1.1  Tausta

Esityksen valmisteluun on johtanut täydentävää sääntelyä edellyttävä Euroopan parlamentin ja neuvoston asetus (EU) 2023/2854 datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä ja asetuksen (EU) 2017/2394 ja direktiivin (EU) 2020/1828 muuttamisesta (datasäädös), jäljempänä data-asetus tai asetus . Se tuli voimaan 11.1.2024. Sitä sovelletaan pääosin 12.9.2025 alkaen.  

Data-asetus on uutta EU-sääntelyä. Se on osa Euroopan komission datastrategian (COM (2020) 66 final, E 24/2020 vp) mukaista digi- ja datasääntelyn kokonaisuutta, johon kuuluu useita eri säädöksiä. Datastrategian tavoitteena on luoda yhtenäinen ja kilpailukykyinen datalähtöinen sisämarkkina. Viime vuosina verkkoon liitettyjen tuotteiden saatavuus Euroopan markkinoilla on kasvanut nopeasti. Nämä esineiden internetin muodostavat tuotteet ovat lisänneet uudelleenkäytettävissä olevan datan määrää merkittävästi. Datastrategia korostaakin datan merkitystä talouskasvulle ja innovaatioille. Strategian mukaan datan tulisi virrata EU:n sisällä ja eri alojen välillä datan saatavuutta ja uudelleenkäyttöä koskevien selkeiden ja oikeudenmukaisten sääntöjen mukaisesti. Data-asetus pyrkii vastaamaan näihin tavoitteisiin parantamalla datan saatavuutta ja käyttöä ja näin kannustamaan datapohjaiseen innovointiin.  

Lisäksi esityksen valmisteluun on johtanut Euroopan parlamentin ja neuvoston asetus (EU) 2022/868 , eurooppalaisen datan hallinnoinnista ja asetuksen (EU) 2018/1724 muuttamisesta ( datanhallinta-asetus ). Datanhallinta-asetuksen edellyttämä kansallinen täydentävä lainsäädäntö on jo saatettu voimaan ja on nykyisin sijoitettu pääasiassa sähköisen viestinnän palveluista annettuun lakiin (917/2014). Sääntelykokonaisuuden selkeyden vuoksi laintasoinen datanhallinta-asetusta täydentävä sääntely ehdotetaan koottavaksi yhteen nyt ehdotettavan data-asetusta täydentävän sääntelyn kanssa (ks. tarkemmin jakso 3.1.2).  

Vuonna 2023 voimaan tullut datanhallinta-asetus keskittyy julkisen sektorin hallussa olevan datan jakamiseen ja uudelleenkäytön mahdollistamiseen. Lisäksi se asettaa menettelysäännöt datan välityspalveluille, jotka toimivat neutraaleina kolmansina osapuolina yhdistäen datan omistajat ja käyttäjät. Asetus edistää myös data-altruismia eli datan luovuttamista yleisen edun mukaiseen tarkoitukseen. Datanhallinta-asetus jakaa osan tavoitteistaan data-asetuksen kanssa, sillä myös siinä pyritään lisäämään datan liikkuvuutta toimijoiden välillä. Datanhallinta-asetuksen tulokulma on kuitenkin vahvemmin menettelyllinen, eikä siinä säädetä oikeudesta saada dataa tai velvollisuudesta luovuttaa dataa.  

1.2  Valmistelu

2.1  Data-asetuksen tavoitteet

Data-asetuksen tavoitteena on tehostaa EU:n datataloutta ja edistää kilpailukykyisiä datamarkkinoita parantamalla datan saatavuutta ja käytettävyyttä sekä kannustamalla datavetoiseen innovointiin. Tavoitteena on edistää uusien, innovatiivisten verkkoon liitettyjen tuotteiden ( IoT-laite ) ja niihin liittyvien palvelujen kehittämistä ja edistää näiden tuotteiden ja palvelujen tuottamaa dataa hyödyntävien kokonaan uusien palvelujen kehittämistä, mukaan lukien monista erilaisista IoT-laitteista tai niihin liittyvistä palveluista saatavaan dataan perustuvat palvelut. Tavoitteena on luoda yhteinen eurooppalainen data-avaruus ja yhteentoimivat datan sisämarkkinat. Data-avaruudella tarkoitetaan yhteisten standardien ja käytäntöjen yhteentoimivia puitteita datan jakamiseksi tai yhdessä käsittelemiseksi. Niitä voidaan perustaa muun muassa uusien tuotteiden ja palvelujen, tieteellisen tutkimuksen tai kansalaisyhteiskunnan aloitteiden kehittämistä varten. (Ks. data-avaruuksista data-asetuksen johdanto-osan 103 perustelukappale ja 33 artikla.)  

Tavoitteiden saavuttamiseksi data-asetus luo yhteiset pelisäännöt dataan pääsyyn ja käyttöön, ja pyrkii varmistamaan datasta saatavan arvon oikeudenmukaista jakautumista datatalouden toimijoiden kesken. Asetuksessa selvennetään, kuka voi käyttää mitäkin dataa ja millä edellytyksillä.  

Data-asetuksessa määritellään kaikille talouden aloille perussäännöt siitä, miten voi saada ja käyttää EU:ssa tuotettua dataa. Asetus asettaa uusia velvoitteita datan jakamiseen ja antaa oikeuksia datan käyttöön asetuksessa määritellyille käyttäjille. Asetus koskee laajasti dataa, jota syntyy IoT-laitteiden, kuten älykellojen, sensoreiden, paperikoneiden, autojen ja lentokoneiden, käytöstä. Jatkossa IoT-laitteet on suunniteltava niin, että käyttäjä voi helposti ja turvallisesti saada, käyttää ja jakaa niiden tuottamaa dataa. 

Asetuksella pyritään myös lisäämään oikeudenmukaisuutta ja kilpailua Euroopan pilvipalvelumarkkinoilla. Tavoitteena on helpottaa datanjakamispalveluiden, kuten pilvipalveluiden, vaihtamista asettamalla datanjakamispalveluille yhteentoimivuusvelvoitteita. Luomalla puitteet sille, että asiakkaat voisivat tosiasiallisesti vaihtaa datankäsittelypalvelun tarjoajaa, pyritään avaamaan EU:n pilvipalvelumarkkinoita. 

Asetuksen tavoitteena on myös suojella yrityksiä data hyödyntämiseen ja jakamiseen liittyviltä kohtuuttomilta sopimusehdoilta, joita vahvemmat toimijat yleensä asettavat. Asetuksessa muun muassa annetaan arviointikriteerejä sopimusehtojen hyväksyttävyyden arvioimiseksi sekä asetetaan minimivaatimuksia älysopimuksille. Yhtenäisillä pelisäännöillä pyritään varmistumaan siitä, että datan hyödyntämisestä syntyvä lisäarvo jakaantuisi oikeudenmukaisesti markkinaosapuolten välillä niin, että samalla huolehditaan dataa tuottavaan teknologiaan investoivien toimijoiden intresseistä sekä käyttäjien perusoikeuksien toteutumisesta. 

Lisäksi data-asetuksen tavoitteena on tukea viranomaisten mahdollisuuksia hoitaa lakisääteisiä tehtäviään. Asetus antaa viranomaisille tietyissä poikkeuksellisien tarpeiden tilanteissa, esimerkiksi yleisissä hätätilanteissa, pyynnöstä pääsyn ja käyttöoikeuden yksityisen yrityksen hallussa olevaan dataan. Asetuksessa annetaan selkeät säännöt siitä, miten tällaiset pyynnöt olisi esitettävä. 

Lisäksi ei-henkilötietojen kansainvälisiin siirtoihin asetetaan uusi velvoite datankäsittelypalvelujentarjoajille. Tämän suojatoimen tavoitteena on välttää se, että kolmansien maiden viranomaiset voivat saada muita kuin henkilötietoja, jos tämä olisi EU:n tai kansallisen lainsäädännön vastaista. 

2.2  Data-asetuksen sisältö

3.1  Horisontaalinen sääntely

3.2  Viranomaisten tehtävät ja toimivalta

3.3  Viranomaisten toimivaltuudet

3.4  Seuraamusmaksusääntely muussa digi- ja datalainsäädännössä

3.5  Aineettomat oikeudet ja niiden suhde data-asetukseen

3.6  Viranomaisten välinen yhteistyö

Data-asetus edellyttää, että asiaankuuluvat alakohtaiset viranomaiset tekevät yhteistyötä, vaihtavat niiden tehtävien hoitamisen kannalta tarpeelliset tiedot sekä varmistavat data-asetuksen mukaan tehtyjen päätösten johdonmukaisuuden. Vaikka suuri osa data-asetuksen mukaisista viranomaistehtävistä keskitettäisiin Liikenne- ja viestintävirastolle, jäisi data-asetuksen nojalla sektori- ja alakohtaisille viranomaisille toimivaltaa dataan pääsyyn liittyvissä kysymyksissä sektorikohtaisen sääntelyn kautta. Sektoriviranomaisten osaamista olisi hyvä hyödyntää muun muassa data-asetuksen mukaisten valitusten käsittelyssä. 

Datanhallinta-asetus säätää viranomaisten valtuuksista suhteessa muihin viranomaisiin sekä edellyttää viranomaisten yhteistyötä. Uudet viranomaistehtävät eivät vaikuttaisi muiden viranomaisten tehtäviin ja toimivaltuuksiin. Vaikka kukin viranomainen valvoo omaa sääntelyänsä, eri lainsäädännön velvoitteet voivat olla sillä tavoin osittain päällekkäisiä, että toimijan toiminta tai laiminlyönti voi tarkoittaa usean säädöksen rikkomista. Datanhallinta-asetuksen yhteistyövelvoite koskee Suomessa ainakin tietosuojavaltuutettua, Liikenne- ja viestintävirastoa, Kilpailu- ja kuluttajavirastoa sekä kuluttaja-asiamiestä. Kansallisen liikkumavaran piiriin kuitenkin jää, miten yhteistyö järjestetään. Yhteistyön voisi ajatella tarkoittavan pitkälti samaa kuin hallintolain 10 §:n viranomaisten yhteistyön. Datanhallinta-asetuksen osalta viranomaisten välisen yhteistyön nykytilaa on avattu kattavammin esityksessä HE 50/2023 vp. jaksossa 3. 

Hallintolain 10 §:n mukaan viranomaisen on, toimivaltansa rajoissa ja asian vaatimassa laajuudessa, avustettava toista viranomaista tämän pyynnöstä hallintotehtävän hoitamisessa sekä muutoinkin pyrittävä edistämään viranomaisten välistä yhteistyötä. 

Hallintolain yleisen yhteistyövaatimuksen lisäksi viranomaisten välisestä yhteistyöstä säädetään muun muassa sähköisen viestinnän palveluista annetussa laissa, jonka 308 §:n mukaan liikenne- ja viestintäministeriön, Liikenne- ja viestintäviraston, tietosuojavaltuutetun, kilpailuviranomaisten, kuluttajaviranomaisten, markkinavalvonta- ja tuoteturvallisuusviranomaisten, Kansallisen audiovisuaalisen instituutin sekä Etelä-Suomen aluehallintoviraston on kyseisen lain mukaisia tehtäviä hoitaessaan oltava tarkoituksenmukaisessa yhteistyössä. 

Toimiva ja sujuva yhteistyö edellyttää, että viranomaisilla on mahdollisuus saada tehtävänsä suorittamiseksi myös salassa pidettäviä tietoja. Julkisuuslain 29 §:n mukaan viranomainen voi antaa toiselle viranomaiselle tiedon salassa pidettävästä asiakirjasta muun ohella silloin, kun tiedon antamisesta tai oikeudesta tiedon saamiseen on laissa erikseen nimenomaisesti säädetty.  

Käytännössä edellä mainittuja yhteistyövelvoitteita on toteutettu viranomaisten välisillä yhteistyökokouksilla ja tietojenvaihdolla sekä yhteisellä viestinnällä. 

3.7  Data-asetuksen ja datanhallinta-asetuksen toimeenpanon ja valvonnan edellyttämä kansallinen lainsäädäntö

4.1  Keskeiset ehdotukset

Esityksessä ehdotetaan säädettäväksi uusi laki datan hallinnan ja jakamisen valvonnasta, jossa säädettäisiin data-asetuksen edellyttämällä tavalla toimivaltaisista viranomaisista ja niiden tehtävistä sekä Liikenne- ja viestintäviraston toimivaltuuksista. Uudella lailla täydennettäisiin kansallisesti suoraan sovellettavan data-asetuksen säännöksiä.  

Data-asetuksessa toimivaltaiselle viranomaiselle asetetaan joitain yleisiä vaatimuksia ja muutamia artiklakohtaisia vaatimuksia, mutta jäsenvaltioilla on muutoin harkintavaltaa siinä, miten asetuksen edellyttämät viranomaistehtävät järjestetään. Uuden lain mukaan data-asetuksessa tarkoitettu datakoordinaattori ja asetuksen pääasiallinen valvontaviranomainen olisi Liikenne- ja viestintävirasto, jonka tehtäviin kuuluisi myös yritysten ja yhteisöjen datalukutaidon edistäminen sekä tuomioistuinten ulkopuolisten riidanratkaisuelinten sertifiointi. Kilpailu- ja kuluttajaviraston tehtäväksi säädettäisiin kuluttajien datalukutaidon edistäminen, ja Kilpailu- ja kuluttajavirastossa toimivan kuluttaja-asiamiehen valvottavaksi tulisi eräitä data-asetuksen elinkeinonharjoittajien ja kuluttajien välisiin sopimuksiin liittyviä tiedonantovelvoitteita.  

Uudessa laissa säädettäisiin lisäksi Liikenne- ja viestintäviraston valvontakeinoista ja oikeudesta määrätä seuraamusmaksuja. Data-asetuksessa säädetään toimivaltaisten viranomaisten laajasta tiedonsaantioikeudesta asetuksen noudattamisen todentamiseksi eikä asetus tältä osin sisällä nimenomaista liikkumavaraa. Asetuksen edellyttämiin tutkimuksiin liittyvän tutkintatoimivallan selkeyttämiseksi kansallisessa laissa säädettäisiin Liikenne- ja viestintäviraston tarkastusoikeudesta epäillyssä velvoitteiden rikkomistilanteessa. Data-asetus edellyttää seuraamuksista, myös taloudellisista seuraamuksista, säätämistä, mutta jättää kansallisen oikeusjärjestelmän puitteissa määritettäväksi, mihin asetuksen velvoitteisiin liitetään seuraamus sekä millaisia ja minkä suuruisia seuraamukset ovat. Kansallista harkintavaltaa on katsottu jäävän myös sen suhteen, voidaanko viranomaisille ja muille julkisille elimille määrätä seuraamusmaksuja. Kansallista liikkumavaraa on käytetty siten, että oikeus määrätä seuraamusmaksuja ehdotetaan liitettäväksi vain sellaisiin asetuksen velvoitteisiin, joista asetuksessa on säädetty sanktioinnin näkökulmasta riittävän tarkasti. Seuraamusmaksua ei olisi liitetty lisäksi sellaisiin asetuksen rikkomuksiin, jotka liittyvät osapuolten sopimuksenvaraisiin asioihin ja joiden on katsottu sopivan paremmin yksityisoikeudellisina riita-asioina käsiteltäväksi. Seuraamusmaksujen valmistelussa on huomioitu myös Euroopan datainnovaatiolautakunnan suositukset. Seuraamusmaksun enimmäismäärät on suhteutettu data-asetukseen liittyvässä muussa kansallisessa lainsäädännössä määriteltyihin seuraamusmaksujen enimmäismääriin ja ne on porrastettu siten, että asetuksen keskeisten velvoitteiden rikkomisesta voitaisiin määrätä enimmäismäärältään suurempi seuraamusmaksu. Koska liikkumavaraa on käytettävä perustuslakivaliokunnan tulkintakäytännön mukaisesti, esityksen jatkovalmistelussa on nimenomaisesti suljettu pois mahdollisuus määrätä seuraamusmaksuja viranomaiselle tai muulle laissa tarkemmin määritellylle julkiselle taholle.  

Uudessa laissa täydennettäisiin data-asetuksen sääntelyä viranomaisten välisestä yhteistyöstä ja erityisestä lausuntomenettelystä liittyen tietojen luovuttamiseen kolmannen maan tuomioistuimen päätöksen tai tuomion tai kolmannen maan hallintoviranomaisen päätöksen perusteella. Laissa myös säädettäisiin kansallisesta menettelystä silloin, kun datan haltija ja julkisen sektorin elin ovat erimielisiä korvauksesta datan asettamisesta saataville poikkeuksellisen tarpeen perusteella.  

Sähköisen viestinnän palveluista annetusta laista kumottaisiin hiljattain siihen säädetyt datanhallinta-asetuksen täytäntöönpanoa koskevat pykälät, jotka siirrettäisiin asiallisesti pääasiassa muuttumattomana ehdotettavaan uuteen lakiin. Näissä on kyse Liikenne- ja viestintävirastolle säädetyistä rekisterinpito- ja valvontatehtävistä, jotka koskevat datan välityspalveluita ja tunnustettuja data-altruismipohjaisia organisaatioita. Tehtäviin sisältyy mahdollisuus määrätä seuraamusmaksu datan välityspalveluille. Velvoite nimetä toimivaltainen viranomainen tulee suoraan datanhallinta-asetuksesta. Nimettävä viranomainen perustuu kansalliseen harkintaan. Muilla ehdotuksilla annetaan toimivaltuuksia Liikenne- ja viestintäviraston valvontaan. Ne perustuvat kansalliseen autonomiaan sekä datanhallinta-asetuksen yleiseen vaatimukseen säätää seuraamuksista asetuksen rikkomisesta. Liikenne- ja viestintävirastolla on jo voimassa olleiden kansallisten säännösten perusteella ollut mahdollisuus määrätä seuraamusmaksu datan välityspalveluille tietyistä datanhallinta-asetuksen velvoitteiden rikkomisista. Lisäksi virasto on voinut antaa huomautuksen, uhkasakon tai keskeyttämisuhan. Viranomaisten toimivaltuuksiin on asetuksessa säädetty tiettyjä menettelysääntöjä tiedonsaantioikeudesta, kuulemisesta ja asetettavista määräajoista. Muutoin menettelyssä on noudatettu kansallista sääntelyä, kuten sähköisen viestinnän palveluista annetun lain säännöksiä, jotka eivät jatkossa enää soveltuisi datanhallinta-asetukseen. Uudessa laissa tiedonsaannista ja tiedonvaihdosta olisi säädetty myös datanhallinta-asetusta täydentävästi. Toisin kuin data-asetuksessa, datanhallinta-asetuksessa yhteistyövelvoite toimivaltaisten viranomaisten ja muiden kansallisten viranomaisten välillä on suoraan sovellettava, eikä siitä ehdoteta täydentävää sääntelyä. 

Seuraamusmaksujen täytäntöönpanosta säätämiseksi esityksessä ehdotetaan muutosta sakon täytäntöönpanosta annetun lain soveltamisalaan. 

Kuluttajasuojaviranomaisten eräistä toimivaltuuksista annettua lakia ehdotetaan muutettavaksi siten, että siinä huomioidaan kuluttaja-asiamiehen ja Liikenne- ja viestintäviraston uusi rooli data-asetusta valvovana viranomaisena ja että siinä säädetään kuluttaja-asiamiehen valvontatehtäviin liittyvästä oikeudesta esittää markkinaoikeudelle seuraamusmaksun määräämistä myös tiettyjen data-asetuksen velvoitteiden rikkomisesta. Seuraamusmaksun määrän suhteen kansallista liikkumavaraa on käytetty siten, että seuraamusmaksun enimmäismäärä vastaisi muista data-asetuksen rikkomuksista määrättävän seuraamusmaksun enimmäismäärää.  

Esitys ei sisällä yksinomaan kansallisten syiden vuoksi ehdotettua sääntelyä.  

Data-asetuksen ja datanhallinta-asetuksen toimeenpanon ja valvonnan edellyttämää kansallista sääntelytarvetta on kuvattu laajemmin esityksen jaksossa 3.7. 

4.2  Pääasialliset vaikutukset

5.1  Vaihtoehdot ja niiden vaikutukset

5.2  Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot

6.1  Esityksen lausuntopalaute

6.2  Lainsäädännön arviointineuvoston lausunto

Lausunnossa katsottiin, että data-asetuksen ja datanhallinta-asetuksen kansallisen liikkumavaran käyttö tulee kuvata myös keskeisiä ehdotuksia koskevassa osiossa. Jatkovalmistelussa keskeisiä ehdotuksia koskevaan osioon on lisätty tiiviisti kuvausta keskeisimpiin data-asetuksen täytäntöönpanoon liittyviin ehdotuksiin liittyvästä liikkumavarasta ja sen käytöstä. Lisäksi on selvennetty, että esityksessä ei ehdoteta uutta sääntelyä yksinomaan kansallisten syiden vuoksi.  

Lausunnon mukaan esityksen asetukseen perustuva terminologia on vaikeaselkoista ja katsottiin, että esityksessä tulisi avata keskeisiä käsitteitä tarkemmin. Lausunnossa ei yksilöity mitä asetuksen käsitteitä arviointineuvosto on pitänyt esityksen kannalta keskeisinä. Jatkovalmistelussa esityksen pääsiallista sisältöä koskevaan 2 jaksoon (erityisesti alajakso 2.2.2) on lisätty verkkoon liitetyn tuotteen, tuotteeseen liittyvän palvelun, tuotteen datan, tuotteeseen liittyvän palvelun datan sekä käyttäjän, datan haltijan ja kolmannen osapuolen määritelmiä ja kuvausta. Myös mikroyrityksen ja pienen yrityksen määritelmät on avattu. Toimijoita koskevia täydennyksiä on tehty jonkin verran myös säännöskohtaisiin perusteluihin. 

Arviointineuvoston lausunnossa katsottiin, että esityksessä olisi hyvä kuvata kootusti vielä vaikutukset, joita juuri ehdotetuilla lainmuutoksilla arvioidaan olevan, mukaan lukien seuraamusmaksujen vaikutukset. Esityksen alajaksoon 4.2.1 on lisätty kansallisten lakimuutosten vaikutusten koontitaulukko.  

Arviointineuvoston mukaan esityksessä tulisi kuvata myös seuraamusmaksujen vaikutuksia eri kokoisille yrityksille ja luonnollisille henkilöille, ja siinä olisi hyvä vielä havainnollistaa muutaman esimerkin avulla, millaisissa tilanteissa seuraamusmaksuja voisi saada. Esityksen yritys- ja kuluttajavaikutuksia koskevia jaksoja on tältä osin täydennetty.  

Lisäksi lausunnon mukaan esityksessä tulee kuvata, kuinka merkittävän riskin viranomaisten resurssit aiheuttavat esimerkiksi mahdollisuudelle edistää datalukutaitoa tai harjoittaa valvontaa. Esityksen viranomaisvaikutuksia on jatkovalmistelussa täydennetty erityisesti päävastuussa olevan Liikenne- ja viestintäviraston osalta.  

6.3  Oikeuskanslerin ennakkotarkastus

Ennakkotarkastuksessa katsottiin, että lausuntopalautetta ja sen johdosta tehtyjä muutoksia on kuvattu ja perusteltu hallituksen esityksessä pääosin kiitettävästi. Hallituksen esityksessä voitaisiin kuitenkin ennakkotarkastuksen mukaan tuoda hieman enemmän esille tekijänoikeuksien suojan osalta esitettyjä kriittisiä näkökulmia ja niihin liittyviä perusteluja. Ennakkotarkastuksen perusteella tekijänoikeuksien suojaan liittyvää lausuntopalautetta on avattu yksityiskohtaisemmin jaksoon 6.1.5. Lisäksi hallituksen esityksen nykytilan kuvaukseen on lisätty muutamiin kohtiin data-asetuksen 1 artiklan 8 kohdan mukainen selventävä maininta siitä, että data-asetuksella ei rajoiteta sellaisten unionin tai kansallisten säädösten soveltamista, joissa säädetään teollis- tai tekijänoikeuksien suojaamisesta. Ennakkotarkastuksen perusteella tehtyjä tekijänoikeusjärjestöjen palautteeseen liittyviä täsmennyksiä on avattu tarkemmin lausuntopalautetta koskevassa jaksossa 6.1.5. Näitä täsmennyksiä pidettiin riittävinä tekijänoikeuksien suojaan liittyvään lausuntopalautteen huomioimiseksi, sillä hallituksen esityksellä ei vaikuteta sellaisen kansallisen tai EU-lainsäädännön soveltamiseen, joissa säädetään teollis- ja tekijänoikeuksien suojaamisesta. 

Ennakkotarkastuksessa kiinnitettiin huomiota siihen, että seuraamusten sääntelytekniikassa on eroja eri asetusten perusteella määrättävien seuraamusten välillä, ja tämä näkyy erityisesti niiden seuraamusten kohdalla, joista tietosuojavaltuutettu voi määrätä seuraamusmaksun. Lausunnon perusteella täsmennettiin data-asetuksen suhdetta tietosuoja-asetukseen koskevaa 3.1.3 jaksoa, mutta esityksen perusratkaisuja ei muutettu. Data-asetuksen 37 artiklan 3 kohdan mukaan tietosuoja-asetuksen soveltamisen valvonnasta vastaavat viranomaiset ovat vastuussa data-asetuksen soveltamisen valvonnasta henkilötietojen suojan osalta. Näin ollen tietosuojavaltuutettu vastaa data-asetuksen soveltamisen yhteydessä tapahtuvaan henkilötietojen käsittelyyn liittyvistä valvontatehtävistä Suomessa. Data-asetuksen 40 artiklassa säädetään lisäksi siitä, että tietosuojaviranomainen määrää hallinnollisia seuraamusmaksuja tietosuoja-asetuksen mukaisesti. Valmistelussa ei ole tunnistettu, että data-asetus sisältäisi sellaista henkilötietojen käsittelyyn liittyvää sääntelyä, joka edellyttäisi uusia toimivaltuuksia tietosuojaviranomaiselle. Lisäksi data-asetuksen säännös siitä, että henkilötietojen käsittelyyn liittyvien seuraamusmaksujen määräämisessä on noudatettava tietosuoja-asetuksen sääntelyä, edellyttää, että tietosuoja-asetuksen seuraamusmaksusääntelystä ei voida poiketa. 

Ennakkotarkastuksessa kehotettiin myös tarkastamaan, että kaikki tarkoitetut data-asetuksen velvoitteet on sanktioitu. Sanktioitujen tekojen listaa ei lausunnon perusteella päädytty muuttamaan. Sanktioimatta on jätetty sellaiset teot, joista ei ole säädetty sanktioinnin näkökulmasta riittävän tarkasti. Esimerkiksi data-asetuksen 5 artiklan 9 kohta on jätetty sanktioimatta, koska se liittyy kiinteästi artiklan 10 kohtaan, jonka rikkomista esitetään sanktioitavaksi ja jonka kautta liikesalaisuuksien suojan rikkominen tulee siten sanktioitavaksi. Lisäksi esimerkiksi asetuksen 6 artiklan 2 kohdan f alakohtaa ei ole pidetty sanktioinnin näkökulmasta riittävän täsmällisenä, eikä kohdassa tarkoitettua toimintaa ole avattu asetuksessa niin, että sen perusteella olisi selvää, miten toimimalla henkilö voisi syyllistyä velvoitteen rikkomiseen. On myös huomioitava, että data-asetuksessa on kyse uudenlaisesta sääntelystä, jonka soveltamisesta ei ole vielä kokemusta. Toimivaltaiset viranomaiset seuraavat asetuksen soveltamista ja tekevät yhteistyötä keskenään sekä esimerkiksi Euroopan datainnovaatiolautakunnan työn yhteydessä. On tärkeää, että myös seuraamuksiin liittyvää soveltamiskäytäntöä ja kansallisen lainsäädännön toimivuutta seurataan jatkossa tarkasti. 

Ennakkotarkastuksessa katsottiin myös, että ehdotettavassa laissa ei ole soveltamisalasäännöstä, minkä vuoksi kansallisen lain soveltamisala ei ole aivan selvä. Ennakkotarkastuslausunnon mukaan tulisi erityisesti arvioida, edellyttävätkö data-asetus ja datanhallinta-asetus eduskunnan sisällyttämistä kotimaisen lainsäädännön soveltamisalaan ja varmistua siitä, voivatko eduskunnan virastot kuulua lain soveltamisalaan huomioiden tähän liittyvän perustuslakivaliokunnan lausuntokäytännön. Hallituksen esityksen 1. lakiehdotuksen 1 §:ään on tämän vuoksi lisätty lain soveltamisalaa koskeva momentti säännöskohtaisine perusteluineen ja säätämisjärjestysperusteluineen. Soveltamisalasäännöksessä on pyritty huomioimaan etenkin eduskunnan virastojen ja ylimpien laillisuusvalvojien perustuslaillinen asema.  

7.1  Laki datan hallinnan ja jakamisen valvonnasta

1 luku Yleiset säännökset 

1 §.Lain tarkoitus ja soveltamisala. Esityksessä ehdotetaan säädettäväksi laki datan hallinnan ja jakamisen valvonnasta. Koska kyseessä on kokonaan uusi laki, sen 1 §:ään ehdotetaan selkeyden vuoksi otettavaksi lain tarkoitusta koskeva säännös. Lain tarkoitus on täydentää datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä ja asetuksen (EU) 2017/2394 ja direktiivin (EU) 2020/1828 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2023/2854 (datasäädös).  

Dataa koskevan sääntelykokonaisuuden yhdenmukaistamiseksi lain olisi tarkoitus jatkossa sisältää myös ne eurooppalaisen datan hallinnoinnista ja asetuksen (EU) 2018/1724 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/868 (datanhallinta-asetus) täydentävää sääntelyä edellyttävät säännökset, jotka on jo aiemmin säädetty osaksi sähköisen viestinnän palveluista annettua lakia (HE 50/2023 vp). Kyseiset säännökset siirrettäisiin sähköisen viestinnän palveluista annetusta laista lähtökohtaisesti sisällöllisesti muuttumattomana nyt ehdotettavaan uuteen lakiin. Datanhallinta-asetuksen 7 ja 8 artiklassa mainitut toimivaltaiset viranomaiset on puolestaan nimetty eräiden hallinnon yhteisten sähköisen asioinnin tukipalveluiden tuottamisesta annetulla valtiovarainministeriön asetuksella (900/2023), johon ei ehdoteta tässä yhteydessä muutosta. 

