6
Remissvar
Utkastet till regeringsproposition var på remiss den 2 oktober - 13 november 2025 och myndigheterna på Åland bereddes en separat möjlighet att uttala sig om den svenskspråkiga regeringspropositionen när den blivit klar. Remissvar gavs av Aalto-universitetet, Ålands landskapsregering, Myndigheten för digitalisering och befolkningsdata, justitieombudsmannen, Näringslivets centralförbund EK, Pensionsskyddscentralen, Energiverket, Esbo stad, Södra Karelens välfärdsområde, Södra Österbottens välfärdsområde, Södra Finlands regionförvaltningsverk, FiCom ry, Finanssiala ry, Helsingfors förvaltningsdomstol, Helsingfors stad, Helsingfors universitet, Försörjningsberedskapscentralen, HUS-sammanslutningen, Välfärdsområdetsbolaget Hyvil Ab, Meteorologiska institutionen, Östra Finlands förvaltningsdomstol, Östra Finlands universitet, Jyväskylän koulutuskuntayhtymä Gradia, Jyväskylä universitet, Kangasala stad, Nationalarkivet, Folkpensionsanstalten (FPA), Kauhajoki stad, Mellersta Finlands välfärdsområde, Kyrkostyrelsen, Kommun- och välfärdsområdesarbetsgivarna KT, kommunikationsministeriet, Transport- och kommunikationsverket Traficom (Traficom), Naturresursinstitutet (Luke), Västra Nylands välfärdsområde, Migrationsverket, Lantbruksföretagarnas pensionsanstalt LPA, Lantmäteriverket, Skogsstyrelsen, Museiverket, Muurame kommun, Nivala stad, Rättsregistercentralen, Utbildningsstyrelsen, undervisnings- och kulturministeriet, Patent- och registerstyrelsen, Räddningsinstitutet, Pieksämäki stad, Österbottens välfärdsområde, Polisstyrelsen, försvarsministeriet, Verket för finansiell stabilitet, Livsmedelsverket, Satakunta välfärdsområde, Sjundeå kommun, inrikesministeriet, Tillstånds- och tillsynsverket för social- och hälsovården (Valvira), social- och hälsovårdsministeriet, SOSTE Finlands social och hälsa rf (SOSTE), Finlands Akademi, Finlands Advokater, Finlands kommunförbund rf, Genealogiska Samfundet i Finland rf, Finlands miljöcentral (Syke), Företagarna i Finland rf, Åklagarmyndigheten, Tammerfors stad, Tammerfors universitet, Olycksfallsförsäkringscentralen (OFC), Institutet för hälsa och välfärd (THL), underrättelsetillsynsombudsmannen, dataombudsmannens kansli, Tullen, Domstolsväsendet, Åbo stad, Säkerhets och kemikalieverket (TUKES), arbets- och näringsministeriet, Arbetspensionsförsäkrarna TELA rf (TELA), Utsökningsverket, Utajärvi kommun, Vasa universitet, Försäkringscentralen, Statskontoret, statsrådets kansli, statsrådets justitiekansler, finansministeriet, Valtori, Egentliga Finlands välfärdsområde, Egentliga Finlands förbund, Skatteförvaltningen, Trafikledsverket, miljöministeriet och två privatpersoner.
Majoriteten av dem som gav ett remissvar förhöll sig negativt eller skeptiskt till att de offentliga påföljdsavgifterna utvidgas till att gälla myndigheterna och den övriga offentliga förvaltningen. Denna åsikt motiverade de i synnerhet med tolkningen av grundlagen, aspekter på att myndigheternas verksamhet är bunden till lag och budget samt andra tillgängliga sätt att för myndigheternas del ingripa i brott mot dataskyddslagstiftningen. Dessa motiveringar ingick huvudsakligen redan i det utkast till regeringsproposition som var på remiss. I vissa svar gav respondenten dock sitt stöd för de föreslagna bestämmelserna om administrativa påföljdsavgifter. Dessa åsikter motiverades särskilt med att påföljdssystemet ska vara ändamålsenligt och att de personuppgiftsansvariga och personuppgiftsbiträdena inom den privata och den offentliga sektorn ska behandlas jämlikt.
I utlåtandena presenterades det inte just alls några konkreta ändringsförslag till bestämmelserna om påförande av påföljdsavgift. Endast några enstaka utlåtanden presenterade observationer särskilt gällande bestämmelsen om myndighetens storlek och ekonomiska ställning, vilket ledde till en ny bedömning av ordalydelsen i den bestämmelsen under den fortsatta beredningen. Enstaka utlåtanden tog därtill ställning till det föreslagna undantaget till artikel 86 i dataskyddsförordningen och den föreslagna övergångsbestämmelsen. Dessa bestämmelser har också preciserats utgående från utlåtandena.
Det föreslagna utnyttjandet av handlingsutrymmet för begränsning av anmälningsplikten för personuppgiftsincidenter understöddes. Under den fortsatta beredningen gjordes ingen ombedömning av bestämmelserna och motiveringarna gällande detta.
Tillämpningsområde för bestämmelserna om påföljdsavgifter
Den viktigaste responsen i utlåtandena gällde om lagstiftningen överhuvudtaget ska utvidgas att gälla myndigheterna. De respondenter som förhöll sig negativt eller skeptiskt till lagstiftningen motiverade särskilt sina utlåtanden med grundlagen och att myndigheternas verksamhet är lagenlig. Syftet med de aktuella motiveringarna, som också finns i motiveringarna till propositionen, är att lyfta fram varför det är nödvändigt att begränsa den föreslagna lagstiftningen för de påföljdsavgifter som påförs inom den offentliga sektorn.
I sitt utlåtande ansåg riksdagens justitieombudsman att påföljdsavgiften ska ha påföljder för förmögenheten. Därför ska påföljdsavgifter riktas till instanser som överhuvudtaget kan ha förmögenhet. Riksdagens justitieombudsman gav inte den föreslagna lagstiftningen sitt stöd och motiverade sin åsikt detaljerat med aspekter i anknytning till att myndigheterna i allmänhet inte är juridiska personer och att de inte heller i samtliga fall har förmögenhet eller egendom. I sitt ställningstagande tog justitiekanslern inte ställning till om det är ändamålsenligt att utöka lagstiftningen att gälla myndigheterna. Justitiekanslern hänvisade dock i sitt utlåtande till grundlagsutskottets utlåtande GrUU 14/2018 rd och till att grundlagsutskottet tills vidare inte har avvikit från sin ståndpunkt i det utlåtandet, enligt vilken det inte är konstitutionellt problemfritt att låta bestämmelserna om påföljdsavgift gälla myndighetsverksamhet. Enligt justitiekanslern är det motiverat att i motiveringen till propositionen uttryckligen konstatera att man avviker från grundlagsutskottets utlåtande.
Förslaget håller sig med de nedan nämnda mindre förändringarna till det tillämpningsområde som fanns i det utkast till proposition som var på remiss. Utgångspunkten för propositionen är ett enhetligt och konsekvent påföljdssystem, som huvudsakligen gäller samtliga personuppgiftsansvariga och personuppgiftsbiträden. Skyldigheterna i den allmänna dataskyddsförordningen och dataskyddsdirektivet för brottsbekämpning gäller samtliga personuppgiftsansvariga och personuppgiftsbiträden och är i princip lagstadgade förpliktelser för en organisation oberoende av om det är fråga om en juridisk person. Därför utgår propositionen från att en påföljdsavgift också kan riktas mot de för en myndighet tillgängliga medlen, såsom omkostnaderna, trots att det inte är fråga om myndighetens egen förmögenhet. I förslaget görs bedömningen att hotet om påföljdsavgift ska ha en förebyggande effekt också för myndigheternas del, men den förebyggande och varnande effekten uppstår dock på ett annat sätt och baserat på en betydligt lägre påföljdsavgift än för privata företag. Det finns redan från tidigare exempel på påföljder i penningbelopp riktade mot myndigheter i Finlands lagstiftning. Syftet med de föreslagna begränsningarna är uttryckligen att beakta skillnaderna i myndigheternas och företagens verksamhet. Eftersom grundlagsutskottet dock har ansett påföljdsavgifter som påförs en myndighet vara problematiska i dataskyddslagstiftningskontext och föreslagit att lagstiftningen ska avvika från den nuvarande tolkningen är det nödvändigt att grundlagsutskottet uttalar sig om förslaget. Den föreslagna avvikelsen till grundlagsutskottets alltjämt relevanta tolkningspraxis har förtydligats i propositionens motiveringar till lagstiftningsordning.
Ett nytt 1 mom. har lagts till i den föreslagna 24 a § i dataskyddslagen till följd av utlåtandena av Justitiekanslern och riksdagens justitieombudsman. I momentet föreskrivs det i detalj vilka myndigheter och andra instanser som representerar den offentliga sektorn som kan påföras påföljdsavgifter i enlighet med artikel 83.1–3 i den allmänna dataskyddsförordningen. Trots att syftet är att kunna påföra påföljdsavgifter på alla myndigheter och andra instanser som representerar den offentliga sektorn med undantag för dem som enligt 24 § 4 mom. uttryckligen lämnas utanför tillämpningen av bestämmelserna om påföljdsavgifter, är det tillagda momentet motiverat för beaktandet av kravet på noggrann avgränsning av påföljdsavgifterna.
I utlåtandena från de högsta instanserna för tillsyn över lagstiftningen samt i flera andra utlåtanden framfördes det kritik om det på dataskyddförordningen grundade begreppet ”offentliga organ”, som ansågs vara otydligt. I förslaget om ändring av lagen om dataskyddslagen bevaras dock begreppet på grund av att lagförslaget utnyttjar det nationella handlingsutrymmet, som enligt ordalydelsen i artikel 83.7 i den allmänna dataskyddsförordningen gäller myndigheter och offentliga organ. I den interna definitionen av bestämmelsen har det förtydligats vad myndigheter och offentliga organ avser.
Till följd av justitiekanslerns utlåtande har specialmotiveringen till ändringarna i 24 § kompletterats för att förtydliga att påföljdsavgifterna utöver statsrådets justitiekansler och riksdagens justitieombudsman inte heller gäller Justitiekanslersämbetet och riksdagens justitieombudsmans kansli. Vid riksdagsbehandlingen av propositionen om dataskyddslag begränsades tillsynen att inte gälla de högsta laglighetsövervakarna. Av förvaltningsutskottets betänkande framgår det att dataombudsmannens tillsynsbefogenheter varken täcker justitiekanslersämbetet eller riksdagens justitieombudsmans kansli.
Till följd av dataombudsmannens utlåtande har det föreslagna 24 § 4 mom. kompletterats så att det inte är möjligt att påföra administrativa påföljdsavgifter på dataombudsmannen för behandling av personuppgifter förknippad med ombudsmannens laglighetstillsynsuppdrag. Med detta undantag beaktas i synnerhet den delvis överlappande tillsynen av dataombudsmannen och underrättelsetillsynsombudsmannen. I motsatts till de högre laglighetstillsynsorganen omfattas den behandling av personuppgifter som underrättelsetillsynsombudsmannen utför av dataombudsmannens tillsyn och den är inte förknippad med motsvarande grundlagsenliga problem som för de högsta laglighetsövervakarna. Motiveringarna till momentet har kompletterats i enlighet med den föreslagna begränsningen.
I några utlåtanden föreslogs det också en begränsning av tillämpningen av påföljdsavgifterna på vissa andra myndigheter. Polisstyrelsen föreslog att det bör övervägas om polisen borde lämnas utanför tillämpningsområdet för lagen om behandling av personuppgifter i brottmål när polisen utför förebyggande och avslöjande verksamhet. För att säkerställa att påföljdssystemet är enhetligt och konsekvent håller sig förslaget till några få undantag. Ur dataskyddslagstiftningsperspektiv är uppgifter utförda av myndigheter som utövar underrättelseverksamhet sådan verksamhet som ligger utanför unionsrätten. Däremot hör behandlingen av personuppgifter i samband med polisens förebyggande och avslöjande verksamhet i sin helhet till sanktionsförpliktelserna vid brott mot unionsrätten. Utgångspunkten för regeringens proposition är att de försummelser som omfattas av sanktionsförpliktelserna huvudsakligen ska täckas av bestämmelserna om påföljdsavgifter oberoende av vilken allmän lagstiftning om dataskydd som tillämpas eller syftet med behandlingen.
Inrikesministeriet ansåg det inte vara motiverat att påföljdsavgifterna gäller välfärdsområdena. Inrikesministeriet ansåg att påförandet av en påföljdsavgift påverkar välfärdsområdenas autonomi och finansieringsprinciper samt kan påverka räddningsväsendets tjänster på ett lagstridigt sätt. Inga ändringar har gjorts i de föreslagna bestämmelserna gällande detta. De eventuella konsekvenserna är likadana för samtliga aktörer inom den offentliga sektorn. Dessa aspekter beaktas med de föreslagna begränsningarna, i synnerhet kraven på proportionalitet och sista utväg.
Kyrkostyrelsen ansåg det vara problematiskt att tillämpningen av bestämmelserna om påföljdsavgifter gäller den evangelisk lutherska kyrkan. Den evangelisk lutherska kyrkan och den ortodoxa kyrkan med sina församlingar är dock upphandlingsenheter i enlighet med upphandlingslagen på vilka det redan nu är möjligt att påföra påföljdsavgifter med stöd av upphandlingslagen. I förslaget görs det därför inget undantag för dem. Även det att de religiösa samfund som representerar andra religioner är privaträttsliga föreningar, som redan nu omfattas av de administrativa påföljdsavgifterna, är också en viktig aspekt på jämlik behandling av personuppgiftsansvariga och personuppgiftsbiträden.
I sina utlåtanden ställde sig också universiteten negativt till att påföljdsavgifterna ska gälla också universiteten. I sina utlåtanden lyfte universiteten fram bland annat eventuella konsekvenser för den fria vetenskapen. I responsen i utlåtandena ansågs det att skyddet av personuppgifter delvis står i strid med vetenskaplig forskning och friheten att forska och att det bör begrundas hurdana konsekvenser påföljdsavgifterna eventuellt har på friheten i forskningen. Även universiteten är dock redan upphandlingsenheter i enlighet med upphandlingslagen och konsekvenserna av de föreslagna påföljdsavgifterna avviker inte väsentligt från konsekvenserna av påföljdsavgifter enligt upphandlingslagen. Det finns dessutom ett problem med jämlik behandling om universiteten lämnas utanför påföljdsavgifterna. Universiteten i stiftelseform och yrkeshögskolorna omfattas redan i nuläget av tillämpningsområdet för de administrativa påföljdsavgifterna. Av dessa skäl gjordes inga ändringar i förslaget under den fortsatta beredningen.
I åklagarämbetets utlåtande ansågs det att Åklagarämbetet bör lämnas utanför ansvaret för påföljdsavgifter med beaktande av att påföljdsavgifterna inte gäller domstolarna. Synpunkten motiverades med att åklagarna i sitt uppdrag fattar rättsskipningsavgöranden, som senare behandlas i domstolar utgående från samma uppgifter och i samma system. Åklagarämbetet ansåg i sitt utlåtande det vara problematiskt att den ena personuppgiftsansvarige i samma system har ett ansvar och den andra inte. Förslaget ändrades inte heller i detta hänseende med beaktande av att utgångspunkten för påföljdsavgiften är vilken personuppgiftsansvarige som bar ansvaret för skötsel av uppgiften när förseelsen skedde. Detta är inte direkt förknippat med systemen. Åklagarämbetet hör därtill såsom polisen till sanktionsskyldigheterna i enlighet med dataskyddsdirektivet för brottsbekämpning. I förslaget till proposition har det dock beaktats att det i vissa fall, exempelvis vid gemensamt personuppgiftsansvar för registret, kan uppstå utmaningar. Dessa avviker dock inte väsentligt från de situationer som gäller gemensamt personuppgiftsansvar inom den privata sektorn.
Försvarsministeriet och Försvarsmakten ansåg att Försvarsmakten bör lämnas utanför påföljdsavgifterna också i de fall då det är fråga om behandling av personuppgifter som faller under den allmänna dataskyddsförordningen. I förslaget har man hållit sig till att de administrativa påföljdsavgifterna inom tillämpningsområdet för den allmänna dataskyddsförordningen som regel ska gälla alla myndigheter. Det föreslås att domstolarna och de på grund av grundlagen nödvändiga myndigheterna samt underrättelsetillsynsombudsmannen för sitt laglighetsövervakningsuppdrag i sin helhet ska lämnas utanför påföljdsavgifterna. Inom tillämpningsområdet för dataskyddslagen för brottsbekämpning kommer för sin del endast de nationella säkerhetsmyndigheterna, vars behandling av personuppgifter i det uppdraget helt stannar utanför unionsrätten och därmed utanför sanktionsförpliktelserna enligt unionsrätten, inte att omfattas av påföljdsavgifterna.
Begränsning gällande artikel 86 i dataskyddsförordningen
I utlåtandena fick förslaget om den i 24 a § 6 mom. införda begränsningen, enligt vilken sådana situationer där det är fråga om överlåtelse av personuppgifter för sammanjämkning av skyddet av personuppgifter och handlingarnas offentlighet, ska lämnas utanför tillämpningsområdet för bestämmelserna om påföljdsavgifter, stort stöd. Detta förslag fick brett stöd också i de utlåtanden där man som regel förhöll sig negativt eller förbehållsamt till de administrativa påföljdsavgifterna. Momentet har dock preciserats för att beakta att det gäller alla privata som sköter offentliga förvaltningsuppgifter. Till följd av Helsingfors stads utlåtande har momentet därtill specificerats så att bestämmelsen täcker all sådan behandling av överlåtelse av personuppgifter som avses i momentet.
Privata som sköter offentliga förvaltningsuppgifter
I de utlåtanden som innehöll kommentarer om att de föreslagna påföljdsavgifter som föreslås påföras myndigheterna ska utsträckas att också gälla privata som sköter offentliga förvaltningsuppgifter fick förslaget huvudsakligen stöd. I utlåtandena ansågs det på det allmänna planet vara viktigt att begränsningen gällande artikel 86 i dataskyddsförordningen gäller privata som sköter offentliga förvaltningsuppgifter.
Utgående från Justitiekanslerns utlåtande och vissa andra utlåtanden har den föreslagna 24 a § 6 mom. dock justerats så att påföljdsavgift inte heller kan påföras i de situationer som styrs av artikel 86 i den allmänna dataskyddsförordningen på sådana samfund, stiftelser eller enskilda personer som utövar offentlig makt eller sköter offentliga förvaltningsuppgifter som med stöd av speciallagstiftning tillämpar offentlighetslagen. Det är möjligt att tillämpningen av offentlighetslagen i speciallagarna har utvidgats att gälla också andra än de offentliga utövare av makt som avses i 4 § 2 mom. i offentlighetslagen.
Förutsättningar för påförande av påföljdsavgifter
I en del utlåtanden ansågs de maximala beloppen för de föreslagna påföljdsavgifterna vara för höga (t.ex. Myndigheten för digitalisering och befolkningsdata, Helsingfors stad och Livsmedelsverket). I regeringens proposition har man stannat för att hålla sig borta från de maximala belopp som arbetsgruppen föreslagit för att trygga att bestämmelserna är tillräckligt förebyggande för att beakta de myndigheter som har den starkaste ekonomiska ställningen. De nedan nämnda preciseringarna på bestämmelsenivå tryggar dock verksamhetsförutsättningarna för de myndigheter som har den svagaste ekonomiska ställningen.
I Justitiekanslerns utlåtande fäste han uppmärksamhet vid behovet att försäkra sig om att lagstiftningen är detaljerad och noggrant avgränsad i enlighet med grundlagsutskottets utlåtandepraxis. Under den fortsatta beredningen har särskilt den föreslagna 24 a § i dataskyddslagen kompletterats för att framhäva de aspekter som framgår av grundlagsutskottets utlåtanden. För att betona kravet på proportionalitet samt förtydliga att den administrativa påföljdsavgiften som sanktion är avsedd att vara en sistahandsåtgärd har paragrafen kompletterats, trots att förutsättningarna för påförandet av en påföljdsavgift i enlighet med bestämmelserna i artikel 83 i den allmänna dataskyddsförordningen som sådana redan är detaljerade och de med undantag för den maximala storleken på påföljdsavgifterna tillämpas också på myndigheterna. I bestämmelsen betonas det också att ingen påföljdsavgift ska påföras om förutsättningarna för den saknas. Målet med preciseringarna är samtidigt att ta fasta på den oro för konsekvenserna av påföljdsavgiften som på bred front lyfts upp. Motsvarande preciseringar har gjorts i 58 b § i lagen om behandling av personuppgifter i brottmål.
I flera utlåtanden (bl.a. Kommunikationsministeriet, Tullen, utrikesministeriet, Energiverket, Helsingfors stad) ansåg respondenterna att förslaget bättre borde öppna upp hur myndighetens storlek och ekonomiska ställning beaktas när en påföljdsavgift övervägs eller påförs. Även finansministeriet ansåg i sitt utlåtande att noggrannare kriterier och metoder för bedömning av jämkningen av den påföljdsavgift som påförs i förhållande till myndighetens ekonomiska ställning och serviceuppdrag bör införas i propositionen. Dataombudsmannen ansåg att man inte ska göra en bedömning av detaljerna i budgeten vid fastställandet av myndighetens storlek. I utlåtandet ansåg dataombudsmannen att en allmän granskning av budgeten gällande den årliga budgeten och personalstyrkan är tillräcklig för att uppnå syftet med bestämmelsen. Dessa faktorer kan jämföras med övriga offentliga aktörer för att kunna identifiera exempelvis små aktörer. I dataombudsmannens utlåtande ansåg denna att det för bedömningen av den ekonomiska ställningen är ändamålsenligt att koncentrera sig på en allmänt hållen översikt och inte i detalj granska en enskild aktörs lagstadgade uppgifter eller skyldigheter.
Specialmotiveringarna har preciseras för beaktande av den nämnda responsen i utlåtandet. I förslaget är man inte helt av samma åsikt som dataombudsmannen. I princip räcker det inte med en allmän uppgift om storleken på budgeten och personalstyrkan för att göra en bedömning av myndighetens ekonomiska bärförmåga. Det förutsätts dock inte av dataombudsmannen att konsekvenserna av påföljdsavgiften på skötseln av enskilda lagstadgade uppgifter ska bedömas. Eftersom finansieringssättet för myndigheter och offentligrättsliga samfund kan variera betydligt har inga alltför entydiga tolkningsanvisningar för beaktande av den ekonomiska ställningen införts i förslaget. En entydig tolkningsanvisning kan dessutom försvåra dataombudsmannens avgörande om påföljder med beaktande av att också Europeiska dataombudsmannens anvisningar tillämpas på detta i den utsträckning som samma kriterier som inom den privata sektorn ska tillämpas på påföljdsavgifterna. En hänvisning till dessa anvisningar har lagts till i motiveringen.
I sitt utlåtande ansåg polisstyrelsen det vara viktigt att det vid fastställandet av påföljdsavgiften är möjligt att utöver myndighetens storlek och totala budget också beakta om det hör flera myndigheter som delvis fungerar som självständiga personuppgiftsansvariga till samma bokföringsenhet. I detta sammanhang bör man enligt utlåtandet också beakta att omkostnaderna för myndigheterna i bokföringsenheten huvudsakligen kan bestå av exempelvis personal- och inventariekostnader av fast natur. Enligt rättsregistercentralen bör man i propositionen därtill utreda hur exempelvis de maximala beloppen för påföljdsavgifterna avgörs i situationer där den personuppgiftsansvariga och personuppgiftsbiträdet utgående från ett avtal om behandling av personuppgifter är olika aktörer inom samma myndighet. Något av EU:s ämbetsverk (t.ex. eu-Lisa) kan också vara personuppgiftsbiträde. Dessa utgångspunkter hade redan beaktats i bedömningarna av konsekvenserna av påföljdsavgifterna i det utkast till regeringsproposition som var på remiss, men utgående från responsen i utlåtandena har de förtydligats.
Möjligheten att ställa konkretare kriterier för storleken på påföljdsavgiften utreddes redan under beredningen av förslaget till proposition. Det är dock inte möjligt att fastställa påföljdsavgiften exempelvis som en procentuell andel av budgeten eftersom myndigheternas finansieringsmodeller delvis avviker väldigt mycket från varandra. Eftersom en stor del av myndigheternas omkostnader är lagstadgade utgifter kan en modell som grundar sig på en procentuell andel av budgeten därtill äventyra myndigheternas skötsel av sina lagstadgade uppgifter. I lagförslaget har det förtydligats att de föreslagna maximala beloppen ytterst sällan blir aktuella. Det krav på proportionalitet som omnämnts ovan tryggar dessutom att en påföljdsavgift som eventuellt påförs en myndighet vars ekonomiska situation är svag inte blir oskälig och inte hindrar myndighetens skötsel av sina lagstadgade uppgifter. De begränsningar som ingår i regeringens proposition säkerställer bättre än en modell med procentuell beräkning av påföljdsavgiften att skillnaderna mellan myndigheterna beaktas.
Skatteförvaltningen ansåg det viktigt att en bedömning görs om det i lagstiftningen är möjligt att avgränsa den administrativa boten så att den endast påförs för uppsåtlig försummelse eller försummelse av oaktsamhet att iaktta de bestämmelser som finns i artikel 83.4-6 i den allmänna dataskyddsförordningen. Lantmäteriverket ansåg att det grundat på det som beskrivits ovan i vilket fall som helst är motiverat att införa ett nytt 6 mom. i den nya 24 a § med bestämmelser om att den administrativa påföljdsavgiften endast kan påföras myndigheter och offentliga organ i den utsträckning som de övriga påföljderna enligt dataskyddsförordningen och den nationella lagstiftningen till följd av brott mot dataskyddsförordningen inte är tillräckligt effektiva, proportionella och varnande i enlighet med artikel 83.1 i dataskyddsförordningen. Södra Österbottens välfärdsområde och Satakunta välfärdsområde lyfte för sin del fram att en påföljdsavgift bör kunna påföras först efter administrativ styrning. I regeringens proposition har man hållit sig till att de allmänna förutsättningarna för påförandet av en administrativ påföljdsavgift huvudsakligen ska överensstämma med den privata sektorn även med beaktande av tolkningspraxis i EU:s domstol. Syftet med detta är att trygga enhetlig och konsekvent praxis gällande påföljderna. Det har dock lagts till bestämmelser som framhäver att påföljdsavgiften ska vara proportionell och en sistahandsåtgärd i 24 a § i dataskyddslagen och 58 b § i dataskyddslagen avseende brottmål. Bedömningen är att dessa bestämmelser samtidigt delvis besvarar den ovan nämnda remissresponsen och även är möjliga inom ramen för det handlingsutrymme som gäller myndigheterna.
