1.2.1  Beredningen av EU-rättsakten

Europeiska kommissionen (nedan kommissionen ) offentliggjorde den 2 maj 2017 ett förslag till förordning om en gemensam digital ingång ( COM(2017) 256 final ) och en tillhörande konsekvensbedömning på EU-nivå ( SWD(2017) 213 final ).  

Den 31 augusti 2017 informerade statsrådet riksdagen om förslaget med en skrivelse ( U 45/2017 vp ). Statsrådet framförde sitt understöd för den föreslagna förordningens mål och ansåg att initiativet stödde regeringsprogrammets spetsprojekt för digitalisering av de offentliga tjänsterna. Statsrådet ansåg dock att det behövdes en kartläggning av hur mycket kostnader och extra arbete förslaget egentligen skulle orsaka myndigheterna, och en kritisk bedömning av vilka av de tjänster som omfattades av kommissionens förslag som var centrala med tanke på målet att effektivisera den inre marknadens funktion. Riksdagen omfattade statsrådets ståndpunkt, men framhävde vissa synpunkter (EkUU 40/2017 rd, StoURS 92/2017 rd, protokoll SuVP 37/2017 vp 7 §).  

Förordningen antogs den 2 oktober 2018 och trädde i kraft den 11 december 2018. De olika artiklarna i förordningen tillämpas successivt så att den sista tidsfristen för genomförandet av vissa artiklar enligt förordningen är den 12 december 2023. Med hänsyn till att kommissionens genomförandeakt om det tekniska systemet enligt förordningens artikel 14.9 fördröjdes med över ett år från den 12 juni 2021 som var tidsfristen enligt förordningen (kommissionens genomförandeförordning (EU) 2022/1463 antogs den 5 augusti 2022) har också införandet av det tekniska systemet fördröjts. 

Hittills har kommissionen antagit följande genomförandeförordningar som anges i förordningen: 

genomförandeförordning (EU) 2020/1121 av den 29 juli 2020 om insamling och delning av användarstatistik och återkoppling om tjänsterna i den gemensamma digitala ingången (nedan genomförandeförordningen om insamling och delning av användarstatistik och återkoppling om den digitala ingången ), samt  

genomförandeförordning (EU) 2022/1463 av den 5 augusti 2022 om fastställande av tekniska och operativa specifikationer för det tekniska systemet för gränsöverskridande automatiskt utbyte av bevis och tillämpning av engångsprincipen (nedan genomförandeförordningen om utbyte av bevis ).  

1.2.2  Beredningen av propositionen

Regeringens proposition bereddes som tjänsteuppdrag vid arbets- och näringsministeriet. Beredningsunderlaget till propositionen finns i den offentliga tjänsten under adressen https://valtioneuvosto.fi/sv/projekt med identifieringskod TEM059:00/2023 . De ministerier (finansministeriet och justitieministeriet) och myndigheter som är centrala för ärendet har hörts i beredningen.  

Ingen officiell arbetsgrupp tillsattes för lagprojektet eftersom ett särskilt projekt hade inrättats för samordningen av det nationella genomförandet av SDG-förordningen hösten 2019 ( TEM067:00/2019 ) och man bedömde att de viktigaste beredningsåtgärderna framför allt hade att göra med de praktiska förberedelserna, i synnerhet gällande UF-centrets roll och det tekniska systemet. Ansvaret för genomförandet av SDG-förordningen är fördelat över stora delar av statsförvaltningen och gäller flera myndigheter som ska genomföra förordningens bestämmelser om information, administrativa förfaranden och hjälptjänster som ska tillhandahållas via den digitala ingången. UF-centret, som föreslås verka som den nationella samordnare som avses i SDG-förordningen, har tagit en central roll i samordningen av de praktiska förberedande åtgärderna. UF-centret har också utfört en konsekvensbedömning enligt 5 § 3 mom. och 8 § 1 mom. och ett utlåtandeförfarande enligt 9 § i lagen om informationshantering inom den offentliga förvaltningen (9.8.2019/906) (nedan informationshanteringslagen ) och beställt en utredning om en konsekvensbedömning avseende dataskydd enligt artikel 35 i EU:s allmänna dataskyddsförordning (EU) 2016/679 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG. (nedan dataskyddsförordningen ). Dessutom har UF-centret låtit en särskild utomstående sakkunnig göra en utredning om de viktigaste ramar och begränsningar som dataskyddsbestämmelserna anger för det nationella genomförandet av SDG-förordningen. Utredningen blev klar i oktober 2022. I den juridiska utredningen beaktades inte kommissionens genomförandeförordning om utbyte av bevis eftersom den ännu inte hade antagits.  

Propositionen var ute på remiss under tiden 28.2–9.4.2024. Man begärde att yttrandena skulle lämnas in via tjänsten utlåtande.fi. Av de inkomna remissvaren gjordes ett sammandrag som kan läsas i avsnitt 6 i denna proposition. Det egentliga sammandraget av yttrandena finns i sin helhet på projektwebbplatsen i ärendet, till vilken även enskilda yttranden har förts. 

Avsikten är att propositionen ska lämnas till riksdagen vecka 37, så att ändringen kan träda i kraft den 1 januari 2025. 

2.2.1  Allmänt om den digitala ingångens funktion

Enligt förordningen sammanställs kommissionens, EU-byråernas och medlemsstaternas onlinetjänster för privatpersoner och företag på den inre marknaden i en digital ingång ( Single Digital Gateway, SDG ) till en enda onlineportal, dvs. onlinetjänst, som förutom sina egna funktioner också erbjuder tillgång till flera andra onlinetjänster. Den gemensamma digitala ingång som kommissionen och medlemsstaterna inrättat består av ett gemensamt användargränssnitt som förvaltas av kommissionen, integreras i portalen Your Europe och ger tillgång till relevanta unionsomfattande och nationella webbsidor. Det gemensamma användargränssnittet är tillgängligt på alla unionens officiella språk. Avsikten är att på det sättet utöka, komplettera och förtydliga informationen på nätet om frågor som rör den inre marknaden, och att sammanställa informationen om kommissionens och medlemsstaternas förfaranden och hjälptjänster med anknytning till den inre marknaden i ett och samma system.  

Genom den gemensamma digitala ingången finns information från kommissionen och medlemsstaterna tillgänglig på ett och samma ställe om vissa rättigheter och skyldigheter för privatpersoner och företag i samband med den inre marknadens funktion, relaterade förfaranden samt hjälp- och problemlösningstjänster. Dessutom ska privatpersoner och företag kunna använda onlineförfaranden enligt engångsprincipen. Information som en privatperson eller ett företag har lämnat till en medlemsstat ska på begäran lämnas till andra medlemsstaters myndigheter och duga som underlag för myndighetsbeslut också i andra medlemsstater. Den här tjänsten kallas ”Once Only Technical System” (på svenska tekniskt system för bevisutbyte, nedan OOTS-system eller tekniskt system ).  

2.2.2  De viktigaste reglerna i förordningen

Förordningen är indelad i kapitel I Allmänna bestämmelser, II Ingångens tjänster, III Kvalitetskrav, IV Tekniska lösningar, V Marknadsföring, VI Insamling av användaråterkoppling och statistik, VII Förvaltning av ingången och VIII Slutbestämmelser.  

Förordningen innehåller bestämmelser om information, administrativa förfaranden och hjälp- och problemlösningstjänster som ska delas via den digitala ingången. I förordningen fastställs också kvalitetskrav för dessa tjänster. Dessutom föreskrivs det om hur onlinetjänster ska ta hänsyn till gränsöverskridande verksamhet och hur den verksamhet som sker via den digitala ingången ska rapporteras till kommissionen. Förordningen innehåller också bestämmelser om systemets tekniska utförande, marknadsföring av systemet och insamling av användaråterkoppling. Dessutom finns bestämmelser om samarbetet och arbetsfördelningen mellan kommissionen och medlemsstaterna samt fördelningen av kostnaderna för det nya systemet mellan kommissionen och medlemsstaterna. 

Enligt förordningen ska kommissionen och medlemsstaterna inrätta en gemensam digital ingång. Flera uppgifter och ansvarsområden föreskrivs för kommissionen när det gäller genomförandet av ingången, bland annat att ansvara för kvaliteten på och tillgången till den information, de förfaranden och de hjälp- och problemlösningstjänster som EU:s organ och byråer tillhandahåller och som gäller den inre marknaden. Kommissionen ansvarar också för att de allmänna länkar som hör till systemet fungerar. Dessutom är det kommissionens ansvar att upprätta en allmän sökfunktion och förvalta verktygen för användaråterkopplingen. Medlemsstaternas behöriga myndigheter ska i sin tur ansvara för att utveckla och administrera den information, de förfaranden och de tjänster som de tillhandahåller via den gemensamma digitala ingången och se till att de är tillgängliga, aktualiserade och säkra. 

En behörig myndighet definieras i artikel 3.4 som en myndighet eller ett organ i en medlemsstat som inrättats på nationell, regional eller lokal nivå och som har specifikt ansvar när det gäller den information, de förfaranden samt de hjälp- och problemlösningstjänster som omfattas av förordningen. I praktiken bestäms de behöriga myndigheterna med stöd av bilagorna I–III.  

I bilagorna I–III förtecknas de rättigheter och skyldigheter, relaterade förfaranden samt hjälp- och problemlösningstjänster som användaren kan hitta via den digitala ingången. 

I bilaga I finns en förteckning över informationsområden som är relevanta för privatpersoner och företag som utövar sina rättigheter på den inre marknaden enligt artikel 2.2 a. Ingången ska ge tillgång till information om rättigheter och skyldigheter på dessa områden. Exempel på sådana områden är resor, arbete och pension inom unionen, utbildning eller praktik i en annan medlemsstat, hälso- och sjukvård, rättigheter som tillämpas på medborgare och familjer, konsumenträttigheter och vissa områden som gäller affärsverksamhet (bl.a. skatter, varor, tjänster).  

I bilaga II finns en förteckning över förfaranden som avses i artikel 6.1, det vill säga förfaranden som ska erbjudas helt online. Varje medlemsstat ska säkerställa att användare kan få tillgång till och utföra de förfaranden som förtecknas i bilaga II helt online, om sådana förfaranden har inrättats i den berörda medlemsstaten. Även gränsöverskridande användare ska då utan diskriminering kunna utföra förfarandet online med samma tekniska lösning eller en alternativ teknisk lösning. De förfaranden som nämns rör olika händelser som födelse, studier, arbete, flytt och affärsverksamhet. I artikel 6.2 redogörs för innehållet i ett förfarande som ska anses vara helt online, och i artikel 6.3 för förfarandet i tillåtna undantagsfall.  

I bilaga III finns en förteckning över de hjälp- och problemlösningstjänster som avses i artikel 2.2 c och som ska tillhandahållas via den digitala ingången (vara tillgängliga online också för gränsöverskridande användare), till exempel gemensamma kontaktpunkter, kontaktpunkter för produkter, nationella rådgivningscentrum för yrkeskvalifikationer, nationella kontaktpunkter för gränsöverskridande hälso- och sjukvård samt Europeiska nätverket för arbetsförmedlingar (Eures).  

2.2.3  Utbyte av bevis

När det gäller utbyte av bevis för onlineförfaranden som förtecknas i bilaga II i förordningen och de förfaranden som anges i vissa andra EU-rättsakter föreskrivs det i artikel 14 om inrättande av ett tekniskt system för automatiskt utbyte av bevis mellan behöriga myndigheter i olika medlemsstater och om de krav som systemet ska uppfylla. 