Asetusta täydentävää kansallista lakia sovelletaan lähtökohtaisesti asetuksien soveltamisalojen mukaisesti. Data-asetuksen soveltaminen perustuu asetuksessa määriteltyihin toimijarooleihin, minkä lisäksi asetuksen V luvussa säädetään erityisestä julkisen sektorin elinten oikeudesta saada tietoja yksityiseltä sektorilta poikkeuksellisen tarpeen perusteella. Asetuksen 1 artiklan 6 kohdassa on myös soveltamisalarajoituksia liittyen esimerkiksi aloihin, jotka eivät kuulu unionin toimivaltaan. Asetus ei vaikuta jäsenvaltioiden yleistä turvallisuutta, puolustusta ja kansallista turvallisuutta koskevaan toimivaltaan riippumatta siitä, minkä tyyppisiä elimiä jäsenvaltiot ovat valtuuttaneet suorittamaan näitä tehtäviä. Asetus ei vaikuta myöskään tulli- ja verohallintoa eikä kansaterveyttä tai kansalaisten turvallisuutta koskevaan jäsenvaltioiden toimivaltaan. Julkisen sektorin elimellä tarkoitetaan data-asetuksen 2 artiklan mukaan jäsenvaltioiden kansallisia viranomaisia, alue- tai paikallisviranomaisia ja jäsenvaltioiden julkisoikeudellisia laitoksia tai yhden tai useamman tällaisen viranomaisen tai laitoksen muodostamia yhteenliittymiä.  

Datanhallinta-asetuksen 1 artiklassa säädetään asetuksen kohteesta ja soveltamisalasta. Artiklan 1 kohdan mukaan asetuksessa vahvistetaan a) edellytykset, jotka koskevat julkisen sektorin hallussa olevien tiettyjen datan luokkien uudelleenkäyttöä unionissa (II luku); b) datan välityspalvelujen tarjoamista koskevat ilmoitus- ja valvontapuitteet (III luku); c) vapaaehtoisen rekisteröitymisen puitteet yhteisöille, jotka keräävät ja käsittelevät altruistisiin tarkoituksiin saataville annettua dataa (IV luku); ja d) kehys Euroopan datainnovaatiolautakunnan perustamiselle (VI luku). Datan hyödyntämisestä säädetään jo useassa muussa EU-säädöksessä. Siksi artiklan 2–5 kohdassa säädetään asetuksen suhteesta muuhun sääntelyyn. Asetus ei rajoita esimerkiksi tietosuojalainsäädännön eikä kilpailulainsäädännön soveltamista. Julkisen sektorin elimellä tarkoitetaan datanhallinta-asetuksen 2 artiklan mukaan valtion viranomaisia, alue- tai paikallisviranomaisia, julkisoikeudellisia laitoksia tai yhden tai useamman tällaisen viranomaisen tai julkisoikeudellisen laitoksen muodostamia yhteenliittymiä. Datanhallinta-asetuksen osalta esityksen ulkopuolelle olisi rajattu asetuksen II luku ja siihen liittyvät viranomaistehtävät (ks. jakso 3.1.2 ja 12.5.1).  

Ehdotettavassa uudessa laissa säädettäisiin Liikenne- ja viestintäviraston valvontatoimivaltuuksista. Perustuslakivaliokunta on lausuntokäytännössään pitänyt ongelmallisena sitä, että eduskunnan valtiopäivätoiminta olisi ulkopuolisen valvonnan kohteena. Perustuslakivaliokunta on myös katsonut, että eduskunnan kanslia ja osin myös sen virastot ovat osa eduskunnan organisaatiota. Ylimpien laillisuusvalvojien toiminnan valvomisen on puolestaan katsottu kuuluvan perustuslain nojalla eduskunnan ja sen perustuslakivaltiokunnan tehtäväksi.  

Data-asetuksen ja datanhallinta-asetuksen soveltamisala-artiklat eivät ota kantaa siihen, sovelletaanko asetusta myös eduskunnan tai ylimpien laillisuusvalvojien toimintaan. Esityksen valmistelussa ei ole voitu poissulkea sitä, että eduskunta, sen virastot tai ylimmät laillisuusvalvojat voisivat tulevaisuudessa toimia ainakin data-asetuksen tarkoittamina käyttäjinä, jotka kuuluvat asetuksen soveltamisen piiriin. Vastaavasti ne voitaisiin katsoa data-asetuksen melko väljän julkisen sektorin elimen määritelmän piiriin kuuluviksi. Datanhallinta-asetuksen mukaisena datan välityspalvelun tarjoajana ei voisi toimia viranomainen. Datanhallinta-asetuksessa määritellyn data-altruismiorganisaation kanssa vastaavaa toimintaa voisi sen sijaan harjoittaa myös viranomainen. Tällaisen yhteisön toiminta ei kuitenkaan automaattisesti tulisi viranomaisvalvonnan piiriin, vaan vaatisi asetuksen mukaisen rekisteröinnin, jonka hakeminen on yhteisöille vapaaehtoista. (Ks. datan välityspalvelun määritelmästä ja data-altruismiorganisaation toiminnan rekisteröinnistä jakso 12.5.1.)  

Perustuslakivaliokunnan eduskuntaa koskevien huomioiden vuoksi ehdotettavan lain soveltamisalaa on päädytty rajaamaan siten, että eduskunnan valtiopäivätoiminta ja eduskunnan kanslia olisivat lain soveltamisalan ulkopuolella. Muut eduskunnan virastot kuuluisivat ehdotettavan lain soveltamisalaan tietyin edellytyksin. Ehdotettavan lain soveltamisalasta rajattaisiin myös ylimmät laillisuusvalvojat. Eduskunnan valtiopäivätoiminnan, eduskunnan virastojen ja ylimpien laillisuusvalvojien sulkemista ehdotettavan lain soveltamisalan ulkopuolelle on käsitelty tarkemmin säätämisjärjestysperustelujen yhteydessä jaksossa 12.  

Pykälän 2 momentin mukaan lakia sovellettaisiin lähtökohtaisesti täytäntöönpantavien asetusten soveltamisalan mukaisesti. Lakia ei kuitenkaan sovellettaisi eduskunnan valtiopäivätoimintaan eikä eduskunnan kansliaan. Lakia ei sovellettaisi muihin eduskunnan virastoihin, jos niiden mainittujen asetusten piiriin kuuluvalla toiminnalla on keskeinen yhteys eduskunnan valtiopäivätoimintaan.  

Eduskunnan virastojen määrittelystä säädetään eduskunnan virkamiehistä annetussa laissa (1197/2003). Kyseisen lain 2 §:n 2 momentin mukaan eduskunnan virastoja ovat eduskunnan kanslia ja eduskunnan oikeusasiamiehen kanslia sekä eduskunnan yhteydessä olevat valtiontalouden tarkastusvirasto ja kansainvälisten suhteiden ja Euroopan unionin asioiden tutkimuslaitos, joka käyttää nimeä Ulkopoliittinen instituutti. Eduskunnan kirjasto on kuulunut vuodesta 2001 alkaen eduskunnan kansliaan. Eduskunnan virastoilla voi olla eriasteisia yhteyksiä eduskunnan valtiopäivätoimintaan. Ehdotettavan säännöksen mukaista ”keskeistä yhteyttä eduskunnan valtiopäivätoimintaan” olisi arvioitava tapauskohtaisesti jokaisen eduskunnan viraston osalta. Esimerkiksi Ulkopoliittisen instituutin toiminnalla ei olisi jokaisessa tilanteessa keskeistä yhteyttä eduskunnan valtiopäivätoimintaan. Ehdotettu säännös yhdessä seuraamusmaksujen määräämistä koskevan säännöksen (1. lakiehdotuksen 22 §) kanssa tarkoittaisi, että eduskunnan virastoille ei voitaisi määrätä seuraamusmaksuja, mutta kyseisiin virastoihin voitaisiin sen sijaan kohdistaa muita valvontatoimenpiteitä siltä osin kuin ne kuuluvat lain soveltamisalaan. 

Pykälän 2 momentissa säädettäisiin lisäksi, ettei lakia sovellettaisi eduskunnan oikeusasiamieheen eikä valtioneuvoston oikeuskansleriin. Ehdotettu säännös merkitsisi sitä, ettei eduskunnan oikeusasiamieheen tai valtioneuvoston oikeuskansleriin voitaisi kohdistaa ylimpiä laillisuusvalvojia alemman asteisten viranomaisten valvontaa tai näiden määräämiä seuraamuksia. Eduskunnan oikeusasiamiehen ja valtioneuvoston oikeuskanslerin katsottaisiin kuitenkin kuuluvan data-asetuksen soveltamisalaan ja siten asetuksessa säädettyjen vaatimusten piiriin, jos ne toimivat jossakin asetuksen soveltamisalan piiriin kuuluvassa roolissa (ks. HaVM 13/2018 s. 36 tietosuojalain säätämisen yhteydessä). 

Pykälän 3 momenttiin sisällytettäisiin selkeyden vuoksi informatiivinen viittaus liikesalaisuuksia koskevaan lainsäädäntöön, koska liikesalaisuuksiin liittyvät kysymykset ovat data-asetuksen kannalta relevantteja usealla tapaa. Sääntelyjen suhdetta on selvennetty jo data-asetuksessa, joten tähän lakiin on katsottu tarpeelliseksi sisällyttää ainoastaan informatiivinen viittaus. Data-asetuksen mukaan ”vaikka tässä asetuksessa edellytetään, että datan haltijat luovuttavat tiettyä dataa käyttäjille tai käyttäjän valitsemille kolmansille osapuolille, vaikka tällaista dataa voidaan suojata liikesalaisuuksina, sitä olisi tulkittava sellaisella tavalla, että liikesalaisuuksille direktiivin (EU) 2016/943 nojalla annettu suoja säilytetään”. Data-asetuksen nojalla jaettava data voi siten sisältää liikesalaisuuksiksi katsottavaa dataa, mutta tällaisen datan luottamuksellisuutta on kunnioitettava.  

Lisäksi pykälän 4 momentti sisältäisi informatiivisen viittauksen todistelun turvaamisesta teollis- ja tekijäoikeuksia koskevissa riita-asioissa annettuun lakiin, jota sovelletaan liikesalaisuuslaissa tarkoitetun liikesalaisuuden tai teknisen ohjeen oikeudettomaan käyttöön tai ilmaisemiseen perustuvan vahingon korvaamista tai liikesalaisuuslain 8 §:ssä tarkoitetun kiellon määräämistä koskevassa asiassa. Kyseistä lakia ei sovelleta liikesalaisuuslain 9 §:ssä tarkoitettuihin väliaikaisiin kieltoihin.  

2 §. Datakoordinaattori ja muut toimivaltaiset viranomaiset. Pykälässä säädettäisiin data-asetuksen ja datanhallinta-asetuksen osalta toimivaltaisista viranomaisista Suomessa. Data-asetus edellyttää, että jos toimivaltaisia viranomaisia on useampi kuin yksi, niiden joukosta yksi on nimettävä datakoordinaattoriksi helpottamaan toimivaltaisten viranomaisten välistä yhteistyötä ja avustamaan asetukseen liittyvissä asioissa.  

Pykälän 1 momentissa nimettäisiin Liikenne- ja viestintävirasto data-asetuksen 37 artiklassa tarkoitetuksi datakoordinaattori-viranomaiseksi. Virasto vastaisi artiklassa datakoordinaattorille säädetyistä tehtävistä Suomessa. Viraston olisi sen perusteella muun muassa toimittava keskitettynä yhteyspisteenä kaikissa asetuksen soveltamiseen liittyvissä kysymyksissä.  

Pykälän 2 momentin mukaan Liikenne- ja viestintävirasto vastaisi asetuksen valvonnasta Suomessa, jollei kyseessä olisi kuluttaja-asiamiehen toimivaltaan lain 3 §:n mukaisesti kuuluva tehtävä. Nimenomaisten valvontatehtävien lisäksi 3 §:ssä säädettäisiin, että Kilpailu- ja kuluttajavirasto edistää data-asetuksen 37 artiklan 5 kohdan a alakohdassa tarkoitettua kuluttajien datalukutaitoa. Mainitut kolme viranomaista olisivat asetuksen osalta toimivaltaisia viranomaisia Suomessa.  

Pykälän 3 momentissa säädettäisiin Liikenne- ja viestintäviraston muista data-asetuksen 37 artiklan mukaisista tehtävistä kuin valvonnasta. Liikenne- ja viestintävirasto edistäisi 37 artiklan 5 kohdan a alakohdan tarkoittamaa yritysten ja yhteisöjen datalukutaitoa, kun taas kuluttajien datalukutaidon edistämisestä vastaisi 3 §:n mukaisesti Kilpailu- ja kuluttajavirasto. Liikenne- ja viestintävirasto myös seuraisi data-asetuksen 37 artiklan 5 kohdan e alakohdassa tarkoitettua datan saataville asettamiseen ja käyttöön liittyvää kehitystä.  

Data-asetuksen 37 artiklan 5 kohdan mukaisesti jäsenvaltioiden on varmistettava, että toimivaltaisten viranomaisten tehtävät ja valtuudet määritellään selkeästi, ja niihin kuuluvat muun muassa 5 kohdassa luetellut tehtävät. Koska datalukutaidon edistäminen tai datan saataville asettamiseen ja käyttöön liittyvän kehityksen seuraaminen eivät kuulu suoraan data-asetuksen 37 artiklan 5 kohdassa ja tämän pykälän 2 momentissa tarkoitettuihin viraston valvontatehtäviin, niistä on säädettävä erikseen. Myös muista 37 artiklan 5 kohdan luettelon sellaisista tehtävistä, joiden ei katsota kuuluvan valvontatehtäviin, säädettäisiin joko suoraan sovellettavasti muualla asetuksessa tai tässä laissa. Esimerkiksi mainitun kohdan f, g ja h alakohdista säädettäisiin viranomaisten välistä yhteistyötä koskevissa pykälissä ja d alakohdan mukaisista seuraamuksista säädetään ehdotetun lain 10-12 ja 13-22 §:ssä. Data-asetuksen 37 artiklan 5 kohdan j alakohdan tehtävästä on puolestaan jo säädetty velvoittavasti asetuksen 22 artiklassa. Lisäksi b, c ja i alakohta kuuluisivat valvontatehtävän piiriin. Lisäksi c alakohdassa tarkoitetuista tutkimuksista ja f alakohdassa tarkoitetusta yhteistyöstä säädetään osaltaan ehdotetun lain 7 §:ssä. 

Pykälän 4 momentissa säädettäisiin, että Liikenne- ja viestintävirasto sertifioi data-asetuksen 10 artiklan 5 kohdan mukaisesti Suomeen sijoittuneet tuomioistuinten ulkopuoliset riidanratkaisuelimet. Data-asetuksen 10 artiklan 5 kohdassa edellytetään, että jäsenvaltio sertifioi 10 artiklassa tarkoitetut tuomioistuinten ulkopuoliset riidanratkaisuelimet näiden pyynnöstä. Mainitussa asetuksen kohdassa säädetään myös niistä edellytyksistä, joiden täyttyminen riidanratkaisuelimen on osoitettava voidakseen tulla sertifioiduksi. Data-asetus ei määrittele kenelle sertifiointitehtävä jäsenvaltiossa kuuluu. Tehtävän on katsottu Suomessa parhaiten sopivan datakoordinaattoriksi nimettävälle Liikenne- ja viestintävirastolle, jolla on jo digipalveluasetuksen perusteella vastaavanlainen sertifiointitehtävä. Tässä momentissa tarkoitettu sertifiointitehtävä on päätetty osoittaa samalle viranomaiselle kuin digipalveluasetuksessa säädetty sertifiointitehtävä myös monissa muissa jäsenvaltioissa.  

Pykälän 5 momentissa säädettäisiin jatkossa jo nyt Liikenne- ja viestintävirastolle kuuluvista datanhallinta-asetuksen III ja IV luvun mukaisista toimivaltaisen viranomaisen tehtävistä. Liikenne- ja viestintävirasto olisi jatkossakin asetuksen 13 artiklan 1 kohdassa tarkoitettu viranomainen, jolla on toimivalta toteuttaa datan välityspalvelujen ilmoitusmenettelyyn liittyvät tehtävät, sekä 23 artiklan 1 kohdassa tarkoitettu toimivaltainen viranomainen, joka vastaa tunnustettujen data-altruismipohjaisten organisaatioiden julkisesta kansallisesta rekisteristä. Pykälällä pantaisiin jatkossa täytäntöön edellä mainitut artiklat.  

Henkilötietojen suojan osalta lähtökohtana on, että data-asetuksen ja datanhallinta-asetuksen puitteissa tapahtuvaan henkilötietojen käsittelyyn sovelletaan tietosuoja-asetusta (ks. data-asetuksen artikla 1(5) ja datanhallinta-asetuksen 35 perustelukappale ja artikla 1(3)).  

Data-asetus ja datanhallinta-asetus kunnioittavat tietosuojaviranomaisten toimivaltaa valvoa henkilötietojen suojaa koskevia sääntöjä. Tietosuojaviranomaiset ovat toimivaltaisia panemaan täytäntöön ne velvollisuudet, jotka johtuvat suoraan yleisestä tietosuoja-asetuksesta (ks. data-asetuksen artikla 37(3) ja datanhallinta-asetuksen johdanto-osan perustelukappale 4 ja 35 ja artikla 1(3) ja 13(3)).  

Suomessa tietosuojavaltuutettu tulee olemaan vastuussa asetuksien soveltamisen valvonnasta henkilötietojen suojan osalta, ja tietosuojavaltuutettu voi toimivaltansa puitteissa (henkilötietojen suoja) määrätä tietosuoja-asetuksen mukaisia hallinnollisia seuraamusmaksuja data-asetuksen II, III ja V lukujen rikkomisesta (40(4) art.) sekä datanhallinta-asetuksen velvoitteiden rikkomisesta (ks. datanhallinta-asetuksen osalta HE 50/2023 vp). Tietosuojavaltuutettu ratkaisisi asiat edelleenkin yleisen tietosuoja-asetuksen ja tietosuojalain nojalla. Esimerkiksi data-asetuksen artiklat 4(12), 5(8), 6(1) sekä 6(2)(b) ovat katsottavissa sellaisiksi, joita tietosuojavaltuutettu voi valvoa tietosuoja-asetuksen perusteella. Data-asetuksen II, III ja V lukujen tai datanhallinta-asetuksen rikkominen ei kuitenkaan välttämättä tarkoita tietosuoja-asetuksen rikkomista. 

Näin ollen tietosuojaviranomaisille ei esitettäisi toimivaltuuksia tähän lakiin, eikä tässä ehdotuksessa esitettäisi myöskään muutoksia henkilötietolainsäädäntöön.  

3 §.Kuluttaja-asiamiehen ja Kilpailu- ja kuluttajaviraston toimivalta . Pykälässä säädettäisiin kuluttaja-asiamiehen ja Kilpailu- ja kuluttajaviraston toimivallasta. Vaikka kuluttaja-asiamies toimii Kilpailu- ja kuluttajavirastossa, on sillä kuitenkin itsenäinen toimivalta viranomaisena, ja Kilpailu- ja kuluttajavirastosta annetun lain 2 §:n mukaan kuluttaja-asiamiehelle kuuluvista lainsäädännön valvontatehtävistä säädetään erikseen.  

Pykälän 1 momentin mukaan data-asetuksen 37 artiklan mukainen valvonnasta vastaava toimivaltainen viranomainen on kuluttaja-asiamies data-asetuksen 3 artiklan 2 ja 3 kohtien osalta, jos kyse on elinkeinonharjoittajan ja kuluttajan välisistä tilanteista. Data-asetuksen 1 artiklan 9 kohdan mukaan data-asetuksella täydennetään muuta EU-sääntelyä, jonka tarkoituksena on varmistaa kuluttajansuojan korkea taso unionissa. Kuluttaja-asiamies valvoo yleistoimivaltansa puitteissa myös suoraan sovellettavaa Euroopan unionin kuluttajansuojaa koskevaa sääntelyä. Ehdotettavan 3 §:n mukainen toimivalta täydentää kuluttaja-asiamiehen yleistoimivaltaa.  

Kilpailu- ja kuluttajavirastossa toimivan kuluttaja-asiamiehen tehtäväksi on katsottu soveltuvan data-asetuksen 3 artiklan 2 ja 3 kohdan valvonta silloin, kun data-asetuksella täydennetään muuta EU-sääntelyä, jonka tarkoituksena on varmistaa kuluttajansuojan korkea taso unionissa. Kuluttaja-asiamies valvoo yleistoimivaltansa puitteissa myös suoraan sovellettavaa Euroopan unionin kuluttajansuojaa koskevaa sääntelyä. Ehdotettavan 3 §:n mukainen toimivalta täydentää kuluttaja-asiamiehen yleistoimivaltaa, kun kyse on tiedoista, jotka elinkeinonharjoittajien on annettava kuluttajille ennen sopimuksen tekemistä. Kuluttaja-asiamiehen toimivalta, samoin kuin kuluttajansuojalain sekä muun kuluttajia suojaavan sääntelyn soveltamisala, rajautuu elinkeinonharjoittajien ja kuluttajien välisiin suhteisiin, ja tämä on perusteltua ottaa lähtökohdaksi myös data-asetuksen valvonnassa. Muilta osin edellä mainittujen säännösten valvonnasta vastaisi Liikenne- ja viestintävirasto. 

Pykälän 2 momentin mukaan Kilpailu- ja kuluttajavirasto edistää data-asetuksen 37 artiklan 5 kohdan a alakohdan tarkoittamaa kuluttajien datalukutaitoa. Kilpailu- ja kuluttajavirastosta annetun lain (661/2012) 2 §:n 1 momentin 7 kohdan mukaan Kilpailu- ja kuluttajaviraston tehtäviin kuuluu myös huolehtia muista sille säädetyistä tai määrätyistä tehtävistä. Näin ollen kuluttajien datalukutaidon edistämistehtävästä ei ole datan hallinnan ja jakamisen valvonnasta annetun lain 3 §:n lisäksi tarpeen säätää erikseen Kilpailu- ja kuluttajavirastosta annetusta laissa.  

Kuluttajien datalukutaidon edistäminen olisi uusi tehtävä Kilpailu- ja kuluttajaviraston nykyiseen tehtäväkenttään nähden. Vaikka data-asetuksen tarkoittama datalukutaidon edistäminen ei sisällöllisesti vastaa viraston nykyistä kuluttajavalistusta ja -kasvatusta, voidaan katsoa, että data-asetuksen 37 artiklan 5 kohdan a alakohdan tarkoittamaa kuluttajien datalukutaitoa on mahdollista edistää tarkoituksenmukaisella tavalla osana viraston toimintaa. 

Liikenne- ja viestintävirasto edistäisi ehdotetun lain 2 §:n 3 momentin mukaan 37 artiklan 5 kohdan a alakohdan tarkoittamaa yritysten ja yhteisöjen datalukutaitoa. 

Pykälän 3 momentti sisältäisi informatiivisen viittauksen, jonka mukaan kuluttaja-asiamiehen eräistä toimivaltuuksista säädetään kuluttajansuojaviranomaisten eräistä toimivaltuuksista annetussa laissa (566/2020). Näin ollen esimerkiksi mahdollisissa seuraamusmaksumenettelyissä noudatettaisiin kuluttaja-asiamiehen valvonnassa sitä, mitä asiasta on säädetty kyseisessä laissa. Kuluttajasuojaviranomaisten eräistä toimivaltuuksista annettuun lakiin esitettäisiin lisäksi tehtäväksi täsmennyksiä, joilla data-asetus tulee huomioitua myös kyseisen lain soveltamisalassa olevana säädöksenä.  

Pykälän 3 momentti sisältäisi myös toisen informatiivisen viittauksen, jonka mukaan kuluttaja-asiamiehen tehtävien tärkeysjärjestyksestä säädetään Kilpailu- ja kuluttajavirastosta annetussa laissa. Lain 7 §:n mukaan Kilpailu- ja kuluttajaviraston kuluttaja-asioissa ja kuluttaja-asiamiehen on erityisesti toimittava aloilla, joilla on kuluttajien kannalta huomattavaa merkitystä tai joilla voidaan olettaa yleisimmin esiintyvän ongelmia kuluttajan asemassa. 

4 §. Yhteistyö viranomaisten välillä. Pykälässä annettaisiin tarkentavaa sääntelyä data-asetusta ja tätä lakia koskevasta kansallisesta viranomaisyhteistyöstä. Viranomaisyhteistyöllä tarkoitetaan tässä yhteistyötä muiden viranomaisten kuin data-asetuksen osalta toimivaltaisten viranomaisten välillä.  

Pykälän 1 momentin mukaan Liikenne- ja viestintäviraston, kuluttaja-asiamiehen ja Kilpailu- ja kuluttajaviraston eli kaikkien data-asetuksen osalta toimivaltaisten viranomaisten on data-asetuksen ja tämän lain mukaisia tehtäviä hoitaessaan toimittava yhteistyössä tietosuojavaltuutetun ja muiden asianomaisten viranomaisten kanssa. Säännös on tarpeen viranomaisten välistä yhteistyötä koskevan data-asetuksen 37 artiklan 5 kohdan g ja h alakohdan täytäntöönpanemiseksi, koska 5 kohta ei ole suoraan sovellettava. Sen sijaan 37 artiklan 2 kohta, joka koskee kansallisten toimivaltaisten viranomaisten keskinäistä yhteistyötä, on suoraan sovellettava. Näin ollen toimivaltaisten viranomaisten keskinäisestä yhteistyöstä ei voida kansallisesti säätää, mutta momentti koskisi toimivaltaisten viranomaisten ja muiden ala- tai sektorikohtaisten viranomaisten välistä yhteistyötä.  

Tietosuojavaltuutetun osalta nimenomainen maininta säännöksessä on tarpeen, koska 37 artiklan 5 kohdan g alakohta velvoittaa jäsenvaltioita säätämään siitä, että toimivaltaiset viranomaiset tekevät yhteistyötä muun muassa yleisen tietosuoja-asetuksen valvonnasta vastaavan viranomaisen kanssa. Tietosuoja-asetuksen mukainen toimivaltainen viranomainen mainitaan artiklan kohdassa nimenomaisesti, kun taas muita yhteistyövelvoitteen kohteena olevia viranomaisia luonnehditaan yleisemmällä tasolla tai niistä käytetään asiaankuuluva viranomainen -termiä. Alakohdassa velvoitetaan säätämään yhteistyöstä myös esimerkiksi data-alalla ja sähköisten viestintäpalvelujen alalla toimivaltaisten viranomaisten kanssa, mutta tästä säätäminen on tarpeetonta Liikenne- ja viestintäviraston ollessa myös näillä aloilla pääasiallinen toimivaltainen viranomainen. Tietosuojavaltuutetun nimenomaista mainintaa säännöksessä puoltaa osaltaan myös se, että tietosuojavaltuutettu tulee olemaan keskeinen toimija kansallisesti data-asetuksen soveltamisen yhteydessä tapahtuvan henkilötietojen käsittelyn yhteydessä. Sen sijaan muita asianomaisia viranomaisia, joiden kanssa toimivaltaisten viranomaisten olisi tehtävä yhteistyötä, ei ole tarkoituksenmukaista tai edes mahdollista luetella niiden potentiaalisesti suuren lukumäärän vuoksi. Asetuksen soveltamisala on laaja, ja se voi tulla sovellettavaksi useilla eri aloilla, joita mahdollisesti valvovat muut kuin momentissa nimenomaan mainitut viranomaiset. Tässä huomioitavaksi tulevat etenkin sektori- ja alakohtaiset viranomaiset.  

Datanhallinta-asetuksen osalta viranomaisten välinen yhteistyövelvoite on sanamuodoltaan data-asetusta velvoittavampi (13 artiklan 3 kohta ja 23 artiklan 3 kohta). Koska datanhallinta-asetuksen yhteistyövelvoite toimivaltaisten viranomaisten ja muiden viranomaisten välillä on suoraan sovellettava, siitä ei voida kansallisesti säätää samoin kuin data-asetuksen osalta ehdotetaan tässä momentissa säädettäväksi. Velvoitteen piirissä on Suomessa tietosuojavaltuutettu, Liikenne- ja viestintävirasto, Kilpailu- ja kuluttajavirasto sekä kuluttaja-asiamies (ks. HE 50/2023 vp). 

Pykälän 2 momentissa säädettäisiin kuluttaja-asiamiehen velvollisuudesta ilmoittaa Liikenne- ja viestintävirastolle, jos se vastaanottaa ilmoituksen, joka koskee data-asetuksessa säädettyjen velvoitteiden rikkomista, ja kuluttaja-asiamies katsoo tarpeelliseksi ottaa asian tutkittavakseen. Ilmoitusvelvollisuus koskisi sellaisia data-asetuksessa säädettyihin velvollisuuksiin liittyviä asioita, jotka edellyttävät viranomaiselta tutkintaa. Ilmoitusvelvollisuus ei koskisi sellaisia viranomaiselle lähetettyjä yhteydenottoja, jotka viranomainen päättää ohjauksella tai neuvonnalla. Ilmoitusvelvollisuus on tarpeen, jotta datakoordinaattorilla on käytettävissään ajantasaiset tiedot data-asetukseen liittyvistä valvontatoimista, jotta datakoordinaattori voi täyttää data-asetuksen mukaiset raportointi- ja koordinointitehtävät.  

