1.1  Bakgrund

Beredningen av propositionen har föranletts av en EU-rättsakt som förutsätter kompletterande bestämmelser: Europaparlamentets och rådets förordning (EU) 2022/868 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (nedan dataförvaltningsakten eller förordningen). Förordningen trädde i kraft den 23 juni 2022. Den tillämpas från och med den 24 september 2023. 

Dataförvaltningsakten är ny reglering. Den är en del av åtgärderna i Europeiska kommissionens datastrategi (COM (2020) 66 final, E 24/2020 rd). Syftet med datastrategin är att skapa ett gemensamt europeiskt dataområde. En komponent i det europeiska dataområdet är en gemensam förvaltningsmodell för tillgång till och användning av data. En gemensam dataförvaltningsmodell kan enligt kommissionen inte skapas utan lagstiftning. 

1.2  Beredning

Beredningen av EU-rättsakten

Europeiska kommissionen (nedan kommissionen) lade fram sitt förslag till en förordning om dataförvaltning den 25 november 2020 (COM (2020) 767 final). Samtidigt offentliggjorde kommissionen en konsekvensbedömning av förslaget till förordning (SWD (2020) 295 final, på engelska). Kommissionen ordnade ett offentligt samråd om de mål som ligger till grund för förslaget till förordning under första halvåret 2020. De yttranden som getts finns tillgängliga på kommissionens webbplats Kom med synpunkter. En sammanfattning av samrådet ingår i konsekvensbedömningen av förslaget till förordning. Förslaget till förordning behandlades i rådets arbetsgrupp för telekommunikation och informationssamhället. 

Statsrådets U-skrivelse om förslaget till förordning lämnades till riksdagen den 4 februari 2021 (U 1/2021 rd). Finland understödde i regel förslaget till förordning, eftersom Finland har understött målet att främja tillgången till och användningen av data. Finland fäste dock uppmärksamhet bland annat vid tydligheten i regleringen i förhållande till den gällande regleringen. I fråga om de bestämmelser som gäller myndigheter ansåg Finland det vara viktigt att förordningen ger tillräckligt med handlingsutrymme för det praktiska genomförandet nationellt. Riksdagen omfattade statsrådets ståndpunkt https://www.eduskunta.fi/FI/vaski/KokousPoytakirja/Sivut/LiVP_5+2021.aspx(LiVP 5/2021 vphttps://www.eduskunta.fi/FI/vaski/KokousPoytakirja/Sivut/LiVP_5+2021.aspx 12 §, StoURS 8/2021 rd).  

En kompletterande U-skrivelse (UK 13/2021 rd) om förslaget till förordning överlämnades till riksdagen den 24 september 2021. I den kompletterande U-skrivelsen ansågs det att det ursprungliga förslaget har ändrats i en riktning som är gynnsam med tanke på Finlands mål och att Finland är berett att godkänna förhandlingsresultatet. Kommunikationsutskottet (KoUU 34/2021 rd) gav sitt utlåtande om den kompletterande U-skrivelsen. Kommunikationsutskottet omfattade statsrådets ståndpunkt och betonade bland annat behovet av att dra upp riktlinjer för och bereda myndighetsuppgifterna i god tid, också för att möjliggöra en uppskattning av de anslag som behövs. Riksdagen omfattade statsrådets ståndpunkt (StoURS 89/2021 rd). 

Beredningen av regeringens proposition

Regeringens proposition har beretts vid kommunikationsministeriet. Under beredningen har det förts bakgrundsdiskussioner med tjänsteinnehavare vid justitieministeriet, arbets- och näringsministeriet, Transport- och kommunikationsverket, dataombudsmannens byrå och Konkurrens- och konsumentverket samt med tjänsteinnehavare som lyder under konsumentombudsmannen. Kommissionen har ordnat informations- och diskussionsmöten för medlemsstaterna om genomförandet av förordningen. På nationell nivå ordnades den 8 mars 2023 ett öppet diskussionsmöte för intressentgrupperna om de myndighetsuppgifter som gäller dataförmedlingstjänster och erkända dataaltruismorganisationer. Beredningsunderlaget till propositionen finns i den offentliga tjänsten på adressen https://valtioneuvosto.fi/hankkeet med identifieringskoden LVM011:00/2023. 

Beredningen av regeringspropositionen föregicks av en ministeriearbetsgrupps utredning om det nationella genomförandet av dataförvaltningsakten (Kommunikationsministeriet 2023: Dataförvaltningsakten: utredning om det nationella genomförandet. Arbetsgruppens utredning. Kommunikationsministeriets publikationer 2023:8). Kommunikationsministeriet tillsatte arbetsgruppen den 4 oktober 2022. En av arbetsgruppens uppgifter var att utreda hur myndighetsuppgifterna enligt dataförvaltningsakten, inklusive påföljdsbestämmelserna, kan ordnas och utformas på ett ändamålsenligt sätt. Regeringspropositionen baserar sig på denna del av arbetsgruppens arbete. 

Arbetsgruppens arbete sammanställdes i en utredning. Utkastet till utredning var ute på öppen remiss på webbplatsen www.utlåtande.fi mellan den 16 februari och 5 april 2023. Beslutet om tillsättande av arbetsgruppen, arbetsgruppens mötesmaterial, ett sammandrag av utlåtandena om utkastet till utredning och den slutliga utredningen finns tillgängliga i den offentliga tjänsten på adressen https://valtioneuvosto.fi/hankkeet med identifieringskoden LVM038:00/2022. 

Utkastet till regeringsproposition har varit ute på öppen remiss på webbplatsen www.utlåtande.fi mellan den 6 april och 5 maj 2023. Utlåtanden begärdes av de ministerier som ingick i den ovannämnda arbetsgruppen och av andra centrala ministerier, av centrala myndigheter, av kända eventuella dataförmedlingstjänster och dataaltruismorganisationer samt av de instanser som i samband med den ovan nämnda utredningen yttrade sig om de myndighetsuppgifter som avses i kapitel 3 och 4 i förordningen. 

Utlåtande begärdes av sammanlagt 25 instanser. Sammanlagt 13 utlåtanden lämnades in. Det har gjorts ett sammandrag av utlåtandena (VN/4765/2023-LVM-18), som finns tillgängligt i den ovannämnda offentliga tjänsten. 

I samband med ovannämnda U-skrivelse och arbetsgruppsutredning har behörighetsfrågorna diskuterats med tjänsteinnehavare vid Ålands landskapsregering. De myndighetsuppgifter som gäller dataförmedlingstjänster och erkända dataaltruismorganisationer har ansetts höra till rikets behörighet. 

2.1  Dataförvaltningsaktens mål

Syftet med dataförvaltningsakten är att skapa en ram för dataförvaltning som stöder sig på en europeisk värdegrund. Ramen syftar till är att öka tillgången till data genom att förtroendet för dem som förmedlar data stärks och förfarandena för datadelning förenhetligas inom hela EU. Avsikten är att skapa ett gemensamt europeiskt dataområde och en interoperabel inre marknad för data. 

2.2  Dataförvaltningsaktens huvudsakliga innehåll

I dataförvaltningsakten föreskrivs det om tre i stort sett separata helheter: villkoren för vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter (kapitel 2), en ram för anmälan av och tillsyn över tillhandahållandet av dataförmedlingstjänster och en ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål (kapitel 3 och 4) samt Europeiska datainnovationsstyrelsen (kapitel 6). Dessutom innehåller dataförvaltningsakten för dessa helheter gemensamma bestämmelser om tillämpningsområde och definitioner (kapitel 1), om behöriga myndigheter (kapitel 5), om internationell överföring av icke-personuppgifter (kapitel 7), om delegering av befogenhet till kommissionen (kapitel 8) samt om sanktioner och slut- och övergångsbestämmelser (kapitel 9). Förhållandet mellan dataförvaltningsakten och övrig EU-lagstiftning beskrivs i arbetsgruppens utredning (Kommunikationsministeriet 2023: Dataförvaltningsakten: utredning om det nationella genomförandet. Arbetsgruppens utredning. Kommunikationsministeriets publikationer 2023:8). 

Dataförvaltningsakten är direkt tillämplig rätt. I dataförvaltningsakten har medlemsstaterna dock ålagts vissa skyldigheter att komplettera bestämmelserna. De gäller fastställande av behöriga myndigheter (artiklarna 13.1 och 23.1 jämförda med artikel 26) och sanktioner (artikel 34). Förordningen innehåller även bestämmelser om vissa möjligheter att komplettera bestämmelserna i förordningen. De hänför sig till ytterligare skyldigheter för aktörerna (artikel 1.2), uttag av avgifter från dataförmedlingstjänster (artikel 11.11) och den nationella dataaltruismpolitiken (artikel 16). Bestämmelserna om myndigheternas verksamhet (artiklarna 13, 14, 23 och 24) samt bestämmelserna om besvärsrätt och ändringssökande (artiklarna 27 och 28) är av allmän karaktär och omfattas således i stor utsträckning av den nationella processuella autonomin. Processuell autonomi måste dock tillämpas i enlighet med effektivitets- och likvärdighetsprinciperna (se t.ex. mål C-201/02 Delena Wells, punkt 67). Till den del förfarandebestämmelserna hänför sig till behandlingen av personuppgifter (förfaranden för anmälan och registrering) ska det nationella handlingsutrymmet också grunda sig på den allmänna dataskyddsförordningen. (i praktiken artikel 6.1 c och artikel 6.3 i den allmänna dataskyddsförordningen). 

Kapitel 2 i dataförvaltningsakten och bestämmelserna i anslutning till det har lämnats utanför denna regeringsproposition. På grund av det olika innehållet har genomförandet av dem beretts separat vid statsrådet (finansministeriets förordning om produktion av vissa av förvaltningens gemensamma stödtjänster för e-tjänster (900/2023)). Det är fråga om den offentliga sektorns reglering av informationspolitiken som inte har något direkt samband med dataförmedlingstjänster eller erkända dataaltruismorganisationer. De skyldigheter som anges i förordningen beskrivs som en helhet i den arbetsgruppsutredning som föregick beredningen av regeringspropositionen. (Kommunikationsministeriet 2023: Dataförvaltningsakten: utredning om det nationella genomförandet. Arbetsgruppens utredning. Kommunikationsministeriets publikationer 2023:8). 

Kapitel I - Allmänna bestämmelser

I artikel 1 i förordningen föreskrivs om förordningens syfte och tillämpningsområde. Bestämmelser om användning av data finns redan i flera andra EU-rättsakter. Av denna orsak föreskrivs det i artiklarna 1.2–1.5 om förordningen i förhållande till andra rättsakter. Förordningen begränsar inte tillämpningen av till exempel dataskyddslagstiftningen eller konkurrenslagstiftningen. 

Enligt artikel 1.2 får det i nationell rätt föreskrivas att leverantörer av dataförmedlingstjänster eller erkända dataaltruismorganisationer ska uppfylla särskilda ytterligare tekniska, administrativa eller organisatoriska krav, förutsatt att de är icke-diskriminerande, proportionella och objektivt motiverade. 

I artikel 2 anges definitioner. Centrala begrepp med tanke på tillämpningen av förordningen och denna proposition är i synnerhet begreppen data, dataförmedlingstjänster och dataaltruism. 

Med data avses varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, sådana fakta eller sådan information, däribland i form av ljudinspelningar, bildinspelningar eller audiovisuella inspelningar. 

Med dataförmedlingstjänst avses en tjänst som syftar till att med tekniska, rättsliga eller andra medel upprätta affärsförbindelser för datadelning mellan ett obestämt antal registrerade och datainnehavare, å ena sidan, och dataanvändare, å andra sidan, inbegripet för att utöva de registrerades rättigheter avseende personuppgifter. 

Dataförmedlingstjänster är dock inte a) tjänster som erhåller data från datainnehavare och aggregerar, berikar eller omvandlar data i syfte att avsevärt öka deras värde och licensierar användningen av resulterande data till dataanvändare, utan att upprätta en affärsförbindelse mellan datainnehavare och dataanvändare, b) tjänster som är inriktade på förmedling av upphovsrättsligt skyddat innehåll, c) tjänster som uteslutande används av en datainnehavare för att möjliggöra användning av de data som den datainnehavaren innehar, eller som används av flera juridiska personer i en sluten grupp, inbegripet leverantörs- eller kundrelationer eller samarbeten som grundar sig på avtal, särskilt sådana som har som huvudsakligt syfte att säkerställa funktionerna för föremål och enheter som är anslutna till sakernas internet, eller d) datadelningstjänster som erbjuds av offentliga myndigheter som inte syftar till att upprätta affärsförbindelser. 

Med dataaltruism avses den frivilliga delningen av data på grundval av de registrerades samtycke till behandling av personuppgifter som rör dem, eller tillstånd från datainnehavare att tillåta användning av deras icke-personuppgifter utan något krav på eller mottagande av ersättning utöver ersättning för de kostnader som de ådragit sig när de gör uppgifterna tillgängliga för mål av allmänintresse, som det föreskrivs i nationell rätt i förekommande fall, såsom hälso- och sjukvård, bekämpande av klimatförändringar, förbättring av mobiliteten, främjande av utveckling, framställning och spridning av officiell statistik, förbättrat tillhandahållande av offentliga tjänster, politiskt beslutsfattande eller vetenskaplig forskning av allmänt intresse. 

Kapitel III - Krav som är tillämpliga på dataförmedlingstjänster

I artikel 10 i förordningen definieras de dataförmedlingstjänster som ska tillhandahållas med iakttagande av de villkor som anges i förordningen och som det anmälningsförfarande som avses i förordningen gäller. 

