2
EU-rättsaktens målsättning och huvudsakliga innehåll
I EETS-direktivet föreskrivs det om förutsättningarna för att driftskompatibiliteten mellan elektroniska vägtullsystem ska förbättras och gränsöverskridande informationsutbyte om underlåtenhet att betala vägavgift underlättas inom hela Europeiska unionen.
I direktivet föreskrivs det inte om obligatoriska vägtullar, och därför kan medlemsstaterna också i fortsättningen själva besluta om de tar i bruk sådana tullar. Syftet med direktivet är att göra elektroniska vägtullsystem driftskompatibla så att de kostnader och bördor som är förknippade med betalning av vägtullar inom unionen kan minskas.
Med Europeiska systemet för elektroniska vägtulltjänster (European Electronic Toll Service, EETS) avses en vägtulltjänst där väganvändaren ingår ett avtal med en EETS-leverantör och på basis av avtalet har rätt att använda ett fordon inom ett eller flera EETS-områden. EETS-leverantören ställer den fordonsutrustning som ska användas som en del av vägtulltjänsten till kundens förfogande. Med hjälp av fordonsutrustningen samlas information om fordonets rörelser inom de vägtullsområden som omfattas av EETS och fastställs vägtullen eller vägavgiften.
EETS-direktivets mål och huvudsakliga innehåll beskrivs närmare i regeringens proposition om genomförande av direktivet (RP 115/2021 rd). Europeiska kommissionen har ansett att det finns brister i genomförandet av EETS-direktivet i Finland i fråga om artiklarna 2, 21 (21.1 och 21.2), 23 (23.3), 24–27 samt bilagorna I och II.
I artikel 2 i EETS-direktivet föreskrivs det om de definitioner som används i direktivet. Enligt kommissionens underrättelse har följande definitioner i direktivet inte införlivats i den nationella lagstiftningen: vägtullsystem, utsedd avgiftsupptagare, EETS-kompatibelt system, huvudsaklig tjänsteleverantör, tullkontextdata, parametrar för klassificering av fordon, back office, väsentligen ändrat system, ackreditering, vägtull eller vägavgift, underlåtenhet att betala vägavgift, registreringsmedlemsstat, nationell kontaktpunkt, automatisk sökning, fordon, innehavare av fordonet, tungt fordon och lätt fordon.
I artikel 21 i EETS-direktivet föreskrivs det om de nationella elektroniska register som ska föras i syfte att genomföra direktivet. Artikel 21.1 andra stycket innehåller en bestämmelse om medlemsstaternas ansvarsfrihet. Enligt bestämmelsen ska en medlemsstat inte hållas ansvarig för handlingar som utförs av en EETS-leverantör som anges i dess register. Enligt artikel 21.2 ska medlemsstaterna vidta alla åtgärder som är nödvändiga för att säkerställa att alla uppgifter i det nationella elektroniska registret är uppdaterade och korrekta.
I artikel 23 i EETS-direktivet föreskrivs det om förfarandet för informationsutbyte mellan medlemsstaterna. Artikel 23.3 innehåller bestämmelser om den nationella kontaktpunktens skyldighet att utföra automatiska sökningar och om medlemsstatens skyldighet att använda de uppgifter som erhållits för att fastställa den avgiftsskyldige.
I artikel 24 i EETS-direktivet föreskrivs det om informationsbrev om underlåtenhet att betala vägavgift.
I artikel 25 i EETS-direktivet föreskrivs det om uppföljningsförfarandena för enheter som tar ut vägavgifter.
I artikel 26 i EETS-direktivet föreskrivs det om medlemsstaternas rapportering till kommissionen. Varje medlemsstat ska skicka in en rapport till kommissionen senast den 19 april 2023 och därefter vart tredje år. Artikeln innehåller också bestämmelser om de uppgifter som ska ingå i rapporten.
I artikel 27 i EETS-direktivet föreskrivs det om efterlevnaden av bestämmelserna om dataskydd.
I bilaga I till EETS-direktivet föreskrivs det om de uppgifter som behövs för att göra den automatiska sökning som avses i artikel 23.1.
I bilaga II till EETS-direktivet föreskrivs det om den mall för informationsbrev om underlåtenhet att betala vägavgift som avses i artikel 24 i direktivet.