Kilpailu- ja kuluttajavirastoon kuluttaja-asiamiehelle tehdyt ilmoitukset epäillyistä rikkomuksista eivät tule automaattisesti vireille valvonta-asioina. Kilpailu- ja kuluttajavirastosta annetun lain 7 §:n mukaan Kilpailu- ja kuluttajaviraston kuluttaja-asioissa ja kuluttaja-asiamiehen on erityisesti toimittava aloilla, joilla on kuluttajien kannalta huomattavaa merkitystä tai joilla voidaan olettaa yleisimmin esiintyvän ongelmia kuluttajan asemassa (nk. priorisointivelvoite). Pääsääntöisesti kuluttaja-asiamiehelle tehtyihin ilmoituksiin vastataan vakiovastauksella, eikä ilmoittaja saa yhteydenoton tekemällä asianosaisasemaa (ks. esim. eduskunnan apulaisoikeusasiamiehen ratkaisu Dnro 3616/4/15). Ilmoitukset ovat valvonnan impulsseja, joita kuluttaja-asiamies hyödyntää valitessaan priorisointivelvoitteensa mukaisesti valvonnan kohteita. Näin ollen kuluttaja-asiamiehen ei tarvitsisi ilmoittaa Liikenne- ja viestintävirastolle data-asetuksen epäiltyä rikkomista koskevan ilmoituksen vastaanottamisesta, vaan ilmoitus tulisi tehdä vasta, jos kuluttaja-asiamies katsoo tarpeelliseksi ottaa asian tutkittavakseen. 

Viranomaisten väliseen yhteistyöhön sovelletaan lisäksi hallintolain 10 §:ää, jonka mukaan viranomaisen on toimivaltansa rajoissa ja asian vaatimassa laajuudessa avustettava toista viranomaista tähän pyynnöstä hallintotehtävän hoitamisessa sekä muutoinkin pyrittävä edistämään yhteistyötä.  

2 luku Viranomaisten tutkintamenettely ja valvontatoimenpiteet 

5 §. Tiedonsaantioikeus. Data-asetuksen 37 artiklan 14 kohdan mukaan toimivaltaisilla viranomaisilla on valtuudet pyytää käyttäjiltä, datan haltijoilta tai datan vastaanottajilta tai niiden laillisilta edustajilta, jotka kuuluvat niiden jäsenvaltion toimivaltaan, kaikki tiedot, jotka ovat tarpeen asetuksen noudattamisen todentamiseksi. Vastaavasti datanhallinta-asetuksen 14 artiklan 2 kohdan mukaan datan välityspalvelujen suhteen toimivaltaisella viranomaisella on valtuudet vaatia datan välityspalvelujen tarjoajilta tai niiden laillisilta edustajilta kaikki tiedot, jotka ovat tarpeen datan välityspalveluihin sovellettavien vaatimusten (luku III) noudattamisen todentamiseksi. Datanhallinta-asetuksen 24 artiklan 2 kohdan mukaan data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisilla viranomaisilla on valtuudet pyytää tunnustetuilta data-altruismipohjaisilta organisaatioilta tietoja, jotka ovat tarpeen data-altruismipohjaisiin organisaatioihin sovellettavien vaatimusten (luku IV) noudattamisen todentamiseksi. Kummankin asetuksen mukaan tietopyynnön on oltava oikeassa suhteessa tehtävien suorittamiseen nähden, ja se on perusteltava.  

Pykälän 1 momentti sisältäisi informatiivisen viittauksen Liikenne- ja viestintäviraston data-asetuksen ja datanhallinta-asetuksen mukaisiin tiedonsaantioikeuksiin. Tiedonsaantioikeus voi kohdistua sekä luonnolliseen henkilöön että oikeushenkilöön, kun ne toimivat roolissa, joka kuuluu Liikenne- ja viestintäviraston laissa määritellyn valvonnan piiriin. Kansallisesti esitetään lisäksi täsmennettäväksi, että Liikenne- ja viestintävirastolla olisi oikeus saada tiedot salassapitosäännösten estämättä, ilman aiheetonta viivytystä, viranomaisen pyytämässä muodossa ja maksutta. Tiedonsaantioikeus siis lähtökohtaisesti murtaa salassapidon. Asetusten mukaisesti Liikenne- ja viestintäviraston tietopyynnön oltava oikeassa suhteessa tehtävien suorittamiseen nähden, ja se on perusteltava. Edellyttämällä tietojen luovuttamista viranomaisen pyytämässä muodossa pyritään varmistamaan erityisesti Liikenne- ja viestintäviraston mahdollisuus tietojen sähköiseen käsittelyyn. Viranomaisen on pyynnöissään noudatettava kohtuullisuutta, eli viranomainen ei voisi esimerkiksi edellyttää tietojen toimittamista avoimien rajapintojen yli koneluettavassa muodossa, ellei tietojen toimittajalla ole tähän teknistä valmiutta. Tiedot voitaisiin toimittaa sähköisesti myös esimerkiksi sähköpostitse. Jos tarvittavat tiedot ovat Liikenne- ja viestintäviraston saatavissa sähköisesti muilta viranomaisilta, ne tulisi ensisijaisesti pyrkiä hankkimaan sitä kautta yritysten hallinnollisen taakan vähentämiseksi.  

Datanhallinta-asetuksen valvontaan liittyvät kansalliset säännökset sisältyvät tällä hetkellä sähköisen viestinnän palveluista annetun lakiin, jonka 315 §:ssä on säädetty muun muassa viranomaisen yleisestä tiedonsaantioikeudesta. Tällä esityksellä datanhallinta-asetusta koskevat säännökset kumottaisiin sähköisen viestinnän palveluista annetusta laista ja datanhallinta-asetuksen tiedonsaantioikeuksiin liittyvä kansallinen täydentävä sääntely sisältyisi jatkossa tähän pykälään. Liikenne- ja viestintäviraston datanhallinta-asetukseen perustuvat tiedonsaantioikeudet eivät muutoksen myötä laajenisi.  

Pykälän 2 momentissa täsmennettäisiin kansallisesti, että Liikenne- ja viestintävirastolla on tässä pykälässä tarkoitetut tiedonsaantioikeudet myös silloin, jos virasto pyytää tietoja toisen jäsenvaltion toimivaltaisen viranomaisen data-asetuksen 37 artiklan 15 kohdan mukaisesti tekemän pyynnön perusteella, jotta virasto voi täyttää data-asetuksen 37 artiklan 2 kohdassa ja 38 artiklan 3 kohdassa säädetyn toimivaltaisten viranomaisten yhteistyövelvoitteen asetuksen valvonnassa. Säännöksellä täytäntöönpantaisiin osaltaan myös data-asetuksen 37 artiklan 5 kohdan f alakohta.  

Data-asetuksen 37 artikla koskee data-asetuksen täytäntöönpanoa ja sen valvontaa. Data-asetuksen 37 artiklan 15 kohdan mukaan yhden jäsenvaltion toimivaltainen viranomainen voi pyytää toisen jäsenvaltion toimivaltaiselta viranomaiselta apua tai täytäntöönpanotoimenpiteitä esittämällä perustellun pyynnön. Pyynnön saaneen viranomaisen tulee antaa pyyntöön vastaus, jossa esitetään yksityiskohtaisesti toteutetut tai suunnitellut toimet. Jos toisen jäsenvaltion toimivaltaisen viranomaisen pyyntö koskee apua epäillyn data-asetuksen rikkomuksen selvittämiseen ja siihen liittyvään tietojen hankintaan Suomessa, Liikenne- ja viestintävirasto arvioisi saamansa pyynnön ja voisi harkintansa mukaan päättää tehdä data-asetuksen mukaisen perustellun tietopyynnön data-asetuksen rikkomisesta epäilylle Suomessa. Toisen jäsenvaltion viranomaisen pyyntö ei velvoita Liikenne- ja viestintävirastoa esimerkiksi tekemään tietopyyntöä, jota se ei pidä perusteltuna. Liikenne- ja viestintävirastolla on data-asetuksen perusteella kuitenkin velvoite tehdä yhteistyötä jäsenvaltioiden toimivaltaisille viranomaisille tehtyjen valitusten ratkaisemiseksi. 

6 §. Tiedonvaihto viranomaisten välillä. Pykälän 1 momentissa säädettäisiin Liikenne- ja viestintäviraston sekä kuluttaja-asiamiehen oikeudesta vaihtaa salassa pidettävää tietoa, jos se on näille data-asetuksessa, datanhallinta-asetuksessa tai ehdotetussa laissa säädettyjen tehtävien hoitamiseksi välttämätöntä. Säännöksen on tarkoitus koskea molempien asetusten osalta toimivaltaisten viranomaisten, ei kuitenkaan Kilpailu- ja kuluttajaviraston, mahdollisuutta vaihtaa salassa pidettävää tietoa. Kilpailu- ja kuluttajaviraston datalukutaidon edistämistä koskeva tehtävä on luonteeltaan sellainen, että sen yhteydessä ei olisi tarve vaihtaa salassa pidettävää tietoa viranomaisten kesken. Momentissa tarkoitetun tiedonvaihdon edellytyksenä olisi välttämättömyys.  

Pykälän 2 momentissa säädettäisiin 1 momentissa mainittujen viranomaisten eli Liikenne- ja viestintäviraston ja kuluttaja-asiamiehen mahdollisuudesta pyytää muilta viranomaisilta lausuntoa käsiteltävään asiaan ja luovuttaa näille lausunnon antamisen kannalta välttämättömät asiakirjat ja tiedot salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä. Lisäksi edellytetään, että tiedonvaihto on välttämätöntä Liikenne- ja viestintävirastolle tai kuluttaja-asiamiehelle data-asetuksessa, datanhallinta-asetuksessa tai tässä laissa säädettyjen tehtävien hoitamiseksi.  

Pykälän 3 momentissa säädettäisiin Liikenne- ja viestintäviraston velvollisuudesta huomioida kansalliseen turvallisuuteen tai puolustukseen liittävät näkökohdat ja olla yhteydessä 25 §:n 1 momentissa määritettyihin viranomaisiin eli sisäministeriöön ja Pääesikuntaan, jos on syytä epäillä, että sen tietoon tai käsiteltäväksi on tullut asia, jossa dataan pääsyllä tai siirrolla on yhteys kansalliseen turvallisuuteen tai puolustukseen. Kyseisellä säännöksellä varmistetaan kansallisen turvallisuuden tai puolustuksen toteutuminen niissä tilanteissa, joissa käsiteltävällä asialla saattaisi olla merkitystä tai vaikutusta kansalliseen turvallisuuteen tai puolustukseen.  

Ehdotettu 4 momentti mahdollistaisi sen, että Liikenne- ja viestintävirasto voi luovuttaa salassa pidettävää tietoa 25 §:ssä säädetyn lausuntomenettelyn yhteydessä. Säännös on tarpeen, koska salassa pidettävien tietojen luovuttamisesta on säädettävä lailla. Sisäministeriön osalta Liikenne- ja viestintävirasto voisi luovuttaa salassa pidettävää tietoa myös ministeriön alaisille viranomaisille, jos se on lausuntomenettelyn kannalta välttämätöntä. Momentissa ei säädettäisi tietojen edelleen luovuttamisesta viranomaisten välillä vaan Liikenne- ja viestintävirasto luovuttaisi tiedot tarvittaessa suoraan sisäministeriön alaisille viranomaisille.  

Nyt ehdotettavalla 6 §:llä laitetaan osaltaan kansallisesti täytäntöön data-asetuksen 37 artiklan 5 kohdan g alakohdan mukainen viranomaisten yhteistyövelvoite. 

7 §.Tarkastukset. Pykälässä säädettäisiin Liikenne- ja viestintäviraston tarkastusoikeudesta. Pykälän 1 momentin mukaan Liikenne- ja viestintävirastolla olisi data-asetukseen tai tähän lakiin perustuvien velvoitteiden epäiltyyn rikkomiseen liittyvää valvontaa varten oikeus päästä tilaan, jota data-asetuksessa tarkoitettu käyttäjä, datan haltija tai datan vastaanottaja käyttää elinkeino- tai ammattitoimintaansa liittyviin tarkoituksiin, ja tehdä valvonta-asian hoitamiseksi tarvittavia tarkastuksia. Pääsy- ja tarkastusoikeus ei koskisi pysyväisluonteiseen asumiseen käytettäviä tiloja.  

Säännöksellä pantaisiin osaltaan täytäntöön muun muassa data-asetuksen 37 artiklan 5 kohdan b ja c alakohdat, joissa edellytetään jäsenvaltion varmistavan, että toimivaltaisten viranomaisten valtuudet määritellään selkeästi, ja että niiden mukaan toimivaltaiset viranomaiset käsittelevät asetuksen väitettyyn rikkomiseen liittyviä valituksia, myös liikesalaisuuksiin liittyviltä osin, ja suorittavat asetuksen soveltamiseen liittyviä tutkimuksia, myös toiselta viranomaiselta saatavien tietojen perusteella. Data-asetuksen johdanto-osan 107 kohdan mukaan käyttäessään tutkintavaltuuksiaan toimivaltaisten viranomaisten olisi voitava etsiä ja hankkia tietoja, erityisesti yhteisöjen sellaisen toiminnan osalta, joka liittyy niiden toimivaltaan ja myös viranomaisten yhteisten tutkimusten yhteydessä. 

Viranomaistarkastuksen tarkoituksena on tyypillisesti selvittää pitävätkö viranomaiselle annetut tiedot paikkansa tai täyttääkö toimijan toiminta tai menettely sille asetetut edellytykset ja hankkia näyttöä mahdollisesta rikkomuksesta. Liikenne- ja viestintävirastolla olisi 1 momentin mukaan oikeus suorittaa tarkastus, kun on syytä epäillä, että data-asetuksen tai tämän lain mukaista velvoitetta on rikottu. Kynnyksen ei olisi tarkoitus olla erityisen korkea, mutta tarkastuksen aloittaminen edellyttäisi kuitenkin jonkinlaista konkreettista tarkastuksen kohteeseen liittyvää perustetta.  

Tarkastus voisi pykälän 1 momentin mukaan kohdistua data-asetuksessa määriteltyjen asetuksen velvoitteiden kohteena olevien toimijoiden elinkeino- ja ammattitoimintaan liittyviin tarkoituksiin käyttämiin tiloihin. Pääsy- ja tarkastusoikeus ei kuitenkaan koskisi pysyväisluonteiseen asumiseen käytettäviä tiloja riippumatta siitä, harjoitetaanko niissä asetuksen soveltamisalaan kuuluvaa elinkeinotoimintaa. Tällä rajoituksella pyritään huomioimaan tarkastuksiin liittyvät valtiosääntöiset reunaehdot ja kohdistamaan tarkastusvaltuudet laajempiin tai luonteeltaan vakavampiin rikkomuksiin, joista voidaan määrätä hallinnollisia seuraamusmaksuja. 

Pykälän 2 momentissa säädettäisiin tarkastusvaltuuksien laajuudesta. Liikenne- ja viestintävirastolla olisi tarkastuksissa oikeus salassapitosäännösten estämättä saada tutkittavakseen, jäljentää ja ottaa haltuun jäljennösten ottamista varten epäiltyyn rikkomukseen liittyvän valvontatehtävän kannalta tarpeellinen liikekirjeenvaihto, kirjanpito, muut asiakirjat ja tiedot missä tahansa muodossa tallennusvälineestä riippumatta.  

Data-asetuksen velvoitteet ovat suurelta osin erilaisia toimijoille asetettuja menettely- tai toiminnallisuusvaatimuksia, jotka voivat liittyä toimijoiden sisäisiin järjestelmiin tai tietojen keräämisessä käytettäviin teknisiin laitteisiin. Tästä syystä tarkastuksen piiriin kuuluvilla asiakirjoilla ja tiedoilla tarkoitettaisiin myös erilaista sähköistä aineistoa, joka on luettavissa tai muutoin ymmärrettävissä vain teknisen apuvälineen avulla, mukaan lukien yrityksen sähköisiin järjestelmiin tai data-asetuksen velvoitteiden kannalta olennaisiin laitteisiin liittyvät tiedot ja toiminnallisuudet.  

Jos tarkastuksen ulottaminen tarkastuksen kohteen tai sen henkilökunnan viestintään on tarpeen tarkastuksen asianmukaiseksi suorittamiseksi, tarkastus tulisi rajoittaa epäiltyyn rikkomukseen liittyvään liikekirjeenvaihtoon eikä tarkastusta saisi kohdistaa esimerkiksi työntekijöiden yksityisluonteisiin viesteihin. Liikekirjeenvaihdolla tarkoitetaan tarkastuksen kohteen elinkeinotoimintaan liittyvää viestintää viestintävälineestä riippumatta. Tarkastusvaltuuksien käytössä olisi huomioitava asiakkaan ja asianajajan tai muun oikeudenkäyntiasiamiehen tai -avustajan välisen viestinnän luottamuksellisuutta suojaava 1. lakiehdotuksen 8 §. 

Viranomaisella on voi olla tarve ottaa tutkinnan kohteeseen liittyvä aineisto tilapäisesti haltuun tarkastuksen aikana tietojen tai asiakirjojen hävittämisen estämiseksi. Tutkinnan ja rikkomuksen todistamisen kannalta tarpeelliset tiedot ja asiakirjat tulisi jäljentää ilman aiheetonta viivytystä ja palauttaa niiden hallinta sille, jolta ne on otettu haltuun. 

Pykälän 2 momentin mukaan tarkastusta toimittava virkamies voisi lisäksi pyytää tarkastuksen kohteen laillisilta edustajilta tai henkilöstön jäseniltä tarkastuksen kohteeseen ja tarkoitukseen liittyviä selvityksiä tosiseikoista ja asiakirjoista sekä tallentaa saamansa vastaukset. Viranomaistarkastuksella pyritään valvonta-asian yksityiskohtaiseen ja totuudenmukaiseen selvittämiseen. Tarkastuksen tavoitteen asianmukaiseksi toteutumiseksi on tärkeää, että viranomaiset voivat tarvittaessa jo tarkastuksen yhteydessä pyytää suullisesti täsmennyksiä tai selvityksiä tarkastuksen kohteeseen tai tarkastettaviin tietoihin liittyvistä tosiseikoista.  

Pykälän 3 momentissa säädettäisiin, että tarkastuksessa noudatetaan myös hallintolain (434/2003) 39 §:ssä säädettyjä tarkastuksen menettelytapasäännöksiä. Tarkastusmenettely käynnistyy viranomaisen päätöksellä tarkastuksen tekemisestä. Hallintolain mukaan asianosaiselle tulee muun muassa ilmoittaa tarkastuksen aloittamisajankohdasta, ellei ilmoittaminen vaaranna tarkastuksen tarkoituksen toteuttamista. Tarkastus voitaisiin siis tarvittaessa tehdä myös ennalta ilmoittamatta. Tarkastuksen kuluessa asianosaiselle olisi kerrottava tarkastuksen tavoitteista, sen suorittamisesta ja jatkotoimenpiteistä, mikäli tämä on mahdollista. Tarkastus olisi myös suoritettava aiheuttamatta tarkastuksen kohteelle tai sen haltijalle kohtuutonta haittaa.  

Tarkastukseen sovellettaisiin myös hallintolaista ilmeneviä hyvän hallinnon periaatteita. Niiden mukaan tarkastettavien asiakirjojen ja muiden tietojen tulisi olla tarpeen valvonta-asian kannalta ja tutkittavaksi pyydetyn aineiston laajuuden tarpeellista ja oikeassa suhteessa tarkastuksella tavoiteltavaan päämäärään nähden. Suhteellisuusedellytys ei välttämättä täyttyisi, jos tarkastusoikeutta haluttaisiin käyttää esimerkiksi sellaisen näytön hankkimiseksi, joka on saatavissa yrityksen julkiselta verkkosivustolta. Tarkastusoikeuden käyttäminen olisi yleensä perustellumpaa tilanteessa, jossa tutkinnan tai valvonta-asian kannalta tarpeelliset tiedot ovat yrityksen sisäisissä järjestelmissä tai kun tarkastus edellyttää esimerkiksi fyysisen laitteen tarkastamista. Tarkastus voi olla tarpeen myös siksi, että on pelättävissä, että rikkomuksen tutkinnan kannalta tarpeellisia tietoja ei luovuteta pyydettäessä tai niiden luovuttamiseen liittyy erityisiä teknisiä haasteita. 

Tarkastuspäätökseen ei saisi erikseen hakea muutosta. Tarkastuspäätös ei ole oikeudenkäynnistä hallintoasioissa annetun lain (808/2019) 6 §:ssä tarkoitettu päätös hallintoasian ratkaisemisesta tai tutkimatta jättämisestä. 

Pykälän 4 momentin mukaan Liikenne- ja viestintävirastolla on tässä pykälässä säädetyt tarkastusoikeudet, jos se toimittaa Suomessa tarkastuksen toisen jäsenvaltion toimivaltaisen viranomaisen data-asetuksen 37 artiklan 15 kohdan mukaisesti tekemän pyynnön perusteella data-asetuksen mainitun artiklan 2 kohdassa ja 38 artiklan 3 kohdassa säädetyn toimivaltaisten viranomaisten yhteistyövelvoitteen toteuttamiseksi.  

Säännöksen tarkoituksena on varmistaa, että Liikenne- ja viestintävirastolla on asianmukaiset toimivaltuudet asetuksen edellyttämien tutkintatoimien tekemiseksi myös muiden jäsenvaltioiden toimivaltaisten viranomaisten perustellusta pyynnöstä. Säännöksellä pantaisiin osaltaan täytäntöön myös data-asetuksen 37 artiklan 5 kohdan c ja f alakohdat, jotka edellyttävät jäsenvaltion varmistavan, että toimivaltaisten viranomaisten valtuudet on määritelty selkeästi, ja että nimetyt toimivaltaiset viranomaiset suorittavat tutkimuksia myös toiselta viranomaiselta saatujen tietojen perusteella ja tekevät yhteistyötä asetuksen tehokkaaksi soveltamiseksi mukaan lukien asiaankuuluvien tietojen vaihtaminen sähköisesti.  

Datanhallinta-asetuksen osalta tarkastusoikeutta ei ehdoteta, eikä asetus sitä suoraan edellytä. Ko. asetuksella sanktioitava toiminta on pääasiassa oikeushenkilön ilmoitusvelvollisuuden ja elinkeinonharjoittamista koskevan sääntelyn rikkomista, joten rikkomusten laatu ei edellyttäisi tällaisen oikeuden säätämistä. Kyseessä oleva elinkeinonharjoittamista koskevan sääntelyn rikkominen voi olla datanhallinta-asetuksen mukaisesti muiden kuin henkilötietojen siirto kolmansiin maihin vastoin asetuksessa säädettyjä edellytyksiä (5 artiklan 14 kohta ja 31 artikla), datan välityspalveluiden tarjoajan osalta ilmoitusvelvollisuuden laiminlyönti (11 artikla) ja palvelujen tarjoamisen edellytysten rikkominen (12 artikla) sekä tunnustettujen data-altruismiorganisaatioiden osalta rekisteröintiä koskevien edellytysten rikkominen (18, 20, 21 ja 22 artikla).  

8 §. Asianajosalaisuutta koskeva poikkeus tiedonsaanti- ja tarkastusoikeudesta. Liikenne- ja viestintävirastolle ehdotetut tutkintavaltuudet kohdistuvat data-asetuksen ja datanhallinta-asetuksen viranomaisvalvonnan kohteisiin, eikä tietopyyntöjä tai tarkastuksia voida kohdistaa kolmansiin osapuoliin, kuten asiamiehiin. Viranomaisvalvonnan kohteiden hallussa voi kuitenkin olla viranomaistutkinnan alaan liittyvää materiaalia, joka sisältää asianajosalaisuuden piiriin kuuluvaa kirjeenvaihtoa tai muuta viestintää.  

Pykälässä rajattaisiin asiakkaan ja asianajajan tai muun oikeudenkäyntimiehen välinen luottamuksellinen kirjeenvaihto Liikenne- ja viestintäviraston tiedonsaanti- ja tarkastusoikeuksien ulkopuolelle oikeudenkäyntiasiamiehen tai -avustajan ja tämän asiakkaan välisen luottamussuhteen turvaamiseksi. 

Pykälän 1 momentin mukaan Liikenne- ja viestintävirastolla ei olisi 5 ja 7 §:ssä säädettyjä tutkintavaltuuksia käyttäessään oikeutta saada tai tarkastaa asiakirjoja, jotka sisältävät asiakkaan ja asianajajan, luvan saaneen oikeudenkäyntiasiamiehen tai -avustajan taikka julkisen oikeusavustajan välistä luottamuksellista kirjeenvaihtoa.  

Tavoitteena olisi sulkea viranomaisten tiedonsaanti- ja tarkastusoikeuden ulkopuolelle asiakirjat, jotka sisältävät asianajosalaisuuden piiriin kuuluvaa luottamuksellista kirjeenvaihtoa. Kirjeenvaihdolla tarkoitettaisiin myös erilaista sähköistä aineistoa, joka on luettavissa tai muutoin ymmärrettävissä vain teknisen apuvälineen avulla. Asianajosalaisuuden tarkempi sisältö perustuu muuhun lainsäädäntöön ja oikeuskäytäntöön, eikä esityksellä ole tarkoitus supistaa asianajosalaisuuden sisältöä. Asianajosalaisuudesta säädetään asianajajista annetun lain (496/1958) 5 c §:ssä ja siihen läheisesti liittyvästä oikeudenkäyntiasiamiehen salassapitovelvoitteesta muun muassa oikeudenkäymiskaaren (4/1734) 15 luvun 17 §:ssä, oikeudenkäynnistä hallintoasioissa annetun lain (808/2019) 34 §:ssä, ja luvansaaneista oikeudenkäyntiavustajista annetun lain (715/2011) 8 §:n 1 momentin 4-5 kohdissa. Euroopan unionin tuomioistuimen oikeuskäytännön mukaan asiakkaan ja asianajajan välinen luottamuksellinen viestintä kuuluu asianajosalaisuuden piiriin, jos viestintä liittyy asianajajan ammatilliseen toimintaan, kuten oikeudelliseen neuvontaan tai oikeudenkäyntiin valmistautumiseen, ja viestinnän suojaaminen on tarpeen asiakkaan puolustautumisoikeuksien turvaamiseksi (ks. ratkaisu 18.5.1982, AM & S Europe Limited v Euroopan komissio, C-155/79, ECLI:EU:C:1982:157, kohta 23 ja 27). 

Asianajosalaisuuspoikkeus koskisi asiakkaan kirjeenvaihtoa sellaisten oikeudellista neuvontaa antavien juristien kanssa, joihin sovelletaan edellä tarkoitettuja ammatillisia salassapitovelvoitteita ja jotka ovat julkisen valvonnan alaisia. Poikkeus ei kuitenkaan koskisi elinkeinonharjoittajaan työsuhteessa olevan lakimiehen antamaa neuvonantoa, vaikka lakimies toimisi työnantajansa oikeudenkäyntiasiamiehenä tai -avustajana. Asianajosalaisuuspoikkeuksen henkilöllistä ulottuvuutta on käsitelty myös jaksossa 12.3.2.3. 

Pykälän 2 momentin mukaan asianajosalaisuuspoikkeusta sovellettaisiin Liikenne- ja viestintäviraston 5 ja 7 §: n mukaisiin tutkintavaltuuksiin riippumatta siitä, käytettäisiinkö niitä Liikenne- ja viestintäviraston omien valvontatehtävien suorittamisessa vai toisen jäsenvaltion toimivaltaisen viranomaisen pyynnöstä.  

9 §. Virka-apu. Pykälässä säädettäisiin tarpeellisen virka-avun myöntämisestä. Pykälän mukaan Liikenne- ja viestintävirastolla olisi oikeus lakiehdotuksessa säädettyjen tehtäviensä suorittamiseksi saada pyynnöstä poliisilta virka-apua. Poliisilain (872/2011) 9 luvun 1 §:n 1 momentin mukaan poliisin on annettava pyynnöstä muulle viranomaiselle virka-apua, jos niin erikseen säädetään. Poliisin on annettava virka-apua muulle viranomaiselle myös laissa säädetyn valvontavelvollisuuden toteuttamiseksi, jos virka-apua pyytävää viranomaista estetään suorittamasta virkatehtäviään. Tarve poliisin antamaan virka-apuun voisi tulla data-asetuksen valvonnassa kyseeseen tarkastusten toimittamisen yhteydessä, jos Liikenne- ja viestintävirastoa estetään suorittamasta tarkastusta, tai estämistä on perustellusti odotettavissa.  

10 §. Valvontapäätös. Pykälän 1 momentissa säädettäisiin Liikenne- ja viestintäviraston data-asetuksen ja datanhallinta-asetuksen valvontaan liittyvästä valvontapäätöksestä. Jos Liikenne- ja viestintävirasto toteaa, että data-asetuksen tai datanhallinta-asetuksen velvollisuuksia tai kieltoja on rikottu, se voi antaa huomautuksen tai varoituksen ja velvoittaa sen, joka rikkoo data-asetusta tai datanhallinta-asetusta, lopettamaan rikkomisen, korjaamaan virheensä tai laiminlyöntinsä taikka kieltää data-asetuksen tai datanhallinta-asetuksen vastaisen toimenpiteen. Ehdotettu viranomaisen toimivaltuus perustuu data-asetuksen 37 artiklan 5 kohdan b alakohtaan ja datanhallinta-asetuksen 34 artiklaan.  

Huomautus ja varoitus ovat valvovan viranomaisen lievempiä puuttumiskeinoja ja niitä käytettäisiin etenkin valvonnan alkuvaiheessa ensisijaisesti – neuvonnan ja ohjauksen jälkeen.  

Jos huomautusta tai varoitusta ei pidettäisi rikkomuksen vakavuuteen nähden riittävänä tai jos rikkominen huomautuksesta tai varoituksesta huolimatta jatkuisi tai toistuisi, Liikenne- ja viestintävirasto voisi myös määrätä seuraamusmaksuja tai tuomita valvontapäätöksen velvoitteisiin liitettyjä hallinnollisia seuraamuksia kuten uhkasakkoja maksettavaksi. 

