt organ eller unionens institutioner, byråer och organ förutsätter utlämning av personuppgifter, ska datainnehavaren vidta skäliga åtgärder för att pseudonymisera data, om begäran kan uppfyllas med pseudonymiserade data. Även användningen av data som fåtts genom en sådan begäran är begränsad. Data får exempelvis inte användas på ett sätt som strider mot det begärda användningsändamålet, och man ska också i den omfattning som krävs vidta tekniska och organisatoriska åtgärder för att skydda de registrerades rättigheter, och uppgifterna ska förstöras när de inte längre behövs (artikel 19). Tillgängliggörande av data för myndighetsbruk i exceptionella omständigheter enligt akten ska ske avgiftsfritt (artikel 20).
Enligt förslaget ska också offentliga organ och unionens institutioner, byråer och organ ha rätt att dela uppgifter som de fått vidare för forsknings- och statistikföringsbruk, om sådant statistikförings- eller forskningsbruk är förenligt med grunden för utlämnandet av uppgifterna och om det offentliga organet inte självt kan utföra de nödvändiga forsknings- och statistikföringsåtgärderna (artikel 21). Ett organ inom den offentliga sektorn eller unionen har dock inte rätt att dela uppgifter som det fått för exceptionella behov till tredje parter som öppna data (motiveringsstycke 62 i förslagets inledningsdel).
Myndigheterna ska samarbeta för att förverkliga kapitel V i akten och samordna begäranden om uppgifter så att en begäran inte ger upphov till onödig administrativ belastning (artikel 22).
3.5
Databehandlingstjänsters utbytbarhet
Kapitel VI i förslaget gäller möjligheterna att överföra data och relaterade metadata mellan olika tjänsteleverantörer (kapitel VI). Tjänsteleverantörer som utövar behandling av data tilldelas enligt förslaget en skyldighet att säkerställa att deras kunder kan byta tjänsteleverantör. Leverantörer av databehandlingstjänster ska särskilt undanröja kommersiella, tekniska, avtalsmässiga och organisatoriska hinder som förhindrar kunderna från att exempelvis säga upp ett avtal om en tjänst, ingå nya avtal med en annan leverantör av databehandlingstjänster som täcker samma tjänstetyp, portera sina data, applikationer och andra digitala tillgångar till en annan leverantör av databehandlingstjänster eller upprätthålla funktionell likvärdighet för tjänsten i it-miljön hos den/de olika leverantörer av databehandlingstjänster som omfattar samma tjänstetyp, i enlighet med artikel 26 (artikel 23).
3.6
Påföljder
Enligt förslaget är medlemsstaternas uppgift att fastställa effektiva och proportionella påföljder för akten (kapitel IX). I fråga om brott mot de skyldigheter som fastställs i kapitel II, III och V i den föreslagna akten hänvisar förslaget till en möjlighet att utfärda administrativa böter enligt den allmänna dataskyddsförordningen och dataskyddsförordningen för organ. Medlemsstaterna ska också meddela kommissionen om de påföljder och åtgärder som tillämpas vid brott mot bestämmelserna (artikeln 33).
3.7
Andra bestämmelser
Kapitel VII i aktförslaget gäller skyddsåtgärder för att förhindra missbruk av data som gäller annat än personuppgifter. Leverantörer av databehandlingstjänster ska vidta alla skäliga tekniska, juridiska och organisatoriska åtgärder, inklusive avtalsarrangemang, för att förhindra att andra data än personuppgifter som finns inom unionen överförs internationellt eller blir tillgänglig för myndigheter, om sådan överföring eller tillgång strider mot unionens lagstiftning eller den berörda medlemsstatens nationella lagstiftning. Den europeiska datainnovationsnämnd som grundas enligt den föreslagna dataförvaltningsakten (COM/2020/767 final) ger också råd och assistans till kommissionen i utarbetandet av riktlinjer för bedömning av uppfyllandet av dessa förutsättningar (artikel 27).
Kapitel VIII i förslaget reglerar skyldigheter i fråga om grundläggande interoperabilitetskrav för operatörer av dataområden (artikel 28), interoperabilitet för databehandlingstjänster (artikel 29) samt grundläggande krav avseende så kallade smarta kontrakt för datadelning, som omfattar robusthet, säkerhet vid uppsägning och avbrott, arkivering och behörighetskontroll (artikel 30). Med ett smart kontrakt avses ett datorprogram som finns sparat i ett elektroniskt räkenskapsboksystem, där resultatet av programmets prestation registreras i den elektroniska räkenskapsboken. Akten definierar också begreppet interoperabilitet som förmågan hos två eller fler dataområden eller kommunikationsnät, system, produkter, applikationer eller komponenter att utbyta och använda data för att utföra sina funktioner (artikel 2 punkt 19).
Enligt förslaget ska varje medlemsstat utse en eller flera behöriga ansvariga myndigheter för att övervaka tillämpningen och genomförandet av den föreslagna akten. Medlemsstaterna kan för detta grunda en eller flera nya myndigheter eller förlita sig på de befintliga myndigheterna. Myndighetsverksamheten ska också omfatta handledning, rådgivning och uppställande av sanktioner. Myndighetsarbetet ska samordnas med den myndighetsverksamhet som äger rum med stöd av den allmänna dataskyddsförordningen (artikel 31).
Utifrån förslaget utarbetar och rekommenderar kommissionen också icke-bindande modellavtalsvillkor som berör tillgången till och användningen av data, i syfte att hjälpa parterna att utarbeta och förhandla fram avtal där de avtalsbaserade rättigheterna och skyldigheterna är jämlika (artikel 34).
Dataakten förtydligar också hur data förhåller sig till direktiv 96/9/EG (databasdirektivet) om juridiskt skydd för databaser. Enligt förslaget ska man på begäranden som gjorts med stöd av artikel 4 eller 5 i dataakten inte tillämpa det så kallade sui generis-databasskyddet enligt det sistnämnda direktivet (artikel 35).
