HE 50/2023

1.1Tausta

Esityksen valmisteluun on johtanut täydentävää sääntelyä edellyttävä EU-säädös: Euroopan parlamentin ja neuvoston asetus (EU) 2022/868 eurooppalaisen datan hallinnoinnista ja asetuksen (EU) 2018/1724 muuttamisesta (jäljempänä datanhallinta-asetus tai asetus ). Se tuli voimaan 23.6.2022. Sitä sovelletaan 24.9.2023 alkaen.

Datanhallinta-asetus on uutta sääntelyä. Se on osa Euroopan komission datastrategian toimenpiteitä ( COM(2020) 66 final , E 24/2020 vp ). Datastrategian tavoitteena on luoda yhteinen eurooppalainen data-avaruus. Yksi eurooppalaisen data-avaruuden osatekijöistä on yhteinen hallintamalli datan saatavuudelle ja käytölle. Yhteistä datan hallintamallia ei komission mukaan pystytä saavuttamaan ilman sitä koskevaa lainsäädäntöä.

1.2Valmistelu

EU-säädöksen valmistelu

Euroopan komissio (jäljempänä komissio ) antoi ehdotuksensa datanhallinta-asetukseksi 25.11.2020 ( COM(2020) 767 final ). Samalla komissio julkaisi asetusehdotuksen vaikutusarvioinnin ( SWD(2020) 295 final , englanniksi). Komissio järjesti asetusehdotuksen taustalla olevista tavoitteista julkisen kuulemisen vuoden 2020 ensimmäisellä puoliskolla. Annetut lausunnot ovat saatavilla komission Kerro mielipiteesi -verkkosivustolla. Kuulemisyhteenveto on sisällytetty asetusehdotuksen vaikutusarviointiin. Asetusehdotusta käsiteltiin neuvoston televiestintä- ja tietoyhteiskuntatyöryhmässä.

Asetusehdotuksesta annettiin eduskunnalle valtioneuvoston U-kirjelmä ( U 1/2021 vp ) 4.2.2021. Suomi piti asetusehdotusta pääsääntöisesti kannatettavana, sillä Suomi on kannattanut tavoitetta edistää datan saatavuutta ja käyttöä. Suomi kuitenkin kiinnitti huomiota muun muassa sääntelyn selkeyteen suhteessa olemassa olevaan sääntelyyn. Viranomaisiin kohdistuvassa sääntelyssä Suomi piti tärkeänä, että asetus jättää riittävästi liikkumavaraa käytännön toteutukseen kansallisesti. Eduskunta yhtyi valtioneuvoston kantaan (LiVP 5/2021 vp 12 §, SuVEK 8/2021 vp ).

Asetusehdotuksesta annettiin eduskunnalle U-jatkokirjelmä ( UJ 13/2021 vp ) 24.9.2021. U-jatkokirjelmässä katsottiin, että alkuperäistä ehdotusta on muokattu Suomen tavoitteiden kannalta suotuisaan suuntaan ja että Suomi on valmis hyväksymään neuvottelutuloksen. Liikenne- ja viestintävaliokunta ( LiVL 34/2021 vp ) antoi U-jatkokirjelmästä lausuntonsa. Liikenne- ja viestintävaliokunta yhtyi valtioneuvoston kantaan korostaen muun muassa sitä, että viranomaistehtäviä koskevat linjaukset ja valmistelu on tarpeen tehdä hyvissä ajoin, myös tarvittavien määrärahojen arvioinnin mahdollistamiseksi. Eduskunta yhtyi valtioneuvoston kantaan ( SuVEK 89/2021 vp ).

Hallituksen esityksen valmistelu

Hallituksen esitys on valmisteltu liikenne- ja viestintäministeriössä. Valmistelun aikana on käyty taustoittavia keskusteluja oikeusministeriön, työ- ja elinkeinoministeriön, Liikenne- ja viestintäviraston, tietosuojavaltuutetun toimiston, Kilpailu- ja kuluttajaviraston sekä kuluttaja-asiamiehen viranhaltijoiden kanssa. Komissio on järjestänyt jäsenvaltioille tiedotus- ja keskustelutilaisuuksia asetuksen täytäntöönpanosta. Kansallisesti sidosryhmille järjestettiin datan välityspalveluita ja tunnustettuja data-altruismipohjaisia organisaatioita koskevista viranomaistehtävistä avoin keskustelutilaisuus 8.3.2023. Hallituksen esityksen valmisteluasiakirjat ovat julkisessa palvelussa osoitteessa https://valtioneuvosto.fi/hankkeet tunnuksella LVM011:00/2023 .

Hallituksen esityksen valmistelua edelsi ministeriöiden välisen työryhmän selvitys datanhallinta-asetuksen kansallisesta täytäntöönpanosta (Liikenne- ja viestintäministeriö 2023: Datanhallinta-asetus: kansallinen täytäntöönpano. Työryhmän selvitys. Liikenne- ja viestintäministeriön julkaisuja 2023:8). Liikenne- ja viestintäministeriö asetti kyseisen työryhmän 4.10.2022. Työryhmän yhtenä tehtävänä oli selvittää tarkoituksenmukainen tapa järjestää datanhallinta-asetuksen mukaiset viranomaistehtävät mukaan lukien seuraamussääntely. Hallituksen esitys pohjautuu työryhmän työn tälle osuudelle.

Työryhmän työ koottiin selvitykseksi. Selvitysluonnos oli lausuntopalvelu.fi-sivustolla avoimessa lausuntomenettelyssä 16.2.–5.4.2023. Työryhmän asettamispäätös, työryhmän kokousmateriaalit, selvitysluonnoksen lausuntoyhteenveto ja lopullinen selvitys ovat saatavissa julkisessa palvelussa osoitteessa https://valtioneuvosto.fi/hankkeet tunnuksella LVM038:00/2022 .

Luonnos hallituksen esityksestä on ollut lausuntopalvelu.fi-sivustolla avoimessa lausuntomenettelyssä 6.4.–5.5.2023. Lausuntoja pyydettiin edellä mainitussa työryhmässä olevilta ministeriöiltä ja muilta keskeisiltä ministeriöiltä, keskeisiltä viranomaisilta, tiedossa olevilta mahdollisilta datan välityspalveluilta ja data-altruismipohjaisilta organisaatioilta sekä tahoilta, jotka edellä mainitun selvityksen yhteydessä lausuivat asetuksen 3 ja 4 luvun viranomaistehtävistä.

Lausuntoa pyydettiin yhteensä 25 taholta. Lausuntoja saatiin yhteensä 13 kappaletta. Lausunnoista on laadittu lausuntoyhteenveto (VN/4765/2023-LVM-18). Se on saatavilla edellä mainitussa julkisessa palvelussa.

Edellä mainittujen U-kirjelmän ja työryhmäselvityksen yhteydessä on keskusteltu Ahvenanmaan maakunnan hallituksen viranhaltijoiden kanssa toimivaltakysymyksistä. Datan välityspalveluihin ja tunnustettuihin data-altruismiorganisaatioihin liittyvien viranomaistehtävien on katsottu kuuluvan valtakunnan toimivaltaan.

2.1Datanhallinta-asetuksen tavoitteet

Datanhallinta-asetuksen tavoitteena on luoda datan hallinnalle eurooppalaiseen arvopohjaan tukeutuva kehys. Kehyksen tavoitteena on lisätä datan saatavuutta. Tämä tapahtuisi vahvistamalla luottamusta datan välittäjiin ja yhtenäistämällä datan jakamisen menettelyitä koko EU:n alueella. Tarkoituksena on luoda yhteinen eurooppalainen data-avaruus ja yhteentoimivat datan sisämarkkinat.

2.2Datanhallinta-asetuksen pääasiallinen sisältö

Datanhallinta-asetuksessa säädetään kolmesta jokseenkin erillisestä kokonaisuudesta: edellytyksistä julkisen sektorin hallussa olevien tiettyjen datan luokkien uudelleenkäytölle (2 luku), datan välityspalvelujen tarjoamisen ilmoitus- ja valvontapuitteista sekä vapaaehtoisen rekisteröitymisen puitteet yhteisöille, jotka keräävät ja käsittelevät altruistisiin tarkoituksiin saataville annettua dataa (3 ja 4 luku) sekä Euroopan datainnovaatiolautakunnasta (6 luku). Tämän lisäksi datanhallinta-asetuksessa on näille kokonaisuuksille yhteiset säännökset soveltamisalasta ja määritelmistä (1 luku), toimivaltaisista viranomaisista (5 luku), muiden kuin henkilötietojen kansainvälisistä siirroista (7 luku), säädösvallan siirrosta komissiolle (8 luku) sekä seuraamuksista ja loppu- ja siirtymäsäännöksistä (9 luku). Datanhallinta-asetuksen suhdetta muuhun EU-sääntelyyn on kuvattu työryhmän selvityksessä (Liikenne- ja viestintäministeriö 2023: Datanhallinta-asetus: kansallinen täytäntöönpano. Työryhmän selvitys. Liikenne- ja viestintäministeriön julkaisuja 2023:8).

Datanhallinta-asetus on suoraan sovellettavaa oikeutta. Datanhallinta-asetuksessa on kuitenkin asetettu jäsenvaltioille eräitä velvollisuuksia täydentää sääntelyä. Ne liittyvät toimivaltaisen viranomaisten (13 artiklan 1 kohta ja 23 artiklan 1 kohta luettuina yhdessä 26 artiklan kanssa) sekä seuraamusten (34 artikla) määrittämiseen. Asetuksessa on lisäksi säädetty eräistä mahdollisuuksista täydentää asetuksen sääntelyä. Ne liittyvät toimijoille asetettaviin lisävelvoitteisiin (1 artiklan 2 kohta), maksujen perimiseen datan välityspalveluilta (11 artiklan 11 kohta) sekä kansalliseen data-altruismipolitiikkaan (16 artikla). Viranomaisten toimintaa (13,14, 23 ja 24 artikla) sekä valitusoikeutta ja muutoksenhakua koskeva sääntely (27 ja 28 artikla) on asetuksessa yleisluontoista ja jää siten pitkälti kansallisen menettelyllisen autonomian piiriin. Menettelyllistä autonomiaa on kuitenkin käytettävä tehokkuus- ja vastaavuusperiaatteiden mukaisesti (ks. esim. asia C-201/02 Delena Wells, 67 kohta.) Siltä osin kuin menettelysääntely liittyy henkilötietojen käsittelyyn (ilmoitus- ja rekisteröintimenettelyn järjestäminen), kansallinen liikkumavara on perustettava myös yleiseen tietosuoja-asetukseen (käytännössä yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan c alakohta ja 3 kohta).

Tämän hallituksen esityksen ulkopuolelle on rajattu datanhallinta-asetuksen 2 luku ja siihen liittyvät säännökset. Asiallisen erillisyyden takia niiden täytäntöönpano on valmisteltu valtioneuvostossa erikseen (valtiovarainministeriön asetus eräiden hallinnon yhteisten sähköisen asioinnin tukipalveluiden tuottamisesta (900/2023) ). Kyse on julkisen sektorin tietopoliittisesta sääntelystä. Se ei suoraan liity datan välityspalveluihin eikä tunnustettuihin data-altruismipohjaisiin organisaatioihin. Asetuksen velvoitteita on kuvattu kokonaisuutena hallituksen esityksen valmistelua edeltäneessä työryhmäselvityksessä. (Liikenne- ja viestintäministeriö 2023: Datanhallinta-asetus: kansallinen täytäntöönpano. Työryhmän selvitys. Liikenne- ja viestintäministeriön julkaisuja 2023:8).

I luku; Yleiset säännökset

Asetuksen 1 artiklassa säädetään asetuksen kohteesta ja soveltamisalasta. Datan hyödyntämisestä säädetään jo useassa muussa EU-säädöksessä. Siksi artiklan 2–5 kohdassa säädetään asetuksen suhteesta muuhun sääntelyyn. Asetus ei rajoita esimerkiksi tietosuojalainsäädännön eikä kilpailulainsäädännön soveltamista.

Artiklan 2 kohdan mukaan kansallisessa lainsäädännössä voidaan vaatia datan välityspalvelujen tarjoajia tai tunnustettuja data-altruismipalveluja tarjoavia organisaatioita noudattamaan erityisiä teknisiä, hallinnollisia tai organisatorisia lisävaatimuksia, kunhan ne ovat syrjimättömiä, oikeasuhteisia ja puolueettomasti perusteltuja.

Asetuksen 2 artiklassa säädetään määritelmistä. Asetuksen soveltamisen ja tämän esityksen kannalta keskeisiä käsitteitä ovat erityisesti datan, datan välityspalveluiden ja data-altruismin käsitteet.

Datalla tarkoitetaan kaikkea toimenpiteiden, tosiseikkojen tai tietojen digitaalista esittämistä sekä kaikkia tällaisten toimenpiteiden, tosiseikkojen tai tietojen koosteita, myös ääni- tai kuvatallenteena tai audiovisuaalisena tallenteena.

Datan välityspalvelulla tarkoitetaan palvelua, jonka tarkoituksena on luoda kaupallisia suhteita datan jakamista varten yhtäältä määrältään ennalta määrittämättömien rekisteröityjen ja datan haltijoiden ja toisaalta datan käyttäjien välillä teknisin, oikeudellisin tai muin keinoin, mukaan lukien rekisteröityjen oikeuksien käyttäminen henkilötietojen osalta.

Datan välityspalveluita eivät kuitenkaan ole a) palvelut, joilla saadaan dataa datan haltijoilta ja joilla yhdistellään, rikastetaan tai muunnetaan dataa tarkoituksena tuottaa siihen merkittävää lisäarvoa, ja lisensoidaan tuloksena olevan datan käyttö datan käyttäjille luomatta kaupallista suhdetta datan haltijoiden ja datan käyttäjien välille, b) palvelut, joilla pääasiassa välitetään tekijänoikeudella suojattua sisältöä, c) palvelut, joita käyttää yksinomaan yksi datan haltija mahdollistaakseen hallussaan olevan datan käytön tai joita käyttää usea oikeushenkilö suljetussa ryhmässä, mukaan lukien toimittaja- tai asiakassuhteet taikka sopimusperusteinen yhteistyö, erityisesti sellainen toiminta, jonka päätavoitteena on varmistaa esineiden internetiin liitettyjen esineiden ja laitteiden toiminnot eivätkä d) datan välityspalvelut, joita julkisen sektorin elimet tarjoavat ja joilla ei pyritä luomaan kaupallisia suhteita.

Data-altruismilla tarkoitetaan sellaista datan jakamista, joka perustuu rekisteröidyn pyyteettömästi antamaan suostumukseen käsitellä itseään koskevia henkilötietoja, tai muiden datan haltijoiden lupaa sallia muiden kuin henkilötietojensa käyttö pyrkimättä saamaan tai saamatta palkkiota, joka ylittää kyseisen datan saataville asettamisesta aiheutuviin kustannuksiin liittyvän korvauksen, tarvittaessa kansallisessa lainsäädännössä säädettyihin yleisen edun mukaisiin tarkoituksiin, kuten terveydenhuollon, ilmastonmuutoksen torjunnan, liikkuvuuden parantamisen, virallisten tilastojen kehittämisen, tuottamisen ja jakelun helpottamisen, julkisten palvelujen tarjonnan kehittämisen ja julkisen päätöksenteon tarkoituksiin tai yleisen edun mukaisiin tieteellisiin tutkimustarkoituksiin.

III luku; Datan välityspalveluihin sovellettavat vaatimukset

Asetuksen 10 artiklassa määritellään ne datan välityspalvelut, joiden tarjoamisessa on noudatettava asetuksessa säädettyjä edellytyksiä ja joita asetuksen ilmoitusmenettely koskee.