6
Specialmotivering
1 a §. Dataskydd. Det föreslås att det till lagen fogas en ny paragraf där det föreskrivs om dataskydd. Genom paragrafen säkerställs det att det nationella genomförandet av direktivet kan anses vara tillräckligt.
Inom EU-systemet grundar sig behandlingen av personuppgifter i regel direkt på
Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). Genom unionsrätten eller medlemsstaternas nationella rätt kan bestämmelser om behandlingen av personuppgifter som är mer specifika än bestämmelserna i förordningen utfärdas till den del förordningen ger ett uttryckligt nationellt handlingsutrymme. Nationella specialbestämmelser kan utfärdas med stöd av artikel 6.3 i den allmänna dataskyddsförordningen när behandlingen grundar sig på en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).
Med undantag för preciseringen av lagringstiden för uppgifter grundar sig alla bestämmelser om dataskydd i propositionen direkt på EETS-direktivet, där det bland annat föreskrivs om den rättsliga grunden för behandlingen av personuppgifter, ändamålet med behandlingen, typen av uppgifter som behandlas och utlämnande av uppgifter. Rätten att behandla personuppgifter grundar sig således i regel på artikel 6.3 a i den allmänna dataskyddsförordningen. De viktigaste artiklarna till den denna del är artiklarna 21, 23, 24, 25 och 27 i direktivet. I Finland har dessa bestämmelser redan delvis genomförts, men genom denna proposition kompletteras de på det sätt som kommissionen förutsätter. De viktigaste är de nu föreslagna 1 a, 27 a och 27 b § samt de ändringar som görs i 22, 23 och 27 §.
I 1 mom. föreskrivs det om de ändamål för vilka personuppgifter får behandlas med stöd av denna lag. Förteckningen är uttömmande i enlighet med vad som förutsätts i artikel 27.2 i direktivet. Det föreslagna 1 mom. grundar sig direkt på artikel 27.2 a–c i EETS-direktivet och innehåller inget nationellt handlingsutrymme.
I 2 mom. föreskrivs det om tidsgränsen för lagring av personuppgifter i enlighet med artikel 27.2 c. Enligt det föreslagna 2 mom. ska de personuppgifter som behandlas raderas senast två år från det att uppgifterna samlades in, om inte något annat föreskrivs senare i denna lag. En annan särskild bestämmelse om radering av uppgifter ingår i den föreslagna 27 b §.
Det föreslagna 2 mom. grundar sig på artikel 27.2 c i EETS-direktivet, enligt vilken det ska fastställas en tidsgräns för lagring av personuppgifter. Den föreslagna bestämmelsen är mer exakt än principen om begränsning av lagring av personuppgifter i artikel 5.1 e i den allmänna dataskyddsförordningen. Enligt denna princip får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I det föreslagna 2 mom. används således det nationella handlingsutrymmet enligt artikel 6.3 b i den allmänna dataskyddsförordningen så att maximitiden fastställs till två år, om inte något annat föreskrivs senare i lagen. Den föreslagna lagringstiden på två år kan bedömas vara den minimitid som behövs för att säkerställa att uppgifternas användningsändamål genomförs, särskilt med beaktande av en eventuell process till följd av betalningsförsummelse.
I 3 mom. föreslås en informativ hänvisning till de EU-rättsakter och nationella författningar som innehåller bestämmelser om behandling av personuppgifter. I momentet preciseras det att om inte något annat föreskrivs i denna lag, tillämpas på behandlingen av personuppgifter EU:s allmänna dataskyddsförordning (EU) 2016/679, den nationella dataskyddslagen (1050/2018), som preciserar och kompletterar förordningen, och lagen om tjänster inom elektronisk kommunikation (917/2014). På motsvarande sätt hänvisas det till lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten (1054/2018), genom vilken dataskyddsdirektivet (EU) 2016/680 har genomförts nationellt.
I den allmänna dataskyddsförordningen föreskrivs det om personuppgifters korrekthet och uppdatering av personuppgifter i artikel 5.1 d, om tillgodoseende av den registrerades rättigheter utan ogrundat dröjsmål i artikel 12.3, om den registrerades rätt till tillgång till sina egna uppgifter inklusive uppgifter om mottagarna av personuppgifterna i artikel 15, om den registrerades rätt till rättelse och genomförandet av rättelse i artikel 16, om den registrerades rätt till radering av uppgifter och om radering av uppgifter i artikel 17, om den registrerades rätt till begränsning av behandling av personuppgifter i artikel 18 och om rätt till ersättning i artikel 82. Bestämmelser om rätten att föra ett ärende till dataombudsmannen för behandling och om sökande av ändring finns i 21 och 25 § i dataskyddslagen.