I artikel 14 föreskrivs om de egenskaper som förutsätts av det tekniska systemet (artikel 14.3 a–i), bland annat att systemet ska ge användarna möjlighet att förhandsgranska det bevis som ska användas av den begärande myndigheten samt att välja om de ska fortsätta med utbytet av bevis eller inte (f), och inte ska behandla bevis utöver uppgifter som är nödvändiga i tekniskt hänseende för att utbyta beviset, samt behandla bevis endast under den tidsperiod som är nödvändig för detta syfte (i). 

Enligt artikel 14.4 ska användning av det tekniska systemet inte vara obligatorisk för användare, och endast tillåtas på deras uttryckliga förfrågan, såvida inget annat föreskrivs i unionsrätt eller nationell rätt. Användarna ska tillåtas lämna in bevis på andra sätt än via det tekniska systemet och direkt till den begärande behöriga myndigheten. 

I artikel 14.7 i förordningen finns bestämmelser om dels de behöriga myndigheternas skyldighet att genom det tekniska systemet begära bevis direkt från andra behöriga myndigheter, dels skyldigheten för de behöriga myndigheter som utfärdar beviset att göra ett sådant bevis tillgängligt genom samma system. Vidare förutsätts det i bestämmelsen att myndigheterna gör detta endast på uttrycklig, frivillig, specifik, informerad och otvetydig förfrågan från användaren.  

Enligt artikel 14.8 ska ett bevis som gjorts tillgängligt för den begärande behöriga myndigheten begränsas till det som har begärts, och det får användas av den myndigheten endast för det förfarande som det utbytts för. Det bevis som utbyts via det tekniska systemet ska, för den begärande behöriga myndighetens ändamål, anses vara äkta. 

För den samordningsgrupp för ingången som ska inrättas med stöd av förordningen föreskrivs i artikel 30.1 l uppgiften att diskutera tillämpningen av principerna om inbyggd säkerhet (security by design) och inbyggt integritetsskydd (privacy by design) inom ramen för denna förordning. 

I artikel 33 i förordningen föreskrivs det att behandlingen av personuppgifter av behöriga myndigheter inom ramen för förordningen ska överensstämma med dataskyddsförordningen. Kommissionens behandling av personuppgifter inom ramen för SDG-förordningen ska överensstämma med bestämmelserna i förordning (EU) 2018/1725 Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG. , den så kallade dataskyddsförordningen för EU:s institutioner, som tillämpas på unionens institutioner, organ och byråer.  

2.2.4  Förvaltning som följer av förordningen, preciserande rättsakter och genomförande

Varje medlemsstat ska utnämna en nationell samordnare som ansvarar för kontakten med kommissionen och andra uppgifter som särskilt föreskrivs för dem i förordningen. De nationella samordnarna fungerar med stöd av artikel 28 bland annat inom sina respektive förvaltningar som kontaktpunkt för alla frågor som rör ingången, främjar enhetlig tillämpning av artiklarna 9–16 hos deras respektive behöriga myndigheter och säkerställer att de rekommendationer som avses i artikel 17.2 c genomförs korrekt. I artikel 28 hänvisas det också till de nationella samordnarnas andra skyldigheter enligt förordningen.  

Medlemsstaterna kan anpassa de nationella samordnarnas funktioner och ansvarsområden som gäller ingången i enlighet med sin nationella förvaltningsstruktur, och kan enligt eget gottfinnande utnämna flera nationella samordnare för att genomföra de uppdrag som anges i förordningen. 

I artikel 29 finns bestämmelser om ingångens samordningsgrupp och i artikel 30 om gruppens uppgifter (artikel 30.1 a–r).  

I artikel 32 i förordningen föreskrivs det om kostnader , samt vilka kostnader som täcks av Europeiska unionens allmänna budget respektive medlemsstaternas budgetar. Enligt artikel 32.2 tas kostnaderna i samband med nationella webbportaler, informationsplattformar, hjälptjänster och förfaranden som inrättats på medlemsstatsnivå från respektive medlemsstats budget, såvida inget annat föreskrivs i unionslagstiftningen.  

I artikel 36 i förordningen föreskrivs det om kommissionens skyldighet att göra en översyn och en utvärderingsrapport . Vid översynen ska särskilt räckvidden av artikel 14 utvärderas med beaktande av den tekniska, marknadsrelaterade och juridiska utvecklingen när det gäller utbyte av bevis mellan behöriga myndigheter.  

I förordningen ges kommissionen befogenheter att anta genomförandeakter . Genomförandeakterna antas i ett kommittéförfarande enligt artikel 37, och med stöd av hänvisningen i artikel 37.2 i enlighet med granskningsförfarandet Europaparlamentets och rådets förordning (EU) nr 182/2011 av den 16 februari 2011 om fastställande av allmänna regler och principer för medlemsstaternas kontroll av kommissionens utövande av sina genomförandebefogenheter, artikel 5. . Kommissionen har genomförandebefogenheter att föreskriva om  

tekniska och operativa specifikationer för ett system för behandling av en användares begäran om utbyte av bevis, samt för överföring av sådant bevis och nödvändiga regler för att säkerställa överföringens integritet och konfidentialitet (artikel 14.9, skäl 51 i ingressen). Enligt den punkten i artikeln skulle kommissionen ha antagit rättsakten senast den 12 juni 2021, men de facto antogs rättsakten först den 5 augusti 2022 ((EU) 2022/1463) . Kommissionens genomförandeförordning (EU) 2022/1463 av den 5 augusti 2022 om fastställande av tekniska och operativa specifikationer för det tekniska systemet för gränsöverskridande automatiskt utbyte av bevis och tillämpning av engångsprincipen i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1724 .  

När kommissionen antar genomförandeakter om specifikationer för ett sådant tekniskt system bör den ta vederbörlig hänsyn till de standarder och tekniska specifikationer som utarbetats av Europeiska institutet för telekommunikationsstandarder (Etsi), Internationella standardiseringsorganisationen (ISO) och Internationella teleunionen (ITU), samt till de säkerhetsnormer som avses i artikel 32 i förordning (EU) 2016/679 och artikel 22 i förordning (EU) 2018/1725 (skäl 52 i ingressen). 

kompatibilitetskrav för att göra det lättare att hitta informationen om regler och skyldigheter, om förfaranden och om hjälp- och problemlösningstjänster via det gemensamma användargränssnittet (artikel 18.5). 

enhetliga regler för metoden för insamling och utbyte av användarstatistik (artikel 24.4). 

användaråterkopplingsverktygens gemensamma funktionalitet och närmare bestämmelser om insamling och utbyte av användarnas återkoppling (artikel 25.5), om vilket genomförandeförordningen (EU) 2020/1121 antogs den 29 juli 2020 Kommissionens genomförandeförordning (EU) 2020/1121 av den 29 juli 2020 om insamling och delning av användarstatistik och återkoppling om tjänsterna i den gemensamma digitala ingången i enlighet med Europaparlamentets och rådets förordning (EU) 2018/1724 (Text av betydelse för EES) .  

I artikel 39 i förordningen föreskrivs det om ikraftträdande och tillämpning . De behöriga myndigheternas skyldigheter enligt förordningen att göra informationen och kontakten till problemlösningstjänsterna tillgänglig skulle genomföras redan i december 2020 och för de kommunala myndigheternas del i december 2022. De övriga skyldigheterna ska genomföras successivt, senast i december 2023. Eftersom genomförandeakten om utbyte av bevis fördröjdes har också införandet av det tekniska systemet fördröjts.  

2.3 Det viktigaste innehållet i genomförandeförordningen om utbyte av bevis 

Som namnet anger innehåller genomförandeförordningen bestämmelser om de tekniska och operativa specifikationerna för det tekniska systemet för utbyte av bevis och om tillämpning av engångsprincipen. I förordningen föreskrivs det bland annat om de olika aktörernas roller vid utbyte av bevis, systemets underhåll och säkerhet, användaridentifiering, behandling av personuppgifter (artikel 33) samt de bevisbegärande och de bevislämnande parternas ansvarsområden som uppgiftsansvariga (artiklarna 34 och 35). I genomförandeförordningen beaktas också systemanvändarens ställning, bland annat när det gäller information till användaren om användningen av OOTS-systemet och bestämmelserna om ett utrymme för förhandsgranskning där användare kan förhandsgranska bevis som begärts. Enligt artikel 21 ska varje medlemsstat utse en nationell gemensam kontaktpunkt för tekniskt stöd, som bland annat är skyldig att ge råd till de bevislämnande och bevisbegärande parterna när det gäller tekniska problem i samband med driften av OOTS-systemet.  

Genomförandeförordningen om utbyte av bevis är synnerligen teknisk och detaljerad, men samordningsgruppen för ingången (artikel 18) och samordningsgruppens undergrupper (artikel 19) stöder genomförandet av den. 

3.2.1  Myndighetsuppgifter

I SDG-förordningen finns bestämmelser om nya uppgifter för de behöriga myndigheterna på såväl EU-nivå som nationell nivå och för de nationella samordnarna. I förordningen namnges inga nationella behöriga myndigheter i medlemsstaterna, men myndigheterna bestäms med stöd av artikel 3.4 genom de tjänster och funktioner som nämns i förordningen. Den nya regleringen ålägger de behöriga myndigheterna skyldigheter som gäller privatpersoners och företags tillgång till information, problemlösningstjänster och förfaranden samt utbytet av information i det tekniska systemet, enligt vad som föreskrivs i förordningens artiklar och bilagor. Förordningen påverkar i praktiken tiotals nationella myndigheter inom olika ministeriers förvaltningsområden. Enligt UF-centrets information är dessa myndigheter i detta skede: 

AN-tjänsterna, dataombudsmannen, Energimyndigheten, Finnvera, Folkpensionsanstalten, Försäkrings- och finansrådgivningen, kommunerna, Konkurrens- och konsumentverket, Lantmäteriverket, Livsmedelsverket, Migrationsverket, Myndigheten för digitalisering och befolkningsdata, NTM-centralerna, Nödcentralsverket, Patent- och registerstyrelsen, Pensionsskyddscentralen, Polisen, Regionförvaltningsverken, Skatteförvaltningen, Strålsäkerhetscentralen, Säkerhets- och kemikalieverket, Säkerhets- och utvecklingscentret för läkemedelsområdet, Tillstånds- och tillsynsverket för social- och hälsovården, Trafikförsäkringscentralen, Trafikledsverket, Transport- och kommunikationsverket, Tullen, Utbildningsstyrelsen, finansministeriet, inrikesministeriet, justitieministeriet, kommunikationsministeriet, miljöministeriet, social- och hälsovårdsministeriet, undervisnings- och kulturministeriet och utrikesministeriet. Konsekvenserna för Business Finland Ab och försvarsministeriet utreds fortfarande.  

Aktörer som är förpliktade enligt bilaga II, det vill säga behöriga myndigheter med skyldighet att tillhandahålla elektroniska förfaranden och utbyta bevis, är bland annat Myndigheten för digitalisering och befolkningsdata, Folkpensionsanstalten, Skatteförvaltningen och Utbildningsstyrelsen. I och med yrkeskvalifikationer och företagstillstånd kan bilaga II innebära skyldigheter också för till exempel Säkerhets- och kemikalieverket och Tillstånds- och tillsynsverket för social- och hälsovården. Det bör noteras att SDG-förordningens tillämpningsområde redan har utvidgats genom ny EU-reglering efter att den trädde i kraft, och avsikten är att tillämpningsområdet ska utvidgas och förändras med tiden. Det är alltså omöjligt att så att säga statiskt och permanent förteckna de behöriga myndigheter som förpliktas av förordningen. På UF-centrets webbplats sdgfinland.fi finns förteckningar över myndigheter och tjänster som omfattas av tillämpningsområdet för bilaga II till SDG-förordningen. 

