EK:n lausunto hallituksen esitysluonnokseen EU:n datasäädöstä täydentäväksi kansalliseksi lainsäädännöksi

Liikenne- ja viestintäministeriö | 20.12.2024 | VN/27438/2023

EK kiittää lausuntomahdollisuudesta ja esittää lausuntonaan seuraavaa.

Taustaa

Hallituksen esitysluonnoksessa ehdotetaan säädettäväksi uusi laki datan hallinnan ja jakamisen valvonnasta sekä muutettaviksi eräitä muita lakeja, kuten sähköisen viestinnän palveluista annettua lakia, josta siirrettään EU:n datanhallinta-asetusta täydentävät kansalliset säännökset muuttumattomina datanhallinnan ja jakamisen valvonnasta annettavaan uuteen lakiin. Esityksellä toimeenpannaan EU:n datasäädös, jonka toimeenpano edellyttää jäsenvaltioilta kansallista sääntelyä mm. asetuksen valvonnasta ja seuraamuksista.

Datan hallinnan ja jakamisen valvonnasta annettavassa laissa nimetään kansallisesti toimivaltaiset valvontaviranomaiset, joista Liikenne- ja viestintävirasto (Traficom) on pääasiallisessa vastuussa EU:n datasäädöksen kansallisesta noudattamisesta. Muita kansallisia valvontaviran-omaisia ovat kuluttaja-asiamies sekä Kilpailu- ja kuluttajavirasto.

Kilpailu- ja kuluttajaviraston tehtäväksi tulee kuluttajien datalukutaidon edistäminen. Kuluttaja-asiamiehen valvontavastuulle kuuluu puolestaan eräitä tiedonantovelvoitteita silloin, kun on kyse elinkeinonharjoittajien ja kuluttajien välisistä sopimuksista.

Traficom toimii päävastuullisen valvontaviranomaisen lisäksi EU:n datasäädöksen vaatimana kansallisena datakoordinaattorina eli keskitettynä yhteyspisteviranomaisena suhteessa yrityksiin ja muihin viranomaisiin kaikissa asetuksen soveltamiseen liittyvissä asioissa.

Esityksellä on vaikutuksia niiden yritysten toimintaympäristöön, jotka asettavat markkinoille tai ottavat käyttöön EU:n datasäädöksen sääntelyn piiriin kuuluvia tuotteita ja palveluita. Asetuksen soveltaminen muuttaa merkittävällä tavalla datan jakamisen käytänteitä koko Euroopassa ja sen vaikutus on horisontaalista eri toimialoilla aina laitevalmistajista ICT-palveluiden tarjoajiin ja verkottuneita koneita ja niiden liitännäispalveluita tuotannossaan käyttäviin yrityksiin.

Valvontaviranomaiset

EK kannattaa valvontatehtävien pääasiallista keskittämistä Traficomiin, koska se luonee synergiaetuja ja mahdollistanee datatalouteen ja datan jakamiseen liittyvän erikoisosaamisen keskittämisen yhteen organisaatioon, mikä on pitkällä aikavälillä myös kustannustehokasta.

EK pitää tarkoituksenmukaisena myös sitä, että Kilpailu- ja kuluttajavirasto vastaa EU:n datasäädöksen 3 artiklan 2 ja 3 kohtien eli tiedonantovelvollisuuksien valvonnasta silloin, kun kyse on tiedoista, jotka yrityksen on annettava verkkoon liitetystä tuotteesta tai sen liitännäispalvelusta kuluttajille ennen sopimuksen tekemistä.

Tietosuojavaltuutetun valvontavastuulle kuuluu edelleen normaaliin tapaan henkilötietojen käsittelyyn liittyvät valvontatehtävät myös EU:n datasäädöksen soveltamiseen liittyen. On ennakoitavissa, että tietosuojasääntelyn kysymykset näyttelevät merkittävää roolia asetuksen toimeenpanossa. EK korostaakin eri viranomaisten yhteistyön merkitystä, jotta soveltamis- ja tulkintakäytännöistä muodostuu yrityksille selkä kokonaisuus.

Traficom vastaa datakoordinaattorin roolissaan viranomaisten välisestä yhteistyöstä sekä avustaa asetuksen soveltamisalaan kuuluvia yrityksiä asetuksen velvoitteiden täyttämisessä. Tämä tehtävä on erittäin tärkeä, koska valvontaviranomaisia on kansallisesti useita ja kyseessä on kokonaan uudenlainen sääntelykokonaisuus, jonka soveltamisesta yrityksillä ei ole kokemusta. EK esittääkin, että Traficomille annettaisiin tehtäväksi edistää EU:n datasäädöksen 37 artiklan 5 kohdan a alakohdan tarkoittamaa yritysten datalukutaitoa. Tehtävä täydentäisi Kilpailu- ja kuluttajavirastolle ehdotettua tehtävää kuluttajien datalukutaidon edistämisestä.

Kaikessa EU:n datasäädöksen toimeenpanossa on panostettava yritysten riittävään ohjeistukseen ja neuvontaan sekä viranomaisten välisen yhteistyöhön sekä selkeiden ja yhtenäisten toimintatapojen kehittämiseen. Toimintatapojen tulee olla yhtenäiset myös EU-tasolla.