Datanhallinta-asetuksen osalta Liikenne- ja viestintävirasto voi voimassaolevan sähköisen viestinnän palveluista annetun lain 330 §:n mukaan antaa huomautuksen tai varoituksen sille, joka rikkoo datanhallinta-asetuksen 11 artiklassa säädettyä datan välityspalvelun tarjoajan ilmoitusvelvollisuutta, 12 artiklassa säädettyjä datan välityspalvelun tarjoamisen edellytyksiä, 18 tai 20–22 artiklassa säädettyjä tunnustetuksi data-altruismipohjaiseksi organisaatioksi rekisteröintiä koskevia edellytyksiä taikka 31 artiklassa säädettyjä muiden tietojen kuin henkilötietojen siirtoa kolmansiin maihin koskevia edellytyksiä sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä. Datanhallinta-asetukseen valvontaan liittyvää valvontapäätöstä koskeva sääntely sisältyisi jatkossa tähän pykälään.  

Pykälän 2 momentin mukaan Liikenne- ja viestintävirasto voisi asettaa kohtuullisen määräajan, jonka kuluessa rikkomus tai laiminlyönti on lopetettava. Rikkomuksen lopettamiselle ja menettelyn korjaamiselle asetettava määräaika riippuisi muun muassa rikkomuksen vakavuudesta ja luonteesta.  

Ehdotetun 2 momentin myötä Liikenne- ja viestintäviraston ei, tällä hetkellä sovellettavasta sähköisen viestinnän palveluista annetun lain 330 §:n 3 momentista poiketen, tarvitsisi enää automaattisesti määritellä datanhallinta-setuksen rikkomuksen tai laiminlyönnin korjaamisvelvoitteelle kohtuullista määräaikaa, vaan se voisi asettaa määräajan tarvittaessa.  

11 §. Uhkasakko ja keskeyttämisuhka. Pykälän 1 momentin mukaan Liikenne- ja viestintävirasto voisi asettaa 10 §:n nojalla antamansa valvontapäätöksen tai muun tämän lain nojalla antamansa määräyksen tehosteeksi uhkasakon tai keskeyttämisuhan. Tällaisen asettaminen perustuisi data-asetuksen 37 artiklan 5 kohdan b-d alakohtiin, jotka koskevat valitusten käsittelyä ja tutkimusten suorittamista sekä taloudellisten seuraamusten määräämistä, ja datanhallinta-asetuksen 34 artiklaan.  

Keskeyttämisuhan käyttäminen Liikenne- ja viestintäviraston valvontapäätöksen tai määräyksen tehosteena olisi todennäköisesti melko harvinaista. Keskeyttämisuhka voisi liittyä esimerkiksi tilanteisiin, joissa data-asetuksen velvoitteiden rikkominen tapahtuu tavalla, jota ei ole enää mahdollista korjata pelkästään data-asetuksen rikkomisen lopettamisella ja sen tehosteeksi asetettavalla uhkasakolla. Tällainen tilanne voisi tulla eteen esimerkiksi data-asetuksen 6 artiklan rikkomistilanteessa, jossa kolmannen osapuolen todetaan käyttäneen datan haltijan luvatta käyttäjältä tai toiselta kolmannelta osapuolelta saamaansa dataa kilpailevan tuotteen tai palvelun kehittämiseksi ja aloittaneen siihen liittyvän liiketoiminnan. Liikenne- ja viestintävirastolla voisi olla tarve tällaisessa tilanteessa esimerkiksi kieltää data-asetuksen velvoitteita rikkomalla kehitetyn tuotteen valmistaminen tai palvelun tai sen osan tarjoaminen ja tehostaa kieltoa keskeyttämisuhalla.  

Datanhallinta-asetuksen 14 artiklan perusteella Liikenne- ja viestintävirasto voi muun muassa vaatia lykkäystä datan välityspalvelun tarjoamisen aloittamiselle, kunnes palvelun ehtoja on muutettu viranomaisen pyytämällä tavalla, tai vaatia datan välityspalvelun tarjoamisen lopettamista, jos vakavia tai toistuvia rikkomisia ei ole korjattu. Liikenne- ja viestintäviraston datanhallinta-asetuksen rikkomisten perusteella antamassa valvontapäätöksessä asetettujen velvoitteiden tehosteeksi voidaan tällä hetkellä asettaa uhkasakko, keskeyttämisuhka tai teettämisuhka sähköisen viestinnän palveluista annetun lain 332 §:n perusteella. Tässä esityksessä ehdotetun säännöksen perusteella teettämisuhkan asettaminen datanhallinta-asetuksen valvontaan liittyviin päätöksiin ei olisi enää mahdollista.  

Pykälän 2 momentissa säädettäisiin, että uhkasakkoa ei saisi asettaa luonnolliselle henkilölle tietojenantovelvollisuuden tehosteeksi, jos henkilöä on aihetta epäillä rikoksesta ja tiedot liittyvät rikosepäilyn kohteena olevaan asiaan. Tällä rajoituksella otetaan huomioon itsekriminointisuoja eli rikoksesta epäillyn henkilön oikeus kieltäytyä myötävaikuttamasta häntä koskevan rikosepäilyn selvittämiseen. Ehdotuksen mukaan kynnykseksi asetettaisiin ”on aihetta epäillä”, jotta sääntely olisi yhdenmukaista esimerkiksi kuluttajansuojaviranomaisten eräistä toimivaltuuksista annetun lain ja tietosuojalain kanssa. Itsekriminointisuoja kattaisi paitsi ne tapaukset, joissa esitutkintaviranomainen on jo tehnyt päätöksen esitutkinnan käynnistämisestä, myös ne tilanteet, joissa valvontaviranomainen arvioi, että tapaus saattaa myöhemmin johtaa rikosoikeudellisiin seuraamuksiin.  

12 §. Tehtävien tärkeysjärjestys ja asian tutkimatta jättäminen. Pykälän 1 momentissa säädettäisiin Liikenne- ja viestintäviraston mahdollisuudesta asettaa valvontatehtävänsä tärkeysjärjestykseen. Kyseessä olisi menettelysäännös, jonka mukaan asioiden tärkeysjärjestys määräytyisi asioiden merkittävyyden perusteella.  

Pykälän 2 momentissa säädettäisiin Liikenne- ja viestintäviraston toimivallasta jättää asia tutkimatta, jos asialla on epäillystä virheestä tai laiminlyönnistä huolimatta vain vähäinen merkitys data-asetuksen tai datanhallinta-asetuksen mukaisten velvoitteiden noudattamisen kannalta. Liikenne- ja viestinviraston tulisi kuitenkin hallintolain mukaisten periaatteiden mukaisesti ratkaista asia neuvonnalla. Liikenne- ja viestintäviraston olisi tehtävä päätös tutkimatta jättämisestä heti, kun se on mahdollista. Useissa tapauksissa arvio voidaan tehdä pian asian vireille tulon jälkeen. Päätös tutkimatta jättämisestä voidaan kuitenkin tehdä myös silloin, kun asiaa on selvitetty pidempään, mutta asiassa ei ole enää tarpeen ryhtyä toimenpiteisiin.  

Säännöksen 1 ja 2 momenttien tavoitteena on, että Liikenne- ja viestintävirasto käyttää toimivaltaansa niin, että virasto suuntaa voimavaransa erityisesti data-asetuksen tai datanhallinta-asetuksen tavoitteiden toteutumisen kannalta merkittävien asioiden selvittämiseen. Vastaavia priorisointisäännöksiä on sähköisen viestinnän palveluista annetun lain 313 §:ssä, joka on jo soveltunut datanhallinta-asetuksen osalta, sekä Kilpailu- ja kuluttajavirastosta annetun lain 7 §:ssä. 

3 luku Hallinnolliset seuraamusmaksut .  

Esityksen 13-19 §:ssä säädettäisiin niistä data-asetuksen velvoitteiden rikkomistilanteista, joiden seuraamuksena data-asetuksen ja datanhallinta-asetuksen noudattamista pääosin valvovalla Liikenne- ja viestintävirastolla olisi mahdollisuus määrätä seuraamusmaksu pykälissä tarkoitetuille tahoille. Pykälillä pantaisiin osaltaan täytäntöön data-asetuksen 37 artiklan 5 kohdan d alakohta. Sanktioinneissa on huomioitu Euroopan datainnovaatiolautakunnan antamat suositukset.  

13 §. Valmistajalle, myyjälle, vuokraajalle, leasinginantajalle tai palveluntarjoajalle määrättävä seuraamusmaksu . Pykälässä säädettäisiin valmistajalle, myyjälle, vuokraajalle, leasinginantajalle tai palveluntarjoajalle määrättävästä seuraamusmaksusta.  

Pykälän 1 momentin mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun valmistajalle tai palveluntarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö velvollisuutta suunnitella, valmistaa tai tarjota data-asetuksessa tarkoitetut verkkoon liitetyt tuotteet ja niihin liittyvät palvelut data-asetuksen 3 artiklan 1 kohdan mukaisesti.  

3 artiklan 1 kohdan mukaan verkkoon liitetyt tuotteet on suunniteltava ja valmistettava, ja niihin liittyvät palvelut on suunniteltava ja tarjottava siten, että tuotteen data ja siihen liittyvän palvelun data, myös asiaankuuluva metadata, joka on tarpeen kyseisen datan tulkitsemiseksi ja käyttämiseksi, on oletusarvoisesti ja – tapauksen mukaan ja silloin, kun se on teknisesti mahdollista – suoraan käyttäjän saatavilla helposti, turvallisesti ja maksutta kattavassa, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Tuotteen data, tuotteeseen liittyvän palvelun data sekä metadata on määritelty asetuksessa.  

Data-asetuksen tavoitteena on datan parempi saatavuus ja hyödynnettävyys sekä datan oikeudenmukaisempi jakaantuminen toimijoiden kesken. Data-asetuksella mahdollistetaan se, että IoT-laitteiden käyttäjät voivat hyötyä jälkimarkkina-, liitännäis- ja muista palveluista, jotka perustuvat tuotteiden keräämään dataan, ja kyseisten tietojen keräämisestä voi olla hyötyä verkkoon liitettyjen tuotteiden suorituskyvyn parantamisessa. Tämä vuoksi verkkoon liitetyn laitteen tai siihen kuuluvan palvelun suunnittelu niin, että tuotteen data ja siihen liittyvän palvelun data on suoraan tai välillisesti käyttäjän saatavilla, voidaan katsoa yhdeksi asetuksen keskeisimmistä velvoitteista. Asetuksen noudattamisen ja valvonnan kannalta on keskeistä sanktioida nämä artiklan velvoitteet. 

Data tulisi olla oletusarvoisesti suoraan käyttäjän saatavilla. Jos se ei kuitenkaan ole tapauksen mukaan tai teknisesti mahdollista, datan haltijan tulisi antaa data käyttäjälle (3 artiklan 1 kohta). Verkkoon liitetyt tuotteet voidaan suunnitella siten, että tietty data asetetaan saataville suoraan laitteen datantallennustilasta tai etäpalvelimelta, jolle data välitetään. (johdanto-osan 22 perustelukappale). Verkkoon liitetyt tuotteet voidaan suunnitella siten, että käyttäjä tai kolmas osapuoli voi niiden avulla käsitellä dataa verkkoon liitetyssä tuotteessa, valmistajan tietokoneella taikka käyttäjän tai kolmannen osapuolen valitsemassa tieto- ja viestintäteknisessä ympäristössä (johdanto-osan perustelukappale 22). Sen vuoksi asetuksen 3 artiklan 1 kohtaa on luettava ja kohdan sanktiointia arvioitava yhdessä asetuksen 4 artiklan 1 kohdan ja 5 artiklan 1 kohdan kanssa, jotka täydentävät ko. velvoitetta saada data ulos laitteesta tai siihen liittyvästä palvelusta. 

Laitteen tai palvelun suunnittelun, valmistuksen tai tarjoamisen epäonnistuminen niin, että data ei olisi suoraan tai välillisesti saatavissa, voitaisiin myös sanktioida ankarammin. Liikenne- ja viestintävirasto voisi määrätä 3 artiklan 1 kohdan velvoitteen rikkomisesta 20 §:n 2 momentin mukaisen korkeamman seuraamusmaksun. Joko suunnittelu, valmistaminen tai tarjoaminen voisi yksittäisenä rikkomisena johtaa seuraamusmaksuun tai kaikki yhdessä.  

Pykälän 2 momentin mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun myyjälle, vuokraajalle tai leasinginantajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö velvollisuutta antaa ennen sopimuksen tekemistä data-asetuksen 3 artiklan 2 kohdassa tarkoitetut tiedot muille asetuksessa määritellyille käyttäjille kuin kuluttajille. Momentissa leasinginantajalla tarkoitettaisiin data-asetuksessa käytettyä liisaaja-määritelmää. Leasinginantaja on oikea suomenkielinen muoto (ks. Kielikello 4/1998).  

Vain asetuksen 3 artiklan 2 kohdassa mainitut tiedot kuuluisivat seuraamusmaksulla sanktioinnin piiriin. Ko. artiklakohdan lista ei ole tyhjentävä, vaan siinä on lueteltu ne tiedot, jotka on lain mukaan vähintään annettava tiedoksi. Näin ollen myyjä, vuokraaja tai leasinginantaja voi antaa tai sopia annettavaksi käyttäjälle myös muita lisätietoja, mutta niiden antamatta jättäminen ei kuuluisi seuraamusmaksulla sanktioinnin piiriin. 

Tiedonantovelvollisuuden rikkomisen osalta käytettäisiin tapauksen mukaan lähtökohtaisesti ensin muita lievempiä valvontakeinoja kuten huomautusta.  

Pykälän 3 momentin mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun asetuksessa määritellylle tuotteeseen liittyvän palvelun tarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö velvollisuutta antaa ennen sopimuksen tekemistä data-asetuksen 3 artiklan 3 kohdassa tarkoitetut tiedot muille asetuksessa määritellyille käyttäjille kuin kuluttajille.  

Liikenne- ja viestintävirastolla olisi mahdollisuus antaa seuraamusmaksu vain asetuksen 3 artiklan 3 kohdassa mainituista tiedoista. Ko. artiklakohdan lista ei ole tyhjentävä, vaan siinä on lueteltu ne tiedot, jotka on lain mukaan vähintään annettava tiedoksi. Näin ollen palvelun tarjoaja voi antaa tai voi sopia annettavaksi käyttäjälle myös muita lisätietoja, mutta niiden antamatta jättäminen ei kuuluisi seuraamusmaksulla sanktioinnin piiriin. 

Tiedonantovelvollisuuden rikkomisen käytettäisiin tapauksen mukaan lähtökohtaisesti ensin muita lievempiä valvontakeinoja kuten huomautusta.  

14 §. Datan haltijalle määrättävä seuraamusmaksu. Pykälässä säädettäisiin asetuksessa määritellylle datan haltijalle määrättävästä seuraamusmaksusta.  

Pykälän 1 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datan haltijalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 4 artiklan 1 kohdassa säädettyä velvollisuutta asettaa helposti saatavilla oleva data ja siihen liittyvä metadata käyttäjän saataville.  

Jos verkkoon liitetyn tuotteen käyttäjä ei voi saada dataa suoraan tuotteesta tai siihen liittyvästä palvelusta, datan haltijan on asetettava käyttäjän saataville helposti saatavilla oleva data ja asiaankuuluva metadata, joka on tarpeen kyseisen datan tulkitsemiseksi ja käyttämiseksi, ilman aiheetonta viivytystä samanlaatuisena kuin datan haltijan käytettävissä oleva data, helposti, turvallisesti ja käyttäjälle maksutta kattavassa, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä tarvittaessa ja kun se on teknisesti mahdollista, jatkuvasti ja reaaliaikaisesti. Tämä on tehtävä pelkän pyynnön perusteella, joka esitetään sähköisesti, jos se on teknisesti mahdollista (4 artiklan 1 kohta).  

Tietosuoja-asetuksen 4 artiklan 8 alakohdassa määriteltyjen henkilötietojen käsittelijöiden ei katsota toimivan datan haltijoina. Tietosuoja-asetuksen 4 artiklan 7 alakohdassa määritelty rekisterinpitäjä voi kuitenkin antaa nimenomaisesti niille tehtäväksi asettaa data saataville (johdanto-osan 22 perustelukappale).  

’Helposti saatavilla olevaa dataa’ on tuotteen data ja siihen liittyvän palvelun data, jonka datan haltija laillisesti saa tai voi laillisesti saada verkkoon liitetystä tuotteesta tai siihen liittyvästä palvelusta – esimerkiksi tuotteiden suunnittelun, datan haltijan ja käyttäjän välisen sopimuksen, joka koskee asiaan liittyvien palvelujen tarjoamista, ja dataan pääsyn teknisten keinojen avulla – ilman kohtuutonta vaivaa. Kun verkkoon liitetyn tuotteen suunnittelu ei mahdollista verkkoon liitetyn tuotteen käytön tuloksena tuotetun datan tallentamista tai siirtämistä sen komponentin, jossa se tuotetaan, tai koko verkkoon liitetyn tuotteen ulkopuolelle, tällainen data ei sisälly helposti saatavilla olevaan dataan. Jos valmistajan tai muun osapuolen verkkoon liitettyyn tuotteeseen tai siihen liittyvään palveluun tekemien myöhempien päivitysten tai muuntelujen tuloksena saadaan pääsy muuhun dataan tai rajoitetaan sitä dataa, johon alun perin on ollut mahdollista päästä, tällaisista muutoksista olisi ilmoitettava käyttäjälle päivityksen tai muuntelun yhteydessä (johdanto-osan 20 perustelukappale). 

4 artiklan 1 kohta täydentää 3 artiklan 1 kohdassa säädettyä asetuksen keskeistä velvoitetta suunnitella laite tai palvelut niin, että niiden tuottama data on käyttäjän saatavilla artiklan mukaisesti. Velvoitteiden noudattamisen ja valvonnan kannalta on keskeistä sanktioida myös tämän artiklan velvoitteet.  

Datan haltijan artiklan mukaisten pyyntöjen käsittelymekanismin puuttuminen voitaisiin myös sanktioida ankarammin. Liikenne- ja viestintävirasto voisi määrätä velvoitteen rikkomisesta ehdotettavan lain 20 §:n 2 momentin mukaisen korkeamman seuraamusmaksun. 

Pykälän 2 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datan haltijalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 4 artiklan 2, 7 tai 8 kohdassa taikka 5 artiklan 10 tai 11 kohdassa säädettyä velvollisuutta ilmoittaa datan jakamisesta pidättäytymisestä, datan jakamisen keskeyttämisestä tai datan jakamisesta kieltäytymisestä Liikenne- ja viestintävirastolle.  

Data-asetuksen 4 artiklan 2, 7 ja 8 ja 5 artiklan 10 ja 11 kohdissa on säädetty niistä perusteista, joiden mukaan datan haltija voi pidättäytyä tai kieltäytyä datan jakamisesta tai keskeyttää sen. Tällaisista epäämisistä tulisi artikloissa säädetysti ilmoittaa datakoordinaattorina toimivalle viranomaiselle.  

Liikesalaisuuksien suojaamiseksi sovittavien ja tehtävien suojatoimenpiteiden osalta, jos yhteisymmärrykseen tarpeellisista liikesalaisuuksien suojaamiseksi tehtävistä toimenpiteistä ei ole päästy, tai jos käyttäjä taikka käyttäjän valitsema kolmas osapuoli ei toteuta sovittuja toimenpiteitä tai heikentää liikesalaisuuksien luottamuksellisuutta, datan haltijan olisi voitava pidättyä liikesalaisuuksiksi yksilöidyn datan jakamisesta tai keskeyttää se. Tällaisissa tapauksissa datan haltijan olisi toimitettava päätös kirjallisesti käyttäjälle tai kolmannelle osapuolelle ilman aiheetonta viivytystä ja ilmoitettava sen jäsenvaltion kansalliselle toimivaltaiselle viranomaiselle, johon datan haltija on sijoittautunut, että se on pidättynyt datan jakamisesta tai keskeyttänyt sen, ja yksilöitävä, mistä toimenpiteistä ei ole sovittu tai mitä ei ole pantu täytäntöön, ja tapauksen mukaan minkä liikesalaisuuksien luottamuksellisuus on vaarantunut. Datan haltijat eivät lähtökohtaisesti voi evätä data-asetuksen mukaista dataan pääsyä koskevaa pyyntöä ainoastaan sillä perusteella, että tietty data katsotaan liikesalaisuudeksi, sillä se tekisi tyhjäksi asetuksella tavoitellut tulokset (4 artiklan 7 kohta, 5 artiklan 10 kohta ja johdanto-osan 31 perustelukappale). 

Datan epäämisen osalta sanktioitavaa olisi tämän kohdan mukaisesti vain ilmoituksen tekemisen laiminlyönti. 4 artiklan 7 kohdan ja 5 artiklan 10 kohdan ilmoitusvelvollisuutta täydentää kuitenkin viranomaiselle tehtävän ilmoituksen perusteluvelvollisuus, jotka kuuluisivat sanktioinnin piiriin ja huomioitaisiin seuraamusmaksun määräämisen kokonaisarvioinnissa. Muu datan haltijan perustelu- ja informointivelvollisuuden laiminlyönti käyttäjää kohtaan voitaisiin katsoa käyttäjän ja datan haltijan väliseksi yksityisoikeudelliseksi riita-asiaksi. Datan haltijan laiminlyödessä velvollisuutensa toimittaa perusteltu ja kirjallinen päätös käyttäjälle tai kolmannelle osapuolelle olisi sanktioitu pykälän 5 kohdassa. 

Datakoordinaattorilla on 37 artiklan 6 kohdan c alakohdan mukaisesti velvollisuus ilmoittaa komissiolle vuosittain 4 artiklan 2 ja 8 kohdan ja 5 artiklan 11 kohdan mukaisesti ilmoitetuista epäämisistä. Tämän vuoksi koordinaattorina toimivan Liikenne- ja viestintäviraston on saatava kyseiset tiedot. Jotta ilmoituksen tekeminen toteutuisi tehokkaasti, olisi sen tekemisessä oltava sanktiouhka.  

Ilmoitusten tekemisen laiminlyönnin sanktiointi voisi edesauttaa myös sitä, että perusteettomia datan jakamisen keskeyttämisiä ei tehtäisi. Esimerkiksi 4 artiklan 7 kohdan mukaan datan haltijan on myös viranomaiselle tekemässään ilmoituksessa yksilöitävä, mitä toimenpiteitä ei ole sovittu tai pantu täytäntöön, sekä tapauksen mukaan minkä liikesalaisuuksien luottamuksellisuus on vaarantunut. 

Pykälän 3 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datan haltijalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 4 artiklan 4 kohdassa säädettyä kieltoa kohtuuttomasti vaikeuttaa käyttäjän valintojen tai oikeuksien hyödyntämistä.  

Datan haltijat eivät saa tehdä 4 artiklaan perustuvien käyttäjien valintojen tai oikeuksien hyödyntämisestä kohtuuttoman vaikeaa, mukaan lukien esittämällä valintoja käyttäjille puolueellisesti tai heikentämällä käyttäjän itsemääräämisoikeutta, päätöksentekoa tai valinnanvapautta jonkin digitaalisen käyttöliittymän tai sen osan rakenteen, suunnittelun, toiminnon tai toimintatavan kautta (4 artiklan 4 kohta). 

Datan haltijat eivät saisi tehdä käyttäjien oikeuksien tai valintojen hyödyntämisestä kohtuuttoman vaikeaa esimerkiksi tarjoamalla käyttäjille valintoja ei-neutraalisti tai pakottamalla, harhauttamalla tai manipuloimalla käyttäjää taikka horjuttamalla tai heikentämällä käyttäjän itsenäisyyttä, päätöksentekoa tai valinnan mahdollisuuksia, esimerkiksi digitaalisen käyttöliittymän tai sen osan kautta. Tässä yhteydessä datan haltijat eivät saisi turvautua niin kutsuttuihin pimeisiin kaavoihin digitaalisten käyttöliittymiensä suunnittelussa. Pimeät kaavat ovat suunnittelutekniikkoja, joilla painostetaan tai harhautetaan kuluttajia tekemään päätöksiä, joilla on heille kielteisiä seurauksia. Kyseisiä manipulointitekniikkoja saatetaan käyttää taivuttelemaan käyttäjiä, etenkin heikossa asemassa olevia kuluttajia, haitallisiin käyttäytymismalleihin, harhauttamaan käyttäjiä ohjaamalla heitä tekemään datan luovutusta koskevia päätöksiä tai vaikuttamaan kohtuuttomasti palvelun käyttäjien päätöksentekoon tavalla, joka horjuttaa tai heikentää heidän itsenäisyyttään, päätöksentekoaan ja valinnan mahdollisuuksiaan. Yleisiä ja lainmukaisia kaupallisia menettelyjä, jotka ovat unionin lainsäädännön mukaisia, ei sinänsä pitäisi katsoa pimeiksi kaavoiksi (ks. johdanto-osan 38 perustelukappale).  

Sama velvoite ja sanktiouhka olisi asetettu kolmannelle osapuolelle lain 17 §:n 7 kohdassa. 

Pykälän 4 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datan haltijalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 4 artiklan 5 kohdassa säädettyä kieltoa pyytää käyttäjältä enempää tietoa kuin on tarpeen sen varmistamiseksi, onko henkilö katsottava käyttäjäksi, tai säilyttää enempää tietoa käyttäjän pääsystä pyydettyyn dataan kuin on tarpeen taikka 5 artiklan 4 kohdassa säädettyä kieltoa pyytää käyttäjältä tai kolmannelta osapuolelta enempää tietoa kuin on tarpeen sen varmistamiseksi, onko henkilö katsottava käyttäjäksi, tai säilyttää enempää tietoa kolmannen osapuolen pääsystä dataan kuin on tarpeen.  

Datan haltijat voivat vaatia käyttäjän asianmukaista tunnistusta varmistaakseen, että käyttäjällä on oikeus dataan pääsyyn (johdanto-osan 29 perustelukappale). Sen varmistamiseksi, onko luonnollinen henkilö tai oikeushenkilö katsottava käyttäjäksi 4 artiklan 1 kohtaa sovellettaessa, datan haltija ei saa vaatia kyseistä käyttäjää antamaan enempää tietoja kuin on tarpeen. Datan haltijat eivät saa säilyttää enempää tietoja, erityisesti lokitietoja, käyttäjän pääsystä pyydettyyn dataan kuin on tarpeen käyttäjän datansaantipyynnön moitteetonta noudattamista ja datainfrastruktuurin turvallisuutta ja ylläpitoa varten (4 artiklan 5 kohta). Sen varmistamiseksi, onko luonnollinen henkilö tai oikeushenkilö katsottava käyttäjäksi tai kolmanneksi osapuoleksi 5 artiklan 1 kohdan soveltamista varten, käyttäjän tai kolmannen osapuolen ei saa edellyttää antavan enempää tietoja kuin on tarpeen. Datan haltijat eivät saa säilyttää enempää tietoja kolmannen osapuolen pääsystä pyydettyyn dataan kuin on tarpeen kolmannen osapuolen datansaantipyynnön moitteetonta noudattamista ja datainfrastruktuurin turvallisuutta ja ylläpitoa varten (5 artiklan 4 kohta). 

Kun on kyse henkilötiedoista, joita käsittelijä käsittelee rekisterinpitäjän puolesta, datan haltijoiden olisi varmistettava, että henkilötietojen käsittelijä saa ja käsittelee dataan pääsyä koskevan pyynnön (johdanto-osan 29 perustelukappale). 

Pykälän 5 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datan haltijalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 4 artiklan 7 kohdassa tai 5 artiklan 10 kohdassa säädettyä velvollisuutta toimittaa käyttäjälle tai kolmannelle osapuolelle kirjallisesti perusteltu päätös datan jakamisesta pidättäytymisestä tai datan jakamisen keskeyttämisestä taikka 4 artiklan 8 kohdassa tai 5 artiklan 11 kohdassa säädettyä velvollisuutta toimittaa käyttäjälle tai kolmannelle osapuolelle kirjallisesti perustelut, joiden nojalla datan haltija on kieltäytynyt jakamasta dataa.  

Asetuksessa edellytetään, että datan haltijan luovuttavat tiettyä dataa käyttäjille tai käyttäjän valitsemille kolmansille osapuolille. Datan haltijoiden olisi voitava vaatia käyttäjiä tai käyttäjän valitsemia kolmansia osapuolia säilyttämään liikesalaisuuksina pidettävän datan luottamuksellisuus. Tätä varten datan haltijoiden olisi yksilöitävä liikesalaisuudet ennen ilmaisemista, ja niillä olisi oltava mahdollisuus sopia käyttäjien tai käyttäjän valitsemien kolmansien osapuolten kanssa tarpeellisista toimenpiteistä liikesalaisuuksien luottamuksellisuuden säilyttämiseksi, myös käyttämällä mallisopimusehtoja ja salassapitosopimuksia sekä soveltamalla tiukkoja pääsyä koskevia protokollia, teknisiä standardeja ja käytännesääntöjä. Jos yhteisymmärrykseen tarpeellisista toimenpiteistä ei ole päästy tai jos käyttäjä taikka kolmas osapuoli ei toteuta sovittuja toimenpiteitä tai heikentää liikesalaisuuksien luottamuksellisuutta, datan haltijan olisi voitava pidättyä liikesalaisuuksiksi yksilöidyn datan jakamisesta tai keskeyttää se. Tällaisissa tapauksissa datan haltijan olisi toimitettava päätös kirjallisesti käyttäjälle tai kolmannelle osapuolelle ilman aiheetonta viivytystä ja ilmoitettava sen jäsenvaltion kansalliselle toimivaltaiselle viranomaiselle (ks. johdanto-osan 31 perustelukappale).  