Asetuksen 11 artiklassa säädetään 10 artiklassa tarkoitettujen datan välityspalvelujen ilmoitusvelvollisuudesta ja ilmoituksen oikeusvaikutuksista (1, 4 ja 5 kohta), jäsenvaltion lainkäyttövallasta (2 ja 3 kohta), unionin ulkopuolelle sijoittautuneen datan välityspalvelun laillisesta edustajasta (3 kohta), ilmoituksen tekemisestä (6, 12 ja 13 kohta), ilmoitusmenettelystä, siihen liittyvistä vahvistuksista ja maksuista (8, 9 ja 11 kohta) sekä toimivaltaisen viranomaisen ja komission työnjaosta (10 ja 14 kohta). Ilmoitusmenettelyn on oltava syrjimätön eikä se saa vääristää kilpailua (7 kohta).

Artiklan 11 kohdan mukaan datan välityspalvelujen suhteen toimivaltainen viranomainen voi veloittaa ilmoittamisesta maksuja kansallisen oikeuden mukaisesti. Maksujen on oltava oikeasuhteisia ja puolueettomia, ja niiden on perustuttava hallinnollisiin kustannuksiin, joita datan välityspalvelujen suhteen toimivaltaisille viranomaisille aiheutuu sääntöjen noudattamisen valvonnasta ja muista markkinavalvontatoimista, jotka liittyvät datan välityspalvelujen tarjoajia koskeviin ilmoituksiin. Datan välityspalvelujen suhteen toimivaltainen viranomainen voi myös periä pk-yrityksiltä ja startup-yrityksiltä alennettuja maksuja tai vapauttaa ne maksuista.

Asetuksen 12 artiklassa säädetään asetuksen 10 artiklassa tarkoitettujen datan välityspalvelujen tarjoamiseen sovellettavista edellytyksistä (ks. 2 artikla kansallisesta liikkumavarasta). Edellytykset liittyvät toiminnan eriyttämiseen muusta toiminnasta (a alakohta), palvelun asiakkaaksi pääsemiseen (b ja f alakohta), palvelun jatkuvuuteen maksukyvyttömyystilanteessa (h alakohta), yhteentoimivuuteen muiden datan välityspalveluiden kanssa (i alakohta), luvattomaan pääsyyn muihin kuin henkilötietoihin (j ja k alakohta) ja muiden kuin henkilötietojen tietoturvaan (l alakohta). Lisäksi on tietojen käsittelyyn liittyviä vaatimuksia (a, c, d, e, g, m, n ja o alakohta).

Asetuksen 13 artiklan 1 kohdassa säädetään jäsenvaltioiden velvollisuudesta nimetä yksi tai useampi viranomainen, jolla on toimivalta toteuttaa datan välityspalvelujen ilmoitusmenettelyyn liittyvät tehtävät. Lisäksi kohdassa säädetään toimivaltaisen viranomaisten ilmoittamisesta komissiolle. Artiklan 2 kohdan mukaan kyseisten toimivaltaisten viranomaisten on täytettävä asetuksen 26 artiklan vaatimukset. Muuten viranomaisen määrittely on jätetty kansalliseen harkintaan. Artiklan 3 kohdassa säädetään toimivaltaisten viranomaisten valtuuksista suhteessa muihin viranomaisiin ja viranomaisten yhteistyöstä. Yhteistyön tarkempi määrittely jää kuitenkin kansallisen menettelyllisen autonomian piiriin.

Asetuksen 14 artiklassa säädetään toimivaltaisen viranomaisen velvollisuudesta valvoa luvun vaatimusten noudattamista (1 kohta), tietojensaantioikeudesta (2 kohta) sekä valtuuksista ja toimivallasta (4 ja 5 kohta). Artiklassa säädetään lisäksi valvontamenettelystä (3, 4 ja 6 kohta) sekä jäsenvaltioiden toimivaltaisten viranomaisten yhteistyöstä (7 kohta). Siltä osin kuin artiklassa ei säädetä toimivaltaisen viranomaisen toiminnasta, asia on kansallisen menettelyllisen autonomian piirissä (ks. myös 34 artikla seuraamuksista).

Asetuksen 15 artiklassa säädetään data-altruismipohjaisia organisaatioita koskevasta soveltamisalapoikkeuksesta.

IV luku; Data-altruismi

Asetuksen 16 artiklassa säädetään data-altruismia koskevista kansallisista järjestelyistä. Jäsenvaltiot voivat tältä osin määritellä data-altruismia koskevia kansallisia toimintapolitiikkoja. Jos jäsenvaltio laatii tällaisia kansallisia politiikkoja, sen on ilmoitettava siitä komissiolle.

Asetuksen 17 artiklassa säädetään toimivaltaisen viranomaisen velvollisuudesta pitää julkista kansallista rekisteriä tunnustetuista data-altruismipohjaisista organisaatioista (1 kohta) sekä komission ylläpitämästä unionitason rekisteristä (2 kohta).

Asetuksen 18 artiklassa säädetään niistä yleisisistä vaatimuksista, jotka toimijan on täytettävä voidakseen tulla rekisteröidyksi tunnustettujen data-altruismipohjaisten organisaatioiden julkiseen kansalliseen rekisteriin (ks. 2 artikla kansallisesta liikkumavarasta).

Asetuksen 19 artiklassa säädetään pyynnöstä tulla rekisteröidyksi tunnustettujen data-altruismipohjaisten organisaatioiden kansalliseen rekisteriin (1 kohta), rekisteröitymisvaltiosta (2 kohta), unionin ulkopuolelle sijoittautuneen toimijan laillisesta edustajasta (3 kohta), rekisteröintihakemuksen tekemisestä (4 ja 7 kohta), rekisteröintimenettelystä (5 ja 6 kohta) sekä toimivaltaisen viranomaisen ja komission työnjaosta (5 ja 7 kohta).

Asetuksen 20 artiklassa säädetään tunnustettujen data-altruismipohjaisten organisaatioiden avoimuusvaatimuksista.

Asetuksen 21 artiklassa säädetään tunnustettujen data-altruismiorganisaatioiden erityisvaatimuksista rekisteröityjen ja datan haltijoiden oikeuksien ja etujen turvaamiseksi niiden datan suhteen. Vaatimukset liittyvät tietojen käsittelyyn (1–3 ja 6 kohta) sekä muiden kuin henkilötietojen tietoturvaan ja luvattoman pääsyn estämisestä (4 ja 5 kohta)

Asetuksen 22 artiklassa säädetään komission antamasta sääntökirjasta, jolla täydennetään tunnustuttuihin data-altruismipohjaisiin organisaatioihin kohdistuvia vaatimuksia.

Asetuksen 23 artiklan 1 kohdassa säädetään jäsenvaltion velvollisuudesta nimetä yksi tai useampi toimivaltainen viranomainen, joka vastaa tunnustettujen data-altruismipohjaisten organisaatioiden julkisesta kansallisesta rekisteristä. Toimivaltaisten viranomaisten on täytettävä asetuksen 26 artiklan vaatimukset. Muuten viranomaisen määrittely on jätetty kansalliseen harkintaan. Artiklan 2 kohdassa säädetään toimivaltaisen viranomaisten ilmoittamisesta komissiolle. Artiklan 3 kohdassa säädetään toimivaltaisten viranomaisten yhteistyöstä suhteessa muihin viranomaisiin. Yhteistyön tarkempi määrittely jää kuitenkin kansallisen menettelyllisen autonomian piiriin.

Asetuksen 24 artiklassa säädetään toimivaltaisen viranomaisen velvollisuudesta valvoa luvun vaatimusten noudattamista (1 kohta), tietojensaantioikeudesta (2 kohta) ja valtuuksista (4 kohta). Artiklassa säädetään lisäksi valvontamenettelystä (3 kohta), unionissa tunnustettu data-altruismipohjainen organisaatio -nimityksen menettämisestä ja rekisteristä poistamisesta (5 kohta) sekä jäsenvaltioiden toimivaltaisten viranomaisten yhteistyöstä (6 kohta). Siltä osin kuin artiklassa ei säädetä toimivaltaisen viranomaisen toiminnasta, asia on kansallisen menettelyllisen autonomian piirissä (ks. myös 34 artikla seuraamuksista).

Asetuksen 25 artiklassa säädetään eurooppalaisesta data-altruismia koskevasta suostumuslomakkeesta.

V luku; Toimivaltaiset viranomaiset ja menettelysäännökset

Asetuksen 26 artiklan 1 kohdassa säädetään toimivaltaisen viranomaisen riippumattomuudesta. Lisäksi kohdan mukaan sama viranomainen voi hoitaa datan välityspalvelujen suhteen toimivaltaisten viranomaisten ja data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisten viranomaisten tehtäviä. Jäsenvaltiot voivat joko perustaa näitä tarkoituksia varten yhden tai useamman uuden viranomaisen tai hyödyntää olemassa olevia viranomaisia. Artiklan 2, 3 ja 4 kohdassa säädetään toimivaltaisen viranomaisen sekä sen johdon ja henkilöstön esteellisyydestä. Artiklan 5 kohdan mukaan datan välityspalvelujen suhteen toimivaltaisilla viranomaisilla ja data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisilla viranomaisilla on oltava käytettävissään riittävät taloudelliset ja henkilöresurssit niille annettujen tehtävien suorittamiseksi, mukaan lukien tarvittava tekninen tietämys ja resurssit. Artiklan 6 kohdassa säädetään tietojen luovuttamisesta komissiolle ja muiden jäsenvaltioiden toimivaltaisille viranomaisille.

Asetuksen 27 artiklassa säädetään oikeudesta tehdä valitus datan välityspalvelujen tarjoajasta tai data-altruismipohjaisesta organisaatiosta. Siltä osin kuin artiklassa ei säädetä valituksen tekemisestä, asia on kansallisen menettelyllisen autonomian piirissä.

Asetuksen 28 artiklassa säädetään oikeudesta tehokkaisiin oikeussuojakeinoihin. Artiklan 2 kohdassa säädetään oikeuspaikasta. Siltä osin kuin artiklassa ei säädetä oikeussuojakeinoista, asia on kansallisen menettelyllisen autonomian piirissä.

VI luku; Euroopan datainnovaatiolautakunta

Asetuksen 29 artiklassa säädetään, että komissio perustaa Euroopan datainnovaatiolautakunnan. Artiklan 1 kohdan mukaan datan välityspalvelujen suhteen toimivaltaiset viranomaiset ja data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaiset viranomaiset osallistuvat lautakunnan työhön.

Asetuksen 30 artiklassa säädetään Euroopan datainnovaatiolautakunnan tehtävistä.

VII luku; Kansainvälinen pääsy ja siirto

Asetuksen 31 artiklassa säädetään muun muassa datan välityspalvelujen tarjoajan ja tunnustetun data-altruismipohjaisen organisaation velvollisuuksista suhteessa muiden kuin henkilötietojen siirtämiseen kolmansiin maihin tai niihin pääsyyn kolmannesta maasta.

VIII luku; Säädösvallan siirto ja komiteamenettely

Asetuksen 32 artiklassa säädetään siirretyn säädösvallan käyttämisestä.

Asetuksen 33 artiklassa säädetään komiteamenettelystä.

IX luku; Loppu- ja siirtymäsäännökset

Asetuksen 34 artiklassa säädetään jäsenvaltion velvollisuudesta säätää seuraamuksia asetuksen tiettyjen velvoitteiden rikkomisesta. Jäsenvaltioiden on seuraamuksia koskevissa säännöissään otettava huomioon Euroopan datainnovaatiolautakunnan suositukset, ja jäsenvaltioiden on viipymättä ilmoitettava komissiolle seuraamuksia koskevista muutoksista. Artiklan 2 kohdassa säädetään ohjeellisista perusteista, joita seuraamuksia määrätessä otetaan huomioon. Seuraamusten tarkempi sisältö jää kansalliseen liikkumavaraan.

Asetuksen 35 artiklassa säädetään komission tekemästä asetuksen arvioinnista ja uudelleentarkastelusta. Ne on tehtävä viimeistään 24.9.2025. Jäsenvaltioiden on toimitettava tarvittavat tiedot komissiolle.

Asetuksen 36 artiklalla lisätään tietoja, menettelyjä sekä neuvonta- ja ongelmanratkaisupalveluja saataville tarjoavan yhteisen digitaalisen palveluväylän perustamisesta ja asetuksen (EU) N:o 1024/2012 muuttamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1724 (jäljempänä SDG-asetus ) liitteessä II oleviin menettelyihin datan välityspalvelujen tarjoajaa koskeva ilmoitus ja rekisteröinti unionissa tunnustetuksi data-altruismipohjaiseksi organisaatioksi.

Asetuksen 37 artiklassa säädetään siirtymäjärjestelyistä. Datan välityspalvelujen tarjoajien, jotka tarjoavat 10 artiklassa tarkoitettuja palveluja 23.6.2022, on noudatettava asetuksen III luvun vaatimuksia viimeistään 24.9.2025.

Asetuksen 38 artiklassa säädetään asetuksen voimaantulosta ja soveltamisesta. Asetus tuli voimaan 23.6.2022 ja sitä sovelletaan 24.9.2023 alkaen.

2.3Komissiolle siirretty säädös- ja täytäntöönpanovalta

Komissiolle on siirretty asetuksen 22 artiklan 1 kohdassa valta antaa 32 artiklan mukaisesti delegoituja säädöksiä asetuksen täydentämiseksi laatimalla sääntökirjan, jossa vahvistetaan asianmukaiset tietovaatimukset rekisteröidyille ja datan haltijoille ennen data-altruismia koskevan suostumuksen tai luvan antamista, tekniset- ja turvallisuusvaatimukset, joilla varmistetaan datan tallentamisen ja käsittelyn sekä suostumuksen tai luvan antamista ja peruuttamista koskevien välineiden asianmukainen turvallisuustaso, viestinnän etenemissuunnitelmat sekä asiaankuuluvia yhteentoimivuusstandardeja koskevat suositukset.

Komissio antaa täytäntöönpanosäädöksiä neuvoa-antavaa menettelyä noudattaen seuraavasti: yhteinen tunnus datan välityspalvelujen tarjoajille (11 artiklan 9 kohta), yhteinen tunnus tunnustetuille data-altruismipohjaisille organisaatioille (17 artiklan 2 kohta) sekä data-altruismia koskeva eurooppalainen suostumuslomake (25 artiklan 1 kohta).

3.1Toimivaltainen viranomainen

Datanhallinta-asetuksen 13 ja 23 artiklan mukaisissa toimivaltaisen viranomaisen tehtävissä on kyse uusista viranomaistehtävistä. Datanhallinta-asetuksen mukaiset tehtävät eivät sisälly minkään viranomaisen nykyisiin lakisääteisiin tehtäviin. Koska viranomaisten tehtävien on perustuttava lakiin, tehtävät on säädettävä jollekin viranomaiselle. Tarkoituksenmukaisin viranomainen olisi Liikenne- ja viestintävirasto (ks. jakso 5.1).

Liikenne- ja viestintäviraston tehtävistä säädetään pääosin Liikenne- ja viestintävirastosta annetussa laissa (935/2018) , liikenteen palveluista annetussa laissa (320/2017) sekä sähköisen viestinnän palveluista annetussa laissa (917/2014, jäljempänä viestintäpalvelulaki ). Viraston erityisistä tehtävistä viestintäsektorilla säädetään viestintäpalvelulain 304 §:ssä. Mainitussa pykälässä virastolle on jo säädetty useita tehtäviä mukaan lukien EU-säädösten valvontaa. Datanhallinta-asetuksen mukaiset tehtävät voitaisiin lisätä kyseiseen pykälään. Koska tehtävät itsessään tulevat suoraan sovellettavasta asetuksesta, riittävää olisi viittaus asetukseen.

Datanhallinta-asetuksen 26 artiklassa säädetään toimivaltaisia viranomaisia koskevista vaatimuksista. Ne liittyvät tehtävän asianmukaiseen hoitamiseen hyvän hallinnon näkökulmasta sekä esteellisyyteen. Asiallisesti hallintolain (434/2003) ja valtion virkamieslain (750/1994) voidaan katsoa jo sisältävän vastaavat velvoitteet.