Det föreslagna 3 mom. är en följd av artikel 27.2 tredje stycket i EETS-direktivet. Enligt artikeln ska medlemsstaterna vidta de åtgärder som är nödvändiga för att säkerställa att de registrerade har samma rätt till information, tillgång, rättelse, radering och begränsning av behandlingen av uppgifter och att lämna in klagomål till en tillsynsmyndighet för dataskydd, att begära ersättning samt att få tillgång till ett effektivt rättsmedel enligt vad som föreskrivs i den allmänna dataskyddsförordningen. Eftersom det i den allmänna dataskyddsförordningen och i annan allmän lagstiftning finns heltäckande bestämmelser om dessa frågor och det inte finns något behov av att utnyttja det nationella handlingsutrymmet genomförs punkten i fråga genom en hänvisningsbestämmelse. Hänvisningsbestämmelsen behövs eftersom kommissionen har fäst uppmärksamhet vid att artikeln har genomförts bristfälligt i Finland. Bestämmelsen förtydligar också att det i denna lag, inom ramen för det handlingsutrymme som dataskyddsförordningen medger, föreskrivs mer ingående om behandling av personuppgifter än i den allmänna dataskyddsförordningen.
2 §. Definitioner.
Till paragrafen fogas en ny 12 punkt där huvudsaklig tjänsteleverantör definieras på motsvarande sätt som i artikel 2.12 i EETS-direktivet.
Till paragrafen fogas en ny 13 punkt där ackreditering definieras på motsvarande sätt som i artikel 2.20 i EETS-direktivet. Med ackreditering avses ett förfarande som definieras och handhas av avgiftsupptagaren och som EETS-leverantörer måste genomgå innan de får tillstånd att tillhandahålla EETS i ett EETS-område, det vill säga resultatet av ackrediteringsprocessen för EETS-leverantörer. Termen används i 9 § 2 och 4 mom. i den gällande lagen (877/2021). Med ackreditering avses alltså inte i detta sammanhang ackreditering enligt lagen om konstaterande av tillförlitligheten hos tjänster för bedömning av överensstämmelse med kraven (920/2005) eller därmed jämförbar ackreditering.
Till paragrafen fogas en ny 14 punkt, där EETS-kompatibelt system definieras på motsvarande sätt som i artikel 2.9 i EETS-direktivet.
Till paragrafen fogas en ny 15 punkt där vägtull och vägavgift definieras på motsvarande sätt som i artikel 2.21 i EETS-direktivet.
Till paragrafen fogas en ny 16 punkt där underlåtenhet att betala vägavgift definieras på motsvarande sätt som i artikel 2.22 i EETS-direktivet.
Till paragrafen fogas en ny 17 punkt där fordon definieras på motsvarande sätt som i artikel 2.26 i EETS-direktivet.
Till paragrafen fogas en ny 18 punkt där registreringsmedlemsstat definieras på motsvarande sätt som i artikel 2.23 i EETS-direktivet.
Till paragrafen fogas en ny 19 punkt där innehavaren av fordonet definieras på det sätt som förutsätts i artikel 2.27 i EETS-direktivet genom en hänvisning till definitionen av innehavare i 2 § 15 punkten i fordonslagen (82/2021).
2 a §.Vägtulltjänster. Till lagen fogas en ny paragraf där det föreskrivs om vägtulltjänster i enlighet med artikel 2.1 i EETS-direktivet.
9 §.Avgiftsupptagares skyldigheter för säkerställande av vägtullsystemets kompatibilitet. I 2 mom. tas det in en definition av utsedd avgiftsupptagare i enlighet med artikel 2.4 i EETS-direktivet.
I 4 mom. tas det in en definition av väsentligen ändrat system i enlighet med artikel 2.19 i EETS-direktivet och en hänvisning till den utsedda avgiftsupptagare som avses i 2 mom.. I momentet tas det dessutom in en definition av back office i enlighet med artikel 2.18 i EETS-direktivet.