Övergångsbestämmelserna
I vissa utlåtanden (Aalto-universitetet, Helsingfors universitet, Institutet för hälsa och välfärd) ansågs det att övergångsbestämmelserna för lagförslaget bör justeras så att lagen endast tillämpas på sådana förseelser och försummelser som skett efter det att lagen trätt i kraft. Övergångsbestämmelserna har ändrats enligt förslaget. I avsnittet om ikraftträdandet av de föreslagna ändringarna i lagarna (avsnitt 9) har det preciserats vad som i bestämmelserna avses med tidpunkten för förseelsen eller försummelsen.
Konsekvensbedömning
Syftet med remissförfarandet var i synnerhet att utreda konsekvenserna av de föreslagna bestämmelserna. Den inhämtade responsen stöder huvudsakligen den konsekvensbedömning som ingick i det förslag till regeringsproposition som var på remiss. De uppskattningar som presenterats i utkastet till proposition upprepades i en stor del av utlåtandena, delvis kompletterat med myndighetsspecifika exempel. Den respons om konsekvenserna av den föreslagna lagstiftningen som inflöt i utlåtandena resulterade alltså inte i ett betydande behov av justeringar i de bedömningar som presenterades i utkastet till regeringsproposition.
I flera utlåtanden presenterades det till och med kraftiga bedömningar av i synnerhet konsekvenserna för informationssamhället. De bestämmelser som föreslagits i skenet av responsen i utlåtandena skulle orsaka mer omfattande försiktighet exempelvis i utvecklingen av informationssystem än vad som ursprungligen beräknats. Finansministeriet ansåg att de negativa konsekvenserna för utvecklingen av informationssamhället ytterligare bör preciseras under den fortsätta beredningen. Å andra sidan ifrågasattes konsekvenserna för informationssamhället i riksdagens justitieombudsmans utlåtande. I utlåtandet ansåg man det allmänt taget vara ytterst motiverat att myndigheterna noggrant överväger digitaliseringen och ibruktagandet av sådana innovativa servicelösningar som marknadsförs baserat på denna också avseende en korrekt behandling av personuppgifter. Omsorgsfulla överväganden kan inte anses vara överförsiktighet eller motstånd mot förändring.
Respondenternas åsikter om de förebyggande konsekvenserna av den föreslagna lagstiftningen var delade. De uppskattningar om att lagstiftningen orsakar försiktighet bland myndigheterna som lyftes fram i flera utlåtanden stöder den bedömning i utkastet till proposition att de administrativa påföljdsavgifterna också för myndigheternas del har en förebyggande effekt.
För att beakta responsen ovan har avsnittet om konsekvenserna för informationssamhället justerats. Samtidigt har det förtydligats att det finns osäkerhetsfaktorer förknippade också med de övriga konsekvensbedömningarna i utkastet till proposition. Eftersom det inte finns tillräckligt omfattande statistiska eller andra utredningar att tillgå som stöd för bedömningarna anses det fortfarande förekomma osäkerhet förknippad med hur omfattande konsekvenserna är för de flesta konsekvensslagen. Preciseringar har gjorts i avsnittet om konsekvenser för informationssamhället och lagstiftningens förebyggande effekter. I texten beaktas det att ju större försiktighet eller omsorgsfullhet hotet om påföljdsavgifter orsakar desto mer förebyggande är lagstiftningen. Därmed kan de föreslagna bestämmelsernas konsekvenser för informationssamhället inte enbart anses vara negativa utan det är också fråga om önskade konsekvenser.
I fråga om bedömningen av konsekvenserna riktade sig responsen i utlåtandena i hög grad mot konsekvenserna av en enskild administrativ påföljdsavgift och i en del utlåtanden ansågs konsekvenserna vara mer omfattande än uppskattat. Bedömningarna av konsekvenserna i propositionen har huvudsakligen lämnats oförändrade. Motiveringarna har dock i viss mån preciserats för att förtydliga vad bedömningarna grundar sig på. För att förtydliga att samtliga de som föreslås omfattas av tillämpningsområdet för påföljdsavgifter redan i nuläget hör till tillämpningsområdet för påföljdsavgifter i upphandlingslagen och att konsekvenserna av de enskilda påföljdsavgifterna i de föreslagna bestämmelserna är likartade som konsekvenserna av påföljdsavgifter enligt upphandlingslagen har det dessutom gjorts små preciseringar i bedömningen av konsekvenserna av en enskild administrativ påföljdsavgift. De bestämmelser som föreslås i propositionen kräver dock avvikande från upphandlingslagen att man uttryckligen försäkrar sig om att den påförda påföljdsavgiften är proportionell mot myndighetens eller det offentliga organets storlek och ekonomiska ställning. Motiveringarna har preciserats också för att beakta ett eventuellt ökat behov av rådgivning. Likaså har konsekvenserna för vissa myndigheter och offentliga organ kompletterats, inklusive den evangelisk lutherska kyrkan och den ortodoxa kyrkan med sina församlingar samt universiteten och yrkeshögskolorna.
Enligt Östra Finlands förvaltningsdomstol har propositionen eventuellt indirekta konsekvenser för domstolen eftersom en del av myndigheterna kan ha ansvar som personuppgiftsbiträde för andra myndigheters räkning (exempelvis Rättsregistercentralen, Valtori, Palkeet). Denna aspekt har lagts till i bedömningen av konsekvenserna för domstolarna.
I några utlåtanden önskade man sig ett förtydligande av hur påföljdsavgiften fastställs i situationer där det finns gemensamt personuppgiftsansvariga (t.ex. Riksdagens justitieombudsman, Rättsregistercentralen, undervisnings- och kulturministeriet, Livsmedelsverket och riksåklagarens byrå). Enligt Skatteförvaltningen bör man göra en bedömning av hur påföljden fördelas när förseelsen mot dataskyddslagstiftningen sker vid användning av myndigheternas gemensamma tjänster. Dessa aspekter hade redan beaktats som utmanande situationer i avsnittet om bedömning av konsekvenserna i det utkast till proposition som var på remiss, men motiveringarna har preciserats något för att förtydliga att påföljdsavgiften i princip fastställs enligt vilken personuppgiftsansvarige som ansvarar för den uppgift i samband med vilken förseelsen har skett. Trots detta faller exempelvis domstolarna utanför påföljdsavgifterna. Strävan har dock varit att i regeringens proposition undvika tolkningsanvisningar för exempelvis situationer med gemensamt personuppgiftsansvariga eftersom personuppgiftsansvaret kan fördela sig på flera olika sätt.
I sitt utlåtande fäste social- och hälsovårdsministeriet uppmärksamhet vid den punkt där konsekvenserna för de statliga myndigheterna och finansiering av verksamheten ur statsbudgeten behandlas och där det konstateras att det till exempel inte kan bli fråga om att täcka påföljdsavgifterna genom höjningar av klientavgifter. Social- och hälsovårdsministeriet ansåg att det i anknytning till detta är skäl att förtydliga att det inte heller inom välfärdsområdena är aktuellt med täckning av påföljdsavgifterna genom klientavgifter. I konsekvensbedömningen har denna aspekt beaktats på ett mer allmänt plan för samtliga myndigheter och ingen separat precisering har gjorts för välfärdsområdena.
I sitt utlåtande ansåg finansministeriet att det i den fortsatta beredningen bör säkerställas att en påföljdsavgift som till exempel beror på myndighetens eget slarv inte automatiskt leder till tilläggsfinansiering med vilken påföljdsavgiften täcks. Ett omnämnande om detta har lagts till i avsnittet om konsekvensbedömningen.
I sitt utlåtande ansåg social- och hälsovårdsministeriet att konsekvensbedömningen i propositionen gällande välfärdsområdenas skötsel av de lagstadgade uppgifterna och tillhandahållandet av tjänster var begränsad. Enligt utlåtandet blev det i den föreslagna lagstiftningen oklart hur välfärdsområdets lagstadgade uppgifter beaktas i påföljdsavgiftens belopp. Det finns liknande bedömningar också i ett flertal andra utlåtanden. Beaktas bör att man med begränsningarna i lagförslaget uttryckligen strävar efter att förhindra att det orsakar problem för skötseln av de lagstadgade uppgifterna, inkl. i synnerhet kravet på proportionalitet.
I sitt utlåtande ansåg social- och hälsovårdsministeriet också att förslaget mer heltäckande bör beakta de indirekta konsekvenserna av den föreslagna lagstiftningen. Enligt social- och hälsovårdsministeriet bör det i propositionen mer noggrant göras en bedömning av hur påföljdsavgiften kan påverkar skötseln av myndighetens lagstadgade uppgifter och att de grundläggande fri- och rättigheterna uppfylls. De aspekter som lyfts fram i utlåtandena har dock avsiktligt beaktats på ett allmänt plan i propositionen. I det enskilda fallet beror konsekvenserna på hur stor påföljdsavgiften är i förhållande till de för myndigheten tillgängliga medlen samt bland annat hur myndigheten i nuläget har skött sina förpliktelser. De flesta bedömningar av konsekvenser som presenterats i regeringens proposition är möjliga konsekvenser, inklusive övervägandena om konsekvenserna för de grundläggande fri- och rättigheterna, för vilka det inte finns tillräckligt med utredningar att tillgå om till exempel konsekvenserna av påföljdsavgifterna enligt upphandlingslagen. Det finns osäkerhetsfaktorer förknippade med de flesta konsekvensslagen. Därför har man hållit sig till det allmänna planet vid den fortsatta beredningen.
Andra aspekter
I en del utlåtanden kritiserades eller ansågs förhållandet mellan den föreslagna lagstiftningen och målen för digitaliseringen vara otydligt. Avsnittet om bakgrunden till propositionen har kompletterats baserat på responsen i utlåtandena för att förtydliga hur den föreslagna lagstiftningen är kopplad till digitaliseringen av den offentliga förvaltningen och målsättningarna för totalreformen av dataskyddslagstiftningen.
Justitiekanslerns utlåtande fäste uppmärksamhet vid att de praktiska erfarenheterna av tillämpningen av dataskyddslagstiftningen förtäljer om att dataombudsmannen i sin avgörandepraxis relativt ofta har varit tvungen att ge myndigheterna anmärkningar om tillämpningen av dataskyddslagstiftningen. Enligt utlåtandet var det nödvändigt att komplettera motiveringarna i utkastet till proposition med en beskrivning av nuvarande praxis för både det straffrättsliga påföljdssystemets del och för dataombudsmannens tillsynssystem. I utlåtandet ansågs det att dessa uppgifter kan bilda en väsentlig grund för ändring av den tolkningspraxis för det påföljdssystem som riktar sig mot myndigheterna och som hittills rått. I inrikesministeriets utlåtande ansågs det å sin sida att man av utkastet till proposition inte fick en särskilt klar bild av det verkliga behovet att utvidga påföljdsavgifterna till den offentliga sektorn.
Utkastet till proposition är nära förbundet med den bedömningspromemoria som utarbetades som förutredning och det är inte nödvändigt att i propositionen upprepa hela innehållet i promemorian, utan det är möjligt att hänvisa till den. Till följd av Justitiekanslerns och inrikesministeriets utlåtanden ansågs det dock under den fortsatta beredningen motiverat att i förslagets avsnitt med bedömning av nuläget lägga till ett stycke med bedömning av om de korrigerande befogenheter som dataombudsmannen har tillgång till är tillräckliga. Avsnittet med bakgrunden till propositionen har också kompletterats med en komprimerad text om de tillsynsåtgärder som dataombudsmannen vidtagit för myndigheterna. I propositionen fästs det dock för de övriga korrigerande befogenheterna än påförande av påföljdsavgifter uppmärksamhet vid att de inte jämställs med sanktioner, vilket dataskyddslagstiftningen kräver utöver de korrigerande befogenheterna. Bedömningen av de straffrättsliga påföljderna ingick redan i det utkast till proposition som var på remiss. Bedömningen av det straffrättsliga påföljdssystemet och aspekterna på val av påföljdsslag har endast i ringa grad preciserats.
I inrikesministeriets utlåtande ansågs det att utkastet till proposition inte särskilt tydligt beskrev hur dataskyddslagstiftningen även till övriga delar än enbart för påföljdsavgifternas del skiljer sig beroende på om aktören hör till den offentliga sektorn eller den privata sektorn. I utlåtandet fäste man uppmärksamhet vid att det gällande detta finns tämligen betydliga skillnader i principerna för behandling av personuppgifter. Enligt utlåtandet bör man dessutom beakta att det också för dataskyddets del är möjligt att anföra besvär vid en förvaltningsdomstol gällande beslut fattade av aktörer inom den offentliga sektorn. Ett omnämnande om den rättsliga grunden för behandlingen har lagts till i avsnittet om bakgrunden till propositionen. Det bör dock beaktas att den rättsliga grunden för behandlingen av personuppgifter inte påverkar sanktionsskyldigheten i enlighet med den allmänna dataskyddsförordningen och att samtliga rättsliga grunder för behandling i artikel 6.1 är möjliga inom den privata sektorn. EU:s domstol har också i sin rättspraxis preciserat grunderna för behandling av personuppgifter och detta har betydligt förändrat situationen för bland annat myndigheterna.
Enligt Justitiekanslern bör det i motiveringarna beaktas att myndigheterna har en svårare situation i tillämpningssituationer eftersom den nuvarande regleringsramen har blivit ytterst komplicerad och det är svårt för myndigheterna att få föregripande styrning och rådgivning om tolkningarna. I det praktiska myndighetsarbetet har det konstaterats vara särskilt svårt att sammanjämka exempelvis dataskyddet och offentligheten. Enligt utlåtandet från Justitiekanslern kan dessa omständigheter också få konsekvenser vid övervägandet om påföljdssystem. Ett omnämnande om detta har lagts till och myndigheternas behov av rådgivning har beaktats också i konsekvensbedömningarna för utkastet till proposition, inklusive eventuella konsekvenser för dataombudsmannen. I skenet av bedömningarna gällande den allmänna dataskyddsförordningen finns det dock likadana utmaningar inom den privata sektorn gällande sammanjämkningen av dataskyddet och den övriga regleringen inom den privata sektorn. Dataombudsmannens resurser har separat utökats i statsbudgeten.
I utlåtandet från riksdagens justitieombudsman ansågs det att utkastet till regeringsproposition bör preciseras gällande grunderna i läran om juridiska personer. Enligt utlåtandet är identifiering av grunderna för rättssubjektens rättskapacitet, rättsliga handlingsförmåga samt rättsliga ansvarsskyldighet en förutsättning för vilken som helst konsekvens av rättslig lagstiftning. Ansvaret för en personuppgiftsansvarig enligt den allmänna dataskyddförordningen och dataskyddsdirektivet för brottsbekämpning och mer begränsat ansvaret för personuppgiftsbiträdet grundar sig dock inte på samma utgångspunkter. För uppkomsten av ansvaret har den personuppgiftsansvariges juridiska form ingen betydelse, utan frågan om det är den instans som deltar i definitionen av syftet med behandlingen och metoderna. Båda författningarna hänvisar till juridisk person och fysisk person, men med en systematik som avviker från det finska rättssystemet. Även en myndighet bär i egenskap av personuppgiftsansvarig fullt ansvar, inklusive exempelvis skadeståndsansvar. Gällande de ekonomiska konsekvenserna har det i motiveringarna till regeringens proposition också beaktats att det i vissa, dock sällsynta, situationer kan bli nödvändigt att påföra påföljdsavgiften på en annan än den personuppgiftsansvariga. Av denna orsak har regeringens proposition inte kompletterats i enlighet med riksdagens justitieombudsmans utlåtande. I regeringens proposition har de meningar dock rättats där myndigheterna hade jämställts med juridiska personer.
Riksdagens justitieombudsmans utlåtande fäste också uppmärksamhet vid att det för aktörerna inom den offentliga förvaltningen än så länge inte är på långt när heltäckande att en personuppgiftsansvarig har utsetts. Enligt utlåtandet bör det vid den fortsatta beredningen av ärendet också utredas på vem inom åklagarväsendet påföljdsavgiften ska påföras. Regeringens proposition kompletterades inte gällande detta. Trots att den personuppgiftsansvarige för myndigheternas del inte heltäckande framgår av speciallagstiftningen är detta dock vanligare än fastställandet i lag av de personuppgiftsansvariga inom den privata sektorn. Detta har också beaktats i lagförslaget. Den personuppgiftsansvarige har definierats i både den allmänna dataskyddsförordningen och dataskyddsdirektivet för brottsbekämpning och EU:s domstol har i sin tolkningspraxis preciserat begreppet personuppgiftsansvarig. I propositionen har det införts hänvisningar till den aktuella tolkningspraxisen. I de situationer då den personuppgiftsansvarige inte uttryckligen framgår av lagen är det definitionen och rättspraxis gällande denna som styr tillämpningen av lagen. I samband med totalreformen av dataskyddslagstiftningen gjorde ministerierna en separat bedömning av behovet av ändring av sin speciallagstiftning i förhållande till dataskyddsförordningen. Vid behov ansvarar respektive ministerium för precisering av sin lagstiftning bland annat gällande personuppgiftsansvaren. Justitieministeriet har till exempel för tillfället ett pågående projekt (OM029:00/2022) i samband med vilket avsikten är att precisera personuppgiftsansvaren för Åklagarmyndigheten och de övriga myndigheterna inom justitieförvaltningen.
I jord- och skogsbruksministeriets utlåtande ansågs det att utkastet till RP noggrannare borde öppna upp lagstiftningens anknytning till statsbudgeten och föreskrifterna om utarbetande av budget. Det ansågs även att det är på sin plats att noggrannare beskriva bland annat på vilket sätt och i vilka situationer anslagen till följd av lagstiftningen i anknytning till budgeten eller föreskrifterna om utarbetande av budgeten som finns på omkostnadsmomentet får användas för betalning av en eventuell påföljdsavgift. Regeringens proposition kompletterades inte till dessa delar. Det föreslås inga sådana ändringar i lag i regeringens proposition som påverkar hur lagstiftningen om budgeten tillämpas. Propositionen innehåller inte heller sådana ändringar i lag som exempelvis påverkar grunderna för kommunernas eller välfärdsområdenas finansiering, vilket inrikesministeriets utlåtande hänvisar till. Påföljdsavgifterna hänför sig till de statliga myndigheter som är personuppgiftsansvariga på motsvarande sätt som påföljdsavgifterna i upphandlingslagen på de myndigheter som är sådana upphandlingsenheter som avses i den lagen. I konsekvensbedömningarna för de individuella påföljdsavgifterna har även de situationer beaktats där det inte är möjligt att använda anslag enligt omkostnadsmomentet för betalning av påföljdsavgiften.
Tammerfors universitet föreslog att den föreskrivna preskriptionstiden blir högst fem år från händelsetidpunkten eller om brottet fortsätter från den tidpunkt då det upphör. Flera motiveringar presenterades för förslaget. Preskriptionstiden för påförandet av administrativa påföljder är tio år och den grundar sig på den gällande dataskyddslagen och av konsekvensorsaker föreslås det att en lika lång preskriptionstid för påföljdsavgiften införs i lagen om behandling av personuppgifter i brottmål. För de fortgående förseelserna och försummelserna har dock preskriptionstiden i vartdera lagförslaget förkortats till fem år. Till följd av kravet på proportionalitet anses denna ändring vara motiverad. I avsnittet om verkställande och uppföljning har dessutom ett omnämnande lagts till att det kan vara skäl att ompröva preskriptionstiden vid uppföljningen och utvärderingen av bestämmelserna.
Polisstyrelsen föreslog som separat fråga att det borde övervägas om sökandet av ändring i påföljder som påförts med stöd av dataskyddslagstiftningen borde koncentreras till specifika, en eller flera förvaltningsdomstolar. Redan i nuläget fördelar sig sökandet av ändring i dataombudsmannens avgöranden på samtliga förvaltningsdomstolar, inklusive sökandet av ändring i de påföljdsavgifter som påförs inom den privata sektorn. Koncentration av sökandet av ändring avviker från nuläget och de allmänna målen med regionala förvaltningsdomstolar och det finns inga vägande skäl för koncentrationen.
I en del utlåtanden lyftes behovet av föregripande rådgivning eller styrning fram. Enligt dessa respondenter bör man i första hand satsa på detta i stället för att ett lagstadgat förfarande med påföljdsavgifter föreskrivs för myndigheterna. I den föreslagna lagstiftningen har det dock beaktats att samtliga uppgifter i artikel 57 i den allmänna dataskyddsförordningen hör till dataombudsmannens uppgifter, inte enbart tillsyn över att förordningen iakttas. Dessa uppgifter, inklusive föregripande rådgivning, är inte alternativa till användning av befogenheter. Tillsyn i efterhand är inte heller enbart överväganden om påföljder. De påföljder av sanktionsnatur som krävs enligt dataskyddslagstiftningen är en genomförandeförpliktelse som ålagts medlemsstaterna och riktar sig mot alla personuppgiftsansvariga och personuppgiftsbiträden. Tryggandet av förutsättningarna för dataombudsmannens verksamhet har separat ombesörjts genom att i budgeten anvisa en permanent ökning av resurserna från och med början av 2026.
7
Specialmotivering
7.1
Dataskyddslagen
24 §.Administrativ påföljdsavgift. Enligt gällande 24 § 4 mom. får administrativ påföljdsavgift inte påföras statliga myndigheter, statliga affärsverk, kommunala myndigheter, självständiga offentligrättsliga institutioner, riksdagens ämbetsverk, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland, ortodoxa kyrkan i Finland eller de två sistnämndas församlingar, kyrkliga samfälligheter och övriga organ. Enligt motiveringen till det momentet anses begreppet självständiga offentligrättsliga inrättningar även omfatta universitetsväsendet. Statens affärsverk har lämnats utanför bestämmelserna om påföljdsavgifter eftersom de inte längre är verksamma på en konkurrensutsatt marknad utan producerar tjänster inom statsförvaltningen. Enligt motiveringen till det gällande 4 mom. ska begränsningen inte gälla de privata aktörer som sköter sådana offentliga förvaltningsuppgifter som avses i 124 § i grundlagen (RP 9/2018 rd, s. 57–58). Sådana aktörer är till exempel privata aktörer som tillhandahåller offentliga hälso- och sjukvårdstjänster och yrkesskolor samt högskolor i stiftelseform.
Det föreslås att 4 mom. ändras så att de administrativa påföljdsavgifterna i regel också ska tillämpas på ovannämnda myndigheter och offentliga organ. Enligt momentet ska domstolar och riksdagens ämbetsverk inte kunna påföras påföljdsavgift. Påföljdsavgift ska inte heller få påföras underrättelsetillsynsombudsmannen för sådan behandling av personuppgifter som hänför sig till övervakning enligt lagen om övervakning av underrättelseverksamheten (121/2019). I och med ändringen utvidgas tillämpningsområdet för bestämmelserna om påföljdsavgifter till att i regel gälla myndigheter och andra sammanslutningar som omfattas av förvaltningslagens tillämpningsområde. Förvaltningslagens organisatoriska tillämpningsområde har definierats som omfattande i dess 2 § 2 och 3 mom. Lagen tillämpas både i myndigheternas verksamhet och vid skötseln av offentliga förvaltningsuppgifter. Enligt 2 mom. i den paragrafen är myndigheter statliga myndigheter, välfärdsområdenas och välfärdssammanslutningarnas myndigheter, kommunala myndigheter och självständiga offentligrättsliga inrättningar samt riksdagens ämbetsverk och republikens presidents kansli. Enligt 3 mom. tillämpas lagen också vid statens affärsverk, offentligrättsliga föreningar samt på enskilda då de sköter offentliga förvaltningsuppgifter.
Eftersom dataskyddslagen inte alls tillämpas på behandling av personuppgifter i samband med riksdagsverksamhet, och dataombudsmannen inte heller är behörig att övervaka behandlingen av personuppgifter hos riksdagens justitieombudsman och justitiekanslern i statsrådet, är det inte heller möjligt att tillämpa bestämmelserna om administrativ påföljdsavgift på dem. Dataombudsmannens tillsynsbehörighet omfattar inte heller riksdagens justitieombudsmans kansli och justitiekanslersämbetet, med beaktande av de inte kan skiljas åt i fråga om behandlingen av personuppgifter i samband med laglighetskontrollen. Dataskyddslagens 14 § 2 mom., enligt vilket dataombudsmannen inte övervakar statsrådets justitiekanslers eller riksdagens justitieombudsmans verksamhet, fogades till lagförslaget i enlighet med förvaltningsutskottets betänkande (FvUB 13/2018 rd). Syftet med bestämmelsen är att tillsynsmyndigheten inte till någon del ska övervaka de högsta laglighetsövervakarna. Utöver laglighetsövervakningen lämnas också till exempel behandlingen av personuppgifter som hänför sig till personaladministration utanför tillsynsmyndighetens tillsyn. I betänkandet betonas att dataskyddsförordningen ändå ska tillämpas också på den behandling av personuppgifter som utförs av de högsta laglighetsövervakarna.
Det föreslås att domstolarnas behandling av personuppgifter ska till alla delar lämnas utanför tillämpningsområdet för bestämmelserna om påföljdsavgift. Enligt artikel 55.3 i dataskyddsförordningen ska tillsynsmyndigheterna inte vara behöriga att utöva tillsyn över domstolar som behandlar personuppgifter i sin dömande verksamhet. I praktiken kan det dock vara svårt att bedöma när det är fråga om en rättskipningsuppgift eller någon annan domstolsuppgift, och detta kan på grund av domstolens oavhängighet i sista hand avgöras av domstolen själv. Med tanke på påförandet av påföljdsavgift är det däremot för det första viktigt att de uppgifter för vilka påföljdsavgift kan påföras har definierats exakt och noggrant avgränsat. För det andra är det med tanke på domstolarnas konstitutionella ställning och rättssystemets systematik inte ändamålsenligt att administrativa påföljdsavgifter påförs domstolarna. En del av domstolarna är behöriga att behandla ärenden som gäller ändringssökande som gäller påföljdsavgifter.