I artikel 11 föreskrivs det om anmälningsskyldigheten för de dataförmedlingstjänster som avses i artikel 10 och om rättsverkningarna av anmälan (artiklarna 11.1, 11.4 och 11.5), om jurisdiktionen i medlemsstaterna (artiklarna 11.2 och 11.3), om den rättsliga företrädaren för en dataförmedlingstjänst som inte är etablerad i unionen (artikel 11.3), om lämnande av anmälan (artiklarna 11.6, 11.12 och 11.13), om anmälningsförfarandet och bekräftelserna och avgifterna i anslutning till det (artiklarna 11.8, 11.9 och 11.11) samt om arbetsfördelningen mellan den behöriga myndigheten och kommissionen (artiklarna 11.10 och 11.14). Anmälningsförfarandet ska vara icke-diskriminerande och får inte snedvrida konkurrensen (artikel 11.7). 

Enligt artikel 11.11 får den behöriga myndigheten för dataförmedlingstjänster ta ut avgifter för anmälan i enlighet med nationell rätt. Avgifterna ska vara proportionella och objektiva och baseras på de administrativa kostnaderna för de behöriga myndigheterna för dataförmedlingstjänsters övervakning av efterlevnaden och andra marknadskontrollåtgärder avseende anmälningar av leverantörer av dataförmedlingstjänster. För små och medelstora företag samt nystartade företag får den behöriga myndigheten ta ut en nedsatt avgift eller avstå från avgiften. 

I artikel 12 föreskrivs det om de villkor som ska tillämpas på tillhandahållande av sådana dataförmedlingstjänster som avses i artikel 10 (se artikel 2 om nationellt handlingsutrymme). Villkoren hänför sig till åtskiljandet av verksamheten från annan verksamhet (artikel 12 a), tillgången till tjänsterna (artiklarna 12 b och 12 f), tjänstens kontinuitet vid insolvens (artikel 12 h), interoperabiliteten med andra dataförmedlingstjänster (artikel 12 i), otillåten åtkomst till icke-personuppgifter (artiklarna 12 j och 12 k) och dataskydd för icke-personuppgifter (artikel 12 l). Artikeln innehåller dessutom krav som gäller behandlingen av uppgifter (artiklarna 12 a, 12 c, 12 d, 12 e, 12 g, 12 m, 12 n och 12 o). 

I artikel 13.1 föreskrivs det om medlemsstaternas skyldighet att utse en eller flera behöriga myndigheter för att utföra uppgifter i samband med anmälningsförfarandet för dataförmedlingstjänster. I artikel 13.1 föreskrivs det även att medlemsstaterna ska meddela kommissionen om de behöriga myndigheterna. Enligt artikel 13.2 ska de behöriga myndigheterna uppfylla de krav som anges i artikel 26. I övrigt överlåts fastställandet av myndighet till nationell prövning. I artikel 13.3 föreskrivs det om de behöriga myndigheternas befogenheter i förhållande till andra myndigheter och om myndigheternas samarbete. Närmare beslut om samarbetet omfattas dock av den nationella processuella autonomin. 

I artikel 14 föreskrivs det om den behöriga myndighetens skyldighet att utöva tillsyn över efterlevnaden av kapitlet (artikel 14.1), om rätten till information (artikel 14.2) samt om befogenheter (artiklarna 14.4 och 14.5). I artikeln föreskrivs det även om tillsynsförfarandet (artiklarna 14.3, 14.4 och 14.6) och om samarbetet mellan medlemsstaternas behöriga myndigheter (artikel 14.7). Till den del det i artikeln inte föreskrivs om den behöriga myndighetens verksamhet omfattas frågan av den nationella processuella autonomin (se även artikel 34 om sanktioner). 

I artikel 15 föreskrivs det om undantag från tillämpningsområdet i fråga om dataaltruismorganisationer. 

Kapitel IV - Dataaltruism

I artikel 16 föreskrivs det om nationella arrangemang för dataaltruism. För det ändamålet får medlemsstaterna fastställa nationella strategier för dataaltruism. Om en medlemsstat utarbetar sådana nationella strategier ska den underrätta kommissionen om detta. 

I artikel 17 föreskrivs det om den behöriga myndighetens skyldighet att föra ett offentligt nationellt register över erkända dataaltruismorganisationer (artikel 17.1) och om kommissionens unionsregister (artikel 17.2). 

I artikel 18 föreskrivs det om de allmänna krav som en aktör ska uppfylla för att kvalificera sig för registrering i ett offentligt nationellt register över erkända dataaltruismorganisationer (se artikel 2 om nationellt handlingsutrymme). 

I artikel 19 föreskrivs det om ansökan om registrering i det nationella registret över erkända dataaltruismorganisationer (artikel 19.1), om registreringsstat (artikel 19.2), om den rättsliga företrädaren för en aktör som inte är etablerad i unionen (artikel 19.3), om lämnandet av ansökan om registrering (artiklarna 19.4 och 19.7), registreringsförfarandet (artiklarna 19.5 och 19.6) samt om arbetsfördelningen mellan den behöriga myndigheten och kommissionen (artiklarna 19.5 och 19.7). 

I artikel 20 föreskrivs det om de transparenskrav som gäller för erkända dataaltruismorganisationer.  

I artikel 21 föreskrivs det om särskilda krav på erkända dataaltruismorganisationer för att skydda de registrerades och datainnehavarnas rättigheter och intressen när det gäller deras data. Kraven gäller behandling av uppgifter (artiklarna 21.1–21.3 och 21.6) samt dataskydd för icke-personuppgifter och förhindrande av otillåten åtkomst (artiklarna 21.4 och 21.5). 

I artikel 22 föreskrivs det om den regelbok som kommissionen ska skapa i syfte att komplettera de krav som ställs på erkända dataaltruismorganisationer. 

I artikel 23.1 föreskrivs det om medlemsstaternas skyldighet att utse en eller flera behöriga myndigheter som ansvarar för det offentliga nationella registret av erkända dataaltruismorganisationer. De behöriga myndigheterna ska uppfylla de krav som anges i artikel 26. I övrigt överlåts fastställandet av myndighet till nationell prövning. I artikel 23.2 föreskrivs det att medlemsstaterna ska underrätta kommissionen om identiteten på sina behöriga myndigheter. I artikel 23.3 föreskrivs det om de behöriga myndigheternas samarbete med andra myndigheter. Närmare beslut om samarbetet omfattas dock av den nationella processuella autonomin. 

I artikel 24 föreskrivs det om den behöriga myndighetens skyldighet att utöva tillsyn över efterlevnaden av kapitlet (artikel 24.1), om rätten till information (artikel 24.2) och om befogenheter (artikel 24.4). I artikeln föreskrivs det dessutom om tillsynsförfarandet (artikel 24.3), om förlust av rätten att använda beteckningen ”dataaltruismorganisation som är erkänd i unionen” och avlägsnande från registret (artikel 24.5) samt om samarbete mellan medlemsstaternas behöriga myndigheter (artikel 24.6). Till den del det i artikeln inte föreskrivs om den behöriga myndighetens verksamhet omfattas frågan av den nationella processuella autonomin (se även artikel 34 om sanktioner). 

I artikel 25 i förordningen föreskrivs det om ett europeiskt formulär för samtycke till dataaltruism. 

Kapitel V - Behöriga myndigheter och förfarandebestämmelser

I artikel 26.1 föreskrivs det om den behöriga myndighetens oberoende. I artikeln anges det också att funktionerna för de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer får utföras av samma myndighet. Medlemsstaterna får antingen inrätta en eller flera nya myndigheter eller förlita sig på befintliga myndigheter. I artiklarna 26.2, 26.3 och 26.4 föreskrivs det om jäv för den behöriga myndigheten och dess ledning och personal. Enligt artikel 26.5 ska de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer ha tillräckliga ekonomiska resurser och personalresurser till sitt förfogande för att utföra de uppgifter som de anförtrotts, inbegripet de nödvändiga tekniska kunskaperna och resurserna. I artikel 26.6 föreskrivs det om utlämnande av information till kommissionen och de behöriga myndigheterna i andra medlemsstater. 

I artikel 27 föreskrivs det om rätten att lämna in klagomål mot en leverantör av dataförmedlingstjänster eller en dataaltruismorganisation. Till den del det i artikeln inte föreskrivs om inlämnande av klagomål omfattas frågan av den nationella processuella autonomin. 

I artikel 28 föreskrivs det om rätten till ett effektivt rättsmedel. I artikel 28.2 föreskrivs det om forum. Till den del det i artikeln inte föreskrivs om rättsmedel omfattas frågan av den nationella processuella autonomin. 

Kapitel VI - Europeiska datainnovationsstyrelsen

Enligt artikel 29 ska kommissionen inrätta en europeisk datainnovationsstyrelse. Enligt artikel 29.1 ska de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer delta i styrelsens arbete. 

I artikel 30 föreskrivs det om Europeiska datainnovationsstyrelsens uppgifter. 

Kapitel VII - Internationell tillgång och överföring

I artikel 31 föreskrivs det bland annat om skyldigheterna för leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer när det gäller överföring av icke-personuppgifter till tredjeländer eller tillgång till sådana uppgifter i ett tredjeland. 

Kapitel VIII - Delegering och kommittéförfarande

I artikel 32 föreskrivs det om utövande av delegeringen. 

I artikel 33 föreskrivs det om kommittéförfarande. 

Kapitel IX - Slut- och övergångsbestämmelser

I artikel 34 föreskrivs det om medlemsstaternas skyldighet att föreskriva om sanktioner för överträdelse av vissa skyldigheter enligt förordningen. Medlemsstaterna ska i sina regler om sanktioner ta hänsyn till Europeiska datainnovationsstyrelsens rekommendationer och utan dröjsmål underrätta kommissionen om ändringar av sanktionerna. I artikel 34.2 föreskrivs det om vägledande kriterier som ska beaktas vid utdömande av sanktioner. Beslut om sanktionernas närmare innehåll faller inom ramen för det nationella handlingsutrymmet. 

I artikel 35 i föreskrivs det om kommissionens utvärdering och översyn av förordningen. De ska genomföras senast den 24 september 2025. Medlemsstaterna ska lämna de uppgifter som behövs till kommissionen. 

Genom artikel 36 fogas till förfarandena i bilaga II till Europaparlamentets och rådets förordning (EU) 2018/1724 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 (nedan SDG-förordningen) anmälan som leverantör av dataförmedlingstjänster och registrering som dataaltruismorganisation som är erkänd i unionen. 

I artikel 37 föreskrivs det om övergångsbestämmelser. Leverantörer av dataförmedlingstjänster som tillhandahåller de dataförmedlingstjänster som avses i artikel 10 den 23 juni 2022 ska fullgöra de skyldigheter som fastställs i kapitel III senast den 24 september 2025. 

I artikel 38 föreskrivs det om förordningens ikraftträdande och tillämpning. Förordningen trädde i kraft den 23 juni 2022 och den tillämpas från och med den 24 september 2023. 

2.3  Kommissionens delegerade befogenheter och genomförandebefogenheter

I artikel 22.1 ges kommissionen befogenhet att anta delegerade akter i enlighet med artikel 32 med avseende på att komplettera förordningen genom skapandet av en regelbok som fastställer lämpliga krav på information till registrerade och datainnehavare innan ett samtycke eller tillstånd för dataaltruism ges, lämpliga tekniska och säkerhetsmässiga krav för att säkerställa en lämplig nivå av säkerhet för lagringen och behandlingen av data samt för verktygen för givande och återkallande av samtycke eller tillstånd, kommunikationsfärdplaner och rekommendationer om relevanta interoperabilitetsstandarder. 

Kommissionen antar genomförandeakter i enlighet med det rådgivande förfarandet enligt följande: en gemensam logotyp för leverantörer av dataförmedlingstjänster (artikel 11.9), en gemensam logotyp för erkända dataaltruismorganisationer (artikel 17.2) och ett europeiskt formulär för samtycke till dataaltruism (artikel 25.1). 

3.1  Behörig myndighet

De uppgifter som enligt artiklarna 13 och 23 i dataförvaltningsakten ska utföras av behöriga myndigheter är nya myndighetsuppgifter. De uppgifter som avses i dataförvaltningsakten ingår inte för närvarande i någon myndighets lagstadgade uppgifter. Eftersom myndigheternas uppgifter ska grunda sig på lag, måste uppgifterna föreskrivas för någon myndighet. Den mest lämpliga myndigheten är Transport- och kommunikationsverket (se avsnitt 5.1). 

Bestämmelser om Transport- och kommunikationsverkets uppgifter finns i lagen om Transport- och kommunikationsverket (935/2018), lagen om transportservice (320/2017) och lagen om tjänster inom elektronisk kommunikation (917/2014, nedan kommunikationstjänstlagen). I 304 § i kommunikationstjänstlagen föreskrivs det om Transport- och kommunikationsverkets särskilda uppgifter inom kommunikationssektorn. I den paragrafen föreskrivs det redan om flera uppgifter för verket, inklusive övervakning av EU-rättsakter. De uppgifter som avses i dataförvaltningsakten kan fogas till paragrafen i fråga. Eftersom uppgifterna i sig följer av en direkt tillämplig förordning räcker det med en hänvisning till den förordningen. 