Datan haltijat eivät lähtökohtaisesti voi evätä data-asetuksen mukaista dataan pääsyä koskevaa pyyntöä ainoastaan sillä perusteella, että tietty data katsotaan liikesalaisuudeksi, sillä se tekisi tyhjäksi asetuksella tavoitellut tulokset. Poikkeuksellisissa olosuhteissa datan haltijan, joka on liikesalaisuuden haltija, olisi kuitenkin voitava tapauskohtaisesti evätä pyyntö tietyn kyseessä olevan datan osalta, jos se voi osoittaa käyttäjälle tai kolmannelle osapuolelle, että käyttäjän tai kolmannen osapuolen toteuttamista teknisistä ja organisatorisista toimenpiteistä huolimatta kyseisen liikesalaisuuden ilmaisemisesta aiheutuu erittäin todennäköisesti vakavaa taloudellista vahinkoa. Vakava taloudellinen vahinko merkitsee vakavia ja korjaamattomia taloudellisia menetyksiä. Datan haltijan olisi asianmukaisesti perusteltava kieltäytymisensä kirjallisesti ilman aiheetonta viivytystä käyttäjälle tai kolmannelle osapuolelle ja ilmoitettava asiasta kansalliselle toimivaltaiselle viranomaiselle. Tällaisen perustelun olisi perustuttava objektiivisiin seikkoihin, jotka osoittavat konkreettisen riskin vakavasta taloudellisesta vahingosta, jonka odotetaan johtuvan tietystä tietojen ilmaisemisesta, sekä syyt, joiden vuoksi pyydettyjen tietojen suojaamiseksi toteutettuja toimenpiteitä ei pidetä riittävinä. Tässä yhteydessä voidaan ottaa huomioon mahdollinen kielteinen vaikutus kyberturvallisuuteen. Jos käyttäjä tai kolmas osapuoli haluaa riitauttaa datan haltijan päätöksen datan jakamisen epäämisestä tai jakamisen pidättämisestä tai keskeyttämisestä, se voi tehdä valituksen kansalliselle toimivaltaiselle viranomaiselle, jonka olisi ilman aiheetonta viivytystä päätettävä, olisiko datan jakaminen aloitettava tai olisiko sitä jatkettava ja millä edellytyksillä, tai se voi sopia datan haltijan kanssa asian saattamisesta riidanratkaisuelimen käsiteltäväksi, sanotun kuitenkaan rajoittamatta oikeutta hakea muutosta jäsenvaltion tuomioistuimessa. Asetuksessa säädetyt poikkeukset tietoihin pääsyä koskeviin oikeuksiin eivät saisi missään tapauksessa rajoittaa asetuksen (EU) 2016/679 mukaisia rekisteröityjen oikeuksia saada pääsy tietoihin ja siirtää tiedot järjestelmästä toiseen (ks. johdanto-osan 31 perustelukappale). 

Kohdassa olisi sanktioitu kirjallisen perustellun päätöksen tekemättä jättäminen ja toimittaminen käyttäjälle tai kolmannelle osapuolelle. Kirjallisen päätöksen tarkoituksena on datan saatavuuteen ja käyttöön liittyvien sopimussuhteiden epätasapainon väärinkäytön estäminen. Tämän korjaamiseksi on tärkeää, että perusteltu sopimus tehdään kirjallisesti ja käyttäjä saa sen ilman aiheetonta viivytystä. Näin asiakas voi tarkastaa päätöksen tai tietojen perusteet datan epäämiselle ja tarvittaessa riitauttaa ne. 4 artiklan 7 ja 5 artiklan 10 kohdan mukaan datan haltijan velvollisuutena on toimittaa päätös datan jakamisesta pidättäytymisestä, kun taas 4 artiklan 8 kohdan ja 5 artiklan 11 kohdan mukaan velvollisuutena on toimittaa kirjallisena perustelut, joiden nojalla epääminen on tehty. 

Itse artiklan velvollisuus liikesalaisuuksien suojaamisesta 4 artiklan 6 kohdan mukaan tulisi osaltaan huomioitua tämän kohdan sanktioinnin kautta. Ko. artiklan velvoitteita ei ole kuitenkaan sanktioitu tässä esityksessä, vaan ne olisivat liikesalaisuuden haltijan ja käyttäjän tai kolmannen osapuolen välisiä yksityisoikeudellisia riita-asioita. Liikenne- ja viestintävirastolla ei olisi mahdollisuuksia arvioida sopimuksien ehtoja muun muassa kohtuullisuudesta tai esimerkiksi siitä olisiko datan haltija vetänyt suojatoimet liian tiukalle tai onko käyttäjä tai kolmas osapuoli tehnyt tarvittavat suojatoimenpiteet. 

Pykälän 6 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datan haltijalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 4 artiklan 13 kohdassa säädettyä kieltoa käyttää helposti saatavilla olevaa muuta dataa kuin henkilötietoja ilman käyttäjän kanssa tehtyä sopimusta tai mainitun artiklan 14 kohdassa säädettyä kieltoa asettaa muuta dataa kuin henkilötietoja kolmansien osapuolten saataville ilman käyttäjän kanssa tehtyä sopimusta.  

4 artiklan 13 kohdassa säädetysti datan haltija saa käyttää helposti saatavilla olevaa muuta dataa kuin henkilötietoja vain käyttäjän kanssa tehdyn sopimuksen perusteella. 4 artiklan 14 kohdan mukaan datan haltijat eivät saa asettaa tuotteen dataa, joka ei ole henkilötietoja, kolmansien osapuolten saataville kaupallisiin tai ei-kaupallisiin tarkoituksiin muutoin kuin käyttäjän kanssa tekemänsä sopimuksen täyttämiseksi. Tapauksen mukaan datan haltijoiden on sopimusteitse velvoitettava kolmannet osapuolet olemaan jakamatta edelleen niiltä vastaanotettua dataa. 

Kohdan sanktioinnin piiriin kuuluu datan haltijan datan käyttö ilman sopimusta. Kuitenkaan sopimuksen sisällön vastaiset toimet eivät kuulu sanktioinnin piiriin, vaan ne olisivat datan haltijan ja käyttäjän tai kolmannen osapuolen välisiä yksityisoikeudellisia riita-asioita, joita Liikenne- ja viestintävirastolla ei olisi mahdollisuuksia arvioida. Näiden joukkoon voi kuulua muun muassa sen arviointia, onko datan käyttäminen sopimuksen vastaisesti johtanut käyttäjän kaupallisen aseman heikkenemiseen markkinoilla.  

Pykälän 7 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datan haltijalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 5 artiklan 1 kohdassa säädettyä velvollisuutta pyynnöstä asettaa helposti saatavilla oleva data ja siihen liittyvä metadata kolmannen osapuolen saataville tai 8 artiklan 4 kohdassa säädettyä kieltoa asettaa dataa datan vastaanottajan saataville ilman käyttäjän pyyntöä taikka mainitun artiklan 1 kohdassa säädettyä velvollisuutta sopia datan vastaanottajan kanssa datan saataville asettamista koskevista järjestelyistä.  

5 artiklan 1 kohdan mukaan datan haltijan on käyttäjän tai käyttäjän puolesta toimivan osapuolen pyynnöstä asetettava kolmannen osapuolen saataville helposti saatavilla oleva data ja asiaankuuluva metadata, joka on tarpeen kyseisen datan tulkitsemiseksi ja käyttämiseksi, ilman aiheetonta viivytystä, samanlaatuisena kuin datan haltijan käytettävissä oleva data, helposti, turvallisesti ja käyttäjälle maksutta kattavassa, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä tarvittaessa, ja kun se on teknisesti mahdollista, jatkuvasti ja reaaliaikaisesti. Datan haltijan on asetettava data kolmannen osapuolen saataville 8 ja 9 artiklan mukaisesti. 

Datan haltijan tulee asettaa data kolmannen osapuolen saataville 5 artiklan 1 kohdan mukaisesti, mutta sei ei saa asettaa dataa datan vastaanottajan saataville, edes yksinoikeudella, jollei käyttäjä ole sitä pyytänyt II luvun mukaisesti (8 artiklan 4 kohta). 

5 artiklan 1 kohta täydentää asetuksen keskeistä velvoitetta suunnitella laitteet ja palvelut niin, että niiden tuottama data on joko suoraan tai välillisesti käyttäjän saatavilla, sekä 4 artiklan 1 kohdan velvoitetta datan haltijalle asettaa käyttäjän saataville helposti saatavilla oleva data ja asiaankuuluva metadata. Sanktioitua olisi datan saataville asettamisen laiminlyönti ja artiklan mukaisten pyyntöjen käsittelymekanismin puuttuminen. Seuraamusmaksun määräämisessä otettaisiin huomioon, onko data asetettu kolmannen osapuolen saataville artiklan mukaisesti.  

Itsenäisenä velvoitteena sanktioitua olisi, jos data asetetaan saataville 8 artiklan 4 kohdan vastaisesti, eli ilman käyttäjän tekemää pyyntöä. Asetuksen velvoite datan jakamiseen perustuu käyttäjän tekemään pyyntöön ja käyttäjän tunnistamiseen oikeuksien ja velvollisuuksien realisoimiseksi. 

Lisäksi seuraamusmaksu voitaisiin määrätä, jos datan haltija laiminlyö 8 artiklan 1 kohdan mukaisen velvoitteensa sopia datan vastaanottajan kanssa datan saataville asettamista koskevista järjestelyistä. Jos datan haltijalla on yritysten välisissä suhteissa velvollisuus asettaa data sen vastaanottajan saataville 5 artiklan tai muun sovellettavan unionin oikeuden tai unionin oikeuden mukaisesti annetun kansallisen lainsäädännön nojalla, sen on sovittava datan vastaanottajan kanssa datan saataville asettamista koskevista järjestelyistä ja täytettävä velvollisuus noudattaen oikeudenmukaisia, kohtuullisia ja syrjimättömiä ehtoja ja avoimella tavalla III luvun ja IV luvun mukaisesti (8 artiklan 1 kohta).  

Asetuksen mukaiseen dataan pääsyn olisi perustuttava oikeudenmukaisiin, kohtuullisiin ja syrjimättömiin ehtoihin. Kyseisiä yleisiä datan saatavuutta koskevia sääntöjä ei sovelleta asetuksen (EU) 2016/679 mukaisiin datan saataville asettamista koskeviin velvoitteisiin. Kyseiset säännöt eivät vaikuta datan vapaaehtoiseen jakamiseen. Komission laatimat ja suosittelemat ei-sitovat mallisopimusehdot yritysten välistä datan jakamista varten voivat auttaa osapuolia tekemään sopimuksia, jotka sisältävät oikeudenmukaiset, kohtuulliset ja syrjimättömät ehdot ja jotka pannaan täytäntöön avoimella tavalla. Sopimusten, joihin voi sisältyä ei-sitovia mallisopimuksen ehtoja, tekeminen ei kuitenkaan saisi merkitä sitä, että oikeus jakaa dataa kolmansien osapuolten kanssa olisi millään tavoin riippuvainen tällaisen sopimuksen olemassaolosta. Jos osapuolet eivät pysty tekemään sopimusta tietojen jakamisesta, myöskään riidanratkaisuelinten tuella, oikeus jakaa tietoja kolmansien osapuolten kanssa on täytäntöönpanokelpoinen kansallisissa tuomioistuimissa (ks. johdanto-osan 42 perustelukappale). 

Sopimusvapauden periaatteen perusteella osapuolten olisi voitava vapaasti neuvotella niiden sopimuksiin sisällytettävistä datan saataville asettamista koskevista tarkoista edellytyksistä datan asettamista saataville koskevien yleisten dataan pääsyä koskevien sääntöjen puitteissa. Tällaisten sopimusten ehtoihin voisi sisältyä teknisiä ja organisatorisia toimenpiteitä, myös tietoturvan osalta (johdanto-osan 43 perustelukappale). 

Jokainen velvoitteista olisi sanktioitu itsenäisenä tekona. Koska velvoitteet ovat keskeisiä asetuksen tavoitteiden toteutumiselle, teoista olisi mahdollisuus antaa lain 20 §:n mukainen suurempi seuraamusmaksu. 

Pykälän 8 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datan haltijalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 18 artiklan 1 kohdassa säädettyä velvollisuutta asettaa data mainitussa kohdassa tarkoitettujen elinten pyynnöstä niiden saataville ilman aiheetonta viivytystä.  

Datan haltijan, joka saa tämän luvun mukaisesti datan saataville asettamista koskevan pyynnön, on asetettava data pyynnön esittäneen julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen saataville ilman aiheetonta viivytystä ottaen huomioon tarvittavat tekniset, organisatoriset ja oikeudelliset toimenpiteet (18 artiklan 1 kohta).  

Datan haltijoilla olisi oltava mahdollisuus joko evätä julkisen sektorin elimen, komission, Euroopan keskuspankin tai unionin elimen esittämä pyyntö tai pyytää sen muuttamista ilman aiheetonta viivytystä, mutta datan saataville asettamatta jättämiselle olisi oltava perusteltu syy. Pyynnön epäävän tai sen muuttamista pyytävän datan haltijan olisi ilmoitettava perustelut dataa pyytäneelle julkisen sektorin elimelle, komissiolle, Euroopan keskuspankille tai unionin elimelle. Kun pyydettyihin tietojoukkoihin sovelletaan Euroopan parlamentin ja neuvoston direktiivin 96/9/EY (29) mukaisia tietokantoja koskevia sui generis -oikeuksia, datan haltijoiden olisi käytettävä oikeuksiaan tavalla, joka ei estä julkisen sektorin elintä, komissiota, Euroopan keskuspankkia tai unionin elintä saamasta dataa tai jakamasta sitä data-asetuksen mukaisesti (ks. johdanto-osan 71 perustelukappale).  

Mekanismi on luotu, sillä asetuksen tavoitteena on tukea viranomaisten mahdollisuuksia hoitaa lakisääteisiä yleisen edun mukaisia tehtäviään. Pääsy tietyissä tilanteissa yksityisen hallussa olevaan dataan helpottaa viranomaisten toimintaa. Se on asetuksen yksi keskeisimmistä velvoitteista. Asetuksen noudattamisen ja valvonnan kannalta on keskeistä sanktioida ko. datan saataville asettamisen laiminlyönti.  

Kuitenkin yrityksille aiheutuvan rasitteen keventämiseksi mikroyritykset ja pienet yritykset olisi velvoitettava toimittamaan dataa julkisen sektorin elimille, komissiolle, Euroopan keskuspankille tai unionin elimille ainoastaan poikkeuksellisissa tilanteissa, joissa tällaista dataa edellytetään yleiseen hätätilaan reagoimista varten ja julkisen sektorin elin, komissio, Euroopan keskuspankki tai unionin elin ei voi saada tällaista tietoa vaihtoehtoisella keinolla oikea-aikaisesti ja tehokkaasti ja vastaavin edellytyksin (johdanto-osan 63 perustelukappale). 

15 §. Käyttäjälle määrättävä seuraamusmaksu . Pykälässä säädettäisiin niistä asetuksen velvoitteista, joiden rikkomisesta voitaisiin määrätä seuraamusmaksu verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käyttäjälle, joka voi olla oikeushenkilö tai luonnollinen henkilö. Käyttäjälle voitaisiin määrätä seuraamusmaksu vain asetuksen keskeisten velvoitteiden rikkomisesta, jolloin seuraamusmaksun enimmäismäärä voisi olla 20 §:n 2 momentin korkeamman portaan mukainen.  

Pykälän 1 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun data-asetuksessa tarkoitetulle käyttäjälle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 4 artiklan 6 kohdassa säädettyä velvollisuutta noudattaa datan haltijan tai liikesalaisuuksien haltijan kanssa sovittuja suojatoimenpiteitä liikesalaisuuksien säilyttämiseksi.  

Liikesalaisuudet on säilytettävä ja niitä saa ilmaista vain sillä edellytyksellä, että datan haltija ja käyttäjä toteuttavat ennen niiden ilmaisemista kaikki tarvittavat toimenpiteet niiden luottamuksellisuuden säilyttämiseksi erityisesti suhteessa kolmansiin osapuoliin. Datan haltijan tai, kun kyse ei ole samasta henkilöstä, liikesalaisuuden haltijan on yksilöitävä data, joka on suojattu liikesalaisuuksina, mukaan lukien asiaankuuluva metadata, ja sovittava käyttäjän kanssa oikeasuhteisista teknisistä ja organisatorisista toimenpiteistä, jotka ovat tarpeen jaettavan datan luottamuksellisuuden säilyttämiseksi erityisesti suhteessa kolmansiin osapuoliin, kuten mallisopimusehdot, salassapitosopimukset, tiukat pääsyprotokollat, tekniset standardit ja käytännesääntöjen soveltaminen (4 artiklan 6 kohta). Nämä suojatoimet on otettava käyttöön enne datan jakamista. 

Datan haltija ei siis saa viedä suojatoimenpiteitä liian pitkälle, vaan niiden on oltava oikeasuhtaisia. Jos käyttäjä ei toteuta artiklan mukaisia suojatoimenpiteitä liikesalaisuuksien suojaamiseksi, datan haltijat voivat tietyissä tapauksissa evätä dataan pääsyä koskevan pyynnön. Datan haltijat eivät lähtökohtaisesti voi evätä data-asetuksen mukaista dataan pääsyä koskevaa pyyntöä ainoastaan sillä perusteella, että tietty data katsotaan liikesalaisuudeksi, sillä se tekisi tyhjäksi asetuksella tavoitellut tulokset. Poikkeuksellisissa olosuhteissa datan haltijan, joka on liikesalaisuuden haltija, olisi kuitenkin voitava tapauskohtaisesti evätä pyyntö tietyn kyseessä olevan datan osalta, jos se voi osoittaa käyttäjälle tai kolmannelle osapuolelle, että käyttäjän tai kolmannen osapuolen toteuttamista teknisistä ja organisatorisista toimenpiteistä huolimatta kyseisen liikesalaisuuden ilmaisemisesta aiheutuu erittäin todennäköisesti vakavaa taloudellista vahinkoa. Vakava taloudellinen vahinko merkitsee vakavia ja korjaamattomia taloudellisia menetyksiä. Datan haltijan olisi asianmukaisesti perusteltava kieltäytymisensä kirjallisesti ilman aiheetonta viivytystä käyttäjälle tai kolmannelle osapuolelle ja ilmoitettava asiasta kansalliselle toimivaltaiselle viranomaiselle. Tällaisen perustelun olisi perustuttava objektiivisiin seikkoihin, jotka osoittavat konkreettisen riskin vakavasta taloudellisesta vahingosta, jonka odotetaan johtuvan tietystä tietojen ilmaisemisesta, sekä syyt, joiden vuoksi pyydettyjen tietojen suojaamiseksi toteutettuja toimenpiteitä ei pidetä riittävinä. Tässä yhteydessä voidaan ottaa huomioon mahdollinen kielteinen vaikutus kyberturvallisuuteen. Jos käyttäjä tai kolmas osapuoli haluaa riitauttaa datan haltijan päätöksen datan jakamisen epäämisestä tai jakamisen pidättämisestä tai keskeyttämisestä, se voi tehdä valituksen kansalliselle toimivaltaiselle viranomaiselle, jonka olisi ilman aiheetonta viivytystä päätettävä, olisiko datan jakaminen aloitettava tai olisiko sitä jatkettava ja millä edellytyksillä, tai se voi sopia datan haltijan kanssa asian saattamisesta riidanratkaisuelimen käsiteltäväksi, sanotun kuitenkaan rajoittamatta oikeutta hakea muutosta jäsenvaltion tuomioistuimessa. Asetuksessa säädetyt poikkeukset tietoihin pääsyä koskeviin oikeuksiin eivät saisi missään tapauksessa rajoittaa asetuksen (EU) 2016/679 mukaisia rekisteröityjen oikeuksia saada pääsy tietoihin ja siirtää tiedot järjestelmästä toiseen (johdanto-osan 31 perustelukappale). 

Pykälän 2 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun data-asetuksen käyttäjälle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 4 artiklan 10 kohdassa säädettyä kieltoa hyödyntää tai luovuttaa kolmannelle osapuolelle datanhaltijalta saamaansa dataa sellaisen verkkoon liitetyn tuotteen kehittämiseksi, joka kilpailee sen tuotteen kanssa, josta data on peräisin.  

Asetuksen tavoitteena on samalla estää dataa tuottavien verkkoon liitettyjen tuotteiden tyyppien osalta investointikannustimien heikentäminen esimerkiksi siten, että dataa käytetään sellaisen kilpailevan verkkoon liitetyn tuotteen kehittämiseen, joka voisi ominaisuuksiensa, hintansa ja aiotun käyttönsä perusteella korvata alkuperäisen tuotteen. Data-asetuksessa ei kielletä verkkoon liitettyyn tuotteeseen liittyvän palvelun kehittämistä asetuksen mukaisesti saadun datan avulla, koska sillä olisi ei-toivottava vaikutus innovointiin. Asetuksen nojalla saatavilla olevan datan kilpailevan verkkoon liitetyn tuotteen kehittämiseen tähtäävän käytön kieltäminen suojaa datan haltijoiden innovointitoimia. Se, kilpaileeko verkkoon liitetty tuote sen verkkoon liitetyn tuotteen kanssa, josta data on peräisin, riippuu siitä, kilpailevatko nämä kaksi tuotetta samoilla tuotemarkkinoilla. Tämä on määritettävä merkityksellisten tuotemarkkinoiden määrittelemiseen tarkoitetun unionin kilpailulainsäädännön vakiintuneiden periaatteiden pohjalta. Muihin datan käytön laillisiin tarkoituksiin voisi kuitenkin kuulua takaisinmallinnus edellyttäen, että se täyttää data-asetuksessa sekä unionin oikeudessa tai kansallisessa lainsäädännössä säädetyt vaatimukset. Tämä voi koskea verkkoon liitetyn tuotteen korjaamista tai käyttöiän pidentämistä tai jälkimarkkinapalvelujen tarjoamista verkkoon liitetyille tuotteille (johdanto-osan 32 perustelukappale). Kolmas osapuoli voi kuitenkin käyttää saamaansa dataa kehittääkseen uuden ja innovatiivisen verkkoon liitetyn tuotteen tai tuotteeseen liittyvän palvelun, mutta ei kehittääkseen kilpailevaa verkkoon liitettyä tuotetta (johdanto-osan 39 perustelukappale). 

Myös käyttäjälle on 17 §:n 5 kohdassa asetettu asetuksen 6 artiklan 2 kohdan e alakohdan mukainen kielto kilpailevan tuotteen kehittämiseksi.  

Pykälän 3 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun data-asetuksen käyttäjälle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 4 artiklan 11 kohdassa säädettyä kieltoa käyttää pakottavia keinoja tai käyttää väärin datan suojaamiseen suunnitellun datan haltijan teknisen infrastruktuurin puutteita saadakseen pääsyn dataan.  

Sanktiouhan piiriin kuuluisi käyttäjän tahallisesti tai huolimattomuudellaan väärinkäyttämät aukot teknisessä infrastruktuurissa. Rikkomukselta edellytetään siis tahallisuutta tai huolimattomuutta. Jonkinlainen tietoinen pyrkimys päästä tietoihin, joihin ei ole annettu oikeutta, pitäisi olla kyseessä. Teknisen infrastruktuurin puutteissa kyse voisi olla myös huolimattomuuden kaltaisesta toiminnasta, mikäli puutteiden hyödyntäminen tehdään, kun se on mahdollista selvittämättä, onko siihen oikeus.  

16 §. Portinvartijayritykselle määrättävä seuraamusmaksu. Pykälässä säädettäisiin Liikenne- ja viestintäviraston mahdollisuudesta määrätä seuraamusmaksu digimarkkina-asetuksen 3 artiklan nojalla nimetylle portinvartijayritykselle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 5 artiklan 3 kohdassa säädettyä kieltoa pyytää tai vastaanottaa dataa.  

Portinvartijayritystä ei katsota data-asetuksen 5 artiklan 3 kohdan mukaisesti artiklassa tarkoitetuksi dataan pääsyyn edellytykset täyttäväksi kolmanneksi osapuoleksi eikä se näin ollen saa 

pyytää käyttäjää tai taivutella käyttäjää kaupallisin kannustimin millään tavalla, muun muassa tarjoamalla rahallista tai muuta korvausta, asettamaan jonkin sen palvelun saataville dataa, jonka käyttäjä on saanut 4 artiklan 1 kohdan mukaisen pyynnön perusteella; 

pyytää käyttäjää tai taivutella käyttäjää kaupallisin kannustimin pyytämään datan haltijaa asettamaan dataa jonkin sen palvelun saataville tämän artiklan 1 kohdan mukaisesti; 

vastaanottaa käyttäjältä dataa, jonka käyttäjä on saanut 4 artiklan 1 kohdan mukaisen pyynnön perusteella. 

Data-asetuksen johdanto-osan 40 perustelukappaleen mukaan portinvartijayrityksillä on kyseisten yritysten kilpailijoihin nähden ylivoimainen kyky hankkia dataa, minkä takia data-asetuksen tavoitteen saavuttamiseksi ei ole tarpeen eikä olisi tällaisten velvoitteiden soveltamisalaan kuuluvien datan haltijoiden kannalta sen vuoksi oikeasuhteista antaa portinvartijoillemahdollisuutta hyötyä dataan pääsyä koskevasta oikeudesta. Tällainen sisällyttäminen rajoittaisi todennäköisesti myös data-asetuksesta pk-yrityksille koituvia hyötyjä, jotka liittyvät datan arvon oikeudenmukaiseen jakautumiseen markkinatoimijoiden kesken. Tämä tarkoittaa, että ydinalustapalveluja tarjoava yritys, joka on nimetty portinvartijaksi, ei data-asetuksen nojalla voi pyytää eikä sille voida myöntää pääsyä käyttäjien dataan, joka on tuotettu verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena tai jonka on tuottanut virtuaaliavustaja. Kolmannet osapuolet, joiden saataville data asetetaan käyttäjän pyynnöstä, eivät myöskään saa asettaa dataa portinvartijan saataville. Kolmas osapuoli ei esimerkiksi saa teettää palvelun tarjoamista alihankintana portinvartijalla. Tämä ei kuitenkaan estä kolmansia osapuolia käyttämästä portinvartijan tarjoamia datankäsittelypalveluja. Se ei myöskään estä kyseisiä yrityksiä saamasta ja käyttämästä samaa dataa muilla laillisilla keinoilla. Tässä asetuksessa säädetyt dataan pääsyä koskevat oikeudet lisäävät osaltaan kuluttajien palveluvalikoimaa. Koska portinvartijoiden ja datan haltijoiden väliset vapaaehtoiset sopimukset pysyvät ennallaan, portinvartijoiden pääsyä koskeva rajoitus ei estäisi niitä pääsemästä markkinoille tai tarjoamasta palvelujaan. 

Portinvartijayrityksen edellä kuvatun roolin takia, sen rikkoessa tai laiminlyödessä tämän pykälän mukaista kieltoa, seuraamusmaksun suuruuteen sovellettaisiin ehdotettavan lain 20 §:n 2 momenttia, jotta sanktiouhka olisi tarpeeksi varoittava ja tehokas.  

17 §. Kolmannelle osapuolelle määrättävä seuraamusmaksu. Pykälässä säädettäisiin niistä asetuksen velvoitteista, joiden rikkomisesta voitaisiin määrätä seuraamusmaksu kolmannelle osapuolelle, jonka saataville data asetetaan. Kolmas osapuoli voi olla luonnollinen henkilö tai oikeushenkilö mukaan lukien esimerkiksi tutkimusorganisaatiot, järjestöt tai yhdistykset.  

Pykälän 1 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun kolmannelle osapuolelle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 5 artiklan 5 kohdassa säädettyä kieltoa käyttää pakottavia keinoja tai käyttää väärin datan suojaamiseen suunnitellun datan haltijan teknisen infrastruktuurin puutteita saadakseen pääsyn dataan.  

Kolmannet osapuolet eivät saisi tehdä käyttäjien oikeuksien tai valintojen hyödyntämisestä kohtuuttoman vaikeaa esimerkiksi tarjoamalla käyttäjille valintoja ei-neutraalisti tai pakottamalla, harhauttamalla tai manipuloimalla käyttäjää taikka horjuttamalla tai heikentämällä käyttäjän itsenäisyyttä, päätöksentekoa tai valinnan mahdollisuuksia, esimerkiksi digitaalisen käyttöliittymän tai sen osan kautta. Tässä yhteydessä kolmannet osapuolet eivät saisi turvautua niin kutsuttuihin pimeisiin kaavoihin digitaalisten käyttöliittymiensä suunnittelussa. Pimeät kaavat ovat suunnittelutekniikkoja, joilla painostetaan tai harhautetaan kuluttajia tekemään päätöksiä, joilla on heille kielteisiä seurauksia. Kyseisiä manipulointitekniikkoja saatetaan käyttää taivuttelemaan käyttäjiä, etenkin heikossa asemassa olevia kuluttajia, haitallisiin käyttäytymismalleihin, harhauttamaan käyttäjiä ohjaamalla heitä tekemään datan luovutusta koskevia päätöksiä tai vaikuttamaan kohtuuttomasti palvelun käyttäjien päätöksentekoon tavalla, joka horjuttaa tai heikentää heidän itsenäisyyttään, päätöksentekoaan ja valinnan mahdollisuuksiaan. Yleisiä ja lainmukaisia kaupallisia menettelyjä, jotka ovat unionin lainsäädännön mukaisia, ei sinänsä pitäisi katsoa pimeiksi kaavoiksi (ks. johdanto-osan 38 perustelukappale).  

Infrastruktuurin teknisten aukkojen väärinkäytön osalta rikkomukselta edellytetään tahallisuutta tai huolimattomuutta. Jonkinlainen tietoinen pyrkimys päästä tietoihin, joihin ei ole annettu oikeutta, pitäisi olla kyseessä. Teknisen infrastruktuurin puutteiden väärinkäyttämisessä kyse voisi olla myös huolimattomuuden kaltaisesta toiminnasta, mikäli puutteiden hyödyntämistä tehdään, koska se on mahdollista selvittämättä, onko siihen oikeus. Myös käyttäjän osalta vastaava kielto olisi sanktioitu ehdotettavan lain 15 §:n 3 kohdassa data-asetuksen 4 artiklan 11 kohdan nojalla. 

Velvoitetta voidaan pitää keskeisenä asetuksen tavoitteiden toteutumisen kannalta, jolloin sen rikkomisesta määrättävän seuraamusmaksun enimmäismäärä voisi olla 20 §:n 2 momentinkorkeamman portaan mukainen. 

Pykälän 2 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun kolmannelle osapuolelle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 6 artiklan 2 kohdan a alakohdassa säädettyä kieltoa kohtuuttomasti vaikeuttaa käyttäjän valintojen tai oikeuksien hyödyntämistä.  