Enligt den promemoria som förklarar dataakten förändrar den föreslagna akten inte den befintliga sektorlagstiftningen om tillgång till och användning av data. Den kommande lagstiftningen om teman bör dock vara i linje med dataaktens horisontella principer. Dataakten ger utrymme för vertikala bestämmelser inom olika sektorer. Regleringen får inte heller förhindra branschspecifika regleringskrav, unionslagstiftning eller nationell lagstiftning som är förenlig med unionsrätten, som utesluter eller begränsar datainnehavarens möjligheter att använda vissa sådana här uppgifter av noggrant definierade orsaker som gäller den allmänna ordningen (motiveringsstycke 24 i förslagets inledningsdel).
3.8
Föreslagen delegering av befogenhet till kommissionen
Enligt kapitel XI i den föreslagna akten kan kommissionen godkänna delegerade akter genom vilka man inför en tillsynsmekanism för avgifter för byte av leverantör av databehandlingstjänster, preciserar väsentliga krav på interoperabilitet samt publicerar referensuppgifter om öppna specifikationer av interoperabilitet och europeiska standarder för interoperabilitet mellan databehandlingstjänster. Där hänvisas också till Europaparlamentets och rådets förordning (EU) nr 182/2011 om de allmänna regler och principer enligt vilka medlemsstaterna övervakar användningen av kommissionens genomförandebefogenheter, genom vilka genomförandeakterna godkänns (artikel 39).
Enligt förslaget ska kommissionen få befogenheter att utfärda genomförandeakter gällande artiklarna 28(5), 30(6), 25(4), 28(2) och 29(5) i förslaget. Med stöd av dessa kan kommissionen utfärda delegerade akter gällande väsentliga krav på interoperabilitet och fastställande av bytesavgifter, och den kan godkänna delegerade akter genom vilka referensuppgifter publiceras om öppna specifikationer för interoperabilitet och europeiska standarder för interoperabilitet mellan databehandlingstjänster ur unionens centralregister för standarder för interoperabilitet mellan databehandlingstjänster. Målet med dessa är att främja interoperabiliteten och utfärdandet av gemensamma specifikationer för smarta kontrakt, om enhetliga standarder saknas eller inte i tillräcklig grad kan säkerställa förenlighet med de väsentliga kraven.
Förslaget ger kommissionen befogenheter att utveckla standardiseringsarbetet, och förslaget kan kompletteras med sektorspecifika regler (artikel 38).
4
Förslagets rättsliga grund och förhållande till proportionalitets- och subsidiaritetsprincipen
Förslagets rättsliga grund är artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), som gäller den inre marknaden. Artikeln gäller åtgärder för genomförande av den inre marknaden och dess verksamhet, och dess syfte är att närma lagstiftningen i medlemsstaterna och säkerställa att lagstiftningen tillämpas på ett enhetligt och icke-diskriminerande sätt i unionen.
Enligt kommissionen är reglering på unionsnivå nödvändig för att främja en verklig datadriven inre marknad. Enligt kommissionen överensstämmer regleringen också med proportionalitetsprincipen, eftersom den kan anses nödvändig för att uppnå de uppställda målen. Målet med bestämmelserna om byte av databehandlingstjänst är att skapa rättvisa och konkurrenskraftiga marknadsförhållanden för molntjänster, edge computing och relaterade tjänster på den inre marknaden. Genom förslaget strävar kommissionen också efter att förbättra rättssäkerheten och transparensen samt förebygga fragmentering, det vill säga nationella regleringslösningar som avviker från varandra.
I förslaget sägs att när man beaktar dataanvändningens gränsöverskridande karaktär och de många delområdena i dataaktens effekter, kan man på medlemsstaternas nivå inte ingripa effektivt i de frågor som behandlas i detta förslag. I förslaget identifieras därmed exempelvis datatjänsternas gränsöverskridande karaktär, som innebär att det är viktigt att även regleringen är gränsöverskridande i stället för nationell.
Statsrådet anser preliminärt att kommissionens uppfattningar om såväl den rättsliga grunden som subsidiaritets- och proportionalitetsprincipen är ändamålsenliga. En uttömmande och grundlig utredning av efterlevnaden av den rättsliga grunden samt subsidiaritets- och proportionalitetsprincipen är dock utmanande att göra i detta tidiga skede, eftersom förordningsförslaget innehåller så mycket ny reglering, och statsrådet bedömer detta närmare när förhandlingarna framskrider. Det är viktigt att utvärdera regleringens subsidiaritet och proportionalitet även som en del av den större helheten av reglering för dataekonomin, som kan kompletteras genom senare förslag.
5
Förslagets konsekvenser
Den föreslagna aktens konsekvenser berör samhället i stor omfattning och omfattar olika sektorer, företag i olika storlekar, den offentliga förvaltningen samt såväl producenter som konsumenter av data. Den föreslagna akten påverkar också företag som erbjuder dataadministration och molntjänster, samt aktörer som erbjuder lösningar som baserar sig på så kallade smarta kontrakt eller blockkedjeteknologi.
Akten kan anses förbättra både medborgares och företags tillgång till data samt användningen av data och dess användbarhet.
Den föreslagna aktens definition av data kan hållas väldigt bred och likadan som den nationellt etablerade definitionen av handling, vilket även avspeglas i konsekvensernas omfattning.
Hittills har företag i EU inte haft allmänna lagstadgade horisontellt täckande skyldigheter att göra data som de förfogar över tillgängliga för andra. Det finns dock redan sektorspecifika regelverk och regelverk på medlemslandsnivå. Utan horisontella ramar och minimiharmonisering är kommissionen rädd att den sektor- och medlemslandsspecifika regleringen ökar och att en växande splittring försämrar möjligheterna att överföra och använda data. Kommissionen uppfattar att man genom dataakten kan öka användningen av industriella data och på så sätt öka innovationen och konkurrensen på olika marknader. I princip kan en aktör som begär eller tar emot data dock även vara en direkt konkurrent till företaget, vilket ännu måste utvärderas i det fortsatta arbetet med akten. Enligt förslaget får användaren eller en tredje part dock inte använda data som fåtts med stöd av användarens rätt att få data för att utveckla en konkurrerande produkt.