12 §.Avgiftsupptagares tjänsteersättning till EETS-leverantörer. Bestämmelsen i 3 mom. om skillnader i tjänsteersättningarna preciseras så att den motsvarar artikel 7.3 i EETS-direktivet.
14 §.Vägtullar. I 2 mom. tas det in en definition av parametrar för klassificering av fordon i enlighet med artikel 2.17 i EETS-direktivet.
22 §.Register över EETS-områden. Till paragrafen fogas ett nytt 5 mom. där det föreskrivs om en skyldighet för Transport- och kommunikationsverket att se till att uppgifterna i registret är uppdaterade och korrekta. Genom bestämmelsen genomförs nationellt artikel 21.2 i EETS-direktivet, där det föreskrivs om en skyldighet för medlemsstaterna att vidta alla åtgärder som är nödvändiga för att säkerställa att alla uppgifter i det nationella elektroniska registret är uppdaterade och korrekta.
I fråga om personuppgifter ingår skyldigheten att se till att uppgifterna är uppdaterade och korrekta redan i artikel 5.1 d i den allmänna dataskyddsförordningen. Artikeln förutsätter att den personuppgiftsansvarige vidtar alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
Det bör dock noteras att största delen av uppgifterna i registret över EETS-områden till sin natur är sådana tekniska uppgifter som hänför sig till EETS-områden och den teknik som används och som knappast kan betraktas som personuppgifter. Därför är det motiverat att genomföra artikel 21.2 i direktivet genom en särskild bestämmelse. Dessutom har kommissionen i den formella underrättelsen fäst uppmärksamhet vid att bestämmelsen har genomförts bristfälligt.
23 §.Register över EETS-leverantörer. Till paragrafen fogas ett nytt 4 mom. där det föreskrivs om en skyldighet för Transport- och kommunikationsverket att se till att uppgifterna i registret är uppdaterade och korrekta. Genom bestämmelsen genomförs nationellt artikel 21.2 i EETS-direktivet, där det föreskrivs om en skyldighet för medlemsstaterna att vidta alla åtgärder som är nödvändiga för att säkerställa att alla uppgifter i det nationella elektroniska registret är uppdaterade och korrekta.
I fråga om personuppgifter ingår skyldigheten att se till att uppgifterna är uppdaterade och korrekta redan i artikel 5.1 d i den allmänna dataskyddsförordningen. Artikeln förutsätter att den personuppgiftsansvarige vidtar alla rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
Också registret över EETS-leverantörer innehåller uppgifter av teknisk natur som inte nödvändigtvis kan kopplas till fysiska personer. Därför är det motiverat att genomföra artikel 21.2 i direktivet genom en särskild bestämmelse. Dessutom har kommissionen i den formella underrättelsen fäst uppmärksamhet vid att bestämmelsen har genomförts bristfälligt.
25 §.Tillsynsmyndighetens rättigheter och skyldigheter. Till paragrafen fogas ett nytt 4 mom. där det i enlighet med artikel 21.1 andra stycket i EETS-direktivet föreskrivs om medlemsstaternas ansvarsfrihet i fråga om handlingar som utförs av en EETS-leverantör som anges i deras register.
26 §.Pilotsystem för vägtullar. Till 1 mom. fogas en bestämmelse om att ett pilotsystem för vägtullar får tillåtas parallellt med det EETS-kompatibla systemet i enlighet med artikel 22.1 i EETS-direktivet. Genom ändringen förenhetligas lagens ordalydelse med direktivet.
27 §.Informationsutbyte mellan medlemsstaterna om underlåtenhet att betala vägavgift. Det föreslås att bestämmelserna i den föreslagna paragrafen utfärdas i sin helhet på nytt. Genom ändringarna genomförs artiklarna 23.3, 2.24 och 2.25 i EETS-direktivet nationellt.
Till 1 mom. fogas en definition av nationell kontaktpunkt i enlighet med artikel 2.24 i EETS-direktivet.
Det föreslagna 2 mom. motsvarar huvudsakligen gällande 2 mom. I momentet ingår också en definition av automatisk sökning. Det är ändamålsenligt att ta in definitionen i detta moment där begreppet används och inte i den allmänna definitionsparagrafen. Genom bestämmelsen genomförs artikel 23.1 samt artikel 27.2 a i EETS-direktivet, till den del den avser artikel 23.