För närvarande har bland annat bevis över mottagen studieplats, bevis över avlagd högskoleexamen, studentexamensbevis, examensbevis över en tidigare avlagd examen på annan examensnivå samt beskattningsuppgifter utomlands identifierats som bevis som ska utbytas i OOTS-systemet. Dessutom kan det förekomma många olika bevis i samband med att företagsverksamhet inleds eller bedrivs, bland annat kan de gälla olika kvalifikations-, registrerings- och tillståndsuppgifter för företag eller tjänsteleverantörer. När tillämpningsområdet för SDG-förordningen utvidgas kan man framöver i OOTS-systemet utbyta också andra typer av bevis. I OOTS-systemet utbyts åtminstone inte i det första skedet sekretessbelagda uppgifter eller uppgifter som hör till särskilda kategorier av personuppgifter, eventuellt med undantag för inkomstregisteruppgifter som är sekretessbelagda med stöd av 24 § 1 mom. 23 punkten i lagen om offentlighet i myndigheternas verksamhet (621/1999) (nedan offentlighetslagen ) och vissa hälsouppgifter och andra motsvarande uppgifter som är sekretessbelagda med stöd av 24 § 1 mom. 25 punkten i offentlighetslagen och som hör till särskilda kategorier av personuppgifter enligt artikel 9 i dataskyddsförordningen. I de här situationerna är emellertid de i de nämnda författningarna angivna undantagen från förbuden mot utlämnande eller behandling av uppgifter tillämpliga, varför offentlighetslagen eller dataskyddslagstiftningen inte utgör hinder för utbyte av bevis med stöd av den direkt tillämpliga förordningen.  

Kommunerna ansvarar för förfarandena i bilaga II till SDG-förordningen endast i fråga om tillstånd och anmälningar som hänför sig till näringsverksamhet. I dessa ingår inga e-tjänster som är kopplade till OOTS-systemet, eftersom kommunernas företagstillstånd inte för närvarande omfattar bevis som utbyts inom OOTS-systemet. 

I Finland har den information som ska sammanställas i den digitala ingången (bilaga I) funnits tillgänglig på myndigheternas webbplatser och kopplad till den digitala ingången i enlighet med förordningen sedan den 12 december 2020. Vidare är flera av förfarandena i bilaga II tillgängliga online eller under utveckling, men kan inte användas gränsöverskridande. Informationens rörlighet enligt engångsprincipen bedöms ha varit begränsad, och har grundat sig på avtal mellan myndigheterna. Inom SDG-förordningens tillämpningsområde har det förekommit endast lite gränsöverskridande informationsutbyte mellan myndigheter. Hjälp- och problemlösningstjänsterna enligt bilaga III till förordningen har varit tjänster som redan är i drift. Tillgången till dem har möjliggjorts genom olika myndigheters onlinetjänster och de är kopplade till den digitala ingången. 

3.2.2  Nationell samordnare

Enligt artikel 28 i SDG-förordningen ska varje medlemsstat utse en nationell samordnare, och samordnarens uppgifter föreskrivs i samma artikel. Valet av utnämningssätt överlåts till varje medlemsstat. Det är fråga om nya myndighetsuppgifter. De uppgifter som i SDG-förordningen föreskrivs för den nationella samordnaren ingår inte i någon myndighets nuvarande lagstadgade uppgifter. Eftersom 2 § 3 mom. i grundlagen innebär att myndigheternas uppgifter ska bygga på lag finns det skäl att föreskriva att en viss myndighet ska sköta uppgiften, trots att förordningen inte förutsätter att samordnaren påför sanktioner och inte heller ändrar den egentliga utövningen av offentlig makt i förhållande till EU-medborgare eller företag. SDG-förordningen anger flera uppgifter för den nationella samordnaren i förhållande till de behöriga myndigheterna och för att säkerställa att förordningen genomförs effektivt, vilket talar för att samordnaren utses i lag. Den mest ändamålsenliga myndigheten är UF-centret (se avsnitt 5.1.2), som redan i praktiken har verkat som den nationella samordnare som avses i förordningen. Dessutom verkar UF-centret som nationell samordnare för den gemensamma kontaktpunkt som avses i artikel 6 i tjänstedirektivet 2006/123/EG. För närvarande är tjänsten Suomi.fi gemensam kontaktpunkt i Finland. Samordnaren ansvarar tillsammans med Myndigheten för digitalisering och befolkningsdata bland annat för utvecklingen av kontaktpunkten, för uppdateringen av innehållet och för att kontaktpunkten uppfyller kraven i tjänstedirektivet. Samordnaren har också till uppgift att bidra i synnerhet till företagens gränsöverskridande digitalisering. UF-centret tillhandahåller också rådgivningstjänster vid den gemensamma kontaktpunkten från och med ingången av 2025. 

UF-centret har redan gjort ett stort arbete för att främja genomförandet av SDG-förordningen i praktiken, och har tagit huvudansvaret för att bygga det tekniska systemet och samordna ett brett nationellt myndighetsnätverk. Efter de huvudsakliga genomförandeåtgärderna kvarstår UF-centrets fortlöpande uppgifter som samordnare enligt förordningen, uppgifter i anslutning till administreringen och utvecklingen av det tekniska systemet samt personuppgiftsansvaret för systemet. UF-centret kommer i praktiken att fungera som en förmedlingsplattform mellan de behöriga myndigheterna i den mening som avses i genomförandeförordningen om utbyte av bevis. Dessutom ska UF-centret i egenskap av nationell samordnare delta i det arbete som samordningsgruppen för ingången utför på EU-nivå. Som nationell samordnare ansvarar UF-centret centraliserat också för insamlingen av användarstatistik enligt artikel 24 i förordningen och av återkoppling enligt artikel 25 i förordningen i fråga om tjänsterna i den digitala ingången i Finland, vilka uppgifter genom förordningen har anförtrotts de behöriga myndigheterna. UF-centret verkar också som nationell gemensam kontaktpunkt för tekniskt stöd enligt artikel 21 i genomförandeförordningen om utbyte av bevis. Denna uppgift är inte kopplad till uppgiften som nationell samordnare, utan baserar sig på den valda nationella lösningen i genomförandet av SDG-förordningen och genomförandeförordningen om utbyte av bevis. 

3.2.3  Utbyte av uppgifter och skydd för personuppgifter

Allmänt om utbyte av uppgifter i OOTS-systemet 

Genom den gemensamma digitala ingången finns information från kommissionen och medlemsstaterna tillgänglig på ett och samma ställe om vissa rättigheter och skyldigheter för privatpersoner och företag i samband med den inre marknadens funktion, relaterade förfaranden samt hjälp- och problemlösningstjänster. Dessutom ska privatpersoner och företag kunna använda onlineförfaranden enligt engångsprincipen. Information som en privatperson eller ett företag har lämnat till en medlemsstat ska på begäran lämnas till andra medlemsstaters myndigheter och duga som underlag för myndighetsbeslut också i andra medlemsstater. 

Genomförandeförordningen om utbyte av bevis ger medlemsstaterna handlingsutrymme när det gäller delarna i OOTS-systemet. Enligt skäl 9 i ingressen till genomförandeförordningen ska medlemsstaterna kunna besluta om de vill ha en eller flera eDelivery-åtkomstpunkter som en del av OOTS-systemet. En medlemsstat ska därför ha möjlighet att inrätta en centraliserad åtkomstpunkt för alla som begär och lämnar bevis för eDelivery-kommunikation i OOTS-systemet via en plattform, beroende på vad som är lämpligt i fallet, eller alternativt inrätta flera åtkomstpunkter på vilken nivå som helst i hierarkin eller för vissa delar eller sektorer eller geografiska nivåer inom den offentliga förvaltningen. I enlighet med artikel 1.6 i genomförandeförordningen avses med förmedlingsplattform en teknisk lösning som agerar i eget namn eller på andra enheters vägnar, till exempel de som lämnar eller begär bevis, beroende på den administrativa organisationen i de medlemsstater där förmedlingsplattformen är verksam och genom vilken de som lämnar eller begär bevis tar kontakt med de gemensamma tjänster som avses i artikel 4.1 eller med dem som lämnar eller begär bevis i andra medlemsstater.  

I Finland har planeringen utgått från kostnadseffektivitet, användarorientering, användbarhet och informationssäkerhet. UF-centret har ansvarat för planeringen och genomförandet av systemet i samarbete med styrgruppen för det nationella SDG-projektet. I stället för att varje behörig myndighet har en egen eDelivery-åtkomstpunkt och ett utrymme för förhandsgranskning ska en överföring av bevis genomföras med hjälp av ett centraliserat system som UF-centret ansvarar för och äger. UF-centret ansvarar också för förmedlingsplattformen i enlighet med genomförandeförordningen om utbyte av bevis. Systemet, som är avsett att aktiveras i slutet av 2024 (sannolikt först under 2025), planeras fungera så här: 

En privatperson eller ett företag i ett annat EU- eller EES-land som vill utnyttja OOTS-systemet för att använda en finländsk onlinetjänst inleder processen i den finländska onlinetjänsten och identifierar sig med ett eIDAS-identifieringsverktyg. När bevis begärs har användaren möjlighet att ladda upp dem direkt i ärendeprocessen, om användaren redan förfogar över bevisen, eller att utnyttja OOTS-systemet. Med hjälp av funktionen för bevisbegäran i det nationella OOTS-systemet väljer användaren vilket bevis från vilken medlemsstat personen vill hämta och förhandsgranska. Denna uttryckliga förfrågan från användaren startar myndighetens begäran om bevis från en annan medlemsstats grunddatalager, och användaren omdirigeras till utrymmet för förhandsgranskning i den andra medlemsstatens OOTS-system för att kontrollera uppgifterna i beviset. Om användaren i förhandsgranskningen godkänner att beviset används skickas beviset till den begärande myndigheten i Finland via det system som UF-centret förvaltar.  

En privatperson eller ett företag i Finland som i sin tur vill uträtta ett ärende i en annan medlemsstats onlinetjänst utför åtgärderna för begäran av bevis i den andra EU- eller EES-medlemsstatens onlinetjänst, och bevisbegäran från myndigheten i den andra medlemsstaten kommer till utrymmet för förhandsgranskning i Finland. Efter att användaren identifierat sig på nytt och identiteten på det sättet fastställts hämtar utrymmet för förhandsgranskning beviset från det finländska grunddatalagret och skapar för användaren en version av beviset som kan förhandsgranskas. Efter att användaren har godkänt att beviset används skickas beviset genom kanalerna för utbyte av information till den begärande medlemsstaten och den begärande myndigheten. I praktiken ska UF-centret förvalta utrymmet för förhandsgranskning och den efterföljande dataöverföringen till dess att beviset har övergått till ett system i en annan medlemsstat. 