Det föreslås att också riksdagens ämbetsverk, till vilka dataombudsmannens tillsynsbehörighet sträcker sig enligt den gällande dataskyddslagen, ska lämnas utanför tillämpningsområdet för administrativa påföljdsavgifter. Också i fråga om dem har dataombudsmannen, med undantag för påförande av administrativa påföljdsavgifter, tillgång till alla andra korrigerande befogenheter enligt den allmänna dataskyddsförordningen där bestämmelserna inte ger nationellt handlingsutrymme. För att beakta riksdagens konstitutionella ställning föreslås det dock inte att bestämmelserna om påföljdsavgift skulle utvidgas till att gälla riksdagens ämbetsverk. Riksdagens ämbetsverk avviker från varandra till sin konstitutionella ställning och i fråga om hur det föreskrivs om deras uppgifter. Till den del det dock finns tjänsteinnehavare vid riksdagens ämbetsverk jämställs dessa med riksdagens tjänstemän.
Grundlagsutskottet har i samband med behandlingen av regeringens proposition med förslag till lagstiftning om genomförande av cybersäkerhetsdirektivet tagit ställning till tillämpningen av direktivets bestämmelser på riksdagens ämbetsverk (GrUU 62/2024 rd, punkterna 23 och 26). Enligt grundlagsutskottets uppfattning förutsatte direktivet inte ett sådant tillämpningsområde som det föreslagna, som skulle omfatta riksdagens ämbetsverk. Utskottet ansåg att propositionens snäva tolkning av direktivets begrepp parlament inte är förenlig med de aspekter som hänför sig till riksdagens konstitutionella ställning. Lagförslag 2 i propositionen måste ändras så att 4 a kap. i informationshanteringslagen inte tillämpas på riksdagens ämbetsverk. Det var ett villkor för att lagförslag 2 skulle kunna behandlas i vanlig lagstiftningsordning. Tillämpningsområdet för den allmänna dataskyddsförordningen är dock mer omfattande än tillämpningsområdet för cybersäkerhetsdirektivet. Av EU-domstolens rättspraxis framgår att undantagen från dataskyddsförordningens tillämpningsområde ska tolkas restriktivt, och domstolen har inte gjort undantag i fråga om behandlingen av personuppgifter vid parlamentets organ, utan de anses vara personuppgiftsansvariga enligt dataskyddsförordningen (C-33/22 (Österreichische Datenschutzbehörde), dom av den 16 januari 2024 (stora avdelningen), 40–42 och 50–51 punkten; C-272/19, Land Hessen, dom av den 9 juli 2020, 74 punkten).
Mot bakgrund av EU-domstolens ovannämnda rättspraxis skulle det inte vara möjligt att helt och hållet utesluta riksdagens ämbetsverk från dataombudsmannens tillsyn enligt dataskyddslagen. De omfattas också redan av tillsynen. Enligt grundlagsutskottets riktlinjer (GrUU 14/2018 rd) har däremot riksdagsarbetet uteslutits från dataskyddslagens tillämpningsområde. Mot bakgrund av grundlagsutskottets färska utlåtande vore det dock problematiskt om riksdagens ämbetsverk kunde påföras påföljdsavgift för brott mot dataskyddslagstiftningen. Därför föreslås det att det i fråga om dem fortfarande ska utnyttjas det handlingsutrymme som avses i artikel 83.7 i den allmänna dataskyddsförordningen. Eftersom grundlagsutskottet i fråga om cybersäkerhetsdirektivet har ansett att tillsynen över riksdagens ämbetsverk är en förutsättning för vanlig lagstiftningsordning, föreslås det att riksdagens och dess ämbetsverks verksamhet lämnas utanför tillämpningsområdet för bestämmelserna om påföljdsavgifter.
Det föreslås dessutom att underrättelsetillsynsombudsmannen lämnas utanför de administrativa påföljdsavgifterna i fråga om de behandlingsåtgärder som hänför sig till uppgiften att övervaka underrättelseverksamheten. Med övervakning av underrättelseverksamheten avses parlamentarisk kontroll och laglighetskontroll av både civil och militär underrättelseinhämtning. Parlamentarisk kontroll av underrättelseverksamheten och skyddspolisens övriga verksamhet utövas av riksdagens underrättelsetillsynsutskott, om vars uppgifter det föreskrivs i riksdagens arbetsordning (40/2000). Laglighetskontrollen av underrättelseverksamheten utövas av underrättelsetillsynsombudsmannen. Ombudsmannen övervakar även skyddspolisens övriga verksamhet. Underrättelsetillsynsutskottet omfattas inte av dataskyddslagens tillämpningsområde, medan den allmänna dataskyddsförordningen och dataskyddslagen tillämpas på underrättelsetillsynsombudsmannens behandling av personuppgifter.
Underrättelsetillsynsombudsmannen har omfattande rättigheter att få information och rätt till insyn som gäller underrättelseverksamhet som helt och hållet står utanför unionsrätten. Övervakningen av underrättelseverksamheten omfattar användning av metoder för underrättelseinhämtning och underrättelseinformation samt annan övervakning av underrättelseverksamhetens lagenlighet, övervakning av tillgodoseendet av de grundläggande fri- och rättigheterna och de mänskliga rättigheterna samt tillgodoseende av rättsskyddet och främjande av god praxis i anslutning till det. Underrättelsetillsynsombudsmannens tillsyn är till sin natur laglighetsövervakning, som avviker från de övriga tillsynsmyndigheternas uppgifter och befogenheter, även om uppgiften till skillnad från de högsta laglighetsövervakarnas uppgifter inte grundar sig på grundlagen. Underrättelsetillsynsombudsmannen är också behörig att övervaka att de tillstånd för underrättelseinhämtning som domstolen beviljar iakttas. (se även GrUB 9/2018 rd).
Med beaktande av att underrättelsetillsynsombudsmannens och dataombudsmannens befogenheter delvis överlappar varandra och att tillsynen helt och hållet gäller verksamhet som inte omfattas av unionsrätten, är det inte ändamålsenligt att det i samband med detta tillsynsuppdrag skulle vara möjligt att påföra underrättelsetillsynsombudsmannen administrativa påföljdsavgifter. I regel är dataombudsmannen redan nu behörig att övervaka underrättelsetillsynsombudsmannens behandling av personuppgifter. Påföljdsavgift ska dock inte vara utesluten i fråga om annan behandling av personuppgifter av underrättelsetillsynsombudsmannen än sådan behandling som hänför sig till övervakningen av underrättelseverksamheten. I praktiken vore det fråga om behandling av personuppgifter som hänför sig till t.ex. personaladministration eller annan administrativ behandling.
Paragrafens 5 mom. innehåller bestämmelser om preskriptionstid i fråga om påförande av påföljdsavgift. I momentet har utnyttjats det handlingsutrymme som anges i artikel 83.8 i den allmänna dataskyddsförordningen och det har motiverats med kravet på att påföljderna ska vara proportionerliga. I avsaknad av särskilda förfaranderegler i den allmänna dataskyddsförordningen ankommer det på varje medlemsstat att i sin rättsordning fastställa detaljerade bestämmelser om rättsmedel som syftar till att säkerställa enskildas rättigheter enligt bestämmelserna i förordningen, under förutsättning att effektivitets- och likvärdighetsprinciperna iakttas (C-683/21, Nacionalinis visuomenės sveikatos centras, dom av den 5 december 2023, 66 punkten). EU-domstolen har också ansett att medlemsstaterna i avsaknad av unionsbestämmelser har rätt att tillämpa bland annat preklusionsfrister (C-291/24, Steiermärkische Bank und Sparkassen AG, dom av den 29 januari 2026, 39 punkten; C-500/16, Caterpillar Financial Services, dom av den 20 december 2017, 37 punkten och där angiven rättspraxis). Enligt momentets första mening får påföljdsavgift inte påföras, om det har förflutit mer än tio år från det att överträdelsen eller försummelsen har skett. I momentets andra mening föreskrivs det att om överträdelsen eller försummelsen har varit fortlöpande räknas den tioåriga tidsfristen från det att överträdelsen eller försummelsen har upphört.
Det föreslås att den andra meningen ändras så att i fråga om fortlöpande överträdelse eller försummelse får påföljdsavgift inte påföras, om det har förflutit mer än fem år sedan överträdelsen eller försummelsen har upphört. Den nuvarande preskriptionstiden på tio år är lång jämfört med den femåriga preskriptionstid som föreskrivs i de nyare lagarna om genomförande av EU-rätten, och den är förknippad frågan om preskriptionstidens proportionalitet. Trots att en preskriptionstid på tio år kan vara motiverad i exceptionellt svåra och gränsöverskridande ärenden som det kan ta tid att reda ut, kan preskriptionstiden bli oskälig särskilt i fråga om fortlöpande överträdelser och försummelser. Ändringen är motiverad av proportionalitets- och rättssäkerhetsskäl. Den föreslagna lagändringen gäller påföljdsavgifter som påförs personuppgiftsansvariga och personuppgiftsbiträden inom både den offentliga och den privata sektorn.
24 a §.Påförande av påföljdsavgift för myndigheter och organ inom den offentliga förvaltningen. Det föreslås att till lagen fogas en ny 24 a § i vilken det föreskrivs om detaljer som gäller påförande av påföljdsavgift och som gäller myndigheter och organ inom den offentliga förvaltningen. Paragrafen ska gälla alla myndigheter och andra aktörer som representerar den offentliga förvaltningen, med undantag för domstolar, riksdagens ämbetsverk och underrättelseombudsmannen som nämns i 24 § 4 mom., samt de högsta laglighetsövervakarna och riksdagsarbetet. Enligt 1 mom. får administrativ påföljdsavgift påföras statliga myndigheter och affärsverk, kommunala myndigheter och samkommuners myndigheter, välfärdsområdens och välfärdssammanslutningars myndigheter, självständiga offentligrättsliga inrättningar, sammanslutningar, stiftelser och andra självständiga offentligrättsliga samfund, republikens presidents kansli, evangelisk-lutherska kyrkan i Finland och ortodoxa kyrkan i Finland samt deras församlingar, kyrkliga samfälligheter och andra organ samt sammanslutningar, stiftelser och enskilda personer som sköter en offentlig förvaltningsuppgift (myndigheter och offentliga organ) med iakttagande av vad som föreskrivs i artikel 83.1–3 i dataskyddsförordningen och i denna paragraf, om de andra åtgärder som anges i artikel 58.2 i dataskyddsförordningen inte är tillräckliga. Påföljdsavgift ska inte få påföras, om förutsättningarna för påförande av avgiften inte uppfylls. Påföljdsavgift ska vara möjlig att påföra alla sådana personuppgiftsansvariga och personuppgiftsbiträden inom den offentliga förvaltningen som inte uttryckligen har uteslutits från tillämpningsområdet i 24 § 4 mom.
Vad som avses med myndigheter och organ inom den offentliga förvaltningen i artikel 83.7 i den allmänna dataskyddsförordningen bestäms närmare i enlighet med det nationella rättssystemet. I skäl 150 i förordningen, som hänför sig till denna punkt, motiveras inte närmare vad som avses med offentliga organ. En vid tolkning av begreppet stöds dock av skäl 154 i ingressen som gäller artikel 86 i förordningen, enligt vilken hänvisningen till offentliga myndigheter och organ bör i detta sammanhang omfatta samtliga myndigheter eller andra organ som omfattas av medlemsstaternas nationella rätt om allmänhetens tillgång till handlingar. Även i EU-domstolens tolkningspraxis har den offentliga förvaltningen getts stor betydelse (t.ex. mål C-413/15, dom (stora avdelningen) av den 10 oktober 2017, punkterna 33–35). Eftersom den föreslagna bestämmelsen om tillämpningsområdet för administrativa påföljdsavgifter har ett nära samband med användningen av det nationella handlingsutrymmet, som uttryckligen gäller myndigheter och offentliga organ, föreslås det att dessa begrepp ska användas också i dataskyddslagen. I momentet föreslås dock en intern definition för att förtydliga vad som avses med myndigheter och offentliga organ. Privata aktörer som sköter offentliga förvaltningsuppgifter ska jämställas med personuppgiftsansvariga och personuppgiftsbiträden inom den offentliga förvaltningen, även om de representerar indirekt offentlig förvaltning. Bestämmelsen omfattar alla privata aktörer som sköter offentliga förvaltningsuppgifter och begränsar sig inte till utövning av offentlig makt. Bestämmelsen omfattar däremot inte sådan behandling av personuppgifter som utförs av en enskild, såsom ett aktiebolag, och som inte hänför sig till skötseln av en offentlig förvaltningsuppgift.
Utöver att paragrafen föreslås innehålla särskilda bestämmelser om påföljdsavgifter som påförs myndigheter i förhållande till artikel 83 i den allmänna dataskyddsförordningen, ska bestämmelserna i punkterna 1–3 i den artikeln om förutsättningarna för påförande av administrativa påföljdsavgifter också gälla myndigheter. Genom hänvisningen till artikel 83.1–3 beaktas EU-domstolens tolkningspraxis, enligt vilken de materiella förutsättningarna för påförande av påföljdsavgift inte omfattar nationellt handlingsutrymme. Samtidigt säkerställs det att bestämmelserna om påföljdsavgifter är detaljerade och noggrant avgränsade på det sätt som grundlagstolkningspraxis förutsätter. Särskilt av den normuppsättning som dessa punkter och den föreslagna paragrafen bildar, framgår det som helhet för vilka överträdelser av bestämmelser i dataskyddsförordningen påföljdsavgift kan påföras, och de innehåller en tillräckligt detaljerad beskrivning av de överträdelser och försummelser som ska sanktioneras. För att beakta grundlagstolkningspraxis betonas i det föreslagna 1 mom. dessutom att påföljdsavgiften ska vara en sanktion i sista hand och att påföljdsprövningen är bunden till att påföljdsavgift inte ska påföras, om förutsättningarna för påförande av påföljdsavgift inte uppfylls. (se närmare avsnitt 10).
Syftet med det föreslagna kravet på att administrativa påföljdsavgifter ska vara sistahandsåtgärder är dock inte att avvika från de förutsättningar för påförande av påföljdsavgift som anges i artikel 83.1–3 i den allmänna dataskyddsförordningen, utan påföljdsprövningen ska på motsvarande sätt som i ärenden som gäller den privata sektorn basera sig på samma aspekter. Med sistahandsåtgärd avses att andra tillgängliga åtgärder är i det enskilda fallet inte tillräckliga i förhållande till överträdelsens eller försummelsens allvarlighetsgrad och andra relevanta aspekter, varvid förutsättningarna för påförande av påföljdsavgift skulle uppfyllas. Påförande av påföljdsavgift förutsätter dock inte att dataombudsmannen först vidtar andra åtgärder, utan ombudsmannen kan enligt sin prövning påföra påföljdsavgift tillsammans med eller i stället för andra åtgärder. Högsta förvaltningsdomstolen har också ansett att vid bedömningen av om påförandet av påföljdsavgift är proportionerligt saknar det betydelse att tillsynsmyndigheten inte före påförandet av avgiften hade utövat andra korrigerande befogenheter, såsom att meddela varning, anmärkning eller föreläggande (HO:2023:81, punkt 50). I regel följer kraven på proportionalitet och att påföljdsavgiften ska vara en sistahandsåtgärd redan av direkt tillämpning av artikel 83 i den allmänna dataskyddsförordningen, som enligt EU-domstolens rättspraxis förutsätter att särskilt den personuppgiftsansvariges uppsåt eller oaktsamhet påvisas. För att beakta de aspekter som hänför sig till grundlagen ska dock kraven på proportionalitet och sistahandsåtgärd betonas inom ramen för det handlingsutrymme enligt artikel 83.7 som gäller myndigheter.
I 2 och 3 mom. anpassas artikel 83.4–83.6 i den allmänna dataskyddsförordningen enligt förslaget så, att de maximala påföljdsavgifter som påförs myndigheter eller organ inom den offentliga förvaltningen föreslås vara betydligt lägre än de maximibelopp som anges i de punkterna i dataskyddsförordningen. Vilket maximibelopp som kommer i fråga påverkas dock på motsvarande sätt som inom den privata sektorn av vilka bestämmelser överträdelsen gäller. Påföljdsavgifter som omfattas av tillämpningsområdet för 3 mom. ska påföras för överträdelser eller försummelser som är allvarligare än de överträdelser som omfattas av tillämpningsområdet för 2 mom. En mer detaljerad gradering av påföljdsavgifterna behövs inte, med beaktande av att flera av de aspekter som nämns i artikel 83 i den allmänna dataskyddsförordningen inverkar på fastställandet av påföljdsavgiften och dess storlek. Påföljdsavgiften ska alltid grunda sig på prövning i varje enskilt fall. På grund av budgetbundenheten i myndigheternas verksamhet och orsaker som hänför sig till konsekvens i påföljdssystemet föreslås det inga minimibelopp för påföljdsavgiften för myndigheter och organ inom den offentliga förvaltningen. Också i den allmänna dataskyddsförordningens bestämmelser föreskrivs det endast om påföljdsavgiftens maximibelopp.
Europeiska dataskyddsstyrelsen har utarbetat anvisningar om beräkning av administrativa sanktionsavgifter enligt den allmänna dataskyddsförordningen (Riktlinjer 4/2022, version 2.1, antagna den 24 maj 2023). Till den del myndigheterna omfattas av samma bestämmelser som personuppgiftsansvariga och personuppgiftsbiträden inom den privata sektorn, är anvisningarna tillämpliga till stöd för tillämpningen av de bestämmelser som föreslås i denna proposition. Detta gäller särskilt de omständigheter enligt artikel 83.2 i den allmänna dataskyddsförordningen som ska beaktas i påföljdsavgiftens belopp.
Maximibeloppet för en påföljdsavgift enligt 2 mom. föreslås vara 500 000 euro. I momentet hänvisas det till artikel 83.4 i den allmänna dataskyddsförordningen, enligt vilken påföljdsavgift kan påföras för brott mot personuppgiftsansvarigas och personuppgiftsbiträdens skyldigheter enligt artiklarna 8, 11, 25–39, 42 och 43. Av dessa är dock artiklarna 8, 27, 42 och 43 i regel inte tillämpliga inom den offentliga sektorn. En påföljdsavgift som påförs en myndighet eller ett offentligt organ kan således hänföra sig till skyldigheter som gäller inbyggt dataskydd och dataskydd som standard, gemensamt personuppgiftsansvariga och personuppgiftsbiträden, behandling under den personuppgiftsansvariges överinseende, register över behandling, samarbete med tillsynsmyndigheten, säkerhet i samband med behandlingen och information om personuppgiftsincidenter, konsekvensbedömning avseende dataskydd, förhandssamråd samt utnämning av dataskyddsombudet och dataskyddsombudets ställning och uppgifter.
Maximibeloppet för en påföljdsavgift enligt 3 mom. föreslås vara 1 000 000 euro. I momentet hänvisas det till artikel 83.5 och 83.6 i den allmänna dataskyddsförordningen. Enligt punkt 5 kan en högre påföljdsavgift för det första påföras för överträdelser av de grundläggande principerna för behandling enligt artiklarna 5, 6, 7 och 9 i förordningen. Dessa är de allmänna principerna för behandling av personuppgifter, såsom kravet på ändamålsbegränsning och principen om uppgiftsminimering, kraven på de rättsliga grunderna för behandlingen, villkoren för samtycke och förutsättningarna för behandling av särskilda kategorier av personuppgifter.
För det andra kan en högre påföljdsavgift enligt artikel 83.5 i dataskyddsförordningen påföras för överträdelser av de registrerades rättigheter enligt artiklarna 12–22. Av dessa gäller dock artikel 20 i regel inte myndigheter, och en del andra rättigheter kan enligt de bestämmelser om inskränkningar som tagits in i speciallagstiftningen tillämpas endast delvis. De rättigheter som föreskrivs i de nämnda artiklarna och som också gäller myndigheternas behandling av personuppgifter, är skyldigheten att informera den registrerade, den registrerades rätt till tillgång, rätt till rättelse, rätt till radering, rätt till begränsning av behandling, anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling, den registrerades rätt att göra invändningar mot behandlingen av personuppgifter samt rättigheter och skyddsåtgärder som gäller automatiserat individuellt beslutsfattande, inbegripet profilering. Påföljdsavgift kommer t.ex. inte i fråga för begränsning av den registrerades rätt, om myndigheten har en lagstadgad rätt att begränsa den registrerades rätt och bestämmelserna i lag har iakttagits.
För det tredje kan en högre påföljdsavgift påföras för överträdelser av bestämmelser om överföring av personuppgifter till en mottagare i ett tredjeland eller en internationell organisation. Bestämmelser om detta finns i artiklarna 44–49 i den allmänna dataskyddsförordningen, som innehåller bestämmelser om tillämpning av beslut om adekvat skyddsnivå, tillåtande av överföringar med stöd av avtal, undantag från bestämmelserna om adekvat skyddsnivå samt om överföringar som inte är tillåtna enligt unionsrätten. Av dem gäller artikel 47 dock inte myndigheter.
För det fjärde ska den högre påföljdsavgiften i regel gälla alla sådana särskilda behandlingssituationer gällande personuppgifter som avses i IX kap. i den allmänna dataskyddsförordningen. Dessa är yttrandefrihet och informationsfrihet, handlingars offentlighet, behandling av personbeteckningar, behandling i anställningsförhållanden samt arkiverings-, forsknings- och statistikföringsändamål.
Enligt artikel 83.6 i förordningen kan en högre påföljdsavgift påföras för underlåtenhet att iaktta en tillsynsmyndighets föreläggande i enlighet med artikel 58.2. Också i detta fall är det motiverat att i fråga om myndigheterna ha en motsvarande lösning.
Utöver de situationer som nämns ovan är en högre påföljdsavgift möjlig för brott mot kraven i artikel 10 i den allmänna dataskyddsförordningen. Detta baserar sig på det nationella handlingsutrymme som används i dataskyddslagen. Artikeln gäller behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott. Personuppgifter som rör fällande domar i brottmål och brott är känsliga i konstitutionellt hänseende. I Europarådets ändrade konvention 108 jämställs de med särskilda kategorier av personuppgifter. Också i fråga om myndigheter är behandlingen av dessa uppgifter exceptionell och begränsad när det inte är fråga om förande av straffregister eller behandling som utförs av behöriga myndigheter i brottmål. När en myndighet har ett motiverat behov av att behandla uppgifter som hänför sig till domar i brottmål och brott, finns det uttryckliga bestämmelser om detta i lag. Ett högre maximibelopp för påföljdsavgiften är motiverat också för myndigheter för överträdelser av de krav som gäller behandling av dessa uppgifter.
När det gäller påföljdsavgiftens maximibelopp har det beaktats att den administrativa påföljdsavgiften bör vara betydligt mer kännbar än den genomsnittliga nivån på lagstadgade försummelseavgifter för att den ska vara tillräckligt effektiv. Å andra sidan har man i de föreslagna maximibeloppen beaktat budgetbundenheten i myndigheternas verksamhet och behovet av att försäkra sig om att påföljdsavgifterna inte får bli så höga att de försvårar skötseln av myndighetens lagstadgade uppgifter. Eftersom myndigheterna inte agerar på företagsekonomiska grunder, utan med anslag som anvisats i statsbudgeten, och myndigheten inte heller kan förväntas få betydande ekonomisk nytta av överträdelser av bestämmelserna, är betydligt lägre fasta maximibelopp jämfört med den privata sektorn tillräckliga för att förebygga överträdelser. Med beaktande av att ekonomiska incitament dock inte helt kan uteslutas bör påföljdsavgiftens maximibelopp vara tillräckligt högt för att säkerställa att påföljden har en avskräckande effekt, dvs. att den är effektiv, förebyggande och avskräckande. På detta sätt beaktas särskilt sådana myndigheter som har en klart bättre ekonomisk ställning än andra och som har spelrum i budgeten. Med bakgrund mot de påföljder som påförts den privata sektorn torde det dock kunna bedömas att en påföljdsavgift som ligger nära maximibeloppet kan förväntas mycket sällan. Skötseln av myndigheternas uppgifter kan också orsakas olägenhet av att påföljdsavgiften i regel betalas av samma medel som har budgeterats för skötseln av myndighetens lagstadgade uppgifter och skyldigheter (se avsnittet om bedömning av påföljdsavgiftens konsekvenser ovan).
Utgångspunkten är att påföljdsavgift ska kunna påföras för överträdelser av samma bestämmelser som för personuppgiftsansvariga och personuppgiftsbiträden inom den privata sektorn. En del av de artiklar som nämns i artikel 83.4 och 83.5 i den allmänna dataskyddsförordningen gäller dock endast den privata sektorn och blir således inte tillämpliga på myndigheter och offentliga organ.
Enligt det föreslagna 4 mom. ska det när beslut om påföljdsavgiftens belopp säkerställas att beloppet står i rätt proportion till myndighetens eller det offentliga organets storlek och ekonomiska ställning samt till hur allvarlig överträdelsen eller försummelsen är. Kravet är nödvändigt av konstitutionella skäl (se avsnitt 10). De föreslagna maximibeloppen för påföljdsavgifter enligt 2 och 3 mom. är betydligt lägre än maximibeloppen för påföljdsavgifter enligt den allmänna dataskyddsförordningen, och en påföljdsavgift nära maximibeloppet vore i praktiken möjlig endast för de allvarligaste förseelserna eller försummelserna. Maximibeloppen är inte heller möjliga med tanke myndigheter med små budgetar eller svaga ekonomiska förhållanden. Genom den föreslagna bestämmelsen, som betonar kravet på proportionalitet, säkerställs påföljdens proportionalitet som en del av förfarandet för påförande av påföljd. Vid proportionalitetsprövningen ska utöver storleken på och den ekonomiska ställningen för en myndighet eller ett offentligt organ också beaktas hur allvarlig överträdelsen eller försummelsen är, för att säkerställa att påföljden samtidigt är tillräckligt förebyggande och avskräckande. Trots att proportionalitetskravet i sig följer direkt av artikel 83 i den allmänna dataskyddsförordningen, är det möjligt att upprepa och anpassa kravet inom ramen för det handlingsutrymme som myndigheterna har enligt artikel 83.7.