3.2Valvonta- ja seuraamussääntely

Asetuksen 34 artiklan 1 kohdan mukaan jäsenvaltion on vahvistettava säännöt 5 artiklan 14 kohdan (asetuksen 2 luvussa) ja 31 artiklan mukaisten muiden kuin henkilötietojen siirtoa kolmansiin maihin koskevien, datan välityspalvelujen tarjoajan 11 artiklan mukaista ilmoitusvelvollisuutta koskevien, 12 artiklan mukaisten datan välityspalvelujen tarjoamisen edellytyksiä koskevien sekä 18, 20, 21 ja 22 artiklan mukaisten tunnustetuksi data-altruismipohjaiseksi organisaatioksi rekisteröintiä koskevien edellytysten rikkomiseen sovellettavista seuraamuksista ja toteutettava kaikki tarvittavat toimenpiteet niiden täytäntöönpanon varmistamiseksi. Seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia. Jäsenvaltioiden on seuraamuksia koskevissa säännöissään otettava huomioon Euroopan datainnovaatiolautakunnan suositukset.

Jäsenvaltion on 34 artiklan 2 kohdan mukaan otettava tarvittaessa huomioon seuraavat ei-tyhjentävät ja ohjeelliset perusteet määrättäessä seuraamuksia datan välityspalvelujen tarjoajille ja tunnustetuille data-altruismipohjaisille organisaatioille asetuksen rikkomisesta: rikkomisen luonne, vakavuus, laajuus ja kesto, datan välityspalvelujen tarjoajan tai tunnustetun data-altruismipohjaisen organisaation toteuttamat toimet rikkomisen aiheuttaman vahingon lieventämiseksi tai korjaamiseksi, datan välityspalvelujen tarjoajan tai tunnustetun data-altruismipohjaisen organisaation mahdolliset aiemmat rikkomiset, datan välityspalvelujen tarjoajan tai tunnustetun data-altruismipohjaisen organisaation rikkomisen johdosta saamat taloudelliset edut tai niiden välttämät tappiot, jos tällaiset voitot tai tappiot voidaan luotettavasti osoittaa sekä mahdolliset muut tapauksen olosuhteisiin sovellettavat raskauttavat tai lieventävät tekijät.

Koska datanhallinta-asetuksessa on kyse jäsenvaltioihin kohdistetusta yleisestä velvoitteesta säätää seuraamuksista, tarkempi harkintavalta sääntelyn sisällöstä jää kansalliselle tasolle. Kansallisen liikkumavaran käytössä merkityksellisiä ovat kansalliset reunaehdot sekä unionioikeuden yleiset opit. Kansallista liikkumavaraa on käytettävä perus- ja ihmisoikeuksista juontuvien vaatimusten mukaisesti ja sääntelyn on täytettävä muun muassa välttämättömyyden, hyväksyttävyyden ja oikeasuhtaisuuden vaatimukset. Unionioikeuteen kuuluvan vilpittömän yhteistyön periaatteen mukaan vaikka jäsenvaltiot voivat valita määrättävät seuraamukset, niiden on huolehdittava erityisesti siitä, että unionin oikeuden rikkominen sanktioidaan vastaavin aineellisin ja menettelyllisin edellytyksin kuin kansallisen oikeuden vastaavanlaatuinen ja vakavuudeltaan samanlainen rikkominen (vastaavuusperiaate) ja että seuraamus on joka tapauksessa tehokas, oikeasuhteinen ja varoittava (tehokkuusperiaate) (asia C-565/12 LCL Le Crédit Lyonnais SA, 44 kohta).

Toimivaltaisen viranomaisen käytössä on edellä mainituista näkökohdista hyvä olla mahdollisuus käyttää eri tyyppisiä seuraamuksia. Datan välityspalveluiden suhteen seuraamustoimivaltaa tulee jo asetuksen 14 artiklan 4 kohdasta. Toimivaltaisella viranomaisella on tarvittaessa toimivalta määrätä hallinnollisin menettelyin varoittavia taloudellisia seuraamuksia, joihin voi sisältyä uhkasakkoja ja takautuvia uhkasakkoja, tai panna vireille oikeudellisia menettelyjä sakkojen määräämiseksi, tai molempia. Lisäksi toimivaltaisella viranomaisella on tarvittaessa toimivalta vaatia lykkäystä datan välityspalvelun tarjoamisen aloittamiselle tai keskeyttämiselle, kunnes palvelun ehtoja on muutettu datan välityspalvelujen suhteen toimivaltaisen viranomaisen pyytämällä tavalla tai vaatia datan välityspalvelun tarjoamisen lopettamista, jos vakavia tai toistuvia rikkomisia ei ole korjattu ennakkoilmoituksesta huolimatta.

Tunnustettujen data-altruismipohjaisten organisaatioiden suhteen toimivaltuudet ovat osin samat kuin datan välityspalveluiden suhteen. Asetuksen 24 artiklan 4 kohdan mukaan toimivaltaisella viranomaisella on valtuudet vaatia laiminlyönnin lopettamista joko välittömästi tai kohtuullisen määräajan kuluessa, ja sen on toteutettava aiheelliset ja oikeasuhteiset toimenpiteet vaatimusten noudattamisen varmistamiseksi. Artiklan 5 kohdan mukaan jos puutteita ei korjata, tunnustettu data-altruismipohjainen organisaatio menettää oikeutensa käyttää itsestään nimitystä "unionissa tunnustettu data-altruismipohjainen organisaatio" kaikessa kirjallisessa ja suullisessa viestinnässään ja se poistetaan tunnustettujen data-altruismipohjaisten organisaatioiden asianomaisesta julkisesta kansallisesta rekisteristä ja unionin rekisteristä.

Näiden toimivaltuuksien käyttämiseen on 14 ja 24 artiklassa säädetty tiettyjä menettelysääntöjä tiedonsaantioikeudesta, kuulemisesta ja asetettavista määräajoista. Muutoin menettelyssä noudatetaan kansallista sääntelyä, kuten hallintolakia (datanhallinta-asetus on suoraan sovellettavaa sääntelyä ja menettelyllisesti erityissääntelyä, ks. myös hallintolain 5 § ja uhkasakkolain 3 §). Hallintoasian käsittelystä säädetään hallintolaissa. Erityisiä menettelysääntöjä on myös viestintäpalvelulain 312 (sähköinen tiedoksianto), 313 (valvonta-asioiden käsittely), (viranomaisen yleinen tiedonsaantioikeus) ja 318 §:ssä (tietojen luovuttaminen viranomaisesta).

Viestintäpalvelulain 330 §:n mukaan Liikenne- ja viestintävirasto voi viestintäpalvelulain mukaisia tehtäviä hoitaessaan antaa huomautuksen sille, joka rikkoo kyseistä lakia taikka sen nojalla annettuja säännöksiä, määräyksiä, päätöksiä ja lupaehtoja sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa. Viestintäpalvelulain 332 §:n mukaan 330 §:n mukaan asetetun velvoitteen tehosteeksi voidaan asettaa uhkasakko tai uhka siitä, että toiminta keskeytetään taikka että tekemättä jätetty toimenpide teetetään laiminlyöjän kustannuksella. Nämä valtuudet on syytä ulottaa koskemaan myös datanhallinta-asetuksen valvontaa. Tämä edellyttää viestintäpalvelulain 330 §:n muuttamista lisäämällä viittaus datanhallinta-asetukseen.

Taloudellisten seuraamusten osalta asetuksessa on määritelty, mitä keinoja viranomaisella voi olla käytössä. Keinojen tarkempi määrittely jää kuitenkin kansallisen liikkumavaran piiriin asetuksen 34 artiklan mukaisesti. Uhkasakkoa on käsitelty edellä. Mahdollisesta seuraamusmaksusta tulisi kuitenkin säätää erikseen. Luonteva paikka olisi lisätä viestintäpalvelulakiin uusi 334 a §. Sitä edeltäisi säännökset teleyrityksen seuraamusmaksusta (333 §) sekä televisio- tai radiotoiminnan harjoittajan seuraamusmaksusta (334 §).

Seuraamusmaksun käyttämistä datanhallinta-asetuksen täytäntöönpanossa on käsitelty hallituksen esitystä edeltäneessä työryhmän selvityksessä (Liikenne- ja viestintäministeriö 2023: Datanhallinta-asetus: kansallinen täytäntöönpano. Työryhmän selvitys. Liikenne- ja viestintäministeriön julkaisuja 2023:8, s. 83–102). Selvityksen perusteella seuraamusmaksu olisi syytä säätää datan välityspalveluille. Selvityksessä todetaan, että seuraamusmaksun määräämiseen sovelletaan hallintolakia. Se turvaisi jo riittävästi oikeusturvanäkökulmat seuraamusmaksumenettelyssä. Sen sijaan tunnustettujen data-altruismipohjaisten organisaatioiden tietojen käsittelyn asianmukaisuutta voidaan valvoa jo pitkälti yleisen tietosuoja-asetuksen perusteella, sillä ne käsittelevät luonnollisilta henkilöiltä saatuja tietoja. Lisäksi tunnustettujen data-altruismipohjaisten organisaatioiden vaatimukset perustuvat vapaaehtoiseen rekisteröitymiseen. Koska henkilötietolainsäädännön vastaiseen toimintaan voidaan puuttua tietosuojasääntelyn kautta ja muiden kuin henkilötietojen osalta vaatimusten noudattaminen perustuu käytännössä vapaaehtoisuuteen, seuraamusmaksun säätämisen edellytyksenä olevan välttämättömyyskriteerin täyttyminen ei ole selvää. Näin ollen tunnustettujen data-altruismipohjaisen organisaatioiden osalta riittävinä seuraamuksina voidaan pitää edellä käsiteltyä huomautusta ja siihen liittyviä uhkasakkolain mukaisia tehosteita.

Viestintäpalvelulain 335 §:ssä säädetään seuraamusmaksun täytäntöönpanosta. Sen mukaan seuraamusmaksun perimisestä säädetään verojen ja maksujen täytäntöönpanosta annetussa laissa. Viestintäpalvelulain seuraamusmaksujen määräämistavalla ja laissa nykyisin olevilla muutoksenhakumenettelyillä on historiallinen tausta, joka liittyy lakia edeltäneeseen viestintämarkkinalakiin. Datanhallinta-asetuksen mukainen toiminta on kuitenkin erityyppistä. Näin ollen on syytä säätää tästä poikkeavasta menettelystä. Nykyään seuraamusmaksun täytäntöönpano on usein säädetty toteutettavaksi sakon täytäntöönpanosta annetun lain (672/2002) mukaisessa menettelyssä. Näin olisi tarkoituksenmukaista tehdä tässäkin yhteydessä.

3.3Viranomaisten välinen yhteistyö

Uudet viranomaistehtävät eivät vaikuta muiden viranomaisten tehtäviin ja toimivaltuuksiin. Vaikka kukin viranomainen valvoo omaa sääntelyänsä, eri lainsäädännön velvoitteet voivat olla sillä tavoin osittain päällekkäisiä, että toimijan toiminta tai laiminlyönti voi tarkoittaa usean säädöksen rikkomista. Viranomaisten välinen yhteistyö voitaisiin kuitenkin järjestää ilman säädösmuutoksia.

Datanhallinta-asetuksessa on nimenomaisesti säädetty, ettei se rajoita tietosuojaviranomaisten toimivaltuuksia (asetuksen 1 artiklan 3 kohta ja 13 artiklan 3 kohta). Tietosuojalain (1050/2018) 8 §:n mukaan tietosuoja-asetuksessa tarkoitettuna kansallisena valvontaviranomaisena on tietosuojavaltuutettu. Tietosuojavaltuutetun tehtävät ja toimivalta perustuvat yleisen tietosuoja-asetuksen 55–59 artiklaan. Tämän lisäksi tietosuojavaltuutetulle on kansallisesti säädetty eräitä muita tehtäviä tietosuojalain 14 §:ssä. Tietosuojavaltuutetun keskeinen tehtävä on valvoa yleisen tietosuoja-asetuksen noudattamista (yleisen tietosuoja-asetuksen 57 artiklan 1 kohdan a alakohta).

Datanhallinta-asetuksessa ei ole suoraan säädetty datan välityspalvelun asemasta rekisterinpitäjänä tai käsittelijänä. Datanhallinta-asetuksessa ei myöskään ole säädetty henkilötietojen käsittelyperusteesta. Ne määräytyvät tapauskohtaisesti yleisen tietosuoja-asetuksen mukaisesti (ks. datanhallinta-asetuksen johdanto-osan 35 perustelukappale ja 1 artiklan 3 kohta). Silloin kun datan välityspalvelu käsittelee henkilötietoja, osa 12 artiklan mukaisista vaatimuksista voi olla mahdollista johtaa yleisestä tietosuoja-asetuksesta. Näitä voisivat esimerkiksi olla seuraavat vaatimukset:

Henkilötietojen käsittelyn käyttötarkoitussidonnaisuuden periaatteen mukaan henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Datanhallinta-asetuksessa datan välityspalvelun sallitaan käsitellä tietoja vain säädettyihin tarkoituksiin. Datan välityspalvelujen tarjoaja ei saa käyttää datan välityspalvelunsa kohteena olevaa dataa muihin tarkoituksiin kuin datan asettamiseen datan käyttäjien saataville. Välitystarkoituksen toteuttamiseksi datan muotoa saa kuitenkin tietyin edellytyksin muuntaa. Lisäksi datan välityspalvelu voi datan vaihdon helpottamiseksi tietyin edellytyksin tarjota erityisiä lisävälineitä ja palveluita. Näihin voi kuulua datan vaihdon helpottamiseksi datan haltijoille tai rekisteröidyille tarjottavia erityisiä lisävälineitä ja -palveluita, kuten väliaikainen tallentaminen, kuratointi, muuntaminen, anonymisointi ja pseudonymisointi. Datan välityspalvelun asiakkaista kerättyä dataa on käytettävä ainoastaan kyseisen datan välityspalvelun kehittämiseen, mihin voi sisältyä datan käyttäminen petosten havaitsemiseen tai kyberturvallisuustarkoituksiin. Tässäkin käsittelyssä on kuitenkin otettava huomioon tietosuojasääntelystä tulevat reunaehdot.

Yleisen tietosuoja-asetuksen mukaan henkilötietojen eheys ja luottamuksellisuus on varmistettava. Tähän sisältyy suojaaminen luvattomalta pääsyltä. Rekisterinpitäjän on lisäksi muiltakin osin varmistettava käsittelyn turvallisuus ja noudatettava sisäänrakennetun ja oletusarvoisen tietosuojan vaatimusta. Tietosuoja-asetuksessa ei ole säädetty näitä artikloja yksityiskohtaisemmin kyseisistä vaatimuksista. (ks. kuitenkin Euroopan tietosuojaneuvoston ohje 4/2019 25 artiklan mukaisesta sisäänrakennetusta ja oletusarvoisesta tietosuojasta, 29 kappale). Niin ikään datanhallinta-asetuksen vaatimukset ovat yleisluonteiset. Sen mukaan datan välityspalvelujen tarjoajalla on oltava käytössään menettelyt, joilla estetään sellaisten osapuolten vilpilliset käytännöt tai väärinkäytökset, jotka tavoittelevat pääsyä dataan näiden palvelujen kautta.

Suostumus on yksi tietosuoja-asetuksen mukaisista laillisista henkilötietojen käsittelyperusteista. Yleisessä tietosuoja-asetuksessa on määritelty suostumus-käsite. Lisäksi on määritelty suostumuksen edellytykset. Tältä osin on muun muassa säädetty, että suostumuksen peruuttamisen on oltava yhtä helppoa kuin sen antaminen. (Ks. Euroopan tietosuojaneuvoston suuntaviivat 05/2020 tietosuoja-asetuksen mukaisesta suostumuksesta.) Lisäksi yleisessä tietosuoja-asetuksessa on säädetty läpinäkyvästä informoinnista. Rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet toimittaakseen rekisteröidylle tietosuoja-asetuksen 13 ja 14 artiklan mukaiset tiedot ja 15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. (Ks. Tietosuojatyöryhmän suuntaviivat WP260 rev.01 tietosuoja-asetuksen mukaisesta läpinäkyvyydestä.) Suostumus on datanhallinta-asetuksessa määritelty viittaamalla suoraan tietosuoja-asetuksen mukaisen suostumuksen käsitteeseen eli datanhallinta-asetuksen mukaisella suostumuksella tarkoitetaan tietosuoja-asetuksen mukaista suostumusta. Datanhallinta-asetuksessa näkökulma suostumuksen käyttöön ja rekisteröidyn informoimiseen on teknisempi ja keskittyy enemmän käytännön näkökulmiin: datan välityspalvelun on tiedotettava rekisteröityjä ja tarvittaessa annettava rekisteröidyille neuvontaa tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa tarkoituksista, joihin datan käyttäjät käyttävät dataa, sekä tällaisiin käyttötarkoituksiin liittyvistä vakioehdoista ja -edellytyksistä, ennen kuin rekisteröidyt antavat suostumuksensa. Jos datan välityspalvelujen tarjoaja tarjoaa välineitä suostumuksen saamiseksi rekisteröidyiltä tai luvan saamiseksi datan haltijoiden saataville asettaman datan käsittelyyn, sen annettava rekisteröidyille välineet suostumuksen antamiseen ja peruuttamiseen ja datan haltijoille välineet tietojen käsittelyä koskevien lupien antamiseen ja peruuttamiseen.