I artikel 28.5 i genomförandeförordningen, som handlar om utbyte av bevis, föreskrivs i fråga säkerhet bland annat att den bevislämnande partens medlemsstat i enlighet med punkt 4 i samma artikel i varje specifikt bevisutbyte ska ansvara för det begärda bevisets kvalitet, konfidentialitet, integritet och tillgänglighet tills beviset når den bevisbegärande partens åtkomstpunkt för eDelivery eller, i tillämpliga fall, en förmedlingsplattform. Den bevisbegärande partens medlemsstat ska i varje specifikt bevisutbyte ansvara för det begärda bevisets konfidentialitet och integritet från och med den tidpunkt då det når dess åtkomstpunkt för eDelivery. 

I de förfaranden som beskrivs ovan är UF-centrets skyldigheter som personuppgiftsansvarig begränsade till det nationella OOTS-systemet och den fas av informationsöverföringen där det begärda beviset rör sig från den avsändande myndigheten (som lämnar beviset) till den mottagande myndigheten (som begär beviset).  

Den personuppgiftsansvariges skyldigheter i processen för begäran av bevis gäller det ögonblick då beviset anländer från en annan EU-medlemsstat till det nationella OOTS-systemet. Beviset lagras en kort stund tills den begärande myndigheten hämtar det eller tills det skickas till den begärande myndigheten. När beviset har skickats till den begärande myndigheten blir ingen version kvar hos UF-centret, utan det förstörs/raderas ur systemet. 

I de fall då en begäran kommer från en annan EU-stat gäller personuppgiftsansvaret den stund då utrymmet för förhandsgranskning i det nationella OOTS-systemet hämtar beviset ur det nationella datalagret och den användare som begär uppgifter förhandsgranskar beviset och beslutar att det antingen ska användas eller inte användas. När beviset har skickats till den begärande myndigheten (eller när användaren har beslutat att inte använda beviset) blir ingen version kvar hos UF-centret, utan beviset förstörs/raderas ur systemet. 

I praktiken har UF-centret beviset i sin besittning från några minuter till högst ungefär en vecka. Centret har tillgång till beviset under förmedlingsprocessen och kan, beroende på vad som är lämpligt, omvandla material från en strukturerad form till en människoläsbar form eller, i undantagsfall, filtrera data i enlighet med kraven i SDG-förordningen. De behöriga myndigheterna är dock ansvariga för det materiella innehållet i beviset och för att uppgifterna är korrekta. Främst är det fråga om filtrering av eventuella onödiga uppgifter vid överlämnande av bevis till den behöriga myndigheten i en annan medlemsstat och innan användaren har godkänt att det används i utrymmet för förhandsgranskning, och omvandling av bevisets strukturella form till människoläsbar form innan det utländska beviset levereras till den nationella behöriga myndigheten, för att det ska kunna säkerställas att myndigheten har tillgång till beviset och kan hantera det. Omvandling av den strukturella formen till människoläsbar form kan också komma i fråga vid överlämnandet av bevis till den behöriga myndigheten i en annan medlemsstat, men omvandlingen ska göras innan användaren har kontrollerat och godkänt användningen av beviset i utrymmet för förhandsgranskning. I enlighet med skäl 17 i ingressen till genomförandeförordningen ska den som lämnar bevis eller, i förekommande fall, förmedlingsplattformen kunna möjliggöra automatisk filtrering av uppgifterna när det gäller strukturerat bevis, om endast en delmängd uppgifter begärs i begäran om bevis. 

Uppgifterna om bevisbegäranden loggas i en nationell loggningstjänst i enlighet med genomförandeförordningen om utbyte av bevis. 

Tillämpningen av OOTS-systemet och utbytet av bevis mellan de behöriga myndigheterna i EU:s medlemsstater är förknippade med dataskyddsrättsliga frågor. I OOTS-systemet överförs bland annat personuppgifter om sökande i förvaltningsärenden. Uppgifterna utbyts med hjälp av tekniska gränssnitt, men inte automatiskt helt utan den sökandes medverkan. Användaren ska ha möjlighet att granska bevisen på förhand i utrymmet för förhandsgranskning och rätt att bestämma sig för att inte utbyta bevis, i fall att användaren efter att ha granskat det bevis som ska utbytas konstaterar att uppgifterna är felaktiga, föråldrade eller onödiga för det aktuella förfarandet. 

Enligt UF-centrets konsekvensbedömning enligt informationshanteringslagen behandlas inte sekretessbelagda uppgifter eller uppgifter som hör till särskilda kategorier av personuppgifter enligt dataskyddsförordningen. Senare har det framgått att uppgifter i inkomstregistret som är sekretessbelagda med stöd av 24 § 1 mom. 23 punkten i offentlighetslagen kan överföras som bevis, och när det gäller förmåner kan andra medlemsstater också begära handlingar som innehåller uppgifter om en klient inom socialvården eller en enskild kund inom arbetsförvaltningen samt om en förmån eller en stödåtgärd som denne fått eller om en socialvårdstjänst eller en tjänst inom arbetsförvaltningen eller uppgifter om en persons hälsotillstånd eller funktionsnedsättning eller om en tjänst inom hälso- och sjukvården och rehabiliteringen (24 § 1 mom. 25 i offentlighetslagen och den kategori av särskilda personuppgifter som avses i artikel 9 i dataskyddsförordningen). De behöriga myndigheterna får behandla följande personuppgifter vid utbyte av bevis: inloggningsuppgifter, användaridentifikationer, bevis som gäller användaren. Bevis som rör barn och omyndiga personer eller andra fysiska personer får endast överföras om användaren enligt nationell lagstiftning har rätt att begära sådant material. I sista hand bestämmer varje behörig myndighet själv vilka bevis som kan utbytas inom OOTS-systemet. Bevis överförs via OOTS-systemet endast på begäran av användaren och med användarens godkännande via ett separat utrymme för förhandsgranskning. Under informationsutbytet har andra parter än de myndigheter som är juridiskt verksamma inom OOTS och som ansvarar för förfarandet i fråga inte tillgång till användarens personuppgifter. De eDelivery Access Points som krävs för dataöverföringen behandlar personuppgifter endast för att möjliggöra utbyte av bevis. 

Enligt 29 § i offentlighetslagen kan en myndighet lämna uppgifter ur sekretessbelagda handlingar till en annan myndighet bland annat när i lag särskilt tagits in uttryckliga bestämmelser om rätten att lämna ut eller att få uppgifter. I 30 § i offentlighetslagen föreskrivs det om lämnande av sekretessbelagda uppgifter till utländska myndigheter och internationella organ. Enligt den paragrafen kan en myndighet utöver vad som särskilt bestäms i lagen lämna ut uppgifter ur en sekretessbelagd handling till en utländsk myndighet eller ett internationellt organ, om samarbetet mellan den utländska och den finska myndigheten regleras i en för Finland bindande internationell överenskommelse eller föreskrivs i en rättsakt som är bindande för Finland och om uppgifter ur handlingen enligt denna lag kan lämnas ut till den finska myndighet som bedriver samarbetet. Det har också betydelse att utbytet av bevis alltid kräver en uttrycklig förfrågan från användaren, det vill säga från offentlighetslagens synpunkt den som skyddas, vilket med stöd av offentlighetslagen normalt upphäver behovet av sekretess. Offentlighetslagen utgör således inget hinder för att bevis innehåller uppgifter som i princip är sekretessbelagda enligt offentlighetslagen. 

Om beviset innehåller uppgifter som hör till känsliga kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen, vilket ovan anges vara möjligt i anslutning till vissa förmåner eller om beviset innehållet annat motsvarande i framtiden, är det möjligt att lämna ut beviset med stöd av 6 § 1 mom. 2 punkten i dataskyddslagen (5.12.2018/1050). Enligt den paragrafen tillämpas inte behandlingsförbudet enligt artikel 9.1 i dataskyddsförordningen gällande särskilda kategorier av personuppgifter på behandling av uppgifter som regleras i lag eller som direkt beror på en uppgift som enligt lag hör till den personuppgiftsansvarige. I SDG-förordningen föreskrivs det inte om några undantag när det gäller sekretessbelagda eller andra känsliga personuppgifter, utan de förfaranden som fastställs i förordningen ska vara möjliga på elektronisk väg, inklusive eventuellt utbyte av relevanta bevis, oavsett vilken typ av information det rör sig om. 

Det är möjligt att också uppgifter om tredje personer visas utan att de medverkar till överföringen av uppgifterna eller nödvändigtvis ens är medvetna om den. På grund av skillnaderna mellan lagstiftningen i olika länder är det möjligt att olika slags uppgifter registreras i samma typ av handling i olika länder. Den information som behövs till exempel i ett utdrag ur befolkningsregistret i ett land, behövs inte nödvändigtvis i ett annat land, och därmed kan ett utländskt bevis som en sökande lämnar in innehålla så kallade onödiga personuppgifter i det nationella förfarandet. SDG-förordningen och genomförandeförordningen om utbyte av bevis innehåller dock bestämmelser om att de uppgifter som behövs ska ges till användaren, om OOTS-systemets funktion och om möjligheten till förhandsgranskning. SDG-förordningen innehåller också en bestämmelse om att myndigheten får använda beviset endast för det förfarande som det utbytts för (artikel 14.8). 

SDG-förordningen och genomförandeförordningen om utbyte av bevis reglerar de behöriga myndigheternas bevisbegärande och bevislämnande roller samt tjänsteanvändarnas rättigheter. I genomförandeförordningen regleras också det tekniska systemets egenskaper och ansvarsförhållandena i samband med systemet, samt behörighetsfördelningen i gränsöverskridande situationer. Vid behandlingen av personuppgifter ska utöver bestämmelserna i SDG-förordningen även dataskyddsförordningen och den kompletterande nationella dataskyddslagen följas. Frågan gäller närmast huruvida den ovannämnda regleringen utgör en tillräcklig ram för skyddet av personuppgifter, med hänsyn till såväl grundlagens som dataskyddslagstiftningens krav, och särskilt med beaktande av det nationella genomförandesättet, där UF-centret spelar en viktig roll när det gäller utbyte av bevis inom OOTS-systemet. 

Allmänna förutsättningar för behandling av personuppgifter 

EU:s allmänna dataskyddsförordning förutsätter att personuppgifter behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Behandlingen av personuppgifter, vilket inbegriper bland annat insamling, lagring och utlämnande, är laglig endast när den utförs på någon av de grunder som anges i artikel 6.1 a–f i förordningen. Den grund för behandlingen som avses i dataskyddsförordningens artikel 6.1 c (rättslig förpliktelse) och 6.1 e (allmänt intresse) ska fastställas i enlighet med antingen unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3). I fråga om leden c och e har medlemsstaterna getts nationellt handlingsutrymme att anta mer detaljerade bestämmelser som preciserar förordningen. Sådana bestämmelser ska vara proportionella och förenliga med ett mål av allmänt intresse.  

Personuppgifter ska behandlas enligt de allmänna principer som anges i artikel 5.1 a–f i dataskyddsförordningen (bland annat ändamålsbegränsning, uppgiftsminimering och korrekthet). Bland annat av principen om ändamålsbegränsning följer att personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål och i regel inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Det är möjligt att avvika från principen om ändamålsbegränsning antingen med den registrerades samtycke eller på de villkor som anges i artikel 23 i dataskyddsförordningen. Med tanke på regleringen är det viktigt att identifiera vem som är personuppgiftsansvarig för uppgifterna, det vill säga med stöd av artikel 4.7 i dataskyddsförordningen i detta fall en myndighet, en institution eller ett annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i unionsrätten eller i medlemsstaternas nationella rätt. Med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter är den personuppgiftsansvarige skyldig att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24.1 i dataskyddsförordningen). 