I nuläget använder många aktörer redan olika molntjänster, men faktum är att det finns både tekniska och avtalsmässiga hinder för att byta tjänsteleverantör. När det inte går att byta tjänsteleverantör utan besvär talar man om ett så kallat leverantörslås, som kan förvränga marknaden. Detsamma gäller också konsumenter som vill överföra data om sig själva (det vill säga personuppgifter) mellan olika tjänster. Genom dataakten strävar man efter att förebygga situationer med så kallade lås. Den föreslagna akten kompletterar till denna del rätten enligt artikel 20 i den allmänna dataskyddsförordningen att överföra uppgifter om sig själv från ett system till ett annat.
Om den föreslagna akten träder i kraft kan den förbättra rättssäkerheten, eftersom det för närvarande kan finnas stora skillnader mellan dataanvändningen och relaterade rättigheter och skyldigheter i olika medlemsstater och sektorer.
Statsrådet har i regel betraktat främjande av interoperabilitet som en mycket positiv sak under en längre tid (U 59/2017 rd). Statsrådet har ansett att EU-regelverket även bör förbättra de dataförmedlande tjänsternas inbördes interoperabilitet så att det blir möjligt att konkurrensutsätta även dessa tjänster och byta förmedlingstjänstleverantör (U 1/2021 rd). Statsrådet har också fört fram att utvecklingen av dataekonomin bör främjas framför allt genom att förbättra tillgången till uppgifter om IP-rättigheter samt balanserade och transparenta användningsvillkor genom gränssnitten (E 6/2021 rd). Med beaktande av betydelsen hos den nu aktuella akten bör även denna fråga granskas ur olika perspektiv i det fortsatta arbetet.
5.1
Offentlighetsprincipen
Offentligheten hos uppgifter som lämnas till myndigheterna ska granskas i förhållande till 12 § i grundlagen, som innehåller bestämmelser om grundläggande rättigheter i fråga om yttrandefrihet och offentlighet hos upptagningar som innehas av myndigheterna. Närmare bestämmelser om förverkligandet av offentlighetsprincipen finns i lagen om offentlighet i myndigheternas verksamhet (621/1999, offentlighetslagen). Enligt artikel 19 i förordningsförslaget får offentliga organ inte använda uppgifter som begärts för exceptionella behov med stöd av artikel 14 på ett sätt som inte är förenligt med den grund utifrån vilken uppgifterna har begärts. Enligt 5 § 2 mom. i offentlighetslagen avses med myndighetshandling bland annat en handling som har inkommit till en myndighet för behandling av ett ärende som hör till myndighetens verksamhetsområde eller uppgifter eller en handling som har inkommit till en myndighet på uppdrag av myndigheten. En myndighetshandling är för sin del i regel offentlig enligt 6 § i offentlighetslagen, om inte något annat stadgas om handlingens offentlighet eller sekretess. Samspelet mellan artikel 19 i aktförslaget och regelverket om handlingars offentlighet bör utvärderas närmare i den fortsatta beredningen.
Enligt förordningsförslaget får ett offentligt organ som får information från en privat aktör för exceptionella behov inte göra dessa data tillgängliga för återanvändning på det sätt som avses i direktivet om öppna data (EU) 2019/1024 (artikel 17 punkt 3). Direktivet om öppna data har i fråga om myndighetshandlingar verkställts nationellt genom förändringar i offentlighetslagen och lagen om informationshantering inom den offentliga förvaltningen (906/2019), och begreppet gällande återanvändning av direktivet om öppna data har inte som sådant inkluderats i de nämnda rättsakterna, utan rätten till återanvändning har ansetts ingå i offentlighetsprincipen. Även i fråga om dessa måste man alltså utvärdera relationen mellan aktförslaget och offentlighetsprincipen.
Enligt artikel 19 i förslaget ska ett offentligt organ eller en myndighet också radera de uppgifter som fåtts genast när de inte längre behövs, och meddela den som lämnat uppgifterna att de har förstörts. Nationella bestämmelser om förvaring och utgallring av handlingar finns i arkivlagen (831/1994).
I fråga om aktförslaget kan också de dataområden som byggs upp kring elektronisk rättspraxis, det vill säga det så kallade e-justice-dataområdesarbetet, beaktas.
Enligt förslaget ska hänvisningen till databasdirektivet inte begränsa databasens IP-skydd. Detta kan anses öka rättssäkerheten i fall där sui generis-rättens skydd tidigare varit oklart. I samband med dataakten har kommissionen också för avsikt att se över direktivet om juridiskt skydd för databaser (96/9/EG) på nytt.
5.2
Förslagets konsekvenser för myndigheternas verksamhet och val av behörig myndighet
Medlemsländernas myndigheter får genom förordningen nya uppgifter i fråga om att sköta genomförandet och tillämpningen av förordningen i allmänhet samt sköta tillsyns- och uppföljningsuppgifter och behandla klagomål. När den offentliga sektorn begär uppgifter ska myndigheten kontrollera att begärandena är proportionella och om klagomål lämnats. I förordningen ingår också assistans till andra medlemsländers myndigheter när dessa myndigheter begär uppgifter samt utvärdering av uppfyllandet av förutsättningarna för internationella överföringar.
Medlemsstaterna ska utse en eller flera behöriga myndigheter för att säkerställa genomförandet av förordningen. Dataakten förändrar inte befintliga ansvar, men för de myndigheter som i nuläget utför tillsyn enligt dataskyddsförordningen och sektorregleringen inkluderar akten en skyldighet till ett intensivare samarbete. Skyldigheterna enligt den föreslagna akten ska också samordnas med den allmänna dataskyddsförordningen och dataskyddsförordningen för organ samt med verksamheten hos de myndigheter som utför tillsynsuppgifter enligt sektorregleringen. Av myndigheterna förutsätts också rådgivning i synnerhet om användares och sammanslutningars rättigheter och skyldigheter samt offentligt tillgängliggörande av information om myndighetens begäranden om uppgifter.
Dataakten utökar uppgifterna för den nämnd som grundats genom dataförvaltningsakten och höjer dess ställning. Även samordningsarbetet kring reglering och standardisering på lägre nivå ökar.
I förslaget föreslås också en möjlighet att låta ett tvistlösningsorgan utanför domstol avgöra förverkligandet av avtalsvillkor gällande delning av data. I Finland finns inte något ADR-organ vars verksamhetsområde skulle omfatta sådana tvister. För detta ändamål måste man alltså grunda ett separat organ för avgörande av tvister.