Asetuksen 6 artiklan 2 kohdan a alakohdan mukaan kolmas osapuoli ei saa tehdä 5 artiklaan perustuvien käyttäjien valintojen tai oikeuksien hyödyntämisestä kohtuuttoman vaikeaa, mukaan lukien esittämällä valintoja käyttäjille puolueellisesti, tai pakottamalla, harhauttamalla tai manipuloimalla käyttäjää, tai heikentämällä käyttäjien itsemääräämisoikeutta, päätöksentekoa tai valinnanvapautta, mukaan lukien jonkin digitaalisen käyttöliittymän tai sen osan kautta.  

Kohtuuttoman vaikeaksi voidaan siis lukea ainakin tilanteet, joissa kolmas osapuoli hyödyntää pimeitä kaavoja, jotka saavat käyttäjän toimimaan oman edun tai aikomusten vastaisesti. 

Käyttäjän valintojen tai oikeuksien hyödyntämisen vaikeuttamisen kiellosta on säädetty sanktiomahdollisuus myös datan haltijoille. Käyttäjän 5 luvun mukaisista oikeuksista ks. 14 §:n 3 kohdan säännöskohtaiset perustelut. 

Käyttäjien hyväksikäytön estämiseksi kolmansien osapuolien, joiden saataville data on asetettu käyttäjän pyynnöstä, olisi käsiteltävä kyseistä dataa vain käyttäjän kanssa sovittuihin tarkoituksiin ja jaettava sitä muun kolmannen osapuolen kanssa vain käyttäjän suostuessa tällaiseen datan jakamiseen (johdanto-osan 37 perustelukappale). 

Tietojen minimoinnin periaatteen mukaisesti kolmansilla osapuolilla olisi oltava pääsy ainoastaan sellaisiin tietoihin, jotka ovat tarpeen käyttäjän pyytämän palvelun tarjoamiseksi. Kun kolmas osapuoli on päässyt dataan, sen olisi käsiteltävä dataa käyttäjän kanssa sovittuihin tarkoituksiin ilman, että datan haltija puuttuu asiaan. Kolmannen osapuolen dataan pääsyn epäämisen tai keskeyttämisen olisi oltava käyttäjän kannalta yhtä helppoa kuin pääsyn salliminen. Kolmannet osapuolet ja datan haltijat eivät saisi tehdä käyttäjien oikeuksien tai valintojen hyödyntämisestä kohtuuttoman vaikeaa esimerkiksi tarjoamalla käyttäjille valintoja ei-neutraalisti tai pakottamalla, harhauttamalla tai manipuloimalla käyttäjää taikka horjuttamalla tai heikentämällä käyttäjän itsenäisyyttä, päätöksentekoa tai valinnan mahdollisuuksia, esimerkiksi digitaalisen käyttöliittymän tai sen osan kautta. Tässä yhteydessä kolmannet osapuolet tai datan haltijat eivät saisi turvautua niin kutsuttuihin pimeisiin kaavoihin digitaalisten käyttöliittymiensä suunnittelussa. Pimeät kaavat ovat suunnittelutekniikkoja, joilla painostetaan tai harhautetaan kuluttajia tekemään päätöksiä, joilla on heille kielteisiä seurauksia. Kyseisiä manipulointitekniikkoja saatetaan käyttää taivuttelemaan käyttäjiä, etenkin heikossa asemassa olevia kuluttajia, haitallisiin käyttäytymismalleihin, harhauttamaan käyttäjiä tekemään datan luovutusta koskevia päätöksiä tai vaikuttamaan kohtuuttomasti palvelun käyttäjien päätöksentekoon tavalla, joka horjuttaa tai heikentää heidän itsenäisyyttään, päätöksentekoaan ja valinnan mahdollisuuksiaan. Yleisiä ja lainmukaisia kaupallisia menettelyjä, jotka ovat unionin lainsäädännön mukaisia, ei sinänsä pitäisi katsoa pimeiksi kaavoiksi. Kolmansien osapuolten ja datan haltijoiden olisi noudatettava asiaa koskevan unionin lainsäädännön mukaisia velvoitteitaan ja erityisesti Euroopan parlamentin ja neuvoston direktiiveissä 98/6/EY (24) ja 2000/31/EY (25) sekä direktiiveissä 2005/29/EY ja 2011/83/EU säädettyjä vaatimuksia (johdanto-osan 38 perustelukappale). 

Kolmansien osapuolten olisi myös pidättäydyttävä käyttämästä asetuksen soveltamisalaan kuuluvaa dataa yksittäisten henkilöiden profilointiin, paitsi jos tällaiset käsittelytoimet ovat ehdottoman välttämättömiä käyttäjän pyytämän palvelun tarjoamiseksi, myös automaattisessa päätöksenteossa. Vaatimus, jonka mukaan data on poistettava, kun sitä ei enää tarvita käyttäjän kanssa sovittuun tarkoitukseen, ellei toisin ole sovittu muun datan kuin henkilötietojen osalta, täydentää asetuksen (EU) 2016/679 17 artiklan mukaista rekisteröidyn oikeutta datan poistamiseen. Jos kolmas osapuoli on datan välityspalvelun tarjoaja, sovelletaan asetuksessa (EU) 2022/868 säädettyjä rekisteröityä koskevia suojatoimia. Kolmas osapuoli voi käyttää dataa kehittääkseen uuden ja innovatiivisen verkkoon liitetyn tuotteen tai tuotteeseen liittyvän palvelun mutta ei kehittääkseen kilpailevaa verkkoon liitettyä tuotetta (johdanto-osan 39 perustelukappale). 

Pykälän 3 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun kolmannelle osapuolelle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 6 artiklan 2 kohdan c alakohdassa säädettyä kieltoa asettaa vastaanottamansa data muun kolmannen osapuolen saataville ilman käyttäjän kanssa tehtyä sopimusta ja ilman, että muu kolmas osapuoli toteuttaa kaikki datan haltijan ja kolmannen osapuolen sopimat suojatoimenpiteet liikesalaisuuksien luottamuksellisuuden säilyttämiseksi.  

Käyttäjien hyväksikäytön estämiseksi kolmansien osapuolien, joiden saataville data on asetettu käyttäjän pyynnöstä, olisi käsiteltävä kyseistä dataa vain käyttäjän kanssa sovittuihin tarkoituksiin ja jaettava sitä muun kolmannen osapuolen kanssa vain käyttäjän suostuessa tällaiseen datan jakamiseen (johdanto-osan 37 perustelukappale).  

Pykälän 4 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun kolmannelle osapuolelle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 6 artiklan 2 kohdan d alakohdassa säädettyä kieltoa asettaa data digimarkkina-asetuksen 3 artiklassa tarkoitetun portinvartijayrityksen saataville.  

Startup-yritysten, pienten yritysten ja keskisuurten yritysten on vaikea saada pääsy asiaankuuluvaan dataan. Data-asetuksen tavoitteena on helpottaa kyseisten yhteisöjen pääsyä dataan ja samalla varmistaa, että vastaavia velvoitteita sovelletaan mahdollisimman oikeasuhteisesti, jotta voidaan välttää ylilyönnit. Samaan aikaan on muodostunut pieni määrä hyvin suuria yrityksiä, joilla on huomattavan paljon taloudellista valtaa digitaalitalouden alalla; ne ovat kasvaneet keräämällä ja koostamalla valtavia datamääriä, joiden kaupallistamiseen niillä on teknologista infrastruktuuria. Kyseisiin hyvin suuriin yrityksiin kuuluu ydinalustapalveluja tarjoavia yrityksiä, joilla on määräysvallassaan kokonaisia digitaalitalouden alustaekosysteemejä, eivätkä nykyiset tai uudet markkinatoimijat pysty haastamaan niitä tai kilpailemaan niiden kanssa. Digimarkkina-asetuksella pyritään korjaamaan tämä tehottomuus ja epätasapaino antamalla komissiolle mahdollisuus nimetä yritys ’portinvartijaksi’. Digimarkkina-asetuksen mukaisesti, ja kun otetaan huomioon kyseisten yritysten kilpailijoihin nähden ylivoimainen kyky hankkia dataa, data-asetuksen tavoitteen saavuttamiseksi ei ole tarpeen eikä siksi olisi tällaisten velvoitteiden soveltamisalaan kuuluvien datan haltijoiden kannalta oikeasuhteista antaa portinvartijoillemahdollisuutta hyötyä dataan pääsyä koskevasta oikeudesta. Tällainen sisällyttäminen rajoittaisi todennäköisesti myös tästä asetuksesta pk-yrityksille koituvia hyötyjä, jotka liittyvät datan arvon oikeudenmukaiseen jakautumiseen markkinatoimijoiden kesken. Tämä tarkoittaa, että ydinalustapalveluja tarjoava yritys, joka on nimetty portinvartijaksi, ei data-asetuksen nojalla voi pyytää, eikä sille voida myöntää pääsyä käyttäjien dataan, joka on tuotettu verkkoon liitetyn tuotteen tai siihen liittyvän palvelun käytön tuloksena tai jonka on tuottanut virtuaaliavustaja. Kolmannet osapuolet, joiden saataville data asetetaan käyttäjän pyynnöstä, eivät myöskään saa asettaa dataa portinvartijan saataville. Kolmas osapuoli ei esimerkiksi saa teettää palvelun tarjoamista alihankintana portinvartijalla. Tämä ei kuitenkaan estä kolmansia osapuolia käyttämästä portinvartijan tarjoamia datankäsittelypalveluja. Se ei myöskään estä kyseisiä yrityksiä saamasta ja käyttämästä samaa dataa muilla laillisilla keinoilla. Asetuksessa säädetyt dataan pääsyä koskevat oikeudet lisäävät osaltaan kuluttajien palveluvalikoimaa. Koska portinvartijoiden ja datan haltijoiden väliset vapaaehtoiset sopimukset pysyvät ennallaan, portinvartijoiden pääsyä koskeva rajoitus ei estäisi niitä pääsemästä markkinoille tai tarjoamasta palvelujaan (ks. johdanto-osan 40 perustelukappale). Ks. myös ehdotetun lain 16 §. 

Pykälän 5 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun kolmannelle osapuolelle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 6 artiklan 2 kohdan e alakohdassa säädettyä kieltoa hyödyntää tai luovuttaa muulle kolmannelle osapuolelle datanhaltijalta saamaansa dataa sellaisen verkkoon liitetyn tuotteen kehittämiseksi, joka kilpailee sen tuotteen kanssa, josta data on peräisin.  

Kolmas osapuoli voi käyttää dataa kehittääkseen uuden ja innovatiivisen verkkoon liitetyn tuotteen tai tuotteeseen liittyvän palvelun mutta ei kehittääkseen kilpailevaa verkkoon liitettyä tuotetta (johdanto-osan 39 perustelukappale). Asetuksen tavoitteena on samalla estää dataa tuottavien verkkoon liitettyjen tuotteiden tyyppien osalta investointikannustimien heikentäminen esimerkiksi siten, että dataa käytetään sellaisen kilpailevan verkkoon liitetyn tuotteen kehittämiseen, joka voisi ominaisuuksiensa, hintansa ja aiotun käyttönsä perusteella korvata alkuperäisen tuotteen. Data-asetuksessa ei kielletä verkkoon liitettyyn tuotteeseen liittyvän palvelun kehittämistä asetuksen mukaisesti saadun datan avulla, koska sillä olisi ei-toivottava vaikutus innovointiin. Asetuksen nojalla saatavilla olevan datan kilpailevan verkkoon liitetyn tuotteen kehittämiseen tähtäävän käytön kieltäminen suojaa datan haltijoiden innovointitoimia. Se, kilpaileeko verkkoon liitetty tuote sen verkkoon liitetyn tuotteen kanssa, josta data on peräisin, riippuu siitä, kilpailevatko nämä kaksi tuotetta samoilla tuotemarkkinoilla. Tämä on määritettävä merkityksellisten tuotemarkkinoiden määrittelemiseen tarkoitetun unionin kilpailulainsäädännön vakiintuneiden periaatteiden pohjalta. Muihin datan käytön laillisiin tarkoituksiin voisi kuitenkin kuulua takaisinmallinnus edellyttäen, että se täyttää data-asetuksessa sekä unionin oikeudessa tai kansallisessa lainsäädännössä säädetyt vaatimukset. Tämä voi koskea verkkoon liitetyn tuotteen korjaamista tai käyttöiän pidentämistä tai jälkimarkkinapalvelujen tarjoamista verkkoon liitetyille tuotteille (johdanto-osan 32 perustelukappale). 

Myös käyttäjälle on ehdotetun lain 15 §:n 2 kohdassa asetettu vastaava kielto kilpailevan tuotteen kehittämiseksi asetuksen 2 artiklan 10 kohdan nojalla. 

Velvoitetta voidaan pitää keskeisenä asetuksen tavoitteiden toteutumisen kannalta, jolloin sen rikkomisesta määrättävän seuraamusmaksun enimmäismäärä voisi olla 20 §:n 2 momentin korkeamman portaan mukainen. 

Pykälän 6 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun kolmannelle osapuolelle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 6 artiklan 2 kohdan g alakohdassa säädettyä velvollisuutta huomioida datan haltijan tai liikesalaisuuksien haltijan kanssa sovitut toimenpiteet liikesalaisuuksien säilyttämiseksi.  

Kolmas osapuoli ei saa jättää huomioimatta datan haltijan tai liikesalaisuuksien haltijan kanssa 5 artiklan 9 kohdan nojalla sovittuja erityistoimenpiteitä tai heikentää liikesalaisuuksien luottamuksellisuutta (6 artiklan 2 kohdan g alakohta). Datan haltijan tai, kun kyse ei ole samasta henkilöstä, liikesalaisuuden haltijan on yksilöitävä data, joka on suojattu liikesalaisuuksina, mukaan lukien asiaankuuluva metadata, ja sovittava kolmannen osapuolen kanssa kaikista oikeasuhteisista teknisistä ja organisatorisista toimenpiteistä, jotka ovat tarpeen jaettavan datan luottamuksellisuuden säilyttämiseksi, kuten mallisopimusehdot, salassapitosopimukset, tiukat pääsyprotokollat, tekniset standardit ja käytännesääntöjen soveltaminen (5 artiklan 9 kohta). 

Velvoitetta voidaan pitää keskeisenä asetuksen tavoitteiden toteutumisen kannalta, jolloin sen rikkomisesta määrättävän seuraamusmaksun enimmäismäärä voisi olla 20 §:n 2 momentin korkeamman portaan mukainen. 

Pykälän 7 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun kolmannelle osapuolelle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 6 artiklan 2 kohdan h alakohdassa säädettyä kieltoa estää käyttäjää, joka on kuluttaja, asettamasta vastaanottamaansa dataa muiden osapuolten saataville.  

Kolmas osapuoli ei saa estää käyttäjää, joka on kuluttaja, asettamasta vastaanottamaansa dataa muiden osapuolten saataville, myöskään sopimuksen perusteella. 

18 §. Datankäsittelypalvelun tarjoajalle määrättävä seuraamusmaksu . Pykälän 1 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datankäsittelypalvelun tarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 25 artiklan 1 kohdassa säädettyä velvollisuutta tehdä kirjallinen sopimus asiakkaan kanssa ja asettaa se asiakkaan saataville ennen sopimuksen allekirjoittamista.  

Datankäsittelypalveluiden asiakkaan oikeudet ja tarjoajan velvoitteet, jotka liittyvät tällaisten palvelujen tarjoajien vaihtamiseen tai tapauksen mukaan vaihtamiseen asiakkaan omissa tiloissa sijaitsevaan tieto- ja viestintätekniseen infrastruktuuriin, on määritettävä selkeästi kirjallisessa sopimuksessa. Datankäsittelypalvelujen tarjoajan on asetettava kyseinen sopimus asiakkaan saataville ennen sopimuksen allekirjoittamista siten, että asiakkaan on mahdollista tallentaa sopimus ja toisintaa se (25 artiklan 1 kohta). 

Asetuksen tavoitteena on datan saatavuuteen ja käyttöön liittyvien sopimussuhteiden epätasapainon väärinkäytön estäminen. Tämän korjaamiseksi on tärkeää, että sopimus tehdään kirjallisesti niin, että asiakas saa se ennen allekirjoittamista siten, että sopimuksen voi tallentaa. Näin asiakas voi tarkastaa sopimuksen etukäteen.  

Pykälän 2 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datankäsittelypalvelun tarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 26 artiklassa säädetyn velvollisuuden antaa asiakkaalle artiklan mukaiset tiedot.  

Datankäsittelypalvelujen tarjoajan on annettava asiakkaalle 

tiedot käytettävissä olevista menettelyistä datankäsittelypalvelun vaihtamiseksi ja siirtämiseksi, mukaan lukien tiedot käytettävissä olevista vaihto- ja siirtomenetelmistä ja -muodoista sekä datankäsittelypalvelujen tarjoajan tiedossa olevista teknisistä ja muista rajoituksista; 

viittaus datankäsittelypalvelujen tarjoajan ylläpitämään ajantasaiseen verkkorekisteriin, jossa on yksityiskohtaiset tiedot kaikista datarakenteista ja -muodoista sekä asiaa koskevista standardeista ja avoimista yhteentoimivuuden eritelmistä, joissa 24 artiklan 2 kohdan e alakohdassa tarkoitetun siirrettävissä oleva data on saatavilla. 

Datankäsittelypalvelujen tarjoajien asiakkaalle toimittamilla tiedoilla on tarkoitus tukea asiakkaan oikeutta irtautua ja vaihtaa palvelua. Kyseisiin tietoihin olisi sisällyttävä menettelyt, joilla käynnistetään datan siirtäminen datankäsittelypalvelusta; koneellisesti luettavat datamuodot, joihin käyttäjän data voidaan siirtää; työvälineet datan siirtämiseen, mukaan lukien avoimet rajapinnat sekä tiedot yhteensopivuudesta yhdenmukaistettujen standardien tai avoimiin yhteentoimivuuden eritelmiin perustuvien yhteisten eritelmien kanssa; tiedot tunnetuista teknisistä rajoituksista ja rajoitteista, jotka saattaisivat vaikuttaa vaihtoprosessiin; ja arvioitu aika, joka on tarpeen vaihtoprosessin päätökseen saattamiseksi (johdanto-osan 95 perustelukappale). 

Pykälän 3 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datankäsittelypalvelun tarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 29 artiklan 1 kohdassa säädettyä kieltoa periä vaihtomaksuja.  

Datankäsittelypalvelujen tarjoajat eivät 12 päivästä tammikuuta 2027 saa periä vaihtomaksuja vaihtoprosessista. 

Vaihtomaksut ovat maksuja, joita datankäsittelypalvelujen tarjoajat perivät asiakkailtaan vaihtoprosessista. Tyypillisesti näillä maksuilla on tarkoitus siirtää kustannukset, joita lähteenä olevalle datankäsittelypalvelujen tarjoajalle voi vaihtoprosessista aiheutua, edelleen asiakkaalle, joka haluaa vaihtaa palvelua. Yleisiä esimerkkejä vaihtomaksuista ovat kustannukset, jotka liittyvät datan siirtoon yhdeltä datankäsittelypalvelujen tarjoajalta toiselle tai asiakkaan omissa tiloissa sijaitsevaan järjestelmään, jäljempänä ’datan poistomaksut’, tai erityisistä tukitoimista vaihtoprosessin aikana aiheutuvat kustannukset. Tarpeettoman korkeat datan poistomaksut ja muut perusteettomat maksut, jotka eivät liity todellisiin vaihtokustannuksiin, estävät asiakkaita vaihtamasta palvelua, rajoittavat datan vapaata liikkuvuutta, voivat rajoittaa kilpailua ja aiheuttavat lukkiutumisvaikutuksia datankäsittelypalvelujen asiakkaille vähentämällä kannustimia valita eri tai täydentävä palveluntarjoaja. Vaihtomaksut olisi näin ollen poistettava kolmen vuoden kuluttua asetuksen voimaantulopäivästä. Datankäsittelypalvelujen tarjoajien olisi voitava periä tähän saakka alennuttuja vaihtomaksuja (johdanto-osan 88 perustelukappale). Ks. myös asetuksen johdanto-osan 89 perustelukappale. 

Pykälän 4 kohdan mukaan Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun datankäsittelypalvelun tarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 32 artiklan 1 kohdassa säädettyä velvollisuutta toteuttaa riittävät toimenpiteet estääkseen muun datan kuin henkilötietojen siirto kolmansiin maihin tai kolmansien maiden viranomaisten pääsy tällaiseen dataan.  

Datankäsittelypalvelujen tarjoajien on toteutettava kaikki riittävät tekniset, organisatoriset ja oikeudelliset toimenpiteet, mukaan lukien sopimukset, estääkseen unionissa olevan muun datan kuin henkilötietojen kansainvälisen siirron tai kolmansien maiden viranomaisten pääsyn kyseiseen dataan, jos tällainen siirto tai pääsy olisi ristiriidassa unionin oikeuden tai asianomaisen jäsenvaltion kansallisen lainsäädännön kanssa, sanotun kuitenkaan rajoittamatta 2 tai 3 kohdan soveltamista (32 artiklan 1 kohta). 

Luottamuksen parantamiseksi dataa kohtaan on tärkeää toteuttaa mahdollisimman laajalti suojatoimia, jotka koskevat unionin kansalaisia, julkista sektoria ja yrityksiä, jotta voidaan varmistaa niiden mahdollisuudet valvoa omaa dataansa. Lisäksi olisi noudatettava unionin oikeutta, arvoja ja normeja muun muassa turvallisuuden, tietosuojan ja yksityisyyden suojan sekä kuluttajansuojan osalta. Jotta voidaan estää kolmannen maan viranomaisten laiton pääsy muuhun dataan kuin henkilötietoihin, data-asetuksen soveltamisalaan kuuluvien datankäsittelypalvelujen, kuten pilvi- ja reunapalvelujen, tarjoajien olisi toteutettava kaikki kohtuulliset toimenpiteet estääkseen pääsyn järjestelmiin, joissa säilytetään muuta dataa kuin henkilötietoja, mukaan lukien tarvittaessa datan salaaminen, tarkastusten säännöllinen toimittaminen, asiaankuuluvien turvallisuuden varmistamista koskevien sertifiointijärjestelmien todennettu noudattaminen ja yritysten toimintaperiaatteiden muuttaminen (johdanto-osan 102 perustelukappale). 

19 §.Datan välityspalvelujen tarjoajalle määrättävä seuraamusmaksu. Pykälässä säädettäisiin seuraamusmaksusta, jonka Liikenne- ja viestintävirasto voisi määrätä datanhallinta-asetuksen 10 artiklassa tarkoitetulle datan välityspalvelun tarjoajalle.  

Pykälän 1 kohdassa säädettäisiin Liikenne- ja viestintävirastolle mahdolliseksi määrätä seuraamusmaksu, jos datan välityspalvelun tarjoaja rikkoisi tai laiminlöisi datanhallinta-asetuksen 11 artiklassa säädettyä ilmoitusvelvollisuutta. Pykälän 2 kohdan mukaan seuraamusmaksu voitaisiin määrätä, jos välityspalvelun tarjoaja rikkoisi tai laiminlöisi asetuksen 12 artiklassa säädettyjä palvelun tarjoamisen edellytyksiä. Pykälän 3 kohdan mukaan seuraamusmaksu voitaisiin määrätä, jos välityspalvelun tarjoaja rikkoisi tai laiminlöisi asetuksen 31 artiklassa säädettyjä muiden kuin henkilötietojen siirtoa kolmansiin maihin koskevia edellytyksiä.  

Seuraamusmaksu edellyttäisi syyksiluettavuutta eli tahallisuutta tai huolimattomuutta. Pykälä ei sisältäisi uutta sääntelyä, vaan vastaavat säännökset sisältyvät voimassa olevaan sähköisen viestinnän palveluista annetun lain 334 a §:ään, joka esityksessä ehdotetaan kumottavaksi. Säännökset ehdotetaan siirrettäväksi uuteen lakiin asiallisesti muuttumattomina. Pykälällä on osaltaan pantu täytäntöön datanhallinta-asetuksen 34 artikla. 

20 §.Data-asetusta koskevan seuraamusmaksun suuruus . Pykälässä säädettäisiin data-asetusta koskevan seuraamusmaksun suuruudesta. Seuraamusmaksun enimmäismäärä olisi porrastettu siten, että asetuksen keskeisten velvoitteiden rikkomisesta voitaisiin määrätä enimmäismäärältään suurempi seuraamusmaksu, sillä niiden laiminlyönti merkittävällä tavalla estäisi asetuksen tavoitteiden toteutumista.  

Lähtökohtana seuraamusmaksun määräämisessä on, että sillä tulee olla riittävä erityis- ja yleisestävä vaikutus. Seuraamusmaksun määrän tulisi olla sellainen, että sääntelyn rikkominen ei olisi elinkeinonharjoittajalle kannattavaa. Jotta seuraamuksella olisi riittävä ennalta estävä vaikutus, tulisi maksun suuruuden olla riittävä.  

Pykälän 1 momentissa säädetään seuraamusmaksun pääsääntöisestä enimmäismäärästä. Jos seuraamusmaksu määrätään elinkeinonharjoittajalle, se saa olla enintään 2 prosenttia seuraamusmaksupäätöstä edeltävän tilikauden liikevaihdosta. Jos seuraamusmaksu määrätään luonnolliselle henkilölle, joka ei ole elinkeinonharjoittaja, seuraamusmaksu saa olla enintään 2 prosenttia hänelle viimeksi toimitetun verotuksen mukaisista veronalaisista tuloistaan, mutta kuitenkin enintään 2 000 euroa.  

Pykälän 2 momentin mukaan, poiketen siitä, mitä 1 momentissa säädetään, seuraamusmaksu 13 §:n 1 momentissa, 14 §:n 1 ja 7 kohdassa, 15 ja 16 §:ssä, 17 §:n 1, 5 ja 6 kohdassa säädetystä rikkomuksesta tai laiminlyönnistä saa olla enintään 4 prosenttia elinkeinonharjoittajan seuraamusmaksupäätöstä edeltävän tilikauden liikevaihdosta. Jos tässä momentissa tarkoitettu seuraamusmaksu määrätään luonnolliselle henkilölle, joka ei ole elinkeinonharjoittaja, seuraamusmaksu saa olla enintään 4 prosenttia hänelle viimeksi toimitetun verotuksen mukaisista veronalaisista tuloistaan, mutta kuitenkin enintään 4 000 euroa.  

Elinkeinonharjoittajalla tarkoitetaan 1 ja 2 momentissa luonnollista henkilöä taikka yksityistä tai julkista oikeushenkilöä, joka harjoittaa liiketoimintaa tai muuta vastaavaa taloudellista toimintaa. Elinkeinonharjoittaja voi olla myös yksityinen elinkeinonharjoittaja eli ns. toiminimi tai esimerkiksi tutkimusorganisaatio, järjestö tai yhdistys.  

Luonnollinen henkilö, joka ei ole elinkeinonharjoittaja, voisi olla ainakin asetuksen tarkoittama käyttäjä tai kolmas osapuoli. Käyttäjän ja kolmannen osapuolen toimia on sanktioitu ehdotettavan lain 15 ja 17 §:ssä.  

Asetus ei sisällä säännöksiä seuraamusmaksujen suuruudesta. Esitykseen sisältyisi useita erityyppisiä ja olennaisuudeltaan eritasoisia velvoitteita, joista seuraamusmaksuja voitaisiin määrätä. Lisäksi seuraamusmaksun määrääminen perustuisi kokonaisharkintaan, Tämän vuoksi yhtenäistä kaikkiin tilanteisiin sopivaa alarajaa ei ole pidetty mahdollisena määrittää. Laissa säädettäisiin vain seuraamusmaksujen enimmäismääristä, mikä antaisi valvontaviranomaiselle mahdollisuuden tapauskohtaisesti määrätä alhaisempia seuraamusmaksuja vähäisinä pidettävistä laiminlyönneistä, mutta ei asettaisi liian alhaista tasoa vakavammille laiminlyönneille.  

Ehdotetuissa seuraamusmaksun enimmäismäärissä on otettu huomioon tietosuoja-asetuksen sekä digipalveluasetuksen mukaisten seuraamusmaksujen enimmäismäärä, jotta data-asetuksen mukaisen seuraamusmaksun enimmäismäärä olisi linjassa muun digi- ja datasääntelyn kanssa. Niiden suoraan asetuksesta tulevat seuraamusmaksun enimmäismäärät indikoivat myös sitä, minkä tasoista sanktiointia EU-tasolta odotetaan. Seuraamusmaksu määrättäisiin tietosuojalainsäädännön mukaisesti, kun kyse on data-asetuksen soveltamisen yhteydessä tapahtuvasta tietosuojasäännösten rikkomisesta tai laiminlyönnistä. 

Laissa määriteltäisiin vain seuraamusmaksun enimmäismäärät, jotka on porrastettu siten, että asetuksen keskeisten velvoitteiden rikkomisesta voitaisiin määrätä enimmäismäärältään suurempi seuraamusmaksu. Seuraamusmaksujen enimmäismäärät olisi suhteutettu sanktioitavan teon moitittavuuteen ja suojeltavaan oikeushyvään. Asetuksen keskeisten velvoitteiden rikkomiselle on perusteltua säätää määrältään korkeampi seuraamusmaksun enimmäismäärä, sillä niiden laiminlyönti merkittävällä tavalla estäisi asetuksen tavoitteiden toteutumista. Jos toimija rikkoo samoissa tai toisiinsa liittyvissä toimissa tahallaan tai tuottamuksellisesti useita asetuksen säännöksiä, hallinnollisen seuraamusmaksun kokonaismäärä ei saisi ylittää vakavimmasta rikkomisesta määrättyä seuraamusmaksua.  

Datasäädöksen soveltamisalaan kuuluu suuria globaalisti toimivia yrityksiä ja toisaalta pk-yrityksiä. Yritysten ja velvoitteiden erilaisuuden vuoksi seuraamusmaksua määräävälle viranomaiselle tai tuomioistuimelle on annettava harkintavaltaa seuraamusmaksun suuruuden määrittämisessä yksittäisessä tapauksessa. Liikevaihtoon suhteutettu määrä takaisi sen, että seuraamusmaksun enimmäismäärä on myös isoille yrityksille riittävän suuri ollakseen ennalta estävä mutta samalla porrastettu enimmäismäärä olisi toiminnan laajuuteen ja rikkomuksen luonteeseen nähden oikeasuhtainen. Kahta tai neljää prosenttia pienempi enimmäismäärä ei välttämättä olisi riittävän varoittava erityisesti suurien yritysten kohdalla, kun taas sitä suurempi enimmäismäärä voisi muodostua kohtuuttomaksi eikä olisi linjassa edellä mainittujen muiden keskeisten säädösten kanssa.  