I artikel 26 i dataförvaltningsakten föreskrivs det om krav på behöriga myndigheterna. De gäller en ändamålsenlig skötsel av uppgiften med tanke på god förvaltning och jäv. Det kan anses att förvaltningslagen (434/2003) och statstjänstemannalagen (750/1994) i sak redan innehåller motsvarande skyldigheter. 

3.2  Bestämmelser om tillsyn och sanktioner

Enligt artikel 34.1 i dataförvaltningsakten ska medlemsstaterna fastställa regler om sanktioner för överträdelse av skyldigheterna om överföring av icke-personuppgifter till tredjeländer enligt artiklarna 5.14 (i kapitel II i förordningen) och 31, anmälningsskyldigheten för leverantörer av dataförmedlingstjänster enligt artikel 11, villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12 och villkoren för registrering som erkänd dataaltruismorganisation enligt artiklarna 18, 20, 21 och 22 och vidta alla nödvändiga åtgärder för att säkerställa att de tillämpas. Sanktionerna ska vara effektiva, proportionella och avskräckande. Medlemsstaterna ska i sina regler om sanktioner ta hänsyn till Europeiska datainnovationsstyrelsens rekommendationer. 

Enligt artikel 34.2 ska medlemsstaterna i lämpliga fall beakta följande icke-uttömmande och vägledande kriterier för utdömande av sanktioner för leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer vid överträdelser av förordningen: överträdelsens art, allvar, omfattning och varaktighet, eventuella åtgärder som leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen vidtagit för att begränsa eller avhjälpa den skada som överträdelsen har orsakat, eventuella tidigare överträdelser som leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen har gjort sig skyldig till, de ekonomiska vinster som leverantören av dataförmedlingstjänster eller den erkända dataaltruismorganisationen gjort eller de förluster som de undvikit till följd av överträdelsen, i den mån sådana vinster eller förluster på ett tillförlitligt sätt kan fastställas samt eventuella andra försvårande eller förmildrande omständigheter som är tillämpliga på ärendet. 

Eftersom det i dataförvaltningsakten är fråga om en allmän skyldighet för medlemsstaterna att föreskriva om sanktioner, har medlemsstaterna närmare prövningsrätt i fråga om bestämmelsernas innehåll. Vid användningen av det nationella handlingsutrymmet är de nationella ramarna och de allmänna lärorna i unionsrätten av betydelse. Det nationella handlingsutrymmet ska användas i enlighet med de krav som följer av de grundläggande fri- och rättigheterna och de mänskliga rättigheterna och bestämmelserna måste bland annat uppfylla kraven på nödvändighet, godtagbarhet och proportionalitet. Enligt principen om lojalt samarbete enligt unionsrätten ska medlemsstaterna, som dock har möjlighet att välja sanktioner, se till att överträdelser av unionsrätten beivras genom sanktioner som i materiellt och processuellt hänseende motsvarar dem som tillämpas vid överträdelser av nationell rätt av liknande art och betydelse (likvärdighetsprincipen) och i alla händelser är effektiva, proportionella och avskräckande (effektivitetsprincipen) (mål C-565/12 LCL Le Crédit Lyonnais SA, punkt 44. 

Med beaktande av de ovan nämnda synpunkterna är det bra att den behöriga myndigheten har möjlighet att använda olika slags sanktioner. I fråga om dataförmedlingstjänster finns sanktionsbehörigheten redan i artikel 14.4 i förordningen. Den behöriga myndigheten ska för dataförmedlingstjänster, när så är lämpligt, ha befogenhet att genom administrativa förfaranden ålägga avskräckande ekonomiska sanktioner, som får inbegripa löpande viten och sanktioner med retroaktiv verkan, inleda rättsliga förfaranden för åläggande av sanktionsavgifter, eller bådadera. Dessutom ska den behöriga myndigheten för dataförmedlingstjänster, när så är lämpligt, ha befogenhet att kräva att inledandet eller avbrytandet av tillhandahållandet av dataförmedlingstjänsten skjuts upp tills villkoren, enligt den behöriga myndigheten för dataförmedlingstjänsters begäran, har ändrats, eller kräva att tillhandahållandet av dataförmedlingstjänsten upphör om allvarliga eller upprepade överträdelser inte har åtgärdats trots utfärdat meddelande. 

För erkända dataaltruismorganisationer är befogenheterna delvis samma som i fråga om dataförmedlingstjänster. Enligt artikel 24.4 i dataförvaltningsakten ska den behöriga myndigheten ha befogenhet att kräva att överträdelsen upphör, antingen omedelbart eller inom en rimlig tidsperiod, och ska vidta ändamålsenliga och proportionella åtgärder för att säkerställa efterlevnaden. Om bristerna inte avhjälps, ska den erkända dataaltruismorganisationen enligt artikel 24.5 förlora sin rätt att använda beteckningen ”dataaltruismorganisation som är erkänd i unionen” i sin skriftliga och muntliga kommunikation och avlägsnas från det relevanta offentliga nationella registret över erkända dataaltruismorganisationer och det offentliga unionsregistret över erkända dataaltruismorganisationer. 

För utövning av dessa befogenheter föreskrivs det i artiklarna 14 och 24 om vissa förfaranderegler om rätten till information, samråd och tidsfrister. I övrigt följs den nationella lagstiftningen vid förfarandet, såsom förvaltningslagen (dataförvaltningsakten är direkt tillämplig reglering och förfarandemässigt specialreglering, se även 5 § i förvaltningslagen och 3 § i viteslagen). Bestämmelser om behandlingen av förvaltningsärenden finns i förvaltningslagen. Särskilda förfaranderegler finns också i kommunikationstjänstlagen i 312 § (elektronisk delgivning), 313 § (behandling av tillsynsärenden), 315 § (myndigheternas allmänna rätt att få information) och 318 § (utlämnande av information från myndigheter). 

Enligt 330 § i kommunikationstjänstlagen kan Transport- och kommunikationsverket när det sköter uppgifter enligt kommunikationstjänstlagen meddela den som bryter mot den lagen eller mot bestämmelser som utfärdats eller föreskrifter, beslut eller tillståndsvillkor som meddelats med stöd av den lagen en anmärkning samt ålägga denne att inom en skälig tid avhjälpa sitt fel eller sin försummelse. I 332 § i kommunikationstjänstlagen föreskrivs det att ett åläggande enligt 330 § kan förenas med vite eller med hot om att verksamheten avbryts eller att den försummade åtgärden vidtas på den försumliges bekostnad. Det är skäl att utvidga dessa befogenheter till att gälla också tillsynen enligt dataförvaltningsakten. Detta förutsätter att 330 § i kommunikationstjänstlagen ändras genom att det till paragrafen fogas en hänvisning till dataförvaltningsakten. 

När det gäller ekonomiska sanktioner anges det i förordningen vilka medel myndigheten kan använda. I enlighet med artikel 34 i förordningen bestäms medlen dock mera exakt inom ramen för det nationella handlingsutrymmet. Vite har behandlats ovan. Det bör dock föreskrivas särskilt om eventuella påföljdsavgifter. En naturlig plats för det skulle vara i en ny 334 a § i kommunikationstjänstlagen. Den skulle föregås av bestämmelser om påföljdsavgift för teleföretag (333 §) och påföljdsavgift för utövare av televisions- eller radioverksamhet (334 §). 

Användningen av påföljdsavgift vid genomförandet dataförvaltningsakten har behandlats i en arbetsgrupps utredning som föregick denna regeringsproposition (Kommunikationsministeriet 2023: Dataförvaltningsakten: utredning om det nationella genomförandet. Arbetsgruppens utredning. Kommunikationsministeriets publikationer 2023:8, s. 83–102). Utifrån utredningen är det skäl att föreskriva om påföljdsavgift för dataförmedlingstjänster. I utredningen konstateras det att förvaltningslagen tillämpas på påförande av påföljdsavgift. Den säkerställer redan i tillräcklig grad rättsskyddsaspekterna vid förfarandet med påföljdsavgift. Däremot kan man redan i stor utsträckning med stöd av den allmänna dataskyddsförordningen övervaka att behandlingen av uppgifter vid erkända dataaltruismorganisationer sker på behörigt sätt, eftersom de behandlar uppgifter som fåtts från fysiska personer. Dessutom grundar sig kraven för erkända dataaltruismorganisationer på frivillig registrering. Eftersom man kan ingripa i verksamhet som strider mot personuppgiftslagstiftningen genom dataskyddsbestämmelserna och det i praktiken är frivilligt att följa kraven i fråga om andra uppgifter än personuppgifter, är det inte klart att nödvändighetskriteriet för att föreskriva om påföljdsavgift uppfylls. Sålunda kan man som tillräckliga påföljder i fråga om erkända dataaltruismorganisationer anse den anmärkning som behandlats ovan och de sanktioner som den enligt viteslagen kan förenas med. 

I 335 § i kommunikationstjänstlagen föreskrivs det om verkställighet av påföljdsavgift. Enligt den paragrafen finns bestämmelser om indrivning av påföljdsavgift i lagen om verkställighet av skatter och avgifter. Sättet att påföra påföljdsavgifter enligt kommunikationstjänstlagen och de förfaranden för sökande av ändring som finns i gällande lag har en historisk bakgrund som hänför sig till kommunikationsmarknadslagen som föregick den lagen. Verksamheten enligt dataförvaltningsakten är dock av annat slag. Därför är det skäl att föreskriva om ett avvikande förfarande. Idag föreskrivs det ofta att påföljdsavgiften ska verkställas i enlighet med förfarandet enligt lagen om verkställighet av böter (672/2002). Det skulle vara ändamålsenligt att göra det också i detta sammanhang. 

3.3  Samarbete mellan myndigheter

De nya myndighetsuppgifterna påverkar inte andra myndigheters uppgifter och befogenheter. Även om varje myndighet övervakar sin egen reglering kan skyldigheterna enligt olika lagar överlappa varandra på ett sådant sätt att en aktörs verksamhet eller försummelse kan innebära brott mot flera författningar. Samarbete mellan myndigheterna kan dock ordnas utan författningsändringar. 

I dataförvaltningsakten föreskrivs det uttryckligen att den inte begränsar dataskyddsmyndigheternas befogenheter (artiklarna 1.3 och 13.3). Enligt 8 § i dataskyddslagen (1050/2018) är dataombudsmannen den nationella tillsynsmyndighet som avses i dataskyddsförordningen. Dataombudsmannens uppgifter och befogenheter baserar sig på artiklarna 55–59 i den allmänna dataskyddsförordningen. Dessutom föreskrivs det nationellt om vissa andra uppgifter för dataombudsmannen i 14 § i dataskyddslagen. Dataombudsmannens viktigaste uppgift är att övervaka efterlevnaden av den allmänna dataskyddsförordningen (artikel 57.1 a i den allmänna dataskyddsförordningen). 

Det föreskrivs inte uttryckligen i dataförvaltningsakten om dataförmedlingstjänstens ställning som personuppgiftsansvarig eller personuppgiftsbiträde. Dataförvaltningsakten innehåller inte heller några bestämmelser om grunden för behandling av personuppgifter. Detta bestäms från fall till fall i enlighet med den allmänna dataskyddsförordningen (se skäl 35 och artikel 1.3 i dataförvaltningsakten). När en dataförmedlingstjänst behandlar personuppgifter kan en del av kraven enligt artikel 12 härledas ur den allmänna dataskyddsförordningen. Sådana krav kan till exempel vara följande: 

Enligt principen om ändamålsbegränsning i fråga om insamling av personuppgifter ska personuppgifter samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. I dataförvaltningsakten tillåts dataförmedlingstjänster behandla uppgifter endast för föreskrivna ändamål. Leverantören av dataförmedlingstjänster får inte använda de data för vilka dataförmedlingstjänsterna tillhandahålls för andra ändamål än att ställa dem till dataanvändarnas förfogande. För att förverkliga förmedlingsändamålet får datauppgifternas form dock under vissa förutsättningar konverteras. Dessutom kan dataförmedlingstjänsten på vissa villkor tillhandahålla ytterligare särskilda verktyg och tjänster för att underlätta utbytet av data. Detta kan innebära särskilda verktyg och tjänster som tillhandahålls datainnehavare eller de registrerade för att underlätta utbytet av data, exempelvis i form av tillfällig lagring, kuratering, konvertering, anonymisering och pseudonymisering. De data som samlas in om dataförmedlingstjänstens kunder får endast användas för utvecklingen av dataförmedlingstjänsten i fråga, vilket kan innebära användning av data för att upptäcka bedrägerier eller för cybersäkerhet. Också vid denna behandling måste dock de villkor som följer av dataskyddslagstiftningen tas i beaktande. 

Enligt den allmänna dataskyddsförordningen ska integriteten och konfidentialiteten hos personuppgifterna säkerställas. Detta inbegriper skydd mot otillåten åtkomst. Den registeransvarige ska dessutom också till andra delar säkerställa säkerheten i samband med behandlingen och uppfylla kravet på inbyggt dataskydd och dataskydd som standard. I dataskyddsförordningen föreskrivs det inte mer detaljerat än i dessa artiklar om kraven i fråga (se dock Europeiska dataskyddsstyrelsens anvisningar 4/2019, stycke 29, om inbyggt dataskydd och dataskydd som standard enligt artikel 25). Också kraven i dataförvaltningsakten är av allmän karaktär. Enligt den förordningen ska leverantören av dataförmedlingstjänster ha infört förfaranden för att förhindra bedrägerier eller otillbörliga metoder i samband med parter som önskar sådan tillgång till data via dess dataförmedlingstjänster. 