Ett särskilt syfte med momentet är att beakta budgetbundenheten i myndigheternas verksamhet. Vid fastställandet av utgångspunkterna för påförande av påföljdsavgift är det skäl att beakta att det i Finland finns ett stort antal olika myndigheter och offentliga samfund, som avviker från varandra i fråga om budget och storleken på personalen. För att påförandet av påföljdsavgift inte ska ha oskäliga konsekvenser för skötseln av en myndighets eller ett annat offentligt organs lagstadgade uppgifter, behöver myndighetens ekonomiska bärkraft beaktas vid fastställandet av påföljdsavgiftens belopp. Om påföljdsavgiften är så stor att myndigheten har svårigheter att klara av att betala den, kan påföljdsavgiften ha konsekvenser för huruvida myndigheten kan avhjälpa de konstaterade bristerna, och med vilka åtgärder. I värsta fall kan en påföljdsavgift försvåra skötseln av myndighetens lagstadgade uppgifter eller till och med hindra skötseln av någon uppgift. Motsvarande konsekvenser kan dock redan nu orsakas av utövandet av dataombudsmannens korrigerande befogenheter. Genom det föreslagna uttryckliga kravet på påföljdsavgiftens proportionalitet säkerställs det att påföljdsavgiftens belopp hålls på en skälig nivå.
Genom kravet på proportionalitet beaktas dessutom vissa exceptionella situationer. Ovan i avsnittet om bedömning av påföljdsavgiftens konsekvenser konstateras det att i vissa mer sällsynta fall är det inte möjligt att betala påföljdsavgift ur en statlig myndighets egna omkostnader. I dessa fall riktas påföljdsavgiften till bokföringsenheten, som kan vara till exempel ett ministerium. Då påverkar påföljdsavgiften inte nödvändigtvis alls den personuppgiftsansvarige eller det personuppgiftsbiträde som påförts påföljdsavgiften. Däremot kan det ha skadliga konsekvenser mer allmänt för användningen av bokföringsenhetens medel.
På motsvarande sätt som det har ansetts i fråga om samfundsbot, ska den ekonomiska ställningen i regel ges lika väsentlig betydelse som det, att en myndighets försummelse uppfyller villkoren för påförande av påföljdsavgift enligt artikel 83 i dataskyddsförordningen, med beaktande särskilt av försummelsens eller överträdelsen allvarlighetsgrad. Den ekonomiska ställningen inverkar inte på om påföljdsavgift kan påföras när villkoren i artikel 83 uppfylls, men den ska påverka storleken på den påföljdsavgift som påförs. En myndighets svaga ekonomiska situation kan ha betydelse särskilt som en faktor som sänker påföljdsavgiften. I stället för det ekonomiska resultatet påverkas påföljdsavgiftens belopp delvis av myndighetens storlek, med beaktande av myndighetens årliga budget och antalet anställda. Eftersom myndighetens storlek dock inte automatiskt innebär att man i myndighetens budget har förberett sig på betydande oförutsedda utgifter, bör man vid bedömningen av påföljdsavgiftens belopp dessutom beakta dess konsekvenser för myndighetens ekonomiska bärkraft. När påföljdsavgift påförs ska det med andra ord bedömas hur den påverkar myndighetens förutsättningar att klara av sina lagstadgade uppgifter och lagstadgade avgifter och andra skyldigheter. Med detta avses inte att dataombudsmannen ska bedöma hur påföljdsavgiften konkret påverkar skötseln av myndighetens lagstadgade uppgifter i en enskild myndighets fall. Dataskyddsombudsmannen ska dock i enlighet med 31 § i förvaltningslagen se till att ett ärende utreds tillräckligt och på behörigt sätt. Myndigheten ska i detta syfte skaffa den information och den utredning som behövs för att ärendet ska kunna avgöras. Det är nödvändigt att utreda den ekonomiska situationen på samma sätt som i fråga om företag. (se Riktlinjer 4/2022, s. 34–36). Detta kan å andra sidan också förutsätta att den personuppgiftsansvarige eller personuppgiftsbiträdet genom objektiva bevis kan visa att påföljdsavgiften skulle skada myndighetens ekonomiska bärkraft och därmed oskäligt försvåra skötseln av dess lagstadgade uppgifter. Dataombudsmannen har enligt dataskyddslagen rätt att trots sekretessbestämmelserna få de uppgifter som behövs för att utreda ett ärende.
Utgångspunkten är att påföljdsavgiften ska riktas till bokföringsenheten enligt den årliga budgeten och bokslutet. Om det i lag eller på något annat sätt har bestämts att en sådan enhet är personuppgiftsansvarig som inte är en separat myndighet eller bokföringsenhet, ska påföljdsavgiften riktas till den bokföringsenhet som den personuppgiftsansvariges verksamhet lyder under. Också ett styrande ministerium kan komma i fråga om aktören är självständig, men inte en egen bokföringsenhet. I de flesta fall kan påföljdsavgiften t.ex. i fråga om statliga myndigheter lätt hänföras till det konto som används av den personuppgiftsansvarige eller personuppgiftsbiträdet i fråga i bokföringen. I en situation med gemensamt personuppgiftsansvar är det avgörande vid riktandet av påföljdsavgiften till rätt bokföringsenhet, vilken personuppgiftsansvarig som de facto ansvarar för försummelsen. I Finland finns det i viss mån lagstiftning där det föreskrivs om gemensamt personuppgiftsansvar mellan två eller flera myndigheter eller enheter samt om fördelningen av den personuppgiftsansvariges uppgifter mellan dem. I ett sådant fall kan också den personuppgiftsansvarige som är ansvarig för överträdelsen åtminstone i vissa situationer bestämmas direkt med stöd av bestämmelserna i lagen.
Enligt 5 mom. gäller bestämmelserna i 2–4 mom. Dock sammanslutningar, stiftelser och enskilda personer endast till den del de sköter offentliga förvaltningsuppgifter. Den gällande dataskyddlagens 24 § 4 mom. har tillämpats så att de som sköter offentliga förvaltningsuppgifter redan nu kan påföras administrativ påföljdsavgift. När sammanslutningar, stiftelser och enskilda personer som sköter offentliga förvaltningsuppgifter dock enligt bestämmelserna i förvaltningslagen jämställs med myndigheter, är det motiverat att på dem tillämpa samma påföljdsavgiftsbelopp som på myndigheter. Bedömningen av den enskildas ekonomiska ställning bör grunda sig på sådan offentlig finansiering eller annan finansiering som är avsedd för skötseln av en offentlig förvaltningsuppgift i den enskildas verksamhet. På detta sätt säkerställs det samtidigt att myndigheterna och enskilda personer som sköter offentliga förvaltningsuppgifter har en jämlik ställning. I de situationer där det i privata aktörers verksamhet inte är fråga om skötsel av en offentlig förvaltningsuppgift, ska för brott mot dataskyddslagstiftningen på motsvarande sätt som för närvarande påföras en påföljdsavgift direkt enligt artikel 83 i den allmänna dataskyddsförordningen.
Enligt 6 mom. får påföljdsavgift inte påföras i 4 § i offentlighetslagen avsedda myndigheter och sammanslutningar, stiftelser och enskilda personer som tillämpar den lagen, för behandling av personuppgifter som hänför sig till sådant utlämnande av personuppgifter som avses i artikel 86 i dataskyddsförordningen. Enligt dataskyddsförordningens artikel 86 får personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd för personuppgifter i enlighet med förordningen. Det föreslagna undantaget från påföljdsavgifternas materiella tillämpningsområde gäller för tydlighetens skull alla sådana i artikel 86 i den allmänna dataskyddsförordningen avsedda situationer där personuppgifter lämnas ut och som i enlighet med artikelns ordalydelse hänför sig till samordningen av offentligheten och skyddet för personuppgifter.
Tillämpningsområdet för undantaget ska omfatta alla i 4 § 1 mom. i offentlighetslagen nämnda myndigheter och sammanslutningar, stiftelser och enskilda personer som tillämpar offentlighetslagen. De sistnämnda är för det första andra aktörer som utövar offentlig makt som i 2 mom. jämställs med myndigheter. Vad som sägs om en myndighet gäller även sammanslutningar, inrättningar, stiftelser och enskilda personer som utövar offentlig makt och som enligt en lag, en bestämmelse eller en föreskrift som meddelats med stöd av en lag eller en förordning utför ett offentligt uppdrag. I den föreslagna bestämmelsen, som omfattar sammanslutningar, stiftelser och enskilda personer, har det beaktats att offentligrättsliga inrättningar kommer att omfattas av undantaget genom begreppet myndighet i offentlighetslagen. Om offentlighet för evangelisk-lutherska kyrkans handlingar föreskrivs särskilt. För det andra ska tillämpningsområdet för undantaget omfatta sammanslutningar, stiftelser och enskilda personer som utövar offentlig makt eller sköter offentliga förvaltningsuppgifter och som tillämpar offentlighetslagen med stöd av speciallagstiftning. Det är ändamålsenligt att undantaget på lika villkor täcker alla myndigheter som omfattas av tillämpningsområdet för 4 § i offentlighetslagen och andra som tillämpar lagen. I Finland samordnas myndighetshandlingars offentlighet och skyddet för personuppgifter i huvudsak genom offentlighetslagen. Bestämmelser om handlingars offentlighet ingår dock inte bara i offentlighetslagen utan också i annan lagstiftning, t.ex. i lagen om offentlighet och sekretess i fråga om beskattningsuppgifter (1346/1999). Undantaget omfattar de tillämpningssituationer som följer av både offentlighetslagen och annan lagstiftning om handlingars offentlighet och som förutsätter att offentligheten och skyddet för personuppgifter samordnas.
Vid behandlingen av förslaget till dataskyddslag fäste grundlagsutskottet avseende vid att hotet om påföljdsavgift som påförs för försummelse att tillgodose en enda grundläggande rättighet kan leda till att framför allt offentlighetsprincipen efterlevs i snävare omfattning i myndighetsverksamheten. (GrUU 14/2018 rd) I grundlagsutskottets observation är det väsentligen fråga om på vilket sätt konkurrerande rättigheter ges tyngd i synnerhet i situationer som lämnar rum för tolkning. Utgångspunkten är att alla skyldigheter som följer av medlemsstaternas lagstiftning som antagits i enlighet med kapitel IX i den allmänna dataskyddsförordningen ska omfattas av tillämpningsområdet för påföljdsavgifter enligt artikel 83. De ska också omfattas av en högre påföljdsnivå, inklusive sådana situationer med behandling av personuppgifter i anslutning till offentliga handlingars offentlighet som avses i artikel 86 och som gäller utlämnande av personuppgifter som ingår i myndighetshandlingar. Myndigheten kunde således bli föremål för hot om påföljdsavgift t.ex. i en oklar situation där det är fråga om utlämnande av personuppgifter som ingår i en offentlig handling för andra ändamål än det ursprungliga ändamål för vilket de samlades in, om de behandlingssituationer som avses i artikel 86 inte skulle lämnas utanför tillämpningsområdet för bestämmelserna om påföljdsavgifter.
Enligt offentlighetsprincipen är myndighetshandlingar offentliga, om inte något annat föreskrivs särskilt i offentlighetslagen eller i någon annan lag. Enligt 9 § 1 mom. i offentlighetslagen har var och en rätt att ta del av en offentlig myndighetshandling. Enligt 10 § får uppgifter om en sekretessbelagd myndighetshandling eller om dess innehåll lämnas ut endast om så särskilt bestäms i denna lag. När endast en del av en handling är sekretessbelagd ska uppgifter i den offentliga delen lämnas ut, om det är möjligt så att den sekretessbelagda delen inte röjs. Bestämmelser om utlämnande av uppgifter ur personregister finns i 16 § 3 mom. Enligt den bestämmelsen får personuppgifter ur en myndighets personregister, om inte något annat särskilt bestäms i lag, lämnas ut i form av en kopia eller en utskrift eller i elektronisk form, om mottagaren enligt bestämmelserna om skydd för personuppgifter har rätt att registrera och använda sådana personuppgifter. För direktmarknadsföring och för opinions- eller marknadsundersökningar får personuppgifter dock lämnas ut endast om det särskilt föreskrivs om det eller om den registrerade har samtyckt till detta.
Syftet med det föreslagna undantaget från tillämpningsområdet för påföljdsavgifter är, mot bakgrund av grundlagsutskottets utlåtande om förslaget till dataskyddslag, att beakta att hot om påföljdsavgifter i situationer där en myndighet iakttar bestämmelserna i offentlighetslagen eller någon annan lag som tillämpas på handlingars offentlighet kan medföra konkreta svårigheter och i värsta fall minska offentligheten i strid med bestämmelserna i lagen. Det att hotet om påföljdsavgift skulle riktas till sådana situationer kunde dessutom ha en begränsande inverkan på förverkligandet av yttrandefriheten, med beaktande av det nära sambandet mellan offentlighetsprincipen och yttrandefriheten.
Enligt 3 § i offentlighetslagen syftar rätten till information samt myndigheternas skyldigheter enligt offentlighetslagen till öppenhet i myndigheternas verksamhet samt till att ge enskilda människor och sammanslutningar möjlighet att övervaka den offentliga maktutövningen och användningen av offentliga medel, att fritt bilda sig åsikter samt påverka sådant beslutsfattande som avser offentlig maktutövning och bevaka sina rättigheter och intressen. Enligt 17 § 1 mom. i offentlighetslagen ska en myndighet när den fattar beslut i enlighet med denna lag och även i övrigt utför sina uppgifter, se till att möjligheterna att få information om dess verksamhet inte, med hänsyn till 1 och 3 §, begränsas utan saklig och laga grund och inte mer än vad som är nödvändigt för det intresse som ska skyddas och att de som begär information bemöts jämlikt.
Offentligheten och dataskyddet samordnas i praktiken till exempel när en myndighet behandlar enskilda begäranden om information. Även i Finland finns det rikligt med rättspraxis om handlingars offentlighet från förvaltningsdomstolarna, där det totala antalet offentlighetsärenden under de senaste åren har varierat mellan drygt hundra och drygt tvåhundra ärenden. Också högsta förvaltningsdomstolen har årligen tagit ställning till flera ärenden som gäller handlingars offentlighet. Antalet ärenden har under de senaste åren varierat från tjugo till drygt tjugo ärenden. I en del fall har man uttryckligen tagit ställning till samordningen av skyddet för personuppgifter och offentligheten (t.ex. HFD:2022:112 av den 15 september 2022, HFD:2022:146 av den 21 december 2022; HFD:2024:73 av den 14 maj 2024). Personuppgifter i handlingar kan dock lämnas ut också på annat sätt än på begäran, till exempel genom att ett myndighetsbeslut eller någon annan handling offentliggörs på en webbplats.
Det framgår av rättspraxis att yttrandefriheten och skyddet av personuppgifter är rättigheter som i regel ska ges samma vikt. (se t.ex. Standard Verlagsgesellschaft mbH mot Österrike (nr 3), dom av den 7 december 2021, 84 punkten och de domar som det hänvisas till där). Det samma kan anses gälla offentlighetsprincipen och skyddet för personuppgifter (GrUU 14/2018 rd). Bland annat skyddas känsliga personuppgifter som gäller privatlivet och som innehas av en myndighet på sekretessgrunder, men myndigheten har också offentliga personuppgifter i sin besittning. Högsta förvaltningsdomstolen har t.ex. i ett ärende som gäller elektroniskt utlämnande av beskattningsuppgifter för journalistiskt syfte tagit ställning till förhållandet mellan offentlighetslagen och den allmänna dataskyddsförordningen. Vid bedömning av betydelsen av skyddet för personuppgifter och rätten att ta del av offentliga handlingar som grundrättigheter ska det beaktas att de aktuella beskattningsuppgifterna som enligt lag är offentliga och som begäran om utlämnandet gällde ska oberoende utlämnas om det särskilt begärs om dem, också i fråga om sådana personer som har utnyttjat sin rätt till invändning [i enlighet med dataskyddsförordningen]. Högsta förvaltningsdomstolen ansåg att skyddet av personuppgifter handlar i denna situation inte om ett sådant skydd av kärnan i en grundrättighet som ska ges särskild vikt i förhållande till förverkligandet av offentlighetsprincipen. (HFD: 2022:146 av den 21 december 2022, punkterna 73–74).
Det är möjligt att i enlighet med artikel 83.7 i den allmänna dataskyddsförordningen lämna artikel 86 utanför tillämpningsområdet för påföljdsavgifter som påförs myndigheter och andra personuppgiftsansvariga och personuppgiftsbiträden inom den offentliga förvaltningen.
26 §.Straffbestämmelser. I 26 § i dataskyddslagen finns hänvisningar till strafflagens bestämmelser om dataskyddsbrott (38 kap. 9 §), kränkning av kommunikationshemlighet och grov kränkning av kommunikationshemlighet (38 kap. 3 och 4 §), dataintrång och grovt dataintrång (38 kap. 8 och 8 a §), sekretessbrott och sekretessförseelse (38 kap. 1 eller 2 §) samt brott mot tjänstehemlighet (40 kap. 5 §). Genom hänvisningsbestämmelserna till strafflagen har artikel 84 i den allmänna dataskyddsförordningen genomförts. Bestämmelserna om dataskyddsbrott tillämpas på personer som inte är personuppgiftsansvariga eller personuppgiftsbiträden. Brottsbeteckningarna i hänvisningsbestämmelserna blir dessutom endast i liten omfattning tillämpliga på brott mot skyldigheterna enligt den allmänna dataskyddsförordningen.
Det föreslås att 1 mom. kompletteras så att till det fogas en hänvisning till straff för brott mot tjänsteplikt och brott mot tjänsteplikt av oaktsamhet i 40 kap. 9 och 10 § i strafflagen. Trots att dessa bestämmelser i strafflagen blir tillämpliga även utan den informativa hänvisningsbestämmelsen, behöver momentet kompletteras för att förtydliga att också de brottsbeteckningar som gäller brott mot tjänsteplikt kan bli tillämpliga utöver de brottsbeteckningar som nämns i det gällande momentet. Med beaktande av hänvisningsbestämmelsernas detaljnivå kunde det utan preciseringen vara oklart hur bestämmelserna om brott mot tjänsteplikt ska tillämpas. Dessutom behövs preciseringen för att beakta att det vid brott mot dataskyddslagstiftningen är fråga om de brottsbeteckningar som oftast tillämpas vid sidan av dataskyddsbrott, när det är fråga om gärningar eller försummelser som tjänsteinnehavare ansvarar för. Detta har särskild betydelse för de myndigheter som inte omfattas av tillämpningsområdet för administrativa påföljdsavgifter.
När det gäller kompletteringen av straffbestämmelserna bör det beaktas att brott mot tjänsteplikt och brott mot tjänsteplikt av oaktsamhet liksom även andra brottsbeteckningar enligt 26 § kan i vissa situationer tillämpas på gärningar eller försummelser som en enskild fysisk person ansvarar för, även om organisationen samtidigt kunde påföras en administrativ påföljdsavgift för brott mot den allmänna dataskyddsförordningen som den personuppgiftsansvarige ansvarar för. Den administrativa påföljdsavgiften ska påföras organisationen, dvs. myndigheten i egenskap av personuppgiftsansvarig eller personuppgiftsbiträde. Trots att utgångspunkten är att den personuppgiftsansvarige eller personuppgiftsbiträdet också kan vara en fysisk person, är det mycket sällsynt hos myndigheterna. När det är fråga om en fysisk person kan frågan om förbudet mot dubbla straff (ne bis in idem) bli aktuell vid påföljdsprövning om administrativ påföljdsavgift och straffrättslig påföljd. Å andra sidan kan frågan uppstå i fall där det är fråga om straffrättsligt tjänsteansvar för en medlem i ett kollegialt organ, där saken bedöms samtidigt som man gör en påföljdsprövning som riktas mot organisationen.
I strafflagens bestämmelse om dataskyddsbrott har man i enlighet med skäl 149 i ingressen till dataskyddsförordningen försäkrat sig om att bestämmelsens tillämpningsområde är en annan än i fråga om administrativa påföljdsavgifter enligt dataskyddsförordningen, varvid ne bis in idem-frågan knappast kommer upp. Det finns tills vidare lite rättspraxis i fråga om den privata sektorn, men ne bis in idem-effekten kan beaktas också i samband med tillämpningen av lagen. Med tanke på dataskyddsbrottets klart separata tillämpningsområde, blir en avvägning av förbudet mot dubbla straff dock inte nödvändigtvis aktuell i motiveringar till påföljdsprövningar, även om en straffprocess vore samtidigt anhängig i sakhelheten (till exempel beslut dnr 1150/161/2021 av den 7 december 2021 om försummelse att anmäla en personuppgiftsincident). När det gäller myndigheter är det dock i praktiken i stället för dataskyddsbrott vid tjänstebrott som frågan om ne bis in idem-principen kan uppstå. Till den del det hos en myndighet är fråga om brott mot dataskyddsförordningen eller lagen om behandling av personuppgifter i brottmål, är det närmast bestämmelserna om tjänstebrott som omfattar försummelserna. Eftersom den personuppgiftsansvarige eller personuppgiftsbiträdet för myndigheter i allmänhet är en organisation, och endast fysiska personer kan dömas för tjänstebrott, uppstår frågan sannolikt sällan till denna del. När det gäller kollegialt beslutsfattande kan det straffrättsliga tjänsteansvaret i sig ibland bedömas samtidigt som den administrativa prövningen av påföljdsavgiften. Genom den administrativa påföljdsavgiften skyddas dock ett annat rättsintresse än genom en straffrättslig påföljd för tjänstebrott. I rättspraxis har man också godkänt en viss överlappning i förfarandena. (se närmare avsnitt 10).
Enligt 40 kap. 12 § 1 mom. i strafflagen ska bestämmelserna om tjänstemän i 40 kap. även tillämpas på personer som sköter offentliga förtroendeuppdrag och på personer som utövar offentlig makt. Enligt 2 mom. tillämpas 1–3, 5 och 14 §, med undantag för avsättningspåföljden, även på offentligt anställda arbetstagare. Den sistnämnda bestämmelsen utesluter således personer som står i arbetsavtalsförhållande till ett offentligt samfund från tillämpningsområdet för bestämmelserna om brott mot tjänsteplikt i 9 och 10 §, medan bestämmelserna om brott mot tjänstehemlighet i 5 § tillämpas även på dessa arbetstagare. Den föreslagna ändringen av 26 § i dataskyddslagen undanröjer inte bristen i bestämmelsens omfattning när det gäller myndigheternas eventuella personal i arbetsavtalsförhållande. Till denna del har behovet av lagändringar bedömts separat i ett projekt som gäller behovet att se över bestämmelserna om tjänstebrott.
5 kap.Särskilda behandlingssituationer
34 a §.Begränsningar i den personuppgiftsansvariges skyldighet att informera den registrerade om personuppgiftsincidenter. Enligt artikel 34.1 i den allmänna dataskyddsförordningen ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om en personuppgiftsincident när personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. I artikel 34 om informationsskyldighet föreskrivs det dessutom till exempel om informationsinnehållet i den information som ska lämnas till den registrerade (2 punkten) och om förutsättningarna för att inte informera den registrerade (3 punkten). När kraven i artikel 23.1 i den allmänna dataskyddsförordningen uppfylls är det möjligt att genom en lagstiftningsakt begränsa bland annat tillämpningsområdet för de skyldigheter och rättigheter som föreskrivs i artikel 34. Det föreslås att det till lagen fogas en ny 34 a § där det inom ramen för det handlingsutrymme som anges i artikel 23 i den allmänna dataskyddsförordningen föreskrivs om förutsättningarna för att senarelägga eller begränsa informerandet av den registrerade eller att utelämna informationen.
I 1 mom. hänvisas det till 34 § 1 mom. i den gällande dataskyddslagen, där det föreskrivs om förutsättningarna för att begränsa den registrerades rätt att få tillgång till uppgifter som samlats in om honom eller henne. Med stöd av det föreslagna momentet kan informerandet om personuppgiftsincidenter senareläggas eller begränsas eller information utelämnas under samma förutsättningar (nedan ”begränsning av informationsskyldigheten”). För det första är det möjligt att begränsa informationsskyldigheten, om lämnandet av information kan skada den nationella säkerheten, försvaret eller allmän ordning och säkerhet eller försvåra förebyggande eller utredning av brott (34 § 1 mom. 1 punkten). Den föreslagna begränsningen av informationsskyldigheten grundar sig till denna del på artikel 23.1 a–d i förordningen. I enlighet med dessa led får rapporteringsskyldigheten enligt artikel 34 begränsas om det är nödvändigt för att säkerställa den nationella säkerheten, försvaret, den allmänna säkerheten, förebyggande, utredning, avslöjande eller lagföring av brott eller verkställande av straffrättsliga påföljder, inbegripet skydd mot och förebyggande av hot mot den allmänna säkerheten.
För det andra kan informationsskyldigheten begränsas, om lämnandet av informationen kan medföra allvarlig fara för den registrerades hälsa eller vård eller för den registrerades eller någon annans rättigheter (34 § 1 mom. 2 punkten). Denna begränsningsgrund har ansetts omfatta till exempel situationer som hänför sig till barnskyddsärenden (RP 9/2018 rd, s. 121). Den föreslagna begränsningen av anmälningsskyldigheten grundar sig till denna del på artikel 23.1 i i den allmänna dataskyddsförordningen, dvs. behovet av att garantera den registrerades eller andras rättigheter och friheter.
För det tredje kan informationsskyldigheten begränsas, om personuppgifterna används för tillsyns- och kontrolluppgifter och det för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen är nödvändigt att informationen inte lämnas (34 § 1 mom. 3 punkten). Den föreslagna begränsningen av informationsskyldigheten ska till denna del basera sig på artikel 23.1 e i den allmänna dataskyddsförordningen, vars syfte är att garantera andra av unionens eller en medlemsstats viktiga mål av generellt allmänt intresse, särskilt ett av unionens eller en medlemsstats viktiga ekonomiska eller finansiella intressen, däribland penning-, budget- eller skattefrågor, folkhälsa och social trygghet. Dessutom grundar sig förslaget på artikel 23.1 h, dvs. behovet av att säkerställa en tillsyns-, inspektions- eller regleringsfunktion som, även i enstaka fall, har samband med myndighetsutövning i fall som nämns i leden a–e och g.