Seuraamukset

Datasäädöksessä on vakiomuotoinen yleisluonteinen seuraamusartikla, jossa seuraamusten määrittäminen jätetään jäsenvaltioille. Datasäädöksessä kuitenkin todetaan, että seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

Toimivaltaisten viranomaisten on asetuksen perusteluiden mukaan varmistettava, että asetuksessa säädettyjen velvoitteiden rikkomisesta määrätään seuraamuksia. Tällaisia seuraamuksia voisivat olla muun muassa taloudelliset seuraamukset, varoitukset, huomautukset tai määräykset liiketoimintakäytäntöjen saattamiseksi asetuksen velvoitteiden mukaisiksi.

Esityksen 3 luku koskee seuraamuksia ja seuraamusmaksuja. Seuraamusmaksun soveltamisalan piiriin on valittu kansallisesti sellaiset datasäädöksen artiklat, joiden sanamuoto on riittävän täsmällinen, jotta niihin voidaan rikosoikeudellisen laillisuusperiaatteen nojalla kohdistaa sanktioida.

Esityksessä mukaan seuraamus tulee suhteuttaa rikkomuksen vakavuuteen ja muihin asetuksessa lueteltuihin tekijöihin, joita viranomaisen täytyy arvioinnissaan huomioida. Seuraamusmaksun määrääminen edellyttää aina rikkomuksen tahallisuutta tai huolimattomuutta.

EK korostaa, että seuraamusmaksun määrääminen on merkittävä hallintotoimi, jota tulee soveltaa ainoastaan vakavimmissa rikkomistilanteissa ja vasta silloin, kun muut keinot on käytetty loppuun. Seuraamusmaksua ei tule määrätä, jos velvoitteen rikkomista on pidettävä vähäisenä tai ilmeisen kohtuuttomana.

Seuraamusmaksun suuruus kuuluu kansallisen liikkumavaran alaan, koska datasäädös ei sisällä säännöksiä seuraamusmaksujen suuruudesta. Esityksen 22 §:n mukaan yrityksille ja muille oikeushenkilöille ehdotettu enimmäisseuraamusmaksu on enintään neljä prosenttia seuraamusmaksupäätöstä edeltävän tilikauden vuotuisesta EU:n laajuisesta liikevaihdosta.

EK kiinnittää huomiota siihen, että vaikka kyseinen taso on linjassa mm. tietosuoja-asetuksen seuraamusten kanssa, on se todella tuntuva ottaen huomioon, että kyse on täysin uudesta sääntelystä, josta kenelläkään ei ole vielä soveltamiskokemusta. Näin ollen on tärkeää, että valvontaviranomaiset käyttävät seuraamuksia määrätessään harkintaa ja turvautuvat ensisijaisesti muihin kuin taloudellisiin sanktioihin.

EK kiinnittää huomiota myös siihen, että oikeusministeriössä selvitetään parhaillaan EU:n yleisen tietosuoja-asetuksen mukaisten hallinnollisten seuraamusmaksujen kohdistamista myös viranomaisiin (VN/26120/2023). Esityksessä jää epäselväksi soveltuvatko datasäädöksen seuraamusmaksut Suomessa myös viranomaisiin. Selvää poisrajausta ei ole pykälätasolla tehty, mutta asiaa koskevat perustelut ovat monitulkintaiset (HE:n sivut 67–68). EK pyytä selkeyttämään asiaa perusteluissa.

EK pitää hyvänä sitä, että Liikenne- ja viestintävirastosta annetun lain 7 a §:n mukainen seuraamuskollegio määrää myös EU:n datasäädöksen rikkomisesta kuuluvat seuraamusmaksut silloin, kun ne ovat suuruudeltaan yli 100 000 euroa.

Esitystä edeltävässä EU:n datasäädöksen toimeenpanoa koskevassa taustamuistiossa pohdittiin myös eräänlaisen ”puuttumiskynnyksen” käyttöönottoa. Tällä tarkoitetaan minimitasoa, jolla valvontaa ylipäätään suoritettaisiin. Esimerkiksi datan saataville asettamista valvottaisiin vain viranomaiselle tulleiden ilmoitusten perusteella. Lisäksi joissakin laiteryhmissä dataa voitaisiin valvoa osana muuta markkinavalvontaa. EK esittää, että puuttumiskynnyksestä säädettäisiin nykyistä selvemmin kansallisessa laissa.

EK korostaa, että yritykselle tulee antaa aina ensin mahdollisuus korjata toimintaansa, jonka toteuttamista viranomaisen tulee ohjeistaa. Seuraavaksi voidaan edetä huomautukseen ja vasta tämän jälkeen, jos toimija ei saamistaan ohjeista huolimatta korjaisi toimintaansa kohtuullisessa määräajassa, viranomaisen olisi mahdollista asettaa seuraamusmaksu. Viranomaisten resursseja olisi – ainakin alkuvaiheessa tarkoituksenmukaista myös keskittää sellaisiin tapauksiin, jotka ovat tahallisia ja erityisen vahingollisia.

EK korostaa lopuksi dataan sisältyvien aineettomien oikeuksien kuten liikesalaisuuksien suojan sekä tekijänoikeuksien ja tietokantasuojan kunnioittamista datasäädöksen toimeenpanossa. Aineettomat hyödykkeet kuten keksinnöt, liikesalaisuudet ja tietotaito, ovat EU:n talouden ja kilpailukyvyn kulmakiviä, mistä syystä niille on luotava ennustettava oikeudellinen kehys, joka kannustaa yrityksiä innovoimaan ja investoimaan EU:ssa.