Tietosuoja-asetuksessa säädetään rekisterinpitäjälle osoitusvelvollisuus siitä, että se noudattaa henkilötietojen käsittelyä koskevia periaatteita. Lisäksi rekisterinpitäjän on ylläpidettävä selostetta vastuullaan olevista käsittelytoimista. Selosteen vähimmäissisältö on määritetty. Datanhallinta-asetuksessa on puolestaan vain yleisellä tasolla säädetty, että datan välityspalvelujen tarjoajan on ylläpidettävä selostetta datan välitystoiminnasta.

Datan välityspalveluiden sisältö ja toimintaperiaate kuitenkin vaihtelevat, mikä korostaa tapauskohtaista arviointia. Mahdollisia päällekkäisyyksiä datanhallinta-asetuksen ja yleisen tietosuoja-asetuksen kanssa ei voida yleispätevästi tai tyhjentävästi etukäteen määritellä.

Samoin yllämainitut tietosuoja-asetuksen lainkohdat voivat olla merkityksellisiä tunnustetuille data-altruismipohjaisille organisaatioille. Tältä osin voidaan esimerkkinä mainita vaatimukset velvollisuudesta pitää kirjaa käsittelystä (20 artiklan 1 kohta), rekisteröidyn informoimisesta (21 artiklan 1 kohta), käyttötarkoitussidonnaisuudesta (21 artiklan 2 kohta), suostumuksen saamisesta ja peruuttamisesta (21 artiklan 3 kohta) sekä informoimisesta kolmannessa maassa tapahtuvasta käsittelystä (21 artiklan 6 kohta). Myös tulevaan data-altruismia koskevaan sääntökirjaan sisältyy vaatimuksia rekisteröidyn informoimisesta ja suostumuksesta (22 artiklan 1 kohdan a ja b alakohta).

Datan välityspalvelujen suhteen toimivaltaisen viranomaisen tehtävä ei myöskään vaikuta kansallisten kilpailuviranomaisten, kyberturvallisuudesta vastaavien viranomaisten ja muiden asiaankuuluvien alakohtaisten viranomaisten valtuuksiin (13 artiklan 3 kohta). Muu asiaankuuluva alakohtainen viranomainen voisi Suomessa olla esimerkiksi kuluttaja-asiamies. Data-altruismipohjaisten organisaatioiden suhteen toimivaltaisen viranomaisen on suoritettava tehtävänsä yhteistyössä asiaankuuluvien alakohtaisten viranomaisten kanssa (23 artiklan 3 kohta).

Osa datanhallinta-asetuksen velvoitteista voi niin ikään olla johdettavissa kilpailu- ja kuluttajaoikeudellisesta sääntelystä. Esimerkkeinä voidaan mainita, että datan välityspalvelua ei saa sitoa muiden palveluiden käyttöön (12 artiklan b alakohta) ja että pääsyn palveluun on oltava oikeudenmukaista, läpinäkyvää ja syrjimätöntä (12 artiklan f alakohta). Kuluttajansuojalaissa (38/1978) on kielletty esimerkiksi aggressiivisten menettelyjen kielto (2 luvun 9 §) ja kohtuuttomat ehdot (3 luvun 1 §). Kuluttajansuojalaissa on myös säännökset digitaalista sisältöä ja digitaalisia palveluita koskevista sopimuksista (5 a luku). Jos datan välityspalvelu on luvussa tarkoitettu digitaalinen palvelu, tulee luku sovellettavaksi. Luvussa on säädetty muun muassa digitaalisen palvelun toimittamisesta (mainitun luvun 5 §). Datan välityspalvelujen tarjoajan on niin ikään toteutettava asianmukaiset toimenpiteet yhteentoimivuuden varmistamiseksi (12 artiklan 1 alakohta), millä voi olla kilpailuoikeudellisia ulottuvuuksia. Myös sitomisella muihin palveluihin voi olla kilpailuoikeudellista merkitystä. Näin olisi kahden viimeksi mainitun osalta varsinkin, jos yksi datan välityspalvelu olisi määräävässä markkina-asemassa.

Datanhallinta-asetuksessa ei ole tarkkaa sääntelyä, miten menetellä tilanteessa, jossa samalla toimenpiteellä tai laiminlyönnillä on rikottu useaa säädöstä. Tilannetta on arvioitava datanhallinta-asetuksen sääntelyn, sen johdanto-osassa kuvatun tarkoituksen sekä kansallisten menettelysääntöjen valossa.

Ensinnäkin datanhallinta-asetus ei siirrä tietosuojasääntelyn eikä kilpailu- ja kuluttajasääntelyn valvontaa uudelle viranomaiselle. Datanhallinta-asetuksen 13 artiklan 3 kohdan mukaan datan välityspalvelujen suhteen toimivaltaisten viranomaisten valtuudet eivät vaikuta tietosuojaviranomaisten, kansallisten kilpailuviranomaisten, kyberturvallisuudesta vastaavien viranomaisten ja muiden asiaankuuluvien alakohtaisten viranomaisten valtuuksiin. Näiden viranomaisten on unionin oikeudessa ja jäsenvaltioiden lainsäädännössä vahvistettujen valtuuksiensa mukaisesti kehitettävä vahvaa yhteistyötä ja vaihdettava tietoja, jotka ovat tarpeen niiden tehtävien hoitamiseksi, joita niillä on datan välityspalvelujen tarjoajiin liittyen, sekä varmistettava tämän asetuksen mukaan tehtyjen päätösten johdonmukaisuus. Datanhallinta-asetuksen 23 artiklan 3 kohdan mukaan jäsenvaltion data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisen viranomaisen on suoritettava tehtävänsä yhteistyössä asiaankuuluvan tietosuojaviranomaisen kanssa, jos tällaiset tehtävät liittyvät henkilötietojen käsittelyyn, ja kyseisen jäsenvaltion asiaankuuluvien alakohtaisten viranomaisten kanssa.

Jos toimivaltaiselle viranomaiselle toimitetaan erehdyksessä muiden valvontaviranomaisten vastuulle kuuluvia asiakirjoja, on asiakirjat siirrettävä hallintolain (434/2003) 21 §:n mukaisesti toimivaltaiseksi katsotulle viranomaiselle. Siirtovelvollisuus koskee kaikenlaisia asiakirjoja ( HE 72/2002 vp , s. 71), joita ovat oikeuskirjallisuuden mukaan hakemusten lisäksi muun muassa selvitykset, esitykset tai vaatimukset (Mäenpää 2021: Hallintolaki ja hyvän hallinnon takeet, 6. uudistettu painos. Edita, s. 139). Jos siis Liikenne- ja viestintävirastolle tulisi ratkaistavaksi yleisen tietosuoja-asetuksen tulkintaan liittyvä kysymys, asia tulisi siirtää toimivaltaiselle viranomaiselle eli tietosuojavaltuutetulle. Tältä osin Suomessa asia hoidettaisiin asian siirtämisellä eikä esimerkiksi johdanto-osan 44 ja 51 perustelukappaleessa esiin tuodulla mahdollisuudella pyytää lausunto tai päätös tietosuojaviranomaiselta.

Viranomainen ei kuitenkaan voi suoraan siirtää asiaa toiselle viranomaiselle, jos (myös) sillä itsellään on toimivalta käsitellä asia (ks. Mäenpää 2021: Hallintolaki ja hyvän hallinnon takeet, 6. uudistettu painos. Edita, s. 140 ja 226). Kun datanhallinta-asetuksen rikkomiseen johtanut toimenpide tai laiminlyönti on tarkoittanut myös muun sääntelyn rikkomista, tämän muun sääntelyn suhteen toimivaltaiset viranomaiset voivat myös tutkia asiaa oman sääntelynsä näkökulmasta. Tutkiminen olisi kuitenkin tehtävä yhteistyössä. Oikeuskirjallisuudessa on katsottu, että ”jos toimivallasta syntyy epäselvyyttä useiden viranomaisten välillä, joustavin menettely on, että viranomaiset pyrkivät keskenään neuvotellen selvittämään epäselvyyden” (Mäenpää 2021: Hallintolaki ja hyvän hallinnon takeet, 6. uudistettu painos. Edita, s. 141). Tässä yhteistyössä voitaisiin arvioida, minkä sääntelyn ja viranomaisen keinoin valvontaa on syytä tehdä.

Viranomaisten välisiä neuvotteluja valvontavaltuuksien käyttämisestä käydään jo nyt. Viestintäpalvelulain 308 §:ään sisältyy säännös eri viranomaisten yhteistyöstä mainitun lain mukaisia tehtäviä hoitaessa. Viranomaiset tekevät yhteistyötä jo nyt myös esimerkiksi kuluttajaoikeudellisten kysymysten kanssa. Lisäksi kuluttajan oikeuksien sääntelyssä on jo nyt yleissääntelyä ja erityissääntelyä omine valvontaviranomaisineen. Tällöin toimivaltakysymykset voivat ratketa sillä, että erityislainsäädäntö valvovine viranomaisineen saa etusijan suhteessa yleislainsäädäntöön. Viranomaisyhteistyössä on kuitenkin otettava huomioon muun muassa hyvän hallinnon vaatimukset, hallinnon lakisidonnaisuus sekä oikeusturvanäkökulmat. Tilanteesta riippuen perusteltua voi esimeriksi olla, että asiakirjan siirron ohella tehdään päätös asian tutkimatta jättämisestä (ks. KHO 2012:7).

Yhteistyövelvoite tulee suoraan datanhallinta-asetuksesta. Datanhallinta-asetuksen yhteistyövelvoite koskee Suomessa ainakin tietosuojavaltuutettua, Liikenne- ja viestintävirastoa, Kilpailu- ja kuluttajavirastoa sekä kuluttaja-asiamiestä. Kansallisen liikkumavaran piiriin kuitenkin jää, miten yhteistyö järjestetään (ks. myös asia C‑5/22 Green Network SpA, 26 kohta). Yhteistyön voisi ajatella tarkoittaa pitkälti samaa kuin hallintolain 10 §:n viranomaisten yhteistyön. Säännöskohtaisten perusteluiden mukaan sillä tarkoitetaan muun muassa hallintoasian selvittämisen ja ratkaisemisen kannalta tarpeellisten lausuntojen ja selvitysten antamista, viranomaisten välisiä neuvotteluja ja toisten viranomaisten käytäntöjen seuraamista ( HE 72/2002 vp , s. 60 ja 61). Yhteistyön tarkemmasta sisällöstä ei siten ole tarve säätää erikseen.

Hallintolain mukainen yhteistyövelvoite ei vaikuta asioiden salassapitoon. Eri viranomaisilla on kuitenkin jo säädetty tietojensaantioikeudet tehtäviensä hoitamiseksi. Tässä yhteydessä keskeinen sääntely olisi viestintäpalvelulain 318 § (ks. myös tietosuojalain 18 §, kilpailulain (948/2011) 39 § sekä kuluttajansuojaviranomaisten eräistä toimivaltuuksista annetun lain (566/2020) 7 §). Mainitun pykälän nojalla Liikenne- ja viestintäministeriöllä, Liikenne- ja viestintävirastolla, tietosuojavaltuutetulla, Kilpailu- ja kuluttajavirastolla, markkinavalvonta- ja tuoteturvallisuusviranomaisilla sekä Kansallisella audiovisuaalisella instituutilla on salassapitosäännösten tai muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto toisilleen, jos se on näille säädettyjen tehtävien hoitamiseksi välttämätöntä.

Viranomaisille on paikoin säädetty erinäisistä kuulemis- ja tiedottamisvelvollisuuksia, mutta vastaavien velvoitteiden säätäminen ei näyttäydy toistaiseksi perustellulta, kun valvottavien ja valvontatoimenpiteiden määrän voidaan tässä vaiheessa arvioida maltilliseksi.

Yhteistyövelvoite ilmenee käytännössä eri tavoin. Yhteistyön muodot ja tavat riippuvat myös siitä, miten datan välityspalveluita aletaan tarjota ja mikä tarve yhteistyölle on. Yleisellä tasolla viranomaisilla voi esimerkiksi keskenään olla asiantuntija- tai johtotason ajankohtaispalavereita joko säännöllisesti tai tarpeen mukaan. Niissä yhteyksissä Liikenne- ja viestintäviraston olisi esimerkiksi luontevaa kertoa Euroopan datainnovaatiolautakunnan työn etenemisestä ja datanhallinta-asetuksen soveltamiskäytännöstä. Vastaavasti muut viranomaiset voisivat kertoa oman toimialansa kehityksestä siltä osin kuin sillä voi olla vaikutusta datanhallinta-asetuksen valvontaan. Tietosuojavaltuutetun toimisto voisi esimerkiksi kertoa henkilötieto-käsitteen taikka sisäänrakennetun ja oletusarvoisen tietosuojan periaatteen mahdollisesta tulkinkäytännöstä. Vaihdettujen tietojen perusteella voitaisiin pyytää lisätietoja tai jatkaa keskusteluja tarpeen mukaan. Näin voi etenkin olla niiden datanhallinta-asetuksen vaatimusten osalta, jotka voivat olla osittain päällekkäisiä tietosuoja-asetuksen kanssa.

Yhteistyötä voidaan tehdä myös operatiivisemmalla tasolla. Operatiivisella tasolla on kuitenkin erityisesti kiinnitettävä huomiota edellä kuvattuun salassapidosta. Toisaalta tilastotiedot esimerkiksi tietyn asiaryhmän kasvusta ovat lähtökohtaisesti julkisia. Jos tietosuojavaltuutetun toimistoon tulisi esimerkiksi datanvälityspalvelun tarjoajilta useita ennakkokuulemispyyntöjä, se voisi tiedottaa siitä Liikenne- ja viestintävirastoa. Näin Liikenne- ja viestintävirasto voisi valmistautua omien tehtäviensä kasvuun. Niin ikään tieto asian vireille tulosta viranomaisessa on lähtökohtaisesti julkinen. Jos on esimerkiksi epäselvää, onko kyseisessä tapauksessa kyse henkilötietojen käsittelystä, Liikenne- ja viestintävirasto ja tietosuojavaltuutetun toimisto voisivat keskustella henkilötieto-käsitteen tulkinnasta ennen asian (osittaista) siirtoa. Vastaavasti jos tietosuojavaltuutetun toimistossa on epäselvyyttä siitä, onko kyse datan välityspalvelusta, se voisi keskustella datan välityspalvelun määritelmästä Liikenne- ja viestintäviraston kanssa. Puolestaan jos samoja tosiseikkoja koskeva valvonta-asia on vireillä kahdessa viranomaisessa, salassa pidettävien tietojen vaihtaminen voi olla esimerkiksi viestintäpalvelulain 318 §:n 1 momentin mukaisesti välttämätöntä, jotta viranomaiset pystyvät hoitamaan tehtäväänsä ja ottamaan huomioon jäljempänä kuvatun kaksoisrangaistavuuden kiellon vaikutukset esimerkiksi menettelyjen yhteensovittamiseen sekä seuraamusmaksun määrään.