Informationsskyldigheten ska kunna begränsas endast till den del och så länge som de förutsättningar som föreskrivs i 34 § 1 mom. i dataskyddslagen uppfylls. Om endast en del av uppgifterna i informationen är sådana att de enligt momentet inte omfattas av informationsskyldigheten, ska den information som lämnas till den registrerade innehålla andra uppgifter enligt artikel 34.2. Informerandet ska också kunna skjutas upp endast så länge som det är motiverat för att de intressen och rättigheter som begränsningen syftar till ska kunna garanteras. Syftet med villkoren är att beakta villkoret i anslutning till begränsningar enligt artikel 23 i dataskyddsförordningen, enligt vilket begränsningen ska vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle.
I paragrafens 2 mom. föreslås en hänvisning till 34 § 3 mom. i dataskyddslagen, enligt vilket den registrerade ska underrättas om orsakerna till begränsningen, om detta inte äventyrar syftet med begränsningen. I enlighet med den materiella hänvisningsbestämmelsen gäller samma skyldighet också situationer där informerande om en personuppgiftsincident senareläggs, begränsas eller utelämnas. På detta sätt säkerställs den registrerades rätt att få information om en begränsning av informationsskyldigheten, men inte att få närmare detaljer om personuppgiftsincidenten. Det är dock möjligt att redan enbart information om en personuppgiftsincident till den registrerade kan äventyra syftet med begränsningen, såsom den registrerades eller någon annans rättigheter eller t.ex. tryggandet av förundersökningens intressen. I en sådan situation är den personuppgiftsansvarige inte skyldig att berätta om orsakerna till begränsningen. Skyldigheten motsvarar den skyddsåtgärd enligt artikel 23.2 h i den allmänna dataskyddsförordningen som ska tillämpas på en begränsning och som gäller de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningen.
7.2
Lagen om behandling av personuppgifter i brottmål och vid upprätthållandet av den nationella säkerheten
51 §.Åtgärder. Till paragrafen fogas ett nytt bemyndigande att påföra administrativa påföljdsavgifter (ny 11 punkt), och samtidigt preciseras 10 punkten tekniskt. Befogenheten ska gälla endast påföljdsavgifter som påförs för brott mot lagen om behandling av personuppgifter i brottmål. Påföljdsavgift ska kunna påföras för brott mot de bestämmelser som nämns i den nya föreslagna 58 c §. Om de i lagen avsedda behöriga myndigheterna i brottmål bryter mot sina skyldigheter som motsvarar de bestämmelser som nämns i artikel 83 i den allmänna dataskyddsförordningen, bestäms en eventuell påföljdsavgift i enlighet med dataskyddsförordningen och dataskyddslagen.
58 a §.Administrativa påföljdsavgifter. Paragrafen föreslås på motsvarande sätt som dataskyddslagen innehålla närmare bestämmelser om det förfarande som ska tillämpas vid påförande av påföljdsavgift, och om preskription av påförande av påföljdsavgift.
I 1 mom. föreskrivs det om ett påföljdskollegium, vars sammansättning ska vara densamma som vid tillämpning av dataskyddslagen. Enligt momentet påförs en i 51 § 11 punkten avsedd administrativ påföljdsavgift av ett påföljdskollegium som består av dataombudsmannen och de biträdande dataombudsmännen tillsammans. Dataombudsmannen föreslås vara ordförande för kollegiet. Om en biträdande dataombudsman har förhinder, kan denne ersättas i påföljdskollegiet av en föredragande som utses för detta i arbetsordningen för dataombudsmannens byrå. Kollegiet är beslutfört med tre medlemmar.
Bestämmelser om dataombudsmannens byrås organisation finns i dataskyddslagen, till vars 8 § det finns en hänvisningsbestämmelse i 45 § 1 mom. i lagen om behandling av personuppgifter i brottmål. Enligt 9 § 1 mom. i dataskyddslagen har dataombudsmannens byrå minst två biträdande dataombudsmän. Kollegiet skulle således alltid ha minst tre medlemmar. Enligt 11 § i dataskyddslagen utnämns dataombudsmannen och biträdande dataombudsmän av statsrådet för fem år i sänder. Varje biträdande dataombudsman ska i sin verksamhet och ställning vara självständig och oberoende på samma sätt som dataombudsmannen. De biträdande dataombudsmännen står således inte i underordnad ställning till dataombudsmannen. Bestämmelser om dataombudsmannens och de biträdande datatombudmännens behörighetsvillkor finns i 10 § i dataskyddslagen. Enligt 16 § i dataskyddslagen har de biträdande dataombudsmännen vid skötseln av sina uppgifter samma befogenheter som dataombudsmannen.
I 2 mom. föreslås det bestämmelser om det föredragningsförfarande som ska tillämpas i kollegiet. Kollegiet ska fatta beslut efter föredragning. Som beslut gäller den mening som flertalet har understött. Vid lika röstetal gäller som beslut den mening som är lindrigare för den som påföljden riktas mot. Ett ärende som gäller administrativ påföljdsavgift ska beredas och föredras av en tjänsteinnehavare som är föredragande vid dataombudsmannens byrå. Enligt 9 § i dataskyddslagen ska det vid dataombudsmannens byrå finnas ett behövligt antal föredragande som är förtrogna med dataombudsmannens uppgiftsområde. I ärenden som gäller påföljdsavgifter som påförs inom tillämpningsområdet för lagen om behandling av personuppgifter i brottmål är det i praktiken fråga om föredragande som är förtrogna med tillsynen över de myndigheter som är behöriga i brottmål.
Till den del som lagen om behandling av personuppgifter i brottmål inte innehåller några särskilda förfarandebestämmelser, inklusive allmänna rättssäkerhetsgarantier, ska förvaltningslagen (434/2003) och annan allmän förvaltningsrättslig lagstiftning tillämpas. I förvaltningslagen föreskrivs det bl.a. om myndigheternas rådgivning, en parts rätt att anlita ombud och biträde, myndighetens utredningsskyldighet, begäran om utredning och komplettering av handlingar, hörande och därmed sammanhängande förfarande, muntliga utredningar och muntlig bevisning, syn och inspektion, tolkning och översättning samt om beslutets form och innehåll, motivering av beslut och besvärsanvisning. Förvaltningsförfarandet följer officialprincipen. Ändring i ett beslut om påföljdsavgift får enligt 59 § 1 mom. i lagen om behandling av personuppgifter i brottmål sökas enligt vad som föreskrivs i lagen om rättegång i förvaltningsärenden (808/2019). Rätten att söka ändring ska gälla beslut av påföljdskollegiet enligt 58 a § 1 mom. På beslut av påföljdskollegiet tillämpas däremot inte bestämmelsen i 59 § 3 mom., enligt vilken det i dataombudsmannens beslut får bestämmas att beslutet ska iakttas trots ändringssökande, om inte besvärsmyndigheten bestämmer något annat.
Enligt 3 mom. får påföljdsavgift inte påföras, om det har förflutit mer än tio år från överträdelsen eller försummelsen. I fråga om fortlöpande överträdelse eller försummelse får påföljdsavgift inte påföras, om det har förflutit mer än fem år sedan överträdelsen eller försummelsen har upphört. Genom bestämmelserna om preskription beaktas kravet på proportionalitet i påföljderna på motsvarande sätt som i dataskyddslagen.
Preskriptionstiden för påföljdsavgiften föreslås vara lång, men den motsvarar preskriptionstiden enligt dataskyddslagen och är motiverad för att säkerställa ett effektivt genomförande av bestämmelserna i lagen om behandling av personuppgifter i brottmål. Överträdelser av kraven på behandling av personuppgifter kan vara omfattande, allvarliga och juridiskt komplicerade och de kan komma till tillsynsmyndighetens kännedom också efter en lång tid. Därför är det viktigt att det finns tillräckligt med tid för att utreda ärendet och påföra påföljdsavgift. Överträdelserna och försummelserna kan dessutom vara av engångskaraktär eller fortgående.
Paragrafens 4 mom. innehåller en informativ hänvisningsbestämmelse enligt vilken bestämmelser om verkställigheten av en påföljdsavgift som påförts med stöd av denna lag finns i lagen om verkställighet av böter (672/2002). Bestämmelsen motsvarar det ändrade 24 § 6 mom. i dataskyddslagen, som trädde i kraft den 1 januari 2026.
En administrativ påföljdsavgift är verkställbar när beslutet om administrativ påföljdsavgift har vunnit laga kraft. Med inledande av verkställighet avses verkställighet som påbörjas genom en betalningsuppmaning från Rättsregistercentralen. Utgångspunkten är att den som ålagts en penningpåföljd alltid ska ges tillfälle att betala påföljden frivilligt innan Rättsregistercentralen verkställer indrivning genom utsökning. Före utmätningen uppmanas den betalningsskyldige i regel ännu två gånger till att betala påföljden. Den administrativa påföljdsavgiften betalas till staten.
58 b §.Allmänna förutsättningar för påförande av påföljdsavgifter. I paragrafen föreslås bestämmelser om de allmänna förutsättningarna för att påföljdsavgift ska kunna påföras den behöriga myndigheten. Utgångspunkten är att påföljdsavgift kan i brottmål påföras den myndighet som är behörig under samma förutsättningar som en myndighet som är verksam inom tillämpningsområdet för dataskyddsförordningen. Detta är motiverat av konsekvensskäl i det påföljdssystem som gäller myndigheterna.
Bestämmelserna i lagen om behandling av personuppgifter i brottmål gäller de behöriga myndigheter som avses i 1 § 1 och 2 mom. i den lagen. Lagens tillämpningsområde är begränsat. När en administrativ påföljdsavgift kan påföras med stöd av den allmänna dataskyddsförordningen och dataskyddslagen i stället för med stöd av lagen om behandling av personuppgifter i brottmål, ska den hänföra sig till behandling av personuppgifter för ett ändamål som nämns i 1 § 1 eller 2 mom. i lagen om behandling av personuppgifter i brottmål. Tillämpningsområdet för 1 § 1 mom. i lagen om behandling av personuppgifter i brottmål är detsamma som tillämpningsområdet för dataskyddsdirektivet för brottsbekämpning. Behandling av personuppgifter som hänför sig till försvaret och den nationella säkerheten faller i princip utanför unionsrättens tillämpningsområde. Tillämpningsområdet för 1 § 2 mom. i lagen om behandling av personuppgifter i brottmål är en nationell regleringslösning där det är fråga om verksamhet som inte omfattas av unionsrätten. Av motiveringen till 24 § i dataskyddslagen framgår det dock att undantagen från tillämpningsområdet för den allmänna dataskyddsförordningen tolkas snävt.
Lagen kan i princip i enlighet med direktivet tillämpas också på privata personuppgiftsansvariga eller personuppgiftsbiträden i sådana situationer där en enskild jämställs med en myndighet som är behörig i brottmål. I praktiken skulle det vara fråga om att den behöriga myndighetens uppgift hade anförtrotts en privat aktör (offentlig förvaltningsuppgift). I Finland har sådana lagstadgade uppgifter som hör till tillämpningsområdet för lagen om behandling av personuppgifter i brottmål inte delegerats till enskilda. I vissa EU-medlemsstater har man dock kunnat överlåta t.ex. en forensisk utredningsuppgift (undersökning av brottsplatser eller brottslaboratorium) åt en enskild. Trots att om det inom tillämpningsområdet för dataskyddsdirektivet för brottsbekämpning på samma sätt som enligt den allmänna dataskyddsförordningen är möjligt att anlita personuppgiftsbiträden, tillämpas lagen om behandling av personuppgifter i brottmål enligt 1 § i den lagen endast på behandlingen av personuppgifter hos de behöriga myndigheter som avses i den. Tillämpningen av lagen förutsätter också att det uttryckligen är fråga om något av de behandlingsändamål som nämns i 1 §.
Påföljdsavgifterna ska i regel gälla alla myndigheter som är behöriga inom tillämpningsområdet för lagen om behandling av personuppgifter i brottmål, med undantag för domstolarna, Försvarsmakten och Skyddspolisen. Med beaktande av att alla myndigheter som är behöriga i brottmål behandlar personuppgifter inom tillämpningsområdet för båda allmänna författningarna som gäller dataskydd, och att deras förpliktelser i huvudsak är lika, är det inte ändamålsenligt att i fråga om dessa myndigheter göra en författningsspecifik åtskillnad i påföljdssystemet, och en sådan skulle sannolikt leda till problem i anslutning till tillämpningen och tolkningen av lagarna. Detta beror på den oklara avgränsningen av tillämpningsområdet för EU:s dataskyddsrättsakter i anslutning till brottsbekämpning. Trots att dataskyddsdirektivet för brottsbekämpning begränsar dess tillämpningsområde till att gälla avvärjande av ett enskilt konkret hot om brott, kan det vara svårt att avgränsa tillämpningsområdet för två rättsakter särskilt vid brottsbekämpning och förundersökning. Inte heller i speciallagstiftningen om behöriga myndigheter i brottmål verkar skillnaden mellan de två allmänna författningarnas tillämpningsområde vara särskilt tydlig. Ett annat påföljdssystem i brottmål kunde således också vara en utmaning med tanke på tillsynen.
Dataombudsmannen är inte behörig att övervaka domstolarnas behandling av personuppgifter när de utför rättskipningsuppgifter. Det föreslås att de helt och hållet lämnas utanför tillämpningsområdet för de påföljdsavgifter som påförs med stöd av lagen om behandling av personuppgifter i brottmål på motsvarande sätt som i dataskyddslagen, av tydlighetsskäl som framgår närmare av motiveringen till 24 § i dataskyddslagen.
Vid upprätthållandet av den nationella säkerheten är det dessutom möjligt att lämna de behöriga myndigheter vars kärnuppgift helt och hållet faller utanför tillämpningsområdet för unionsrätten (underrättelsemyndigheterna) utanför bestämmelserna om påföljdsavgift. Detta kan framför allt motiveras med laglighetskontroll som avviker från andra myndigheters laglighetskontroll. Också tillsyn i anslutning till dataskyddet utövas till exempel i samarbete med underrättelsetillsynsombudsmannen. De uppgifter som behandlas är exceptionellt sensitiva, och den registrerade har i allmänhet ingen rätt till insyn i personuppgifter som gäller den registrerade själv. Också behandlingen av påföljdsavgifter är förknippad med svåra sekretessfrågor. Motsvarande frågor kan i sig också hänföra sig till situationer där förundersökningsmyndigheten behandlar uppgifter som hänför sig till upprätthållandet av den nationella säkerheten (t.ex. brott som riktar sig mot statens säkerhet). Förundersökningsmyndigheternas behandling av personuppgifter hör dock till alla delar till unionsrättens tillämpningsområde, och den genomförandeskyldighet som gäller påföljdsbestämmelserna i dataskyddsdirektivet för brottsbekämpning gäller förundersökningsmyndigheterna till alla delar. I fråga om dem vore alltså sådana undantag från bestämmelserna om påföljdsavgift som skulle göras i fråga om behandlingen av personuppgifter i samband med förundersökning inte vara ändamålsenliga.
Med tanke på lagstiftningens tydlighet och de krav på tydlighet i fråga om påföljderna som följer av grundlagen är det motiverat att göra myndighetsspecifika undantag från tillämpningsområdet för bestämmelserna om påföljdsavgifter. För att påföljdssystemet ska vara konsekvent är det skäl att begränsa dessa undantag till att gälla endast de ovannämnda myndigheterna.
Enligt 1 mom. får påföljdsavgift påföras en behörig myndighet som är personuppgiftsansvarig eller personuppgiftsbiträde för överträdelser av bestämmelserna i denna lag utöver eller i stället för de åtgärder som avses i 51 § 1–10 punkten, beroende på omständigheterna i varje enskilt fall om de övriga åtgärderna inte är tillräckliga. Påföljdsavgift får inte påföras, om förutsättningarna för påförande av avgiften inte uppfylls. Påföljdsavgift ska också få påföras för underlåtenhet att iaktta ett åläggande, ett förbud eller en begränsning som dataombudsmannen meddelat med stöd av 51 § 5–10 punkten. I bestämmelserna i det föreslagna 1 mom. beaktas de krav som följer av grundlagstolkningspraxis på motsvarande sätt som i 24 a § 1 mom. i dataskyddslagen.
I 2 mom. föreskrivs det om undantag från tillämpningsområdet för påföljdsavgift. Påföljdsavgift ska inte kunna påföras domstolar som är behöriga i brottmål. Påföljdsavgift ska inte heller få påföras skyddspolisen och Försvarsmakten för sådan behandling av personuppgifter som avses i 1 § 2 mom.
Paragrafens 3 mom. föreslås innehålla de aspekter som ska beaktas vid påföljdsprövningen. Bestämmelserna föreslås ha samma innehåll som de omständigheter som enligt artikel 83.2 i den allmänna dataskyddsförordningen ska beaktas vid påförande av påföljdsavgift. På detta sätt säkerställs det att bestämmelserna om påföljdsavgift är enhetliga och konsekventa. Enligt momentet ska vid prövning av påförande av påföljdsavgift och i påföljdsavgiftens belopp beaktas
1) överträdelsens karaktär, svårighetsgrad och varaktighet med beaktande av den aktuella uppgiftsbehandlingens karaktär, omfattning eller syfte samt antalet berörda registrerade och omfattningen av den skada som de har lidit,
2) huruvida överträdelsen skett med uppsåt eller genom oaktsamhet,
3) de åtgärder som den personuppgiftsansvarige eller personuppgiftsbiträdet har vidtagit för att lindra den skada som de registrerade har lidit,
4) graden av ansvar hos den personuppgiftsansvarige eller personuppgiftsbiträdet, med beaktande av de tekniska och organisatoriska åtgärder som vidtagits av dem med stöd av 15, 31 och 32 §,
5) eventuella tidigare motsvarande överträdelser som den personuppgiftsansvarige eller personuppgiftsbiträdet gjort sig skyldig till,
6) graden av samarbete med tillsynsmyndigheten för att korrigera överträdelsen och minska dess eventuella negativa effekter,
7) de kategorier av personuppgifter som påverkas av överträdelsen,
8) det sätt på vilket överträdelsen kom till tillsynsmyndighetens kännedom, särskilt huruvida och i vilken omfattning den personuppgiftsansvarige eller personuppgiftsbiträdet anmälde överträdelsen,
9) om åtgärder som avses i 51 § 5–10 punkten tidigare har förordnats mot den berörda personuppgiftsansvarige eller personuppgiftsbiträdet för samma ärende, efterlevnad av dessa åtgärder,
10) eventuella andra än i 1–9 punkten avsedda försvårande eller förmildrande omständigheter som ska tillämpas på fallet.
Med beaktande av att de föreslagna bestämmelserna motsvarar artikel 83.2 i den allmänna dataskyddsförordningen, kan ovannämnda anvisningar av Europeiska dataskyddsstyrelsen lämpa sig som stöd för tillämpningen av lagen också när påföljdsavgifter enligt lagen om behandling av personuppgifter i brottmål påförs.
58 c §.Påföljdsavgiftens belopp. I paragrafen föreslås motsvarande bestämmelser som i dataskyddsförordningen om två olika maximibelopp för påföljdsavgiften, som ska bestämmas utifrån det, vilka bestämmelser i lagen om behandling av personuppgifter i brottmål som överträds. I 1 och 2 mom. finns en uttömmande förteckning över de paragrafer där en överträdelse av paragrafens bestämmelser kan leda till en påföljdsavgift. I huvudsak är det fråga om skyldigheter för vilka påföljdsavgift kan påföras också med stöd av den allmänna dataskyddsförordningen. Lagen om behandling av personuppgifter i brottmål innehåller dock inte till alla delar samma skyldigheter.
Dataskyddsdirektivet för brottsbekämpning innehåller inga bestämmelser som motsvarar artikel 86 i den allmänna dataskyddsförordningen och som gäller samordning av dataskyddet och handlingars offentlighet. Sådana bestämmelser har inte heller tagits in i lagen om behandling av personuppgifter i brottmål. Eftersom det föreslås att påföljdsavgifterna ska bindas till brott mot enskilda bestämmelser i lagen om behandling av personuppgifter i brottmål, behöver frågor om handlingars offentlighet inte beaktas särskilt. När myndigheterna behandlar personuppgifter för att besvara en begäran om handlingar omfattas behandlingen av personuppgifter av tillämpningsområdet för den allmänna dataskyddsförordningen, oberoende av vilkendera allmänna dataskyddsförfattnings tillämpningsområde behandlingen som hänför sig till myndighetens egna lagstadgade uppgifter faller under. Således är det inte heller möjligt att påföra de myndigheter som avses i lagen om behandling av personuppgifter i brottmål en administrativ påföljdsavgift när det är fråga om utlämnande av personuppgifter för samordning av handlingars offentlighet och skyddet för personuppgifter.
Enligt 1 mom. får påföljdsavgiften för överträdelser av 15–22, 31–36 och 38 § uppgå till högst 500 000 euro. De paragrafer som nämns i momentet innehåller skyldigheter som hänför sig till inbyggt dataskydd och dataskydd som standard, gemensamt personuppgiftsansvariga och personuppgiftsbiträden, behandling under den personuppgiftsansvariges överinseende, register över behandlingar, samarbete med tillsynsmyndigheten, säkerhet i samband med behandlingen och information om personuppgiftsincidenter, konsekvensbedömning avseende dataskydd, förhandssamråd med dataombudsmannen om planerade behandlingsåtgärder samt utnämning av dataskyddsombudet samt om dataskyddsombudets ställning och uppgifter.
Enligt 2 mom. får påföljdsavgiften för överträdelser av bestämmelserna i 4–13, 23–28 och 41–44 § uppgå till högst 1 000 000 euro. Skyldigheterna enligt de paragrafer som nämns i momentet hänför sig till de allmänna principerna för behandling av personuppgifter, behandling av personbeteckningar, särskilda kategorier av personuppgifter, informationsskyldigheter som gäller information till den registrerade, den registrerades rätt till insyn, den registrerades rätt att begära rättelse av uppgifter om sig själv, den registrerades rätt att begära utplåning av uppgifter om sig själv, den registrerades rätt begära att behandlingen begränsas, den personuppgiftsansvariges skyldighet att informera om rättelse, utplåning eller begränsning av behandlingen, automatiserat individuellt beslutsfattande, inbegripet profilering, samt överföringar av personuppgifter till tredjeländer och internationella organisationer, inbegripet tillämpning av beslut om adekvat skyddsnivå, avtal är tillämpliga på överföring av uppgifter, undantagssituationer i fråga om adekvat skyddsnivå och överföringar som inte är tillåtna enligt unionsrätten.
När det gäller de myndigheter som är behöriga i brottmål är det viktigt att beakta att en del av skyldigheterna och rättigheterna i de paragrafer som nämns i bestämmelserna om påföljdsavgifter inte alltid blir tillämpliga vid skötseln av myndigheternas lagstadgade uppgifter. Till exempel kan en brottsmisstänkt som registrerats under en pågående förundersökning inte alltid utöva sina rättigheter fullt ut förrän förundersökningen har framskridit till ett sådant skede att den misstänkte har hörts. Också i det fallet gör lagen om behandling av personuppgifter i brottmål det möjligt att begränsa den registrerades rättigheter för att trygga undersökningens intressen, varvid den registrerade indirekt kan utöva sina rättigheter via dataombudsmannen. På grund av dessa begränsningar som gäller straffprocessen är det i situationer som hänför sig till den registrerades rättigheter inte nödvändigtvis alltid det mest ändamålsenliga sättet att ingripa i eventuella försummelser att påföra en administrativ påföljdsavgift.
I 3 mom. föreslås en bestämmelse som motsvarar 24 a § 3 mom. i dataskyddslagen. Enligt den föreslagna bestämmelsen ska det vid beslut om påföljdsavgiftens belopp säkerställas att beloppet står i rätt proportion till myndighetens storlek och ekonomiska ställning samt till hur allvarlig överträdelsen eller försummelsen är, av de orsaker som framgår av motiveringen till bestämmelsen i dataskyddslagen.
I 4 mom. beaktas sådana fall av överträdelse av skyldigheterna i lagen om behandling av personuppgifter i brottmål där flera skyldigheter samtidigt överträds. Om en behörig myndighet, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet bryter mot flera av de bestämmelser som nämns i 1 eller 2 mom., får den administrativa påföljdsavgiftens totala belopp inte överstiga den påföljdsavgift som fastställs för den allvarligaste överträdelsen. Momentet motsvarar till sitt innehåll artikel 83.3 i den allmänna dataskyddsförordningen, som inom tillämpningsområdet för dataskyddsförordningen gäller myndigheter som behandlar personuppgifter och organ inom den offentliga förvaltningen.
61 §.Straffbestämmelser. I 61 § föreslås motsvarande straffbestämmelser som i 26 § i dataskyddslagen. Paragrafen kompletteras på motsvarande sätt som i dataskyddslagen med en hänvisningsbestämmelse enligt vilken bestämmelser om straff för brott mot tjänsteplikt och brott mot tjänsteplikt av oaktsamhet finns i 40 kap. 9 och 10 § i strafflagen. Den gällande paragrafen blir samtidigt 1 mom. i den ändrade paragrafen. Straffbestämmelserna i lagen om behandling av personuppgifter i brottmål behöver också kompletteras för att förtydliga att brottsbeteckningar som gäller brott mot tjänsteplikt kan bli tillämpliga vid sidan av de brottsbeteckningar som nämns i den gällande paragrafen. Dessutom behövs preciseringen för att beakta att det i fråga om brott mot dataskyddslagstiftningen är fråga om de brottsbeteckningar som tillämpas oftast vid sidan av dataskyddsbrott. Eftersom domstolarna, och i fråga om behandling som omfattas av tillämpningsområdet för 1 § 2 mom., de underrättelsemyndigheter som är behöriga att upprätthålla den nationella säkerheten, lämnas utanför tillämpningsområdet för bestämmelserna om administrativa påföljdsavgifter, kan det utan precisering bli oklart vilka påföljder som ska tillämpas i de situationer där en organisation inte kan påföras påföljdsavgift.