Konsekvenserna för myndighetsverksamheten bör ännu granskas närmare när beredningen av regleringen framskrider.
5.3
Förslagets ekonomiska konsekvenser
Till dataaktens mål hör att främja innovationer och dataekonomi. Det är möjligt att innovationer och marknader som anknyter till datarelaterade produkter och tjänster kan växa märkbart. Det här kan ha betydande positiva ekonomiska effekter.
Om akten förverkligas medför den även kostnader för tekniska och administrativa förfaranden. Enligt förslaget ska de nationella myndigheterna, tillverkarna och tjänsteleverantörerna ansvara för dessa. Akten kan medföra kostnader för företag exempelvis i samband med tillgängliggörande av data. Akten påverkar företagens transaktionskostnader och exempelvis kostnaderna för anordningar (tillverkare). Sammantaget har kommissionen dock för aktens del haft som mål att hålla kostnaderna låga.
Enligt kommissionens konsekvensbedömning ökar det alternativ som anses vara bäst BNP för EU med 27 medlemsstater med 1,98 procentenheter fram till år 2028 samt den offentliga ekonomins omsättning med 96,8 miljarder euro och placeringsverksamheten med 30,4 miljarder euro åren 2024–2028. Initiativet bedöms också skapa 2,2 miljoner nya arbetsplatser. Den beräknade nyttan för respektive interventionsområde kunde enligt kommissionen vara följande:
- förbättrade påverkningsmöjligheter för konsumenter och företag i användningen av tjänster som anknyter till nätet och tillhörande produkter
- tillgång till information för kommersiell användning och innovationer mellan företag ger upp till 196,7 miljarder euro per år fram till 2028;
- mer rättvisa avtal ger tilläggsinkomster på 7,4 miljarder euro per år;
- underlättande av användning av uppgifter som innehas kommersiellt för syften i enlighet med allmänt intresse: den administrativa bördan minskar med högst 155 miljoner euro per år; samt
- underlättande av tillgången till rättvisa och tillförlitliga molntjänster och edge computing-tjänster: 7,1 miljarder euro per år.
Kommissionen uppfattar själv att sakernas internet har ett stort värde, och anser att dess tjänster och värde eventuellt kommer att nå 5–11 biljoner euro år 2030. Enligt kommissionen kan man också genom den nya dataregleringen uppnå en extra tillväxt på upp till 270 miljarder euro i BNP på EU-nivå fram till 2028. Kommissionen anser att förslaget har en viktig roll även i stödjandet av Europas gröna övergång.
Det har inte varit möjligt att beräkna aktens kostnadseffekter på nationell nivå. Datamarknaden och sysselsättningen väntas växa snabbare än den övriga ekonomin. Enligt tidigare bedömningar som gjorts av kommissionen har de 90 000 som sysselsattes inom datamarknaden i Finland år 2019 beräknats öka till upp till 137 000 år 2025.
6
Förslagets förhållande till grundlagen samt grundläggande och mänskliga rättigheter
Akten kan med tanke på grundlagen eventuellt ha betydelse för offentlighetsprincipen, skyddet av personuppgifter, skyddet av egendom samt näringsfriheten och avtalsfriheten. Allt detta bör granska när beredningen av akten framskrider. Offentlighetsprincipen behandlas ovan.
6.1
Skydd av personuppgifter
Finland har sett fokuset på människan som centralt i dataekonomin och lyft fram vikten av att stärka individens rätt att få uppgifter om sig själv (E 24/2020 rd). Dataakten strävar efter att förtydliga rättigheterna och skyldigheterna i fråga om tillgång till, användning av och överföring av data. Genom aktförslaget strävar man också efter att främja delning av data. Förslaget gäller till vissa delar även behandling av personuppgifter. Regleringen i förslaget är därmed relevant även med tanke på skydd av privatlivet och skydd för personuppgifter som 10 § i grundlagen föreskriver om.
Personuppgifter hör till tillämpningsområdet för en del av aktens delområden. I förslaget beaktas EU:s gällande dataskyddsregelverk. Enligt kommissionens bedömning är den föreslagna akten förenlig med EU:s dataskyddsregelverk. Förslaget innehåller hänvisningar till den allmänna dataskyddsförordningen och direktivet om integritet och elektronisk kommunikation (det så kallade ePrivacy-direktivet 2002/58/EG). Om förslaget till den så kallade ePrivacy-förordningen (COM/2017/010), som är under förhandling, godkänns under beredningen av dataakten, ska detta aktförslags relation till dataskyddet inom elektronisk kommunikation utvärderas på nytt och aktförslagets hänvisningar ska ändras från ePrivacy-direktivet till ePrivacy-förordningen.
Aktförslagets syfte är inte att förändra den lagstiftning som tillämpas på behandlingen av personuppgifter, och det skapar ingen rättslig grund för behandling av personuppgifter. Till den del som personuppgifter behandlas inom aktförslagets tillämpningsområde ska man i behandlingen följa EU:s dataskyddsreglering. Tillgång till information är central ur dataaktens perspektiv, men den ska förverkligas i enlighet med EU:s dataskyddsreglering. Förslagets krav på möjligheterna att överföra information och den tekniska genomförbarheten för detta samt de befogenheter som ges till kommissionen att fastställa tekniska definitioner för detta kompletterar rätten enligt artikel 20 i den allmänna dataskyddsförordningen att överföra uppgifter om sig själv från ett system till ett annat. I fråga om detta är det viktigt att säkerställa att de grundläggande och mänskliga rättigheterna respekteras.
Regleringen har även betydelse med tanke på EU:s stadga om de grundläggande rättigheterna. Artikel 7 i EU:s stadga om de grundläggande rättigheterna tryggar respekt för privatlivet och artikel 8 rätt till skydd av personuppgifter. Enligt artikel 8 i Europakonventionen (FördrS 19/1990) har var och en rätt att åtnjuta respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Enligt rättspraxisen i Europeiska domstolen för de mänskliga rättigheterna anses artikeln även täcka skyddet av personuppgifter. I den fortsatta beredningen måste man ännu säkerställa den föreslagna aktens förenlighet med EU:s dataskyddsreglering och säkerställa att regleringen underlättar dess tekniska genomförbarhet. Regleringen ska ha exakta gränser och inte överlappa den gällande regleringen. I fråga om detta bör man åtminstone fästa uppmärksamhet vid regleringen av datadelning enligt kapitel II, regleringen av utlämnande av data till offentliga myndigheter eller EU-institutioner enligt kapitel V samt regleringen av påföljder enligt kapitel IX. I fråga om detta är det viktigt att säkerställa att de grundläggande och mänskliga rättigheterna respekteras.