Om minst två personuppgiftsansvariga gemensamt fastställer de ovannämnda ändamålen med och medlen för behandlingen är de enligt dataskyddsförordningen gemensamt personuppgiftsansvariga, som det föreskrivs närmare om i artikel 26 i den förordningen.  

Dataskyddsreglering enligt SDG-förordningen och genomförandeförordningen om utbyte av bevis 

Enligt artikel 33 i SDG-förordningen ska behandlingen av personuppgifter av behöriga myndigheter inom ramen för förordningen överensstämma med dataskyddsförordningen. I ingressen till förordningen (skäl 42) förklaras att i syfte att möjliggöra lagligt gränsöverskridande utbyte av bevis och information genom unionsomfattande tillämpning av engångsprincipen, bör förordningen och engångsprincipen tillämpas i enlighet med alla tillämpliga regler för dataskydd, inbegripet principerna om uppgiftsminimering, korrekthet, lagringsminimering, integritet och konfidentialitet, nödvändighet, proportionalitet och ändamålsbegränsning. Genomförandet bör också ske i full överensstämmelse med principerna om inbyggd säkerhet (security by design) och inbyggt integritetsskydd (privacy by design), samt med respekt för enskilda personers grundläggande rättigheter, inbegripet de som avser rättvisa och öppenhet.  

Det säkra tekniska system som bör inrättas för att möjliggöra utbyte av bevis enligt denna förordning bör också ge behöriga myndigheter som begärt bevis visshet om att det har tillhandahållits av rätt utfärdande myndighet. Den behöriga myndigheten bör, innan den godkänner information som en användare tillhandahåller i samband med ett förfarande, kunna kontrollera informationen om det uppstår tvivel och kunna fastställa att den är korrekt. 

I artikel 33 i genomförandeförordningen om utbyte av bevis föreskrivs det om behandling av personuppgifter att när det gäller behandling av personuppgifter i bevis som utbyts genom det tekniska engångssystemet och som förekommer i de komponenter i det tekniska engångssystemet som de äger i enlighet med artikel 25 i genomförandeförordningen ska medlemsstaternas respektive behöriga myndigheter i deras egenskap av bevisbegärande eller bevislämnande part agera som personuppgiftsansvarig enligt definitionen i artikel 4.7 i dataskyddsförordningen och de närmare bestämmelserna i artiklarna 34 och 35 i genomförandeförordningen.  

I artikel 34 i genomförandeförordningen föreskrivs det om de bevisbegärande parternas ansvarsområden som uppgiftsansvarig att den berörda bevisbegärande parten eller, i förekommande fall, förmedlingsplattformen för varje bevisutbyte genom det tekniska engångssystemet ska vara ensam ansvarig för bevisbegärans fullständighet och lagenlighet, och vidare att den bevisbegärande parten särskilt ska säkerställa att beviset krävs för det särskilda förfarande för vilket det begärs av en användare (punkt 1). När det bevis som utbyts genom det tekniska engångssystemet blir tillgängligt för den bevisbegärande parten eller, i tillämpliga fall, förmedlingsplattformen, antingen efter att användaren valt att gå vidare med bevisutbytet i enlighet med artikel 14.3 f i SDG-förordningen, eller vid de förfaranden som avses i artikel 14.5 i SDG-förordningen, ska den bevisbegärande parten eller, i tillämpliga fall, förmedlingsplattformen säkerställa samma skyddsnivå för personuppgifter enligt dataskyddsförordningen som i en situation då användaren överlämnar eller laddar upp beviset utan att använda det tekniska engångssystemet (punkt 2).  

I artikel 35.1 om de bevislämnande parternas ansvarsområden som uppgiftsansvarig föreskrivs det att utan att det påverkar deras skyldigheter enligt dataskyddsförordningen ska den berörda bevislämnande parten eller, i tillämpliga fall, förmedlingsplattformen, för varje bevisutbyte genom det tekniska engångssystemet, vara ensam ansvarig för att kontrollera  

a) att det begärda bevis som de har kan matchas med användaren i enlighet med artikel 16, 

b) att användaren har rätt att använda det bevis som begärts. 

Om en förmedlingsplattform tillhandahåller ett utrymme för förhandsgranskning i enlighet med artikel 15.1 b ii i genomförandeförordningen ska förmedlingsplattformen enligt artikel 35.2 betraktas som personuppgiftsbiträde som handlar för den bevislämnande partens räkning i enlighet med artikel 4.8 i dataskyddsförordningen. Enligt den uppfattning som UF-centret fick i samband med förhandlingarna om SDG-förordningen grundar sig punkten på uppfattningen att de behöriga myndigheterna skulle ha egna förhandsgranskningssystem och inte använda den så kallade centraliserade lösningen, vilket är den modell som valts av Finland och flera andra medlemsstater. 

Bestämmelser om användarens rätt att förhandsgranska bevis som ska utbytas, och andra aktörers motsvarande skyldighet att ordna detta, finns bland annat i artikel 1.14, artikel 9.1 b, artikel 14.1 och artikel 15.1 b ii i genomförandeförordningen. 

Dataskyddsrättslig grund för utbyte av uppgifter 

Delning eller överföring av uppgifter i en servicekedja är behandling av personuppgifter, som omfattas av tillämpningsområdet för dataskyddsförordningen, och kräver en rättslig grund som anges i artikel 6.1 i dataskyddsförordningen. I SDG-förordningen och genomförandeförordningen om utbyte av bevis avgörs inte frågan om den dataskyddsrättsliga grunden för behandling av personuppgifter, men ett beslut om frågan har fattats i undergruppen till den kommissionsledda samordningsgruppen, där alla medlemsstater är företrädda. Enligt undergruppen är grunden för behandlingen ”den rättsliga förpliktelse som åvilar den personuppgiftsansvarige” enligt artikel 6.1 c i dataskyddsförordningen. Undergruppens beslut är inte rättsligt bindande på samma sätt som lagstiftning, men eftersom den rättsliga grunden också kan härledas genom tolkning kan undergruppens beslut betraktas som en klarläggning av rättsläget och som tillräckligt. Utbytet av bevis är gränsöverskridande, och då är det viktigt att medlemsstaterna tillämpar samma rättsliga grund. Också av den anledningen kan det anses motiverat att avstå från nationell lagstiftning.  

Enligt artikel 14.7 ska de behöriga myndigheter som ansvarar för onlineförfaranden på uttrycklig, frivillig, specifik, informerad och otvetydig förfrågan från användaren i fråga genom det tekniska systemet begära bevis direkt från behöriga myndigheter som utfärdar bevis i andra medlemsstater. De behöriga myndigheter som utfärdar bevis ska göra sådana bevis tillgängliga genom samma system. I artikel 14.3 anges vissa kriterier för det tekniska systemets egenskaper, och kommissionen har antagit en genomförandeförordning om utbyte av bevis för att fastställa de tekniska och operativa specifikationerna för det tekniska systemet. De behöriga myndigheternas rättsliga förpliktelse att utbyta bevis härleds i första hand från artikel 14, och kompletteras och preciseras på andra ställen i SDG-förordningen och i genomförandeförordningen om utbyte av bevis. I de ovannämnda bestämmelserna föreskrivs det också om systemanvändarens rättigheter vid utbyte av bevis. Även dataskyddsförordningen innehåller bestämmelser om användarens rättigheter. 

Eftersom överföringen av uppgifter kräver en aktiv åtgärd av den sökande, med förordningens terminologi en begäran, kan det tolkas som ett författningsrättsligt samtycke till att lämna ut eller ta emot uppgifter, trots att den dataskyddsrättsliga grunden för behandlingen av uppgifter som överförs är en rättslig förpliktelse. I de utredningar som utarbetats i samband med beredningen av ärendet har samtycke dock inte ansetts vara en ändamålsenlig rättslig grund och behandlingsgrund ur ett dataskyddsperspektiv, eftersom i) ett samtycke som getts till en myndighet i princip enligt ingressen till dataskyddsförordningen inte kan anses vara giltigt, ii) det också kan ingå personuppgifter om andra än den sökande i det bevis som ska överföras, och iii) den mottagande myndigheten inte behandlar det mottagna beviset på grundval av samtycke, och dataskyddsmyndigheterna vanligen har förhållit sig avvaktande till att grunden för behandlingen ändras.  

Rättsläget med avseende på dataskyddet i förhållande till myndigheterna och tjänstens användare  

Det behöver också vara dataskyddsrättsligt klart vem som är personuppgiftsansvarig för uppgifter som lämnas ut, det vill säga utlämnare, och vem som är mottagare. Definitionen av personuppgiftsansvarig följer artikel 4.7 i dataskyddsförordningen, och begreppet är framför allt operativt. Dataskyddsförordningen gör det möjligt att föreskriva separat om den personuppgiftsansvarige i nationell speciallagstiftning, men det är inte nödvändigt. Omständigheter som talar för att nationella bestämmelser behövs är bland annat att det annars kan bli oklart vem som är personuppgiftsansvarig och/eller att den personuppgiftsansvarige är en myndighet. Om personuppgiftsansvaret baserar sig på rättslig reglering anses den personuppgiftsansvarige vanligen vara den som i lag utsetts för detta ändamål, det vill säga till en offentlig uppgift. Den rättsliga förpliktelsen gäller i det fallet i princip de behöriga myndigheter som avses i SDG-förordningen, som dock inte utses särskilt i förordningen utan bestäms enligt de områden och funktioner som förtecknas i bilagorna I–III. I SDG-förordningen har man medvetet valt ett dynamiskt perspektiv på behöriga myndigheter eftersom avsikten varit att kategorin behöriga myndigheter ska utvidgas i samma mån som tillämpningsområdet utvidgas. 

Den personuppgiftsansvarige som är ansvarig enligt lag kan identifieras direkt med stöd av dataskyddsförordningen, och i synnerhet när det gäller de behöriga myndigheterna utgör SDG-förordningen och genomförandeförordningen om utbyte av bevis grunden för personuppgiftsansvaret. UF-centrets roll skulle dock vara tvetydigare utan kompletterande nationella bestämmelser, och skulle också kunna tolkas som gemensamt personuppgiftsansvar mellan UF-centret och de behöriga myndigheterna, vilket i sin tur skulle förutsätta en noggrann överenskommelse om ansvarsfördelningen. De ovannämnda omständigheterna talar för att UF-centrets roll i fråga om dataskyddet förtydligas genom lagstiftning.  

Gränsöverskridande elektronisk identifiering 

För att finska medborgare och företag ska kunna använda OOTS-systemet fullt ut behöver ett eIDAS-anmält identifieringsverktyg vara i bruk i Finland. En finsk medborgare ska kunna identifiera sig med eIDAS-identifieringsverktyget i en onlinetjänst i en annan medlemsstat. Dessutom krävs det förbättringar i identifieringen av en persons identitet för att medborgare i andra EU-eller EES-medlemsstater ska kunna identifiera sig med ett eIDAS-identifieringsverktyg i onlinetjänster i Finland. Finland har ännu inte infört ett anmält identifieringsverktyg enligt förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG (nedan eIDAS-förordningen ). Arbetet med att utveckla den digitala identiteten fortsätter i Finland som en del av det nationella genomförandet av förordning (EU) 2024/1183 om inrättande av en europeisk ram för digital identitet, och det anmälda identifieringsverktyget ska vara infört våren 2025.  