Luonnollisen henkilön, joka ei ole elinkeinonharjoittaja, seuraamusmaksun enimmäismäärä perustuisi prosenttiosuuteen viimeksi toimitetun verotuksen mukaisista veronalaisista tuloista. Tuloihin suhteutettu määrä takaisi sen, että seuraamusmaksun enimmäismäärä olisi myös suurituloisille riittävän suuri ollakseen ennalta estävä, mutta samalla porrastettu enimmäismäärä olisi rikkomuksen luonteeseen nähden oikeasuhtainen. Asetuksen keskeisten velvoitteiden rikkomiselle on perusteltua säätää määrältään korkeampi seuraamusmaksun enimmäismäärä, sillä niiden laiminlyönti merkittävällä tavalla estäisi asetuksen tavoitteiden toteutumista. Esityksessä luonnolliselle henkilölle ehdotetaan oikeasuhtaisuuden varmistamiseksi lisäksi euromääräistä enimmäismäärää. Ehdotetut enimmäismäärät on arvioitu kohtuulliseksi mutta samalla riittävän varoittaviksi. Euromääräinen enimmäismäärä takaisi sen, että suurituloisten seuraamusmaksu ei kohoaisi kohtuuttoman suureksi suhteessa luonnollisen henkilön aiheuttamaan haittaan nähden. 

Seuraamusmaksun määrä ei perustu suoraan yrityksen liikevaihtoon tai luonnollisen henkilön verotuksen mukaisiin tuloihin, vaan seuraamusmaksun määrän arvioiminen on kokonaisharkintaa, jossa huomioitavista seikoista säädetään data-asetuksen 40 artiklan 3 kohdassa.  

Pykälän 3 momentissa säädettäisiin huomioitavan liikevaihdon ajankohdan määrittämisestä silloin, kun kuluttaja-asiamies esittää seuraamusmaksun määräämistä markkinaoikeudelle kuluttajan-suojaviranomaisten eräistä toimivaltuuksista annetun lain mukaisesti. Tällöin esityksessä otetaan huomioon seuraamusmaksuesityksen tekemistä edeltävän tilikauden liikevaihto.  

Pykälän 4 momentin mukaan liikevaihdolla tarkoitetaan kirjanpitolain (1336/1997) 4 luvun 1 §:ssä tarkoitettua liikevaihtoa. Momentti sisältäisi lisäksi erityisen säännöksen niitä mahdollisia tilanteita varten, joissa tilinpäätös ei olisi seuraamusmaksua määrättäessä vielä valmistunut taikka joissa liiketoiminta olisi vasta aloitettu eikä tilinpäätöstä tämän johdosta olisi saatavissa. Tällöin liikevaihto voitaisiin arvioida muun saatavan selvityksen perusteella.  

Pykälän 5 momentissa säädettäisiin seuraamusmaksun kokonaisarvioinnista ja siinä huomioon otettavista seikoista. Seuraamusmaksun suuruuden määrittäminen tulisi oikeasuhtaisuusvaatimuksen mukaisesti perustua kokonaisarviointiin. Data-asetuksen 40 artiklan 3 kohdassa säädetään jäsenvaltion velvollisuudesta ottaa huomioon Euroopan datainnovaatiolautakunnan suositukset sekä tietyt, ei-tyhjentävästi luetellut, perusteet seuraamuksia määrättäessä. Momentissa olisi informatiivinen viittaus näihin asetuksen sisältämiin perusteisiin, koska asetus on tältä osin suoraan sovellettava. Seuraamuksia määrättäessä on siten otettava huomioon: a) rikkomisen luonne, vakavuus, laajuus ja kesto, b) rikkojan toteuttamat mahdolliset toimet rikkomisen aiheuttaman vahingon lieventämiseksi tai korjaamiseksi, c) rikkojan mahdolliset aiemmat rikkomiset, d) rikkojan rikkomisen johdosta saamat taloudelliset edut tai sen välttämät tappiot, jos tällaiset voitot tai tappiot voidaan luotettavasti osoittaa, e) mahdollinen muu tapauksen olosuhteisiin sovellettava raskauttava tai lieventävä tekijä sekä f) rikkomiseen syyllistyneen osapuolen edellisen tilikauden vuotuinen liikevaihto unionissa.  

Unionin laajuisen liikevaihdon huomioiminen seuraamusmaksun määrän arvioimisessa antaa viranomaiselle tai tuomioistuimelle keinon huomioida yrityksen toiminnan laajuus ja siten myös rikkomusten merkitys asetuksen soveltamisalueella. Tällä tavalla voitaisiin huomioida seuraamusmaksun määrässä esimerkiksi se, kertyykö maailmanlaajuisesti toimivan yrityksen liikevaihto pääasiassa EU-alueelta vai sen ulkopuolelta.  

Liikenne- ja viestintäviraston ja tuomioistuimen tulisi seuraamusmaksua määrätessään varmistaa, että sanktio ja sen määrä ovat oikeassa suhteessa rikkomukseen nähden. Esimerkiksi 4(2) artiklan ilmoitusvelvollisuuden vähäisestä rikkomisesta asetettavan maksun olisi oltava pienempi sanktio kuin 3(1) tai 4(1) artiklan velvoitteiden rikkomisen osalta asetettavan maksun. Asetuksen ratiota vasten esimerkiksi datan saataville asettamisen laiminlyönti olisi huomattavasti moitittavampi teko kuin laiminlyönnit ilmoitusvelvollisuudesta varsinkin, jos toiminta on muutoin asianmukaista. 

Seuraamusmaksun enimmäismäärän tasossa on huomioitava myös data-asetuksen merkittävyys EU:n datastrategian toimeenpanossa. Datan liikkuvuuden ja hyödynnettävyyden tulisi kasvaa huomattavasti, jotta data-asetuksen tavoitteet voidaan saavuttaa. Tilannetta voi jossain määrin verrata yleisen tietosuoja-asetuksen voimaantuloon. Tietosuoja-asetuksessa yritysten näkökulmasta merkittävä muutos oli sanktiointi. Liian alhaiset sanktiot eivät toimi ennaltaehkäisevästi ja riittävänä kannustimena noudattaa asetuksen velvoitteita, etenkään suurissa yrityksissä. Vastaavalla tavalla riittävän suuri seuraamusmaksu edistäisi velvoitteiden noudattamista ja data-asetuksen tavoitteiden toteutumista. Lähtökohtana seuraamusmaksusta säätämisessä on riittävän yleis- ja myös erityisestävän vaikutuksen lisäksi maksun oikeasuhtaisuus. 

21 §.Datanhallinta-asetusta koskevan seuraamusmaksun suuruus. Pykälän 1 momentissa säädettäisiin datanhallinta-asetusta koskevan seuraamusmaksun suuruudesta. Säännös siirrettäisiin muuttumattomana nyt ehdotettavaan lakiin sähköisen viestinnän palveluista annetun lain 334 a §:n 2 momentista. Seuraamusmaksu olisi vähintään 1 000 euroa ja enintään 100 000 euroa. Jotta seuraamuksella olisi riittävä ennalta estävä vaikutus, tulisi maksun suuruuden olla riittävä. Liikenne- ja viestintäviraston tulisi varmistaa, että sanktio ja sen määrä ovat suhteessa tekoon nähden. Esimerkiksi 11 artiklan ilmoitusvelvollisuuden vähäisestä rikkomisesta asetettavan maksun olisi oltava pienempi sanktio kuin 12 artiklan velvoitteiden rikkomisen osalta asetettavan maksun. Niin ikään 12 artiklan mukaiset velvoitteet eivät ole keskenään rinnasteisia. Asetuksen ratiota vasten esimerkiksi välitettävän datan käyttäminen välityspalvelun tarjoajan omiin tarkoituksiin olisi huomattavasti moitittavampi teko kuin laiminlyönnit välitystoiminnasta ylläpidettävässä selosteessa, jos toiminta on muutoin asianmukaista. Seuraamusmaksun suuruus ehdotetaan pidettäväksi ennallaan. Datanhallinta-asetuksen säännösten rikkomisessa on kyse erilaisista tilanteista kuin data-asetuksen velvoitteiden rikkomisessa. Myös tahot, joihin seuraamusmaksusääntely voi kohdistua, ovat erityyppisiä. Perusteltua on, että datanhallinta-asetusta ja data-asetusta koskevat seuraamusmaksut ovat eri suuruisia.  

Pykälän 2 momentissa säädettäisiin seuraamusmaksun kokonaisarvioinnista ja siinä huomioon otettavista seikoista. Seuraamusmaksun suuruuden määrittäminen tulisi oikeasuhtaisuusvaatimuksen mukaisesti perustua kokonaisarviointiin. Datanhallinta-asetuksen 34 artiklan 2 kohdassa säädetään ohjeellisesti niistä kriteereistä, jotka voidaan huomioida viranomaisen määrittäessä seuraamuksen tyyppiä ja tasoa. Nämä seikat säädettäisiin huomioon otettaviksi. Huomioitava on, että data-asetuksen osalta vastaavista kriteereistä säädetään sen sijaan suoraan asetuksessa. Vaikka kriteerit data-asetuksessa ja datanhallinta-asetuksessa ovat tältä osin melko samanlaiset, data-asetuksen osalta esityksen 20 §:n 3 momentti sisältää vain informatiivisen viittauksen aineellisen säännöksen sijaan. Ehdotettu 2 momentti siirrettäisiin tähän lakiin sisällöllisesti muuttumattomana sähköisen viestinnän palveluista annetun lain 334 a §:n 3 momentista. Seuraamusmaksun suuruudessa olisi siten otettava huomioon: a) rikkomisen luonne, vakavuus, laajuus ja kesto, b) datan välityspalvelujen tarjoajan toteuttamat toimet rikkomisen aiheuttaman vahingon lieventämiseksi tai korjaamiseksi, c) datan välityspalvelujen tarjoajan mahdolliset aiemmat rikkomiset, d) datan välityspalvelujen tarjoajan rikkomisen johdosta saamat taloudelliset edut tai niiden välttämät tappiot, jos tällaiset voitot tai tappiot voidaan luotettavasti osoittaa sekä e) mahdolliset muut tapauksen olosuhteisiin sovellettavat raskauttavat tai lieventävät tekijät.  

22 §.Seuraamusmaksun määrääminen. Pykälässä säädettäisiin seuraamusmaksun määräämisestä ja määräämättä jättämisestä.  

Pykälän 1 momentissa säädettäisiin tilanteista, jolloin seuraamusmaksua data-asetuksen tai datanhallinta-asetuksen velvoitteen rikkomisesta tai laiminlyönnistä ei saa määrätä. Datanhallinta-asetuksen osalta ehdotettu säännös vastaisi pääosin voimassa olevan sähköisen viestinnän palveluista annetun lain 334 a §:n 4 momenttia. Perusteltua on, että säännökset kriteereistä, joilla seuraamusmaksu sekä data-asetuksen että datanhallinta-asetuksen rikkomisesta jätetään määräämättä, ovat yhdenmukaiset. Seuraamusmaksua ei momentin mukaan määrättäisi, jos velvoitteen rikkomista on pidettävä vähäisenä tai seuraamusmaksun määräämistä ilmeisen kohtuuttomana. Datanhallinta-asetuksen osalta ehdotettu säännös tarkoittaa, että siihen ei sisältyisi jatkossa sähköisen viestinnän palveluista annetun lain 334 a §:n 4 momentin 1 kohdassa säädettyä perustetta jättää maksu määräämättä, jos datan välityspalvelun tarjoaja on ryhtynyt korjaaviin toimenpiteisiin, eikä rikkomus ole vakava tai toistuva. Tällainen tilanne voisi jatkossa tulla huomioiduksi joko maksun määräämättä jättämisenä ilmeisen kohtuuttomuuden perusteella tai osana maksun suuruutta koskevaa kokonaisharkintaa datanhallinta-asetuksen 34 artiklan 2 kohdan a ja b kohtien perusteella.  

Seuraamusmaksun määrääminen on luonteeltaan merkittävä hallintotoimi, ja sitä on tarkoitus käyttää vain vakavammissa asetuksen rikkomistilanteissa. Seuraamusmaksun määräämisessä yksittäisessä tapauksessa on kyse valvovan viranomaisen harkintavallasta, jota on käytettävä hallintolaissa säädetyn hyvän hallinnon periaatteiden mukaisesti. Viranomaisen valvontatoiminnassa lähtökohtana on, että kun viranomainen harkitsee käytettävissä olevia toimivaltuuksiaan asetuksen rikkomistilanteessa, käytettävän toimivaltuuden tulee olla oikeasuhtainen rikkomiseen nähden. Jos rikkominen jatkuu yhä, viranomainen voisi, rikkomuksen luonteesta ja vakavuudesta riippuen, ensivaiheessa esimerkiksi velvoittaa päätöksellään palveluntarjoajan korjaamaan toimintansa ja mahdollisesti tehostaa päätöstään uhkasakolla ennen seuraamusmaksun antamista. Data-asetus, datanhallinta-asetus tai nyt ehdotettava laki ei kuitenkaan edellytä, että lievempiä keinoja olisi aina käytettävä ennen seuraamusmaksumenettelyyn ryhtymistä. Kuitenkin selvää on, että viranomaisten valvontatyön lähtökohtana olisi ohjaus ja neuvonta, etenkin kun data-asetus sisältää täysin uudenlaista sääntelyä, josta ei ole aiempaa soveltamiskokemusta. 

Momentin mukaan seuraamusmaksu jätettäisiin kokonaan määräämättä, jos velvoitteen rikkomista on pidettävä vähäisenä tai seuraamusmaksun määräämistä ilmeisen kohtuuttomana. Seuraamusmaksusääntelyn tulee lähtökohtaisesti mahdollistaa perimättä jättäminen tällaisissa tilanteissa. Perustuslakivaliokunta on käytännössään edellyttänyt, että viranomaisen harkinnan sanktion määräämättä jättämisestä tulee olla sidottua harkintaa siten, että seuraamusmaksu on jätettävä määräämättä laissa säädettyjen edellytysten täyttyessä (ks. esim. PeVL 49/2017 vp). Velvoitteen rikkomista voitaisiin pitää vähäisenä esimerkiksi, jos toimija on oma-aloitteisesti ja välittömästi rikkomuksensa havaittuaan ryhtynyt menettelynsä vaikutukset oikaiseviin toimenpiteisiin ja lopulliset vaikutukset muihin tahoihin ovat siten jääneet vähäisiksi. Ilmeisen kohtuuttomuuden tilanteissa kyse olisi kokonaisarvioinnista, jossa voitaisiin ottaa huomioon esimerkiksi virheellisen menettelyn syyt ja seuraukset sekä tekijän yksilölliset olosuhteet. 

Voimassa olevan Liikenne- ja viestintävirastosta annetun lain 7 a §:n mukaan Liikenne- ja viestintäviraston seuraamuskollegion tehtävänä on määrätä viraston toimivaltaan kuuluva seuraamusmaksu silloin, kun se on suuruudeltaan yli 100 000 euroa. Näin ollen kollegio määräisi seuraamusmaksun myös data-asetuksen rikkomisesta silloin, kun maksu on yli 100 000 euroa. 

Pykälän 2 momentissa säädettäisiin tilanteista, joissa asetuksen rikkominen täyttäisi samalla myös rikoksen tunnusmerkistön. Tällöin olisi tarpeen säätää, että seuraamusmaksua ei voida määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa, tai jolle on samasta teosta jo annettu lainvoimainen tuomio. Säännös vastaa niin sanottua ne bis inidem -periaatetta, kieltoa syyttää ja tuomita kahdesti samasta asiasta.  

Pykälän 3 momentissa säädettäisiin, että 13-19 §:ssä tarkoitettua seuraamusmaksua ei voitaisi määrätä valtion viranomaisille valtion liikelaitoksille, kunnallisille viranomaisille, kuntayhtymälle, hyvinvointialueelle, hyvinvointiyhtymälle, itsenäisille julkisoikeudellisille laitoksille, eduskunnan virastoille, tasavallan presidentin kanslialle eikä Suomen evankelis-luterilaiselle kirkolle ja Suomen ortodoksiselle kirkolle eikä niiden seurakunnille, seurakuntayhtymille ja muille elimille. Toisin sanoen hallinnollista seuraamusmaksua ei voitaisi määrätä hallintolain 2 §:ssä tarkoitetuille viranomaisille eikä valtion liikelaitokselle. Lähtökohtaisesti valtion liikelaitokset eivät enää toimi kilpailluilla markkinoilla, vaan tuottavat palveluita valtionhallinnon sisällä. Rajaus ei koskisi niitä yksityisiä tahoja, jotka hoitavat PL 124 §:n tarkoittamia julkisia hallintotehtäviä.  

Valtion liikelaitoksen mainitseminen ehdotetussa lainkohdassa on tarpeellista, sillä valtion viranomainen käsittää ainoastaan viranomaisorganisaatioon kuuluvat laitokset. Kunnallinen viranomainen sisältää puolestaan myös kunnalliset liikelaitokset. 

Säännös vastaisi muotoilultaan tietosuojalain 24 §:n 4 kohtaa. Perustuslakivaliokunta on tietosuojalakia koskevan hallituksen esityksen kohdalla katsonut, että seuraamusmaksusääntelyn ulottaminen viranomaistoimintaan ei ole valtiosääntöisesti ongelmatonta (ks. PeVL 14/2018 vp, myös PeVL 13/2023 vp). Perustuslakivaliokunta on mm. arvioidessaan valtioneuvoston kirjelmää ehdotuksesta tekoälyasetukseksi painottanut sen merkitystä, että Suomessa ei voida määrätä hallinnollisia seuraamusmaksuja viranomaisille, sillä viranomaisille voidaan määrätä ainoastaan rikosoikeudellisia seuraamuksia (ks. PeVL 37/2021 vp, kappale 40). Säännös perustuisi data-asetuksen jättämään laajaan kansalliseen liikkumavaraan. Data-asetuksessa ei, toisin kuin yleisessä tietosuoja-asetuksessa, nimenomaisesti jätetä jäsenvaltion harkintaan sitä, ulotetaanko seuraamusmaksut koskemaan myös viranomaisia. Data-asetus jättää kuitenkin kokonaisuudessaan yleistä tietosuoja-asetusta huomattavasti enemmän kansallista liikkumavaraa seuraamussääntelystä päätettäessä, jolloin tämän liikkumavaran alaan voidaan arvioida kuuluvan mahdollisuus päättää myös siitä, ulotetaanko seuraamusmaksut viranomaistoimintaan. Asiaa perustellaan enemmän esityksen jaksossa 12. 

Pykälän 4 momentissa säädettäisiin seuraamusmaksun määräämisoikeuden vanhentumisesta. Toimivaltainen viranomainen ei saisi määrätä seuraamusmaksua, jos sitä ei ole tehty viiden vuoden kuluessa siitä päivästä, jona asetuksen rikkominen tai asetuksen velvoitteen laiminlyönti tapahtui, tai jatketun asetuksen rikkomisen tai laiminlyönnin osalta viiden vuoden kuluessa siitä päivästä, jona rikkomus tai laiminlyönti päättyi.  

Pykälän 5 momentissa säädettäisiin mahdollisuudesta määrätä seuraamusmaksu sille, jolle rikkomukseen osallistunut liike- tai elinkeinotoiminta on siirtynyt yrityskaupan seurauksena. Säännös olisi tarpeen, jotta hallinnollisesta seuraamusmaksusta ei voisi vapautua rikkomuksen jälkeisin yhtiöoikeudellisin järjestelyin. Seuraamus voitaisiin siis määrätä joko rikkomuksen tehneelle oikeussubjektille tai sille, jolle elinkeinotoiminta on siirtynyt. Ehdotus vastaa läheisesti kilpailulain 12 §:ssä säädettyä, ja se on EU:n kilpailuoikeudessa vakiintuneen taloudellisen seuraannon periaatteen mukainen. Säännös voisi tulla sovellettavaksi esimerkiksi silloin, kun rikkomuksen tehnyt taho on oikeudellisesti lakannut olemasta (esimerkiksi asia C-49/92 P, Anic Partecipazioni SpA, kohta 145), tai silloin, jos yhtiö on sinänsä olemassa, mutta se on lopettanut liiketoiminnan harjoittamisen (esimerkiksi asia C – 40–48, 50, 54–56, 111, 113, 114 /73 Coöperatieve Vereniging ”Suiker Unie” UA ym., kohdat 79–87).  

Pykälän 6 momentissa olisi informatiivinen viittaus sakon täytäntöönpanosta annettuun lakiin. Kyseistä lakia on uudistettu keväällä 2025, ja muutosten tavoitteena on yhtenäistää ja selkeyttää sääntelyä (ks. HE 5/2025 vp ja EV 52/2025 vp). Laissa säädetään muun muassa seuraamusmaksun raukeamisesta (4 b §) ja maksamisesta valtiolle (7 §:n 1 momentti), joita koskevista seikoista ei tule säätää erikseen nyt ehdotettavassa laissa.  

4 luku Kansainvälinen yhteistyö  

23 §. Yhteistyö muiden jäsenvaltioiden ja Euroopan komission kanssa. Pykälässä säädettäisiin Liikenne- ja viestintäviraston EU-yhteistyöstä. Liikenne- ja viestintäviraston olisi toimittava yhteistyössä muiden jäsenvaltioiden datakoordinaattorien, muiden jäsenvaltioiden toimivaltaisten viranomaisten, Euroopan komission ja Euroopan datainnovaatiolautakunnan kanssa. Säännöksellä pantaisiin osaltaan täytäntöön data-asetuksen 37 artiklan 5 kohdan f alakohta. Datanhallinta-asetuksen osalta yhteistyövelvoite tulee sen sijaan joltain osin suoraan asetuksesta (etenkin 14 artiklan 7 kohta ja 24 artiklan 6 kohta), minkä takia säännös koskisi käytännössä enemmän data-asetukseen liittyvää kansainvälistä viranomaisyhteistyötä.  

Data-asetuksen 42 artiklan mukaan toimivaltaiset viranomaiset voivat olla edustettuina datainnovaatiolautakunnassa, eikä siitä ole tarpeen säätää erikseen. Euroopan datainnovaatiolautakunta on datanhallinta-asetuksen 29 artiklan mukaisesti perustettu asiantuntijaryhmä, jossa ovat edustettuina toimivaltaiset viranomaiset. Sen tehtävänä on muun ohella neuvoa ja avustaa komissiota toimivaltaisten viranomaisten johdonmukaisten käytäntöjen kehittämisessä, data-asetuksen täytäntöönpanossa, helpottaa toimivaltaisten viranomaisten välistä yhteistyötä ja neuvoa ja avustaa komissiota erikseen data-asetuksen 42 artiklassa luetelluissa asioissa.  

Liikenne- ja viestintävirasto osallistuu jo Euroopan datainnovaatiolautakunnan toimintaan datanhallinta-asetuksen 29 artiklan 1 ja 2 kohtien perusteella. Lautakunnassa virasto osallistuu toimivaltaisten viranomaisten alatyöryhmän työskentelyyn ja tekee yhteistyötä sekä muiden jäsenmaiden viranomaisten että Euroopan komission kanssa. Euroopan datainnovaatiolautakunnan työ data-asetuksen suhteen on vasta muotoutumassa. 

24 §.Asiakirjan luovuttaminen toisen jäsenvaltion toimivaltaiselle viranomaiselle tai Euroopan komissiolle. Pykälässä säädettäisiin Liikenne- ja viestintäviraston oikeudesta luovuttaa salassa pidettäviä asiakirjoja sekä ilmaista salassa pidettäviä tietoja toisen jäsenvaltion toimivaltaiselle viranomaiselle tai Euroopan komissiolle, jos se on data-asetuksen tai datanhallinta-asetuksen valvonnan kannalta välttämätöntä.  

5 luku Erinäiset säännökset 

25 §.Erityinen lausuntomenettely. Pykälässä säädettäisiin data-asetuksen 32 artiklan edellyttämistä erityistä lausuntomenettelyä koskevista tarkentavista säännöksistä. Data-asetuksen 32 artiklan 3 kohdan mukaan datankäsittelypalvelujen tarjoaja, joka on vastaanottanut kolmannen maan tuomioistuimen päätöksen tai tuomion tai kolmannen maan hallintoviranomaisen päätöksen, jossa vaaditaan datankäsittelypalvelujen tarjoajaa siirtämään unionissa olevaa asetuksen soveltamisalaan kuuluvaa muuta dataa kuin henkilötietoja tai antamaan pääsy tällaiseen dataan, voi pyytää asianomaisen kansallisen elimen tai kansainvälisen oikeusavun alalla toimivaltaisen viranomaisen lausuntoa määrittääkseen täyttyvätkö mainitun artiklan 3 kohdan ensimmäisessä alakohdassa vahvistetut edellytykset. Vastaanottaja on velvollinen pyytämään lausuntoa asianomaisilta tahoilta, jos kyseessä on kansalliseen turvallisuuteen tai puolustukseen liittyvät edut data-asetuksen 32 artiklan 3 kohdan toisen alakohdan nojalla.  

Pykälän 1 momentissa säädettäisiin, miltä viranomaisilta data-asetuksen 32 artiklan mukaisen päätöksen vastaanottaja pyytää tarvittavat lausunnot, kun kyseessä on kansalliseen turvallisuuteen tai puolustukseen liittyvät edut. Kansallisena toimivaltaisena viranomaisena toimisi kansallisen turvallisuuden osalta sisäministeriö ja puolustuksen osalta Pääesikunta. Tältä osin lausuntomenettely olisi pakollinen.  

Momentissa säädettäisiin myös sisäministeriön ja Pääesikunnan velvollisuudesta pyytää lausuntoa ulkoministeriöltä, mikäli kansalliseen turvallisuuteen tai puolustukseen liittyvät edut koskevat lisäksi ulkoministeriön toimialaan kuuluvaa ulko- ja turvallisuuspolitiikkaa. Sisäministeriön toimialaan kuuluvat muun ohella yleinen järjestys ja turvallisuus, siviilitiedustelu sekä aluehallinnon yhteinen varautuminen poikkeusoloihin ja häiriötilanteisiin. Puolustusministeriön toimialaan kuuluvat muun muassa sotilaallinen maanpuolustus ja kokonaismaanpuolustuksen yhteensovittaminen. Puolustusvoimien toimialaan kuuluu sotilaallisen maanpuolustuksen osana kyberpuolustus. Ulkoministeriön toimivaltaan kuuluvat esimerkiksi kansainvälinen vientivalvontayhteistyö ja kaksikäyttötuotteiden vientivalvonta sekä kansainvälisten tietoturvallisuusvelvoitteiden toteuttaminen. Sisäministeriöllä ja Pääesikunnalla on parhaimmat edellytykset arvioida lausuntopyynnön yhteyttä ulko- ja turvallisuuspolitiikkaan, jonka vuoksi vastuu ulkoministeriölle esitettävistä lausuntopyynnöistä säädettäisiin näille viranomaisille. 

Pykälän 2 momentissa säädettäisiin data-asetuksen 32 artiklan mukaisen päätöksen vastaanottajan mahdollisuudesta pyytää lausuntoa asianomaiselta viranomaiselta sen määrittämiseksi, täyttyvätkö data-asetuksen 32 artiklan 3 kohdan ensimmäisessä alakohdassa vahvistetut edellytykset, jos päätöksen vastaanottaja katsoo, että päätös saattaa koskea liikesalaisuuksia ja muuta kaupallisesti arkaluonteista dataa taikka teollis- ja tekijänoikeuksilla suojattua sisältöä, tai että siirto voi johtaa uudelleentunnistamiseen. Lausuntopyynnön vastaanottaneen asianomaisen viranomaisen velvollisuutena on arvioida ja esittää tarvittaessa lausuntopyyntö data-asetuksessa tarkoitettujen etujen suojelua hoitavalle viranomaiselle sen määrittämiseksi täyttyvätkö 32 artiklan 3 kohdan ensimmäisessä alakohdassa vahvistetut edellytykset. Asianomainen viranomainen voi tarvittaessa pyytää lausuntoa useammalta viranomaiselta samanaikaisesti tapauksissa, joissa asiaan liittyvät edut koskettavat useampaa tahoa. Lausuntomenettelyihin sovelletaan myös hallintolain (434/2003) mukaisia hallintomenettelyitä, esimerkiksi asian siirtoa koskien. Jos dataan pääsyllä tai siirrolla epäillään olevan yhteys kansalliseen turvallisuuteen tai puolustukseen, viranomaisen olisi oltava yhteydessä sisäministeriöön tai Pääesikuntaan vastaavasti kuin 1 momentin tilanteissa.  

Pykälässä suojeltavia etuja ovat erityisesti henkilön perusoikeuksien suoja, kuten oikeus turvallisuuteen ja oikeus tehokkaisiin oikeussuojakeinoihin, tai kansalliseen turvallisuuteen tai puolustukseen liittyvistä jäsenvaltion perusedut, myös kaupallisesti arkaluonteisen datan, kuten liikesalaisuuksien suojaaminen sekä teollis- ja tekijänoikeuksien suojaaminen, mukaan lukien kyseisen oikeuden mukaiset luottamuksellisuutta koskevat sopimusvelvoitteet (asetuksen johdanto-osan perustelukappale 101). 

Pykälän 3 momentissa säädettäisiin mahdollisuudesta antaa tarkempia määräyksiä erityisestä lausuntomenettelystä valtioneuvoston asetuksella. Valtioneuvoston asetuksella voidaan antaa säännöksiä esimerkiksi lausuntomenettelyyn osallistuvien asiantuntijoiden nimeämisestä. Lausuvana viranomaisena voisi toimia esimerkiksi data-asetuksen tekijänoikeuksiin ja sen lähioikeuksiin liittyvissä eduissa opetus- ja kulttuuriministeriö. Suomessa ei nykyisin ole viranomaista, joka voisi toimia toimivaltaisen viranomaisen tukena data-asetuksen soveltamisessa tekijänoikeuksiin liittyvissä kysymyksissä.  