I regeringens proposition med förslag till lag om behandling av personuppgifter i brottmål (RP 31/2018 rd) framgår det av motiveringen till paragrafen att avsikten med paragrafen är att genomföra artikel 57 i dataskyddsdirektivet för brottsbekämpning. Enligt den artikeln ska medlemsstaterna föreskriva sanktioner för överträdelser av bestämmelser som antas enligt direktivet. Det är således nödvändigt att precisera bestämmelserna i lagen om behandling av personuppgifter i brottmål med tanke på genomförandet av unionsrätten i det fall att de administrativa påföljdsavgifterna inte utsträcks till att gälla de myndigheter som är behöriga inom dess tillämpningsområde. Det är dock i vilket fall som helst nödvändigt för att genomföra ändringsprotokoll 108 till konventionen (CETS 223) i fråga om underrättelsemyndigheterna och domstolarna.
Till paragrafen fogas ett nytt 2 mom. enligt vilket det i 38 kap. 10 § 3 mom. i strafflagen finns bestämmelser om åklagarens skyldighet att höra dataombudsmannen innan åtal väcks för brott som nämns i 1 mom. i denna paragraf liksom om domstolens skyldighet att ge dataombudsmannen tillfälle att bli hörd när domstolen behandlar ett sådant mål. Det är fråga om en informativ hänvisningsbestämmelse som motsvarar 26 § 2 mom. i dataskyddslagen. Bestämmelsen fogas av konsekvensskäl, eftersom straffbestämmelserna också i övrigt har samma innehåll.
10
Förhållande till grundlagen samt lagstiftningsordning
Den föreslagna regleringen är viktig också med tanke på det i 10 § i grundlagen tryggade skyddet för privatlivet och skyddet för personuppgifter samt den i 12 § tryggade handlingsoffentligheten och yttrandefriheten. Skyddet enligt 10 § i grundlagen kompletteras av skyddet för privatlivet enligt artikel 8 i konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) samt av respekten för privatlivet enligt artikel 7 i Europeiska unionens stadga om de grundläggande rättigheterna och av skyddet av personuppgifter enligt artikel 8 i samma stadga. Artikel 8 i Europakonventionen har i Europadomstolens rättspraxis ansetts omfatta också skyddet för personuppgifter. I artikel 11 i stadgan om de grundläggande rättigheterna föreskrivs det om yttrande- och informationsfrihet. Även artikel 10 i Europakonventionen skyddar yttrandefriheten.
Regleringen är av betydelse också med tanke på lagbundenheten vid utövning av offentlig makt enligt 2 § i grundlagen, de garantier för god förvaltning och rättsskydd som tryggas i 21 § samt skyldigheten enligt 22 § att tillgodose de grundläggande fri- och rättigheterna och de mänskliga rättigheterna. Bestämmelser om rätten till god förvaltning finns förutom i 21 § i grundlagen också i artikel 41 i Europeiska unionens stadga om de grundläggande rättigheterna.
Bestämmelserna i den gällande dataskyddslagen gör det inte möjligt att påföra myndigheter och organ inom den offentliga förvaltningen en administrativ påföljdsavgift för brott mot bestämmelserna i den allmänna dataskyddsförordningen. I 24 § i dataskyddslagen utnyttjas det nationella handlingsutrymmet enligt artikel 83.7 i dataskyddsförordningen när det gäller myndigheter. Det föreslås att detta handlingsutrymme till skillnad från den gällande dataskyddslagen ska användas så, att myndigheterna i regel ska kunna påföras en administrativ påföljdsavgift för brott mot dataskyddslagstiftningen med stöd av både dataskyddslagen och lagen om behandling av personuppgifter i brottmål. De situationer där påföljdsavgift inte är möjlig ska på motsvarande sätt som för närvarande omfattas av straffbestämmelserna i 26 § i dataskyddslagen. I lagen om behandling av personuppgifter i brottmål har det inte heller tagits in bestämmelser som gör det möjligt för de behöriga myndigheter som avses i lagen att betala en administrativ påföljdsavgift för brott mot bestämmelserna i lagen. Genom lagen genomfördes artikel 57 i dataskyddsdirektivet för brottsbekämpning, som lämnar det tillämpliga påföljdssystemet till nationell prövning. I 61 § finns straffbestämmelser med motsvarande innehåll som i dataskyddslagen. I fråga om tjänsteinnehavare tillämpas dessutom särskilt strafflagens bestämmelser om brott mot tjänsteplikt. Till straffbestämmelserna i båda lagarna fogas hänvisningar till dem.
Användning av det nationella handlingsutrymmet
Grundlagsutskottet ansåg vid bedömningen av regeringens proposition med förslag till lagstiftning som kompletterar EU:s allmänna dataskyddsförordning att det i det aktuella sammanhanget inte var konstitutionellt problemfritt att låta bestämmelserna om påföljdsavgift gälla myndighetsverksamhet (GrUU 14/2018 rd, s. 20). Utskottet hänvisade i den regeringsproposition som gällde saken till den ståndpunkt som intogs i den proposition som saken gällde, enligt vilken en administrativ påföljdsavgift som påförs en myndighet är ett främmande förfarande utifrån vårt allmänna rättssystem. I likhet med regeringspropositionen fäste grundlagsutskottet dessutom särskild uppmärksamhet vid bland annat den för myndigheterna bindande principen om förvaltningens lagenlighet och tjänsteansvaret samt vid myndigheternas skyldighet att sköta sina lagstadgade uppgifter. Utöver de omständigheter som framgår av regeringspropositionen påpekade utskottet att en administrativ påföljdsavgift som påförs myndigheterna skulle vara problematisk också i fråga om systemet med de grundläggande fri- och rättigheterna över lag. (GrUU 14/2018 rd, s. 20; RP 9/2018 rd, s. 58). Motiveringarna till den nämnda propositionen har i väsentligen samma innehåll som de motiveringar som har motiverat en begränsad tillämpning av strafflagens bestämmelser om samfundsbot inom den offentliga sektorn. Straffrättsliga och administrativa påföljder som samtidigt riktas mot en sammanslutning har inte varit föremål för grundlagsutskottets bedömning.
Grundlagsutskottet har betonat betydelsen av de synpunkter som framgår av utlåtandet om förslaget till dataskyddslag vid behandlingen av regeringens proposition till riksdagen med förslag till lag om tillsyn över förmedlingstjänster på nätet och till vissa andra lagar (RP 70/2023 rd). Grundlagsutskottet har inte ansett det vara en fråga om lagstiftningsordning att påföra en myndighet påföljdsavgifter, men utskottet konstaterar i sitt utlåtande att kommunikationsutskottet bör försäkra sig om omfattningen av handlingsutrymmet och om förordningen möjliggör det, ändra och avgränsa bestämmelserna (GrUU 13/2023 rd, stycke 10, se även GrUU 37/2021 rd). Grundlagsutskottet har också i sin bedömning av statsrådets skrivelse om förslaget till förordning om artificiell intelligens betonat betydelsen av att man i fråga om administrativa påföljder bör sträva efter att säkerställa ett tillräckligt nationellt handlingsutrymme, särskilt för att beakta att myndigheterna i Finland inte kan påföras administrativa påföljdsavgifter, eftersom endast straffrättsliga påföljder kan påföras myndigheterna (GrUU 37/2021 rd, stycke 40).
Med stöd av lagen om offentlig upphandling och koncession (1397/2016, upphandlingslagen) är det dock möjligt att marknadsdomstolen påför en myndighet som är upphandlande enhet en påföljdsavgift för vissa överträdelser av bestämmelserna i lagen. Påföljdsavgift kan påföras också på framställning av Konkurrens- och konsumentverket. Lagen i fråga och även den föregående upphandlingslagen har stiftats med grundlagsutskottets medverkan, men grundlagsutskottet har i fråga om påföljdsavgifterna närmast bedömt frågor som gäller ändringssökande och har inte uttryckligen bedömt hur upphandlingslagens påföljdsavgiftssystem ska tillämpas på myndigheterna (GrUU 49/2016 rd, GrUU 35/2009 rd). Grundlagsutskottet har också av hävd konstaterat att det inte har kunnat anses ha tagit ställning till lagförslagens förhållande till grundlagen till andra delar än de som uttryckligen framgår av utlåtandet (t.ex. GrUU 26/2017 rd, s. 11/II, GrUU 32/2020 rd, s. 4).
Med tanke på de bestämmelser som föreslås i denna proposition är också skillnaderna mellan de två regleringskontexterna beaktansvärda. Upphandlingslagen är inte förenad med motsvarande frågor som gäller motsättningen mellan skyddet för privatlivet och andra grundläggande fri- och rättigheter, som dataskyddslagstiftningen är förenad med. Dessutom mäts påföljdsavgifternas belopp på ett annat sätt än vad som mäts för myndigheternas del för brott mot dataskyddslagstiftningen, och påföljdsavgiften påförs av domstol.
I regeringens proposition föreslås det att det handlingsutrymme som avses i artikel 83.7 i den allmänna dataskyddsförordningen och artikel 57 i dataskyddsdirektivet för brottsbekämpning ska användas till skillnad från nuläget så, att en administrativ påföljdsavgift också ska kunna påföras myndigheter och offentliga organ. Påföljdsavgift ska i huvudsak kunna påföras under samma förutsättningar som för en personuppgiftsansvarig eller ett personuppgiftsbiträde inom den privata sektorn. Det föreslås dock väsentliga anpassningar i bestämmelserna för att beakta myndigheternas avvikande ställning och verksamhetens budgetbundenhet samt de krav som följer av grundlagen. Samtidigt föreslås det att preskriptionstiden för påförande av påföljdsavgift förkortas från tio år till fem år till den del det är fråga om fortlöpande förseelser och försummelser. I bestämmelsen utnyttjas det nationella handlingsutrymmet enligt artikel 83.8 i den allmänna dataskyddsförordningen. Ändringen är motiverad med tanke på kravet på proportionalitet i fråga om påföljdsavgifter och av rättssäkerhetsskäl.
Genom den nuvarande användningen av handlingsutrymmet har man i dataskyddslagen försökt inverka positivt på tillgodoseendet av de grundläggande fri- och rättigheterna som helhet. De bestämmelser som gör det möjligt att påföra myndigheterna administrativa påföljdsavgifter som grundar sig på den allmänna dataskyddsförordningen medför risker för avvägningen av konkurrerande grundläggande och mänskliga rättigheter. Detsamma gäller också myndigheter som är verksamma inom tillämpningsområdet för lagen om behandling av personuppgifter i brottmål. Även om det i grundlagsutskottets konstitutionella uppgifter inte ingår att bedöma den nationella genomförandelagstiftningen med avseende på EU:s materiella lagstiftning, har grundlagsutskottet av hävd ansett det viktigt att säkerställa att de krav som de grundläggande fri- och rättigheterna och de mänskliga rättigheterna ställer beaktas när det nationella handlingsutrymmet utnyttjas till den del Europeiska unionens lagstiftning förutsätter eller möjliggör nationell reglering (se t.ex. GrUU 25/2005 rd). Utskottet har därför framhållit att det i regeringens propositioner finns anledning att särskilt i fråga om bestämmelser som är av betydelse med hänsyn till de grundläggande fri- och rättigheterna tydligt klargöra ramarna för det nationella handlingsutrymmet (GrUU 48/2018 rd, GrUU 26/2017 rd, s. 42, GrUU 2/2017 rd, s. 2, GrUU 44/2016 rd, s. 4).
De ovannämnda uttalandena från grundlagsutskottet har fortfarande betydelse, också när det föreslås att handlingsutrymmet ska användas på ett sätt som avviker från det tidigare. Också i fråga om de bestämmelser som föreslås i regeringspropositionen är det skäl att försäkra sig om att användningen av handlingsutrymmet är förenlig med EU-rätten. Det handlingsutrymme som artikel 83.7 i den allmänna dataskyddsförordningen ger är omfattande. Utöver att en medlemsstat helt kan utesluta myndigheterna från påföljdsavgifternas tillämpningsområde kan den utsträcka påföljdsavgifterna till att gälla myndigheterna i ändamålsenlig omfattning. Dataskyddsdirektivet för brottsbekämpning lämnar nationell prövningsrätt i fråga om huruvida det administrativa eller straffrättsliga påföljdssystemet ska tillämpas på myndigheter.
I det nuvarande systemet har det upptäckts vissa brister som gör det nödvändigt att ändra lagarna. I regeringspropositionen anses det att det i regel är motiverat att bestämmelserna om administrativa påföljdsavgifter tillämpas på myndigheterna i synnerhet med tanke på målen för den allmänna dataskyddsförordningen och dataskyddsdirektivet för brottsbekämpning och ett effektivt och ändamålsenligt genomförande av EU-rätten. De brister som upptäckts i det nuvarande påföljdssystemet kan delvis avhjälpas genom komplettering av det straffrättsliga påföljdssystemet, men det är inte möjligt att rikta påföljden till en organisation. Enbart en ändring av de straffrättsliga bestämmelserna skulle inte heller eliminera problemet med att aktörer inom den privata sektorn för närvarande befinner sig i en ojämlik ställning i förhållande till myndigheter när de utför samma eller liknande uppgifter. En administrativ påföljdsavgift är möjlig för privata personuppgiftsansvariga och personuppgiftsbiträden som sköter offentliga förvaltningsuppgifter redan nu, utöver det att deras anställda kan omfattas av straffrättsligt tjänsteansvar. Som helhet är det dessutom av betydelse med tanke på den ojämlika ställningen för personuppgiftsbiträden inom den offentliga och den privata sektorn att tröskeln för uppkomsten av straffrättsligt tjänsteansvar är klart högre än tröskeln för påförande av administrativ påföljdsavgift. För liknande överträdelser av lagstiftningen bestäms sanktionen enligt olika kriterier inom den offentliga och den privata sektorn. Den föreslagna regleringen undanröjer detta problem.
Det nationella handlingsutrymmet ska till skillnad från nuläget användas så att samfund, stiftelser och offentliga samfund ska omfattas av samma maximibelopp för administrativ påföljdsavgift som myndigheter, till den del behandlingen av personuppgifter hänför sig till skötseln av en offentlig förvaltningsuppgift. Dessutom ska privata aktörer som sköter en offentlig förvaltningsuppgift omfattas av den föreslagna begränsningen av tillämpningsområdet, i anslutning till samordningen av skyddet för personuppgifter och handlingars offentlighet. Genom detta utnyttjande av handlingsutrymmet säkerställs att dessa privata aktörer som företräder den indirekta offentliga förvaltningen behandlas jämlikt med myndigheterna.
Den föreslagna användningen av handlingsutrymmet, som avviker från nuläget, har en positiv inverkan på skyddet för privatlivet och personuppgifter och ökar de registrerades förtroende för digitala myndighetstjänster. Samma hot om påföljdsavgifter kan dock ha konsekvenser för avvägningen av de grundläggande fri- och rättigheterna och de mänskliga rättigheterna samt för skötseln av myndigheternas lagstadgade uppgifter. Genom de föreslagna bestämmelserna är det möjligt att säkerställa att de registrerades rättigheter skyddas på samma nivå oberoende av om det är fråga om en personuppgiftsansvarig eller ett personuppgiftsbiträde inom den offentliga eller privata sektorn. De föreslagna anpassningarna av bestämmelserna begränsar konsekvenserna för myndigheternas verksamhet med beaktande av ovannämnda konstitutionella aspekter.
Enligt den bedömning som gjorts i regeringspropositionen är den föreslagna regleringen möjlig inom ramen för det nationella handlingsutrymmet och mot bakgrund av grundlagstolkningspraxis, förutsatt att det i bestämmelserna med behövliga avgränsningar säkerställs att konsekvenserna för skötseln av myndigheternas lagstadgade uppgifter och för systemet för de grundläggande fri- och rättigheterna som helhet blir så små som möjligt och att de inte försämrar garantierna för rättsskydd och god förvaltning enligt 21 § i grundlagen. Genom de föreslagna avgränsningarna säkerställs det också att till exempel kommunerna eller välfärdsområdena inte påförs så oskäliga påföljdsavgifter att de kan inverka på kommunernas och välfärdsområdenas självstyrelse eller finansieringsprinciper. Eftersom de föreslagna bestämmelserna innebär att administrativa påföljdsavgifter påförs myndigheter, och detta avviker från grundlagsutskottets ovannämnda tolkningspraxis enligt vilket det har ansetts vara problematiskt, är grundlagsutskottets bedömning av propositionen dock nödvändig.
Föreslagna begränsningar av skyldigheten att informera om personuppgiftsincidenter
I propositionen föreslås att det handlingsutrymme som avses i artikel 23.1 i den allmänna dataskyddsförordningen ska utnyttjas för att begränsa den registrerades rätt enligt artikel 34 att få information om personuppgiftsincidenter. De föreslagna bestämmelserna är av betydelse med avseende på skyddet för privatlivet och personuppgifter som tryggas i 10 § i grundlagen. Tillämpningsområdet för den registrerades rättigheter enligt den allmänna dataskyddsförordningen kan begränsas i enlighet med artikel 23 i förordningen, om begränsningen i fråga till väsentliga delar respekterar de grundläggande fri- och rättigheterna och är en nödvändig och proportionell åtgärd i ett demokratiskt samhälle och om begränsningen uppfyller någon av de grunder för begränsning som anges i artikel 23.1.
Till dataskyddslagen fogas enligt förslaget bestämmelser med stöd av vilka information till den registrerade om en personuppgiftsincident kan begränsas, senareläggas eller utelämnas för att trygga intressen som hänför sig till den nationella säkerheten och utredningen av brott, för att skydda den registrerades eller andra personers rättigheter, samt för att trygga ett viktigt ekonomiskt eller finansiellt intresse för Finland eller Europeiska unionen. Anmälan ska kunna begränsas, senareläggas eller utelämnas på samma grunder på vilka det redan i nuläget är möjligt att begränsa den registrerades rätt till insyn. Begränsningarna grundar sig på artikel 23.1 e och i i dataskyddsförordningen. Syftet med begränsningen av informationsskyldigheten är att samordna skyddet för personuppgifter med andra intressen och rättigheter samt att förtydliga bestämmelserna om informationsskyldigheten, för vars överträdelse administrativa påföljdsavgifter kan påföras.
De föreslagna bestämmelserna innebär en inskränkning av det skydd för privatlivet och personuppgifter som tryggas i 10 § 1 mom. i grundlagen. Grundlagsutskottet har fäst särskild uppmärksamhet vid att inskränkningar i de grundläggande fri- och rättigheterna också ska bedömas i respektive regleringssammanhang utifrån de allmänna villkoren för inskränkningar av de grundläggande fri- och rättigheterna, särskilt med tanke på begränsningarnas godtagbarhet och proportionalitet (t.ex. GrUU 29/2016 rd, s. 4–5, GrUU 21/2012 rd, GrUU 47/2010 rd och GrUU 14/2009 rd). Grunden till en inskränkning i skyddet för privatlivet bör vara ett godtagbart samhälleligt intresse och inskränkningen ska vara nödvändig och stå i rätt proportion till det eftersträvade målet. (GrUB 25/1994 rd, samt t.ex. GrUU 56/2014 rd och GrUU 18/2013 rd).
Informationsskyldigheten ska kunna begränsas endast till den del och så länge som de föreslagna förutsättningarna för begränsning uppfylls. Om endast en del av uppgifterna i informationen är sådana att de enligt momentet inte omfattas av informationsskyldigheten, ska den information som lämnas till den registrerade innehålla andra uppgifter enligt artikel 34.2 i dataskyddsförordningen. Med de föreslagna bestämmelserna ska informationsskyldigheten kunna begränsas endast om det är nödvändigt med tanke på det intresse eller den rättighet som ligger till grund för begränsningen. De föreslagna bestämmelserna uppfyller kraven enligt artikel 23.1 i dataskyddsförordningen och de krav på nödvändighet och proportionalitet som ställts på inskränkning av 10 § 1 mom. i grundlagen.
Val av påföljdssystem och noggrann avgränsning av bestämmelserna
Av avsnitt 5.1 framgår att vid beredningen av regeringspropositionen har såsom ett alternativt påföljdssystem för myndigheter och offentliga organ granskats en precisering av den straffrättsliga regleringen, inklusive möjligheten att utvidga tillämpningsområdet för samfundsboten. I den utvidgning av bestämmelserna om administrativa påföljdsavgifter till att gälla den offentliga sektorn som föreslås i propositionen har de konstitutionella aspekterna och ändamålsenlighetsaspekterna i anslutning till valet av påföljdssystem beaktats utöver det att det genom förslaget säkerställs att EU-rätten genomförs på behörigt sätt.
Med beaktande av det begränsade tillämpningsområdet för bestämmelserna om dataskyddsbrott ska brottsmisstankar som gäller brott mot dataskyddslagstiftningen i fråga om tjänsteinnehavare i enlighet med gällande bestämmelser i strafflagen för närvarande behandlas närmast som brott mot tjänsteplikt, och i begränsade fall kan det vara fråga om brott mot tjänstehemlighet. I bestämmelserna om brott mot tjänsteplikt i 40 kap. i strafflagen är det fråga om så kallade blankettbestämmelser där den straffbara verksamheten inte har definierats uttömmande i brottsrekvisitet. Tjänsteplikten bestäms närmare med stöd av annan lagstiftning, dvs. i detta fall den allmänna dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål.
Grundlagsutskottet har i sak jämställt ekonomiska påföljder av straffkaraktär med straffrättsliga påföljder. De allmänna grunderna för administrativa påföljder ska anges i lag i enlighet med 2 § 3 mom. i grundlagen, eftersom det innebär utövning av offentlig makt att ålägga en sådan påföljd. (T.ex. GrUU 46/2021 rd, 12 punkten, GrUU 39/2017 rd, s. 2–3, GrUU 2/2017 rd, s. 4–5, GrUU 15/2016 rd, s. 4, GrUU 10/2016 rd, s. 7–8 och GrUU 28/2014 rd, s. 2/II). Trots att kravet på exakthet enligt den straffrättsliga legalitetsprincipen i grundlagens 8 § inte direkt gäller administrativa påföljder kan det allmänna kravet på regleringens exakthet ändå inte åsidosättas i ett sådant sammanhang (se t.ex. GrUU 33/2025 rd, 10 punkten, GrUU 9/2018 rd, s. 3, GrUU 14/2013 rd, GrUU 17/2012 rd, GrUU 9/2012 rd, s. 2/II, GrUU 57/2010 rd, s. 2). Grundlagsutskottet har i sin praxis också utvidgat sin praxis i fråga om blankettstraffbestämmelser (GrUB 25/1994 rd, s. 8/II) till att gälla även bestämmelser om administrativa påföljder (GrUU 10/2016 rd, s. 8). Grundlagsutskottet har i sin praxis betonat att målet bör vara att de kedjor av bemyndiganden som blankettstraffbestämmelserna kräver är exakt angivna och att de materiella bestämmelser som är ett villkor för straffbarhet formuleras med den exakthet som krävs av straffbestämmelser och att det av det normkomplex som bestämmelserna ingår i måste framgå att brott mot dem är straffbart. Också i den bestämmelse som inbegriper själva kriminaliseringen bör det finnas en saklig beskrivning av den gärning som avses bli kriminaliserad (GrUB 25/1994 rd, s. 8/II och även GrUU 33/2025 rd, 10 punkten, GrUU 9/2018 rd, s. 9, GrUU 10/2016 rd, s. 8).
Utöver kravet på att regleringen ska vara noggrant avgränsad ska bestämmelserna dessutom uppfylla kraven på sanktionernas proportionalitet (se t.ex. GrUU 28/2014 rd, GrUU 15/2014 rd). Kravet på proportionalitet förutsätter å sin sida att det bedöms om sanktionerna är nödvändiga för att skydda det rättsintresse som ligger till grund för dem. Det gäller på denna punkt att avgöra om samma syfte kan nås på något annat sätt, som innebär ett mindre ingrepp i de grundläggande fri- och rättigheterna än kriminalisering (se GrUU 23/1997 rd). När bestämmelser om sanktioner införs ska det förutom vid lagstiftningens acceptabilitet och proportionalitet även fästas särskild vikt vid avgränsningen av bestämmelserna och vid rättsskyddet för dem som sanktionerna gäller (GrUU 49/2017 rd).
Förpliktelserna i den allmänna dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål har i huvudsak samma innehåll. De kan också anses vara tillräckligt exakta och noggrant avgränsade. Däremot lämnar artiklarna 84 och 57 i den allmänna dataskyddsförordningen det öppet vilka skyldigheter straffrättsliga påföljder ska omfatta. Utgångspunkten är dock att vilken som helst försummelse av skyldigheter enligt dataskyddslagstiftningen kan betraktas som brott mot tjänsteplikt, förutsatt att de allmänt tillämpliga förutsättningarna för gärningens straffbarhet uppfylls och försummelsen hänför sig till en skyldighet som personen i fråga ansvarar för, med undantag för offentligt anställda arbetstagare i arbetsavtalsförhållande.
Trots att artikel 84 i den allmänna dataskyddsförordningen och artikel 57 i dataskyddsdirektivet för brottsbekämpning innehåller nationellt handlingsutrymme, är det viktigt att de nationella påföljder som avses i dem beaktar de krav som följer av EU-domstolens rättspraxis. Även när medlemsstaterna har möjlighet att välja sanktioner som följer av överträdelser av den aktuella EU-lagstiftningen, ska medlemsstaterna enligt domstolen se till att överträdelser av unionsrätten beivras genom sanktioner som i materiellt och processuellt hänseende motsvarar dem som tillämpas vid överträdelser av nationell rätt av liknande art och betydelse (likvärdighetsprincipen) och i alla händelser är effektiva, proportionella och avskräckande (effektivitetsprincipen) (C-679/18, OPR-Finance, dom av den 5 mars 2020, 25 punkten, C-565/12, LCL Le Crédit Lyonnais, dom av den 27 mars 2014, 44 punkten). Domstolen har dessutom konstaterat att påföljdernas stränghet ska motsvara allvarligheten hos de överträdelser som de straffbelägger och att de särskilt ska säkerställa en faktisk avskräckande verkan, dock med iakttagande av den allmänna proportionalitetsprincipen. (C-679/18, OPR-Finance, dom av den 5 mars 2020, 26 punkten; C-42/15, Home Credit Slovakia, dom av den 9 november 2016, 63 punkten).
Den ovannämnda likvärdighetsprincipen som framgår av EU-domstolens rättspraxis innebär inte nödvändigtvis att påföljden behövs för brott mot alla skyldigheter enligt dataskyddslagstiftningen. Det väsentliga är däremot huruvida de straffrättsliga påföljdsbestämmelser som ska tillämpas på myndigheterna på ett så täckande sätt som möjligt gäller brott mot skyldigheterna enligt den allmänna dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål. Enligt den bedömning som gjorts i regeringspropositionen finns det i sig inga särskilda brister i den materiella omfattningen av bestämmelserna om tjänstebrott. Det straffrättsliga ansvaret gäller dock inte den personuppgiftsansvarige som organisation, även om det straffrättsliga tjänsteansvaret också kan realiseras kollegialt.
Den bedömning av det nuvarande påföljdssystemet som ligger till grund för regeringspropositionen visade att det som helhet finns lite rättspraxis i brottmål som gäller dataskyddsförpliktelser, med undantag för ärenden som gäller dataskyddsbrott. Tills vidare finns det ingen rättspraxis som uttryckligen gäller tjänstebrott i anslutning till dataskyddet när det gäller kollegialt ansvar. I de få fall av tjänstebrott i anslutning till behandlingen av personuppgifter där det har varit fråga om skyldigheter som följer av dataskyddslagstiftningen har man strävat efter att peka på en enskild ansvarig tjänsteinnehavare vid organisationen. Åtal som uttryckligen hänför sig till registerföringen har dock inte lyckats. Däremot har fällande dom meddelats för försummelse av en annan tjänsteplikt. Det kan finnas många orsaker till att rättspraxis är obetydlig.
På grund av den ringa rättspraxis som finns att tillgå på området och de utmaningar i anslutning till att påvisa vem som ska stå till svars som framgår av de domar som granskats, väcks dock en mer allmänt hållen fråga om i vilken mån straffrättsligt tjänsteansvar kan härledas ur de skyldigheter som definieras närmare i dataskyddslagstiftningen. Om man håller fast vid det nuvarande påföljdssystemet, kan en komplettering av systemet anses vara ett tillräckligt medel för att säkerställa att påföljdssystemet är heltäckande. Det viktigaste problemet med tanke på valet av påföljdstyp hänför sig dock till att det med stöd av de gällande straffbestämmelserna och bestämmelserna om brott mot tjänsteplikt inte är möjligt att påföra en myndighet en påföljd av straffkaraktär som organisation. Trots att EU-domstolens riktlinjer som preciserar syftet med artikel 83 i den allmänna dataskyddsförordningen (C-807/21, Deutsche Wohnen, dom av den 5 december 2023, 51 och 43 punkten) inte gäller det straffrättsliga påföljdssystemet, kan de ges en mer allmän betydelse med tanke på dataskyddsförordningens syfte. Utgångspunkten för den allmänna dataskyddsförordningen och dataskyddsdirektivet för brottsbekämpning är att de skyldigheter som föreskrivs i dem hör till den personuppgiftsansvariges ansvar. Av ingressen till dataskyddsdirektivet för brottsbekämpning framgår också uttryckligen att en påföljd också ska kunna påföras en organisation. Direktivet tar inte i sig ställning till vilken typ av påföljd som ska påföras den behöriga myndigheten. I regeringspropositionen har man kommit fram till bedömningen att det mest ändamålsenliga med tanke på ett korrekt genomförande av EU-rätten är att påföljden också ska kunna påföras en myndighet så, att gärningen eller försummelsen inte ska behöva tillskrivas en enskild tjänsteinnehavare. I detta fall är det nödvändigt att välja mellan samfundsbot och administrativ påföljdsavgift.
I enlighet med kravet på att inskränkningar av de grundläggande fri- och rättigheterna måste vara godtagbara, måste det kunna påvisas ett tungt vägande samhälleligt behov av en kriminalisering och också grunden för kriminaliseringen måste vara godtagbar inom systemet med de grundläggande fri- och rättigheterna (GrUU 9/2016 rd s.2, GrUU 23/1997 rd s. 2/II). Enligt grundlagsutskottet har till exempel skydd av offret (se GrUU 6/2014 rd, s. 2) samt skydd av vissa andra utsatta grupper (se GrUU 17/2006 rd, s. 3/I) och förbättrande av säkerhetsaspekterna i anslutning till olika skyddsintressen (se t.ex. GrUU 20/2002 rd och GrUU 26/2014 rd, s. 2) utgjort godtagbara grunder för kriminalisering. Däremot är fiskala mål inte godtagbara skäl för en lagstiftning om påföljder i straffrättsliga regleringssammanhang (GrUU 61/2014 rd, s. 2/II). Straffpåföljdens stränghet ska också stå i rätt proportion till gärningens klandervärdhet. Dessutom måste straffsystemet genomgående uppfylla proportionalitetskravet (GrUU 56/2014 rd, s. 3/II, GrUU 16/2013 rd, s. 2/I och GrUU 23/1997 rd, s. 2/II).
Vid bedömningen av de föreslagna bestämmelserna bör också grundlagsutskottets ställningstaganden om administrativa påföljder av sanktionskaraktär beaktas. Såsom det konstateras ovan har grundlagsutskottet i sin praxis jämställt ekonomiska påföljder av straffnatur med straffrättsliga påföljder. Administrativa förseelser påminner om straffrättsliga brott, eftersom administrativa påföljder innehåller sådana straffmässiga och förebyggande drag som är karakteristiska för straffrättsliga straff (se t.ex. Öztürk v. Tyskland, av den 21 februari 1984, 53 punkten). Utskottet har också betonat att administrativa påföljdsavgifter av sanktionskaraktär inte kan betraktas som skatter eller avgifter enligt 81 § i grundlagen och att syftet med dem inte är att finansiera statens utgifter eller att utgöra ersättningar eller vederlag för förmåner eller tjänster som det allmänna tillhandahåller den betalningsskyldig. (se t.ex. GrUU 32/2005 rd, s. 2/II, GrUU 12/2005 rd, s. 2/II, GrUU 46/2004 rd, s. 2/II och GrUU 61/2002 rd, s. 5/II). Med tanke på de bestämmelser som föreslås i regeringspropositionen är dessutom grundlagsutskottets ställningstaganden om påförande av påföljdsavgifter till myndigheter betydelsefulla (GrUU 13/2023 rd, GrUU 37/2021 rd och GrUU 14/2018 rd).
Utgångspunkten är att dataskyddslagstiftningens mål kan uppnås lika väl med bestämmelser om samfundsbot och om administrativa påföljdsavgifter. Båda är förenade med liknande utmaningar för myndigheterna. Det allmänt erkända syftet med straffsystemet, även bötessystemet, är att förebygga brott genom olika påverkansmekanismer och att minimera det lidande och de kostnader som brottsligheten och brottslighetskontrollen medför och se till att de drabbar de olika parterna på ett rättvist sätt (GrUU 9/2016 rd, s. 5). Syftet med bestämmelserna om administrativa påföljdsavgifter i den allmänna dataskyddsförordningen och de straffrättsliga påföljder som alternativt tillämpas på brott mot dataskyddslagstiftningen är väsentligt olika. Båda är dock förenade med ett förebyggande syfte.
Med beaktande av de ovan nämnda konstitutionella aspekterna och de synpunkter som framgår av EU-domstolens rättspraxis är det inte den mest ändamålsenliga lösningen att kriminalisera försummelser av skyldigheter enligt dataskyddslagstiftningen för myndigheternas del, utan det administrativa påföljdssystemet kan anses vara mer lämpligt. Samfundsboten är också förenad med problemet att det borde i organisationens verksamhet ha begåtts en gärning som ska betraktas som brott för att samfundsbot ska vara möjlig. I fråga om myndigheterna är det dessutom skäl att notera att de påföljder som påförs dem inte är förenade med en motsvarande frågeställning gällande avsaknad av grundläggande fri- och rättigheter som i fråga om påföljder som påförs enskilda. Ovan i konsekvensbedömningen har det i stället lyfts fram andra frågor som gäller påföljder som riktas till tillgångar och som är av betydelse med tanke på proportionaliteten hos påföljderna för myndigheterna.
I de föreslagna bestämmelserna om administrativa påföljdsavgifter som påförs myndigheter stöder man sig i huvudsak på de detaljerade förutsättningar för påförande av påföljdsavgift som anges i artikel 83 i den allmänna dataskyddsförordningen. Det första lagförslagets 24 a § 1 mom. innehåller en materiell hänvisningsbestämmelse genom vilken tillämpningen av artikel 83.1–3 säkerställs. I den föreslagna paragrafen föreskrivs det dessutom uttryckligen om kravet på att det vid beslut om påföljdsavgiftens belopp ska säkerställas att den står i rätt proportion till myndighetens storlek och ekonomiska ställning samt till hur allvarlig överträdelsen eller försummelsen är. Påföljdsavgifter som gäller myndigheter ska också vara möjliga för brott mot samma bestämmelser som uttryckligen nämns i artikel 83 som för personuppgiftsansvariga och personuppgiftsbiträden inom den privata sektorn. Till lagen om behandling av personuppgifter i brottmål fogas bestämmelser med motsvarande innehåll. Bestämmelserna i artikel 83 i den allmänna dataskyddsförordningen har formulerats exakt och av dem framgår tydligt att brott mot dem är straffbart. Med tanke på straffbarheten för brott mot dataskyddslagstiftningen uppfyller således de föreslagna bestämmelserna bättre kraven på noggrann avgränsning än de nuvarande bestämmelserna om brott mot tjänsteplikt.
En påföljdsavgift som riktar sig till en myndighet kan dock indirekt inverka på de grundläggande fri- och rättigheterna för förvaltningens kunder, vilket granskas närmare nedan. För att beakta grundlagsutskottets ställningstaganden har det i regeringspropositionen föreslagits begränsningar i bestämmelserna som gäller myndigheter. Samtidigt säkerställs regleringens proportionalitet med bestämmelserna om de maximala beloppen för påföljdsavgifter för myndigheter och om beaktande av myndighetens storlek och ekonomiska ställning.
Grunderna för påföljdsavgifternas storlek
Som det konstateras ovan har det i grundlagsutskottets utlåtandepraxis av hävd ansetts att bestämmelserna om ekonomiska påföljder av straffkaraktär ska uppfylla kraven på sanktioners proportionalitet. (GrUU 33/2025, 7 punkten, GrUU 46/2021 rd, 16 punkten, GrUU 39/2017 rd, s. 3, GrUU 2/2017 rd, s. 5, GrUU 15/2016 rd, s. 5 och GrUU 28/2014 rd, s. 2/II). Utskottet har i detta sammanhang ofta fäst uppmärksamhet vid huruvida en ekonomisk påföljd kan påföras förutom juridiska personer också fysiska personer. Utskottet anser att till exempel en påföljdsavgift på fem miljoner euro som påförs en fysisk person har verkat vara en relativt sträng påföljd (GrUU 15/2016 rd, s. 5). I utskottets praxis har också en påföljdsavgift, vars storlek föreslogs vara minst 500 och högst 40 000 euro, ansetts vara relativt stor, särskilt till den del den var avsedd att tillämpas också på fysiska personer (GrUU 46/2021 rd, 16 punkten). Grundlagsutskottet har betonat att det vid förhandlingar om förslag till EU-bestämmelser alltid ska fästas allvarlig uppmärksamhet vid att i synnerhet de påföljdsavgifter som riktar sig till fysiska personer ska vara proportionerliga till sitt maximibelopp. (GrUU 33/2025 rd, punkt 8).
Eftersom det i allmänhet inte har föreslagits att administrativa påföljdsavgifter ska göras möjliga för myndigheter, framgår det inte närmare av grundlagsutskottets tolkningspraxis hur stora påföljdsavgifter som är problematiska för myndigheter med tanke på proportionaliteten. I samband med behandlingen av lagförslaget om dataskyddslagen har utskottet dock påpekat att de påföljdsavgifter som grundar sig på den allmänna dataskyddsförordningen och vars maximibelopp fastställdes antingen på basis av ett fast maximibelopp (20 000 000 euro) eller en omsättningsmodell (fyra procent av företagets årsomsättning) är till beloppet betydande och kan leda till problem med tanke på proportionaliteten, vilket framhäver kraven på rättssäkerhet (GrUU 14/2018 rd, s. 17–18). Grundlagsutskottet fäste uppmärksamhet vid att hotet om en hög påföljdsavgift är problematiskt också i sitt ställningstagande som gällde myndigheter. (GrUU 14/2018 rd, s. 20). Tillämpning av artikel 83 i dataskyddsförordningen som sådan skulle innebära att de fasta maximibeloppen för påföljdsavgifter som anges i den artikeln skulle tillämpas på myndigheter. Trots att myndigheter med undantag för vissa fullmäktigeledamöter sällan är fysiska personer, är också de maximala påföljdsavgifter som möjliggörs för myndigheterna förenade med ett särskilt behov av att försäkra sig om att nivån på påföljdsavgifterna blir proportionerlig. Trots att en del myndigheter kan ha en stor budget, kan de medel som står till förfogande för betalning av faktiska oförutsedda utgifter vara små.
Artikel 83.1 i den allmänna dataskyddsförordningen förutsätter att tillsynsmyndigheten säkerställer att påförandet av en administrativ påföljdsavgift i enlighet med artikel 83 är i varje enskilt fall effektivt, proportionellt och avskräckande. Administrativa påföljdsavgifter ska, beroende på omständigheterna i det enskilda fallet, påföras utöver eller i stället för de åtgärder som avses i artikel 58.2 a-h och j. I artikel 83.2 i förordningen finns detaljerade bestämmelser om de aspekter som ska beaktas när påföljdsavgift påförs. I artikel 83.3 förutsätts det att om en personuppgiftsansvarig eller ett personuppgiftsbiträde, med avseende på en och samma eller sammankopplade uppgiftsbehandlingar, uppsåtligen eller av oaktsamhet överträder flera av bestämmelserna i denna förordning får den administrativa sanktionsavgiftens totala belopp inte överstiga det belopp som fastställs för den allvarligaste överträdelsen. Dessa bestämmelser ska i enlighet med den föreslagna 24 a § i dataskyddslagen tillämpas också när det är fråga om påföljdsprövning som gäller personuppgiftsansvariga eller personuppgiftsbiträden inom den offentliga sektorn.
Artikel 83.4 och 83.5 i den allmänna dataskyddsförordningen, där det föreskrivs om påföljdsavgifternas maximibelopp, ger inget handlingsutrymme i fråga om den privata sektorn. Däremot möjliggör artikel 83.7 handlingsutrymme för myndigheterna bl.a. till denna del. I den föreslagna 24 a § i dataskyddslagen och på motsvarande sätt i 58 c § i lagen om behandling av personuppgifter i brottmål föreskrivs det om de maximala påföljdsavgifter som ska tillämpas inom den offentliga sektorn och som beroende på överträdelsen ska vara 500 000 euro eller 1 000 000 euro. I bestämmelserna förutsätts det dessutom uttryckligen att det vid beslut om påföljdsavgiftens belopp ska säkerställas att påföljdsavgiften står i rätt proportion till myndighetens eller det offentliga organets storlek och ekonomiska ställning samt till hur allvarlig överträdelsen eller försummelsen är.
I de föreslagna maximibeloppen för påföljdsavgifter har det beaktats att när det gäller myndigheternas verksamhet uppstår regleringens förebyggande effekt på ett annat sätt än i företags verksamhet, eftersom myndigheternas verksamhet i regel inte är förknippad med strävan efter ekonomisk vinst. Således förebygger maximala påföljdsavgifter som är betydligt lägre än de maximibelopp som anges i dataskyddsförordningen överträdelser och försummelser av myndigheterna. Det att myndigheterna på grund av hot om påföljdsavgift iakttar mer omsorg och försiktighet än tidigare bland annat i fråga om informationssystemprojekt, har en förebyggande effekt med tanke på överträdelser. Myndigheterna kan också till exempel genom en överträdelse eller försummelse uppnå en ekonomisk inbesparing som kan anses vara en sådan indirekt ekonomisk fördel som avses i dataskyddsförordningen.
De föreslagna maximibeloppen för påföljdsavgifter är trots den lägre nivån än inom den privata sektorn fortfarande betydande mot bakgrund av grundlagstolkningspraxis, särskilt om det är fråga om en fysisk person i egenskap av myndighet (såsom fullmäktige) eller om myndighetens ekonomiska bärkraft är svag eller hela budgeten underskrider 500 000 euro. De maximala påföljdsavgifterna bör dock vara tillräckligt höga för att påföljdssystemet ska vara effektivt, avskräckande och proportionerligt för alla aktörer inom den offentliga sektorn. Genom det proportionalitetskrav som betonas i den föreslagna 24 a § i dataskyddslagen och 58 c § i lagen om behandling av personuppgifter i brottmål säkerställs det att maximibeloppet inte är möjligt när det gäller myndigheter med liten budget eller svag ekonomisk ställning. Trots att kravet på proportionalitet ingår i artikel 83.1 i den allmänna dataskyddsförordningen, finns det inget hinder för att upprepa det i den föreslagna formen, med beaktande av det handlingsutrymme som ges i punkt 7 i den artikeln som gäller i vilken mån påföljdsavgifter ska kunna påföras myndigheter och organ inom den offentliga förvaltningen.
Grundlagsutskottet har ansett att de bestämmelser som är relevanta för proportionaliteten gäller sanktionernas storlek i eurobelopp, men också de omständigheter som ska beaktas vid fastställandet av påföljdens storlek och avstående från påföljdsavgift. Utskottet har också i sin praxis förutsatt att myndighetens prövning vid beslut om att inte påföra påföljdsavgift ska vara bunden prövning, dvs. att påföljdsavgift inte ska påföras om de villkor som anges i bestämmelsen är uppfyllda (GrUU 46/2021, 17 punkten, se även GrUU 49/2017 rd, GrUU 39/2017 rd). Grundlagsutskottet har utöver andra förutsättningar för påförande av administrativa påföljdsavgifter också fäst vikt vid att påföljdsavgifterna ska vara sistahandsåtgärder och har förutsatt att det framgår av lag att de är sistahandsåtgärder (GrUU 46/2021 rd, punkterna 18 och 19). De omständigheter som nämns i grundlagsutskottets utlåtandepraxis framgår i huvudsak av artikel 83.1–3 i den allmänna dataskyddsförordningen, där det föreskrivs om förutsättningarna för påförande av administrativ påföljdsavgift, och de gäller också den offentliga sektorn. Dessa förutsättningar för påförande av påföljdsavgifter innehåller inget nationellt handlingsutrymme. Motsvarande bestämmelser föreslås bli intagna i 58 b § i lagen om behandling av personuppgifter i brottmål.
Artikel 83.7 i dataskyddsförordningen möjliggör dock användning av handlingsutrymmet till den del påföljdsavgifter kan påföras myndigheter. Med beaktande av de krav som framgår av grundlagstolkningspraxis betonas i 24 a § i dataskyddslagen och 58 b § i lagen om behandling av personuppgifter i brottmål att påföljdsprövningen ska vara bunden till förutsättningarna för påförande av påföljdsavgift samt att påföljden ska tillgripas i sista hand. Principen om att påföljdsavgift ska tillämpas i sista hand framgår inte entydigt av bestämmelserna i den allmänna dataskyddsförordningen eller av motiveringen i skälen, även om en prövning som är bunden till förutsättningarna för påförande av påföljdsavgift enligt artikel 83 i praktiken innebär det, med beaktande också av de krav på uppsåt eller oaktsamhet som EU-domstolen betonar. (C-683/21, Nacionalinis visuomenės sveikatos centras, dom av den 5 december 2023, 73 punkten). De föreslagna bestämmelserna som betonar principen om sistahandsåtgärd bedöms vara möjliga inom ramen för handlingsutrymmet avseende eventuella myndigheter utan att de äventyrar likabehandlingen av personuppgiftsansvariga och personuppgiftsbiträden inom den privata och offentliga sektorn. Med sistahandsåtgärd avses i praktiken att andra tillgängliga korrigerande åtgärder i enskilda fall inte är tillräckliga på basis av den prövning som är bunden till artikel 83.1–3. Påförande av påföljdsavgift förutsätter dock inte att dataombudsmannen först vidtar andra åtgärder, utan ombudsmannen kan enligt sin prövning påföra påföljdsavgift tillsammans med eller i stället för andra åtgärder (HFD:2023:81, 50 punkten).
De föreslagna bestämmelserna om grunderna för bestämmande av påföljdsavgiftens storlek som fogas till dataskyddslagen och de direkt tillämpliga bestämmelserna i den allmänna dataskyddsförordningen samt motsvarande bestämmelser i lagen om behandling av personuppgifter i brottmål uppfyller enligt den bedömning som gjorts i propositionen som helhet de krav som framgår av grundlagstolkningspraxis om sanktioners proportionalitet. Grundlagsutskottets bedömning av huruvida de föreslagna anpassningarna av myndigheterna är tillräckliga är dock nödvändig, med hänsyn till att myndigheternas verksamhet avviker till sin natur från privatsektorn.
Förbud mot dubbel straffbarhet (ne bis in idem)
I samband med beredningen av regeringspropositionen har det bedömts huruvida en utvidgning av de administrativa påföljdsavgifterna till att gälla myndigheter kan ge upphov till frågor som gäller förbudet mot dubbla straff. I artikel 4 i tilläggsprotokoll 7 till Europakonventionen ingår ne bis in idem-regeln som säger att ingen får lagföras eller straffas på nytt i en brottmålsrättegång i samma stat för ett brott för vilket han redan har blivit slutligt frikänd eller dömd i enlighet med lagen och rättegångsordningen i denna stat. Samma princip ingår i artikel 14.7 i internationella konventionen om medborgerliga och politiska rättigheter och artikel 50 i EU:s stadga om de grundläggande rättigheterna. Förbudet anses också ingå i bestämmelsen om lagfästa garantier för en rättvis rättegång i 21 § 2 mom. i Finlands grundlag (GrUU 9/2012 rd s. 3, RP 309/1993 rd s. 77/I).
I Europeiska domstolen för de mänskliga rättigheternas avgörandepraxis begränsar sig tillämpningsområdet för förbudet inte enbart till egentliga domar som gäller straffrättsliga påföljder, utan det sträcker sig även till olika administrativa påföljder som har karaktären av straff. Påförande av en påföljdsavgift av straffkaraktär för samma gärning för vilken en straffrättslig påföljd påförts kan leda till att påföljdsavgiften omfattas av tillämpningsområdet för artikel 4 i protokoll 7 till Europakonventionen (Sergey Zolotukhin v. Ryssland, dom av den 10 februari 2009 (stora kammaren), punkterna 52–57; se även t.ex. Jussila v. Finland, dom av den 23 november 2006, och Ruotsalainen v. Finland, dom av den 16 juni 2009). På motsvarande sätt har artikel 50 i stadgan om de grundläggande rättigheterna tolkats i EU-domstolens rättspraxis (t.ex. C-524/15, Menci, dom av den 20 mars 2018, 30 punkten). Förbudet mot dubbel straffbarhet kan inte anses gälla enbart förfaranden som följer på varandra, utan också förfaranden som är anhängiga samtidigt. Denna tolkning kan härledas redan ur ordalydelsen i nämnda artikel i Europakonventionen och verkar också motsvara de riktlinjer som dragits upp i Europadomstolens rättspraxis (se ovan nämnda (se t.ex. Sergey Zolotukhin-domen och Tomasovic mot Kroatien, dom av den 18 oktober 2011; se även GrUU 9/2012 rd, s. 3)
Också grundlagsutskottet har i sin vedertagna praxis jämställt ekonomiska påföljder av straffnatur med straffrättsliga påföljder (t.ex. GrUU 39/2017 rd, s. 3, GrUU 2/2017 rd, s. 5, GrUU 15/2016 rd, s. 4, GrUU 10/2016 rd s. 7 och GrUU 28/2014 rd, s. 2/II). Grundlagsutskottet har i samband med bestämmelserna om påföljder av straffkaraktär bedömt om kraven i förbudet mot dubbel straffbarhet har beaktats på behörigt sätt (GrUU 10/2016 rd och GrUU 17/2013 rd). I strafflagens bestämmelse om dataskyddsbrott har man försäkrat sig om att bestämmelsens tillämpningsområde är ett annat än för administrativa påföljdsavgifter enligt dataskyddsförordningen, varvid ne bis in idem-frågan knappast kommer upp. I andra brottsbeteckningar som det hänvisas till i de gällande straffbestämmelserna i dataskyddslagen och dataskyddslagen avseende brottmål är det inte heller fråga om brott mot skyldigheterna enligt dataskyddslagstiftningen.
Det finns tills vidare lite rättspraxis i fråga om den privata sektorn, men ne bis in idem-effekten kan beaktas också i samband med tillämpningen av lagen. Med tanke på dataskyddsbrottets klart separata tillämpningsområde, blir en avvägning av förbudet mot dubbla straff dock inte nödvändigtvis aktuell i motiveringar till påföljdsprövningar, även om en straffprocess vore samtidigt anhängig i sakhelheten (till exempel beslut dnr 1150/161/2021 av den 7 december 2021 om försummelse att anmäla en personuppgiftsincident, som nämns i bedömningspromemorian). När det gäller myndigheter är det dock i praktiken vid tjänstebrott i stället för vid dataskyddsbrott som frågan om ne bis in idem-principen kan uppstå. Till den del det är fråga om brott mot dataskyddsförordningen eller lagen om behandling av personuppgifter i brottmål hos en myndighet, omfattar närmast bestämmelserna om tjänstebrott försummelserna. Den personuppgiftsansvarige eller personuppgiftsbiträdet är i fråga om myndigheter i allmänhet en organisation, medan endast fysiska personer kan dömas för tjänstebrott, så frågan verkar närmast teoretisk när det gäller myndigheter. Påföljdsavgift påförs i princip direkt den personuppgiftsansvarige eller personuppgiftsbiträdet utan att det i organisationen behöver anvisas en person som är ansvarig för en enskild överträdelse. När det gäller kollegialt beslutsfattande kan det straffrättsliga tjänsteansvaret i sig ibland bedömas samtidigt som den administrativa prövningen av påföljdsavgiften.