Till paragrafen fogas ett nytt 3 mom. där det föreskrivs att Transport- och kommunikationsverket ska använda det fullständiga registreringsnumret när en automatisk sökning utförs i form av en utgående förfrågan och att de uppgifter som erhållits ska användas för att fastställa den avgiftsskyldige. Enligt förslaget ska det dessutom föreskrivas om de förfaranden som ska iakttas vid automatiska sökningar.
27 a §.Informationsbrev om underlåtenhet att betala vägavgift. Till lagen fogas en ny paragraf genom vilken artikel 24 och artikel 27.2 a, till den del den avser artikel 24, samt artikel 27.4 genomförs nationellt. Kommissionen har i sin formella underrättelse fäst uppmärksamhet vid att genomförandet av dessa punkter är bristfälligt.
Det bör noteras att det i Finland inte har föreskrivits på nationell nivå om påföljder vid underlåtenhet att betala vägavgift eller om hur påföljderna ska verkställas i praktiken. Det är ändamålsenligt att bestämmelser om ett påföljdssystem utfärdas först i det skedet när man beslutar att vägavgifter ska införas. Därför har den föreslagna 27 a § skrivits i passiv form i enlighet med bland annat 6 kap. i vägtrafiklagen (729/2018).
27 b §.Uppföljningsförfaranden för enheter som tar ut vägavgifter. Till lagen fogas en ny paragraf genom vilken artikel 25 och artikel 27.2 a, till den del den avser artikel 25, genomförs nationellt. Kommissionen har i sin formella underrättelse fäst uppmärksamhet vid att genomförandet av dessa punkter är bristfälligt.
27 c §.Rapportering till kommissionen. Till lagen fogas en ny paragraf där det föreskrivs en skyldighet för Transport- och kommunikationsverket att lämna kommissionen en fullständig rapport enligt artikel 26 i EETS-direktivet.
30 §.Ikraftträdande och övergångsbestämmelse. Till 4 mom. fogas den definition av lätt fordon som avses i artikel 2.29 i EETS-direktivet.
Bilaga I. Till lagen fogas en bilaga som motsvarar bilaga I till EETS-direktivet. Bilagan gäller de uppgifter som behövs för att utföra sådana automatiska sökningar som avses i 27 § 3 mom. och i artikel 23.1 i EETS-direktivet. I bilagan tas också in en definition av tungt fordon i enlighet med artikel 2.28 i direktivet.
Bilaga II. Till lagen fogas en bilaga som motsvarar bilaga II till EETS-direktivet. Bilagan innehåller den mall för informationsbrev som avses i 27 a § och i artikel 24 i EETS-direktivet.
8
Förhållande till grundlagen samt lagstiftningsordning
Skyddet av personuppgifter som en grundläggande rättighet baserar sig på 10 § i grundlagen, artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna och artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna.
Grundlagsutskottet anser att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, överlag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Skyddet för personuppgifter bör i första hand tillgodoses med stöd av EU:s allmänna dataskyddsförordning och den nationella allmänna lagstiftningen. Ett restriktivt förhållningssätt till att införa nationell speciallagstiftning är sålunda att föredra och sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 4–5, GrUU 52/2022 rd, punkt 4).
Grundlagsutskottet anser det dock vara klart att behovet av speciallagstiftning, i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen, måste bedömas utifrån de hot och risker som behandlingen av personuppgifter medför. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). Behandlingen av känsliga uppgifter ska vara nödvändig och regleringen exakt och noggrant avgränsad (se GrUU 52/2022 rd, punkt 7).
Grundlagsutskottet har sett det som viktigt att det, i den mån som EU-lagstiftningen kräver reglering på det nationella planet eller möjliggör sådan, tas hänsyn till de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer när det nationella handlingsutrymmet utnyttjas. Grundlagsutskottet har framhållit att det finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet. (GrUU 51/2022 rd, punkt 2).