Samtycke är en av de lagliga grunderna för behandling av personuppgifter enligt dataskyddsförordningen. I den allmänna dataskyddsförordningen definieras begreppet samtycke. Det föreskrivs också om villkor för samtycke. Till denna del föreskrivs det bland annat att det ska vara lika lätt att återkalla som att ge sitt samtycke (se Europeiska dataskyddsstyrelsens riktlinjer 05/2020 om samtycke enligt dataskyddsförordningen). Dessutom föreskrivs det i den allmänna dataskyddsförordningen om klar och tydlig information. Den personuppgiftsansvarige ska vidta lämpliga åtgärder för att till den registrerade tillhandahålla all information som avses i artiklarna 13 och 14 och all kommunikation enligt artiklarna 15–22 och 34 vilken avser behandling i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk (se Artikel 29-arbetsgruppens riktlinjer WP260 rev.01 om insyn enligt dataskyddsförordningen). Samtycke definieras i dataförvaltningsakten genom en hänvisning direkt till begreppet samtycke i dataskyddsförordningen. Med andra ord avser samtycke enligt dataförvaltningsakten sådant samtycke som definieras i dataskyddsförordningen. I dataförvaltningsakten är perspektivet på användningen av samtycke och information till den registrerade mera tekniskt och koncentrerar sig mera på praktiska synvinklar: dataförmedlingstjänsten ska informera de registrerade och vid behov ge dem råd på ett koncist, transparent, begripligt och lättåtkomligt sätt om dataanvändarnas avsedda dataanvändningar och de standardvillkor som är förbundna med sådan användning, innan de registrerade ger sitt samtycke. Om en leverantör av dataförmedlingstjänster tillhandahåller verktyg för att erhålla de registrerades samtycke eller erhålla tillstånd att behandla data som tillhandhålls av datainnehavare, ska den förse de registrerade med verktyg för att både ge och återkalla sitt samtycke och datainnehavarna med verktyg för att både ge och återkalla tillstånd för behandling av data. 

I dataskyddsförordningen föreskrivs ansvarsskyldighet för den personuppgiftsansvarige när det gäller att iaktta principerna för behandling av personuppgifter. Dessutom ska den personuppgiftsansvarige föra ett register över behandling som utförts under dess ansvar. Registrets minimiinnehåll anges. I dataförvaltningsakten föreskrivs det däremot endast på en allmän nivå att leverantören av dataförmedlingstjänster ska föra ett loggregister över dataförmedlingsverksamheten. 

Dataförmedlingstjänsternas innehåll och verksamhetsprincipen för dem varierar dock, vilket talar för en bedömning från fall till fall. Eventuella överlappningar i dataförvaltningsakten och den allmänna dataskyddsförordningen kan inte på förhand konstateras på ett allmängiltigt och uttömmande sätt. 

Likaså kan de ovan nämnda bestämmelserna i dataskyddsförordningen vara av betydelse för erkända dataaltruismorganisationer. Till denna del kan man som exempel nämna kraven på skyldighet att föra register över behandlingen (artikel 20.1 i dataförvaltningsakten) och skyldighet att informera registrerade (artikel 21.1), ändamålsbegränsning (artikel 21.2), inhämtande och återkallande av samtycke från registrerade (artikel 21.3) samt information om behandling som sker i ett tredjeland (artikel 21.6). Också den regelbok som ska skapas för dataaltruism ska innehålla krav på information till och samtycke från registrerade (artikel 22.1 a och b). 

Befogenheterna för de utsedda behöriga myndigheterna för dataförmedlingstjänster ska inte heller påverka befogenheterna för de nationella konkurrensmyndigheterna, de myndigheter som ansvarar för cybersäkerhet och andra relevanta sektorsmyndigheter (artikel 13.3 i dataförvaltningsakten). En annan relevant sektorsmyndighet kan i Finland vara till exempel konsumentombudsmannen. Den behöriga myndigheten för registrering av dataaltruismorganisationer ska utföra sina uppgifter i samarbete med de relevanta sektorsmyndigheterna (artikel 23.3). 

En del av skyldigheterna enligt dataförvaltningsakten kan också härledas ur konkurrens- och konsumenträttslig reglering. Som exempel kan nämnas att en dataförmedlingstjänst inte får knytas till användningen av andra tjänster (artikel 12 b) och att förfarandet för tillgång till dess tjänster ska vara rättvist, transparent och icke-diskriminerande (artikel 12 f). I konsumentskyddslagen (38/1978) förbjuds till exempel aggressiva förfaranden (2 kap. 9 §) och oskäliga villkor (3 kap. 1 §). Konsumentskyddslagen innehåller också bestämmelser om avtal om digitalt innehåll och digitala tjänster (5 a kap.). Om en dataförmedlingstjänst har en sådan digital tjänst som avses i kapitlet ska kapitlet tillämpas. I kapitlet föreskrivs det bland annat om tillhandahållande av digitala tjänster (kapitlets 5 §). Leverantören av dataförmedlingstjänster ska också vidta lämpliga åtgärder för att säkerställa interoperabiliteten (artikel 12 i), vilket kan innebära konkurrensrättsliga dimensioner. Också anknytande till andra tjänster kan ha konkurrensrättslig betydelse. Så skulle det vara i fråga om de två sistnämnda i synnerhet om en dataförmedlingstjänst skulle ha en dominerande marknadsställning. 

I dataförvaltningsakten finns det ingen exakt reglering av hur man ska förfara i en situation där man genom samma åtgärd eller försummelse har brutit mot flera författningar. Situationen måste bedömas i ljuset av bestämmelserna i dataförvaltningsakten och det syfte som beskrivs i dataförvaltningsaktens ingress samt nationella förfaranderegler. 

För det första överför dataförvaltningsakten inte tillsynen av dataskyddsregleringen eller konkurrens- och konsumentlagstiftningen till en ny myndighet. Enligt artikel 13.3 i dataförvaltningsakten ska befogenheterna för de utsedda behöriga myndigheterna för dataförmedlingstjänster inte påverka befogenheterna för dataskyddsmyndigheterna, de nationella konkurrensmyndigheterna, de myndigheter som ansvarar för cybersäkerhet och andra relevanta sektorsmyndigheter. Dessa myndigheter ska i enlighet med sina respektive befogenheter enligt unionsrätten och nationell rätt etablera ett starkt samarbete och utbyta den information som behövs för att de ska kunna utföra sina uppgifter i förhållande till leverantörerna av dataförmedlingstjänster, och ska eftersträva att de beslut som fattas vid tillämpningen av denna förordning är konsekventa. Enligt artikel 23.3 i dataförvaltningsakten ska den behöriga myndigheten för registrering av dataaltruismorganisationer i en medlemsstat utföra sina uppgifter i samarbete med den relevanta dataskyddsmyndigheten, när dessa uppgifter rör behandlingen av personuppgifter, och med relevanta sektorsmyndigheterna i den medlemsstaten. 

En myndighet som av misstag har tillställts en handling för behandling av ett ärende i vilket myndigheten inte är behörig ska enligt 21 § i förvaltningslagen (434/2003) överföra handlingen till den myndighet som den anser vara behörig. Överföringsskyldigheten gäller alla handlingar (RP 72/2002 rd, s. 77), vilka enligt rättslitteraturen utöver ansökningar kan vara bland annat utredningar, förslag eller krav (Mäenpää 2021: Hallintolaki ja hyvän hallinnon takeet, sjätte reviderade upplagan. Edita, s. 139). Om Transport- och kommunikationsverket alltså tillställs ett ärende för behandling som hänför sig till tolkning av den allmänna dataskyddsförordningen, ska ärendet överföras till den behöriga myndigheten, dvs. dataombudsmannen. Till denna del sköts ärendet i Finland genom att överföras och inte till exempel genom den möjlighet att efterfråga ett yttrande eller beslut av dataskyddsmyndigheten som lyfts fram i skäl 44 och 51. 

Myndigheten kan dock inte direkt överföra ärendet till en annan myndighet, om den själv (också) har behörighet att behandla ärendet (se Mäenpää 2021: Hallintolaki ja hyvän hallinnon takeet, sjätte reviderade upplagan. Edita, s. 140 och 226). När en åtgärd eller försummelse som lett till brott mot dataförvaltningsakten också har inneburit brott mot någon annan lagstiftning, kan de behöriga myndigheterna i fråga om denna andra lagstiftning också undersöka saken ur den egna lagstiftningens synvinkel. Undersökningen ska dock göras i samarbete. I rättslitteraturen har det ansetts att om det uppstår oklarhet i fråga om behörigheten mellan flera myndigheter är det mest flexibla förfarandet att myndigheterna genom att förhandla sinsemellan försöker utreda oklarheten (Mäenpää 2021: Hallintolaki ja hyvän hallinnon takeet, sjätte reviderade upplagan. Edita, s. 141). I detta samarbete kan man bedöma med vilken reglerings och myndighets metoder övervakningen ska utföras. 

Förhandlingar mellan myndigheterna om utövande av tillsynsbefogenheter förs redan nu. I 308 § i kommunikationstjänstlagen finns bestämmelser om myndighetssamarbete vid skötseln av uppgifter enligt den lagen. Myndigheterna samarbetar redan nu till exempel i konsumenträttsliga frågor. Dessutom finns det i regleringen av konsumentens rättigheter redan nu allmänna bestämmelser och särskilda bestämmelser med egna tillsynsmyndigheter. I sådana fall kan behörighetsfrågorna lösas genom att speciallagstiftningen och dess tillsynsmyndigheter får företräde i förhållande till den allmänna lagstiftningen. I myndighetssamarbetet bör man dock beakta bland annat kraven på god förvaltning, förvaltningens lagbundenhet samt rättssäkerhetsaspekterna. Beroende av situationen kan det till exempel vara motiverat att man vid sidan av en överföring av en handling fattar beslut om att ärendet avvisas (se HFD 2012:7). 

En samarbetsskyldighet följer direkt av dataförvaltningsakten. Samarbetsskyldigheten enligt dataförvaltningsakten gäller i Finland åtminstone dataombudsmannen, Transport- och kommunikationsverket, Konkurrens- och konsumentverket samt konsumentombudsmannen. Hur samarbetet ska ordnas får dock bestämmas inom ramen för det nationella handlingsutrymmet (se även mål C‑5/22 Green Network SpA, punkt 26). Samarbetet kan i stor utsträckning anses vara detsamma som det samarbete mellan myndigheterna som avses i 10 § i förvaltningslagen. Enligt detaljmotiveringen avser det bland annat utlåtanden och utredningar som behövs för att ett förvaltningsärende ska kunna utredas och avgöras, överläggningar mellan myndigheterna och att följa med andra myndigheters praxis (RP 72/2002 rd, s. 66 och 67). Det behöver sålunda inte särskilt föreskrivas om det närmare innehållet i samarbetet. 

Skyldigheten till samarbete enligt förvaltningslagen inverkar inte på sekretessen för ärendena. Olika myndigheter har dock redan föreskrivits rätt att få upplysningar för att sköta sina uppgifter. Den centrala regleringen i detta sammanhang är 318 § i kommunikationstjänstlagen (se även 18 § i dataskyddslagen, 39 § i konkurrenslagen (948/2011) och 7 § i lagen om vissa befogenheter för konsumentskyddsmyndigheterna (566/2020). Med stöd av 318 § i kommunikationstjänstlagen har kommunikationsministeriet, Transport- och kommunikationsverket, dataombudsmannen, Konkurrens- och konsumentverket, marknadskontroll- och produktsäkerhetsmyndigheterna samt Nationella audiovisuella institutet, trots sekretessbestämmelserna och andra begränsningar som gäller utlämnande av uppgifter, rätt att till varandra lämna ut dokument som de fått eller upprättat i samband med skötseln av sina uppgifter enligt lag samt att för varandra röja sekretessbelagd information, om det är nödvändigt för skötseln av deras lagstadgade uppgifter. 

Ställvis har det föreskrivits om skyldighet för myndigheterna att höra och informera, men det verkar inte tills vidare motiverat att föreskriva om motsvarande skyldigheter, eftersom antalet tillsynsobjekt och tillsynsåtgärder i detta skede kan bedömas vara måttligt. 

Samarbetsskyldigheten tar sig uttryck på olika sätt i praktiken. Samarbetsformerna och sätten att samarbeta beror också på hur dataförmedlingstjänster börjar tillhandahållas och vad det finns för behov av samarbete. På allmän nivå kan myndigheterna till exempel sinsemellan ha aktualitetsmöten på sakkunnignivå eller ledningsnivå, antingen regelbundet eller vid behov. I de sammanhangen är det till exempel naturligt att Transport- och kommunikationsverket berättar om hur arbetet i Europeiska datainnovationsstyrelsen framskrider och om tillämpningspraxis för dataförvaltningsakten. På motsvarande sätt kan andra myndigheter berätta om utvecklingen inom sitt eget ansvarsområde till den del den kan inverka på tillsynen i fråga om dataförvaltningsakten. Dataombudsmannens byrå kan till exempel berätta om möjlig tolkningspraxis när det gäller begreppet personuppgift eller principen om inbyggt dataskydd och dataskydd som standard. Utifrån den information som utbyts kan ytterligare information begäras eller diskussionen fortsätta vid behov. Detta kan vara fallet framför allt i fråga om de krav i dataförvaltningsakten som delvis kan överlappa dataskyddsförordningen. 