Viranomaisten yhteistyölle perustuvaa datanhallinta-asetuksen pääsääntöä vaikuttaa kuitenkin olevan tarpeen nyansoida tietosuojaviranomaisen osalta. Nimittäin datanhallinta-asetuksen 1 artiklan 3 kohdan mukaan asetus ei etenkään rajoita tietosuojasääntelyn soveltamista, mukaan lukien valvontaviranomaisten valtuuksien ja toimivallan osalta. Jos datanhallinta-asetuksen säännökset ovat ristiriidassa henkilötietojen suojaa koskevan sääntelyn kanssa, olisi sovellettava asiaan kuuluvaa henkilötietojen suojaa koskevaa unionin oikeutta tai kansallista lainsäädäntöä. Mahdollisten päällekkäisten vaatimusten suhdetta ei ole asetuksessa selvennetty. Tietosuojasääntelyn ensisijaisuus lienee mahdollista huomioida valvontaa ohjaavana periaatteena siten, että lähdettäisiin sen arvioinnista, täyttääkö toiminta tietosuojasääntelyn edellytykset, ja vasta tämän jälkeen arvioitaisiin yleisluonteisempia datanhallinta-asetuksen mukaisten velvoitteiden täyttymistä.

Datanhallinta-asetuksen johdanto-osan 4 perustelukappaleessa on selvennetty, että jos asetuksen mukaisina toimivaltaisina viranomaisina toimii muita viranomaisia kuin tietosuojaviranomainen, ne eivät saisi toimiessaan näin rajoittaa yleisen tietosuoja-asetuksen mukaisten tietosuojaviranomaisten valvontavaltuuksia. Edelleen johdanto-osan 35 perustelukappaleen mukaan datanhallinta-asetus ei saisi vaikuttaa datan välityspalvelujen tarjoajien velvoitteeseen noudattaa yleistä tietosuoja-asetusta eikä valvontaviranomaisten velvollisuuteen varmistaa kyseisen asetuksen noudattaminen.

Näin ollen datanhallinta-asetuksen mukaisen toimivaltaisen viranomaisen ei tulisi toiminnallaan rajoittaa tietosuojaviranomaisen toimivaltaa. Kaikki henkilötietojen käsittelyyn liittyvät kysymykset tulisi saattaa tietosuojavaltuutetun toimiston arvioitaviksi. Koska eri viranomaisten toimivalta perustuu eri säädöksiin, toimivallat eivät de jure rajoita toisiaan. Pelkästään se, että kaksi viranomaista selvittää samaa asiaa oman toimivaltansa näkökulmasta, ei johda toimivallan rajoituksiin. Sen sijaan seuraamusten asettaminen voi de facto rajoittaa toisen viranomaisen mahdollisuutta käyttää toimivaltuuksiaan. Tämä johtuu kaksoisrangaistavuuden kiellosta. Sitä on selitetty seuraavasti: ”Kaksoisrangaistavuuden kielto kattaa myös samaa tekoa koskevat rangaistusluonteiset hallinnolliset seuraamukset. [--] Kaksoisrangaistavuuden kielto ei sen sijaan estä määräämästä hallinnollista sanktiota muiden, rangaistusluonteisuutta vailla olevien hallinnollisten seuraamusten ohella. Kaksoisrangaistavuuden kielto ei siten estä esimerkiksi elinkeinoluvan peruuttamista sillä perusteella, että luvanhaltija on toiminut elinkeinoa koskevan sääntelyn vastaisesti ja siitä on määrätty seuraamusmaksu.” (Rangaistusluonteisia hallinnollisia seuraamuksia koskevan sääntelyn kehittäminen. Työryhmän mietintö. Oikeusministeriön julkaisuja, Mietintöjä ja lausuntoja 52/2018, s. 32 ja 34.) Myöskään uhkasakon asettamista ja velvoitteen jäätyä noudattamatta uhkasakon tuomitsemista maksettavaksi, ei ole tarkoitettu rangaistusluonteiseksi seuraamukseksi (KHO 2016:96).

Kaksoisrangaistavuuden kielto olisi otettava huomioon valvontatoimenpiteissä. Näin olisi etenkin silloin, kun seuraamusmaksua oltaisiin määräämässä. Näin olisi etenkin tilanteessa, jossa voitaisiin tosiasiallisesti rajoittaa tietosuojavaltuutetun toimivaltaa. Myös luonteeltaan rikosoikeudellisten menettelyjen aloittaminen voi sellaisenaan kuulua kaksoisrangaistavuuden kiellon soveltamisalaan riippumatta siitä, johtaako menettely tosiasiallisesti seuraamuksen määräämiseen (asia C-151/20 Nordzucker, 63 kohta).

Unionin tuomioistuimen ratkaisujen perusteella kaksoisrangaistavuuden kielto ei kuitenkaan aina ole esteenä sille, että eri viranomaiset määräävät seuraamusmaksuja samojen tosiseikkojen perusteella eri säädösten perusteella. Näin on ainakin kilpailuoikeuden saralla (asiat C-117/20 bpost sekä C-151/20 Nordzucker). Kaksoisrangaistavuuden kielto ei ollut esteenä sille, että oikeushenkilölle määrätään sakko unionin kilpailuoikeuden rikkomisesta, kun kyseisen henkilön osalta on samojen tosiseikkojen perusteella jo tehty lopullinen päätös kyseessä olevien markkinoiden vapauttamiseen tähtäävän alakohtaisen säännöstön rikkomista koskevan menettelyn päätteeksi, edellyttäen, että on olemassa selkeitä ja täsmällisiä sääntöjä, joiden perusteella voidaan ennakoida, mitkä toimet ja laiminlyönnit voivat olla menettelyjen ja seuraamusten päällekkäisyyden sekä kahden toimivaltaisen viranomaisen välisen yhteensovittamisen kohteena, että molemmat menettelyt on toteutettu riittävän yhteensovitetusti ja ajallisesti lähellä toisiaan ja että määrättyjen seuraamusten kokonaisuus vastaa rikkomisten vakavuutta (asia C-117/20 bpost, 58 kohta). Lisäksi kaksoisrangaistavuuden kielto ei ollut esteenä sille, että jäsenvaltion kilpailuviranomainen toteuttaa yritystä koskevan menettelyn tai määrää sille mahdollisesti sakon SEUT 101 artiklan ja vastaavien kansallisen kilpailuoikeuden säännösten rikkomisesta sellaisen käyttäytymisen perusteella, jolla on ollut kilpailua rajoittava tarkoitus tai vaikutus tämän jäsenvaltion alueella, vaikka toisen jäsenvaltion kilpailuviranomainen on jo maininnut tämän käyttäytymisen SEUT 101 artiklan ja tämän toisen jäsenvaltion kilpailuoikeuden vastaavien säännösten rikkomista koskevan menettelyn päätteeksi kyseisen yrityksen osalta tekemässään lopullisessa päätöksessä, kunhan tämä päätös ei perustu toteamukseen kilpailua rajoittavasta tarkoituksesta tai vaikutuksesta ensin mainitun jäsenvaltion alueella (asia C-151/20 Nordzucker, 58 kohta).

Datanhallinta-asetuksen yhteydessä kaksoisrangaistavuuden kiellon soveltumista tulee harkita etenkin silloin, kun valvonnan kohteena on datan välityspalvelu, kyse on henkilötietojen käsittelystä ja datan välityspalvelun tarjoajan epäillään rikkoneen edellä mainittuja datanhallinta-asetuksen tai yleisen tietosuoja-asetuksen säännöksiä. Tapauskohtaisesti on silloin varmistuttava, että viranomaisten vireille panemilla menettelyillä pyritään toisiaan täydentäviin päämääriin, jotka liittyvät kyseessä olevan saman rangaistavan teon eri ulottuvuuksiin (asia C-117/20 bpost, 50 kohta). Unionin tuomioistuimen ratkaisuissa ei kuitenkaan ole täsmällisiä vaatimuksia viranomaisten toiminnalle. Ratkaisukäytännön mahdollinen kehittyminen on kuitenkin otettava huomioon. Käytännön näkökulmasta merkitystä on ollut sillä, ovatko päällekkäiset seuraamukset olleet ennakoitavia ja onko molemmat menettelyt toteutettu riittävän yhteensovitetusti ja ajallisesti lähellä toisiaan (asia C-117/20 bpost, 51 ja 55 kohta; ks. myös A ja B v. Norja [GC], nrot. 24130/11 ja 29758/11, § 130, 15.11.2016). Eri oikeudellisista keinoista yhdessä ei kuitenkaan saa aiheutua asianomaiselle henkilölle kohtuutonta rasitetta (mukaan lukien ensimmäisen seuraamuksen huomioiminen toista määrättäessä) ja määrättyjen seuraamusten kokonaismäärän on vastattava rikkomisten vakavuutta (asia C-117/20 bpost, 49 ja 51 kohta).

3.4Valitusoikeus ja muutoksenhaku

Datanhallinta-asetuksen 27 artiklan 1 kohdan mukaan luonnollisilla henkilöillä ja oikeushenkilöillä on oltava oikeus tehdä asianomaiselle datan välityspalvelujen suhteen toimivaltaiselle viranomaiselle yksin tai tapauksen mukaan kollektiivisesti valitus datan välityspalvelujen tarjoajasta tai data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisille viranomaisille tunnustetusta data-altruismipohjaisesta organisaatiosta missä tahansa tämän asetuksen soveltamisalaan kuuluvassa asiassa. Artiklan 2 kohdan mukaan datan välityspalvelujen suhteen toimivaltaisen viranomaisen tai data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisen viranomaisen, jolle valitus on jätetty, on ilmoitettava valituksen tekijälle valituksen käsittelyn etenemisestä ja siitä tehdystä päätöksestä sekä 28 artiklassa säädetyistä oikeussuojakeinoista. Asetuksen vaatimukset eivät edellyttäisi säädösmuutoksia.

Vaikka artiklan 1 kohdassa käytetään valitus-käsitettä, tässä yhteydessä kansallisesti olisi kyse valvontailmoituksesta (viranomaiselle osoitettu pyyntö selvittää väitetty lainvastainen menettely) eli hallintoasiasta. Lisäsääntely ei vaikuta olevan välttämätöntä: Hallintolain 19 §:n mukaan asia pannaan vireille ilmoittamalla vaatimukset perusteineen. Valvonta-asioiden käsittelystä Liikenne- ja viestintävirastossa on erityissääntelyä viestintäpalvelulain 313 §:ssä. Sen 1 momentin mukaan Liikenne- ja viestintävirasto voi ottaa asian tutkittavakseen asianosaisen tai 22 a luvussa tarkoitetuissa asioissa myös sellaisen muun tahon pyynnöstä, jolla on asiassa oikeutettu intressi, sekä omasta aloitteestaan. Suomessa ei ole käytössä ryhmävalitusta. Useat valitukset on kuitenkin mahdollista käsitellä yhdessä hallintolain 25 §:n perusteella. Asian ratkaisu tehdään kirjallisesti (hallintolain 43 §) ja siihen on myös liitettävä oikaisuvaatimusohje tai valitusosoitus (hallintolain 46 ja 47 §). Muulla kuin asianosaisella ei ole valitusoikeutta viranomaisen päätöksestä, mistä muulle kuin asianosaiselle on tarvittaessa kerrottava.

Artiklan 2 kohdassa säädetään valituksen tekijän tiedottamisesta. Datanhallinta-asetuksen vaatimukset täyttyisivät tältäkin osin jo nykysääntelyn perusteella: Kun valvontailmoitus tehdään, viranomainen selvittää ilmoituksen tekijän asianosaisaseman. Asianosaisella on hallintoasian käsittelyssä hallintolaissa säädetyt oikeudet. Jos muu kuin asianosainen on yhteydessä toimivaltaiseen viranomaiseen datanhallinta-asetuksen rikkomisesta, asia tulee vireille valvontailmoituksena. Hyvän hallinnon periaatteiden ja palveluperiaatteen nojalla (hallintolain 7 ja 8 §) asiallisiin tiedusteluihin esimerkiksi käsittelyn tilanteesta on vastattava. Lisäksi on mahdollista tehdä viranomaisten toiminnan julkisuudesta annetun lain (621/1999) mukainen asiakirjapyyntö.

Datanhallinta-asetuksen 28 artiklan 1 kohdan mukaan sen estämättä, mitä hallinnollisista tai muista tuomioistuimen ulkopuolisista oikeussuojakeinoista säädetään, luonnollisilla henkilöillä ja oikeushenkilöillä, joita asia koskee, on oltava oikeus tehokkaisiin oikeussuojakeinoihin 14 artiklassa tarkoitetuissa datan välityspalvelujen suhteen toimivaltaisten viranomaisten oikeudellisesti sitovissa päätöksissä, jotka on tehty osana datan välityspalvelujen tarjoajia koskevan ilmoitusjärjestelmän hallinnointia, valvontaa ja täytäntöönpanoa sekä 19 ja 24 artiklassa tarkoitetuissa data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisten viranomaisten oikeudellisesti sitovissa päätöksissä, jotka on tehty osana tunnustettujen data-altruismipohjaisten organisaatioiden seurantaa. Artiklan 2 kohdan mukaan artiklan mukaiset kanteet on nostettava yksin tai tapauksen mukaan yhden tai useamman luonnollisen henkilön tai oikeushenkilön edustajien toimesta sen jäsenvaltion tuomioistuimissa, jossa kanteen kohteena oleva datan välityspalvelujen suhteen toimivaltainen viranomainen tai data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltainen viranomainen sijaitsee.

Viranomaisten päätöksistä valittamisessa on Suomessa kyse hallintoprosessista. Valitusoikeus on asianosaisilla tai sillä, jonka valitusoikeudesta laissa erikseen säädetään. Vaikka kohdassa käytetään kanne-käsitettä, asia saatetaan Suomessa vireille valituksella eikä kanteella. Oikeudenkäynnistä hallintoasioissa annettu laki (808/2019) sisältää muutoksenhakua koskevan perussääntelyn. Muutoksenhausta on viestintäpalvelulain 344 §:ssä informatiivinen viittaus kyseiseen lakiin. Mainitussa pykälässä säädetään myös mahdollisuudesta määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää. Pääsääntönä kuitenkin on ollut, että seuraamusmaksun määräävän viranomaisen päätös olisi täytäntöönpanokelpoinen vasta lainvoimaisena. Nyt ehdotetun seuraamusmaksun täytäntöönpanokelpoisuus olisi tarkoituksenmukaista järjestää pääsäännön mukaisesti.

Jos muutoksenhakukeinona halutaan käyttää kansallisesti ensin oikaisuvaatimusta hallintolain 7 a luvun mukaisesti, tästä olisi säädettävä kansallisesti. Tarkoituksena on, että oikaisuvaatimus olisi muutoksenhaun ensi vaiheena mahdollisimman laajasti. Oikaisumenettely ei kuitenkaan luontevasti sovellu seuraamusmaksuihin. Sen sijaan oikaisumenettely soveltuisi siihen, kun Liikenne- ja viestintävirasto tekisi päätöksen siitä, rekisteröikö se toimijan tunnustetuksi data-altruismipohjaiseksi organisaatioksi (asetuksen 19 artiklan 5 kohta). Oikaisumenettely voitaisiin ottaa käyttöön muuttamalla viestintäpalvelulain 342 §:n 2 momenttia. Kyseisessä lainkohdassa säädetään jo oikaisumenettelyn käyttämisestä eräissä viestintäpalvelulain mukaisissa päätöksissä.

Artiklan 3 kohdan mukaan, jos datan välityspalvelujen suhteen toimivaltainen viranomainen tai data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltainen viranomainen ei ryhdy toimiin valituksen perusteella, kaikilla luonnollisilla henkilöillä ja oikeushenkilöillä, joita asia koskee, on kansallisen lainsäädännön mukaisesti oltava joko oikeus tehokkaisiin oikeussuojakeinoihin tai mahdollisuus hakea muutosta puolueettomalta elimeltä, jolla on asianmukainen asiantuntemus. Valitus-sana viittaa tässä yhteydessä edellä käsiteltyyn 27 artiklan mukaiseen tilanteeseen eli Suomessa valvontailmoitukseen. Niin kutsuttua viivästysvalitusta Suomen lainsäädäntö ei tunne. Suomessa oikeussuojakeinona onkin viivästystilanteissa kanteleminen ylimmille laillisuusvalvojille tai hallintolain 8 a luvun mukainen hallintokantelu toimintaa valvovalle viranomaiselle.