I förslaget beskrivs förhållandet mellan den föreslagna regleringen och den allmänna dataskyddsförordningen, och EU:s gällande dataskyddsregelverk har beaktats. I artiklarna i kapitel II, till de delar som det är fråga om behandling av personuppgifter, ska man följa dataskyddsregelverket i behandlingen. Dataakten skapar alltså inte en rättslig grund för behandlingen. Enligt artikel 4 punkt 5 i förslaget, som gäller uppgifter som hör till särskilda kategorier av personuppgifter, ska behandlingen utöver en sådan grund för behandling som avses i artikel 6 punkt 1 i den allmänna dataskyddsförordningen även ha en sådan behandlingsgrund som avses i artikel 9 punkt 2. Regleringen enligt kapitel II i förslaget bör dock ännu utvärderas närmare, så att den är i linje med den allmänna dataskyddsförordningen. I förslaget konstateras att man med det utfärdar reglering som kompletterar artikel 20 i den allmänna dataskyddsförordningen (artikel 5 punkt 7). I förslaget är det delvis oklart till vilka delar reglering som preciserar den allmänna dataskyddsförordningen ska utfärdas och vilket spelrum i regleringen detta baserar sig på (i synnerhet förslagen i artikel 6 om förbud mot profilering samt ändamålsbundenhet och förvaringstid). För att undvika överlappningar är det skäl att uppmärksamma den allmänna dataskyddsförordningens allmänna bestämmelser om behandling av personuppgifter (såsom principen om ändamålsbundenhet, principen om minimering av uppgifter och principen om begränsning av förvaring). Förutom för kapitel II i förslaget bör motsvarande granskning även göras för kapitel V. Kapitlet reglerar utlämnande av uppgifter till den offentliga sektorn och föreslår bland annat reglering gällande pseudonymisering av personuppgifter, skötsel av tekniska och organisatoriska skyddsåtgärder samt begränsningar för förvaring av uppgifter (artikel 18 och 19). På motsvarande sätt bör man se till att förslagen gällande påföljder och tillsyn enligt kapitel IX är förenliga med EU:s dataskyddsreglering. Vid sidan av det ovan nämnda är det viktigt att försöka säkerställa att den föreslagna regleringen är begriplig och tydlig även ur den registrerades perspektiv (med beaktande av att det gäller en rättighet som tillämpas direkt).
6.2 Egendomsskydd, avtalsfrihet och näringsfrihet
Dataakten skulle också ha betydelse för näringsfriheten och avtalsfriheten. Personkretsen som omfattas av aktens tillämpningsområde är omfattande och omfattar ett stort antal företag. Skyldigheten att planera produkter och tjänster så att tillgången till data förverkligas påverkar produktplaneringen och torde även medföra kostnader. Det är därför fråga om en begränsning av en del företags näringsfrihet. Förslaget motiveras å ena sidan med konsumentskydd (för konsumentanvändarnas del) och å andra sidan med marknadens funktion (i fråga om användare som är juridiska personer). Man bör ännu granska balansen mellan målen och begränsningen i näringsfriheten.
Akten utgår från avtalsfriheten. Till de delar som akten reglerar avtalsvillkor mellan företag är det ändå fråga om en begränsning av avtalsfriheten. Begränsningens proportionalitet bör också utvärderas. Betydelsen av ingripandet beror i hög grad på hur de användningsdata som ska delas enligt förslaget definieras. En onödigt bred definition kan försämra företagens möjligheter att skydda sina företagshemligheter och andra konkurrensförutsättningar.
I fråga om databasskyddet är det skäl att utreda om förslaget innebär en betydande begränsning jämfört med nuläget. Om så är fallet bör akten granskas med tanke på den grundläggande rätten till egendomsskydd. Om databasdirektivet ändras så att det skydd som redan uppstått inte kan tillämpas (verkställas) i fråga om databaser med så kallade IoT-data, är det fråga om en begränsning av rättigheter. Detta kan vara motiverat, men det kräver att man gör en avvägning mellan grundläggande rättigheter som traditionellt är mycket starka. Upphovsrätt uppstår automatiskt, till skillnad från andra rättigheter som företag behöver i sin affärsverksamhet. För att förordningens mål ska uppnås är det bättre att avgöra dataaktens relation till databasskyddet genom kriterierna för hur ensamrätt uppstår. Man bör därför fästa uppmärksamhet vid hur ändringen görs.
6.2
6.3 Likabehandling och jämlikt bemötande
Förordningsförslaget innehåller flera undantag för så kallade mikroföretag samt små och medelstora företag, vars syfte är att minska den administrativa bördan för dessa företag. Definitionen av mikroföretag och små företag baserar sig på artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG, enligt vilken ett mikroföretag är ett företag som sysselsätter färre än tio personer och vars omsättning är högst två miljoner euro, ett litet företag är ett företag som sysselsätter färre än 50 personer och vars omsättning är högst 10 miljoner euro och ett medelstort företag är ett företag som sysselsätter färre än 250 personer och vars omsättning är högst 43 miljoner euro. Kapitel II i förordningen tillämpas exempelvis inte alls på mikroföretag och små företag. Dessa undantag, i synnerhet artikel 14 i förslaget, enligt vilka myndigheter inte kan begära nödvändiga uppgifter för exceptionella behov av små och medelstora företag, måste utvärderas närmare med tanke på förverkligandet av jämlikhet. Grunden för en begäran om information skulle vara ett allmänt intresse som definieras i lagen eller en nödsituation eller förhindrande av en nödsituation, vars karaktär inte nödvändigtvis anknyter till det företag som har nödvändiga data, personalantalet eller omsättningen, vilket innebär att begränsningen ännu måste utvärderas. I det fortsatta arbetet måste man också utvärdera den föreslagna aktens inverkan på portvaktsföretagens verksamhet.