Samarbete kan också idkas på en mera operativ nivå. På en operativ nivå ska dock särskild uppmärksamhet fästas vid den sekretess som beskrivs ovan. Å andra sidan är till exempel statistik om ökning av en viss ärendegrupp i princip offentliga uppgifter. Om till exempel dataombudsmannens byrå får flera begäranden om förhandssamråd från leverantörer av dataförmedlingstjänster kan den informera Transport- och kommunikationsverket om det. Då kan Transport- och kommunikationsverket förbereda sig på att dess egna uppgifter ökar. Också uppgiften om att ett ärende har inletts hos en myndighet är i princip offentlig. Om det till exempel är oklart om det i det aktuella fallet är fråga om behandling av personuppgifter, kan Transport- och kommunikationsverket och dataombudsmannens byrå diskutera tolkningen av begreppet personuppgift innan ärendet (delvis) överförs. Om det vid dataombudsmannens byrå råder oklarhet om huruvida det är fråga om en dataförmedlingstjänst, kan man på motsvarande sätt diskutera definitionen av dataförmedlingstjänst med Transport- och kommunikationsverket. Om ett tillsynsärende som gäller samma fakta är anhängigt vid två myndigheter kan utbyte av sekretessbelagda uppgifter vara nödvändigt till exempel i enlighet med 318 § 1 mom. i kommunikationstjänstlagen för att myndigheterna ska kunna sköta sina uppgifter och beakta effekterna av det nedan beskrivna förbudet mot dubbel straffbarhet till exempel på samordningen av förfaranden och påföljdsavgiftens belopp.  

Dataförvaltningsaktens huvudregel som baserar sig på samarbete mellan myndigheter verkar dock behöva nyanseras i fråga om dataskyddsmyndigheten. Enligt artikel 1.3 i dataförvaltningsakten påverkar förordningen nämligen i synnerhet inte tillämpningen av dataskyddsregleringen, inklusive vad gäller tillsynsmyndigheternas befogenheter och behörighet. Om dataförvaltningsakten står i strid med regleringen om skydd av personuppgifter, bör den relevanta unionsrätten eller nationella rätten om skydd av personuppgifter ha företräde. Förhållandet mellan eventuella överlappande krav har inte klargjorts i förordningen. Dataskyddsbestämmelsernas företräde torde kunna beaktas som en princip som styr tillsynen så att det alltid först bedöms om verksamheten uppfyller villkoren enligt dataskyddsbestämmelserna och först därefter om de mer allmänna skyldigheterna enligt dataförvaltningsakten uppfylls. 

I skäl 4 i dataförvaltningsakten har det klargjorts att om andra myndigheter än dataskyddsmyndigheten fungerar som behöriga myndigheter enligt den förordningen bör de göra detta på ett sätt som inte påverkar dataskyddsmyndigheternas tillsynsbefogenheter och behörigheter enligt den allmänna dataskyddsförordningen. Vidare klargörs det i skäl 35 att dataförvaltningsakten inte bör påverka skyldigheten för leverantörer av dataförmedlingstjänster att uppfylla kraven i den allmänna dataskyddsförordningen och tillsynsmyndigheternas skyldighet att säkerställa efterlevnaden av den förordningen.  

Sålunda bör den behöriga myndigheten enligt dataförvaltningsakten inte genom sin verksamhet begränsa dataskyddsmyndighetens behörighet. Alla frågor som hänför sig till behandlingen av personuppgifter ska föras till dataombudsmannens byrå för bedömning. Eftersom olika myndigheters behörighet grundar sig på olika författningar, begränsar behörigheterna inte varandra de jure. Enbart det att två myndigheter utreder samma sak utifrån sin egen behörighet leder inte till att behörigheten begränsas. Däremot kan påförande av påföljder de facto begränsa en annan myndighets möjlighet att utöva sina befogenheter. Detta beror på förbudet mot dubbel straffbarhet. Det har förklarats på följande sätt: Förbudet mot dubbel straffbarhet omfattar även administrativa påföljder av straffkaraktär för en och samma gärning. Förbudet mot dubbel straffbarhet hindrar däremot inte att en administrativ sanktion påförs vid sidan av andra administrativa påföljder som inte är av straffkaraktär. Förbudet mot dubbel straffbarhet hindrar sålunda inte till exempel återkallande av näringstillstånd på den grunden att tillståndshavaren har handlat i strid med bestämmelserna om näring och påförts en påföljdsavgift för det. (Utveckling av regleringen som gäller administrativa påföljder av straffkaraktär. Arbetsgruppens betänkande. Justitieministeriets publikationer, Betänkanden och utlåtanden 52/2018, s. 32 och 34.) Föreläggande och, när förpliktelsen inte fullgörs, utdömande av vite, är inte avsett att vara en påföljd av straffkaraktär (HFD 2016:96). 

Förbudet mot dubbel straffbarhet ska beaktas i tillsynsåtgärderna. Detta gäller i synnerhet när man skulle påföra en påföljdsavgift. Det gäller särskilt i situationer där man de facto skulle kunna begränsa dataombudsmannens behörighet. Också inledande av förfaranden av straffrättslig natur kan i sig höra till tillämpningsområdet för förbudet mot dubbel straffbarhet oberoende av om förfarandet faktiskt leder till att en påföljd påförs (mål C-151/20 Nordzucker, punkt 63). 

Med stöd av EU-domstolens avgöranden utgör förbudet mot dubbel straffbarhet dock inte alltid hinder för att olika myndigheter påför påföljdsavgifter på grundval av samma omständigheter med stöd av olika författningar. Så är det i alla fall inom konkurrensrätten (målen C-117/20 bpost och C-151/20 Nordzucker). Förbudet mot dubbel straffbarhet utgjorde inte hinder för att en juridisk person åläggs böter för en överträdelse av unionens konkurrensrätt när denna person, för samma gärning, redan har varit föremål för ett slutligt beslut efter ett förfarande för överträdelse av sektorsspecifika bestämmelser som syftar till att liberalisera den berörda marknaden, förutsatt att det finns klara och exakta bestämmelser som gör att det går att förutse vilka handlingar och underlåtenheter som kan bli föremål för en kumulering av förfaranden och påföljder och även möjliggör en samordning mellan de båda behöriga myndigheterna, att båda förfarandena har genomförts på ett tillräckligt samordnat sätt och nära varandra i tiden och att de samlade påföljderna står i proportion till överträdelsernas allvar (mål C-117/20 bpost, punkt 58). Dessutom utgjorde förbudet mot dubbel straffbarhet inte hinder för att konkurrensmyndigheten i en medlemsstat inleder ett förfarande mot ett företag och, i förekommande fall, påför detta företag böter för en överträdelse av artikel 101 FEUF och motsvarande bestämmelser i nationell konkurrensrätt, på grund av ett beteende som har haft ett konkurrensbegränsande syfte eller resultat i denna medlemsstat, trots att en konkurrensmyndighet i en annan medlemsstat redan har omnämnt detta beteende i ett slutgiltigt beslut som denna antagit gentemot detta företag efter ett förfarande avseende överträdelse av artikel 101 FEUF och motsvarande bestämmelser i denna andra medlemsstats konkurrensrätt, om detta beslut inte grundas på ett konstaterande om ett konkurrensbegränsande syfte eller resultat på den förstnämnda medlemsstatens territorium (mål C-151/20 Nordzucker, punkt 58). 

I samband med dataförvaltningsakten ska tillämpningen av förbudet mot dubbel straffbarhet övervägas i synnerhet när en dataförmedlingstjänst är föremål för tillsynen, det är fråga om behandling av personuppgifter och leverantören av dataförmedlingstjänsten misstänks ha brutit mot ovan nämnda bestämmelser i dataförvaltningsakten eller den allmänna dataskyddsförordningen. Det ska då i varje enskilt fall säkerställas att de förfaranden som myndigheterna inlett har flera kompletterande mål som avser andra aspekter av samma överträdelse (mål C-117/20 bpost, punkt 50). EU-domstolens avgöranden innehåller dock inga exakta krav för myndigheternas verksamhet. En eventuell utveckling av avgörandepraxis ska dock tas i beaktande. I praktiken har det haft betydelse om de överlappande påföljderna har varit förutsebara och om de båda förfarandena har genomförts på ett sätt som är tillräckligt samordnat, samtidigt som förfaranden ligger nära varandra i tiden (mål C-117/20 bpost, punkterna 51 och 55; se också A och B v. Norge [GC], nr. 24130/11 och 29758/11, § 130, 15.11.2016). Olika sammantagna rättsliga reaktioner får dock inte utgöra en orimlig börda för den berörda personen (inklusive beaktande av den första påföljden när den andra påförs) och de samlade påföljderna ska stå i proportion till överträdelsernas allvar (mål C-117/20 bpost, punkterna 49 och 51). 

3.4  Besvärsrätt och sökande av ändring

Enligt artikel 27.1 i dataförvaltningsakten ska fysiska och juridiska personer, avseende frågor som omfattas av tillämpningsområdet för denna förordning, ha rätt att inkomma med klagomål, individuellt eller i relevanta fall kollektivt, till den berörda behöriga myndigheten för dataförmedlingstjänster mot en leverantör av dataförmedlingstjänster eller till den behöriga myndigheten för registrering av dataaltruismorganisationer mot en erkänd dataaltruismorganisation. Enligt artikel 27.2 ska den behöriga myndigheten för dataförmedlingstjänster eller den behöriga myndigheten för registrering av dataaltruismorganisationer till vilket klagomålet har lämnats in underrätta den klagande om hur förfarandet fortskrider och vilket beslut som fattats, och rättsmedel enligt artikel 28. Kraven i förordningen förutsätter inga ändringar i lagstiftningen. 

Även om begreppet klagomål används i artikel 27.1, är det i detta sammanhang nationellt fråga om en tillsynsanmälan (en begäran till myndigheten att utreda ett förfarande som påstås varit lagstridigt), dvs. ett förvaltningsärende. Ytterligare bestämmelser verkar inte vara nödvändiga: Enligt 19 § i förvaltningslagen inleds ett ärende genom att yrkandena jämte grunderna för dem anges. Särskilda bestämmelser om behandling av tillsynsärenden vid Transport- och kommunikationsverket finns i 313 § i kommunikationstjänstlagen. Enligt den paragrafens 1 mom. kan Transport- och kommunikationsverket ta upp ett ärende till prövning på eget initiativ, på begäran av en part eller, i ett ärende enligt 22 a kap., också på begäran av en annan aktör som har ett legitimt intresse i saken. I Finland används inte gruppklagomål. Många besvär kan dock behandlas gemensamt med stöd av 25 § i förvaltningslagen. Besluten ska ges skriftligen (43 § i förvaltningslagen) och till beslutet ska en anvisning om hur man begär omprövning eller en besvärsanvisning (46 och 47 § i förvaltningslagen) fogas. Någon annan än en part i ärendet har inte besvärsrätt i fråga om myndighetens beslut, vilket den som inte är part vid behov ska informeras om. 

I artikel 27.2 föreskrivs det att den klagande ska underrättas. Kraven i dataförvaltningsakten uppfylls också till denna del redan med stöd av den gällande lagstiftningen: När en tillsynsanmälan görs utreder myndigheten den rapporterande personens ställning som part. En part har de rättigheter som föreskrivs i förvaltningslagen vid behandlingen av ett förvaltningsärende. Om någon annan än en part kontaktar den behöriga myndigheten om brott mot dataförvaltningsakten, inleds ärendet genom en tillsynsanmälan. Med stöd av principerna för god förvaltning och serviceprincipen (7 och 8 § i förvaltningslagen) ska myndigheterna svara på sakliga förfrågningar till exempel om behandlingens situation. Dessutom är det möjligt att göra en begäran om en handling enligt lagen om offentlighet i myndigheternas verksamhet (621/1999).  

Enligt artikel 28.1 i dataförvaltningslagen ska berörda fysiska och juridiska personer, utan att det påverkar administrativa rättsmedel eller andra prövningsförfaranden utanför domstol, ha rätt till effektiva rättsmedel avseende rättsligt bindande beslut som avses i artikel 14 och som fattats av de behöriga myndigheterna för dataförmedlingstjänster i samband med hantering, övervakning och kontroll av efterlevnaden av anmälningsordningen för leverantörer av dataförmedlingstjänster och rättsligt bindande beslut som avses i artiklarna 19 och 24 som fattas av de behöriga myndigheterna för registrering av dataaltruismorganisationer i samband med övervakningen av erkända dataaltruismorganisationer. Enligt artikel 28.2 ska förfaranden enligt artikeln inledas vid domstolarna i den medlemsstat där den behöriga myndigheten för dataförmedlingstjänster eller den behöriga myndigheten för registrering av dataaltruismorganisationer som rättsmedlen avser är belägen, antingen individuellt eller, i förekommande fall kollektivt, av företrädare för en eller flera fysiska eller juridiska personer. 

Vid överklagande av myndigheters beslut är det i Finland fråga om en förvaltningsprocess. Besvärsrätt har parterna eller den om vars besvärsrätt det föreskrivs särskilt i lag. Även om det i artikel 28.2 används begreppet förfarande, inleds ärendet i Finland genom besvär och inte genom talan. Lagen om rättegång i förvaltningsärenden (808/2019) innehåller grundläggande bestämmelser om ändringssökande. I 344 § i kommunikationstjänstlagen finns en informativ hänvisning till den lagen. I den paragrafen föreskrivs det också om möjligheten att bestämma att beslutet ska iakttas trots ändringssökande, om inte den myndighet där ändring sökts bestämmer något annat. Huvudregeln har dock varit att ett beslut av en myndighet som påför påföljdsavgift ska vara verkställbart först när det vunnit laga kraft. Det är ändamålsenligt att verkställigheten av den påföljdsavgift som nu föreslås ordnas i enlighet med huvudregeln. 