4.1Keskeiset ehdotukset

Ehdotetut muutokset johtuvat datanhallinta-asetuksen täytäntöönpanosta.

Viestintäpalvelulain 304 §:ssä säädetään Liikenne- ja viestintäviraston erityisistä tehtävistä. Pykälään lisättäisiin Liikenne- ja viestintäviraston tehtäväksi hoitaa datanhallinta-asetuksen 13 ja 23 artiklassa tarkoitetun toimivaltaisen viranomaisen tehtäviä (1. lakiehdotuksessa ehdotettu 304 §:n 1 momentin uusi 19 kohta). Velvoite nimetä yksi tai useampi viranomainen tulee datanhallinta-asetuksesta. Nimettävä viranomainen perustuu kansalliseen harkintaan.

Toimivaltaisena viranomaisena Liikenne- ja viestintäviraston tulee datanhallinta-asetuksen mukaan valvoa datan välityspalveluita ja tunnustettuja data-altruismipohjaisia organisaatioita. Muilla ehdotuksilla Liikenne- ja viestintävirastolle annettaisiin toimivaltuuksia tähän valvontaan. Ne perustuvat kansalliseen menettelylliseen autonomiaan sekä datanhallinta-asetuksen 34 artiklan yleiseen vaatimukseen säätää seuraamuksista asetuksen rikkomisesta.

Liikenne- ja viestintävirasto voisi antaa huomautuksen datanhallinta-asetuksen tiettyjen velvoitteiden rikkomisesta (1. lakiehdotuksessa ehdotettu 330 §:n uusi 3 momentti). Kyseisen muutoksen kautta viestintäpalvelulain 332 §:ssä säädetty uhkasakko, keskeyttämisuhka ja teettämisuhka tulisivat myös käytettäväksi ilman erillistä säädösmuutosta.

Liikenne- ja viestintävirasto voisi määrätä datan välityspalvelun tarjoajalle seuraamusmaksun (1. lakiehdotuksessa ehdotettu uusi 334 a §). Kyseisen seuraamusmaksun täytäntöönpano säädettäisiin pantavaksi täytäntöön noudattaen sakon täytäntöönpanosta annettua lakia (1. lakiehdotuksessa ehdotettu 335 §:n uusi 2 momentti). Vastaavasti muutettaisiin sakon täytäntöönpanosta annetun lain soveltamisalaa (2. lakiehdotuksen 1 §:n 2 momentin muutos). Viestintäpalvelulain pääsäännöstä poiketen Liikenne- ja viestintävirasto ei voisi määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta ottaen huomioon seuraamusmaksupäätöksen luonne (1. lakiehdotuksen 344 §:n 2 momentin muutos).

Liikenne- ja viestintävirasto tekisi datanhallinta-asetuksen nojalla päätöksen siitä, voidaanko toimija rekisteröidä tunnustetuksi data-altruismipohjaiseksi organisaatioksi. Tähän päätökseen ehdotetaan sovellettavan oikaisumenettelyä (1. lakiehdotuksen 342 §:n 2 momentin muutos)

Asetukseen sisältyvää liikkumavaraa asettaa lisävaatimuksia datan välityspalveluille ja tunnustetuille data-altruismipohjaisille organisaatioille, periä maksuja datan välityspalveluiden ilmoituksista sekä tehdä kansallisia data-altruismia koskevia järjestelyjä ei ehdoteta tässä vaiheessa käytettävän.

4.2Pääasialliset vaikutukset

5.1Vaihtoehdot ja niiden vaikutukset

Lisävaatimusten asettaminen datan välityspalveluille ja tunnustetuille data-altruismipohjaisille organisaatioille

Datanhallinta-asetuksessa on säädetty jo laajasti erityyppisistä vaatimuksista. Vaatimukset ovat toisaalta paikoin varsin yleisluonteisia. Koska datanhallinta-asetuksen sääntely kohdistuu uudentyyppiseen toimintaan ja koska sääntelyn soveltamisesta ei vielä ole kokemuksia, ei valmistelussa ole tunnistettu tarvetta asettaa kansallisia lisävaatimuksia. Datanhallinta-asetusta tarkentavan lisäsääntelyn tarvetta vähentää lisäksi se, että Euroopan datainnovaatiolautakunta voi ohjata yleisluonteisten vaatimusten soveltamista. Erinäisten velvoitteiden asettamista elinkeinonharjoittajille on myös perustuslakivaliokunnassa tarkasteltu elinkeinovapauden rajoituksena, mikä edellyttää toimilta välttämättömyyttä.

Yleisesti lisävaatimukset voisivat lisätä kynnystä toiminnan aloittamiseen sekä aiheuttaa lisäkustannuksia toimijoille ja valvontaviranomaisille. Toisaalta lisävaatimukset voisivat lisätä luottamusta toiminnan asianmukaisuuteen. Lisäsääntelyä olisi kuitenkin tässä vaiheessa vaikea puoltaa tällä perusteella. Komissio on arvioinut, että sääntely lisää luottamusta datatalouteen ja datanvälityspalveluihin, mikä helpottaa toiminnan kasvattamisessa ja rahoituksen hankkimisessa. Komission arvion mukaan hyödyt eivät kuitenkaan suuresti kasva sääntelyn intensiivisyyden kasvaessa. ( SWD(2020) 295 final (englanniksi), s. 38, 41 ja 52.) Niin ikään kotimaisessa tutkimuksessa on arvioitu, että datanhallinta-asetuksen liiketoimintapotentiaalivaikutus jää suhteellisen pieneksi datan välityspalveluiden osalta. Suuremman liiketoiminta- ja innovaatiovaikuttavuuden on arvioitu syntyvän datan liikkuvuuden lisääntymisen ja markkinoiden kehittymisen kautta. (Paavola, Heli (2022): EU:n digisäädösten liiketoimintavaikutukset. Työ- ja elinkeinoministeriön julkaisuja 2022:33, s. 63.)

Toimivaltainen viranomainen

Hallituksen esityksen valmistelua edeltäneessä työryhmäselvityksessä on arvioitu, mille viranomaiselle datanhallinta-asetuksen mukaiset tehtävät voitaisiin osoittaa. Selvityksen mukaan tarkoituksenmukaisinta olisi keskittää tehtävät Liikenne- ja viestivirastolle. Muita arvioituja viranomaisia olivat Kilpailu- ja kuluttajavirasto sekä tietosuojavaltuutetun toimisto. Arvioinnissa otettiin huomioon viranomaisten nykyiset tehtävät ja toimivaltuudet, osaaminen ja kokemus vastaavista tehtävistä sekä resurssit ja synergiaedut. (Liikenne- ja viestintäministeriö 2023: Datanhallinta-asetus: kansallinen täytäntöönpano. Työryhmän selvitys. Liikenne- ja viestintäministeriön julkaisuja 2023:8, s. 76–82)).

Hallituksen esityksen valmistelussa asiaa on mietitty lisäksi sääntelytaakan näkökulmasta. Jos datan välityspalvelu rikkoo datanhallinta-asetuksen mukaisia velvoitteita, voi toimivaltainen viranomainen aloittaa valvontatoimet. Valvontatoimen kohteena olevalle yritykselle aiheutuu erinäisiä selvityskuluja. Datanhallinta-asetuksen rikkominen voi samalla tarkoittaa niiden säädösten rikkomista, joita tietosuojavaltuutettu, Kilpailu- ja kuluttajavirasto tai kuluttaja-asiamies valvovat. Tällaisessa tilanteessa jonkun näistä osoittaminen datanhallinta-asetuksen mukaiseksi toimivaltaiseksi viranomaiseksi olisi voinut vähentää valvovien viranomaisten piiriä ja siten vähentää valvonnasta aiheutuvia kuluja. Tätä ei kuitenkaan ole pidetty sellaisena seikkana, joka estäisi pitämästä Liikenne- ja viestintävirastoa tarkoituksenmukaisena toimivaltaisena viranomaisena. Eri viranomaisten valvonnasta aiheutuvaa hallinnollista taakkaa voidaan riittävästi vähentää viranomaisten välisellä yhteistyöllä.

Rekisterisääntely

Hallituksen esityksen valmistelussa on arvioitu, tulisiko rekisteröintitehtävästä antaa datanhallinta-asetusta täydentävää sääntelyä. Datanhallinta-asetuksessa ei ole erityistä kansallista liikkumavaraa rekisterisääntelyn antamiseen. Sääntelyn antaminen perustuisi kansalliseen menettelylliseen autonomiaan ja yleiseen tietosuoja-asetukseen (6 artiklan 1 kohdan c alakohta ja 3 kohta).

Perustuslakivaliokunnan mukaan tietosuoja-asetuksen yksityiskohtainen sääntely, jota tulkitaan ja sovelletaan EU:n perusoikeuskirjassa turvattujen oikeuksien mukaisesti, muodostaa yleensä riittävän säännöspohjan myös perustuslain 10 §:ssä turvatun yksityiselämän ja henkilötietojen suojan kannalta. Henkilötietojen suoja tulee turvata ensisijaisesti EU:n yleisen tietosuoja-asetuksen ja kansallisen yleislainsäädännön nojalla. Kansallisen erityislainsäädännön säätämiseen tulee siten suhtautua pidättyvästi ja rajata sellainen vain välttämättömään tietosuoja-asetuksen salliman kansallisen liikkumavaran puitteissa (ks. PeVL 14/2018 vp, s. 4–5 ja PeVL 52/2022 vp, 4 kohta).

Valmistelussa on päädytty siihen, ettei sääntelyn antaminen ole välttämätöntä. Ensinnäkin se, että toimivaltaisen viranomaisen tehtäviin sisältyy rekisterinpitoa, käy viranomaistoiminnan lakisidonnaisuuden näkökulmasta tarpeeksi selvästi ilmi datanhallinta-asetuksesta (13 artiklan 1 kohta ja 23 artiklan 1 kohta). Toimivaltainen viranomainen voi rekisterinpitäjänä määritellä datanhallinta-asetuksen perusteella rekisteriin talletettavat tiedot yleisen tietosuoja-asetuksen vaatimukset huomioiden. Rekisteriin talletettavia tietoja ovat esimerkiksi ilmoituksen tai hakemuksen tiedot sekä valvontaan liittyvät tiedot. Datanhallinta-asetukseen sisältyy myös säännökset tietojen toimittamisesta komissiolle unionin tason rekisteriin. Toiseksi valmistelussa ei myöskään ole tunnistettu sellaista riskiä, joka edellyttäisi tarkempaa sääntelyä henkilötietojen suojaamiseksi. Perustuslakivaliokunnan mukaan on kuitenkin selvää, että erityislainsäädännön tarpeellisuutta on arvioitava myös tietosuoja-asetuksenkin edellyttämän riskiperustaisen lähestymistavan mukaisesti kiinnittämällä huomiota tietojen käsittelyn aiheuttamiin uhkiin ja riskeihin. Mitä suurempi riski käsittelystä aiheutuu luonnollisen henkilön oikeuksille ja vapauksille, sitä perustellumpaa on yksityiskohtaisempi sääntely. Tällä seikalla on erityistä merkitystä arkaluonteisten tietojen käsittelyn osalta (ks. PeVL 14/2018 vp, s. 5). Arkaluonteisten tietojen käsittelyn on oltava välttämätöntä ja sääntelyn täsmällistä ja tarkkarajaista (ks. PeVL 52/2022 vp, 7 kohta). Käsiteltäviä henkilötietoja olisi rajatusti. Ne koskevat lähinnä valvottavien yhteyshenkilöiden nimi- ja yhteystietoja (datanhallinta-asetuksen 11 artiklan 6 kohdan e alakohta). Rekisteriin voisi sisältyä tietoa datanhallinta-asetuksen rikkomisesta ja siitä määrätyistä seuraamuksista (yksi seuraamusharinnan kriteereistä on aiemmat datanhallinta-asetuksen rikkomiset). Kyse olisi kuitenkin oikeushenkilöitä koskevista tiedoista ja hallinnollisista seuraamuksista (vrt. yleisen tietosuoja-asetuksen 10 artikla, yleisen tietosuoja-asetuksen 9 artiklan erityiset henkilötietoryhmät ja valtiosääntöisesti arkaluonteisina pidettävät tiedot (PeVL 4/2021 vp, 8 kohta)).

Viranomaisten yhteistyö

Datan välityspalveluiden ja tunnustettujen data-altruismipohjaisten organisaatioiden toimintaan voi kohdistua usean viranomaisten valvontaa. Tämän takia datanhallinta-asetuksessa edellytetään, että eri viranomaiset tekevät tarpeen mukaan yhteistyötä. Kansallisen liikkumavaran piiriin jää, miten tämä yhteistyö järjestetään. Kansallisille viranomaisille on jo säädetty oikeudesta saada tietoja toiselta viranomaiselta salassapitosääntöjen estämättä. Valmistelun aikana on harkittu, tulisiko tietojensaantioikeutta täydentää esimerkiksi kuulemis- ja tiedottamisvelvollisuuksilla. Kun viranomaisten keskinäisten tietojensaantioikeuksien on katsottu olevan riittävät, on arvioitu tarkoituksenmukaisimmaksi jättää hallinnon yleislainsäädännön ja virastojen harkintavaltaan muodostaa yhteistyön käytännöt. Sinänsä menettelysääntely voisi tapauskohtaisen joustavuuden kustannuksella lisätä valvontamenettelyn ennakoitavuutta niin viranomaisille itselleen kuin toimijoille.

Maksujen periminen datan välityspalveluilta

Viranomaismaksut voisivat muodostaa yhden esteen aloittaa palveluiden tarjoaminen. Pieniä maksuja ei puolestaan aina ole kannattavaa kerätä. Toimijoita arvioidaan toistaiseksi olevan vähän, joten maksujen perimisellä ei merkittävissä määrin voitane kattaa ilmoitusten käsittelystä ja valvonnasta aiheutuvia kustannuksia. Toisaalta on mahdollista, että suuria toimijoita tulee datan välityspalveluiksi tai että pienet toimijat kasvat sellaiseksi. Toimivaltaisen viranomaisen työmäärää lisääntyy, kun valvottavien piiri ja niiden toiminta laajenee. Tällaisessa tilanteessa voisi olla syytä arvioida uudestaan maksujen perimistä. Samalla voitaisiin arvioida, onko perusteita käyttää datanhallinta-asetuksen liikkumavaraa siitä, että pk-yrityksiltä ja startup-yrityksiltä peritään alennettuja maksuja tai ne vapautetaan maksuista. Niin ikään, jos muut jäsenvaltiot perivät maksuja, sisämarkkinavaikutusten takia voi olla perusteltua periä maksuja myös Suomessa.

Seuraamusmaksu

Seuraamusmaksun käyttöönottoa on arvioitu edellä 3 jaksossa. Tämän lisäksi on arvioitu seuraamusmaksun määrää. Seuraamusmaksujen suuruus vaihtelee huomattavasti sääntely-yhteyden mukaan. Yksinomaan kansalliseen harkintaan perustuvassa lainsäädännössä on suhtauduttu pidättyvästi enimmäismäärältään huomattavan suuriin seuraamusmaksuihin. Seuraamusmaksun enimmäismäärä on muutamia tuhansia euroja eräissä tuoreissa elinkeino-, maatalous- ja elintarvikesäädöksissä (ks. esim. laki jalkineiden ja tekstiilituotteiden vaatimustenmukaisuudesta (265/2022) 10 §, lannoitelaki (711/2022) 37 §, laki eläinten tunnistamisesta ja rekisteröinnistä (1069/2021) 36 §, elintarvikelaki (297/2021 67 §)). Sen sijaan liikenne- ja viestintäministeriön hallinnonalla on olemassa tätä korkeampia seuraamusmaksuja. Ajoneuvolain (82/2021) 193 §:n mukaan oikeushenkilölle määrättävä seuraamusmaksu voi olla suuruudeltaan enintään 30 000 euroa, mutta kuitenkin enintään yksi prosentti oikeushenkilön edellisen vuoden tilikauden liikevaihdosta.