6.3
6.4 Straffrättslig laglighetsprincip
Enligt artikel 33 i förslaget ska medlemsstaterna nationellt fastställa de sanktioner eller påföljder av sanktionskaraktär som kan följa på brott mot eller bristande efterlevnad av förordningen. Sanktionerna ska vara effektiva, proportionella och avskräckande. Sådana så kallade administrativa sanktioner är inte som sådana straffrättsliga påföljder enligt grundlagens 8 §, men enligt grundlagsutskottets utlåtandepraxis ska reglering av sådana påföljder uppfylla de allmänna kraven på noggrannhet och proportionalitet (GrUU 14/2013 rd, s. 2/II, GrUU 34/2012 rd, s. 3–4, GrUU 17/2012 rd, s. 6). Dessa krav bör beaktas i den fortsatta behandlingen av förordningsförslaget, och man bör också hålla fast vid medlemsstaternas spelrum att själva reglera sanktionerna. I förordningsförslaget har man åtminstone inte uttryckligen lämnat ett spelrum som omfattar att myndigheter lämnas utanför påföljder av sanktionskaraktär, till skillnad från exempelvis i den allmänna dataskyddsförordningen. Även detta bör uppmärksammas i den fortsatta beredningen, eftersom myndigheterna i Finland endast kan påföras straffrättsliga påföljder.
I förordningsförslaget anges att om det i ett brott mot dataakten till någon del är fråga om ett brott mot den allmänna dataskyddsförordningen, kan påföljden till dessa delar utdömas av den myndighet som ansvarar för övervakning av dataskyddsförordningen. Förordningens förhållande till dataskyddsförordningen och förverkligandet av ne bis in idem-principen måste utvärderas närmare även till dessa delar.
7
Ålands befogenheter
Enligt 18 § 1 punkten i självstyrelselagen för Åland har landskapet lagstiftningsbehörighet i fråga om ärenden som gäller landskapets förvaltning samt myndigheter och inrättningar som är underställda den, samt enligt 4 punkten i fråga om ärenden som gäller kommunernas förvaltning. I tillsynen av lagstiftningen har man ansett att offentligheten hos dokument som innehas av myndigheter och skyddet av personuppgifter som innehas av myndigheter hör till landskapets lagstiftningsbehörighet. Därmed omfattas den föreslagna regleringen till ovan nämnda delar av landskapet Ålands befogenheter. Enligt 27 § 3 punkten i Ålands självstyrelselag har riket däremot lagstiftningsbehörighet i fråga om statsmyndigheternas organisation och verksamhet.
I övrigt omfattar rikets behörighet exempelvis den offentliga sektorns åtkomst till data från den privata sektorn, som har betydelse för ett allmänt intresse och för uppfyllande av en rättighet enligt artikel 20 i den allmänna dataskyddsförordningen (rätten att överföra sina uppgifter från en tjänsteleverantör till en annan). (Självstyrelselagen för Åland 18 § 1 och 22 punkten samt 27 § 3 punkten)
Till rikets behörighet hör också delning av data mellan företag, smarta kontrakt för att underlätta delning av data, rättigheter till data som uppstår i föremålens internet inom industrin, underlättande av byte av molntjänstleverantör för business-användare, ny utvärdering av direktivet om databasskydd samt skydd av andra uppgifter än personuppgifter vid överföring av uppgifter till tredje länder. (Självstyrelselagen för Åland 27 § 8, 10, 12, 40 och 41 punkten.)
Sammantaget måste ordnandet av myndighetsverksamhet i anknytning till dataakten ännu utvärderas som en helhet i det fortsatta arbetet.
8
Behandling av förslaget i Europeiska unionens organ och de övriga medlemsstaternas ståndpunkter
Aktförslaget baserar sig på kommissionens meddelanden av den 19 februari 2020 om Europas digitala framtid (COM(2020) 67 final) och Europas datastrategi (COM(2020) 66 final) samt vitboken om artificiell intelligens (COM(2020) 65 final) (E 24/2020 rd). Initiativet är en del av Europas datastrategi, genom vilken man strävar efter att stärka den inre marknaden för data.
Europeiska kommissionen ordnade ett offentligt samråd om dataakten 3.6–3.9.2021. Kommissionen publicerade samtidigt en preliminär konsekvensbedömning för dataakten (Ares(2021)3527151).
En artikelspecifik presentation och genomgång av aktförslaget inleddes i rådets telearbetsgrupp i mars 2022.
De övriga medlemsstaternas officiella ståndpunkter gällande aktförslaget är ännu inte kända.
9
Nationell behandling av förslaget
Ett utkast till U-skrivelse om aktförslaget genomgick ett skriftligt förfarande 22–24.3.2022 i nedanstående sektioner:
- Handelspolitiska sektionen EU2
- Sektionen för juridiska och inre ärenden EU7
- Konkurrenskraftssektionen EU8
- Kommunikationssektionen EU19
- Forsknings- och innovationssektionen EU20
Ett utkast till U-skrivelse om aktförslaget genomgick ett skriftligt förfarande i EU-ministerutskottet 30.3–1.4.2022
Kommunikationsministeriet ordnade ett tillfälle för berörda parter om förslaget till dataakt den 21 mars 2022.
Perspektiv på dataakten har behandlats i flera utredningar som gjorts av statsrådet. De mest betydande av dessa är:
• E 86/2021 rd: Föregripande inflytande: Europeiska unionens datalag
E 24/2020 rd: Meddelande från kommissionen om EU:s digitala framtid, meddelande från kommissionen om en EU-strategi för data och kommissionens vitbok om artificiell intelligens
• U 1/2021 rd: Statsrådets skrivelse till riksdagen om kommissionens förslag till Europaparlamentets och rådets förordning om den europeiska dataförvaltningen (dataförvaltningsakten)
10
Statsrådets ståndpunkt
Statsrådet understöder starkt målen i den föreslagna dataakten med tanke på datadelning och främjande av dataekonomi. Aktförslaget är en betydande del av kommissionens datastrategi i ett större perspektiv och ett verktyg för att främja de inre marknaderna med hjälp av data.