Liksom med påföljdsbestämmelserna för dataskyddsbrott, skyddas med den administrativa påföljdsavgiften dock ett annat rättsintresse än genom en straffrättslig påföljd för tjänstebrott (jfr Vasa hovrätts dom VaaHO:2023:3). I rättspraxis har man å andra sidan också godkänt en viss överlappning i förfarandena. Den omständigheten att två förfaranden eftersträvar olika mål av allmänintresse som är berättigade att skyddas samtidigt kan vid prövningen av huruvida det är förenligt med proportionalitetsprincipen att förfarandena och påföljderna överlappar varandra, beaktas som en omständighet som syftar till att motivera denna överlappning, förutsatt att dessa förfaranden kompletterar varandra och att den ytterligare börda som denna överlappning medför således kan motiveras av de två eftersträvade målen. I detta fall är det viktigt att regleringen är tydlig, att de överlappande förfarandena är nödvändiga och samordnade samt att påföljderna är proportionerliga (C-117/20, bpost SA v. Autorité belge de la concurrence, dom av den 22 mars 2022 (stora kammaren), 49–50 punkten, C-524/15, Menci, dom av den 20 mars 2018, 49, 52, 53, 55 och 58 punkten, samt Europadomstolens dom av den 15 november 2016, A och B v. Norge, 130–132 punkten, se även GrUU 9/2012 rd).
I regeringspropositionen föreslås det dock att det till straffbestämmelserna i båda lagarna fogas hänvisningar till strafflagens paragrafer om brott mot tjänsteplikt. Genom hänvisningarna förtydligas fullgörandet av skyldigheterna enligt EU-rätten i synnerhet för att beakta de myndigheter på vilka administrativa påföljdsavgifter inte ska tillämpas. Administrativa påföljdsavgifter innebär inte heller att en enskild tjänsteinnehavare i vissa fall kunde ensam ha straffrättsligt tjänsteansvar för brott mot dataskyddslagstiftningen i stället för att det skulle vara fråga om en försummelse som organisationen ansvarar för.
Med beaktande av ovannämnda synpunkter och det faktum att eventuella ne bis in idem-situationer med stor sannolikhet är sällsynta och att det mot bakgrund av rättspraxis inte finns något hinder för delvis överlappning, är det inte problematiskt att utsträcka de administrativa påföljdsavgifterna till att gälla myndigheter med hänsyn till förbudet mot dubbla straff.
Utövning av offentlig makt, rättsskydd och garantier för god förvaltning
De föreslagna bestämmelserna är av betydelse med tanke på utövningen av offentlig makt enligt 2 § 3 mom. i grundlagen och garantierna för rättsskydd och god förvaltning enligt 21 § i grundlagen. De allmänna grunderna för administrativa påföljder ska anges i lag i enlighet med 2 § 3 mom. i grundlagen, eftersom det innebär utövning av offentlig makt att ålägga en sådan påföljd. Grundlagsutskottet har ansett att påförande av administrativa påföljder av straffkaraktär innebär betydande utövning av offentlig makt. Med beaktande av 124 § i grundlagen kan därför ingen annan än en myndighet ges behörighet att påföra påföljdsavgift. (se till exempel GrUU 49/2017 rd, GrUU 14/2013 rd, GrUU 57/2010 rd, GrUU 55/2005, GrUU 32/2005 rd). Grundlagsutskottet har ansett att ju strängare påföljd det är fråga om, desto större blir betydelsen av garantierna för rättsskydd och för behörigt förfarande enligt 21 § i grundlagen (GrUU 14/2018 rd, s. 19).
Enligt 21 § 1 mom. i grundlagen har var och en rätt att på behörigt sätt och utan ogrundat dröjsmål få sin sak behandlad av en domstol eller någon annan myndighet som är behörig enligt lag. När det är fråga om en förvaltningsmyndighets verksamhet ska vid behandlingen av ärendet iakttas garantierna för god förvaltning, vilka enligt 2 mom. är bl.a. offentligheten vid behandlingen, rätten att bli hörd och att få motiverade beslut samt rätten att söka ändring. Enligt i grundlagen ska dessa garantier för en god förvaltning tryggas genom lag. Trots att bestämmelserna om de grundläggande fri- och rättigheterna i huvudsak skyddar fysiska personers rättigheter, är myndigheterna personuppgiftsansvariga och personuppgiftsbiträden enligt dataskyddslagstiftningen, och dataombudsmannen fattar förvaltningsbeslut om dem. Genom de föreslagna bestämmelserna om påföljdsavgift ingriper man i användningen av den finansiering som reserverats för myndigheternas verksamhet. Garantierna för god förvaltning har också i detta fall en accentuerad betydelse. Myndigheten har rätt att söka ändring i dataombudsmannens beslut genom besvär hos förvaltningsdomstolen i enlighet med dataskyddslagen och lagen om behandling av personuppgifter i brottmål.
På påförande av administrativa påföljdsavgifter tillämpas utöver artikel 83 i den allmänna dataskyddsförordningen också bestämmelserna i 24 § i dataskyddslagen. Till den del det inte föreskrivs om saken i dem tillämpas förvaltningslagen på dataombudsmannens beslutsfattande. Grundlagsutskottet har ansett att man säkerställer att förfarandet för att påföra påföljdsavgifter är behörigt, oavhängigt och rättvist på det sätt som krävs i 21 § i grundlagen genom lagstiftning om att ett kollegialt organ är behörigt att fatta beslut om att påföra påföljdsavgift (GrUU 14/2018 rd). Grundlagsutskottet har dessutom fäst avseende vid att betydelsen av rättsskyddsarrangemang i anslutning till förfarandet accentueras av att det i dataskyddsförordningen inte närmare fastställs hur stor påföljdsavgift som ska påföras i varje enskilt fall. I förordningen fastställs endast mycket höga avgiftstak och anges olika faktorer som ska beaktas när administrativa sanktioner påförs (artikel 83.2). (GrUU 14/2018 rd, GrUU 24/2018 rd).
Enligt 24 § 1 mom. i dataskyddslagen påförs en administrativ påföljdsavgift enligt artikel 83 i dataskyddsförordningen av ett påföljdskollegium som består av dataombudsmannen och de biträdande dataombudsmännen tillsammans. I paragrafen föreskrivs det också om det förfarande som ska tillämpas vid påförande av påföljdsavgift, där beslut om påföljdsavgift fattas på föredragning. Bestämmelserna om påföljdskollegiet fogades till lagförslaget under riksdagsbehandlingen med anledning av grundlagsutskottets utlåtanden (GrUU 14/2018 rd, GrUU 24/2018 rd) i förvaltningsutskottets betänkande för att beakta att det lagstadgade påföljdskollegiet ska utöva betydande offentlig makt. Därför skulle dess sammansättning med anledning av 2 § 3 mom. och 119 § 2 mom. i grundlagen framgå direkt av lag. Bestämmelserna behövde preciseras också genom bestämmelser om kollegiets beslutsförhet. Grundlagsutskottet ansåg i sitt senare utlåtande att den reglering som förvaltningsutskottet föreslog i huvudsak kan anses uppfylla minimikraven, men att lösningen inte kunde anses optimal med tanke på 21 § i grundlagen. Ett påföljdskollegium som består av tre tjänstemän kan i och för sig anses vara ett kollegialt organ. Grundlagsutskottet ansåg dessutom att den bestämmelse om beslutsförfarande som förvaltningsutskottet föreslog är ändamålsenlig (GrUU 24/2018 rd, s. 3). Det föreslås att bestämmelser med motsvarande innehåll som i den gällande dataskyddslagen ska fogas till lagen om behandling av personuppgifter i brottmål för att beakta de krav som följer av 2 § 3 mom. i grundlagen.
Grundlagsutskottet ansåg också att det föreslagna kollegiet inte heller på bästa möjliga sätt uppfyllt kraven på oberoende och opartiskhet som förutsätts i förordningen, när den uteslutande består av tillsynsmyndigheten själv. Enligt grundlagsutskottet hade det av skäl som hänför sig till 21 § i grundlagen varit befogat att skilja på dataombudsmannens och påföljdsorganets uppgifter och att dataombudsmannen därför inte ska ingå i det organ som beslutar om administrativ påföljdsavgift. Samtidigt hade det varit konsekvent att i lagen ta in bestämmelser om utredning och annan beredning av det som påföljdsorganet ska besluta om och om föredragning som en uppgift för dataombudsmannen. Också de särskilda kraven på rättssäkerhet och beslutsprocesser när det bestäms hur sträng den administrativa påföljdsavgiften enligt dataskyddsförordningen ska vara talar enligt grundlagsutskottet starkt för att rätten att påföra avgiften och rätten att utreda grunderna för att påföra avgiften separeras. Grundlagsutskottet menar att en sådan organisatorisk separering även stärker påföljdsorganet oberoende ställning och rätten till försvar som ingår i parternas rättssäkerhetsgarantier. (GrUU 24/2018 rd s. 4, se även GrUU 14/2018 rd, s. 19.)
Av grundlagsutskottets utlåtanden förblir det oklart om det behövs ytterligare ändringar i organisationen eller förfarandet enligt den gällande regleringen i en situation där det vore möjligt att påföra en påföljdsavgift också för en myndighet. Dataombudsmannens organisation bedömdes på nytt vid justitieministeriet. Genom regeringens proposition RP 31/2023 rd avhjälptes dock endast det missförhållande i dataombudsmannens oberoende som framgår av grundlagsutskottets utlåtande 24/2018. Grundlagsutskottet ansåg att det faktum att dataombudsmannens byrå verkar i anslutning till justitieministeriet inte kunde anses vara helt problemfritt med tanke på att dataskyddsmyndigheten har mycket betydande sanktionsbefogenheter, vars utövande ska vara organisatoriskt oberoende för att rättsskyddet enligt 21 § i grundlagen ska tillgodoses. Dataskyddslagen ändrades så att dataombudsmannen inte längre finns i anslutning till justitieministeriet utan inom justitieministeriets förvaltningsområde.
I regeringspropositionen föreslås det inga ändringar i dataombudsmannens organisation och förfaranden, utan föredragnings- och beslutsförfarandet enligt den gällande dataskyddslagen ska också tillämpas på myndigheter. Med anledning av grundlagsutskottets ovannämnda iakttagelser är det nödvändigt att ta in bestämmelser med motsvarande innehåll också i lagen om behandling av personuppgifter i brottmål. Med beaktande av vad grundlagsutskottet har uttalat sig om att i den allmänna dataskyddsförordningen inte närmare fastställs storleken på de påföljdsavgifter som ska tillämpas, föreslås det att i bestämmelserna tas in anpassningar som beaktar myndighetsverksamhetens karaktär. De maximala påföljdsavgifter som kan påföras myndigheterna är enligt förslaget för det första betydligt lägre än för den privata sektorns del. Eftersom enbart ett maximibelopp skulle lämna beloppet av den påföljdsavgift som påförs i ett enskilt fall till fri prövning och det är fråga om utövning av offentlig makt i förhållande till en annan myndighet, ska myndighetens storlek och ekonomiska ställning dessutom beaktas när påföljdsavgiften påförs. Enligt den bedömning som gjorts i regeringspropositionen är dessa tilläggskrav nödvändiga.
Med beaktande av den ovan nämnda lagändringen som betonar dataombudsmannens oberoende och de begränsningar gällande myndigheterna som föreslås i regeringspropositionen bedöms det nuvarande kollegiala beslutsförfarandet uppfylla minimigarantierna för god förvaltning enligt 21 § i grundlagen.
Grundlagsutskottet har fäst uppmärksamhet vid att en utvidgning av bestämmelserna om påföljdsavgift till myndighetsverksamhet inte är problemfri i konstitutionellt hänseende. Det straffrättsliga påföljdssystemet är dock förknippat med de brister som lyfts fram i denna proposition, och i samband med behandlingen av förslaget till dataskyddslag bedömdes inte det straffrättsliga och administrativa påföljdssystemet samtidigt som helhet. Grundlagsutskottets bedömning behövs i fråga om det, huruvida de föreslagna bestämmelserna om påförande av påföljdavgift för myndigheter uppfyller kraven på förvaltningens lagbundenhet, med beaktande av utövandet av betydande offentlig makt i förhållande till myndigheter.
Hur användningen av handlingsutrymmet påverkar skyddet för de grundläggande fri- och rättigheterna och de mänskliga rättigheterna
Enligt 22 § i grundlagen ska det allmänna se till att de grundläggande fri- och rättigheterna och de mänskliga rättigheterna tillgodoses. Enligt sin ordalydelse hänvisar denna skyldighet till systemet för de grundläggande fri- och rättigheterna och de mänskliga rättigheterna som helhet, inte enbart till en enskild grundläggande fri- och rättighet. Enligt förarbetena till dataskyddslagen är grundläggande rättigheter och friheter som hör nära samman med skyddet av personuppgifter utöver skyddet för privatlivet även rätt till heder, rätt till likabehandling, rätt till personlig integritet, rätt till människovärdig behandling, rätt till trygghet samt jämlikhet och förbud mot diskriminering och rätt till medinflytande i frågor som gäller dem själva, religionsfrihet och samvetsfrihet, yttrandefrihet och offentlighet (RP 9/2018 rd, s. 6). Dessutom ska garantierna för god förvaltning enligt 21 § i grundlagen beaktas.
I kommissionens förslag till EU-lagstiftning om dataskydd har det beaktats att dataskyddsreformen också kan påverka flera andra grundläggande rättigheter som fastställs i stadgan om de grundläggande rättigheterna. I kommissionens konsekvensbedömning har det ansetts att bestämmelserna om dataskydd utöver skyddet för privatlivet också har en positiv inverkan på bl.a. barnets rättigheter, förbudet mot diskriminering, yttrandefriheten och näringsfriheten. Det uttryckliga syftet med dataskyddsförordningen är att ha en positiv inverkan också på tillgodoseendet av andra grundläggande fri- och rättigheter och på den fria rörligheten, även om den skyddar särskilt personuppgifter. Förordningen innehåller också flera bestämmelser där förhållandet till andra grundläggande fri- och rättigheter särskilt har beaktats.
Grundlagsutskottet har betonat att skyddet för privatlivet och personuppgifter bör stå i proportion till andra grundläggande och mänskliga rättigheter samt till andra vägande samhälleliga intressen som allmän säkerhet, som i extrema fall kan gå tillbaka på den personliga säkerheten som grundläggande rättighet (GrUU 5/1999 rd, s. 2/II). Lagstiftaren ska garantera skyddet för privatlivet och personuppgifter på ett sätt som är godtagbart med avseende på de samlade grundläggande fri- och rättigheterna (GrUU 14/2018 rd, s. 20). Grundlagsutskottet har också understrukit att skyddet för privatlivet och personuppgifter inte har företräde framför andra grundläggande fri- och rättigheter. Bedömningen går ut på att samordna och avväga två eller flera bestämmelser om de grundläggande fri- och rättigheterna ( t.ex. GrUU 54/2014 rd, s. 2/II, GrUU 10/2014 rd, s. 4/II). EU-domstolen har upprepade gånger påmint om att de grundläggande rättigheter som fastställs i artiklarna 7 och 8 i stadgan om de grundläggande rättigheterna inte är absoluta, utan de ska stå i proportion till deras roll i samhället. (T.ex. C-623/17, Privacy International, dom av den 6 oktober 2020, 63 punkten och där hänvisad rättspraxis; se även de förenade målen C-92/09 och C-93/09, Volker und Markus Schecke och Eifert, dom av den 9 november 2010).
Grunden för behandlingen av personuppgifter är nästan utan undantag en sådan rättslig förpliktelse som avses i artikel 6.1 c i dataskyddsförordningen eller utförande av en uppgift av allmänt intresse eller myndighetsutövning som avses i artikel 6.1 e. Således finns det vid sidan av den allmänna dataskyddsförordningen närmare bestämmelser om myndigheternas behandling av personuppgifter annanstans i lag. Detsamma gäller i princip också de behöriga myndigheter som avses i lagen om behandling av personuppgifter i brottmål, i fråga om vilka det i de uppgifter som avses i lagens tillämpningsbestämmelse är fråga om uppgifter av allmänt intresse, som dessutom vanligen är förenade med utövning av offentlig makt. En myndighet ska i alla situationer sköta sina lagstadgade uppgifter. I myndighetens lagstadgade uppgifter är det också till största delen fråga om att trygga, främja eller begränsa någon grundläggande fri- och rättighet. Myndighetens skyldighet att trygga och främja de grundläggande fri- och rättigheterna och de mänskliga rättigheterna i all sin verksamhet begränsar sig inte till 10 eller 12 § i grundlagen.
De administrativa påföljdsavgifterna ger ett exceptionellt starkt skydd för privatlivet och personuppgifter. Att myndigheterna ska omfattas av administrativa påföljdsavgifter utan undantag medför enligt grundlagsutskottets bedömning också risker för hur myndigheterna sinsemellan väger de grundläggande fri- och rättigheter som konkurrerar med dessa rättigheter. (GrUU 14/2018 rd, s. 20–21). I bedömningspromemorian som föregår regeringens proposition har man närmare bedömt situationer som kan vara förenade med avvägning av skyddet för privatlivet och skyddet för personuppgifter i förhållande till andra grundläggande fri- och rättigheter som konkurrerar med den eller andra vägande samhälleliga intressen som hänför sig till myndighetens lagstadgade uppgift (bedömningspromemorian s. 69–74). Avvägningen av de grundläggande fri- och rättigheterna kan gälla till exempel bedömningen av konsekvenserna för dataskyddet samt anmälningar om personuppgiftsincidenter. Dessutom kan avvägningen av de grundläggande fri- och rättigheterna hänföra sig till tillgodoseendet av den registrerades rättigheter särskilt i sådana situationer där rättigheterna kan behöva begränsas t.ex. för att trygga ett allmänt intresse eller för att skydda andra personers rättigheter, eller t.ex. när personuppgifter överförs till ett tredjeland eller en internationell organisation.
Riskerna för skyddet av de grundläggande fri- och rättigheterna är dock inte alltid omedelbara med beaktande av att myndigheterna i alla situationer ska iaktta lag. Avvägningen av de grundläggande fri- och rättigheterna hänför sig till mycket olika myndighetsuppgifter, om vilka det ofta föreskrivs i detalj i lag, såsom socialmyndigheternas uppgifter och utövandet av polisens befogenheter. Det att myndigheterna i egenskap av personuppgiftsansvariga eller personuppgiftsbiträden bryter mot den registrerades rättigheter i anslutning till dataskyddet kan också försämra tillgodoseendet av andra grundläggande fri- och rättigheter. Detta har uttryckligen beaktats i Europeiska kommissionens konsekvensbedömning.
Med beaktande av de begränsningar av administrativa påföljdsavgifter som gäller myndigheter som föreslås i regeringens proposition, de uttryckliga kraven på beaktande av de grundläggande fri- och rättigheterna i den allmänna dataskyddsförordningen och lagen om behandling av personuppgifter i brottmål, myndighetens lagstadgade skyldighet att skydda de grundläggande fri- och rättigheterna samt principen om förvaltningens lagbundenhet, bedöms bestämmelserna om myndigheterna som helhet i tillräcklig mån säkerställa att skyddet för personuppgifter inte får ett ogrundat starkt skydd i förhållande till andra grundläggande fri- och rättigheter. I regeringspropositionen bedöms det dock att ett undantag från detta utgörs av den offentlighet och yttrandefrihet som tryggas i 12 § i grundlagen och som också grundlagsutskottet fäste särskilt avseende vid i samband med behandlingen av förslaget till dataskyddslag.
Offentlighet och yttrandefrihet
Enligt 12 § 2 mom. i grundlagen är handlingar och upptagningar som innehas av myndigheterna offentliga om inte offentligheten av tvingande skäl särskilt har begränsats genom lag. Var och en har rätt att ta del av offentliga handlingar och upptagningar.
I sin praxis har grundlagsutskottet fäst särskild uppmärksamhet vid förhållandet mellan handlingarnas offentlighet enligt 12 § 2 mom. i grundlagen och skyddet av privatlivet och personuppgifter, och har betonat balansen mellan dem (se t.ex. GrUU 60/2017 rd s. 3 och GrUU 43/1998 rd, s. 2/II, se även GrUU 22/2008 rd, s. 3/II). Utskottet har ansett att exempelvis sekretess för känsliga uppgifter kan ses som nödvändig för att skydda privatlivet i enlighet med 10 § 1 mom. i grundlagen (GrUU 39/2009 rd, s. 2/II). Främjande av en annan grundläggande rättighet är ett tvingande skäl som ger möjlighet att separat i lag begränsa myndighetshandlingars offentlighet enligt 12 § 2 mom. i grundlagen (GrUU 2/2008 rd, GrUU 40/2005 rd). Däremot är löneuppgifter inom den offentliga förvaltningen inte förankrade i ett så starkt intresse att skydda den personliga integriteten att det i ljuset av den grundläggande rättigheten gällande handlingars offentlighet berättigar till omfattande sekretess för uppgifterna. Utskottet ansåg att bestämmelsen måste ändras för att lagförslaget ska kunna behandlas i vanlig lagstiftningsordning (GrUU 43/1998 rd, s. 7–8).
Vid behandlingen av förslaget till dataskyddslag fäste grundlagsutskottet avseende vid att hotet om påföljdsavgift som påförs för försummelse att tillgodose en enda grundläggande rättighet kan leda till att framför allt offentlighetsprincipen efterlevs i snävare omfattning i myndighetsverksamheten. (GrUU 14/2028 rd). Enligt den bedömning som gjorts i regeringens proposition är denna risk uppenbar med beaktande av den rättspraxis i fråga om handlingars offentlighet som nämns ovan i specialmotiveringen. Skyddet för privatlivet och personuppgifter står ofta i strid med offentlighetsprincipen tydligare än de övriga grundläggande fri- och rättigheterna och de mänskliga rättigheterna. Offentlighetsprincipen har också ett nära samband med yttrandefriheten. Således kan en inskränkning av offentlighetsprincipen också ha konsekvenser för utövandet av yttrandefriheten.
Enligt första meningen i 12 § 1 mom. i grundlagen har var och en yttrandefrihet. Enligt den andra meningen i momentet hör till yttrandefriheten rätten att framföra, sprida och ta emot information, åsikter och andra meddelanden utan att någon i förväg hindrar detta. Motsvarande bestämmelser om yttrandefrihet finns i artikel 11.1 i Europeiska unionens stadga om de grundläggande rättigheterna. Enligt artikel 2 i stadgan ska mediernas frihet och mångfald respekteras. Samordningen av dataskyddet och yttrande- och informationsfriheten har i Finland i enlighet med kraven i artikel 85 i dataskyddsförordningen genomförts genom bestämmelserna i 27 § i dataskyddslagen. Paragrafen innehåller en detaljerad förteckning över undantag och begränsningar i tillämpningen av bestämmelserna i dataskyddsförordningen. Det framgår av rättspraxis att yttrandefrihet och skydd av personuppgifter är rättigheter som i princip bör ges samma vikt (se t.ex. Standard Verlagsgesellschaft mbH v. Österrike (nr 3), dom av den 7 december 2021, 84 punkten och de domar som det hänvisas till där).
I regeringspropositionen föreslås ett undantag i fråga om administrativa påföljdsavgifter i fråga om de behandlingssituationer som omfattas av tillämpningsområdet för artikel 86 i den allmänna dataskyddsförordningen. Enligt det föreslagna undantaget ska påföljdsavgift inte kunna påföras i sådana situationer där personuppgifter lämnas ut enligt artikel 86 och som hänför sig till samordning av kraven på handlingars offentlighet och dataskydd. Den föreslagna regleringen är möjlig inom ramen för handlingsutrymmet i artikel 83.7 i den allmänna dataskyddsförordningen. Genom det föreslagna undantaget förhindras regleringens inskränkande effekt på offentligheten och yttrandefriheten särskilt i situationer som lämnar rum för tolkning. Den föreslagna undantaget i fråga om tillämpningsområdet gäller också sammanslutningar, stiftelser och enskilda personer som tillämpar offentlighetslagen.
Det föreslagna undantaget från påförandet av administrativa påföljdsavgifter som hänför sig till tillämpningen av offentlighetsprincipen bedöms vara tillräckligt för att säkerställa att de bestämmelser som föreslås i regeringspropositionen inte är problematiska med tanke på samordnandet av skyddet för personuppgifter och offentligheten.
Grundlagsutskottet har ansett att det i princip är problematiskt att påföra en myndighet en administrativ påföljdsavgift. Utifrån grundlagstolkningspraxis förblir det dock oklart vilken betydelse det bör tillmätas att penningpåföljder redan nu är möjliga i Finland med stöd av vissa nationella lagar och EU-rättsakter, och under vilka förutsättningar och med vilka begränsningar en administrativ påföljdsavgift är möjlig i dataskyddslagstiftningskontext. De föreslagna bestämmelserna bedöms som helhet säkerställa att den påföljdsavgift som påförs en myndighet för brott mot dataskyddslagstiftningen inte hindrar eller oskäligt försvårar skötseln av myndighetens lagstadgade uppgifter.
Med stöd av vad som anförts ovan kan lagförslagen behandlas i vanlig lagstiftningsordning. De föreslagna bestämmelserna i 24 och 24 a § i dataskyddslagen och i 51 och 58 a–58 c § i lagen om behandling av personuppgifter i brottmål avviker dock från grundlagsutskottets ovannämnda tolkning på det sättet, att administrativ påföljdsavgift ska enligt förslaget i fortsättningen kunna påföras myndigheter. Eftersom grundlagsutskottet har i sin utlåtandepraxis konstaterat att det är problematiskt i konstitutionellt hänseende av flera orsaker, behövs grundlagsutskottets ställningstagande om den föreslagna regleringens godtagbarhet.
Regeringen anser det önskvärt att grundlagsutskottet ger ett utlåtande i frågan.