4.2.1  Allmänt

I kommissionens konsekvensbedömning bedöms den gemensamma digitala ingången förbättra tillgången till och kvaliteten på information om privatpersoners och företags rättigheter och skyldigheter på den inre marknaden, relaterade administrativa förfaranden samt hjälp- och problemlösningstjänster och göra den enklare att hitta. Förordningen innebär dock att kommissionen, medlemsstaterna, de behöriga myndigheterna och de nationella samordnarna får nya uppgifter, och den har krävt ett omfattande utvecklingsarbete och samarbete mellan olika parter särskilt inom digitalisering.  

Den ändring som nu föreslås gäller UF-centret, men förtydligar samtidigt de nationella myndigheternas roller och ansvarsfördelning när SDG-förordningen genomförs och den digitala ingången införs. Därmed kan ändringen anses förbättra rättsskyddet för såväl myndigheterna som de privatpersoner och företag som anlitar tjänsterna. Den föreslagna ändringen innebär de facto inte i alla avseenden en förändring av det nuvarande tillståndet, eftersom UF-centret redan har haft rollen som nationell samordnare och personuppgiftsansvaret kan lösas även genom tolkning och/eller ömsesidig överenskommelse. Dessutom finns bestämmelser om förmedlingsplattformen i genomförandeförordningen om utbyte av bevis. De föreslagna lagstiftningsändringarna skapar emellertid en starkare rättslig grund för UF-centrets uppgifter och ansvar vid genomförandet av SDG-förordningen. 

4.2.2  Företag och medborgare

Förordningen bidrar till att främja gränsöverskridande affärsverksamhet eftersom den gör det lättare för företag att hitta information och hantera ärenden över gränserna. Möjligheten att använda den gemensamma digitala ingången minskar kostnaderna för privatpersoner och företag som vill vara verksamma i en annan EU-medlemsstat. Enligt kommissionens bedömning från 2017 kan företagen spara rentav över 11 miljarder euro per år. Den gemensamma ingången anses gynna särskilt små och medelstora företag. 

Den årliga tidsåtgången för EU-medborgare som försöker hitta information om sina rättigheter och skyldigheter i fråga om boende, studier eller pensionering i en annan medlemsstat uppskattades vara 1,5 miljoner timmar. Den digitala ingången uppskattades minska tidsåtgången med 60 procent, till knappt 615 000 timmar (kommissionens konsekvensbedömning 2017, del 3/3, s. 267–268). 

Enligt kommissionens rapport om genomförandet ((COM(2023) 534 final) besöktes webbplatsen ”Your Europe” 2022 omkring 43 miljoner gånger, vilket gör den till kommissionens tredje mest besökta webbplats. För privatpersoner var de populäraste ämnena på webbplatsen ”Resor” och ”Arbete och pension”. ”Driva företag” och ”Skatter” var de mest eftersökta ämnena för företag. De nationella sidor som är länkade till webbplatsen ”Your Europe” fick 63 miljoner besök 2022. Enligt statistiken tillbringade användarna mer än 120 000 timmar bara på webbsidorna för företag på ”Your Europe”. Även vid en försiktig uppskattning har webbplatsen enligt kommissionen sparat särskilt små och medelstora företag mycket tid och cirka 2,5 miljoner euro per år i kostnader för juridisk rådgivning. En genomsnittlig sida på ”Your Europe” kan enkelt läsas på mindre än fyra minuter eftersom webbplatsen har planerats så att den ska vara ytterst användarvänlig. På webbplatsen finns också sammanfattningar av komplicerade rättsliga texter som enligt kommissionens bedömning kan ta över 2,5 timme att läsa helt. Sökfunktionen på webbplatsen ”Your Europe” fick 1 784 566 besök 2022. Av de medborgare som tillfrågades ansåg 92,5 procent att portalen åtminstone är tillfredsställande eller bättre än så och detsamma gällde 90,3 procent av företagen. Av företagen uppgav 77 procent att de hade hittat den information de sökte på webbplatsen och det gjorde också 76 procent av företagen. 

Den föreslagna nationella ändringen har inga särskilda ekonomiska eller andra konsekvenser för företag eller privatpersoner, men bidrar till ett tydligare rättsläge i fråga om dataskydd och personuppgifter. 

4.2.3  Myndigheter

Digitaliseringen av de tjänster som förordningen omfattar medför enligt kommissionens konsekvensbedömning från 2017 sammanlagda investeringskostnader på 167 miljoner euro och årliga löpande kostnader på 8 miljoner euro för medlemsstaterna och kommissionen. Den årliga nyttan av onlinetjänsterna (112 miljoner euro) kompenserar dock en stor del av investeringskostnaderna. 

Med stöd av artikel 32.2 i SDG-förordningen tas kostnaderna i samband med nationella webbportaler, informationsplattformar, hjälptjänster och förfaranden som inrättats på medlemsstatsnivå från respektive medlemsstats budget, såvida inget annat föreskrivs i unionslagstiftningen. Europeiska unionens allmänna budget ska täcka kostnaderna för åtgärder på unionsnivå (artikel 32.1 a–c).  

På EU-nivå har man insett att det krävs ett omfattande arbete för att utveckla de administrativa förfarandena till den nivå som förordningen kräver. Målet är att hitta gemensamma lösningar och riktlinjer som inte orsakar en orimlig administrativ börda eller orimligt stora kostnader för medlemsstaterna. 

Enligt skäl 30 i ingressen till SDG-förordningen ska förordningen inte påverka de bestämmelser om samordning av de sociala trygghetssystemen som fastställs i Europaparlamentets och rådets förordningar (EG) nr 883/2004 och (EG) nr 987/2009, i vilka de försäkrades och socialförsäkringsinstitutionernas rättigheter och skyldigheter fastställs samt de förfarandena för samordning av de sociala trygghetssystemen som ska tillämpas på området. Det finns gällande gränsöverskridande lagstiftning om utlämnande av handlingar som inte bedöms påverkas av SDG-förordningen. Till exempel inom social- och hälsovårdsministeriets verksamhetsområde finns bland annat ett system som använts för förmedling av elektroniska patientuppgifter och recept samt ett system som använts för förmedling av försäkringsuppgifter. FPA fungerar som nationell kontaktpunkt för båda systemen. 

I artikel 1.3 i SDG-förordningen anges vidare att förordningen inte påverkar något innehåll i förfaranden enligt unionsrätt eller nationell rätt eller rättigheter som beviljats genom sådana förfaranden på områden som omfattas av förordningens tillämpningsområde. SDG-förordningen innehåller dock en skyldighet till gränsöverskridande utbyte av bevis inom förordningens tillämpningsområde. 

Förordningen medför nya skyldigheter för flera nationella myndigheter som med stöd av bilagorna I–III är sådana behöriga myndigheter som avses i förordningen. Myndigheterna ska ha sökt den finansiering som behövs för att genomföra förordningen i omkostnaderna i sina egna budgetar. De behöriga myndigheternas kostnader för att genomföra förordningen kan ha varierat och kan fortfarande variera mycket, bland annat beroende på hurdana skyldigheter förordningen medför för myndigheten och hurdan tjänsternas utgångsnivå är. 

Till de nya myndighetsuppgifterna hör registerföringsuppgifter. Registerföringen medför kostnader i någon mån, men har inte bedömts förutsätta några betydande systemändringar. 

De behöriga myndigheterna i Finland bedöms hittills ha haft små kostnader för att genomföra förordningen. Den information som behövs har i stor utsträckning redan varit tillgänglig på myndigheternas webbplatser, och detsamma gäller hjälp- och problemlösningstjänsterna. Sakinnehållet, språket och kvaliteten har i vissa fall krävt mindre uppdateringar. Dessutom har myndigheterna varit tvungna att börja använda analystjänster och kvalitetsverktyg för innehållet och användningen, som UF-centret har tillhandahållit som en centraliserad service för myndigheterna.  

De förfaranden som anges i bilaga II till SDG-förordningen ska vara tillgängliga via den digitala ingången för alla EU-användare. Om andra förfaranden som omfattas av förordningens tillämpningsområde erbjuds nationellt online ska de också kopplas till den digitala ingången. De skyldigheter som föreskrivs i förordningen när det gäller onlinetjänster är alltså betydande och ska beaktas i stora delar av statsförvaltningen. De flesta onlinetjänster ska också kunna användas av andra än finländska kunder. Genomförandet av den digitala ingången kräver att flera myndigheter utvecklar sina onlinetjänster så att de också kan användas gränsöverskridande. I Finland ska det dessutom finnas en identifieringslösning tillgänglig som möjliggör stark autentisering av kundens elektroniska identitet. 

Den föreslagna ändringen har inga konsekvenser för de behöriga nationella myndigheterna utöver att man i samband med att UF-centrets roll i dataskyddet förtydligas också har strävat efter att förtydliga de behöriga myndigheternas ansvar för att lämna ut information, som dock i första hand följer av EU-lagstiftningen. UF-centrets kostnader beror delvis på uppgiften som nationell samordnare, men i huvudsak på det valda sättet att genomföra förordningen nationellt så att UF-centret inrättar och äger det tekniska systemet. 

UF-centrets uppgift som den nationella samordnare som avses i förordningen har redan orsakat och kommer fortsättningsvis att förutsätta en betydande arbetsinsats när förordningen genomförs. I artikel 28 föreskrivs att de nationella samordnarna utöver sina skyldigheter enligt artiklarna 7, 17, 19, 20, 23 och 25 ska göra följande:  

a) Inom sina respektive förvaltningar fungera som kontaktpunkt för alla frågor som rör ingången. 

b) Främja enhetlig tillämpning av artiklarna 9–16 av deras respektive behöriga myndigheter.  

c) Säkerställa att de rekommendationer som avses i artikel 17.2 c genomförs korrekt. 

De skyldigheter som anges i de artiklar som nämns före de särskilt förtecknade uppgifterna (a–c) gäller tillgång till hjälp- och problemlösningstjänster, kvalitetsuppföljning, främjande av ingången hos de nationella behöriga myndigheterna samt att förse kommissionen med uppgifter för länkregistret och den gemensamma hjälptjänstsökaren. För varje medlemsstat ska en enda nationell samordnare ansvara för kontakter med kommissionen i alla frågor som rör ingången (artikel 28.2). 

UF-centret har redan gjort ett stort arbete för att främja genomförandet i praktiken, och har tagit huvudansvaret för att bygga det tekniska systemet och samordna ett brett nationellt myndighetsnätverk. Efter de huvudsakliga genomförandeåtgärderna kvarstår UF-centrets ovannämnda fortlöpande uppgifter som samordnare enligt förordningen, uppgifter i anslutning till administreringen och utvecklingen av det tekniska systemet samt personuppgiftsansvaret för systemet. Dessutom ska centret i egenskap av nationell samordnare delta i arbetet i samordningsgruppen för ingången. Samordningsgruppen har till uppgift att stödja genomförandet av förordningen på olika särskilt föreskrivna sätt (artikel 30 a–r), det vill säga bland annat utbyta bästa praxis, bistå kommissionen i genomförandet av det årliga arbetsprogrammet, följa upp efterlevnaden av kvalitetskraven på tjänsterna samt samarbeta med dem som tillhandahåller tjänster via den digitala ingången. UF-centret verkar också som nationell gemensam kontaktpunkt för tekniskt stöd enligt artikel 21 i genomförandeförordningen om utbyte av bevis och ansvarar centraliserat för insamlingen av användarstatistik enligt artikel 24 i SDG-förordningen och av användaråterkoppling enligt artikel 25 gällande tjänsterna i den digitala ingången i Finland. De sistnämnda uppgifterna grundar sig på det nationella genomförandesätt som valts och på ansvarsfördelningen. 