Data-asetuksen toimeenpanon valmistelussa on ollut haastavaa arvioida, tarvitaanko ja missä laajuudessa viranomaista valvomaan data-asetuksen soveltamista erityisesti sen 32 artiklassa tarkoitettujen datan kansainvälisten siirtojen osalta. Siten on perusteltua, että artiklassa mainitun lausunnon ja data-asetuksen soveltamiseen muutoin liittyvän lausunnon antamisesta ja siihen osallistuvien asiantuntijoiden nimeämisestä säädettäisiin tarvittaessa valtioneuvoston asetuksella. Kyseisellä valtuussäännöksellä mahdollistetaan joustavuus ja nopeus lausuntojen antamisessa sekä asiantuntijoiden nimeämisessä, jos kyse on säännöksen täytäntöönpanon kannalta välttämättömistä seikoista. Valtuus ehdotetaan lisättäväksi varmuuden vuoksi, jotta lausuntomenettelyä on mahdollista täsmentää sen mukaan, miten soveltamiskäytännössä osoittautuu tarpeelliseksi. 

26 §.Korvaus datan saataville asettamisesta poikkeuksellisen tarpeen tapauksissa. Data-asetuksen 20 artiklan mukaan datan haltija on oikeutettu kohtuulliseen korvaukseen tietyin edellytyksin, jos julkisen sektorin elin on pyytänyt dataa 15 artiklan 1 kohdan nojalla. Asetuksen 20 artikla sisältää myös tarkempaa sääntelyä kohtuullisen korvauksen määräytymisestä. Kansallisesti on tarve säätää täydentävästi korvauksen suorittamiseen liittyvästä menettelystä.  

Pykälän 1 momentissa olisi informatiivinen viittaus data-asetuksen 20 artiklassa säädettyyn datan haltijan oikeuteen saada korvausta. Jos dataa on pyydetty 15 artiklan 1 kohdan a alakohdan nojalla, vain mikroyritykset ja pienet yritykset ovat asetuksen mukaan oikeutettuja korvaukseen. Jos dataa on pyydetty 15 artiklan 1 kohdan b alakohdan nojalla, korvaukseen ovat käytännössä oikeutettuja muut kuin mikroyritykset ja pienet yritykset, sillä 15 artiklan 1 kohdan b alakohtaa ei sovelleta mikroyrityksiin ja pieniin yrityksiin. Korvausvelvollinen viranomainen voi olla valtion viranomaisen lisäksi esimerkiksi kunta tai hyvinvointialue, jos se on pyytänyt tietoja data-asetuksen 15 artiklan 1 kohdan nojalla.  

Pykälän 2 momentissa säädettäisiin datan haltijan velvollisuudesta esittää kirjallisesti vaatimus korvauksen määrästä ja korvauksen suorittamiseksi tarvittavat tiedot. Datan haltijan oikeus korvaukseen perustuu suoraan data-asetukseen, mutta viranomaisella ei olisi velvoitetta suorittaa korvausta oma-aloitteisesti, vaan datan haltijan tulisi vaatia korvausta. Datan haltijan vastuulla olisi laskea vaatimansa korvauksen määrä huomioiden data-asetuksen 20 artiklan 2 kohdassa mainitut kohtuullisen korvauksen perusteet. Tätä voidaan pitää perusteltuna, sillä datan haltijalla itsellään on eniten tietoa siitä, minkälaisia kustannuksia tietojen asettamisesta viranomaisen saataville on sille aiheutunut. Datan haltija voi myös päättää olla hakematta korvausta.  

Pykälän 3 momentissa säädettäisiin korvauksen maksamisen aikataulusta ja siihen vaikuttavista menettelyvaiheista . Viranomaisen olisi suoritettava korvaus datan haltijalle viimeistään kahden kuukauden kuluttua korvausvaatimuksen vastaanottamisesta. Jos korvauksen laskemisen perusteita ei olisi riittävästi avattu jo korvausvaatimuksessa, ja viranomainen pyytäisi data-asetuksen 20 artiklan 2 kohdan nojalla datan haltijalta lisätietoja vaaditun korvauksen määrän perusteista, maksun määräpäivää jatkettaisiin samalla määrällä päiviä kuin mitä datan haltijalta menee pyydettyjen lisätietojen toimittamiseen. Jos viranomainen katsoisi, että vaadittu korvauksen määrä ei ole data-asetuksen laskentaperusteiden ja datan haltijalta saatujen lisätietojen valossa kohtuullinen, viranomainen voisi saattaa data-asetuksen 20 artiklan 5 kohdan nojalla korvauksen suuruutta koskevan asian Liikenne- ja viestintäviraston käsiteltäväksi ennen korvauksen maksun määräpäivää. Korvaus datan haltijalle olisi tällöin suoritettava, kun Liikenne- ja viestintäviraston päätös kohtuullisen korvauksen määrästä on saanut lainvoiman.  

Data-asetuksen 20 artiklan 5 kohdan mukaan viranomainen voi tehdä ”valituksen” data-asetuksen 37 artiklan mukaisesti nimetylle toimivaltaiselle viranomaiselle. Suomessa datakoordinaattori ja toimivaltainen viranomainen data-asetuksen V lukuun liittyvissä asioissa on Liikenne- ja viestintävirasto, jolle on data-asetuksen V luvussa annettu muitakin viranomaisten tietojen saataville asettamista koskeviin pyyntöihin liittyviä tehtäviä kuin datan haltijalle maksettavan korvauksen kohtuullisen määrään liittyvän valituksen käsitteleminen.  

Pykälän 4 momentissa säädettäisiin Liikenne- ja viestintäviraston korvauksen määrää koskevan päätöksen sisällöstä ja korvauksen määrän kohtuullisuuden arvioinnista. Datan haltijan oikeus korvaukseen ja sen perusteet määräytyvät suoraan data-asetuksen perusteella. Data-asetuksen 20 artiklan 5 kohdan perusteella viranomainen voi valittaa 37 artiklan mukaiselle toimivaltaiselle viranomaiselle vain datan haltijan pyytämän korvauksen tasosta. Liikenne- ja viestintävirasto voisi päätöksessään vahvistaa korvauksen määrän vaaditun suuruisena tai alentaa kohtuullisena pidettävän korvauksen määrää. Asiaa ratkaistaessa sovellettaisiin data-asetuksen 20 artiklan 2 kohdan säännöksiä kohtuullisen korvauksen määrän laskemisesta ja otettaisiin huomioon datan haltijan korvauksen määrän perusteista esittämä selvitys.  

Liikenne- ja viestintäviraston laajan tehtäväkentän vuoksi virasto voisi joutua tekemään data-asetuksen 15 artiklan 1 kohdan mukaisen pyynnön tietojen asettamisesta viraston saataville poikkeuksellisen tarpeen tilanteessa, jolloin sille voitaisiin yhtäältä tehdä data-asetuksen 20 artiklassa tarkoitettu korvausvaatimus, ja se olisi toisaalta se toimivaltainen viranomainen, jonka tehtävä on tarvittaessa arvioida vaaditun korvauksen kohtuullisuutta. Liikenne- ja viestintäviraston päätöksenteon puolueettomuuteen voidaan tässä tilanteessa vaikuttaa viraston sisäisin työjärjestelyin. Asianosaisten oikeusturvan kannalta voidaan kuitenkin pitää riittävänä, että Liikenne- ja viestintäviraston päätös korvauksen kohtuullisuudesta on hallintopäätös, johon on mahdollista hakea muutosta oikeudenkäynnistä hallintoasioissa annetun lain (808/2019) mukaisesti. 

27 §. Oikaisuvaatimus. Pykälässä säädettäisiin päätösryhmästä, johon sovellettaisiin oikaisumenettelyä muutoksenhaun ensimmäisenä vaiheena.  

Pykälän 1 momentin mukaan oikaisua haettaisiin datanhallinta-asetuksen 19 artiklan 5 kohdan mukaiseen päätökseen. Kyseisen kohdan nojalla Liikenne- ja viestintäviraston on rekisteröitävä yhteisö tunnustettujen data-altruismipohjaisten organisaatioiden julkiseen kansalliseen rekisteriin kahdentoista viikon kuluessa hakemuksen vastaanottamisesta, jos yhteisö on toimittanut vaaditut tiedot ja täyttää säädetyt edellytykset. Oikaisumenettelyn käyttö on tarkoituksenmukaista, koska rekisteröinti edellyttää harkintavallan käyttöä sen suhteen, täyttääkö organisaatio datanhallinta-asetuksen asettamat edellytykset. Ehdotettu muutos ei suoraan perustu datanhallinta-asetukseen, vaan kansallisiin linjauksiin oikaisumenettelyn käyttöalasta. Ehdotus on yhteensopiva asetuksen 28 artiklan 1 kohdan vaatimusten kanssa (oikeus tehokkaisiin oikeussuojakeinoihin), koska oikaisuvaatimukseen annettuun päätökseen voi hakea muutosta (hallintolaki 49 b §:n 3 momentti sekä laki oikeudenkäynnistä hallintoasioissa 7 §:n 2 momentti).  

Pykälän 2 momentissa olisi informatiivinen viittaus hallintolakiin (434/2003), jossa on tarkempia säännöksiä oikaisuvaatimuksesta.  

28 §. Muutoksenhaku viranomaisen päätöksestä. Pykälän 1 momentissa esitettäisiin muutoksenhaun osalta, että tässä laissa tarkoitetun toimivaltaisen viranomaisen antamista päätöksistä haetaan muutosta sen mukaisesti, mitä oikeudenkäynnistä hallintoasioissa annetussa laissa säädetään.  

Pykälän 2 momentissa säädettäisiin uhkasakkolain soveltumisesta uhkasakon asettamista ja määräämistä koskevissa asioissa.  

Pykälän 3 momentissa säädettäisiin, että toimivaltaisen viranomaisen muussa kuin seuraamusmaksun määräämistä koskevassa päätöksessä voidaan määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei valitusviranomainen toisin määrää.  

Data-asetuksen 39 artiklan mukaan kaikilla luonnollisilla henkilöillä ja oikeushenkilöillä, joita asia koskee, on oltava oikeus tehokkaisiin oikeussuojakeinoihin toimivaltaisten viranomaisten tekemien oikeudellisesti sitovien päätösten osalta. Kuluttaja-asiamiehen toimivaltuudet ja niihin liittyvien päätösten muutoksenhaku määräytyvät kuluttaja-asiamiehen toimivaltaa koskevan sääntelyn mukaisesti. 

29 §.Voimaantulo . Pykälässä säädettäisiin lain voimaantulosta.  

7.2  Laki sakon täytäntöönpanosta

1 §.Lain soveltamisala . Pykälän 2 momentin 37 kohtaa muutettaisiin niin, että siitä poistettaisiin viittaus sähköisen viestinnän palveluista annetun lain 334 a §:n nojalla määrättävään datan välityspalvelujen tarjoajan seuraamusmaksuun, koska kyseinen seuraamusmaksu määrättäisiin jatkossa datan hallinnan ja jakamisen valvonnasta annetun lain nojalla.  

Pykälän 2 momentin 60 kohtaan tehtäisiin tekninen muutos. Sen lopussa oleva piste muutettaisiin puolipisteeksi, koska aiemmin luettelon viimeisenä ollut 60 kohta muuttuisi toiseksi viimeiseksi.  

Pykälän 2 momenttiin lisättäisiin uusi 61 kohta , jossa säädettäisiin, että sakon täytäntöönpanosta annetussa laissa säädetään myös datan hallinnan ja jakamisen valvonnasta annetun lain nojalla määrättävien seuraamusmaksujen täytäntöönpanosta.  

7.3  Laki sähköisen viestinnän palveluista

304 §.Liikenne- ja viestintäviraston erityiset tehtävät . Pykälän 1 momentin 19 kohta kumottaisiin. Liikenne- ja viestintäviraston datanhallinta-asetukseen perustuvat tehtävät siirrettäisiin sisällöllisesti muuttumattomana nyt ehdotettavan uuden datan hallinnasta ja valvonnasta annetun lain 2 §:ään. Tällöin nykyinen 18 kohta olisi jatkossa momentin viimeinen, joten sen lopussa oleva puolipiste olisi muutettava pisteeksi.  

330 §.Valvontapäätös . Pykälän 3 momentti kumottaisiin. Liikenne- ja viestintäviraston valvontapäätöstä koskeva tehtävä siirrettäisiin nyt ehdotettavaan uuteen lakiin. Näin ollen valvontapäätöksestä säädettäisiin datan hallinnasta ja valvonnasta annetussa laissa.  

334 a §.Datan välityspalvelujen tarjoajan seuraamusmaksu . Pykälä siirrettäisiin sisällöllisesti muuttumattomana esityksessä ehdotettavaan uuteen lakiin datan hallinnan ja jakamisen valvonnasta.  

342 §.Oikaisuvaatimus. Pykälän 2 momenttia muutettaisiin niin, että siitä poistettaisiin datanhallinta-asetuksen 19 artiklan 5 kohdan mukainen päätösryhmä. Muilta osin momentti säilyisi ennallaan. Jatkossa edellä tarkoitettuun päätökseen voisi hakea oikaisua tässä esityksessä ehdotettavan uuden datan hallinnasta ja valvonnasta annetun lain 27 §:n mukaisesti.  

7.4  Laki kuluttajansuojaviranomaisten eräistä toimivaltuuksista

2 §. Yhteistyöasetuksen mukaiset toimivaltaiset viranomaiset. Hallituksen esitykseen sisältyvässä ehdotuksessa laiksi datan hallinnan ja jakamisen valvonnasta kuluttaja-asiamiehen valvottaviksi ehdotetaan data-asetuksen 3 artiklan 2 ja 3 kohdassa säädettyjä velvoitteita silloin, kun kyse on tiedoista, jotka elinkeinonharjoittajien on annettava kuluttajille ennen sopimuksen tekemistä. Sen sijaan muilta osin valvontatoimivalta olisi mainitun lakiehdotuksen mukaan Liikenne- ja viestintävirastolla.  

Pykälän 2 momentin 3 kohtaa muutettaisiin niin, että Liikenne- ja viestintävirasto mainittaisiin yhteistyöasetuksen mukaisena toimivaltaisena viranomaisena myös siltä osin kuin se valvoo data-asetuksen noudattamista. Yhteistyöasetusta sovelletaan vain sen liitteessä lueteltujen Euroopan unionin säädösten rajat ylittäviin rikkomuksiin jäsenvaltioissa. Data-asetus lisättäisiin yhteistyöasetuksen kyseiseen liitteeseen.  

Lain 3 §:n 2 momentissa säädetään, että jos toimivalta on 2 §:n 2 momentin mukaisesti jaettu kuluttaja-asiamiehen ja muun viranomaisen kesken, myös tällä muulla toimivaltaisella viranomaisella on lain 2 luvussa säädetyt toimivaltuudet yhteistyöasetuksen soveltamisalaan kuuluvissa asioissa. Näin ollen Liikenne- ja viestintävirastolla olisi lainkohdassa tarkoitetut toimivaltuudet.  

Pykälän 3 momentin 2 kohtaa muutettaisiin niin, että siinä todettaisiin vain Liikenne- ja viestintäviraston toimivan yhteistyöasetuksessa tarkoitettuna toimivaltaisena viranomaisena silloin, kun se valvoo data-asetuksen muiden kuin 3 artiklan 2 ja 3 kohdan noudattamista. Lisäys on tarpeen, koska kuluttaja-asiamies ei ole yhteistyöasetuksessa tarkoitettu toimivaltainen viranomainen data-asetuksen muiden kuluttajiin liittyvien artiklojen kuin 3 artiklan osalta. Lain 3 §:n 1 momentin mukaan kuluttaja-asiamiehellä, tietosuojavaltuutetulla, Liikenne- ja viestintävirastolla sekä Kilpailu- ja kuluttajavirastolla on tässä laissa säädetyt toimivaltuudet yhteistyöasetuksen soveltamisalaan kuuluvissa asioissa, kun ne ovat 2 §:n 1 tai 3 momentin mukaan toimivaltaisia viranomaisia. Näin ollen Liikenne- ja viestintävirastolla olisi lainkohdassa tarkoitetut toimivaltuudet.  

16 §.Seuraamusmaksu tietojen antamista koskevien säännösten rikkomisesta. Pykälän 2 momenttiin lisättäisiin uusi 3 kohta , jonka mukaan seuraamusmaksu voidaan määrätä myös elinkeinonharjoittajalle, joka kuluttajien vahingoksi tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 3 artiklan 2 ja 3 kohdan säännöksiä tietojen antamisesta käyttäjälle ennen sopimuksen tekemistä silloin, kun on kyse tietojen antamisesta elinkeinonharjoittajalta kuluttajalle. Esityksen 1. lakiehdotuksen 3 §:n mukaan data-asetuksen 37 artiklan mukainen valvonnasta vastaava toimivaltainen viranomainen olisi kuluttaja-asiamies data-asetuksen 3 artiklan 2 ja 3 kohtien osalta silloin, kun kyse on elinkeinoharjoittajan ja kuluttajan välisistä tilanteista. Lisättäväksi ehdotettavalla säännöksellä kuluttaja-asiamiehelle annettaisiin toimivaltuus esittää markkinaoikeudelle seuraamusmaksujen määräämistä sen valvontaan kuuluvien data-asetuksen velvoitteiden rikkomistilanteissa. Seuraamusmaksun määräisi markkinaoikeus.  

17 § Seuraamusmaksun määrääminen muulle henkilölle kuin 13–16 §:ssä tarkoitetulle elinkeinonharjoittajalle. Pykälään lisättäisiin uusi 2 momentti, jossa säädettäisiin siitä, ettei 1 momentissa tarkoitettua seuraamusmaksua oikeushenkilön johtoon kuuluvalle tai oikeushenkilössä tosiasiallista määräysvaltaa käyttävälle henkilölle voitaisi määrätä kuluttaja-asiamiehen valvottavaksi säädettyjen data-asetuksen velvoitteiden rikkomuksista. Poikkeusta pidetään perusteltuna, koska Liikenne- ja viestintävirastolle ei olla esittämässä oikeutta määrätä seuraamusmaksuja oikeushenkilöiden johtohenkilöille muiden data-asetuksen säännösten rikkomisen osalta.  

18 §. Seuraamusmaksun suuruus. Pykälään lisättäisiin uusi 6 momentti , jossa olisi poikkeus 1 momentista siten, että 16 §:n 2 momentin 3 kohdassa tarkoitetun seuraamusmaksun suuruudesta säädettäisiin datan hallinnan ja jakamisen valvonnasta annetun lain 20 §:ssä. Kyseisen datan hallinnan ja jakamisen hallinnasta annetun lain pykälä sisältää myös säännöksen data-asetuksen mukaisista seuraamusmaksun määräämisen perusteista. Käytännössä seuraamusmaksun enimmäismäärä tässä laissa tarkoitetuista data-asetuksen rikkomuksista määräytyisi datan hallinnan ja jakamisen valvonnasta annetun lain 20 §:n 1 momentin mukaan ja olisi pienempi kuin tämän lain 18 §:n 1 momentissa säädetty enimmäismäärä.  

Poikkeuksen tavoitteena on välttää tilanne, jossa seuraamusmaksun enimmäismäärä riippuisi siitä, minkä lain mukaisesti seuraamusmaksu määrätään. Samalla vältettäisiin data-asetuksen kanssa päällekkäinen ja osin siitä poikkeava kansallinen sääntely seuraamusmaksun määräämisen perusteista.  

Data-asetuksen 40 artiklan 3 kohdassa säädetään asetuksen rikkomisesta määrättävien seuraamusten määräämisessä huomioitavista perusteista. Tämän pykälän 1 momentissa säädetyt seuraamusmaksun määräämisen perusteet ovat hyvin samankaltaiset kuin data-asetuksessa säädetyt, mutta niissä on myös eräitä eroja. Data-asetuksen 40 artiklan 3 kohdan c alakohdan mukaan seuraamuksen määräämisessä otetaan huomioon rikkojan mahdolliset aiemmat rikkomiset, kun taas tämän pykälän 1 momentin 4 kohdan mukaan huomioon on otettava elinkeinonharjoittajan mahdolliset aiemmat kuluttajansuojasäännöksiin liittyvät rikkomukset. Lisäksi pykälän 1 momentin 5 kohdan mukaan huomioon on otettava muussa jäsenvaltiossa samasta rajat ylittävästä rikkomuksesta elinkeinonharjoittajalle määrätty seuraamus, jos tieto tällaisesta seuraamuksesta on saatavilla yhteistyöasetuksella perustetun mekanismin kautta. Data-asetuksessa ei ole vastaavaa säännöstä. 

12.1  Johdanto

Data-asetuksella luodaan toimialasta riippumattomat säännöt, joilla ohjataan datan käyttöä ja saatavuutta Euroopan unionissa ja määritellään kuka voi luoda arvoa datasta ja millä edellytyksillä. Data-asetuksessa määritellään myös valvontamekanismi, jossa asetuksen eri markkinaosapuolille asettamien velvoitteiden valvonnasta vastaavat pääasiassa nimetyt jäsenvaltioiden toimivaltaiset viranomaiset, jotka tekevät yhteistyötä keskenään ja muiden viranomaisten kanssa. Asetuksen lähtökohta on, että kunkin jäsenvaltion viranomaiset ovat toimivaltaisia suhteessa kyseiseen jäsenvaltioon sijoittuneisiin yhteisöihin. Luonnolliset henkilöt ja oikeushenkilöt voivat tehdä valituksen asuinvaltionsa, työskentelyvaltionsa tai sijoittautumisvaltionsa nimetylle toimivaltaiselle viranomaiselle myös rajat ylittävissä kysymyksissä ja toimivaltaisten viranomaisten tulee tehdä yhteistyötä ja avustaa toisiaan sekä samassa jäsenvaltiossa että rajat ylittävissä tilanteissa käyttämällä niille annettuja toimivaltuuksia.  

Data-asetus antaa kansallisille viranomaisille suoraan tiettyjä toimivaltuuksia, ja siinä on myös säännöksiä asetuksen valvonnassa sovellettavasta menettelystä. Jäsenvaltioiden edellytetään nimeävän asetuksen valvonnasta ja muista tehtävistä vastaavat viranomaiset, määrittelevän selkeästi näiden tehtävät ja varmistavan, että nämä tehtävät ja toimivaltuudet sisältävät asetuksessa kuvatut viranomaistehtävät sekä niiden tehokkaan hoitamisen edellyttämät tutkinta- ja valvontatoimivaltuudet sekä viranomaisyhteistyön.  

Datanhallinta-asetuksella luodaan säännöt datan hallinnalle, minkä tavoitteena on lisätä datan saatavuutta. Datanhallinta-asetuksessa säädetään datan välityspalvelujen tarjoamisen ilmoitus- ja valvontapuitteista sekä toiminnalle asetetuista vaatimuksista. Asetuksessa säädetään myös vapaaehtoisen rekisteröitymisen puitteet yhteisöille, jotka keräävät ja käsittelevät altruistisiin tarkoituksiin saataville annettua dataa. Asetuksessa määritellään näille kokonaisuuksille yhteiset säännökset toimivaltaisista viranomaisista, muiden kuin henkilötietojen kansainvälisistä siirroista sekä seuraamuksista. Asetuksessa säädetään myös edellytyksistä julkisen sektorin hallussa olevien tiettyjen datan luokkien uudelleenkäytölle. Asiallisen erillisyyden takia dataluokkien uudelleenkäytön täytäntöönpano on valmisteltu valtioneuvostossa erikseen, ja tähän liittyvät säännökset on siksi rajattu tämän hallituksen esityksen ulkopuolelle.  

Datanhallinta-asetus antaa kansallisille viranomaisille suoraan toimivaltuuksia, ja siinä on myös säännöksiä asetuksen valvonnassa sovellettavasta menettelystä. Jäsenvaltioiden edellytetään nimeävän asetuksen valvonnasta vastaavat toimivaltaiset viranomaiset sekä määrittävän seuraamukset. Asetus jättää kansallisen liikkumavaran piiriin myös viranomaisten toiminnan, valitusoikeuden sekä muutoksenhakua koskevan sääntelyn. Asetuksessa on lisäksi säädetty eräistä mahdollisuuksista täydentää asetuksen sääntelyä. Ne liittyvät toimijoille asetettaviin lisävelvoitteisiin, maksujen perimiseen datan välityspalveluilta sekä kansalliseen data-altruismipolitiikkaan. Näitä ei tässä esityksessä ehdoteta täydennettäväksi. 

Esityksessä ehdotetaan säädettäväksi uusi laki datan hallinnan ja jakamisen valvonnasta ja muutettavaksi eräitä siihen liittyviä lakeja. 

EU-tuomioistuimen vakiintuneen oikeuskäytännön mukaan kansallista sääntelyä ei saa antaa asetuksen soveltamisalalla, ellei asetus nimenomaisesti velvoita tai valtuuta täydentävään kansalliseen sääntelyyn tai muuhun päätöksentekoon (tuomio 10.10.1973, Variola, 34/73; tuomio 2.2.1977, Amsterdam Bulb, 50/76). Asetukset ovat sellaisenaan sovellettavia eivätkä välttämättä edellytä erillisiä täytäntöönpanotoimia kansallisella tasolla (esim. PeVL 51/2014 vp). Perustuslakivaliokunta on todennut, että siltä osin kuin EU:n lainsäädäntö edellyttää kansallista sääntelyä tai mahdollistaa sen, tätä kansallista liikkumavaraa käytettäessä otetaan huomioon perus- ja ihmisoikeuksista seuraavat vaatimukset (PeVL 25/2005 vp ja PeVL 1/2018 vp). Valiokunta on tämän johdosta painottanut, että hallituksen esityksessä on erityisesti perusoikeuksien kannalta merkityksellisen sääntelyn osalta syytä tehdä selkoa kansallisen liikkumavaran alasta (PeVL 1/2018 vp, PeVL 26/2017 vp, PeVL 2/2017 vp ja PeVL 44/2016 vp). 

Esityksen 1. lakiehdotuksen toimivaltaisia viranomaisia koskeva sääntely on merkityksellistä perustuslain 2 §:n viranomaistoiminnan lakisidonnaisuuden ja perustuslain 21 §:n hyvän hallinnon näkökulmasta sekä perustuslain 10 §:ssä säädetyn yksityiselämän, kotirauhan ja henkilötietojen suojan kannalta.  

Toimivaltaisten viranomaisten tiedonsaantioikeuksien (ml. viranomaisten välinen tietojenvaihto) käyttöön voi liittyä henkilötietojen käsittelyä, joka on merkityksellistä perustuslain 10 §:n, perusoikeuskirjan 7 ja 8 artiklan sekä ihmisoikeussopimuksen 8 artiklan kannalta. Ehdotettu tiedonsaantioikeutta täydentävä Liikenne- ja viestintäviraston tarkastusoikeus on merkityksellistä erityisesti perustuslain 10 §:n ja perusoikeuskirjan 7 artiklan turvaaman yksityiselämän ja kotirauhan suojan kannalta.  

Data-asetuksen ja datanhallinta-asetuksen seuraamussääntely on merkityksellistä perustuslain 21 §:ssä sekä perusoikeuskirjan 47 artiklassa ja ihmisoikeussopimuksen 13 artiklassa turvatun oikeusturvan kannalta. Se on lisäksi merkityksellistä rikosoikeudellisen laillisuusperiaatteen ja kaksoisrangaistavuuden kiellon kannalta. Niiltä osin merkityksellisiä ovat perustuslain 8 §, perusoikeuskirjan 49 ja 50 artikla sekä ihmisoikeussopimuksen 7 artikla ja 7. lisäpöytäkirjan 4 artikla. Seuraamusmaksulla puututtaisiin omaisuuden suojaan. Itsekriminointisuoja puolestaan ilmenee nimenomaisesti kansalaisoikeuksia ja poliittisia oikeuksia koskevan kansainvälisen yleissopimuksen 14 artiklan 3 kappaleen g kohdasta, ja Euroopan ihmisoikeustuomioistuimen ratkaisukäytännön mukaan suoja liittyy myös Euroopan ihmisoikeussopimuksen 6 artiklan mukaisiin oikeudenmukaisen oikeudenkäynnin vaatimuksiin. Itsekriminointisuoja on merkityksellinen myös oikeusturvaa koskevan perustuslain 21 §:n kannalta. 

Datanhallinta-asetuksen ilmoitus- ja rekisteröintimenettely sekä toiminnalle asetetut vaatimukset rajoittavat perustuslain 18 §:ssä sekä EU:n perusoikeuskirjan 16 artiklassa turvattua elinkeinovapautta mukaan lukien sopimusvapaus. Yhteentoimivuusvaatimukset ja kansainvälisten tiedonsiirtojen ehdot rajoittavat myös omaisuuden käyttöä ja ovat siten merkityksellisiä perustuslain 15 §:n, perusoikeuskirjan 17 artiklan sekä Euroopan ihmisoikeussopimuksen 1. lisäpöytäkirjan 1 artiklan kannalta. Ilmoitus- ja rekisteröintimenettely sisältävät lisäksi henkilötietojen käsittelyä. Huomioon on siten otettava perustuslain 10 §, perusoikeuskirjan 7 ja 8 artikla sekä ihmisoikeussopimuksen 8 artikla. Näiltä osin ei kuitenkaan ehdoteta suoraan sovellettavan asetuksen päälle kansallista sääntelyä. Näitä perus- ja ihmisoikeusulottuvuuksia on tarkasteltu esityksen HE 50/2023 vp. vaikutusarviointijaksossa siitä näkökulmasta, miten oikeudet toteutuvat ja turvataanko ne riittävästi. 

12.2  Toimivaltaiset viranomaiset

12.3  Toimivaltaisten viranomaisten tutkinta- ja valvontaoikeudet

12.4  Hallinnolliset seuraamusmaksut

12.5  Eduskunnan ja ylimpien laillisuusvalvojien asema