Om man som rättsmedel nationellt först vill använda omprövningsbegäran i enlighet med 7 a kap. i förvaltningslagen, måste det föreskrivas nationellt om detta. Avsikten är att omprövningsbegäran ska vara den första fasen av ändringssökandet i så stor utsträckning som möjligt. Omprövningsförfarandet lämpar sig dock inte naturligt i fråga om påföljdsavgifter. Däremot lämpar sig omprövning när Transport- och kommunikationsverket fattar beslut om huruvida det ska registrera en aktör som erkänd dataaltruismorganisation (artikel 19.5 i dataförvaltningsakten). Omprövning kan tas i bruk genom att 342 § 2 mom. i kommunikationstjänstlagen ändras. I momentet föreskrivs redan nu om användningen av omprövningsförfarandet i fråga om vissa beslut enligt kommunikationstjänstlagen. 

I artikel 28.3 föreskrivs det att om en behörig myndighet för dataförmedlingstjänster eller en behörig myndighet för registrering av dataaltruismorganisationer underlåter att vidta åtgärder med avseende på ett klagomål ska berörda fysiska och juridiska personer, i enlighet med nationell rätt, antingen ha rätt till ett effektivt rättsmedel eller tillgång till omprövning av en opartisk myndighet som besitter lämplig sakkunskap. Ordet klagomål hänvisar i detta sammanhang till en situation enligt artikel 27 som behandlats ovan, dvs. i Finland till en tillsynsanmälan. Något som kallas dröjsmålsklagomål finns inte i Finlands lagstiftning. Som rättsmedel i Finland förekommer vid dröjsmål klagomål hos de högsta laglighetsövervakarna eller förvaltningsklagan hos den myndighet som övervakar verksamheten.  

4.1  De viktigaste förslagen

De föreslagna ändringarna föranleds av genomförandet av dataförvaltningsakten. 

I 304 § i kommunikationstjänstlagen föreskrivs det om Transport- och kommunikationsverkets särskilda uppgifter. Till paragrafen fogas en uppgift för Transport- och kommunikationsverket att sköta de uppgifter som hör till den behöriga myndighet som avses i artiklarna 13 och 23 i dataförvaltningsakten (den nya 304 § 1 mom. 19 punkten i lagförslag 1). Skyldigheten att utse en eller flera myndigheter följer av dataförvaltningsakten. Vilken myndighet som utses baserar sig på nationell prövning. 

Enligt dataförvaltningsakten ska Transport- och kommunikationsverket i egenskap av behörig myndighet utöva tillsyn över dataförmedlingstjänster och erkända dataaltruismorganisationer. Genom de övriga förslagen ges Transport- och kommunikationsverket befogenheter att utöva denna tillsyn. De baserar sig på den nationella processuella autonomin och på det allmänna kravet i artikel 34 i dataförvaltningsakten att föreskriva om påföljder för överträdelse av den. 

Enligt förslaget kan Transport- och kommunikationsverket meddela en anmärkning för brott mot vissa skyldigheter enligt dataförvaltningsakten (det nya 330 § 3 mom. i lagförslag 1). Genom ändringen i fråga blir vite, hot om avbrytande och hot om tvångsutförande enligt 332 § i kommunikationstjänstlagen också tillämpliga utan någon separat ändring av bestämmelserna. 

Det föreslås att Transport- och kommunikationsverket ska kunna påföra leverantören av dataförmedlingstjänster en påföljdsavgift (den nya 334 a § i lagförslag 1). Enligt förslaget föreskrivs det att påföljdsavgiften verkställs med iakttagande av lagen om verkställighet av böter (det nya 335 § 2 mom. i lagförslag 1). På motsvarande sätt ändras tillämpningsområdet för lagen om verkställighet av böter (ändringen av 1 § 2 mom. i lagförslag 2). Med avvikelse från huvudregeln i kommunikationstjänstlagen kan Transport- och kommunikationsverket inte bestämma att ett beslut ska iakttas trots ändringssökande med beaktande av karaktären hos ett beslut om påföljdsavgift (ändringen av 344 § 2 mom. i lagförslag 1). 

Transport- och kommunikationsverket fattar med stöd av dataförvaltningsakten beslut om huruvida en aktör kan registreras som erkänd dataaltruismorganisation. Det föreslås att omprövningsförfarande ska tillämpas på detta beslut (ändringen i 342 § 2 mom. i lagförslag 1). 

Det föreslås att det handlingsutrymme som dataförvaltningsakten ger att ställa ytterligare krav på dataförmedlingstjänster och erkända dataaltruismorganisationer, ta ut avgifter för anmälningar från dataförmedlingstjänster och införa nationella arrangemang för dataaltruism inte ska utnyttjas i detta skede. 

4.2  De huvudsakliga konsekvenserna

5.1  Handlingsalternativen och deras konsekvenser

Tilläggskrav som gäller dataförmedlingstjänster och erkända dataaltruismorganisationer

I dataförvaltningsakten har det redan föreskrivits i stor utsträckning om olika slags krav. De är emellertid ställvis på ganska allmän nivå. Eftersom bestämmelserna i dataförvaltningsakten gäller en ny typ av verksamhet och eftersom det ännu inte finns erfarenheter av tillämpningen av bestämmelserna, har man vid beredningen inte identifierat något behov av att ställa nationella tilläggskrav. Behovet av ytterligare bestämmelser som preciserar dataförvaltningsakten minskar även av att Europeiska datainnovationsstyrelsen kan styra tillämpningen av de allmänna kraven. Åläggandet av olika skyldigheter för näringsidkare har också i grundlagsutskottet betraktats som begränsning av näringsfriheten, vilket förutsätter att åtgärderna är nödvändiga.  

Allmänt taget kan tilläggskrav öka tröskeln för att inleda verksamhet samt medföra extra kostnader för aktörer och tillsynsmyndigheter. Å andra sidan kan tilläggskrav öka förtroendet för att verksamheten bedrivs korrekt. I detta skede är det dock svårt att förespråka ytterligare bestämmelser på denna grund. Kommissionen har bedömt att regleringen ökar förtroendet för dataekonomin och dataförmedlingstjänster, vilket gör det lättare att öka verksamheten och skaffa finansiering. Enligt kommissionens bedömning ökar nyttan dock inte i någon större utsträckning när regleringen ökar (SWD (2020) 295 final (på engelska), s. 38, 41 och 52). Även i en inhemsk undersökning har det bedömts att dataförvaltningsaktens inverkan på affärspotentialen är relativt liten när det gäller dataförmedlingstjänster. Inverkan på affärsverksamheten och innovationer har bedömts bli större genom ett större flöde av data och utveckling av marknaden. (Paavola, Heli (2022): EU:n digisäädösten liiketoimintavaikutukset (EU:s datalagars konsekvenser för affärsverksamheten). Arbets- och näringsministeriets publikationer 2022:33 (på finska, svenskt presentationsblad)). 

Behörig myndighet

I den arbetsgruppsutredning som föregick beredningen av regeringspropositionen gjordes en bedömning av till vilken myndighet de uppgifter som anges i dataförvaltningsakten kan anvisas. Enligt utredningen är det mest ändamålsenligt att koncentrera uppgifterna till Transport- och kommunikationsverket. Andra myndigheter som bedömdes var Konkurrens- och konsumentverket och dataombudsmannens byrå. Vid bedömningen beaktades myndigheternas nuvarande uppgifter och befogenheter, kompetens och erfarenhet av motsvarande uppgifter samt resurser och synergifördelar. (Kommunikationsministeriet 2023: Dataförvaltningsakten: utredning om det nationella genomförandet. Arbetsgruppens utredning. Kommunikationsministeriets publikationer 2023:8, s. 76–82)). 

Vid beredningen av regeringspropositionen har frågan dessutom dryftats med tanke på regleringsbördan. Om en dataförmedlingstjänst bryter mot skyldigheterna enligt dataförvaltningsakten, kan den behöriga myndigheten inleda tillsynsåtgärder. Företag som är föremål för tillsynsåtgärder orsakas vissa utredningskostnader. Överträdelse av dataförvaltningsakten kan innebära att de bestämmelser som övervakas av dataombudsmannen, Konkurrens- och konsumentverket eller konsumentombudsmannen samtidigt överträds. I en sådan situation hade alternativet att utse någon av dessa till behörig myndighet enligt dataförvaltningsakten eventuellt minskat kretsen av tillsynsmyndigheter och därmed minskat tillsynskostnaderna. Detta ansågs dock inte vara en sådan omständighet som hindrar Transport- och kommunikationsverket från att betraktas som en ändamålsenlig behörig myndighet. Den administrativa börda som tillsynen orsakar olika myndigheter kan minskas tillräckligt genom myndighetssamarbete. 

Bestämmelser om register

Vid beredningen av regeringspropositionen gjordes en bedömning av om det bör utfärdas bestämmelser om registreringsuppgiften som kompletterar dataförvaltningsakten. Dataförvaltningsakten ger inte något särskilt nationellt handlingsutrymme i fråga om utfärdandet av bestämmelser om register. Bestämmelserna bör grunda sig på den nationella processuella autonomin och den allmänna dataskyddsförordningen (artikel 6.1 c och artikel 6.3). 

Grundlagsutskottet har ansett att dataskyddsförordningens detaljerade bestämmelser, som tolkas och tillämpas i enlighet med de rättigheter som garanteras i EU:s stadga om de grundläggande rättigheterna, överlag utgör en tillräcklig rättslig grund även med avseende på skyddet för privatlivet och personuppgifter enligt 10 § i grundlagen. Skyddet för personuppgifter bör i första hand tillgodoses med stöd av EU:s allmänna dataskyddsförordning och den nationella allmänna lagstiftningen. Ett restriktivt förhållningssätt till att införa nationell speciallagstiftning är sålunda att föredra och sådan lagstiftning bör vara avgränsad till nödvändiga bestämmelser inom ramen för det nationella handlingsutrymme som dataskyddsförordningen medger (se GrUU 14/2018 rd, s. 4–5 och GrUU 52/2022 rd, punkt 4). 

Vid beredningen har man kommit fram till att det inte är nödvändigt att utfärda bestämmelser. För det första, med avseende på lagbundenheten i myndigheternas verksamhet, framgår det tillräckligt tydligt av dataförvaltningsakten att den behöriga myndighetens uppgifter omfattar registerföring (artiklarna 13.1 och 23.1). Den behöriga myndigheten kan i egenskap av personuppgiftsansvarig fastställa de uppgifter som med stöd av dataförvaltningsakten ska föras in i registret, med beaktande av kraven i den allmänna dataskyddsförordningen. Sådana uppgifter som ska föras in i registret är till exempel uppgifter som gäller anmälan eller ansökan samt uppgifter som hänför sig till tillsynen. Dataförvaltningsakten innehåller också bestämmelser om lämnande av uppgifter till kommissionens unionsregister. För det andra har man vid beredningen inte heller identifierat någon sådan risk som förutsätter noggrannare bestämmelser för skydd av personuppgifter. Grundlagsutskottet anser det dock vara klart att behovet av speciallagstiftning, i enlighet med det riskbaserade synsätt som också krävs i dataskyddsförordningen, måste bedömas utifrån de hot och risker som behandlingen av personuppgifter medför. Ju större risk fysiska personers rättigheter och friheter utsätts för på grund av behandlingen, desto mer motiverat är det med mer detaljerade bestämmelser. Denna omständighet är av särskild betydelse när det gäller behandling av känsliga uppgifter (se GrUU 14/2018 rd, s. 5). Behandlingen av känsliga uppgifter ska vara nödvändig och regleringen exakt och noggrant avgränsad (se GrUU 52/2022 rd, punkt 7). Mängden personuppgifter som behandlas är begränsad. Det är närmast fråga om namn- och kontaktuppgifter för de kontaktpersoner som tillsynen gäller (artikel 11.6 e i dataförvaltningsakten). Registret kan innehålla uppgifter om överträdelse av dataförvaltningsakten och om påföljderna för överträdelserna (ett av kriterierna vid påföljdsprövningen är tidigare överträdelser av dataförvaltningsakten). Det är dock fråga om uppgifter om juridiska personer och administrativa påföljder (jämför artikel 10 i den allmänna dataskyddsförordningen, särskilda kategorier av personuppgifter i artikel 9 i den förordningen och uppgifter som i konstitutionellt hänseende ska betraktas som känsliga (GrUU 4/2021 rd, punkt 8)). 

Myndighetssamarbete

Verksamheten vid dataförmedlingstjänster och erkända dataaltruismorganisationer kan övervakas av flera myndigheter. Därför förutsätts det i dataförvaltningsakten att olika myndigheter samarbetar vid behov. Hur samarbetet ska ordnas bestäms inom ramen för det nationella handlingsutrymmet. De nationella myndigheterna har redan rätt att få uppgifter av en annan myndighet trots sekretessbestämmelserna. Under beredningen har man övervägt om rätten att få uppgifter bör kompletteras till exempel med skyldighet att höra och informera. Eftersom myndigheterna har ansetts ha tillräckliga rättigheter att få uppgifter av varandra, har det bedömts vara mest ändamålsenligt att samarbetspraxis bestäms utifrån den allmänna förvaltningslagstiftningen och ämbetsverkens prövningsrätt. I och för sig skulle förfarandebestämmelser kunna göra tillsynsförfarandet mer förutsägbart för såväl myndigheterna själva som aktörerna, på bekostnad av flexibiliteten från fall till fall. 