Tästä huolimatta luonteva vertailukohta on muu digitaalisia palveluita ja tiedon hyödyntämistä koskeva sääntely. Esimerkiksi tietosuoja-asetuksessa ja digitaalisten palvelujen sisämarkkinoista ja direktiivin 2000/31/EY muuttamisesta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2022/2065 (jäljempänä digipalvelusäädös ) seuraamusmaksun enimmäistaso on miljoonissa euroissa. Tietosuojavaltuutetun toimiston seuraamuskollegio on määrännyt useita seuraamusmaksuja tietosuoja-asetuksen rikkomisesta. Seuraamusmaksut ovat toistaiseksi vaihdelleet suuruudeltaan muutamasta sadasta eurosta vajaaseen miljoonaan euroon. Seuraamusmaksu arvioidaan tapauskohtaisesti. Suuruuteen vaikuttaa muun muassa organisaation koko (liikevaihto), rikkomisen vakavuus sekä rikkomisen mahdollinen toistuvuus. Usein seuraamusmaksut ovat olleet muutamasta tuhannesta eurosta sadantuhannen euron ympärille. Viestintäpalvelulain nykyiset seuraamusmaksut ovat suuruudeltaan 1 000–1 000 000 euroa, mutta niillä on tietynlainen yhteys markkinasääntelyyn ja ne määrää markkinaoikeus. Perustellumpi vertailukohta onkin esimerkiksi verkossa tapahtuvaan terroristisen sisällön levittämiseen puuttumisesta annetun lain (99/2023) oikeushenkilölle määrättävä seuraamusmaksu, joka on vähintään 1 000 euroa ja enintään 100 000 euroa.

Näin ollen terroristisen sisällön levittämiseen puuttumisesta annetun lain enimmäismäärää voidaan pitää tässäkin yhteydessä tarkoituksenmukaisena, kun otetaan huomioon datanhallinta-asetuksen rikkomisen mahdolliset vaikutukset laajaan joukkoon, siitä aiheutuva vahingollisuus sekä tarve suojata datan välityspalveluiden asiakkaiden perusoikeuksia. Ehdotetun seuraamusmaksun määrässä on myös tarpeeksi vaihtelua, jotta voidaan ottaa huomioon erityyppiset rikkomukset. Toisaalta seuraamusmaksun enimmäismäärä on maltillinen verrattuna osaan EU:n tieto- ja viestintäsektorin sääntelyyn. Tämä voi johtaa sisämarkkinavaikutuksiin ja tarpeeseen muuttaa seuraamusmaksun määrää Euroopan datainnovaatiolautakunnan suosituksen tai komission näkemyksen perusteella.

Seuraamusmaksusta päättäminen on tietyissä tilanteissa osoitettu monijäseniselle elimelle. Näin on edellä mainituissa tietosuojalaissa ja terroristisen sisällön levittämiseen puuttumisesta annetussa laissa. Vaikka nyt ehdotettu seuraamusmaksu on sanktioluonteinen ja enimmäismäärältään melko korkea, se ei olisi ankaruudeltaan sellainen, ettei se rinnastuisi viraston nykyisin määräämiin hallinnollisiin seuraamuksiin. Liikenne- ja viestintävirasto tekee jo nykyään päätöksiä, joihin sisältyy huomattava taloudellinen seuraamusuhka. Virasto on esimerkiksi kesällä 2022 määrännyt 100 000 euron uhkasakon teleyritykselle, joka ei ollut täyttänyt sopimuksen tarkastuspalvelulle asetettuja vaatimuksia. Myöskään oikeusturvanäkökohdat eivät välttämättä edellytä seuraamusmaksusta päättämisen osoittamista monijäseniselle elimelle. (Vrt. PeVL 14/2018 vp, s. 19 ja 20.) Esimerkiksi toisin kuin terroristisen verkkosisältösääntelyn mahdollisissa rajatapauksissa, kyse ei ole eri perusoikeuksien punninnasta, ja toisin kuin tietosuojasääntelyn kanssa, seuraamusmaksun enimmäismäärä ei ole miljoonissa euroissa.

Seuraamusmaksua koskevaan pykälään on harkittu momenttia kaksoisrangaistavuuden kiellosta. Momentissa olisi voitu säätää: ”Seuraamusmaksua ei voida määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei voida määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio.” Vastaava momentti sisältyy esimerkiksi verkossa tapahtuvaan terroristisen sisällön levittämiseen puuttumisesta annetun lain 5 §:ään. Lisäksi on harkittu sitä, ettei seuraamusmaksua saisi määrätä, jos sama asia on vireillä tietosuojavaltuutetun toimistossa. Sen tarkoituksena olisi välttää tilanne, jossa kaksoisrangaistavuuden kielto tosiasiallisesti rajoittaisi tietosuojavaltuutetun mahdollisuutta käyttää toimivaltaansa. Säännös osaltaan turvaisi perusoikeuskirjan 8 artiklan 3 kohdan määräystä siitä, että riippumaton viranomainen valvoo henkilötietojen suojaa koskevien sääntöjen noudattamista.

Kaksoisrangaistavuuden kieltoa koskevaa momenttia ei kuitenkaan ehdoteta. Kaksoisrangaistavuuden kielto on voimassa yleisenä oikeusperiaatteena. Sitä olisi vaikea säännöstasolla kirjoittaa kattavaksi. Tietosuojavaltuutettua koskeva säännös voisi johtaa virheelliseen päätelmään siitä, että yleistä tietosuoja-asetusta voisi valvoa muu kuin tietosuojavaltuutettu. Lisäksi unionin tuomioistuimen ratkaisujen perusteella kaksoisrangaistavuuden kielto ei välttämättä koske kaikkia samojen tosiseikkojen perusteella määrättyjä seuraamusmaksuja. Näin ollen uuden sääntelyn sijaan asiaa selostetaan säännöskohtaisissa perusteluissa.

5.2Muiden jäsenvaltioiden suunnittelemat tai toteuttamat keinot

Muiden jäsenvaltioiden suunnitelmista on saatavilla vasta alustavaa tietoa. Muut jäsenvaltiot olisivat lähtökohtaisesti nimeämässä yksi tai kaksi toimivaltaista viranomaista. Viranomaiset olisivat tyypillisesti olemassa olevia televiestintä- tai kilpailuviranomaisia, mutta osa tehtävistä voitaisiin antaa myös tietosuojaviranomaisille.

Ruotsissa selvityshenkilö on julkaissut ehdotuksensa kansallisesta täytäntöönpanosta heinäkuussa 2023 (Genomförande av EU:s dataförvaltningsförordning, Ds 2023:24). Ehdotuksen mukaan Ruotsissa asetuksen 3 ja 4 luvun mukainen toimivaltainen viranomainen olisi Post- och telestyrelsen (Posti- ja telehallitus). Mahdollisia seuraamuksia asetuksen rikkomisista olisivat muistutus, uhkasakko ja sanktiomaksu (5 000–10 000 000 kruunua). Selvityshenkilö myös mahdollistaisi toimivaltaiselle viranomaiselle maksujen perimisen datan välityspalveluilta.

7.1Laki sähköisen viestinnän palveluista annetun lain muuttamisesta

304 §.Liikenne- ja viestintäviraston erityiset tehtävät. Pykälään lisättäisiin uusi 19 kohta. Siinä datanhallinta-asetuksen 3 ja 4 luvun mukaiset toimivaltaisen viranomaisen tehtävät osoitettaisiin Liikenne- ja viestintävirastolle. Liikenne- ja viestintävirasto olisi jatkossa asetuksen 13 artiklan 1 kohdassa tarkoitettu viranomainen, jolla on toimivalta toteuttaa datan välityspalvelujen ilmoitusmenettelyyn liittyvät tehtävät, sekä 23 artiklan 1 kohdassa tarkoitettu toimivaltainen viranomainen, joka vastaa tunnustettujen data-altruismipohjaisten organisaatioiden julkisesta kansallisesta rekisteristä. Pykälällä pantaisiin täytäntöön edellä mainitut artiklat.

Datan välityspalvelujen suhteen toimivaltaisena viranomaisena Liikenne- ja viestintävirasto vastaisi asetuksen 10 artiklassa tarkoitettuihin datan välityspalveluiden tarjoajiin sovellettavasta ilmoitusmenettelystä (ks. 11 artikla sekä johdanto-osan 38–40 perustelukappale). Asetuksen 14 artiklan nojalla virasto valvoisi, että datan välityspalveluiden tarjoajat täyttävät asetuksen 3 luvun vaatimukset, ja virasto voisi kohdistaa näihin tarvittaessa valvontatoimenpiteitä: määrätä hallinnollisin menettelyin varoittavia taloudellisia seuraamuksia, vaatia lykkäystä datan välityspalvelun tarjoamisen aloittamiselle, vaatia palvelun tarjoamisen keskeyttämistä tai vaatia datan välityspalvelun tarjoamisen lopettamista, jos vakavia tai toistuvia rikkomisia ei ole korjattu (14 artiklan 3, 4, 5 ja 6 kohdat). Viraston olisi pyydettävä komissiota poistamaan palvelun tarjoaja datan välityspalvelun tarjoajien rekisteristä, kun se on määrännyt palvelun tarjoamisen lopetettavaksi sekä ilmoitettava jokainen palvelun tarjoajan uudelleenilmoitus komissiolle (14 artikla 4 kohta). Vaikka komissio ylläpitää unionitason rekisteriä datan välityspalveluista, olisi ilmoitusmenettelyä ja valvontaa varten käytännössä ylläpidettävä myös jonkinasteista kansallista rekisteriä. Lisäksi Liikenne- ja viestintävirastolla olisi oikeus saada valvottavalta tietoja vaatimusten noudattamisen todentamiseksi (14 artiklan 2 kohta). Liikenne- ja viestintäviraston olisi myös tehtävä ja kehitettävä yhteistyötä ja vaihdettava tietoja asiaankuuluvien alakohtaisten viranomaisten kanssa (13 artiklan 3 kohta).

Datanhallinta-asetuksessa on jonkin verran menettelysääntelyä toimivaltuuksien käyttämisestä. Niiden lisäksi sovellettaisiin täydentävästi kansallista sääntelyä. Sovellettavaksi tulisivat viestintäpalvelulain lisäksi muun muassa hallintolaki ja uhkasakkolaki. Hallintolain vaatimukset hyvästä hallinnosta korostuisivat etenkin toiminnan keskeyttämistä ja lopettamista koskevissa päätöksissä. Datanhallinta-asetuksen mukaan keskeyttämistä voidaan vaatia, kunnes palvelun ehtoja on muutettu datan välityspalvelujen suhteen toimivaltaisen viranomaisen pyytämällä tavalla. Toiminnan lopettamista koskeva päätös on asetuksessa sidottu toistuviin tai vakaviin rikkomuksiin, joita ei ole korjattu, vaikka asiasta on huomautettu (vrt. PeVL 65/2014 vp, s. 2–3). Koska elinkeinotoiminnan keskeyttäminen tai lopettaminen on huomattava puuttuminen elinkeinovapauteen, kyseessä tulisi valtiosääntöisistä syistä olla mahdollisimman viimesijaiset keinot silloin, kun muut keinot eivät riitä turvaamaan muiden oikeuksien toteutumista.

Data-altruismipohjaisten organisaatioiden rekisteröinnistä vastaavana toimivaltaisena viranomaisena Liikenne- ja viestintäviraston olisi pidettävä julkista kansallista rekisteriä tunnustetuista data-altruismipohjaisista organisaatioista ja päivitettävä sitä säännöllisesti (17 artiklan 1 kohta). Kun yhteisö on tehnyt rekisteröitymisilmoituksen, on viraston tarvittavat tiedot saatuaan ja hakemuksen arvioituaan rekisteröitävä yhteisö kahdentoista viikon kuluessa hakemuksen vastaanottamisesta, mikäli yhteisö täyttää rekisteröintiä koskevat vaatimukset (19 artiklan 5 kohta). Viraston tulee ilmoittaa komissiolle kaikista rekisteröinneistä sekä rekisteröityjen tietojen muutoksista sekä julkaistava rekisterissä tietyt asetuksessa säädetyt tiedot rekisteröityneistä yhteisöistä (19 artiklan 5, 6 ja 7 kohta). Lisäksi viraston on tehtävät yhteistyötä asiaankuuluvien alakohtaisten viranomaisten kanssa sekä asiaankuuluvaan tietosuojaviranomaisen kanssa, jos tällaiset tehtävät liittyvät henkilötietojen käsittelyyn (23 artiklan 3 kohta).

Liikenne- ja viestintäviraston tulisi myös seurata data-altruismipohjaisten organisaatioiden niille asetuksen 4 luvussa asetettujen vaatimusten noudattamista (24 artiklan 1 kohta). Virastolla olisi valtuudet pyytää organisaatioilta tietoja vaatimusten noudattamisen todentamiseksi (24 artiklan 2 kohta). Viraston olisi ilmoitettava vaatimuksien rikkomisesta data-altruismiorganisaatiolle ja annettava tälle mahdollisuus esittää näkemyksensä 30 päivän kuluessa ilmoituksen vastaanottamisesta (24 artiklan 3 kohta). Lisäksi virastolla olisi valtuudet vaatia laiminlyönnin lopettamista ja se on toteutettava aiheelliset ja oikeasuhteiset toimenpiteet vaatimusten noudattamisen varmistamiseksi (24 artiklan 5 kohta). Viraston olisi julkistettava päätös nimityksen "unionissa tunnustettu data-altruismipohjainen organisaatio" käyttämisen kumoamisesta, jos organisaatio on menettänyt oikeutensa käyttää nimitystä (24 artiklan 5 kohta).

Liikenne- ja viestintävirastolla olisi valvontaviranomaisena käytössä myös viestintäpalvelulain 330, 332 ja 334 a §:ssä säädetyt sekä nyt ehdotetut keinot.

Luonnollinen henkilö tai oikeushenkilö voisi tehdä toimivaltaisena viranomaisena toimivalle Liikenne- ja viestintävirastolle valituksen missä tahansa asetuksen soveltamisalaan kuuluvassa asiassa (27 artiklan 1 kohta). Viranomaisen on ilmoitettava valituksen tekijälle valituksen käsittelyn etenemisestä ja siitä tehdystä päätöksestä sekä asetuksen 28 artiklassa säädetyistä oikeussuojakeinoista (27 artiklan 2 kohta).

Datan välityspalveluiden suhteen ja data-altruismipohjaisten organisaatioiden rekisteröinnin suhteen toimivaltaisena viranomaisena Liikenne- ja viestintävirasto osallistuisi datainnovaatiolautakunnan toimintaan (29 artiklan 1 ja 2 kohta).

Liikenne- ja viestintäviraston uusi tehtävä ei muuta muiden viranomaisten toimivaltuuksia. Muun muassa Kilpailu- ja kuluttajavirasto, kuluttaja-asiamies ja tietosuojavaltuutettu jatkavat vastuullaan olevan sääntelynsä valvomista. Esimerkiksi yleistä tietosuoja-asetusta koskevat asiat tulisi jatkossakin hallintolain 21 §:n nojalla siirtää tietosuojavaltuutetun toimistoon. Viranomaisten on tarvittaessa tehtävä yhteistyötä (13 artiklan 3 kohta ja 23 artiklan 3 kohta, viestintäpalvelulain 308 § sekä hallintolain 10 §).

330 §.Valvontapäätös. Pykälään lisättäisiin uusi 3 momentti, jonka mukaisesti Liikenne- ja viestintävirasto voisi antaa huomautuksen datan välityspalveluiden tarjoajalle tai data-altruismiorganisaatolle momentissa luetelluissa tilanteissa. Uusi 3 momentti perustuu asiallisesti pykälän 1 momenttiin. Pykälällä pantaisiin osaltaan täytäntöön asetuksen 34 artikla.