UF-centrets uppgift som förmedlare av bevis och dess roll som personuppgiftsansvarig i det nationella tekniska systemet beskrivs i avsnitt 3.2.3 i propositionen. Centrets dataskyddsrättsliga uppgifter och ansvar i förhållande till de personuppgifter som överförs härrör i detta avseende från dataskyddsförordningen (bl.a. artikel 24 "Den personuppgiftsansvariges ansvar" och kapitel III "Den registrerades rättigheter").  

Sedan 2022 har UF-centret i sina omkostnader haft bestående finansiering för att sköta den nationella samordnarens uppgifter. Arbetet med att konstruera komponenterna i det tekniska systemet har finansierats med särskild finansiering, såsom Nordiska ministerrådets program Cross-Border Digital Services och UF-centrets omkostnader. För 2024 har totalt 252 000 euro beviljats för utvecklingen av det tekniska systemet av anslaget för utveckling av digitaliseringen inom arbets- och näringsministeriets förvaltningsområde. Dessutom har finansministeriet genom sitt beslut den 16 april 2024 beviljat UF-centret produktivitetspenning så att användnings- och registreringsrätt för 1 548 000 euro har anvisats för projektet för genomförande av OOTS-systemet under moment 28.70.20 i 2023 års budget. Det totala finansieringsbehovet för 2024–2025 har i ansökan angetts till beloppet 2 519 000 euro (2024: 1 548 000 euro och 2025: 971 500 euro). Detta beslut täcker finansieringsbehovet för 2024. Anslaget för 2025 har beviljats villkorligt under förutsättning att riksdagen beviljar anslaget i budgeten och att det inte sker andra ändringar i genomförandet av projektet som påverkar beviljandet av anslaget. För att systemet ska kunna färdigställas helt behövs hela anslaget på 2 771 500 euro (utvecklings-/produktivitetspengar från ANM och FM). Underhållet av OOTS-systemet kostar ytterligare 635 200 euro per år från och med år 2025. Finansiering för underhåll har inte anvisats till UF-centret i budgetpropositionen för 2025. 

Kostnaderna för att genomföra SDG-förordningen har inkluderat personalkostnader vid UF-centret och andra tekniska kostnader för inrättandet av den nationella portalen för den digitala ingången. De behöriga myndigheternas kostnader för att genomföra förordningen har inte ingått i budgeten, och inte heller till exempel den nationella utvecklingen av eIDAS-identifiering och annan elektronisk identifiering. De tekniska utgifter som ingått i budgeten har i huvudsak varit utgifter för införandet av tekniska lösningar och verktyg som kommissionen utvecklat. De nationella kostnaderna för att utveckla tekniska lösningar har närmast varit kopplade till utvecklingen av analysverktyg. 

Utgångspunkten för finansieringen av det tekniska systemet är att lösningen ska vara centraliserad, det vill säga att UF-centret ska utveckla ett system som alla myndigheter i Finland kan använda. Ett annat alternativ är att alla myndigheter självständigt utvecklar de tekniska lösningar som behövs för gränsöverskridande informationsutbyte som en del av sina egna onlinetjänster och register. Den centraliserade tekniska lösningen har utgått från kostnadseffektivitet, användarorientering, användbarhet och informationssäkerhet. Kostnadseffektivitet har eftersträvats genom att investeringar som redan gjorts ska kunna utnyttjas fullt ut och överlappande investeringar kunna undvikas i den mån det är möjligt. En utgångspunkt i planeringen har också varit att Suomi.fi-tjänsterna ska utnyttjas fullt ut och andra produktifierade infrastrukturtjänster för informationsutbyte utnyttjas. 

För att kravet på kostnadseffektivitet ska uppfyllas måste ändringarna i myndigheternas onlinetjänster vara så små som möjligt. SDG-förordningens konsekvenser berör tiotals onlinetjänster, och om tekniska lösningar skulle utvecklas för alla tjänster skulle det krävas en betydligt större investering än när lösningen är centraliserad. Den totala kostnadskalkylen för en centraliserad lösning är cirka 9 miljoner euro, medan kostnadskalkylen för en decentraliserad lösning i sin helhet är totalt 115 miljoner euro. 

I praktiken kommer SDG-förordningen och den ingång med utbyte av bevis som baserar sig på förordningen att sysselsätta också dataombudsmannens byrå, som har till uppgift att övervaka att dataskyddslagstiftningen följs i Finland. Den nationella komplettering som nu föreslås har dock inga ekonomiska eller andra konsekvenser för dataombudsmannens byrå. Närmast kan man bedöma att preciseringen om UF-centrets personuppgiftsansvar bidrar till att klargöra rättsläget i fråga om dataskyddet vid utbyte av bevis. 

4.2.4  Informationssamhälle och dataskydd

Vid lagberedningen ska konsekvenserna av förändringar i informationshanteringen bedömas i enlighet med informationshanteringslagen då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Enligt 3 kap. 8 § 2 mom. i informationshanteringslagen ska det ministerium som ansvarar för verksamhetsområdet göra en bedömning enligt 5 § 3 mom. då bestämmelser som är under beredning återverkar på informationsmaterial och informationssystem. Dessutom ska ministeriet bedöma planerade bestämmelsers konsekvenser för handlingsoffentligheten och handlingssekretessen. 

De största förändringarna i informationshanteringen (informationsmaterial och informationssystem) härrör från SDG-förordningen, genomförandeförordningen för utbyte av bevis och det nationella tekniska genomförandesättet. Med hänsyn till att UF-centret ansvarar för att inrätta och driva det tekniska systemet för utbyte av bevis kan man göra tolkningen att centret också är personuppgiftsansvarigt för systemet, men för tydlighetens skulle föreslås en precisering av lagstiftningen. UF-centret har också redan i praktiken fungerat som nationell samordnare. Som det konstateras i avsnitt 1.2.2 har UF-centret också för sin del utfört en bedömning enligt 5 § 3 mom. och 8 § 1 mom. i informationshanteringslagen och ett utlåtandeförfarande enligt 9 § i den lagen. Utlåtandeförfarandet enligt informationshanteringslagen ordnades våren 2023 (begäran om utlåtande skickades till finansministeriet den 21 mars och besvarades den 25 april 2023). 

I samband med propositionen har man i huvuddrag försökt kartlägga den bedömning av ändringarna i informationshanteringen enligt 5 § 3 mom. och 8 § 2 mom. i informationshanteringslagen som gjorts i lagberedningen. Konsekvenserna beskrivs särskilt i avsnitten 3.2.1, 3.2.3 och 4.2.3 om bland annat utbyte av bevis i OOTS-systemet, den nationella tekniska lösningen och UF-centrets registerföring. 

De behöriga myndigheterna är för sin del skyldiga att agera om förordningen medför sådana ändringar för dem som kräver en konsekvensbedömning enligt 5 § 3 mom. eller 8 § 1 mom. i informationshanteringslagen eller ett utlåtandeförfarande enligt 9 § i den lagen. 

Det är inte fråga om en sådan ändring som förutsätter att det i lagberedningen görs en sådan konsekvensbedömning avseende dataskydd som det föreskrivs om i artikel 35 i den allmänna dataskyddsförordningen. EU:s datatillsynsman lämnade ett yttrande i samband med beredningen av genomförandeförordningen om utbyte av bevis, och tog ställning närmast till kommissionens och medlemsstaternas roller i OOTS-systemet och utbytet av bevis (ARES(2021)3127907 – 10/05/2021). EU:s datatillsynsman ansåg att regleringen i huvudsak var lämplig, men tog upp vissa omständigheter som behövde preciseras, såsom kommissionens begränsade roll i förvaltningen av OOTS-systemet. EU:s datatillsynsman berömde bland annat bestämmelserna om ett utrymme för förhandsgranskning. Kommissionen utarbetade i sin tur som en del av dokumentet ”Staff working document” en bedömning av genomförandeförordningens konsekvenser för dataskyddet. 

UF-centret och de behöriga myndigheterna är för sin del skyldiga att vid behov utföra en konsekvensbedömning om dataskyddet. UF-centret har gjort en utredning om en konsekvensbedömning avseende dataskydd enligt artikel 35 i EU:s dataskyddsförordning. I samband med beredningen av det nationella genomförandet bedömde man att det finns risker förknippade med OOTS-systemet och utbytet av bevis, redan av den anledningen att bevis från flera olika sektorer kommer att utbytas i systemet, bevisen innehåller personuppgifter och volymerna kommer att vara stora. SDG-förordningens bestämmelser och kraven i den genomförandeförordning om utbyte av bevis som antas med stöd av förordningen syftar dock till att skapa ett system som i sig tar hänsyn till den tekniska säkerheten och lagligheten i behandlingen av personuppgifter med den exakthet som förutsätts av lagstiftning.  

5.1.1  Allmänt

Huvudalternativet är att betrakta SDG-förordningen som genomförd enbart med det rättsläge som utgörs av förordningen, genomförandeakterna och den gällande lagstiftningen. Myndigheternas inbördes ansvarsfördelning och roller skulle i det fallet kunna förtydligas genom samarbete och ömsesidiga överenskommelser. 

Det kan dock anses vara motiverat att genom lagstiftning tillsätta den nationella samordnare som avses i förordningen, med hänsyn till att varje medlemsstat enligt SDG-förordningen ska utse en nationell samordnare och att dessa inte särskilt anges i SDG-förordningen. Med stöd av 2 § 3 mom. i grundlagen ska myndigheternas uppgifter bygga på lag, och utgångspunkten har ansetts vara att den behöriga myndigheten i respektive ärende ska framgå av lag. Det är därmed motiverat att föreskriva om en myndighet som ska sköta uppgiften, även om UF-centret i praktiken redan har haft rollen som nationell samordnare. Den nationella samordnarens uppgifter enligt SDG-förordningen framgår däremot av artikel 28 i förordningen, och det förutsätts ingen nationell reglering om dem. För att undvika oklarheter i fråga om UF-centrets och de nationella behöriga myndigheternas juridiska ansvar för dataskyddet är det dessutom lämpligt att fastställa UF-centrets roll som personuppgiftsansvarig för det tekniska systemet, som bedöms motsvara den faktiska situationen. I Finland har OOTS-systemet genomförts så att UF-centret äger det tekniska systemet. Dessutom har det ansetts motiverat att i bestämmelsen nämna att UF-centret har rätt att ta emot och mellan de behöriga myndigheterna lämna vidare bevis inom systemet. 

Förutom att en nationell samordnare ska utses förutsätter SDG-förordningen ingen kompletterande nationell reglering, och bestämmelserna till den delen är nödvändiga av rent nationella orsaker. 

Enligt artikel 21 i genomförandeförordningen om utbyte av bevis ska medlemsstaterna utse en nationell gemensam kontaktpunkt för tekniskt stöd, och UF-centret kommer att vara den kontaktpunkten. På grund av uppgiftens art ser man ingen anledning att nämna detta på lagnivå. Med stöd av den bestämmelse som träder i kraft den 1 januari 2025 (3 § 2 mom. 8 punkten i lagen om NTM-centralerna, som enligt förslaget ska flyttas till en ny 9 punkt) ska UF-centret också sköta andra uppgifter som det åläggs av arbets- och näringsministeriet. 