Statsrådet anser att en horisontell datareglering som omfattar hela EU är nödvändig i synnerhet för att förtydliga och förenhetliga kraven på användningsrättigheter till data i olika medlemsländer och sektorer. Akten främjar principerna om en rättvis dataekonomi och balanserar marknaden.
Statsrådet ser det som viktigt att regleringen i fråga om definitioner, tillämpningsområde och krav är tydlig och förenlig med annan reglering, såsom dataförvaltningsakten. I det fortsatta arbetet med förslaget bör man särskilt fästa uppmärksamhet vid aktens definitioner av data, produkt, databehandlingstjänst, ansvariga för dataområden samt allmänt nödläge.
Statsrådet ser det som viktigt att skapa interoperabilitet genom dataaktens enhetliga minimikrav.
Statsrådet ser det som viktigt att utvidga användarens rättigheter. Det är också viktigt att producenterna av data, det vill säga de företag och fysiska personer vars aktiviteter eller egenskaper ger upphov till data, fortfarande har en genuin möjlighet att föreskriva om användning och delning av data som gäller dem, samt få mervärde som uppstår genom kontroll av data och dess användning. Det är dock viktigt att förtydliga kraven på datadelning, så att delningsskyldigheten endast gäller oförädlade och oanalyserade data som uppstår genom användning och så att sektorn har en central roll i utarbetandet av standarder och rutiner för data. Man ser det också som viktigt att i den fortsatta beredningen utvärdera om akten kan främja tillgången till data för vetenskaplig forskning och annan icke-vinstdrivande verksamhet.
Statsrådet ser också aktens mål att stärka likabehandlingen av olika aktörer och konkurrensförutsättningarna som viktigt. Det är dock viktigt att regleringen är så tydlig som möjligt, i synnerhet för samordningen av den horisontella och den sektorspecifika regleringen.
I fråga om behandling av personuppgifter ser man det som viktigt att stärka den människoorienterade dataförvaltningen med praktiska metoder. Statsrådet stöder i synnerhet kommissionens mål att stärka personers förvaltning av data även för att öka användbarheten hos realtidsdata och att konsumenten får information om sina möjligheter att använda data som gäller konsumenten själv. Statsrådet ser det som viktigt att man i den fortsatta beredningen också förtydligar hur den förslagna dataakten förhåller sig till EU:s dataskyddsregelverk.
Den avsändare som avses i förslaget är ofta en sådan konsument som avses i EU:s konsumentskyddsföreskrifter. Föreskrifter som berör konsumenter ska vara entydiga och samordnade med den övriga konsumentlagstiftningen. Mängden information som erbjuds konsumenter ska hållas skälig, och kraven ska anpassas till de allmänna föreskriftsramarna för information till konsumenter.
Statsrådet ser det som viktigt att förordningsförslagets bestämmelser om datadelning från den privata sektorn till konsumenter samt mellan privata aktörer granskas ur ett konsument- och människoorienterat perspektiv och ur små företags perspektiv, och att man exempelvis utvärderar hur de detaljerade informationsskyldigheter som beskrivs i samband med skyldigheten att tillgängliggöra uppgifter som uppstått genom användning av produkter eller tillhörande tjänster kan förverkligas på ett ändamålsenligt sätt för konsumenter och små företag.
Statsrådet understöder minimikraven för avtalsvillkor för delning av data och anser att förslagets krav på att balansera förhandlingsmakten genom en skyldighet att följa minimivillkoren är bra. Statsrådet ser det som viktigt att data är tillgängliga på icke-diskriminerande, skäliga och rättvisa villkor.
Statsrådet stöder dataaktens mål även gällande att balansera förhandlingsmakten mellan företag. Statsrådet anser att befrielsen av mikroföretag och små företag som är datainnehavare från skyldigheterna att dela data enligt kapitel II–IV är ett proportionellt förslag. Det är också viktigt att säkerställa att små företag och mikroföretag har tillräckliga metoder för att verkligen ingripa i orättvisa avtalsvillkor och praxis på marknaden. Förslaget om att vissa avtalsvillkor ska vara ogiltiga är dock juridiskt betydande, förutom för enskilda aktörer även för marknaden, och förslagets artiklar om avtalsrätt måste utvärderas närmare när förhandlingarna framskrider.
Kapitel V i dataakten ger myndigheter inom den offentliga sektorn tillgång och användningsrättigheter till data som innehas av privata företag för vissa exceptionella behov. Statsrådet ser aktens mål att främja tillgången till och möjligheten att använda information av samhällelig betydelse som viktigt. Statsrådet ser det som viktigt att myndigheterna har rätt att få information från den privata sektorn i exceptionella situationer när syftet med tillgången till informationen är att bekämpa en omedelbar fara som hotar liv och hälsa exempelvis vid en olycka eller naturkatastrof eller på grund av en främmande stats agerande. Insamling, behandling, analys, anonymisering och datasäker överföring av sådana här uppgifter kräver dock ofta betydande satsningar och investeringar av de företag som samlar in dem. Statsrådet ser det som viktigt att man i utvecklingen av förfaranden genom vilka den offentliga sektorn får tillgång till data från den privata sektorn även beaktar mer omfattande möjligheter att använda data, och lyfter fram att delning av data på lång sikt ska basera sig på avtal som gynnar alla parter. Man bör också uppmärksamma regleringens effektivitet, kravens avgränsning och proportionalitet samt den administrativa börda som regleringen ger upphov till och att regleringen inte de facto ska försvaga en fungerande konkurrens. I fråga om information som lämnas ut till myndigheter bör man i det fortsatta arbetet med förslaget också beakta dess relation till den så kallade e-evidence-regleringen om elektroniskt bevismaterial.
Även förhållandet mellan dataakten och databasskyddet bör granskas närmare när förhandlingarna framskrider, så att effekterna på IP-rättigheterna blir så proportionella och exakt avgränsade som möjligt. När man delar affärshemligheter i synnerhet till tredje parter är det motiverat att förutsätta att dessa vidtar särskilda skyddsåtgärder och avtalar om dessa. Detta är viktigt för att bevara incitamenten för innovationsinvesteringar för tillverkare av apparater med nätuppkoppling. Samtidigt måste man dock säkerställa att de särskilda åtgärderna inte medför oskäliga nackdelar för delningen av data.