Uttag av avgifter från dataförmedlingstjänster

Myndighetsavgifter kan utgöra ett hinder för att börja tillhandahålla tjänster. Det lönar sig inte heller alltid att ta ut små avgifter. Antalet aktörer bedöms tills vidare vara litet, och således skulle avgifter sannolikt inte i någon betydande utsträckning kunna täcka kostnaderna för behandlingen av anmälningar och tillsynen. Det är däremot möjligt att stora aktörer blir leverantörer av dataförmedlingstjänster eller att små aktörer växer och blir sådana. Den behöriga myndighetens arbetsmängd ökar när fler aktörer omfattas av tillsyn och aktörernas verksamhet utvidgas. I en sådan situation kan det vara skäl att på nytt bedöma om avgifter ska tas ut. Då kan det samtidigt bedömas om det finns grunder för att utnyttja det handlingsutrymme som dataförvaltningsakten ger att sänka avgifterna för små och medelstora företag och startupföretag eller befria dessa företag från avgifter. Även i det fallet att andra medlemsstater tar ut avgifter kan det på grund av konsekvenserna för den inre marknaden vara motiverat att ta ut avgifter också i Finland. 

Påföljdsavgift

Införandet av en påföljdsavgift har behandlats ovan i avsnitt 3. Man har även gjort en bedömning av påföljdsavgiftens belopp. Påföljdsavgifternas storlek varierar betydligt enligt lagstiftningssammanhang. I lagstiftning som baserar sig enbart på nationell prövning har man förhållit sig restriktivt till mycket höga maximibelopp för påföljdsavgifter. I ett antal färska närings-, jordbruks- och livsmedelsförfattningar (se t.ex. 10 § i lagen om överensstämmelse för skodon och textilprodukter (265/2022), 37 § i lagen om gödselmedel (711/2022), 36 § i lagen om identifiering och registrering av djur (1069/2021) och 67 § i livsmedelslagen (297/2021)) är påföljdsavgiftens maximibelopp några tusen euro. Inom kommunikationsministeriets förvaltningsområde finns det däremot högre påföljdsavgifter. Enligt 193 § i fordonslagen (82/2021) får en påföljdsavgift som påförs en juridisk person uppgå till högst 30 000 euro, men dock till högst 1 procent av den juridiska personens omsättning under den föregående räkenskapsperioden. 

Den naturliga jämförelsepunkten är ändå annan lagstiftning om digitala tjänster och utnyttjande av information. Exempelvis i dataskyddsförordningen och Europaparlamentets och rådets förordning (EU) 2022/2065 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (nedan förordningen omdigitala tjänster) är den maximala påföljdsavgiften flera miljoner euro. Påföljdskollegiet vid dataombudsmannens byrå har påfört flera påföljdsavgifter för överträdelse av dataskyddsförordningen. Påföljdsavgifterna har tills vidare varierat från några hundra euro till något under en miljon euro. Påföljdsavgiften bedöms från fall till fall. Avgiftsbeloppet beror bland annat på organisationens storlek (omsättning), överträdelsens allvarlighetsgrad och eventuella upprepningar av överträdelsen. Påföljdsavgifterna har ofta varierat mellan några tusen euro och cirka hundratusen euro. De nuvarande påföljdsavgifterna enligt kommunikationstjänstlagen uppgår till 1 000–1 000 000 euro, men de har ett visst samband med marknadsregleringen och påförs av marknadsdomstolen. Det är dock mer motiverat att jämföra med den påföljdsavgift som enligt lagen om åtgärder mot spridning av terrorisminnehåll online (99/2023) påförs juridiska personer och som är minst 1 000 euro och högst 100 000 euro. 

Således kan maximibeloppet enligt den ovannämnda lagen också i detta sammanhang anses ändamålsenligt med beaktande av de eventuella konsekvenser som överträdelser av dataförvaltningsakten har för många, den skada som överträdelserna orsakar samt behovet av att skydda de grundläggande rättigheterna för dataförmedlingstjänsternas kunder. Beloppet av den föreslagna påföljdsavgiften varierar också tillräckligt för att olika typer av förseelser ska kunna beaktas. Å andra sidan är påföljdsavgiftens maximibelopp måttligt jämfört med en del EU-bestämmelser inom informations- och kommunikationssektorn. Detta kan leda till konsekvenser för den inre marknaden och till ett behov av att ändra påföljdsavgiftens belopp till följd av Europeiska datainnovationsstyrelsens rekommendationer eller kommissionens ståndpunkter. 

I vissa situationer är det ett kollegialt organ som ska fatta beslut om påföljdsavgift. Så är fallet i dataskyddslagen och lagen om åtgärder mot spridning av terrorisminnehåll online. Även om den påföljdsavgift som nu föreslås är av sanktionskaraktär och maximibeloppet är relativt högt, är den inte så sträng att den inte kan jämställas med de administrativa påföljder som verket för närvarande påför. Transport- och kommunikationsverket fattar redan nu beslut som innebär ett betydande hot om ekonomiska påföljder. Verket har till exempel sommaren 2022 förelagt ett teleföretag ett vite på 100 000 euro på grund av att företaget inte hade uppfyllt de krav som ställs på tjänsten för kontroll av avtal. Inte heller rättsskyddsaspekterna förutsätter nödvändigtvis att beslut om påföljdsavgift ska fattas av ett kollegialt organ (Jfr. (GrUU 14/2018 rd, s. 19 och 20.). Till exempel till skillnad från eventuella gränsfall i fråga om bestämmelserna om terrorisminnehåll online är det inte fråga om en avvägning av olika grundläggande rättigheter, och till skillnad från avgiftsbeloppen enligt dataskyddsbestämmelserna är påföljdsavgiftens maximibelopp inte flera miljoner euro. 

I paragrafen om påföljdsavgift övervägde man att införa ett moment om förbud mot dubbel straffbarhet. I momentet kunde det ha föreskrivits: ”Påföljdsavgift får inte påföras den som misstänks för samma gärning i en förundersökning, en åtalsprövning eller ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som har dömts för samma gärning genom en lagakraftvunnen dom.” Ett motsvarande moment ingår till exempel i 5 § i lagen om åtgärder mot spridning av terrorisminnehåll online. Dessutom övervägde man att föreskriva att påföljdsavgift inte får påföras om samma ärende har inletts vid dataombudsmannens byrå. Syftet med bestämmelsen skulle vara att undvika en situation där förbudet mot dubbel straffbarhet i verkligheten begränsar dataombudsmannens möjligheter att utöva sina befogenheter. Bestämmelsen bidrar till att säkerställa bestämmelsen i artikel 8.3 i stadgan om de grundläggande rättigheterna om att en oberoende myndighet ska övervaka efterlevnaden av reglerna om skydd av personuppgifter. 

Det föreslås dock inget moment om förbud mot dubbel straffbarhet. Förbudet mot dubbel straffbarhet gäller som en allmän rättsprincip. Det skulle vara svårt att skriva om det på ett heltäckande sätt på bestämmelsenivå. En bestämmelse som gäller dataombudsmannen skulle kunna leda till en felaktig slutsats om att den allmänna dataskyddsförordningen kan övervakas av någon annan än dataombudsmannen. Enligt domstolens avgöranden gäller förbudet mot dubbel straffbarhet inte nödvändigtvis alla påföljdsavgifter som påförts på grundval av samma omständigheter. I stället för att införa nya bestämmelser beskrivs frågan i specialmotiveringen. 

5.2  Handlingsmodeller som tillämpats eller som planeras i andra medlemsstater

I fråga om de övriga medlemsstaternas planer finns det än så länge endast preliminära uppgifter att tillgå. Utgångspunkten är att de övriga medlemsstaterna kommer att utse en eller två behöriga myndigheter. Sådana myndigheter är vanligen befintliga telekommunikations- eller konkurrensmyndigheter, men en del av uppgifterna kan också anförtros dataskyddsmyndigheter. 

I Sverige har utredaren publicerat sitt förslag till nationellt genomförande i juli 2023 (Genomförande av EU:s dataförvaltningsförordning, DS 2023:24). Enligt förslaget ska i Sverige Post- och telestyrelsen vara den behöriga myndigheten enligt 3 och 4 kap. i förordningen. Eventuella påföljder för överträdelser av förordningen är erinran, vite och sanktionsavgift (5 000–10 000 000 kronor). Utredaren skulle också göra det möjligt för den behöriga myndigheten att ta ut avgifter för datamellanhandstjänster. 

7.1  Lag om ändring av lagen om tjänster inom elektronisk kommunikation

304 §.Transport- och kommunikationsverkets särskilda uppgifter. I paragrafen föreslås en ny 19 punkt. Enligt momentet ska Transport- och kommunikationsverket sköta den behöriga myndighetens uppgifter enligt kapitel 3 och 4 i dataförvaltningsakten. Transport- och kommunikationsverket ska i fortsättningen vara den myndighet enligt artikel 13.1 i förordningen som har behörighet att utföra uppgifter i samband med anmälningsförfarandet för dataförmedlingstjänster samt den behöriga myndighet enligt artikel 23.1 som ansvarar för det offentliga nationella registret över erkända dataaltruismorganisationer. Genom paragrafen genomförs ovannämnda artiklar. 

Enligt förslaget ska Transport- och kommunikationsverket i egenskap av behörig myndighet för dataförmedlingstjänster ansvara för det anmälningsförfarande som ska tillämpas på sådana leverantörer av dataförmedlingstjänster som avses i artikel 10 (se artikel 11 och skäl 38–40 i ingressen). Med stöd av artikel 14 utövar verket tillsyn över att leverantörer av dataförmedlingstjänster uppfyller kraven i kapitel 3 i dataförvaltningsakten och vid behov kan verket kan vidta tillsynsåtgärder: genom administrativa förfaranden ålägga avskräckande ekonomiska sanktioner, kräva att inledandet av tillhandahållandet av dataförmedlingstjänsten skjuts upp, kräva att tillhandahållandet av dataförmedlingstjänsten avbryts eller kräva att tillhandahållandet av dataförmedlingstjänsten upphör om allvarliga eller upprepade överträdelser inte har åtgärdats (artiklarna 14.3, 14.4, 14.5 och 14.6). Verket ska begära att kommissionen avlägsnar tjänsteleverantören från registret över leverantörer av dataförmedlingstjänster när det har utfärdat föreläggande om att tillhandahållandet av tjänsten ska upphöra och underrätta kommissionen om varje förnyad anmälan från tjänsteleverantören (artikel 14.4). Även om kommissionen för ett unionsregister över dataförmedlingstjänster, bör det för anmälningsförfarandet och tillsynen i praktiken också föras någon form av nationellt register. Enligt förslaget ska Transport- och kommunikationsverket även ha rätt att av den som är föremål för tillsynen få information för att kontrollera uppfyllandet av kraven (artikel 14.2). Transport- och kommunikationsverket ska också samarbeta, utveckla samarbetet och utbyta information med relevanta sektorsmyndigheter (artikel 13.3). 

I dataförvaltningsakten finns vissa förfarandebestämmelser som gäller utövande av befogenheter. Utöver dem tillämpas kompletterande bestämmelser på nationell nivå. Tillämpliga lagar utöver kommunikationstjänstlagen är bland annat förvaltningslagen och viteslagen. Förvaltningslagens krav på god förvaltning framhävs särskilt i beslut om avbrytande och upphörande av verksamheten. Enligt dataförvaltningsakten kan avbrytande krävas tills villkoren för tjänsten enligt den behöriga myndigheten för dataförmedlingstjänsters begäran har ändrats. Beslut om att avsluta verksamheten är enligt förordningen bundet till upprepade eller allvarliga överträdelser som inte har åtgärdats trots anmärkningar (jämför (GrUU 65/2014 rd, s. 2–3.) Eftersom avbrytande eller avslutande av näringsverksamhet är ett betydande ingrepp i näringsfriheten, bör det av konstitutionella skäl vara fråga om sista möjliga utväg när andra metoder inte räcker till för att trygga tillgodoseendet av övriga rättigheter. 

Enligt förslaget ska Transport- och kommunikationsverket i egenskap av behörig myndighet för registrering av dataaltruismorganisationer föra och regelbundet uppdatera ett offentligt nationellt register över erkända dataaltruismorganisationer (artikel 17.1). När en enhet har lämnat in ansökan om registrering ska verket efter att ha fått de uppgifter som behövs och utvärderat ansökan registrera enheten inom tolv veckor efter mottagandet av ansökan, förutsatt att enheten uppfyller kraven för registrering (artikel 19.5). Verket ska underrätta kommissionen om alla registreringar och ändringar i de registrerade uppgifterna samt i registret offentliggöra de uppgifter om den registrerade enheten som anges i förordningen (artiklarna 19.5, 19.6 och 19.7). Verket ska dessutom samarbeta med relevanta sektorsmyndigheter och med den relevanta dataskyddsmyndigheten, när dessa uppgifter rör behandlingen av personuppgifter (artikel 23.3). 