5.1.2  Nationell samordnare

De uppgifter som anges för den nationella samordnaren i SDG-förordningen är nya myndighetsuppgifter som inte tidigare har föreskrivits för någon nationell myndighet. I förberedelsefasen bedömdes det att UF-centret är bäst lämpat att sköta uppgiften som nationell samordnare. Myndigheten för digitalisering och befolkningsdata togs i beaktande som ett annat alternativ, men bland annat SDG-bestämmelsernas starka fokus på den inre marknaden talade för UF-centret. I oktober 2018 bad kommissionen medlemsstaterna att utse nationella samordnare innan förordningens ikraftträdande den 11 december 2018, och då inrättades en samordningsgrupp enligt förordningen. I det brev som skickades till kommissionen anmäldes UF-centret därmed som nationell samordnare. UF-centret har redan skött uppgiften och har lång erfarenhet av att driva och utveckla befintliga tjänster för den inre marknaden (inklusive tjänsten Your Europe, den gemensamma kontaktpunkten enligt tjänstedirektivet samt EURES). Dessa onlinetjänster är en central del av den digitala ingången. UF-centret deltog också aktivt som sakkunnig i förhandlingarna om förslaget. I uppgiften är det av väsentlig vikt att ha en helhetsuppfattning av de nationella tjänsterna och deras förhållande och kopplingar till referensramen på EU-nivå. Många tekniska element är också centralt förknippade med genomförandet av SDG-förordningen.  

Med hänsyn till Finlands centraliserade förvaltningsstruktur bedöms det inte finnas något behov av att utse flera nationella samordnare, trots att det är möjligt enligt förordningen. Det kan antas att den möjligheten kommer att utnyttjas i medlemsstater där regioner eller delstater har en långtgående självstyrelserätt eller där det finns andra omständigheter som talar för att flera samordnare delar på uppgifterna. I Finlands förhållanden har man däremot bedömt att det är tydligare och kostnadseffektivare att en enda myndighet i princip sköter uppgiften. 

5.1.3  Behöriga myndigheter

I SDG-förordningen nämns inte uttryckligen vilka myndigheter som är behöriga enligt förordningen. De behöriga myndigheterna bestäms med stöd av förordningens artikel 3.4, enligt vilken en behörig myndighet är en myndighet eller ett organ i en medlemsstat som inrättats på nationell, regional eller lokal nivå och som har specifikt ansvar när det gäller den information, de förfaranden samt de hjälp- och problemlösningstjänster som omfattas av förordningen. I praktiken finns det flera behöriga myndigheter, och deras uppgifter kan beröra samma eller delvis samma tjänster.  

Med hänsyn till att SDG-förordningens tillämpningsområde redan har utvidgats genom nya EU-rättsakter, att bilagorna ytterligare kan ändras i framtiden och att uppgifterna nationellt kan komma att omfördelas mellan myndigheter till exempel om förvaltningsstrukturerna förändras är det ingen fungerande lösning att upprätthålla en statisk förteckning där de nationella myndigheterna uttryckligen räknas upp i en lag eller förordning. En sådan lagstiftningslösning finns till exempel på området för social trygghet (lagen om tillämpning av Europeiska unionens lagstiftning om samordning av de sociala trygghetssystemen (352/2010)), där dessa tjänster, avvikande från den situation som avses här, är inriktade på ett mer centraliserat förvaltningsområde och regleringen har en avgörande inverkan på människors rättigheter inom området för social trygghet. Syftet med SDG-förordningen är framför allt att underlätta gränsöverskridande kontakter mellan EU-medborgare och företag – den påverkar inte innehållet i förfarandena eller de rättigheter som beviljas genom förfaranden inom de områden som omfattas av förordningen (artikel 1.3 i SDG-förordningen). Förordningen skapar skyldigheter för medlemsstaterna och deras behöriga myndigheter att främja dessa kontakter och fungerar i förhållande till dem som en direkt bindande rättslig grund. 

Eftersom lagändringar alltid görs med fördröjning, och SDG-förordningen innehåller en definition av behöriga myndigheter enligt vilken dessa bestäms enligt de uppgifter och ämnen som nämns i bilagorna (så att ändringar och tillägg i bilagorna automatiskt påverkar vilka aktörer som är behöriga myndigheter som förpliktas av förordningen), innehåller propositionen inget förslag om att nämna behöriga myndigheter uttryckligen. De nationella samordnarna ser i praktiken till att de nationella behöriga myndigheterna och ändringar som gäller dem anmäls till kommissionen för att säkerställa att informationsutbytet fungerar i det tekniska system som inrättas. Därför måste det ändå på nationell nivå råda klarhet om vilka de behöriga myndigheterna är. UF-centret för också en offentlig förteckning över nationella behöriga myndigheter på sin webbplats sdgfinland.fi. 

5.1.4  Dataskydd

Med tanke på vilka lösningar vissa grannländer gått in för när det gäller kompletterande lagstiftning, och nationella utredningar om behovet av kompletterande dataskyddsbestämmelser, kan det inte betraktas som helt nödvändigt att införa kompletterande lagstiftning. Med tanke på ett tydligt rättsläge och parternas rättsskydd har man ändå ansett att särskilt UF-centrets roll som personuppgiftsansvarig behöver förtydligas. Alternativen är att till den del som informationen överförs inom det nationella tekniska systemet betrakta de behöriga myndigheternas och UF-centrets roller i fråga om det juridiska ansvaret för dataskyddet som ett uttryck för gemensamt personuppgiftsansvar i den mening som avses i artikel 26 i dataskyddsförordningen, eller att betrakta UF-centret som ett personuppgiftsbiträde som agerar för de behöriga myndigheternas räkning. Både i den rättsliga rapport som utarbetats i samband med beredningen och i diskussionerna mellan myndigheterna har UF-centrets roll och uppgifter bedömts vara likvärdiga med den personuppgiftsansvariges. Detta anses bäst återspegla den faktiska fördelningen av uppgifter, eftersom UF-centret har ett betydande utrymme för skönsmässig bedömning när det gäller vilka uppgifter som överförs i systemet och hur det går till. Lagändringar som förtydligar rättsläget har också betraktats som det bästa alternativet, dock endast i den utsträckning som det kan anses vara nödvändigt. SDG-förordningen och dess genomförandeförordningar, den gällande dataskyddslagstiftningen och tolkningarna av kommissionens undergrupper utgör det generella ramverket för dataskyddet. 

5.2.1  Sverige

I Sverige har en lag och en förordning utfärdats för att komplettera SDG-förordningen: Lag (2022:126) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång; Förordning (2022:127) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång. Lagen trädde i kraft i april 2022, med undantag för 4 § som trädde i kraft den 12 december 2023. I lagen nämns genom hänvisningar till SDG-förordningens artiklar och bilagor information, hjälp- och problemlösningstjänster samt förfaranden som behöriga myndigheter ska ge tillgång till genom den gemensamma digitala ingången. I lagen fanns också en bestämmelse om regeringens behörighet att utse de behöriga myndigheter och nationella samordnare som avses i förordningen. Sedan lagen trädde i kraft har dock en lagändring antagits som upphäver regeringens behörighet att bestämma de nationella behöriga myndigheterna. Ändringen har motiverats med att det visat sig vara tydligare att de behöriga myndigheterna bestäms enligt sina uppgifter, alltså direkt med stöd av SDG-förordningen, med hänsyn till vad som föreskrivs i artikel 3.4 i SDG-förordningen om vilka myndigheter som är behöriga. Lagändringen trädde i kraft den 1 juli 2024. I förordning (2022:127) föreskrivs det i enlighet med lagen om den nationella samordnaren och dess uppgifter. Digg – Myndigheten för digital förvaltning är nationell samordnare. Bestämmelsen om uppgifterna är huvudsakligen en upprepning av de uppgifter som nämns i SDG-förordningen. I lagen åläggs behöriga myndigheter skyldigheten att lämna den information till en nationell samordnare som behövs för att denne ska kunna fullgöra sina uppgifter enligt EU-förordningen. I förordningen preciseras det att den nationella samordnaren får meddela närmare föreskrifter om skyldigheten. Skyldigheten att informera den nationella samordnaren betraktas inte som en tilläggsskyldighet i förhållande till SDG-förordningen, utan närmast som nödvändig för att säkerställa att förordningen kan genomföras smidigt. I en bilaga till förordningen nämndes först de behöriga myndigheterna, men bilagan slopades som en del av den ovannämnda lagändringen. I förordningen kvarstod i stället en skyldighet för den nationella samordnaren att hålla uppgifter om de behöriga myndigheternas ansvarsområden tillgängliga för allmänheten i enlighet med bilagorna I–III.  

Den nationella samordnaren har inte getts uppgiften som personuppgiftsansvarig, och inga kompletterande nationella bestämmelser har utfärdats om dataskyddet. Det pågår emellertid en utredning om behovet av att förtydliga dataskyddsaspekterna genom nationell lagstiftning. Utredningens tidsplan och resultat är fortfarande oklara. 

5.2.2  Danmark

I Danmark har Digitaliseringsstyrelsen utsetts till nationell samordnare. Samordnaren har utsetts i en administrativ process på basis av att det nationella ansvaret för SDG-förordningen har delegerats till digitaliserings- och jämlikhetsministeriet (”digitaliserings- og ligestillingministeriet”). I Danmark har man ansett att det inte behövs någon kompletterande nationell lagstiftning om dataskydd vid utbyte av information. Rättslig förpliktelse betraktas som en motiverad dataskyddsrättslig grund i OOTS-systemet. De behöriga myndigheterna är personuppgiftsansvariga för information som de delar i egenskap av bevislämnande part eller tar emot i egenskap av bevisbegärande part. SDG-förordningen och genomförandeförordningen om utbyte av bevis anses vara en tillräcklig rättslig grund för Digitaliseringsstyrelsens personuppgiftsansvar i processen för att utbyta meddelanden via de danska behöriga myndigheterna och de andra medlemsstaternas OOTS-portaler. I egenskap av personuppgiftsansvarig ansvarar Digitaliseringsstyrelsen för dataskyddet i enlighet med dataskyddsförordningen, men denna roll bestäms direkt med stöd av dataskyddsförordningen. 

De behöriga myndigheterna anges inte i nationella bestämmelser utan bestäms direkt med stöd av SDG-förordningen. Den nationella samordnaren har fört en dialog med de nationella myndigheterna och hjälpt dem bedöma om SDG-förordningen är tillämplig på dem eller inte. De behöriga myndigheterna ansvarar dock för att bedöma om de har processer eller register som inkluderar OOTS-handlingar som omfattas av SDG-förordningens tillämpningsområde. 

5.2.3  Estland

I Estland bestäms den nationella samordnarens uppgifter med stöd av SDG-förordningen, och de har inte kompletterats nationellt. Den nationella samordnaren har inte heller utsetts på lagnivå. Den nationella samordnaren kommer inte att ha någon roll i utbytet av bevis och kommer inte att vara personuppgiftsansvarig. En annan myndighet ( Information System Authority ) ansvarar för en plattform för informationsutbyte, som är en så kallad förmedlare i utbytet av bevis mellan olika myndigheter. Det pågår en utredning om lagändringar som behövs för att bevis ska kunna utbytas gränsöverskridande. Avsikten är att de ändringar som behövs ska göras i offentlighetslagen ( Public Information Act ). Dessutom utreds eventuella behov av lagändringar för att tydliggöra olika aktörers uppgifter och ansvar. Ändringarna skulle gälla plattformen för informationsutbyte och de behöriga myndigheterna, som kommer att vara personuppgiftsansvariga.  

De behöriga myndigheterna bestäms med stöd av artikel 3.4 i SDG-förordningen.