Vidare ser statsrådet det som viktigt att man ur industripolitisk synvinkel uppnår rätt balans mellan öppnande av data och företagens konkurrensförutsättningar. Det är viktigt att de skyldigheter att dela data som skapas genom lagstiftning på EU-nivå är noggrant avgränsade, tydliga och förenliga med annan lagstiftning, samt att akterna respekterar skyddet av affärshemligheter och principen om avtalsfrihet. Med tanke på företagens verksamhetsförutsättningar och rättvis konkurrens är det mycket viktigt att akten inte leder till en skyldighet att dela affärshemligheter. Även dessa perspektiv bör beaktas i tillräcklig utsträckning i den fortsatta behandlingen av förslaget till dataakt.
Statsrådet ser det som viktigt att man i den fortsatta beredningen också uppmärksammar förslagets författningsrättsliga perspektiv, exempelvis med tanke på rättssäkerheten, egendomsskyddsförvaltningens lagbundenhetsprincip och offentlighetsprincipen.
Detaljer som anknyter till aktförslaget ska också granskas i förhållande till de krav som anknyter till dataskydd, sekretessbelagda uppgifter och offentlighetslagstiftningen, immateriella rättigheter och fungerande konkurrens.
Statsrådet ser det som viktigt att EU:s digitala och teknologiska oberoende utvecklas, samtidigt som man på nödvändigt sätt tar hänsyn till olika leverans- och värdekedjors globala karaktär och behovet av en jämlik verksamhetsmiljö. Dataaktens krav bör främja jämlika verksamhetsmöjligheter på marknaden på ett teknologiskt neutralt sätt utan att begränsa enskilda företags val eller tjänsteutbud. Detta förutsätter också att man skapar gynnsamma förutsättningar för utveckling av centrala beredskaper och Europas öppenhet som en del av de globala ekonomin. I synnerhet i skyddet av företags uppgifter får bestämmelserna inte medföra betydande olägenheter för ändamålsenliga verksamhetsmodeller inom den globala exportindustrin. I fråga om den internationella dimensionen och i synnerhet skyldigheter som berör tredje länder ser statsrådet det som viktigt att samtidigt främja internationella regler för digital handel och dataekonomi (inklusive handelsavtal). Statsrådet ser det som viktigt att man tillsammans med initiativ inom EU:s digitala sektor genom dessa regler effektivt kan främja öppna och internationella digitala marknader samt säkerställa internationella informationsflöden och en hög nivå av dataskydd och datasäkerhet. Det är dock viktigt att undvika situationer där regleringen orsakar oskäliga olägenheter för internationella överföringar av icke-personuppgifter och på ett oskäligt sätt begränsar företags möjligheter att själva avgöra var och av vem deras icke-personuppgifter behandlas.
Statsrådet understöder krav genom vilka man stärker datasäkerheten och cybersäkerheten samt förenhetligar metoder för utvärdering av kravenlighet som anknyter till dessa. En hög nivå av datasäkerhet och cybersäkerhet är central i synnerhet för apparater med sakernas internet och motsvarande apparater för vilka förordningens mål är att främja möjligheterna att överföra data och göra dem smidigare. Även krav på datasäkerhet och cybersäkerhet har en betydande roll vid överföring av data från en molntjänst till en annan. Allmänt taget bör man också beakta de avgränsningar som den nationella säkerheten kräver och skyddet av affärshemligheter.
Förordningsförslagets föreskrifter om skyldigheten att göra data tillgängliga för myndigheterna är oklara. Under förhandlingarna bör man närmare utreda i synnerhet hur förpliktande en begäran från en myndighet i en annan medlemsstat är och datainnehavarens effektiva rättsskyddsmetoder i ett ärende. Statsrådet ser det som viktigt att kraven gällande de uppgifter som tilldelas de nationella myndigheterna med stöd av akten lämnar tillräckligt spelrum för det praktiska genomförandet på nationell nivå. Man måste också beakta den nationella lagstiftningen om myndighetshandlingars offentlighet. Eftersom den nationella lagstiftningen och den offentlig sektorns roll varierar mellan olika medlemsstater, bör regleringsramen möjliggöra omorganisering av funktioner vid behov för att ordna de skyldigheter och den tillsyn som fastställts för myndigheterna. Eventuella konsekvenser för myndighetsverksamheten bör ännu granskas närmare när beredningen av regleringen framskrider.
I fråga om påföljderna är det viktigt att säkerställa att de är effektiva och proportionella. Påföljderna bör också vara i linje med regleringen av påföljder enligt den allmänna dataskyddsförordningen och dataskyddsförordningen för organ.
Statsrådet ser det som bra att stärka möjligheterna till genomförande, men ser det som viktigt att behovet av att grunda ett separat organ för avgörande av tvister och befogenheternas omfattning bedöms ännu noggrannare i förhållande till andra tillgängliga rättssäkerhetsmetoder. Medlemsstaterna bör ges möjlighet att besluta om huruvida beslut om ett organ för avgörande av tvister ska vara bindande.
Statsrådet anser att omfattningen på och ändamålsenligheten hos de befogenheter som överförs till kommissionen genom delegerade akter ska utvärderas noggrant under den fortsatta beredningen.
Enligt förslaget ska förordningen börja tillämpas 12 månader efter att den trätt i kraft. Eftersom förordningsförslaget kräver kompletterande nationell reglering, ser statsrådet det som viktigt att säkerställa en tillräcklig övergångstid för verkställandet.
11
Författarens kontaktuppgifter
Specialsakkunnig Anna A. Wennäkoski, kommunikationsministeriet anna.wennakoski@gov.fi
Kontaktpersoner vid andra ministerier:
Regeringsråd Anna Vuopala, undervisnings- och kulturministeriet anna.vuopala@gov.fi
Ledande sakkunnig Hannele Timonen, arbets- och näringsministeriet hannele.timonen@gov.fi
Konsultativ tjänsteman Antti Helin, finansministeriet antti.helin@gov.fi
Specialsakkunnig Amanda Mäkelä, justitieministeriet amanda.makela@gov.fi