Transport- och kommunikationsverket ska också övervaka att dataaltruismorganisationerna uppfyller de krav som fastställs i kapitel 4 i förordningen (artikel 24.1). Verket ska ha befogenhet att begära information från organisationerna för att kontrollera att kraven följs (artikel 24.2). Verket ska meddela dataaltruismorganisationen om att kraven inte har följts och ge organisationen möjlighet att yttra sig inom 30 dagar efter mottagandet av anmälan (artikel 24.3). Verket ska dessutom ha befogenhet att kräva att överträdelsen upphör och ska vidta ändamålsenliga och proportionella åtgärder för att säkerställa efterlevnaden (artikel 24.5). Verket ska offentliggöra ett beslut om att återkalla rätten att använda beteckningen ”dataaltruismorganisation som är erkänd i unionen”, om organisationen har förlorat sin rätt att använda beteckningen (artikel 24.5). 

Transport- och kommunikationsverket ska i egenskap av tillsynsmyndighet också ha tillgång till de medel som föreskrivs i 330, 332 och 334 a § i kommunikationstjänstlagen samt de medel som nu föreslås. 

Fysiska och juridiska personer ska, avseende frågor som omfattas av tillämpningsområdet för förordningen, ha rätt att inkomma med klagomål till Transport- och kommunikationsverket, som är behörig myndighet (artikel 27.1). Myndigheten ska underrätta den klagande om hur förfarandet fortskrider och vilket beslut som fattats samt om rättsmedel enligt artikel 28 i förordningen (artikel 27.2). 

Transport- och kommunikationsverket ska i egenskap av behörig myndighet för dataförmedlingstjänster och behörig myndighet för registrering av dataaltruismorganisationer delta i datainnovationsstyrelsens verksamhet (artiklarna 29.1 och 29.2). 

Transport- och kommunikationsverkets nya uppgift ändrar inte andra myndigheters befogenheter. Bland annat Konkurrens- och konsumentverket, konsumentombudsmannen och dataombudsmannen fortsätter att övervaka de bestämmelser som de ansvarar för. Till exempel ska ärenden som gäller den allmänna dataskyddsförordningen även i fortsättningen överföras till dataombudsmannens byrå med stöd av 21 § i förvaltningslagen. Myndigheterna ska vid behov samarbeta (artiklarna 13.3 och 23.3, 308 § i kommunikationstjänstlagen och 10 § i förvaltningslagen). 

330 §.Tillsynsbeslut. I paragrafen föreslås ett nytt 3 mom. enligt vilket Transport- och kommunikationsverket kan meddela en leverantör av dataförmedlingstjänster eller en dataaltruismorganisation en anmärkning i de situationer som räknas upp i momentet. Det nya 3 mom. grundar sig i sak på 1 mom. Genom paragrafen genomförs delvis artikel 34 i förordningen. 

För det första kan en anmärkning meddelas för brott mot anmälningsskyldigheten för leverantörer av dataförmedlingstjänster enligt artikel 11 och brott mot villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12. För det andra kan en anmärkning meddelas den som bryter mot villkoren för registrering som erkänd dataaltruismorganisation enligt artiklarna 18, 20, 21 och 22. Dessutom kan en anmärkning meddelas den som bryter mot villkoren för överföring av andra uppgifter än personuppgifter till tredjeländer enligt artikel 31. Transport- och kommunikationsverket ska enligt förslaget utöva tillsyn över efterlevnaden av artikel 31 endast i fråga om sådana leverantörer av dataförmedlingstjänster och dataaltruismorganisationer som avses i kapitel 3 och 4 i förordningen. Samtidigt som verket meddelar en anmärkning ska det ålägga aktören att avhjälpa sitt fel eller sin försummelse inom en skälig tid. Verket kan förena denna skyldighet med vite eller hot om avbrytande eller hot om tvångsutförande i enlighet med 332 §. Verket ska bestämma en skälig tid för korrigerande åtgärder. Tiden bestäms bland annat enligt hur allvarlig överträdelsen är och enligt överträdelsens art. 

Eftersom en anmärkning är det lindrigaste sättet att utöva tillsyn, kan den användas som det primära sättet att utöva tillsyn över aktörerna. Om en anmärkning inte anses vara tillräcklig med tanke på gärningen eller om försummelsen trots anmärkningen fortsätter, övergår man till strängare påföljder. 

334 a §.Påföljdsavgift för leverantörer av dataförmedlingstjänster. Den föreslagna paragrafen är ny. I paragrafen föreskrivs det om den påföljdsavgift som Transport- och kommunikationsverket kan påföra en leverantör av dataförmedlingstjänster, om leverantören bryter mot eller försummar en skyldighet enligt förordningen som gäller anmälningsskyldigheten, villkoren för tillhandahållande av tjänster eller villkoren för överföring av andra uppgifter än personuppgifter till tredjeländer. Genom paragrafen genomförs delvis artikel 34 i förordningen. 

I 1 mom. föreskrivs det om vilka överträdelser enligt dataförvaltningsakten som Transport- och kommunikationsverket kan påföra påföljdsavgift för. Påföljdsavgift kan påföras endast leverantörer av dataförmedlingstjänster. Avgiften förutsätter tillräknande, det vill säga uppsåt eller oaktsamhet. 

I 2 mom. föreslås det bestämmelser om påföljdsavgiftens storlek. Enligt förslaget är påföljdsavgiften minst 1 000 euro och högst 100 000 euro. För att en påföljd ska ha en tillräcklig hindrande effekt bör avgiften vara tillräckligt hög. Transport- och kommunikationsverket ska säkerställa att sanktionen och dess belopp står i proportion till gärningen. Exempelvis ska den avgift som påförs för ringa överträdelse av anmälningsskyldigheten enligt artikel 11 vara mindre än den avgift som påförs för överträdelse av skyldigheterna enligt artikel 12. Skyldigheterna enligt artikel 12 kan inte heller jämställas med varandra. Mot bakgrund av förordningens ratio är det betydligt mer klandervärt att till exempel en leverantör av förmedlingstjänster använder data som förmedlas för sina egna syften än försummelser i fråga om det loggregister som ska föras över förmedlingsverksamheten, om verksamheten annars är som sig bör. 

I det föreslagna 3 mom. föreskrivs det om den helhetsbedömning som påföljdsavgiften ska basera sig på och om de omständigheter som ska beaktas i bedömningen. Fastställandet av påföljdsavgiftens storlek ska grunda sig på en helhetsbedömning i enlighet med proportionalitetskravet. I artikel 34.2 i dataförvaltningsakten anges riktgivande kriterier som kan beaktas när myndigheten fastställer typen av och nivån på påföljden. Enligt förslaget föreskrivs det att dessa kriterier ska beaktas. Vid fastställandet av påföljdsavgiftens storlek ska man således beakta a) överträdelsens art, allvar, omfattning och varaktighet, b) eventuella åtgärder som leverantören av dataförmedlingstjänster vidtagit för att begränsa eller avhjälpa den skada som överträdelsen har orsakat, c) eventuella tidigare överträdelser som leverantören av dataförmedlingstjänster har gjort sig skyldig till, d) de ekonomiska vinster som leverantören av dataförmedlingstjänster gjort eller de förluster som denne undvikit till följd av överträdelsen, i den mån sådana vinster eller förluster på ett tillförlitligt sätt kan fastställas, och e) eventuella andra försvårande eller förmildrande omständigheter som är tillämpliga på ärendet. 

Eftersom påföljdsavgifter av straffkaraktär till sin stränghet kan jämställas med bötesstraff, föreslås det inte att dröjsmålsränta drivs in eller någon annan dröjsmålspåföljd påförs. 

Ändring i myndighetsbeslut som fattas enligt förordningen och denna paragraf får sökas på det sätt som anges i lagen om rättegång i förvaltningsärenden (808/2019). En informativ bestämmelse om sökande av ändring finns i 344 § 1 mom. i kommunikationstjänstlagen. 

I 4 mom. föreslås bestämmelser om när påföljdsavgift inte påförs. De tre kriterier som nämns utgör alternativ till varandra. I stället för en påföljd kan till exempel en anmärkning enligt 330 § meddelas. 

Utöver vad som föreskrivs i momentet får påföljdsavgift inte påföras, om det leder till brott mot förbudet mot dubbel straffbarhet. Bestämmelser om förbudet mot dubbel straffbarhet finns i artikel 50 i Europeiska unionens stadga om de grundläggande rättigheterna och i artikel 4 i tilläggsprotokoll 7 till Europakonventionen. Förbudet mot dubbel straffbarhet gäller som en allmän rättsprincip. 

Således får påföljdsavgift inte påföras den som är misstänkt för samma gärning i en förundersökning eller åtalsprövning eller i ett brottmål som är anhängigt vid en domstol. Påföljdsavgift får inte heller påföras den som för samma gärning har meddelats en lagakraftvunnen dom. Verksamhetsmodellerna för dataförmedlingstjänster och de data som förmedlas varierar, men bestämmelser som eventuellt ska beaktas är till exempel strafflagens (39/1889) bestämmelser om missbruk av företagshemlighet i 30 kap. 6 §, om kränkning av kommunikationshemlighet i 38 kap. 3 § och om grov kränkning av kommunikationshemlighet i 38 kap. 4 §. Vid bedömningen av dubbel straffbarhet är dock andra administrativa påföljdsavgifter viktigare än straffrättsliga påföljder. Påförande av två administrativa påföljdsavgifter på grundval av samma omständigheter har behandlats särskilt i EU-domstolens rättspraxis (målen C-117/20 bpost och C-151/20 Nordzucker). Avgörandena gäller konkurrensrätten, men de kan ha en vidare innebörd (se mål C-117/20 bpost, punkt 35). 

I det föreslagna 5 mom. föreskrivs det om preskription av rätten att påföra påföljdsavgift. Trafik- och kommunikationsministeriet får inte påföra påföljdsavgift om beslut inte har fattats inom fem år från den dag då förseelsen eller försummelsen inträffade, eller vid fortsatt förseelse eller försummelse inom fem år från den dag då förseelsen eller försummelsen upphörde. 

I det föreslagna 6 mom. föreskrivs det att påföljdsavgiften ska betalas till staten. 

335 §.Verkställighet av påföljdsavgift. Det föreslås att ett nytt 2 mom. fogas till paragrafen. Enligt momentet verkställs påföljdsavgiften med iakttagande av lagen om verkställighet av böter. Påföljdsavgiften preskriberas när fem år har förflutit från det att det lagakraftvunna beslutet fattades. I 344 § 2 mom. föreskrivs det om beslutets verkställbarhet. Besvär hos högsta förvaltningsdomstolen utgör dock inte ett hinder för verkställighet av beslutet i ett sådant ärende där det behövs besvärstillstånd (122 § 2 mom. i lagen om rättegång i förvaltningsärenden). Enligt bestämmelsen sörjer Rättsregistercentralen för verkställigheten av påföljdsavgiften. Genom paragrafen genomförs delvis artikel 34 i förordningen. 

342 §.Omprövning. Det föreslås att det till 2 mom. fogas en ny beslutskategori på vilken förfarandet för omprövning tillämpas. Omprövning får begäras i ett beslut enligt artikel 19.5 i dataförvaltningsakten. Med stöd av artikeln ska Transport- och kommunikationsverket registrera enheten i det offentliga nationella registret över erkända dataaltruismorganisationer inom tolv veckor efter mottagandet av ansökan om registrering, om enheten har lämnat de uppgifter som krävs och uppfyller de föreskrivna villkoren. Det är ändamålsenligt att tillämpa förfarandet för omprövning, eftersom registreringen förutsätter prövningsrätt i fråga om huruvida organisationen uppfyller kraven enligt dataförvaltningsakten. 

Den föreslagna ändringen baserar sig inte direkt på dataförvaltningsakten, utan på nationella riktlinjer för tillämpningsområdet för omprövningsförfarandet. Förslaget är förenligt med kraven i artikel 28.1 i förordningen (rätten till ett effektivt rättsmedel), eftersom ändring får sökas i beslut med anledning av begäran om omprövning (49 b § 3 mom. i förvaltningslagen och 7 § 2 mom. i lagen om rättegång i förvaltningsärenden). 

344 §.Ändringssökande i förvaltningsdomstol. Till 2 mom. fogas den föreslagna 334 a § om påföljdsavgift för leverantörer av dataförmedlingstjänster. Genom den föreslagna ändringen lämnas påföljdsavgiften i fråga utanför sådana beslut som den som fattat beslutet har bestämt att ska iakttas trots att ändring har sökts, om inte besvärsmyndigheten bestämmer något annat. Av hävd är påföljdsavgifter av straffkaraktär verkställbara endast när de har vunnit laga kraft och verkställbarheten bestäms i enlighet med 122 § 1 och 2 mom. i lagen om rättegång i förvaltningsärenden. Bestämmelsen i 344 § 2 mom. utgör ett undantag från detta. 

Den föreslagna ändringen baserar sig inte direkt på dataförvaltningsakten, utan på nationella riktlinjer för verkställbarheten av beslut. Förslaget är förenligt med kraven i artikel 28.1 i förordningen (rätten till ett effektivt rättsmedel). 

7.2  Lag om ändring av 1 § i lagen om verkställighet av böter

1 §.Lagens tillämpningsområde. Det föreslås att det till 2 mom. fogas en ny 28 punkt om att en påföljdsavgift enligt 334 a § i lagen om tjänster inom elektronisk kommunikation verkställs på det sätt som föreskrivs i denna lag. 

10.1  Förhållande till budgetpropositionen

Propositionen hänför sig till budgetpropositionen för 2024 och avses bli behandlad i samband med den. 

I propositionen ingår nya uppgifter i anslutning till myndighetstillsyn, som ökar Transport- och kommunikationsverkets uppgifter och behov av resurser. Resursbehoven har motiverats och specificerats i avsnitt 4.2.1.