Inom EU grundar sig behandlingen av personuppgifter i regel direkt på Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). I artikel 6.1 föreskrivs det om grunden för behandlingen, och i enlighet med led c är behandling tillåten om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. I artikel 6.2 i föreskrivs det om eventuell användning av det nationella handlingsutrymmet för att efterleva punkt 1 c och e. Enligt artikel 6.3 ska den grund för behandlingen som avses i punkt 1 c och e fastställas i enlighet med unionsrätten eller medlemsstatens nationella rätt. Då ska det föreskrivas om ändamålet med behandlingen och det är möjligt att anpassa tillämpningen av bestämmelserna i den allmänna dataskyddsförordningen, bland annat de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, utlämnande av uppgifter, ändamålsbegränsningar och lagringstid.
Med undantag för preciseringen av lagringstiden för uppgifterna grundar sig alla bestämmelser om dataskydd i propositionen direkt på bestämmelserna i EETS-direktivet i enlighet med artikel 6.3 a i den allmänna dataskyddsförordningen, och de inbegriper inte användning av nationellt handlingsutrymme. I EETS-direktivet föreskrivs det om grunden för behandlingen, ändamålet med behandlingen, vilken typ av uppgifter som behandlas och utlämnande av uppgifter. De viktigaste artiklarna till den denna del är artiklarna 21, 23, 24, 25 och 27 i direktivet. I Finland har dessa bestämmelser redan delvis genomförts genom lag 887/2021, men genom denna proposition kompletteras de på det sätt som kommissionen förutsätter. De viktigaste bestämmelserna finns i 1 a, 27 a och 27 b §.
Enligt förslaget ska det nationella handlingsutrymmet användas endast i det föreslagna 1 a § 2 mom. med stöd av artikel 6.3 b i den allmänna dataskyddsförordningen. I det föreslagna 1 a § 2 mom. föreskrivs det om lagringstiden för personuppgifter. Skyldigheten att fastställa en maximitid grundar sig på artikel 27.2 c i EETS-direktivet. Fastställandet av maximitiden hör till den nationella prövningsrätten. Fastställandet av varaktigheten styrs dock av principen om lagringsminimering, som är en av de grundläggande principerna för behandling av personuppgifter. Enligt principen får personuppgifter inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. Den föreslagna lagringstiden på två år kan bedömas vara den minimitid som behövs för att syftet med behandlingen ska nås, särskilt med beaktande av en eventuell process till följd av betalningsförsummelse.
I 1 a § 3 mom. föreslås en informativ hänvisning till de allmänna bestämmelserna om dataskydd. När den ursprungliga lagen stiftades ansågs det inte behövligt att utfärda särskilda bestämmelser, och samtidigt beslutade man att stryka de informativa hänvisningar till de allmänna bestämmelserna om dataskydd som fanns i den lag (21/2014) som skulle upphävas (RP 115/2021, s. 9). De allmänna lagarna är nämligen tillämpliga i enlighet med bestämmelserna om deras tillämpningsområde, och tillämpningen av en direkt tillämplig EU-förordning kan inte bindas till en materiell hänvisning i en nationell lag (mål 34/73, Variola, punkt 10). På grund av kommissionens åsikt har det dock ansetts nödvändigt med en informativ hänvisning. En informativ hänvisning måste vara omfattande för att e contrario-tolkning ska kunna undvikas (GrUU 42/2005 rd, s. 3). Hänvisningen omfattar de lagar genom vilka de EU-rättsakter som det hänvisas till i artikel 27.1 i direktivet har genomförts. Det föreslagna momentet förtydligar dessutom att det i denna lag till vissa delar föreskrivs mer specifikt än i dataskyddsförordningen om behandlingen av personuppgifter. Till den del det i denna lag inte föreskrivs om behandling av personuppgifter tillämpas på behandlingen av personuppgifter unionsrättens och den nationella rättens allmänna bestämmelser om dataskydd, det vill säga bestämmelserna i den allmänna dataskyddsförordningen, den nationella dataskyddslagen, dataskyddslagen avseende brottmål eller lagen om tjänster inom elektronisk kommunikation.
Bestämmelser om behandlingen av personuppgifter finns också i de föreslagna 27, 27 a och 27 b §. De hänför sig till situationer där det förekommit en underlåtenhet att betala vägavgift. Den föreslagna regleringen grundar sig direkt på artiklarna 23–25 i direktivet och inbegriper således inte användning av det nationella handlingsutrymmet.
På de grunder som anges ovan kan lagförslagen behandlas i vanlig lagstiftningsordning.