Ensinnäkin huomautus voitaisiin antaa asetuksen 11 artiklassa säädetyn datan välityspalvelujen tarjoajan ilmoitusvelvollisuuden rikkomisesta sekä 12 artiklassa säädettyjen datan välityspalveluiden tarjoamisen edellytyksien rikkomisesta. Huomautus voitaisiin antaa myös sille, joka rikkoo asetuksen 18, 20, 21 ja 22 artiklassa säädettyjen tunnustettujen data-altruismipohjaisten organisaatioiden rekisteröintiä koskevia edellytyksiä. Lisäksi huomautus voitaisiin antaa sille, joka rikkoo asetuksen 31 artiklassa säädettyjä muiden kuin henkilötietojen siirtoa kolmansiin maihin koskevia edellytyksiä. Liikenne- ja viestintävirasto valvoisi 31 artiklan noudattamista vain asetuksen 3 ja 4 luvussa tarkoitettujen datan välityspalveluiden tarjoajien ja data-altruismiorganisaatioiden osalta. Samalla kun virasto antaisi huomautuksen, sen olisi velvoitettava toimijaa korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa ajassa. Virasto voisi tämän velvoitteen tehosteeksi asettaa 332 §:n mukaisesti uhkasakon taikka keskeyttämis- tai teettämisuhan. Virasto määräisi kohtuullisen ajan korjaaville toimenpiteille. Se riippuisi muun muassa rikkomuksen vakavuudesta ja luonteesta.

Koska huomautus on lievin valvontakeinoista, sitä voitaisiin käyttää ensisijaisena keinona valvoa toimijoita. Mikäli huomautusta ei pidettäisi tekoon nähden riittävänä tai jos laiminlyönti huomautuksesta huolimatta jatkuisi, siirryttäisiin ankarampiin keinoihin.

334 a §.Datan välityspalvelujen tarjoajan seuraamusmaksu. Pykälä olisi uusi. Pykälässä säädettäisiin seuraamusmaksusta, jonka Liikenne- ja viestintävirasto voisi määrätä datan välityspalveluiden tarjoajalle, jos se rikkoo tai laiminlyö asetuksessa säädettyä ilmoitusvelvollisuutta, palvelun tarjoamisen edellytyksiä tai muiden kuin henkilötietojen siirtoa kolmansiin maihin koskevia edellytyksiä. Pykälällä pantaisiin osaltaan täytäntöön asetuksen 34 artikla.

Pykälän 1 momentissa säädettäisiin, mistä datanhallinta-asetuksen loukkauksista Liikenne- ja viestintävirasto voisi määrätä seuraamusmaksun. Seuraamusmaksu voitaisiin määrätä vain datan välityspalveluiden tarjoajalle. Seuraamusmaksu edellyttäisi syyksiluettavuutta eli tahallisuutta tai huolimattomuutta.

Pykälän 2 momentissa säädettäisiin seuraamusmaksun suuruudesta. Se olisi vähintään 1000 euroa ja enintään 100 000 euroa. Jotta seuraamuksella olisi riittävä ennalta estävä vaikutus, tulisi maksun suuruuden olla riittävä. Liikenne- ja viestintäviraston tulisi varmistaa, että sanktio ja sen määrä ovat suhteessa tekoon nähden. Esimerkiksi 11 artiklan ilmoitusvelvollisuuden vähäisestä rikkomisesta asetettavan maksun olisi oltava pienempi sanktio kuin 12 artiklan velvoitteiden rikkomisen osalta asetettavan maksun. Niin ikään 12 artiklan mukaiset velvoitteet eivät ole keskenään rinnasteisia. Asetuksen ratiota vasten esimerkiksi välitettävän datan käyttäminen välityspalvelun tarjoajan omiin tarkoituksiin olisi huomattavasti moitittavampi teko kuin laiminlyönnit välitystoiminnasta ylläpidettävässä selosteessa, jos toiminta on muutoin asianmukaista.

Pykälän 3 momentissa säädettäisiin seuraamusmaksun kokonaisarvioinnista ja siinä huomioon otettavista seikoista. Seuraamusmaksun suuruuden määrittäminen tulisi oikeasuhtaisuusvaatimuksen mukaisesti perustua kokonaisarviointiin. Datanhallinta-asetuksen 34 artiklan 2 kohdassa säädetään ohjeellisesti niistä kriteereistä, jotka voidaan huomioida viranomaisen määrittäessä seuraamuksen tyyppiä ja tasoa. Nämä seikat säädettäisiin huomioon otettaviksi. Seuraamusmaksun suuruudessa olisi siten otettava huomioon: a) rikkomisen luonne, vakavuus, laajuus ja kesto, b) datan välityspalvelujen tarjoajan toteuttamat toimet rikkomisen aiheuttaman vahingon lieventämiseksi tai korjaamiseksi, c) datan välityspalvelujen tarjoajan mahdolliset aiemmat rikkomiset, d) datan välityspalvelujen tarjoajan rikkomisen johdosta saamat taloudelliset edut tai niiden välttämät tappiot, jos tällaiset voitot tai tappiot voidaan luotettavasti osoittaa sekä e) mahdolliset muut tapauksen olosuhteisiin sovellettavat raskauttavat tai lieventävät tekijät.

Koska rangaistusluontoiset seuraamusmaksut rinnastuvat ankaruudeltaan sakkorangaistukseen, ei niille ehdoteta perittävän viivästyskorkoa tai muuta viivästysseuraamusta.

Asetuksen ja tämän pykälän mukaan tehtäviin viranomaispäätöksiin haetaan muutosta siten kuin oikeudenkäynnistä hallintoasioissa annetussa laissa (808/2019) säädetään. Muutoksenhausta on informatiivinen säännös viestintäpalvelulain 344 §:n 1 momentissa.

Pykälän 4 momentissa säädettäisiin seuraamusmaksun määräämättä jättämisestä. Mainitut kolme kriteeriä olisivat toisilleen vaihtoehtoisia. Seuraamuksen sijasta voitaisiin antaa esimerkiksi 330 §:ssä säädetty huomautus.

Momentissa säädetyn lisäksi seuraamusmaksua ei saisi määrätä, jos se johtaisi kaksoisrangaistavuuden kiellon loukkaamiseen. Kaksoisrangaistavuuden kiellosta määrätään Euroopan unionin perusoikeuskirjan 50 artiklassa ja Euroopan ihmisoikeussopimuksen 7. lisäpöytäkirjan 4 artiklassa. Kaksoisrangaistavuuden kielto on voimassa yleisenä oikeusperiaatteena.

Näin ollen seuraamusmaksua ei voitaisi määrätä sille, jota epäillään samasta teosta esitutkinnassa, syyteharkinnassa tai tuomioistuimessa vireillä olevassa rikosasiassa. Seuraamusmaksua ei voitaisi määrätä myöskään sille, jolle on samasta teosta annettu lainvoimainen tuomio. Datan välityspalveluiden toimintamallit ja välitettävä data vaihtelevat, mutta mahdollisesti huomioon otettavaksi tulisivat esimerkiksi rikoslain (39/1889) 30 luvun 6 §:ssä säädetty yrityssalaisuuden väärinkäyttö sekä 38 luvun 3 §:ssä säädetty viestintäsalaisuuden loukkaus ja 4 §:ssä säädetty törkeä viestintäsalaisuuden loukkaus. Rikosoikeudellisia seuraamuksia keskeisempiä kaksoisrangaistavuuden arvioinnissa olisivat kuitenkin muut hallinnolliset seuraamusmaksut. Kahden hallinnollisen seuraamusmaksun määräämistä samojen tosiseikkojen perusteella on käsitelty etenkin unionin tuomioistuimen oikeuskäytännössä (asiat C-117/20 bpost sekä C-151/20 Nordzucker). Ratkaisut koskevat kilpailuoikeutta, mutta niillä voi olla laajempaa merkitystä (ks. asia C-117/20 bpost, 35 kohta).

Pykälän 5 momentissa säädettäisiin seuraamusmaksun määräämisoikeuden vanhentumisesta. Liikenne- ja viestintävirasto ei saisi määrätä seuraamusmaksua, jos päätöstä ei ole tehty viiden vuoden kuluessa siitä päivästä, jona rikkomus tai laiminlyönti tapahtui, tai jatketun rikkomuksen tai laiminlyönnin osalta viiden vuoden kuluessa siitä päivästä, jona rikkomus tai laiminlyönti päättyi.

Pykälän 6 momentissa säädettäisiin siitä, että seuraamusmaksu määrättäisiin maksettavaksi valtiolle.

335 §.Seuraamusmaksun täytäntöönpano. Pykälään lisättäisiin uusi 2 momentti. Sen mukaan seuraamusmaksu pannaan täytäntöön noudattaen, mitä sakon täytäntöönpanosta annetussa laissa säädetään. Seuraamusmaksu vanhenisi viiden vuoden kuluttua lainvoiman saaneen päätöksen tekemisestä. Päätöksen täytäntöönpanokelpoisuudesta säädettäisiin viestintäpalvelulain 344 §:n 2 momentissa. Valitus korkeimpaan hallinto-oikeuteen ei estä päätöksen täytäntöönpanoa asiassa, jossa tarvitaan valituslupa (oikeudenkäynnistä hallintoasioissa annetun lain 122 §:n 2 momentti). Säännöksen mukaan seuraamusmaksun täytäntöönpanosta huolehtisi Oikeusrekisterikeskus. Pykälällä pantaisiin osaltaan täytäntöön asetuksen 34 artikla.

342 §.Oikaisuvaatimus . Pykälän 2 momenttiin lisättäisiin uusi päätösryhmä, johon sovellettaisiin oikaisumenettelyä. Oikaisua haettaisiin datanhallinta-asetuksen 19 artiklan 5 kohdan mukaiseen päätökseen. Kyseisen kohdan nojalla Liikenne- ja viestintäviraston on rekisteröitävä yhteisö tunnustettujen data-altruismipohjaisten organisaatioiden julkiseen kansalliseen rekisteriin kahdentoista viikon kuluessa hakemuksen vastaanottamisesta, jos yhteisö on toimittanut vaaditut tiedot ja täyttää säädetyt edellytykset. Oikaisumenettelyn käyttö on tarkoituksenmukaista, koska rekisteröinti edellyttää harkintavallan käyttöä sen suhteen, täyttääkö organisaatio datanhallinta-asetuksen asettamat edellytykset.

Ehdotettu muutos ei suoraan perustu datanhallinta-asetukseen, vaan kansallisiin linjauksiin oikaisumenettelyn käyttöalasta. Ehdotus on yhteensopiva asetuksen 28 artiklan 1 kohdan vaatimusten kanssa (oikeus tehokkaisiin oikeussuojakeinoihin), koska oikaisuvaatimukseen annettuun päätökseen voi hakea muutosta (hallintolaki 49 b §:n 3 momentti sekä laki oikeudenkäynnistä hallintoasioissa 7 §:n 2 momentti).

344 §.Muutoksenhaku hallintotuomioistuimeen. Pykälän 2 momenttiin lisättäisiin ehdotettu 334 a § seuraamusmaksusta datan välityspalveluiden tarjoajalle. Ehdotetulla muutoksella mainittu seuraamusmaksu rajattaisiin ulkopuolelle niistä päätöksistä, joita tulee päätöksen tekijän määräyksestä noudattaa muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää. Vakiintuneesti rangaistusluonteiset seuraamusmaksut ovat täytäntöönpanokelpoisia vain lainvoimaisina ja täytäntöönpanokelpoisuus määräytyy oikeudenkäynnistä hallintoasioissa annetun lain 122 §:n 1 ja 2 momentin mukaisesti. Sähköisen viestinnän palveluista annetun lain 344 §:n 2 momentissa säädetty on poikkeus tähän.

Ehdotettu muutos ei suoraan perustu datanhallinta-asetukseen, vaan kansallisiin linjauksiin päätösten täytäntöönpanokelpoisuudesta. Ehdotus on yhteensopiva asetuksen 28 artiklan 1 kohdan vaatimusten kanssa (oikeus tehokkaisiin oikeussuojakeinoihin).

7.2Laki sakon täytäntöönpanosta annetun lain 1 §:n muuttamisesta

1 §.Lain soveltamisala. Pykälän 2 momenttiin lisättäisiin uusi 28 kohta siitä, että sähköisen viestinnän palveluista annetun lain 334 a §:ssä tarkoitettu seuraamusmaksu pannaan täytäntöön siten kuin tässä laissa säädetään.

10.1Suhde talousarvioesitykseen

Esitys liittyy esitykseen valtion vuoden 2024 talousarvioksi ja on tarkoitettu käsiteltäväksi sen yhteydessä.

Esitykseen sisältyy uusia viranomaisvalvontaan liittyviä tehtäviä, jotka lisäävät Liikenne- ja viestintäviraston tehtäviä ja resurssitarpeita. Resurssitarpeet on perusteltu ja eritelty esityksen 4.2.1 jaksossa.

Sen lisäksi, mitä muualla tässä laissa säädetään, Liikenne- ja viestintäviraston tehtävänä on:

Liikenne- ja viestintävirasto voi antaa huomautuksen sille, joka rikkoo datanhallinta-asetuksen 11 artiklassa säädettyä datan välityspalvelun tarjoajan ilmoitusvelvollisuutta, 12 artiklassa säädettyjä datan välityspalvelun tarjoamisen edellytyksiä, 18 tai 20–22 artiklassa säädettyjä tunnustetuksi data-altruismipohjaiseksi organisaatioksi rekisteröintiä koskevia edellytyksiä taikka 31 artiklassa säädettyjä muiden tietojen kuin henkilötietojen siirtoa kolmansiin maihin koskevia edellytyksiä sekä velvoittaa tämän korjaamaan virheensä tai laiminlyöntinsä kohtuullisessa määräajassa.

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun datanhallinta-asetuksen 10 artiklassa tarkoitetun datan välityspalvelun tarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö velvoitetta, joka koskee mainitun asetuksen:

Seuraamusmaksu on vähintään 1000 euroa ja enintään 100 000 euroa.

Seuraamusmaksun suuruus perustuu kokonaisarviointiin. Seuraamusmaksua määrättäessä on otettava huomioon, mitä datanhallinta-asetuksen 34 artiklan 2 kohdassa säädetään.

Seuraamusmaksu jätetään määräämättä, jos:

Seuraamusmaksua ei saa määrätä, jos on kulunut yli viisi vuotta siitä, kun rikkomus tai laiminlyönti on tapahtunut. Jos rikkomus tai laiminlyönti on ollut luonteeltaan jatkuvaa, viiden vuoden määräaika lasketaan siitä, kun rikkomus tai laiminlyönti on päättynyt.

Seuraamusmaksu määrätään maksettavaksi valtiolle.

Edellä 1 momentissa säädetystä poiketen 334 a §:n nojalla maksettavaksi määrätty seuraamusmaksu pannaan täytäntöön noudattaen sakon täytäntöönpanosta annetun lain (672/2002) säännöksiä. Seuraamusmaksu vanhenee viiden vuoden kuluttua lainvoiman saaneen päätöksen tekemisestä.

Liikenne- ja viestintäviraston päätökseen, joka koskee 39 §:ssä tarkoitettua radiolupaa, 44 §:ssä tarkoitettua radiotaajuuksien varausta koskevaa päätöstä, 100 §:ssä tarkoitettua numerointipäätöstä, 288 §:ssä tarkoitettua markkinaehtoista taajuusmaksua, 289 §:ssä tarkoitettua tietoyhteiskuntamaksua, 293 §:ssä tarkoitettua televisio- ja radiotoiminnan valvontamaksua tai datanhallinta-asetuksen 19 artiklan 5 kohdassa tarkoitettua rekisteröintiä, saa vaatia oikaisua.

Päätöksen tehnyt viranomainen tai ilmoitettu laitos voi muussa kuin 233, 235 ja 334 a §:ssä tarkoitetussa päätöksessä määrätä, että päätöstä on noudatettava muutoksenhausta huolimatta, jollei muutoksenhakuviranomainen toisin määrää.

Siten kuin tässä laissa säädetään, pannaan täytäntöön myös: