Post 150 av 7189 träffar
Kompletterande bestämmelser till EU:s dataförvaltningsförordning
Ansvarig myndighet: Finansdepartementet
Dokument: Prop. 73
Regeringens proposition
2023/24:73
Kompletterande bestämmelser till EU:s dataförvaltningsförordning
Prop.
2023/24:73
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 7 mars 2024
Elisabeth Svantesson
Erik Slottner
(Finansdepartementet)
Propositionens huvudsakliga innehåll
Regeringen föreslår en ny lag som kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten).
Lagen innehåller bl.a. bestämmelser om tillsyn av företag som förmedlar data och av fysiska och juridiska personer som vidareutnyttjar skyddade data enligt EU:s dataförvaltningsförordning.
Vidare föreslås kompletterande bestämmelser om tillgängliggörande av skyddade data för vidareutnyttjande enligt EU:s dataförvaltningsförordning i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data. Genom lagändringarna införs bl.a. bestämmelser om handläggningstiden i ärenden om tillgängliggörande av skyddade data för vidareutnyttjande och bemyndiganden för regeringen att utse behöriga organ och meddela föreskrifter om avgifter vid tillgängliggörande av skyddade data för vidareutnyttjande.
Den nya lagen och övriga ändringar föreslås träda i kraft den 2 augusti 2024.
Innehållsförteckning
1Förslag till riksdagsbeslut4
2Lagtext5
2.1Förslag till lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning5
2.2Förslag till lag om ändring i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data8
3Ärendet och dess beredning13
4EU-lagstiftning på digitaliseringsområdet13
4.1EU:s datastrategi13
4.2Öppna datadirektivet och öppna datalagen14
4.3Dataförvaltningsförordningen15
5Kompletterande bestämmelser till EU:s dataförvaltningsförordning16
5.1Öppna datalagen bör komplettera EU:s dataförvaltningsförordnings regler om vidareutnyttjande av skyddade data16
5.2Tillämpningsområdet för bestämmelserna om tillgängliggörande av skyddade data för vidareutnyttjande18
5.3En definition av skyddade data20
5.4Vidareutnyttjande av skyddade data förutsätter att informationen kan lämnas ut22
5.5Exklusiva avtal och villkor för vidareutnyttjande av skyddade data25
5.6Anmälan av överträdelser som en vidareutnyttjare gör sig skyldig till vid tredjelandsöverföringar26
5.7En avgift ska kunna tas ut för vidareutnyttjande av skyddade data27
5.8Handläggningstiden för ärenden om vidareutnyttjande29
5.9Behöriga organ31
5.10Den gemensamma informationspunkten32
6Dataförmedling och dataaltruism34
6.1Bestämmelser om dataförmedlingstjänster och dataaltruismorganisationer34
6.2Behörig myndighet för dataförmedlingstjänster och dataaltruismorganisationer36
6.3Tillsyn och sanktionsavgift38
6.3.1Tillsyn38
6.3.2Tillsynsmyndigheten ska besluta om sanktionsavgift41
6.3.3Sanktionsavgiftens storlek44
6.3.4Bestämmelser om förfarandet vid beslut om sanktionsavgifter46
6.3.5Informationsutbyte och sekretess47
6.4Anmälningsförfarandet och tillsynen för leverantörer av dataförmedlingstjänster ska avgiftsbeläggas51
6.5Överklagande av beslut51
7Ikraftträdande- och övergångsbestämmelser54
8Konsekvenser54
9Författningskommentar59
9.1Förslaget till lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning59
9.2Förslaget till lag om ändring i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data68
Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten)74
Sammanfattning av promemorian Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24)118
Promemorians lagförslag119
Förteckning över remissinstanserna127
Lagrådsremissens lagförslag128
Lagrådets yttrande136
Utdrag ur protokoll vid regeringssammanträde den 7 mars 2024137
Förslag till riksdagsbeslut
Regeringens förslag:
Riksdagen antar regeringens förslag till lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning.
Riksdagen antar regeringens förslag till lag om ändring i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data.
Lagtext
Regeringen har följande förslag till lagtext.
Förslag till lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning
Härigenom föreskrivs följande.
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), i denna lag benämnd EU:s dataförvaltningsförordning.
Ord och uttryck i lagen har samma betydelse som i EU:s dataförvaltningsförordning.
Tillsynsmyndighet
2 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet enligt denna lag.
Tillsynsmyndigheten ska vara behörig myndighet för dataförmedlingstjänster enligt artikel 13 i EU:s dataförvaltningsförordning och för registrering av dataaltruismorganisationer enligt artikel 23 i EU:s dataförvaltningsförordning.
Uppgiftsskyldighet
3 § De myndigheter som regeringen bestämmer ska på begäran lämna tillsynsmyndigheten de uppgifter som den behöver i sin tillsynsverksamhet.
4 § Tillsynsmyndigheten ska på begäran lämna de uppgifter som en annan myndighet behöver i sin tillsynsverksamhet.
Regeringen bestämmer vilka myndigheter som ska ha rätt att få uppgifter enligt första stycket.
Varning
5 § Tillsynsmyndigheten får meddela en varning till en leverantör av dataförmedlingstjänster som bryter mot anmälningsskyldigheten enligt artikel 11, villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12 eller villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.
6 § Tillsynsmyndigheten får meddela en varning till en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja andra data än personuppgifter för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.
7 § Tillsynsmyndigheten får meddela en varning till en erkänd dataaltruismorganisation som bryter mot
1. villkoren för registrering som erkänd dataaltruismorganisation enligt artiklarna 18, 20, 21 eller 22, eller
2. villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.
Föreläggande och vite
8 § Tillsynsmyndigheten får besluta de förelägganden som behövs för att EU:s dataförvaltningsförordning, denna lag eller föreskrifter som har meddelats i anslutning till lagen ska följas.
Tillsynsmyndigheten får förena ett föreläggande enligt artikel 14 i EU:s dataförvaltningsförordning med vite.
Sanktionsavgift
9 § Tillsynsmyndigheten ska besluta att ta ut en sanktionsavgift från en leverantör av dataförmedlingstjänster vid överträdelser av
– anmälningsskyldigheten enligt artikel 11,
– villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12, eller
– villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.
Om det kan anses tillräckligt får tillsynsmyndigheten, i stället för att besluta en sanktionsavgift vid överträdelser enligt första stycket, meddela en varning enligt 5 §.
10 § Tillsynsmyndigheten ska besluta att ta ut en sanktionsavgift av en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja andra data än personuppgifter för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.
Om det kan anses tillräckligt får tillsynsmyndigheten, i stället för att besluta en sanktionsavgift vid överträdelser enligt första stycket, meddela en varning enligt 6 §.
11 § En sanktionsavgift enligt 9 eller 10 § ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
När avgiftens storlek bestäms ska hänsyn tas till
1. överträdelsens art, allvar, omfattning och varaktighet,
2. åtgärder som har vidtagits för att begränsa eller avhjälpa den skada som överträdelsen har orsakat,
3. tidigare överträdelser,
4. de ekonomiska vinster som har gjorts eller de förluster som har undvikits till följd av överträdelsen, och
5. försvårande eller förmildrande omständigheter utöver dem i 1–4.
Tillsynsmyndigheten får avstå från att ta ut en sanktionsavgift helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
12 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande som har förenats med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
13 § En sanktionsavgift får beslutas endast om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
14 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas i tid, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.
Sanktionsavgiften tillfaller staten.
15 § En sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Avgifter
16 § Tillsynsmyndigheten får ta ut avgifter från leverantörer av dataförmedlingstjänster för anmälan, registerhållning och tillsyn av leverantörer av dataförmedlingstjänster enligt EU:s dataförvaltningsförordning och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om avgifterna.
Överklagande
17 § Tillsynsmyndighetens beslut enligt artiklarna 14, 19 och 24 i EU:s dataförvaltningsförordning eller enligt denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 2 augusti 2024.
Förslag till lag om ändring i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data
Härigenom föreskrivs i fråga om lagen (2022:818) om den offentliga sektorns tillgängliggörande av data
dels att 1 kap. 2–4 och 8 §§ och 5 kap. 1 § ska ha följande lydelse,
dels att det ska införas sju nya paragrafer, 1 kap. 1 a och 7 a §§, 2 kap. 5 a, 6 a och 7 §§, 3 kap. 1 a § och 4 kap. 2 a §, och närmast före 2 kap. 6 a och 7 §§ nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 a §
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), i denna lag benämnd EU:s dataförvaltningsförordning.
2 §
Denna lag påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt.
Denna lag påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller skyddade data eller som begränsar en sådan rätt.
Lagen påverkar inte heller tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter.
3 §
Om det i någon annan lag eller i en förordning finns mer långtgående krav i fråga om tillgängliggörande av data än i denna lag, ska de kraven tillämpas.
Om det i någon annan lag eller i en förordning finns mer långtgående krav i fråga om tillgängliggörande av data eller skyddade data än i denna lag, ska de kraven tillämpas.
4 §
I lagen avses med
begäran om tillgängliggörande av data för vidareutnyttjande: en begäran om att data ska göras tillgängliga för vidareutnyttjande i enlighet med denna lag,
begäran om tillgängliggörande av data för vidareutnyttjande: en begäran om att data eller skyddade data ska göras tillgängliga för vidareutnyttjande i enlighet med denna lag eller kapitel II i EU:s dataförvaltningsförordning,
bulknedladdning: nedladdning av en avgränsad datamängd,
data: information i digitalt format oberoende av medium,
dynamiska data: data som uppdateras ofta eller i realtid för att vara aktuella och relevanta att vidareutnyttja,
forskningsdata: data som till någon del är offentligt finansierade, som samlas in eller framställs inom ramen för vetenskaplig forskningsverksamhet och som görs direkt tillgängliga för vidareutnyttjande genom en dataplattform som är allmänt åtkomlig,
gränssnitt: en regeluppsättning för dynamiskt datautbyte mellan programvaror,
maskinläsbart format: ett filformat som är strukturerat på ett sådant sätt att det enkelt kan läsas av ett datorprogram,
offentligt företag: ett företag som en eller flera myndigheter har ett bestämmande inflytande över och som är verksamt
– inom de sektorer som framgår av 2 kap. 1 § och 5–8 §§ lagen (2016:1146) om upphandling inom försörjningssektorerna,
– som ett kollektivtrafikföretag enligt Europaparlamentets och rådets förordning (EG) nr 1370/2007 av den 23 oktober 2007 om kollektivtrafik på järnväg och väg och om upphävande av rådets förordning (EEG) nr 1191/69 och (EEG) nr 1107/70,
– som ett lufttrafikföretag som har allmän trafikplikt enligt artikel 16 i Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen, eller
– som ett rederi inom gemenskapen som uppfyller förpliktelser vid allmän trafik enligt artikel 4 i rådets förordning (EEG) nr 3577/92 av den 7 december 1992 om tillämpning av principen om frihet att tillhandahålla tjänster på sjötransportområdet inom medlemsstaterna (cabotage),
offentligt styrt organ: ett sådant organ som avses i 1 kap. 18 § lagen (2016:1145) om offentlig upphandling eller en sammanslutning av sådana organ,
skyddade data: sådana kategorier av data som avses i artikel 3.1 i EU:s dataförvaltningsförordning,
vidareutnyttjande: bearbetning av data från den offentliga sektorn för valfritt ändamål,
värdefull datamängd: data som förtecknas i en genomförandeakt som har meddelats med stöd av artikel 14.1 i öppna data-direktivet,
öppna data-direktivet: Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn.
7 a §
Bestämmelserna om vidareutnyttjande av skyddade data ska endast tillämpas av myndigheter, dock inte av kultur- eller utbildningsinstitutioner.
8 §
Lagen ska tillämpas
1. när någon som har rätt att få tillgång till data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av data för vidareutnyttjande,
2. när en myndighet eller ett offentligt företag på eget initiativ tillgängliggör data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas, eller
3. när data lämnas till en statlig eller kommunal myndighet som ska använda dem i en konkurrensutsatt verksamhet som avser tillhandahållande av data.
1. när någon som har rätt att få tillgång till data eller skyddade data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av data för vidareutnyttjande,
2. när en myndighet eller ett offentligt företag på eget initiativ tillgängliggör data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas,
3. när en myndighet på eget initiativ tillgängliggör skyddade data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas, eller
4. när data lämnas till en statlig eller kommunal myndighet som ska använda dem i en konkurrensutsatt verksamhet som avser tillhandahållande av data.
Trots första stycket ska lagen inte tillämpas
1. när data, i andra fall än som avses i första stycket 3, lämnas
1. när data, i andra fall än som avses i första stycket 4, lämnas
a) mellan statliga och kommunala myndigheter,
b) från ett organ som enligt 1 kap. 5 § andra stycket jämställs med en myndighet eller ett offentligt företag till en statlig eller kommunal myndighet, eller
2. när en statlig eller kommunal myndighet tillhandahåller data i en konkurrensutsatt verksamhet.
2 kap.
5 a §
En myndighet som tillgängliggör skyddade data för vidareutnyttjande ska ställa upp villkor för vidareutnyttjandet i enlighet med artikel 5 i EU:s dataförvaltningsförordning.
En myndighet som tillgängliggör skyddade data till en vidareutnyttjare som avser att överföra dem till tredjeland i enlighet med artikel 5.10 i EU:s dataförvaltningsförordning är skyldig att anmäla de överträdelser av artikel 5.14 som myndigheten får kännedom om till tillsynsmyndigheten enligt lagen (2024:000) med kompletterande bestämmelser till EU:s dataförvaltningsförordning.
En gemensam informationspunkt
6 a §
Den myndighet som regeringen bestämmer ska tillhandahålla en gemensam informationspunkt enligt artikel 8 i EU:s dataförvaltningsförordning.
En myndighet som tillgängliggör skyddade data för vidareutnyttjande ska informera den myndighet som tillhandahåller den gemensamma informationspunkten om sådana data och villkoren för vidareutnyttjande av dessa.
Behöriga organ enligt EU:s dataförvaltningsförordning
7 §
Den eller de myndigheter som regeringen bestämmer ska vara behöriga organ enligt artikel 7 i EU:s dataförvaltningsförordning.
3 kap.
1 a §
En myndighet som innehar skyddade data får ge någon en exklusiv rätt att vidareutnyttja dessa data endast om det är tillåtet enligt artikel 4 i EU:s dataförvaltningsförordning.
4 kap.
2 a §
En myndighet som tillgängliggör skyddade data för vidareutnyttjande får ta ut en avgift för tillgängliggörandet.
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om avgiften.
5 kap.
1 §
En myndighet ska inom fyra veckor avgöra ett ärende till följd av en begäran om tillgängliggörande av data för vidareutnyttjande.
Tidsfristen får förlängas med ytterligare fyra veckor, om en begäran är omfattande eller komplicerad. Myndigheten ska underrätta sökanden om förlängningen och redovisa skälen för den senast tre veckor från den dag då begäran kom in.
Om en sådan begäran avser skyddade data ska ärendet avgöras inom åtta veckor.
Tidsfristen enligt första eller andra stycket får förlängas med ytterligare fyra veckor, om en begäran är omfattande eller komplicerad. Myndigheten ska underrätta sökanden om förlängningen och redovisa skälen för den senast tre veckor från den dag då begäran kom in.
Denna lag träder i kraft den 2 augusti 2024.
Ärendet och dess beredning
Europaparlamentet och rådet har antagit förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), benämnd EU:s dataförvaltningsförordning. Förordningen finns i bilaga 1.
I oktober 2022 beslutades att ge en ämnessakkunnig i uppdrag att biträda Infrastrukturdepartementet med att ta fram ett förslag på hur EU:s dataförvaltningsförordning kan kompletteras i nationell rätt.
Resultatet av utredningen redovisades i juli 2023 i departementspromemorian Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24). En sammanfattning av promemorian finns i bilaga 2. Promemorians lagförslag finns i bilaga 3. Promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 4. Remissyttrandena finns tillgängliga i Finansdepartementet (Fi2023/01601).
I denna proposition behandlas promemorians förslag.
Lagrådet
Regeringen beslutade den 1 februari 2024 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 5. Lagrådets yttrande finns i bilaga 6. Lagrådet lämnade förslagen utan erinran. I förhållande till lagrådsremissen har vissa språkliga och redaktionella ändringar gjorts.
EU-lagstiftning på digitaliseringsområdet
EU:s datastrategi
I februari 2020 meddelade Europeiska kommissionen en datastrategi för EU (COM (2020) 66, Meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén – En EU-strategi för data). Datastrategin innehåller förslag till åtgärder som syftar till att göra EU till den mest attraktiva, säkraste, mest dynamiska och mest snabbrörliga datadrivna ekonomin i världen. Tanken är att Europa genom bättre användning av data som resurs ska förbättra beslutsfattande och livskvalitet för samtliga medborgare.
Kommissionen anser att EU:s teknologiska framtid är avhängig förmågan att hantera värdet av data genom en europeisk modell, samt genom strukturer och politik för data under kommande år. Kommissionen lyfter bl.a. fram Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), benämnd EU:s dataskyddsförordning, Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) och inrättandet av en kodex för elektronisk kommunikation som betydelsefulla rättsliga grunder för en säker, trygg och snabbrörlig dataekonomi. Likaså betonas investeringar i digital infrastruktur och lagstiftning inom vissa sektorer och domäner, bl.a. för intelligenta transportsystem, som angelägna för bättre tillgång till data inom EU. Kommissionens vision går bl.a. ut på att, med beaktande av klimatutmaningarna och grundläggande värden för medborgarna, skapa europeiska datautrymmen som ska kunna stödja utvecklingen inom vissa samhällssektorer, såsom tillverkning, hälsa och mobilitet.
EU:s datastrategi tar upp ett antal åtgärder och investeringar som behöver genomföras under kommande år för att uppnå de i meddelandet uppsatta målen samt stärka Europas internationella konkurrenskraft inom bl.a. artificiell intelligens och annan digital innovation. Kommissionens mål är att skapa ett gemensamt europeiskt dataområde och en fungerande och säker inre marknad för data. Genom genomförandet av de olika åtgärderna i EU:s datastrategi ska mer data göras tillgänglig för användning i ekonomin och samhället, samtidigt som de som genererar uppgifterna behåller kontrollen. Slutmålet för EU är att dra nytta av fördelarna med bättre dataanvändning, vilket kan vara ökad produktivitet och konkurrenskraftiga marknader, men även förbättringar inom hälsa och välbefinnande, miljö, transparent styrning och bekväma offentliga tjänster.
Öppna datadirektivet och öppna datalagen
Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn, nedan öppna datadirektivet, syftar till att främja användningen av öppna data och stimulera innovation inom produkter och tjänster genom vidareutnyttjande av information som tillgängliggörs av den offentliga sektorn. Direktivet har anpassats till de senaste framstegen inom digital teknik och ska ytterligare främja digital innovation, särskilt beträffande artificiell intelligens (skäl 3). Direktivets reglering strävar mot att hantera kvarstående och nya hinder som motverkar ett brett vidareutnyttjande av information.
Öppna datadirektivet genomfördes i Sverige genom lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, i fortsättningen öppna datalagen. Lagen syftar till att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data, under förutsättning att krav på informationssäkerhet och skydd av personuppgifter kan upprätthållas och att det inte innebär risker för Sveriges säkerhet. Med öppna data avses data som finns tillgängliga i ett öppet format och som kan vidareutnyttjas fritt för valfritt ändamål (prop. 2021/22:225 s. 71). Vidare reglerar lagen vad som ska gälla i fråga om tilldelning av exklusiv rätt till vidareutnyttjande av data samt uttag av avgifter och utformning av villkor när data görs tillgängliga.
Öppna datadirektivet ger inte någon en rätt att få tillgång till data. En enskild kan alltså inte åberopa öppna datadirektivet, eller lagstiftningen som grundas på direktivet, för att få tillgång till data. Öppna datalagen är tillämplig när någon i ett konkret fall har rätt att få tillgång till data enligt någon annan lag eller förordning, oavsett på vilken rättslig grund det sker (prop. 2021/22:225 s. 29). I första hand finns sådana bestämmelser i 2 kap. tryckfrihetsförordningen, förkortad TF, om utlämnande av allmänna handlingar och i 6 kap. offentlighets- och sekretesslagen (2009:400), förkortad OSL, om utlämnande av uppgifter. Bestämmelser om rätt till data finns också i sektors- eller myndighetsspecifika författningar, bl.a. lagen (2010:1767) om geografisk miljöinformation, lagen (2000:224) om fastighetsregister och förordningen (1984:692) om det allmänna företagsregistret. En myndighet kan också i sin instruktion ha till uppgift att tillhandahålla vissa data, se exempelvis 2 § förordningen (2008:1233) med instruktion för Sveriges geologiska undersökning. En myndighet eller ett offentligt företag kan också på eget initiativ göra data tillgängliga för vidareutnyttjande i syfte att data ska kunna vidareutnyttjas. Öppna datalagen är tillämplig i båda situationerna, dvs. när någon har rätt att få tillgång till data med stöd i annan lag eller förordning eller när en myndighet eller ett offentligt företag på eget initiativ ger tillgång till data i syfte att dessa ska kunna vidareutnyttjas. Att data tillgängliggörs i syfte att kunna vidareutnyttjas innebär att lagen inte ska tillämpas vid varje tillfälle som en myndighet eller ett offentligt företag publicerar data på eget initiativ. Om data publiceras i ett annat syfte, exempelvis för att sprida information om myndighetens eller företagets verksamhet, ska lagen inte tillämpas (prop. 2021/22:225 s. 29 och 30).
Dataförvaltningsförordningen
Europaparlamentet och rådet har antagit förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), i fortsättningen EU:s dataförvaltningsförordning. Bestämmelserna i förordningen tillämpas fr.o.m. den 24 september 2023. EU:s dataförvaltningsförordning är den första EU-förordningen som har sin grund i EU:s datastrategi.
EU:s dataförvaltningsförordning syftar till att förbättra villkoren för datadelning på den inre marknaden genom att skapa en harmoniserad ram för utbyte av data och föreskriva vissa grundläggande krav på dataförvaltning, med särskild omsorg om att underlätta samarbetet mellan medlemsstaterna (skäl 3).
I kapitel II i EU:s dataförvaltningsförordning finns villkor och ramar för vidareutnyttjande av skyddade data som innehas av offentliga myndigheter. Kapitlet kan ses som en komplettering till öppna datadirektivet och en vidareutveckling gällande det rättsliga ramverket för att kunna tillgängliggöra offentligt producerade data för vidareutnyttjande. Med skyddade data avses olika kategorier av data som är skyddade på grund av insynsskydd för kommersiella uppgifter, statistiska uppgifter, immateriella rättigheter eller personuppgifter (artikel 3.1). EU:s dataförvaltningsförordnings bestämmelser om tillgängliggörande av skyddade data för vidareutnyttjande ger inte någon rätt till tillgång till sådana data, utan regelverket handlar om hur information kan och ska tillhandahållas när data görs tillgängliga. Tanken är sedan att nya kompletterande regleringar ska utvecklas genom sektorsspecifik unionsrätt, t.ex. den planerade unionsrätten inom hälsodataområdet (se skäl 3).
Genom EU:s dataförvaltningsförordning inrättas vidare en ram för anmälan av och tillsyn över tillhandahållandet av dataförmedlingstjänster (kapitel III), en ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål (kapitel IV) och en ram för inrättandet av en europeisk datainnovationsstyrelse (kapitel VI).
EU:s dataförvaltningsförordning ställer bl.a. krav på att medlemsstaterna utser behöriga organ (artikel 7.1) och myndigheter (artiklarna 13 och 23), en s.k. gemensam informationspunkt (artikel 8), tillhandahåller en förteckning över tillgängliga datakällor (artikel 8.2) samt inför bestämmelser om sanktioner (artikel 34) och en rätt till överprövning av vissa beslut (artiklarna 9.2 och 28). Vidare föreskriver EU:s dataförvaltningsförordning att medlemsstaterna får besluta om avgifter (artikel 6) och om handläggningstiden för ärenden om vidareutnyttjande av skyddade data (artikel 9.1). Mot denna bakgrund behövs det kompletterande nationella bestämmelser om bl.a. handläggningen av ärenden om vidareutnyttjande av skyddade data, rättsmedel och bemyndiganden för regeringen att utse behöriga organ och myndigheter.
Kompletterande bestämmelser till EU:s dataförvaltningsförordning
Öppna datalagen bör komplettera EU:s dataförvaltningsförordnings regler om vidareutnyttjande av skyddade data
Regeringens bedömning: De bestämmelser som behövs för att komplettera EU:s dataförvaltningsförordnings reglering om vidareutnyttjande av skyddade data bör införas i lagen om den offentliga sektorns tillgängliggörande av data.
Promemorians förslag överensstämmer med regeringens bedömning.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget. Sveriges kommuner och regioner (SKR) och Stockholms kommun ser positivt på att införa kompletterande bestämmelser om vidareutnyttjande av skyddade data i öppna datalagen. De anser att lagstiftningen blir mer överskådlig om bestämmelserna integreras i öppna datalagen. SKR menar dock att det är viktigt att det tydligt framgår hur de olika regelverken ska tillämpas. Nacka kommun är positiv till att tillgängliggöra skyddade data för vidareutnyttjande. Enligt kommunen ligger lagstiftningen i linje med kommunens digitaliseringsstrategi.
Lantmäteriet ser en risk med att ha kompletterande bestämmelser om skyddade data i öppna datalagen när det inte tydligt framgår vilka bestämmelser i lagen som är avsedda att användas i respektive ärendetyp. Enligt Myndigheten för digital förvaltning bör myndigheterna ha mer långtgående skyldigheter att dela data än vad EU:s dataförvaltningsförordning föreskriver. TechSverige anser att regeringen, mot bakgrund av att det finns flera utredningar och initiativ på området, bör vidta åtgärder för att samla och samordna politiken för data, vidareutnyttjande av data och närliggande frågor.
Endast ett fåtal remissinstanser, bl.a. Försvarsmakten, avstyrker förslaget. Bolagsverket menar att de kompletterande bestämmelserna om vidareutnyttjande av skyddade data i stället bör införas i den föreslagna nya lagen med kompletterande bestämmelser till EU:s dataförvaltningsförordning (i fortsättningen benämnd kompletteringslagen).
Skälen för regeringens bedömning: EU:s dataförvaltningsförordning, öppna datadirektivet och öppna datalagen har gemensamt att de bl.a. reglerar vidareutnyttjande av data som tillhandahålls av den offentliga sektorn. Det befintliga nationella regelverket med bestämmelser om vidareutnyttjande av data i öppna datalagen skulle därför vara ett alternativ för införande av kompletterande bestämmelser till dataförvaltningsförordningen om vidareutnyttjande av skyddade data. De olika regelverken avser dock olika typer av data. Vilka subjekt som träffas av regelverken skiljer sig också delvis åt. EU:s dataförvaltningsförordnings bestämmelser om vidareutnyttjande av data omfattar t.ex. bara myndigheter medan öppna datadirektivet även omfattar offentliga företag.
Trots de skillnader som finns mellan regelverken finns det flera skäl som talar för att samla bestämmelser om vidareutnyttjande av data i en lag. Som flera remissinstanser påpekar, däribland SKR och Stockholms kommun, skulle det t.ex. göra det enklare för såväl myndigheter som vidareutnyttjare att få en samlad bild av regelverket gällande vidareutnyttjande av data. Vidare anser regeringen, till skillnad från Lantmäteriet, att det är en fördel att ha ett gemensamt regelverk för vidareutnyttjande av data när flera av bestämmelserna kommer att vara likartade, t.ex. bestämmelser om handläggningstid, skyddsåtgärder och rättsmedel. I de fall det behövs olika bestämmelser är det förstås av vikt att se till att det tydligt framgår av lagstiftningen vilka bestämmelser som är tillämpliga i respektive ärendetyp. Detta kan dock säkerställas genom att det av respektive bestämmelse framgår om den endast avser data, skyddade data eller båda kategorier av data.
Ett alternativ till att införa kompletterande bestämmelser om vidareutnyttjande av skyddade data i öppna datalagen är att, som Bolagsverket förespråkar, införa dessa i en ny lag. Flera av bestämmelserna skulle dock i ett sådant regelverk motsvara eller vara likartade de som redan finns i öppna datalagen. För att göra så att öppna datalagen även gäller för skyddade data krävs det däremot endast att det görs mindre justeringar och tillägg i lagen. Det finns således fördelar med att använda sig av befintligt regelverk.
Sammantaget bedömer regeringen att de kompletterande bestämmelserna om vidareutnyttjande av skyddade data som behöver införas i den nationella lagstiftningen bör införas i öppna datalagen.
Det ligger utanför detta lagstiftningsärende att, som TechSverige efterfrågar, vidta åtgärder för att samla och samordna politiken för data. Det ligger också utanför detta lagstiftningsärende att, som Myndigheten för digital förvaltning efterfrågar, besluta om mer långtgående skyldigheter för myndigheterna att dela data än vad EU:s dataförvaltningsförordning föreskriver.
Tillämpningsområdet för bestämmelserna om tillgängliggörande av skyddade data för vidareutnyttjande
Regeringens förslag: Bestämmelserna om vidareutnyttjande av skyddade data ska endast tillämpas av myndigheter, dock inte av kultur- eller utbildningsinstitutioner.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Luleå, Gagnefs kommun, Integritetsskyddsmyndigheten, Justitiekanslern, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Kungliga tekniska högskolan anser att det inte är tillräckligt klart om undantaget för utbildningsinstitutioner även omfattar utbildningsinstitutioner för högre utbildning, som t.ex. Sveriges universitet och högskolor. Enligt myndigheten är det också oklart om hela eller delar av universitetens verksamhet inryms i ordet hybridorganisation i EU:s dataförvaltningsförordning. Försvarsmakten och Försvarets radioanstalt anser att deras verksamhet inte ska omfattas av EU:s dataförvaltningsförordning, eftersom försvars- och säkerhetsområdet ligger utanför EU:s kompetens. Myndigheternas verksamhet bör därför enligt myndigheterna uttryckligen undantas från öppna datalagens tillämpningsområde. Enligt Försvarsmakten är öppna datalagens bestämmelser för skyddet av information, och därmed skyddet av den nationella säkerheten, inte tillräckliga.
Skälen för regeringens förslag: Öppna datadirektivet och öppna datalagen omfattar inte bara data som innehas av offentliga myndigheter utan också vissa data som innehas av offentliga företag och vissa kulturinstitutioner (artikel 1.1 i öppna datadirektivet och 1 kap. 5–7 §§ öppna datalagen). Bestämmelserna om vidareutnyttjande av skyddade data i kapitel II i EU:s dataförvaltningsförordning omfattar däremot endast offentliga myndigheter (artikel 3.1). Med offentliga myndigheter avses statliga, regionala eller lokala myndigheter och offentligrättsliga organ, eller sammanslutningar av en eller flera sådana myndigheter eller av ett eller flera sådana offentligrättsliga organ (artikel 2.17). Från EU:s dataförvaltningsförordnings tillämpningsområde görs också uttryckligen undantag för offentliga företag, public service-bolag, kulturinstitutioner och utbildningsinstitutioner (artikel 3.2). Med offentligt företag avses varje företag över vilket de offentliga myndigheterna har ett direkt eller indirekt bestämmande inflytande (artikel 2.19). Definitionen av offentligt företag skiljer sig från motsvarande uttryck i öppna datadirektivet (jfr artikel 1.1 b i öppna datadirektivet).
Public service-bolag omfattas inte heller av öppna datadirektivet eller öppna datalagen (jfr artikel 2 i öppna datadirektivet och 1 kap. 7 § öppna datalagen). I de engelska versionerna av öppna datadirektivet och EU:s dataförvaltningsförordning används samma uttryck, nämligen public service broadcasters. I de svenska översättningarna används dock uttrycket offentliga radio- och tv-företag i öppna datadirektivet respektive public service-bolag i EU:s dataförvaltningsförordning. I öppna datalagen används uttrycket radio- och tv-företag vars sändningsverksamhet finansieras med public service-avgift enligt lagen (2018:1893) om finansiering av radio och tv i allmänhetens tjänst.
Tillämpningsområdet för bestämmelserna om vidareutnyttjande av skyddade data i EU:s dataförvaltningsförordning är sammanfattningsvis snävare än öppna datadirektivet avseende vilka innehavare av data som omfattas. Om öppna datalagen ska komplettera EU:s dataförvaltningsförordning bör det därför enligt regeringens mening införas en bestämmelse i öppna datalagen som förtydligar vilka subjekt som träffas av de kompletterande bestämmelserna om vidareutnyttjande av skyddade data enligt EU:s dataförvaltningsförordning. Bestämmelserna om vidareutnyttjande av skyddade data i EU:s dataförvaltningsförordning ska endast tillämpas av myndigheter, inte av offentliga företag, public service-bolag eller kultur- och utbildningsinstitutioner. Public service-bolag och offentliga företag betraktas inte som myndigheter enligt svensk rätt (prop. 1979/80:2 Del A s. 125). Det behövs därför enligt regeringen inte ett särskilt undantag för dessa. Bestämmelsen bör således endast omfatta myndigheter, och uttryckligen undanta kultur- och utbildningsinstitutioner.
Kungliga tekniska högskolan efterfrågar ett förtydligande av vilka utbildningsinstitutioner som undantas från tillämpningsområdet. I EU:s dataförvaltningsförordning preciseras inte vad som avses med utbildningsinstitutioner. Av skälen till EU:s dataförvaltningsförordning framgår att organisationer som bedriver forskning och organisationer som finansierar forskning omfattas av tillämpningsområdet. Även hybridorganisationer, i den del dessa organisationer bedriver forskning, omfattas av tillämpningsområdet (skäl 12). Av artikel 3.2 framgår dock endast att kultur- och utbildningsinstitutioner undantas från tillämpningsområdet. Det anges inte i den artikeln att sådana organisationer ska omfattas om de bedriver forskning. Det bör därför enligt regeringen vara upp till rättstillämparen, och ytterst EU-domstolen, att förtydliga hur bestämmelserna i artikel 3.2 ska tolkas i förhållande till skälen. De nationella bestämmelserna om vidareutnyttjande av skyddade data bör således endast tillämpas av myndigheter, dock inte av kultur- eller utbildningsinstitutioner.
I artikel 3.2.d i EU:s dataförvaltningsförordning undantas data som innehas av offentliga myndigheter som är skyddade av skäl som rör allmän säkerhet, försvar eller nationell säkerhet. Enligt regeringen finns det därför inte anledning att, som Försvarsmakten och Försvarets radioanstalt efterfrågar, undanta dessa myndigheters verksamheter från tillämpningsområdet för de föreslagna bestämmelserna om vidareutnyttjande av skyddade data. EU:s dataförvaltningsförordning medför dessutom inte några skyldigheter för myndigheter att tillgängliggöra skyddade data (se avsnitt 5.4).
En definition av skyddade data
Regeringens förslag: En begäran om tillgängliggörande av data för vidareutnyttjande enligt öppna datalagen ska även omfatta skyddade data enligt EU:s dataförvaltningsförordning.
Med skyddade data ska data avses som innehas av myndigheter och som är skyddade på grund av
insynsskydd för kommersiella uppgifter, inklusive affärs, yrkes- och företagshemligheter,
insynsskydd för statistiska uppgifter,
skydd av tredje parts immateriella rättigheter, eller
skydd av personuppgifter, i den mån sådana uppgifter faller utanför tillämpningsområdet för öppna datadirektivet.
De kompletterande bestämmelserna om vidareutnyttjande av skyddade data ska inte påverka tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till skyddade data eller som begränsar en sådan rätt eller som innebär mer långtgående krav i fråga om tillgängliggörande av skyddade data.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian föreslås att undantaget i öppna datalagen för data som omfattas av immateriella rättigheter inte ska gälla för sådana kategorier av skyddade data som omfattas av EU:s dataförvaltningsförordning.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Enligt Försäkringskassan bör det förtydligas vilka datamängder med personuppgifter som omfattas av uttrycket skyddade data. Lantmäteriet anser att det bör tydliggöras om en och samma datamängd kan omfattas av tillämpningsområdet för den nuvarande öppna datalagen och de föreslagna kompletterande bestämmelserna i samma lag.
Skälen för regeringens förslag
Uttrycken data och skyddade data
EU:s dataförvaltningsförordnings bestämmelser om vidareutnyttjande tar sikte på särskilda typer av data, nämligen vissa kategorier av skyddade data som innehas av myndigheter (artikel 3.1). Det är data som är skyddade på grund av insynsskydd för kommersiella uppgifter, statistiska uppgifter, tredje parts immateriella rättigheter och personuppgifter. Öppna datalagen omfattar däremot data i en bredare bemärkelse. Om det ska införas kompletterande bestämmelser för skyddade data i öppna datalagen behövs det en definition av sådan data i den lagen. Enligt regeringen bör det därför i öppna datalagen införas en hänvisning till definitionen av skyddade data i EU:s dataförvaltningsförordning. På så sätt säkerställs att definitionen överensstämmer med den i EU:s dataförvaltningsförordning. Hänvisningen bör vara utformad så att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Förordningen kan då ändras utan att de kompletterande bestämmelserna behöver justeras.
Till skillnad från vad Försäkringskassan framför bör det vara upp till rättstillämparen, ytterst EU-domstolen, att bestämma den närmare innebörden av uttrycket skyddade data. Det saknas vidare skäl att, som Lantmäteriet efterfrågar, förtydliga om samma datamängd kan omfattas av såväl öppna datalagens nuvarande bestämmelser som de föreslagna bestämmelserna om skyddade data. En datamängd bör i vissa fall kunna omfattas av både öppna datalagen och de föreslagna bestämmelserna. I en sådan situation bör de bestämmelser som föreskriver de mer långtgående kraven gälla, t.ex. i form av skyddsåtgärder, vilket i de flesta av fallen torde vara EU:s dataförvaltningsförordning (jfr skäl 3 och 10 och artikel 3.1 d).
Data som skyddas på grund av tredje parts immateriella rättigheter omfattas av kapitel II i EU:s dataförvaltningsförordning, men inte av öppna datalagen (jfr 1 kap. 10 § öppna datalagen). I promemorian föreslås därför att skyddade data ska undantas från bestämmelserna i 1 kap. 10 § öppna datalagen för skyddade data. Eftersom bestämmelserna i 1 kap. 10 § öppna datalagen dock endast omfattar data anser regeringen att det inte behövs ett sådant undantag för skyddade data.
Bestämmelserna i öppna datalagen om att lagen inte påverkar tillämpningen av bestämmelser i någon annan lag eller förordning bör även gälla för skyddade data. Av de bestämmelserna följer också att lagen inte påverkar tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter (1 kap. 2 §). Även bestämmelserna om att mer långtgående krav i annan lag eller förordning i fråga om tillgängliggörande av data har företräde framför öppna datalagen bör gälla för skyddade data (1 kap. 3 §).
Vidareutnyttjande i öppna datalagen, öppna datadirektivet och EU:s dataförvaltningsförordning
Vidareutnyttjande definieras i 1 kap. 4 § öppna datalagen som bearbetning av data från den offentliga sektorn för valfritt ändamål. Definitionen av vidareutnyttjande i EU:s dataförvaltningsförordning ställer, till skillnad från definitionen i öppna datalagen, inte något krav på bearbetning (artikel 2.2). I öppna datadirektivet definieras vidareutnyttjande däremot som användning av handlingar för andra ändamål än det ursprungliga ändamål för vilket handlingarna framställdes (artikel 2.11). Den definitionen stämmer bättre överens med den i EU:s dataförvaltningsförordning. Eftersom 1 kap. 4 § öppna datalagen bl.a. införlivar artikel 2.2 i öppna datadirektivet bedömer regeringen att ordet vidareutnyttjande i öppna datalagen är likvärdigt med motsvarande ord i EU:s dataförvaltningsförordning (prop. 2021/22:225 s. 73).
Vidareutnyttjande enligt öppna datalagen strider inte mot efterforskningsförbudet i tryckfrihetsförordningen
Den som har fått del av en allmän handling får som huvudregel använda den fritt för valfritt ändamål. Det innebär att en myndighet i allmänhet inte får förena ett utlämnande av en allmän handling med villkor om hur handlingen får vidareutnyttjas. En myndighet får inte heller på grund av att någon begär att få ta del av en allmän handling efterforska vem denne är eller vilket syfte han eller hon har med sin begäran i större utsträckning än vad som behövs för att myndigheten ska kunna pröva om det finns hinder mot att handlingen lämnas ut (2 kap. 18 § TF), det s.k. efterforskningsförbudet.
Av 1 kap. 8 § första stycket 1 öppna datalagen, som föreslås gälla även för skyddade data, framgår att lagen bl.a. ska tillämpas när någon som har rätt att få tillgång till data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av data för vidareutnyttjande. Det förutsätter dels att vidareutnyttjaren begär att få tillgång till data enligt någon annan författning, dels att de ska tillgängliggöras för vidareutnyttjande enligt öppna datalagen. Öppna datalagen ska alltså tillämpas först när det har konstaterats att det finns en författningsreglerad rätt till tillgång och att det inte finns några hinder mot att ge tillgång till de data som efterfrågas. Efterforskningsförbudet gäller vid en prövning av om en allmän handling får lämnas ut eller inte. En sådan prövning föregår den prövning som görs av om handlingen i fråga kan tillgängliggöras som data för vidareutnyttjande. Regeringen har därför gjort bedömningen att ordet vidareutnyttjande inte strider mot efterforskningsförbudet i tryckfrihetsförordningen (jfr prop. 2021/22:225 s. 20).
Regeringen bedömer alltjämt att ordet vidareutnyttjande inte strider mot efterforskningsförbudet i tryckfrihetsförordningen. Definitionen av begäran om tillgängliggörande av data för vidareutnyttjande i öppna datalagen bör därför även omfatta skyddade data. För att en prövning enligt bestämmelserna i öppna datalagen ska aktualiseras bör det dessutom krävas att det tydligt framgår att det handlar om en begäran om tillgängliggörande för vidareutnyttjande av skyddade data. Myndigheten ska i sådana fall inte behöva efterforska syftet med begäran.
Vidareutnyttjande av skyddade data förutsätter att informationen kan lämnas ut
Regeringens förslag: Bestämmelserna om tillgängliggörande av skyddade data för vidareutnyttjande ska tillämpas när någon som har rätt att få tillgång till skyddade data enligt någon annan lag eller förordning begär att dessa data ska tillgängliggöras för vidareutnyttjande. Bestämmelserna ska också tillämpas när en myndighet på eget initiativ tillgängliggör skyddade data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Myndigheten för digital förvaltning anser att det bör klargöras hur rätten att få tillgång till data enligt öppna datalagen förhåller sig till Högsta domstolens avgörande NJA 2023 s. 498. Det bör enligt myndigheten även klargöras hur bestämmelserna i 2 kap. 1 § öppna datalagen om att göra data tillgänglig för vidareutnyttjande efter en begäran förhåller sig till EU:s dataförvaltningsförordning, som inte medför någon motsvarande skyldighet för myndigheter att tillgängliggöra data. Myndigheten anser vidare att det saknas en analys av om rätten att få tillgång till skyddade data även omfattar offentliga myndigheters skyldigheter att försörja med information enligt t.ex. vissa registerförfattningar.
Bolagsverket ifrågasätter bedömningen att vidareutnyttjande av skyddade data förutsätter att informationen kan lämnas ut enligt annan lagstiftning. Uppgifter som maskerats på grund av sekretess kan enligt myndigheten inte anses utlämnade. Om den som begärt ut uppgifterna samtidigt framställer en begäran om tillgängliggörande för vidareutnyttjande riskerar de nya föreslagna bestämmelserna enligt myndigheten att tolkas så att uppgifterna ska lämnas ut med hjälp av de metoder som räknas upp i artikel 5.3 i EU:s dataförvaltningsförordning, vilket inte är avsikten med förordningen.
Skälen för regeringens förslag
I vilka situationer ska öppna datalagen tillämpas för skyddade data?
Bestämmelserna i kapitel II i EU:s dataförvaltningsförordning ger inte en rätt att få tillgång till skyddade data för vidareutnyttjande, utan de syftar till att ge en uppsättning harmoniserade regler om under vilka förutsättningar vidareutnyttjande av sådan data kan tillåtas. Rätten att vidareutnyttja data, och begränsningar i denna rätt, följer i stället av medlemsstaternas nationella rätt. EU:s dataförvaltningsförordning påverkar, till skillnad från vad Bolagsverket anför, inte dessa regler (se artikel 1.2). Innan frågan om tillgängliggörande av skyddade data för vidareutnyttjande kan behandlas måste alltså först frågan om rätten till tillgång till informationen hanteras, bl.a. enligt bestämmelserna i tryckfrihetsförordningen, offentlighets- och sekretesslagen och andra författningar som reglerar tillgången till information. På samma sätt är regelverket om vidareutnyttjande av data enligt öppna datalagen uppbyggt. Av 1 kap. 8 § öppna datalagen framgår bl.a. att lagen ska tillämpas när någon som har rätt att få tillgång till data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av data för vidareutnyttjande. Öppna datalagen ska alltså tillämpas först när det har konstaterats att det finns en författningsreglerad rätt till tillgång och att det inte finns några hinder mot att ge tillgång till de data som efterfrågas (prop. 2021/22:225 s. 29 och 78).
Bestämmelserna i tryckfrihetsförordningen ger dock inte någon rätt att ta del av information i något visst format. En myndighet är nämligen inte skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift, det s.k. utskriftsundantaget (2 kap. 16 § TF). Högsta domstolen har uttalat att öppna datalagen inte påverkar den begränsning av rätten till tillgång till uppgifter i digital form som följer av utskriftsundantaget (se NJA 2023 s. 498). Som Myndigheten för digital förvaltning efterfrågar innebär det i praktiken att tryckfrihetsförordningen inte kommer att grunda någon rätt för enskilda att få tillgång till data för vidareutnyttjande. Den rätten behöver i stället grunda sig på någon annan lag för att aktualisera bestämmelserna i 1 kap. 8 § första stycket öppna datalagen. Sådan unionslagstiftning planeras nu inom t.ex. hälsodataområdet (se COM (2022) 66). Bestämmelserna i 1 kap. 8 § första stycket 1 öppna datalagen kommer således fortfarande att vara aktuella i olika situationer. Eftersom EU:s dataförvaltningsförordning, på samma sätt som öppna datalagen, förutsätter att det finns en rätt att få tillgång till data enligt annan lagstiftning bör samma princip gälla vid en begäran om tillgängliggörande av skyddade data för vidareutnyttjande.
Även om tryckfrihetsförordningen inte innebär någon skyldighet för myndigheter att lämna ut information i ett visst format innebär utskriftsundantaget inte något hinder för myndigheter att göra det. En myndighet eller ett offentligt företag kan också på eget initiativ göra data tillgängliga för vidareutnyttjande. Öppna datalagen innehåller därför en bestämmelse i 1 kap. 8 § 2 om att lagen ska tillämpas när en myndighet eller ett offentligt företag på eget initiativ ger tillgång till data som omfattas av lagen, i syfte att de ska kunna vidareutnyttjas (prop. 2021/22:225 s. 30 och 78). En sådan möjlighet bör även finnas för skyddade data.
Sammanfattningsvis bör öppna datalagen tillämpas antingen om myndigheter gör skyddade data tillgängliga för vidareutnyttjande på frivillig väg eller om det finns en rätt att få tillgång till skyddade data enligt annan lagstiftning. Det senare gäller all lagstiftning som grundar en sådan rätt. I likhet med vad Myndigheten för digital förvaltning påpekar gäller det alltså även sådana lagstadgade skyldigheter för myndigheter att försörja med information. Eftersom öppna datalagen ska tillämpas först när det har konstaterats att det finns en författningsreglerad rätt till tillgång och det inte finns några hinder mot att ge tillgång till de data som efterfrågas bör det inte, som Bolagsverket befarar, finnas någon risk för att data lämnas ut i strid med t.ex. tryckfrihetsförordningen eller offentlighets- och sekretesslagen.
Bestämmelserna i 1 kap. 8 § första stycket 2 öppna datalagen innebär att lagen är tillämplig när en myndighet eller ett offentligt företag på eget initiativ tillgängliggör data. Motsvarande bestämmelser bör införas även för skyddade data. Bestämmelserna bör dock inte gälla offentliga företag, eftersom de föreslagna bestämmelserna om tillgängliggörande av skyddade data för vidareutnyttjande endast ska gälla för myndigheter (se avsnitt 5.2).
Myndigheten för digital förvaltning framför att det bör klargöras om 2 kap. 1 § öppna datalagen är tänkt att gälla för skyddade data. I promemorian föreslås inte att 2 kap. 1 § öppna datalagen ska gälla för skyddade data. Eftersom det inte bör införas en skyldighet för myndigheter att tillgängliggöra skyddade data anser regeringen inte heller att det finns skäl att lämna något sådant förslag.
Exklusiva avtal och villkor för vidareutnyttjande av skyddade data
Regeringens förslag: Exklusiva avtal om vidareutnyttjande av skyddade data ska vara förbjudna om det inte är tillåtet enligt EU:s dataförvaltningsförordning.
En myndighet som tillgängliggör skyddade data för vidareutnyttjande ska ställa upp villkor för vidareutnyttjandet i enlighet med artikel 5 i EU:s dataförvaltningsförordning.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Luleå, Förvaltningsrätten i Stockholm, Konsumentverket, Kungliga biblioteket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Bolagsverket anför att den föreslagna bestämmelsen är obehövlig eftersom det redan följer av EU:s dataförvaltningsförordning vad som gäller för exklusiva avtal. Enligt myndigheten bör det däremot införas en bestämmelse som anger under vilka förutsättningar en myndighet får eller ska ändra skyddade data i syfte att med bibehållet skydd kunna tillgängliggöra data för vidareutnyttjande. Bestämmelsen bör utformas med artikel 5.1 i öppna datadirektivet som förebild.
Skälen för regeringens förslag: Både öppna datalagen och EU:s dataförvaltningsförordning innehåller bestämmelser om begränsningar avseende exklusiva avtal om vidareutnyttjande av data. Bestämmelserna i de olika rättsakterna är mycket snarlika. Utgångspunkten är att exklusiva avtal inte är tillåtna, utom när det är nödvändigt för att en tjänst av allmänt intresse ska kunna tillhandahållas (jfr artikel 12.2 i öppna datadirektivet, 3 kap. 1 § öppna datalagen och artikel 4.1 och 4.2 i EU:s dataförvaltningsförordning).
En EU-förordning är direkt tillämplig i varje medlemsstat. Det innebär att en sådan rättsakt som utgångspunkt inte bör inkorporeras i eller transformeras till nationell rätt. Gränserna för vad som är tillåtet när det kommer till exklusiva avtal för kategorier av data som omfattas av artikel 3.1 i EU:s dataförvaltningsförordning följer direkt av artikel 4 i samma förordning. Det behövs därför inte någon kompletterande nationell reglering för exklusiva avtal avseende skyddade data motsvarande den som finns i öppna datalagen. Däremot bör det, som det föreslås i promemorian, införas en bestämmelse av upplysningskaraktär som hänvisar till artikel 4 i EU:s dataförvaltningsförordning. En sådan bestämmelse är enligt regeringens mening, till skillnad från vad Bolagsverket anför, inte obehövlig. Detta för att det ska vara tydligt att det finns särskilda bestämmelser avseende exklusiva avtal för skyddade data.
Det bör också införas en bestämmelse av upplysningskaraktär som hänvisar till artikel 5 i EU:s dataförvaltningsförordning om att en myndighet som tillgängliggör skyddade data för vidareutnyttjande ska ställa upp villkor för vidareutnyttjandet i enlighet med den artikeln. Av artikel 5 följer bl.a. att tillgängliggörande myndigheter ska säkerställa att uppgifternas skyddade karaktär bevaras och att myndigheten för att göra det kan föreskriva vissa krav enligt artikeln. Villkoren för vidareutnyttjande ska vara icke-diskriminerande, transparenta, proportionerliga och objektivt motiverade med hänsyn till kategorierna av data, vidareutnyttjandets syfte och typerna av data för vilka vidareutnyttjande tillåts. Villkoren får inte användas för att begränsa konkurrensen. Eftersom det följer direkt av artikel 5 i EU:s dataförvaltningsförordning under vilka förutsättningar en myndighet får eller ska ändra skyddade data i syfte att med bibehållet skydd kunna tillgängliggöra data för vidareutnyttjande bör en sådan bestämmelse, till skillnad från vad Bolagsverket anför, inte införas i nationell rätt.
Anmälan av överträdelser som en vidareutnyttjare gör sig skyldig till vid tredjelandsöverföringar
Regeringens förslag: En myndighet som överfört skyddade data till en vidareutnyttjare som avser att överföra dessa till ett tredjeland ska anmäla överträdelser av EU:s dataförvaltningsförordnings villkor för tredjelandsöverföringar som vidareutnyttjaren har gjort sig skyldig till. Anmälan ska göras till den behöriga myndigheten för dataförmedlingstjänster och dataaltruismorganisationer.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Stockholms kommun anser att anmälningsplikten kan vara utmanande att uppfylla. Post- och telestyrelsen (PTS) anser att det bör framgå direkt av lag vad en anmälan ska innehålla.
Skälen för regeringens förslag: Enligt artikel 5.10 i EU:s dataförvaltningsförordning får en myndighet under vissa förutsättningar överföra skyddade data som inte är personuppgifter (s.k. icke-personuppgifter enligt förordningen) eller immaterialrättsligt skyddat material till en vidareutnyttjare som avser att föra ut dessa till ett tredjeland.
Om en myndighet medger tillgång till skyddade data till en vidareutnyttjare som avser att överföra uppgifterna till ett tredjeland ska myndigheten enligt artikel 5.10 ställa upp vissa villkor för tillgängliggörandet. Den som beviljas rätt att vidareutnyttja sådana data får i sin tur överföra dessa till ett tredjeland bara om vissa krav enligt EU:s dataförvaltningsförordning är uppfyllda (se artikel 5.14 som hänvisar till artiklarna 5.10, 5.12 och 5.13). Om en vidareutnyttjare bryter mot kraven ska vidareutnyttjaren kunna träffas av en sanktion (artikel 34). Sanktionen bör beslutas av den behöriga myndigheten för dataförmedlingstjänster och dataaltruismorganisationer som regeringen utser (se avsnitt 6.2).
För att den behöriga myndigheten ska kunna besluta om sanktioner behöver den få kännedom om överträdelser enligt artikel 5.14. Den myndighet som har störst möjlighet att få kännedom om sådana överträdelser är den som har lämnat ut datan. Utlämnande myndighet bör därför ha en skyldighet att anmäla överträdelser av artikel 5.14 till den behöriga myndigheten.
En anmälan bör innehålla de uppgifter om överträdelsen som den behöriga myndigheten behöver för att kunna besluta om sanktioner. Det kan t.ex. vara uppgifter om vidareutnyttjaren, en beskrivning av de data som lämnats ut, vilka villkor som ställts upp för vidareutnyttjandet och överföringen till tredjeland, en redogörelse för den eller de överträdelser som vidareutnyttjaren gjort sig skyldig till samt vilka effekter överträdelsen fått. Även uppgifter om hur överträdelsen upptäcktes, hur allvarlig den bedöms vara, vilken omfattning den har och under hur lång tid den pågått bör anges. Om myndigheten har kännedom om tidigare överträdelser som vidareutnyttjaren gjort sig skyldig till bör det också framgå. Likaså uppgifter om de ekonomiska vinster som överträdelsen inneburit för vidareutnyttjaren. Myndigheten kan därutöver inkludera andra försvårande eller förmildrande omständigheter som kan ha betydelse för bedömningen av en sanktionsavgift. Det går inte att uttömmande ange vilka uppgifter som den behöriga myndigheten kan behöva och som bör framgå av anmälan. Regeringen anser därför, till skillnad från PTS, att det inte bör preciseras i lag.
Stockholms kommun framför att anmälningsplikten kan vara svår att uppfylla. Anmälningsplikten innebär emellertid inte något tillsynsansvar. Den myndighet som lämnat ut data har endast en skyldighet att anmäla de överträdelser av artikel 5.14 som myndigheten får kännedom om. Uppgiften bör således inte vara särskilt betungande.
En avgift ska kunna tas ut för vidareutnyttjande av skyddade data
Regeringens förslag: Myndigheter som tillåter vidareutnyttjande av skyddade data ska få ta ut en avgift av vidareutnyttjaren för tillhandahållande av skyddade data.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om avgiften.
Regeringens bedömning: Några undantag från avgiftsskyldigheten för vidareutnyttjande av skyddade data bör inte införas.
Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås att beräkningsgrunderna för avgiften ska framgå av öppna datalagen. I promemorian föreslås inte något bemyndigande för regeringen att meddela föreskrifter om avgiften.
Remissinstanserna: Samtliga remissinstanser tillstyrker eller har inga synpunkter på förslaget.
Skälen för regeringens förslag och bedömning
Myndigheter ska ha möjlighet att ta ut en avgift för tillgängliggörande av skyddade data för vidareutnyttjande
Myndigheter som tillåter vidareutnyttjande av skyddade data enligt EU:s dataförvaltningsförordning får ta ut en avgift för det. Avgifter som tas ut ska vara transparenta, icke-diskriminerande, proportionella och objektivt motiverade och får inte begränsa konkurrensen (artikel 6.1 och 6.2).
Den som vill ta del av en allmän handling har enligt 2 kap. 16 § TF rätt att mot avgift få en avskrift eller kopia av handlingen. För statliga myndigheter regleras den avgiften i avgiftsförordningen (1992:191). Avgiftsförordningen innehåller fastställda avgifter som ska tillämpas när allmänna handlingar tillhandahålls i pappersform. Motsvarande reglering saknas när information tillhandahålls i elektronisk form. Det behövs mot denna bakgrund införas särskilda bestämmelser för uttag av avgifter för tillhandahållande av skyddade data för vidareutnyttjande.
Avgiftens storlek
Kriterierna och metoden för beräkning av avgifter för vidareutnyttjande av skyddade data ska fastställas av medlemsstaterna och offentliggöras (artikel 6.6 i EU:s dataförvaltningsförordning). Avgifterna ska enligt artikel 6.5 härledas från kostnaderna för att genomföra förfarandet för begäran om vidareutnyttjande, och de ska vara begränsade till nödvändiga kostnader i samband med
reproduktion, tillhandahållande och spridning av data,
klarering av upphovsrätt,
anonymisering eller andra former av framställning av personuppgifter och affärshemligheter,
underhåll av den säkra behandlingsmiljön,
förvärvande av rätten från tredje part att tillåta vidareutnyttjande, och
visst bistånd till vidareutnyttjare.
I promemorian föreslås att beräkningsgrunden för avgiften dels ska följa bestämmelserna i 4 kap. 2 § öppna datalagen, dels artikel 6.5 i EU:s dataförvaltningsförordning. Några av de kostnader som räknas upp i artikel 6.5 anges nämligen även i 4 kap. 2 § öppna datalagen. Samtliga kostnader som får ligga till grund för avgiften framgår dock av artikel 6.5 i EU:s dataförvaltningsförordning. Regeringen anser mot denna bakgrund att det saknas anledning att, som det föreslås i promemorian, både hänvisa till 4 kap. 2 § öppna datalagen och EU:s dataförvaltningsförordning för att ange beräkningsgrunderna för avgiften för tillgängliggörande av skyddade data. De kostnader som kan läggas till grund för avgiften behöver inte heller framgå direkt av lag, eftersom de redan följer av EU-förordningen. Regeringen eller den myndighet som regeringen bestämmer bör dock få meddela föreskrifter om avgiften, t.ex. om avgiftens storlek utifrån de kostnader som är tillåtna enligt EU:s dataförvaltningsförordning.
Det bör inte införas några undantag från avgiftsuttag
I promemorian görs bedömningen att det inte ska införas något undantag från avgiftsuttag enligt artikel 6.4 i EU:s dataförvaltningsförordning. När offentliga myndigheter tar ut avgifter ska de vidta åtgärder för att ge incitament till vidareutnyttjande av de kategorier av data som avses i artikel 3.1 för icke-kommersiella ändamål, såsom vetenskaplig forskning, och av små och medelstora företag och uppstartsföretag i enlighet med reglerna för statligt stöd. I detta avseende får de offentliga myndigheterna också göra dessa data tillgängliga till en nedsatt avgift eller kostnadsfritt, särskilt för små och medelstora företag och uppstartsföretag, det civila samhället och utbildningsanstalter.
Öppna datadirektivet uppställer ett krav på att forskningsdata ska göras tillgängliga avgiftsfritt (artikel 6.6 b). Bestämmelsen har införlivats i öppna datalagen (4 kap. 3 §). Även vissa andra typer av data, en s.k. värdefull datamängd, ska tillgängliggöras avgiftsfritt enligt öppna datalagen (4 kap. 4 §). Syftet med tillhandahållande av data avgiftsfritt är att motverka att avgiftsuttag blir ett betydande hinder för vidareutnyttjande av data, i synnerhet för nystartade eller små och medelstora företag (jfr skäl 36 till öppna datadirektivet). Bestämmelserna i artikel 6.4 i EU:s dataförvaltningsförordning om tillgängliggörande av data till en nedsatt avgift eller kostnadsfritt bygger på en liknande tanke. Detta talar enligt regeringens mening för att det ska vara möjligt att i vissa fall kunna sätta ned avgiften eller låta den utgå helt. Samtidigt är avgifter ett viktigt sätt för myndigheter att täcka kostnader som uppstår i samband med tillgängliggörande av skyddade data. Om möjligheten att ta ut avgifter i vissa fall begränsas skulle det kunna få den effekten att skyddade data inte tillgängliggörs i samma utsträckning som vid full kostnadstäckning. Eftersom det ännu inte finns någon marknad för vidareutnyttjande av skyddade data är det också svårt att bedöma konsekvenserna av att införa en möjlighet att tillgängliggöra skyddade data till en nedsatt avgift eller avgiftsfritt. Regeringen delar därför bedömningen i promemorian att det för närvarande inte bör införas någon sådan möjlighet.
Handläggningstiden för ärenden om vidareutnyttjande
Regeringens förslag: Handläggningstiden för ärenden som avser en begäran om tillgängliggörande av skyddade data för vidareutnyttjande ska uppgå till högst åtta veckor. Vid omfattande och komplicerade begäranden om vidareutnyttjande får handläggningstiden förlängas med ytterligare fyra veckor.
Regeringens bedömning: Det behöver inte införas några särskilda överklagandebestämmelser för ärenden om tillgängliggörande av skyddade data för vidareutnyttjande.
Promemorians förslag och bedömning överensstämmer i sak med regeringens. I promemorian görs dock inget förtydligande om att möjligheten att förlänga handläggningstiden även gäller skyddade data.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Lantmäteriet anser att den förlängda tidsfristen för handläggning bör stå i proportion till den ursprungliga handläggningstiden och lämpligen uppgå till ca sex veckor. Bolagsverket anser att det inte behövs någon bestämmelse om handläggningstiden, eftersom det följer direkt av EU:s dataförvaltningsförordning.
Försäkringskassan anser att det är otydligt om överklagandemöjligheten är tänkt att gälla endast de som träffas direkt av ett beslut eller även de som påverkas indirekt. Göteborgs kommun lyfter fram att det finns risker med att ett överklagande av ett beslut om tillgängliggörande av skyddade data kan komma att prövas parallellt i olika instanser samt att kretsen klagoberättigade kan skilja sig åt i de olika förfarandena.
Skälen för regeringens förslag och bedömning
Handläggningstiden för ärenden om vidareutnyttjande
En EU-förordning är direkt tillämplig i varje medlemsstat (se avsnitt 5.5). En sådan rättsakt bör som utgångspunkt inte inkorporeras i eller transformeras till nationell rätt, eftersom några särskilda åtgärder för att införliva en förordning generellt sett inte får vidtas. Detta gäller dock inte om förordningen föreskriver att medlemsstaterna behöver genomföra den i nationell rätt.
Av artikel 9.1 i EU:s dataförvaltningsförordning framgår att behöriga myndigheter eller organ ska besluta i ett ärende om begäran om vidareutnyttjande av skyddade data inom två månader från dagen för mottagandet av begäran, såvida inte kortare tidsfrister fastställs i nationell rätt. Vid exceptionellt omfattande och komplicerade begäranden om vidareutnyttjande får tvåmånadersperioden förlängas med högst 30 dagar. EU:s dataförvaltningsförordning föreskriver inte att medlemsstaterna behöver införa bestämmelser om handläggningstiden för ärenden om begäran om vidareutnyttjande, om det inte ska införas kortare tidsfrister än de som föreskrivs i förordningen. Det är inte möjligt att, som Lantmäteriet efterfrågar, införa längre handläggningstider i nationell rätt än de som EU:s dataförvaltningsförordning föreskriver.
I öppna datalagen finns bestämmelser om handläggningstiden för ärenden om tillgängliggörande av data för vidareutnyttjande (5 kap. 1 §). Ett sådant ärende ska avgöras inom fyra veckor. Vid en begäran om tillgängliggörande av skyddade data för vidareutnyttjande behöver myndigheten bl.a. ta ställning till eventuella villkor för tillgängliggörandet och säkerställa att uppgifternas skyddade karaktär bevaras (artikel 5 i EU:s dataförvaltningsförordning). Eftersom en sådan begäran i många fall kommer att avse känsliga uppgifter kan det antas att ett ärende om tillgängliggörande av skyddade data för vidareutnyttjande kommer att vara mer komplicerat och resurskrävande än ett ärende om tillgängliggörande av data. Handläggningstiden vad gäller skyddade data bör därför tillåtas vara längre än de fyra veckor som gäller enligt öppna datalagen. I promemorian föreslås att handläggningstiden för ärenden om skyddade data ska uppgå till som längst åtta veckor. Det är en något kortare handläggningstid än den längsta tillåtna i EU:s dataförvaltningsförordning (artikel 9.1). Enligt regeringen är den föreslagna handläggningstiden väl avvägd. Eftersom denna tid understiger den som anges i EU:s dataförvaltningsförordning behöver det, till skillnad från vad Bolagsverket anför, införas nationella bestämmelser om handläggningstiden för ärenden om vidareutnyttjande av skyddade data. Regeringen anser vidare att bestämmelserna i 5 kap. 1 § andra stycket öppna datalagen om möjligheten att förlänga handläggningstiden om en begäran är omfattande eller komplicerad även bör gälla i ärenden om tillgängliggörande av skyddade data för vidareutnyttjande. Ett sådant förtydligande bör därför göras i bestämmelserna i 5 kap. 1 § tredje stycket.
Öppna datalagens bestämmelser om överklagande tillgodoser EU:s dataförvaltningsförordnings krav på rättsmedel
Av artikel 9.2 i EU:s dataförvaltningsförordning följer att fysiska eller juridiska personer som direkt påverkas av ett beslut efter en begäran om vidareutnyttjande av skyddade data ska ha en effektiv rätt till överprövning. Beslut enligt öppna datalagen får överklagas enligt bestämmelserna i 5 kap. 4 §. Bestämmelserna om överklagande i 5 kap. 4 § träffar alla beslut enligt öppna datalagen och kommer därmed även att omfatta beslut om skyddade data om sådana ärenden förs in i lagen enligt förslaget. Regeringen bedömer att överklagandebestämmelsen i öppna datalagen tillgodoser de krav på rättsmedel som EU:s dataförvaltningsförordning föreskriver.
Enligt Försäkringskassan är det otydligt om överklagandebestämmelsen i öppna datalagen gäller endast för de som träffas direkt av ett beslut eller även de som träffas indirekt. Göteborgs kommun framför liknande synpunkter. Kretsen klagoberättigade följer av 42 § förvaltningslagen (2017:900) och av den rättspraxis som utvecklats på området. Det är således upp till rättstillämparen att avgöra vem som får överklaga ett beslut enligt öppna datalagen.
Göteborgs kommun anser också att det finns risk för parallella processer i olika instanser. Problematiken med en prövning i olika instanser vid överklagande av en begäran om tillgång och en begäran om tillgängliggörande av data för vidareutnyttjande i samma ärende behandlades i propositionen till öppna datalagen. Regeringen bedömde då att övervägande skäl talade för att förvaltningsrätten bör vara första överklagandeinstans i en prövning av ett beslut om att avslå en begäran om tillgängliggörande av data för vidareutnyttjande trots att det emellanåt kan vara förenat med viss svårighet för en enskild att hantera två samtidiga men separata prövningar i olika instanser (prop. 2021/22:225 s. 59). Enligt regeringen saknas det skäl att nu göra en annan bedömning.
Behöriga organ
Regeringens förslag: Den eller de myndigheter som regeringen bestämmer ska vara behöriga organ enligt EU:s dataförvaltningsförordning.
Promemorians bedömning överensstämmer i sak med regeringens förslag. I promemorian föreslås inte något uttryckligt bemyndigande för regeringen att utse behöriga organ.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över att regeringen ska få utse behöriga organ. Statistiska centralbyrån (SCB) anser att det bör framgå av såväl lag som förordning vilka myndigheter som utses till behöriga organ.
Skälen för regeringens förslag: Varje medlemsstat ska enligt artikel 7 i EU:s dataförvaltningsförordning utse ett eller flera behöriga organ. Ett behörigt organ ska bistå de offentliga myndigheter som beviljar eller vägrar tillgång till skyddade data för vidareutnyttjande. Behöriga organ får också ges befogenhet att bevilja tillgång till vidareutnyttjande. Det bistånd som behöriga organ ska ge till de offentliga myndigheterna förtydligas i artikel 7.4. Det avser bl.a. tekniskt stöd, vägledning och rättsligt bistånd. De behöriga organen måste alltså ha juridiska, ekonomiska och tekniska resurser för att kunna uppfylla uppdraget.
I promemorian redovisas att det har undersökts i vilken utsträckning myndigheter innehar data som skulle kunna omfattas av EU:s dataförvaltningsförordnings tillämpningsområde. De tillfrågade myndigheterna bedömer att regelverket endast kommer att bli tillämpligt i enstaka fall. Uppgiften som behörigt organ bedöms därför i ett inledande skede inte bli särskilt omfattande. Detta talar för att det inte behöver inrättas en ny myndighet för uppgiften utan att uppgiften kan fördelas till en eller flera befintliga myndigheter, som utses av regeringen. I promemorian föreslås att Myndigheten för digital förvaltning och SCB ska utses till behöriga organ. Till skillnad från vad SCB anför anser regeringen att det är tillräckligt att det anges i lagen att regeringen bestämmer vilka myndigheter som ska vara behöriga organ.
I promemorian görs bedömningen att behöriga organ inte bör ges befogenhet att bevilja tillgång till skyddade data för andra offentliga myndigheters räkning. Regeringen gör för närvarande samma bedömning, men utesluter inte att det i framtiden kan vara aktuellt att överlåta en sådan uppgift till det eller de behöriga organ som utses.
I promemorian görs också bedömningen att behöriga organ inom olika sektorer bör införas på sikt och att frågan behöver utredas. De behöriga organens uppgifter bedöms samtidigt inte bli särskilt omfattande. Detta talar enligt regeringens mening snarare för att det är tillräckligt att utse en eller högst två myndigheter till behöriga organ. Det bedöms därför i nuläget inte vara aktuellt att utreda frågan.
Den gemensamma informationspunkten
Regeringens förslag: Den myndighet som regeringen bestämmer ska vara gemensam informationspunkt enligt EU:s dataförvaltningsförordning.
Myndigheter som tillgängliggör skyddade data för vidareutnyttjande ska informera den gemensamma informationspunkten om vilka data som de tillgängliggjort.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Pensionsmyndigheten, Polismyndigheten, Patent- och registreringsverket, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Region Skåne framför att det inte är tydligt vilka krav EU:s dataförvaltningsförordning ställer för den gemensamma informationspunkten beträffande olika dataområden. Regionen anser också att det är oklart vad det är för information som myndigheterna ska informera den gemensamma informationspunkten om.
Skälen för regeringens förslag
Gemensamma informationspunkter
Enligt artikel 8 i EU:s dataförvaltningsförordning ska medlemsstaterna säkerställa att all relevant information om tillämpningen av artiklarna 5 och 6, som avser villkor för vidareutnyttjande och avgifter, finns tillgänglig och lätt åtkomlig via en s.k. gemensam informationspunkt. Medlemsstaterna ska också inrätta ett nytt organ eller utse ett befintligt organ till gemensam informationspunkt. EU:s dataförvaltningsförordning använder alltså uttrycket gemensam informationspunkt dels för att beskriva ett gränssnitt som ska underlätta att vidareutnyttja data, dels om det organ som ska tillhandahålla den gemensamma informationspunkten. Regeringen bör bestämma vilken myndighet som ska vara gemensam informationspunkt.
I den gemensamma informationspunkten ska det finnas en sökbar tillgångsförteckning som innehåller en översikt över alla tillgängliga datakällor tillsammans med relevant information som beskriver tillgängliga data samt villkoren för vidareutnyttjandet av dessa. Den gemensamma informationspunkten ska också kunna ta emot förfrågningar eller ansökningar om vidareutnyttjande av skyddade data och vidareförmedla dessa till de myndigheter som innehar aktuella data (artikel 8.2).
Europeiska kommissionen ska i sin tur inrätta en europeisk gemensam åtkomstpunkt som erbjuder ett sökbart elektroniskt register över tillgängliga data i nationella gemensamma informationspunkter och ytterligare information om hur man begär data via dessa nationella gemensamma informationspunkter (artikel 8.4).
Uppgifter som ska finnas i den gemensamma informationspunkten
I den gemensamma informationspunkten ska en sökbar tillgångsförteckning tillhandahållas på elektronisk väg. I den ska en översikt över alla tillgängliga datakällor finnas tillsammans med relevant information som beskriver alla tillgängliga datakällor, inbegripet åtminstone dataformatet och datastorleken samt villkoren för vidareutnyttjande av dessa (artikel 8.2 i EU:s dataförvaltningsförordning).
För att den myndighet som tillhandahåller den gemensamma informationspunkten ska kunna tillhandahålla en sådan tillgångsförteckning behöver myndigheter som tillgängliggör data för vidareutnyttjande förse den gemensamma informationspunkten med relevant information. Det bör därför införas en skyldighet för myndigheter att underrätta den gemensamma informationspunkten om de skyddade data som gjorts tillgängliga för vidareutnyttjande. Myndigheten ska också ge annan relevant information om dessa data, i enlighet med artikel 8.2 i EU:s dataförvaltningsförordning. En bestämmelse med en sådan skyldighet, som hänvisar till EU:s dataförvaltningsförordning, bör införas i öppna datalagen. På så sätt bör de eventuella otydligheter som skyldigheten innebär, och som Region Skåne befarar, i princip undanröjas. Det är sedan en uppgift för rättstillämparen att närmare förtydliga innebörden av skyldigheten.
Dataförmedling och dataaltruism
Bestämmelser om dataförmedlingstjänster och dataaltruismorganisationer
Regeringens förslag: Det ska införas nationella bestämmelser om dataförmedlingstjänster och dataaltruismorganisationer. Ord och uttryck i den nationella lagstiftningen ska ha samma betydelse som i EU:s dataförvaltningsförordning.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Försvarsmakten anser att myndighetens verksamhet inte ska omfattas av EU:s dataförvaltningsförordning, eftersom försvars- och säkerhetsområdet ligger utanför EU:s kompetens. Myndighetens verksamhet bör därför enligt myndigheten uttryckligen undantas från kompletteringslagens tillämpningsområde. Enligt Sveriges advokatsamfund saknas det i den föreslagna kompletteringslagen bestämmelser om att EU:s dataskyddsförordning och nationella bestämmelser om dataskydd har företräde framför EU:s dataförvaltningsförordning och kompletteringslagen.
Skälen för regeringens förslag: EU:s dataförvaltningsförordnings kapitel III och IV har en delvis annan struktur och innehåll än kapitel II. Även bestämmelserna i dessa kapitel syftar till att öka tillgängligheten och användningen av data, men handlar i stället om att reglera formerna för hur vissa aktörer som tillgängliggör data ska få bedriva sin verksamhet. I kapitel III finns en uppsättning bestämmelser för leverantörer av dataförmedlingstjänster, s.k. dataförmedlare. Syftet med dessa bestämmelser är att öka förtroendet för dataförmedlare, genom att få dem att agera som neutrala parter i förhållanden till den data de tillgängliggör. De ska inte själva ska få använda data som de förmedlar för att generera vinst, t.ex. genom att sälja samma data till ett annat företag. Bakgrunden till bestämmelserna är att minska de farhågor som finns hos framför allt företag att dela sina data för att det skulle kunna innebära nackdelar i konkurrenshänseende eller utgöra en risk för missbruk av data.
I kapitel IV i EU:s dataförvaltningsförordning regleras i första hand förutsättningarna för erkännande och registrering av dataaltruismorganisationer. Dataaltruism handlar om att individer och företag på frivillig väg och utan krav på ersättning ger sitt samtycke eller tillåtelse att tillgängliggöra data för att användas i allmänhetens intresse. Dataaltruismorganisationer samlar i sin tur in sådana uppgifter för mål av allmänt intresse, eller för att ge andra fysiska och juridiska personer möjlighet att behandla data för de mål av allmänt intresse för vilka uppgifterna samlades in. Regelverket bygger på att den som delar med sig av sina data kan följa hur uppgifterna används.
EU:s dataförvaltningsförordning ställer krav på att medlemsstaterna inför kompletterande bestämmelser till kapitel III och IV om bl.a. behöriga myndigheter, avgifter, informationsutbyte samt om vissa tillhörande bestämmelser i kapitel V om förfarandet och i kapitel IX om sanktioner. Eftersom regelverket om dataförmedlare och dataaltruismorganisationer skiljer sig åt i struktur och innehåll jämfört med bestämmelserna om vidareutnyttjande av data är det inte lämpligt att införa de kompletterande nationella bestämmelserna om dataförmedlare och dataaltruismorganisationer i öppna datalagen. Det bör i stället regleras i en ny lag. Den nya lagen bör endast utgöra ett komplement till EU:s dataförvaltningsförordning, eftersom förordningen gäller direkt (se t.ex. avsnitt 5.5). Det stora flertalet bestämmelser som ska tillämpas för dataförmedlare och dataaltruismorganisationer finns i EU:s dataförvaltningsförordning.
Den föreslagna kompletteringslagen innehåller bestämmelser om bl.a. behörig myndighet, tillsyn och avgifter. Regeringen bedömer att Försvarsmakten inte omfattas av de föreslagna bestämmelserna. Det saknas därför skäl att, till skillnad från vad Försvarsmakten anför, undanta myndigheten från kompletteringslagens tillämpningsområde.
Av artikel 1.3 i EU:s dataförvaltningsförordning framgår bl.a. att förordningen inte påverkar tillämpningen av EU:s dataskyddsförordning eller nationell rätt som har antagits i enlighet med unionsrätt om skydd av personuppgifter. Eftersom kompletteringslagen bygger på EU:s dataförvaltningsförordning anser regeringen, till skillnad från Sveriges advokatsamfund, att det inte behövs några särskilda bestämmelser i kompletteringslagen om att EU:s dataskyddsförordning, eller kompletterande nationella bestämmelser till skydd av personuppgifter, har företräde framför EU:s dataförvaltningsförordning eller kompletteringslagen. EU:s dataskyddsförordningen gäller vidare direkt i svensk rätt och ska tillämpas av myndigheter vid behandling av personuppgifter.
Hänvisningar till EU:s dataförvaltningsförordning i kompletteringslagen bör vara utformade på så sätt att de avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Förordningen kan då ändras utan att de kompletterande nationella bestämmelserna behöver justeras.
Behörig myndighet för dataförmedlingstjänster och dataaltruismorganisationer
Regeringens förslag: Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet. Tillsynsmyndigheten ska vara behörig myndighet för leverantörer av dataförmedlingstjänster och dataaltruismorganisationer.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Skälen för regeringens förslag
Behörig myndighet för leverantörer av dataförmedlingstjänster
Varje medlemsstat ska utse en eller flera behöriga myndigheter för att utföra uppgifter i samband med anmälningsförfarandet för dataförmedlingstjänster (artikel 13). Den behöriga myndigheten ska på begäran av leverantören av dataförmedlingstjänster inom en vecka från det att en komplett anmälan inkom utfärda en standardiserad förklaring som bekräftar att leverantören inkommit med en anmälan (artikel 11.8). Den behöriga myndigheten ska vidare underrätta kommissionen på elektronisk väg om varje ny anmälan (artikel 11.10). Myndigheten ska utöva tillsyn och inom ramen för den ha befogenheter att besluta om ekonomiska sanktioner (artikel 14). Myndighetens jurisdiktion, dvs. vilka leverantörer av dataförmedlingstjänster som myndigheten ska registrera och därmed utöva tillsyn över, följer av EU:s dataförvaltningsförordning (artikel 11.2 och 11.3).
De huvudsakliga uppgifterna för den behöriga myndigheten är att ta emot och bedöma anmälningar samt att utöva tillsyn över leverantörer av dataförmedlingstjänster. Av effektivitetsskäl är det lämpligt att utse en myndighet som redan utför sådana uppgifter så att befintliga system, processer och rutiner kan nyttjas. Den eller de behöriga myndigheterna bör utses av regeringen.
Det följer av EU:s dataförvaltningsförordning att den behöriga myndigheten ska ha ett nära samarbete med Integritetsskyddsmyndigheten, Konkurrensverket och myndigheterna som ansvarar för cybersäkerhet för att utbyta information (artikel 13). Samverkan behöver i det här fallet inte regleras särskilt eftersom det redan följer av bl.a. bestämmelserna i 8 § förvaltningslagen att en myndighet inom sitt verksamhetsområde ska samverka med andra myndigheter. Däremot kan det finnas fördelar med att utse en myndighet som redan samverkar med dessa myndigheter. Det bör inte krävas en sekretessbrytande bestämmelse i nationell rätt för att myndigheterna inom ramen för ett sådant samarbete ska kunna utbyta sekretessbelagda uppgifter, eftersom grunden för samarbetet följer direkt av EU:s dataförvaltningsförordning (se avsnitt 6.3.5).
Företrädare för den behöriga myndigheten ska vidare ingå i den europeiska datainnovationsstyrelse som Europeiska kommissionen ska inrätta (artikel 29). Datainnovationsstyrelsen ska bl.a. rådgöra och bistå kommissionen i utarbetandet av praxis för myndigheter och behöriga organ som ska tillämpa EU:s dataförvaltningsförordning (artikel 30 a).
Behörig myndighet för dataaltruismorganisationer
Varje medlemsstat ska också utse en eller flera behöriga myndigheter för registrering av dataaltruismorganisationer (artikel 23). Den behöriga myndigheten ska bl.a. hantera ansökningar om registrering från dataaltruismorganisationer, hålla registret uppdaterat (artiklarna 17 och 19) och utöva tillsyn över sådana organisationer (artikel 24). Den behöriga myndigheten ska också ta emot de årliga verksamhetsrapporterna som de erkända dataaltruismorganisationerna ska lämna (artikel 20.2) och underrätta kommissionen om alla registreringar (artikel 19.5). Myndighetens jurisdiktion, dvs. vilka dataaltruismorganisationer som myndigheten ska registrera och därmed utöva tillsyn över, följer av EU:s dataförvaltningsförordning (artikel 19).
Tillsynsmyndigheten bör även vara behörig myndighet för dataförmedlingstjänster och dataaltruismorganisationer
Uppgifterna för de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer får utföras av samma myndighet. Medlemsstaterna får antingen inrätta en eller flera myndigheter eller förlita sig på befintliga myndigheter (artikel 26). Behöriga myndigheter för dataförmedlingstjänster och dataaltruismorganisationer ska båda hantera ansökningar och anmälningar samt utöva tillsyn. Flera av bestämmelserna i EU:s dataförvaltningsförordning som avser de behöriga myndigheterna är dessutom gemensamma (se artiklarna 26, 27 och 28) och båda förfarandena omfattas av Europaparlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012 (artikel 36). Vidare ska den behöriga myndigheten för dataförmedlingstjänster och dataaltruismorganisationer representeras i Europeiska datainnovationsstyrelsen. Mot bakgrund av att uppgifterna för behörig myndighet för leverantörer av dataförmedlingstjänster och för dataaltruismorganisationer är mycket likartade finns det skäl att överväga att inrätta en gemensam behörig myndighet för dessa aktörer. Enligt regeringen bör den myndighet som utses till tillsynsmyndighet enligt kompletteringslagen även vara behörig myndighet enligt EU:s dataförvaltningsförordning. Tillsynsmyndigheten bör utses av regeringen.
Tillsyn och sanktionsavgift
Tillsyn
Regeringens förslag: Tillsynsmyndigheten ska få meddela de förelägganden som behövs för att EU:s dataförvaltningsförordning, lagen med kompletterande bestämmelser till EU:s dataförvaltningsförordning eller de föreskrifter som har meddelats i anslutning till lagen ska följas. Förelägganden enligt artikel 14 i EU:s dataförvaltningsförordning, som riktar sig mot leverantörer av dataförmedlingstjänster, ska få förenas med vite.
Tillsynsmyndigheten ska kunna utfärda en varning till leverantörer av dataförmedlingstjänster för överträdelser av
anmälningsskyldigheten,
villkoren för tillhandahållande av dataförmedlingstjänster, och
villkoren för överföring av andra data än personuppgifter till tredjeland.
Tillsynsmyndigheten ska vidare kunna utfärda en varning till en fysisk eller juridisk person för överträdelser av villkoren för överföring av andra data än personuppgifter till tredjeland.
Tillsynsmyndigheten ska också kunna utfärda en varning till en erkänd dataaltruismorganisation för överträdelser mot villkoren för registrering samt villkoren för överföring av andra data än personuppgifter till tredjeland.
Promemorians förslag överensstämmer delvis med regeringens. I promemorian förslås ordet erinran i stället för varning. I promemorian föreslås inte att tillsynsmyndigheten ska kunna utfärda en varning till en fysisk eller juridisk person för överträdelser av villkoren för överföring av andra data än personuppgifter till tredjeland.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Sveriges advokatsamfund anser att möjligheten att besluta om förelägganden och att förena dessa med vite även bör omfatta brott mot artiklarna 5.14 och 31 i EU:s dataförvaltningsförordning. Advokatsamfundet menar vidare att ordet erinran bör ersättas med reprimand för att använda samma definition som i EU:s dataskyddsförordning. Den behöriga myndigheten bör också enligt advokatsamfundet ges möjlighet att meddela en reprimand vid brott mot artikel 5.14 i EU:s dataförvaltningsförordning. På så sätt ges den behöriga myndigheten fler verktyg samtidigt som den enskilde kan undgå utfärdande av mer ingripande sanktioner.
Enligt PTS bör det övervägas att införa upplysningsbestämmelser för samtliga tillsynsbestämmelser i EU:s dataförvaltningsförordning. Myndigheten anser att tillsynsmyndigheten också bör ges möjlighet att vid vite förelägga vidareutnyttjare att komma in med uppgifter samt ha befogenhet att vidta fler utredningsåtgärder än vad som följer av förvaltningslagen. Myndigheten anser vidare att det bör förtydligas om ett föreläggande kan beslutas med stöd av artikel 14.4 i EU:s dataförvaltningsförordning och om det i så fall ska föregås av ett meddelande enligt artikel 14.3 eller om det i stället är en begäran enligt artikel 14.2 som får förenas med vite. Artikel 24.5 i EU:s dataförvaltningsförordning bör enligt myndigheten tolkas som att en dataaltruismorganisation ska förlora sin rätt att använda beteckningen så snart villkoren inte längre är uppfyllda, vilket innebär att det inte borde finnas något utrymme att besluta om en erinran i sådana situationer. Slutligen bör det enligt myndigheten förtydligas i vilka situationer en erinran kan bli aktuell och hur sanktionen förhåller sig till den föreslagna möjligheten att avstå från att ta ut en sanktionsavgift.
Skälen för regeringens förslag
Tillsyn över leverantörer av dataförmedlingstjänster, dataaltruismorganisationer och vidareutnyttjare
Den behöriga myndigheten ska utöva tillsyn över leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer. Den behöriga myndigheten ska t.ex. enligt artikel 14.2 kunna begära information från leverantörer av dataförmedlingstjänster för att kontrollera uppfyllandet av kraven i EU:s dataförvaltningsförordning. Det finns liknande bestämmelser som tar sikte på dataaltruismorganisationer (artikel 24).
Att ha möjlighet att hämta in uppgifter från leverantörer av dataförmedlingstjänster och dataaltruismorganisationer är ett viktigt redskap i tillsynsarbetet. Regeringen anser att möjligheten att meddela förelägganden bör knyta an till den behöriga myndighetens tillsynsuppdrag. Det handlar bl.a. om att kontrollera uppgifterna som ligger till grund för anmälan respektive registrering, uppgifterna som ska finnas i registren över dataförmedlingstjänster och dataaltruismorganisationer (se t.ex. artiklarna 11.6, 11.10 och 18) samt att villkoren för tillhandahållandet av dataförmedlingstjänster och dataaltruismåtgärder följs (se t.ex. artiklarna 12 och 21).
Möjligheten för myndigheter att utfärda förelägganden för att kunna utföra sitt tillsynsuppdrag följer av bestämmelserna om myndigheters utredningsansvar i förvaltningslagen. Regeringen anser dock att det för tydlighetens skull bör införas en bestämmelse i kompletteringslagen om att den behöriga myndigheten har möjlighet att utfärda förelägganden inom ramen för sin tillsynsverksamhet. Det bedöms däremot inte, som PTS föreslår, som lämpligt att ta in upplysningsbestämmelser för samtliga tillsynsuppgifter som följer av EU:s dataförvaltningsförordning. En sådan lösning skulle göra lagstiftningen onödigt komplicerad och svåröverskådlig.
Det är av vikt att tillsynsmyndigheten i så stor utsträckning som möjligt kan bedriva ett effektivt tillsynsarbete. För att underlätta det arbetet bör myndigheten ha tillgång till flera verktyg, t.ex. möjligheten att besluta om förelägganden, med eller utan vite. I promemorian föreslås att tillsynsmyndigheten ska kunna förena förelägganden enligt artikel 14 i EU:s dataförvaltningsförordning med vite. Av artikel 14.4 framgår att den behöriga myndigheten genom administrativa förfaranden får besluta om att leverantörer av dataförmedlingstjänster ska få avskräckande ekonomiska sanktioner. Dessa får inbegripa löpande viten och sanktioner med retroaktiv verkan. Det finns inte någon motsvarande bestämmelse som tar sikte på tillsynen av erkända dataaltruismorganisationer eller regelverket om vidareutnyttjande av skyddade data. Regeringen anser mot bakgrund av detta, till skillnad från Sveriges advokatsamfund och PTS, att tillsynsmyndigheten endast bör ha möjlighet att förena förelägganden som riktar sig mot leverantörer av dataförmedlingstjänster med vite.
Sammanfattningsvis anser regeringen att tillsynsmyndigheten ska kunna meddela förelägganden och att den möjligheten ska regleras i den nya kompletteringslagen. Det är dock endast förelägganden som riktar sig mot leverantörer av dataförmedlingstjänster enligt artikel 14 i EU:s dataförvaltningsförordning som ska kunna förenas med vite.
Lagen (1985:206) om viten ska tillämpas när myndigheter beslutar om viten.
Tillsynsmyndigheten ska kunna utfärda en varning
Den behöriga myndigheten har möjlighet att kräva att tillhandahållandet av dataförmedlingstjänsten upphör om allvarliga eller upprepade överträdelser inte åtgärdas. Vidare ska den behöriga myndigheten begära att kommissionen avlägsnar leverantören av dataförmedlingstjänster från registret över leverantörer av dataförmedlingstjänster när den har utfärdat föreläggande om att tillhandahållandet av dataförmedlingstjänsten ska upphöra (artikel 14.4 c). En liknande bestämmelse finns för dataaltruismorganisationer när de inte uppfyller kraven i EU:s dataförvaltningsförordning (artikel 24.3). Vid en sådan situation ska den erkända dataaltruismorganisationen förlora sin rätt att använda beteckningen dataaltruismorganisation som är erkänd i unionen och avlägsnas från det offentliga nationella registret och det offentliga unionsregistret för sådana organisationer. Innan det sker ska organisationen få ett meddelande om att den inte bedöms uppfylla ett eller flera av kraven i förordningen och ges möjlighet att yttra sig. Till skillnad från PTS bedömer regeringen att ett meddelande i form av t.ex. en erinran eller varning bör kunna utfärdas inför ett beslut att avlägsna en dataaltruismorganisation från registret över erkända dataaltruismorganisationer (jfr artikel 24.3 och 24.5). Även en leverantör av dataförmedlingstjänster ska få ett meddelande och möjlighet att yttra sig när den behöriga myndigheten bedömer att dataförmedlaren inte uppfyller ett eller flera av kraven i förordningen (artikel 14.3). Det bör, som Sveriges advokatsamfund påpekar, även gälla för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.
I promemorian föreslås att den behöriga myndigheten ska kunna utfärda en erinran till leverantörer av dataförmedlingstjänster om de bryter mot anmälningsskyldigheten i artikel 11, villkoren för tillhandahållande av dataförmedlingstjänster i artikel 12 eller villkoren för överföring i artikel 31. Den behöriga myndigheten ska också enligt promemorians förslag kunna meddela en erinran till en erkänd dataaltruismorganisation som bryter mot villkoren i artiklarna 18, 20, 21 och 22 eller villkoren för överföring i artikel 31. Det följer av artikel 34 i EU:s dataförvaltningsförordning att medlemsstaterna ska fastställa regler om sanktioner för dessa överträdelser, men även för överträdelser mot artikel 5.14. Regeringen anser därför att tillsynsmyndigheten bör ha möjlighet att meddela en varning även vid överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning. Det blir då möjligt för tillsynsmyndigheten att meddela en varning i stället för en sanktionsavgift vid mindre allvarliga överträdelser (se avsnitt 6.3.2).
Sveriges advokatsamfund förespråkar att ordet reprimand används i stället för erinran. Reprimand är dock främmande för svensk rätt. Erinran förekommer däremot i flera författningar, t.ex. i rättegångsbalken, lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, luftfartslagen (2010:500), aktiebolagslagen (2005:551) och fastighetsmäklarlagen (2021:516). Tanken med förslaget om att den behöriga myndigheten ska kunna meddela en erinran mot leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer är bl.a. att de, om de inte rättar sig efter beslutet, ska kunna drabbas av en hårdare sanktion, t.ex. avregistrering. En erinran ses emellertid ofta som en mildare påföljd än en varning. Varning reserveras vanligtvis för mer klandervärda ageranden som, om de upprepas, kan leda till återkallelse av ett tillstånd eller avregistrering (se t.ex. prop. 2010/11:15 s. 40 och Högsta förvaltningsdomstolens avgöranden i HFD 2016 ref. 2 I och II). Eftersom syftet med förslaget bl.a. är att en situation där en överträdelse inte upphör ska kunna leda till avregistrering, bedömer regeringen att det ord som bör användas i lagen är varning.
Regeringen bedömer således att tillsynsmyndigheten bör ha möjlighet att utfärda en varning inom ramen för sin tillsyn över leverantörer av dataförmedlingstjänster, dataaltruismorganisationer och vidareutnyttjare. En varning bör i princip alltid utfärdas som en första åtgärd när det finns risk för att en tillhandahållare av dataförmedlingstjänster eller en dataaltruismorganisation avlägsnas från sina respektive register. En varning bör vidare kunna utfärdas innan en sanktionsavgift beslutas eller när förutsättningarna för att besluta om mer ingripande påföljder, t.ex. en sanktionsavgift, inte är uppfyllda.
Tillsynsmyndigheten ska besluta om sanktionsavgift
Regeringens förslag: Tillsynsmyndigheten ska besluta att ta ut en sanktionsavgift från en leverantör av dataförmedlingstjänster för överträdelser av anmälningsskyldigheten, villkoren för tillhandahållande och villkoren för överföring av andra data än personuppgifter till ett tredjeland.
Tillsynsmyndigheten ska också besluta att ta ut en sanktionsavgift från en vidareutnyttjare för överträdelser av villkoren för överföring av andra data än personuppgifter till ett tredjeland.
Om det kan anses tillräckligt får tillsynsmyndigheten i stället för att besluta att ta ut en sanktionsavgift meddela en varning.
En sanktionsavgift ska inte få beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås att tillsynsmyndigheten ska få ta ut en sanktionsavgift. I promemorian föreslås emellertid inte en uttrycklig bestämmelse om att varning kan meddelas i stället för sanktionsavgift om det kan anses tillräckligt.
Remissinstanserna: Samtliga remissinstanser tillstyrker eller har inga synpunkter på förslaget.
Skälen för regeringens förslag
Tillsynsmyndigheten bör utfärda sanktionsavgifter till leverantörer av dataförmedlingstjänster och vidareutnyttjare av data
Medlemsstaterna ska fastställa sanktioner för överträdelser av vissa bestämmelser i EU:s dataförvaltningsförordning (artikel 34). Sanktionerna ska vara effektiva, proportionella och avskräckande. Vilka överträdelser som avses framgår av samma bestämmelse och omfattar vidareutnyttjare av skyddade data, leverantörer av dataförmedlingstjänster och dataaltruismorganisationer. Det finns inte någon definition av vad som avses med sanktion i EU:s dataförvaltningsförordning.
I promemorian föreslås att sanktionsavgifter endast ska kunna riktas mot vidareutnyttjare av data och leverantörer av dataförmedlingstjänster, men däremot inte mot dataaltruismorganisationer eftersom dessa organisationer är icke-vinstdrivande. Alltför hårda sanktioner med stora ekonomiska konsekvenser för dessa organisationer bedöms vara oproportionerligt. För dessa organisationer föreslås i stället andra sanktioner. Det finns t.ex. en skyldighet att avregistrera dataaltruismorganisationen från nationella register och unionsregister om organisationen inte uppfyller kraven i EU:s dataförvaltningsförordning (artikel 24.5). Tillsynsmyndigheten föreslås också kunna utfärda en varning inför ett sådant beslut (se avsnitt 6.3). Regeringen bedömer att dessa åtgärder är tillräckliga för att tillförsäkra att dataaltruismorganisationer följer bestämmelserna i EU:s dataförvaltningsförordning.
Leverantörer av dataförmedlingstjänster och vissa vidareutnyttjare av data är däremot vinstdrivande företag som verkar i konkurrens med varandra. EU:s dataförvaltningsförordning syftar bl.a. till att säkerställa att konkurrensen på den inre marknaden inte snedvrids. Det behövs därför effektiva ekonomiska sanktioner som avhåller leverantörer av dataförmedlingstjänster från att tillskansa sig oproportionerliga fördelar samtidigt som ett fritt dataflöde främjas. I promemorian konstateras att straffbestämmelser endast bör införas i undantagsfall och att en sanktionsavgift i stället är ett väl avvägt alternativ. Regeringen instämmer i den bedömningen.
Vilka överträdelser bör leda till en sanktionsavgift?
Enligt artikel 34 i EU:s dataförvaltningsförordning ska medlemsstaterna införa sanktioner för överträdelser av skyldigheter om överföring av andra data än personuppgifter (s.k. icke-personuppgifter enligt förordningen) till tredjeland enligt artiklarna 5.14 och 31. I artikel 5.14 regleras ramarna för tredjelandsöverföringar för den som vidareutnyttjar vissa kategorier av skyddade data från offentliga myndigheter enligt kapitel II i EU:s dataförvaltningsförordning. I artikel 31 regleras internationell tillgång till och överföring av andra data än personuppgifter och den träffar såväl offentliga myndigheter, vidareutnyttjare av skyddade data enligt kapitel II som leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer. Sanktioner ska också kunna beslutas vid överträdelser mot anmälningsskyldigheten för vidareutnyttjare av dataförmedlingstjänster enligt artiklarna 11 och 12.
Regeringen anser att tillsynsmyndigheten ska kunna besluta om sanktionsavgifter för överträdelser av artiklarna 5.14, 11, 12 och 31 i EU:s dataförvaltningsförordning, med undantag för dataaltruismorganisationer. Om det kan anses tillräckligt bör tillsynsmyndigheten i stället för att ta ut en sanktionsavgift kunna meddela en varning. Det bör t.ex. kunna ske i fall av mindre allvarliga överträdelser (se avsnitt 6.3.1).
Hinder mot dubbelbestraffning
Den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) och några av dess tilläggsprotokoll, däribland det sjunde tilläggsprotokollet, gäller som svensk lag enligt lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. I 2 kap. 19 § regeringsformen finns ett förbud mot att meddela lag eller förskrift som står i strid med Sveriges åtaganden enligt Europakonventionen. I artikel 4.1 i sjunde tilläggsprotokollet till Europakonventionen finns ett förbud mot dubbel lagföring eller dubbla straff.
Tillsynsmyndigheten ska enligt förslaget få meddela de förelägganden som behövs för att EU:s dataförvaltningsförordning, den kompletterande nationella lagstiftningen till EU:s dataförvaltningsförordning eller de föreskrifter som har meddelats i anslutning till lagen ska följas (se avsnitt 6.3.1). I vissa fall ska tillsynsmyndigheten kunna förena förelägganden med vite. Syftet med möjligheten till vitesföreläggande är att tillsynsmyndigheten med effektiva medel ska kunna utöva sin tillsynsverksamhet och bevaka att bestämmelserna i EU:s dataförvaltningsförordning och den kompletterande lagstiftningen efterlevs. Ett vite har karaktär av straff och aktualiserar tillämpningen av förbudet mot dubbel lagföring och dubbla straff i sjunde tilläggsprotokollet till Europakonventionen. Högsta domstolen har i sin praxis fastslagit att det inte enbart är ett slutligt avgörande som utgör ett hinder mot andra förfaranden, utan att även en pågående prövning utgör ett sådant hinder enligt svenska grundläggande processuella principer (se bl.a. avgörandet NJA 2013 s. 502). I regelverk där det är möjligt att utfärda ett vitesföreläggande och ta ut en sanktionsavgift för samma överträdelse införs därför bestämmelser som syftar till att hindra dubbelbestraffning. Dessa brukar utformas på så sätt att sanktionsavgift inte får beslutas om överträdelsen även omfattas av ett vitesföreläggande och överträdelsen ligger till grund för en ansökan om utdömande av vitet, se t.ex. 3 kap. 6 § lagen (2016:1307) om straff för marknadsmissbruk på värdepappersmarknaden och 12 kap. 3 § lagen (2022:482) om elektronisk kommunikation (jfr prop. 2016/17:22 s. 228 och prop. 2021/22:136 s. 525). Följaktligen bör möjligheten att besluta om en sanktionsavgift förutsätta att samma omständigheter som ligger till grund för avgiften inte omfattas av ett föreläggande om vite, om omständigheterna ligger till grund för en ansökan om utdömande av vitet, vilket också bör framgå av kompletteringslagen.
Eftersom en ansökan om utdömande av vite utgör hinder mot ett beslut om sanktionsavgift avseende samma omständigheter bör tillsynsmyndigheten noga överväga om en sådan ansökan är nödvändig när det samtidigt kan vara aktuellt att besluta om en sanktionsavgift.
Regeringen bedömer att det inte är särskilt troligt att den omvända situationen skulle uppstå, dvs. att en beslutad sanktionsavgift skulle utgöra hinder mot ett föreläggande eller utdömande av vite. Ett vitesföreläggande syftar till att få enskilda att vidta en åtgärd eller underlåta att göra något, dvs. att påverka ett framtida handlande. En sanktionsavgift däremot syftar till att straffa ett tidigare agerande. Ett vitesföreläggande som beslutas efter en sanktionsavgift kan därför inte omfatta samma händelse. Regeringen bedömer vidare att det inte är sannolikt att tillsynsmyndigheten skulle använda sig av ett vitesföreläggande eller ansöka om utdömande av vite för en överträdelse för vilken en sanktionsavgift har beslutats (jfr prop. 2021/22:136 s. 363 och 364). Regeringen konstaterar därför att risken för dubbelbestraffning i den beskrivna situationen är mycket osannolik och därför inte motiverar en bestämmelse om förbud mot dubbelprövning.
Sanktionsavgiftens storlek
Regeringens förslag: Sanktionsavgiften ska uppgå till lägst 5 000 kronor och högst 10 000 000 kronor.
När avgiftens storlek bestäms ska hänsyn tas till
överträdelsens art, allvar, omfattning och varaktighet,
åtgärder som har vidtagits för att begränsa eller avhjälpa den skada som överträdelsen har orsakat,
tidigare överträdelser,
de ekonomiska vinster som har gjorts eller de förluster som har undvikits till följd av överträdelsen, och
andra försvårande eller förmildrande omständigheter.
Tillsynsmyndigheten ska kunna avstå från att ta ut avgiften helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Samtliga remissinstanser tillstyrker eller har inga synpunkter på förslaget.
Skälen för regeringens förslag
Sanktionsavgiften bör bygga på strikt ansvar, men bör kunna sättas ned i vissa fall
Huvudregeln är att sanktionsavgifter bygger på strikt ansvar, dvs. att avgiften tas ut oberoende av om överträdelsen har skett med uppsåt eller på grund av oaktsamhet (prop. 1981/82:142 s. 95). Syftet med avgiften är ofta att uppnå en vinsteliminerande och handlingsdirigerande effekt, vilket innebär att avgiften inte sällan sätts något högre än den beräknade vinsten eller minskade förlusten till följd av överträdelsen. När det gäller de nu aktuella överträdelserna är det av vikt att det upprätthålls ett starkt skydd för de uppgifter som kan bli föremål för vidareutnyttjande eller som tillhandahålls av leverantörer av dataförmedlingstjänster. Avgiften bör därför bygga på strikt ansvar.
Det bör dock finnas ett utrymme för tillsynsmyndigheten att sätta ned avgiften eller avstå från att helt eller delvis ta ut avgiften om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. Det kan t.ex. vara fråga om en bagatellartad överträdelse som inte har varit till men för något allmänt eller enskilt intresse. Det skulle kunna röra sig om att leverantören av dataförmedlingstjänster inte anmält en uppgift enligt artikel 11 och att det rör sig om en uppgift som t.ex. inte har haft någon större betydelse för bedömningen av leverantörens rätt att tillhandahålla dataförmedlingstjänster eller som inte inverkat på möjligheten att utöva tillsyn. En överträdelse kan vidare vara ursäktlig om det varit närmast omöjligt för den avgiftsskyldige att upptäcka överträdelsen eller om den på annat sätt varit utanför den avgiftsskyldiges kontroll. Avsikten är dock inte att sanktionsavgiften ska sättas ned på grund av bristande kännedom om reglerna, dålig ekonomi, tidsbrist, bristande rutiner eller liknande.
Sanktionsavgiftens storlek
Sanktionsavgifter kan vara utformade på olika sätt. De kan avse på förhand bestämda belopp, ett beloppsintervall eller vara kopplade till omsättningen i näringsverksamheten.
De överträdelser som nu är aktuella för sanktionsavgift rör bl.a. anmälningsskyldigheten för leverantörer av dataförmedlingstjänster enligt artiklarna 11 och 12 eller att vidareutnyttjare och leverantörer av dataförmedlingstjänster inte lyckats upprätthålla ett fullgott skydd för data.
Eftersom det inte finns någon befintlig marknad för vidareutnyttjande av data och dataförmedlingstjänster är det svårt att uppskatta vilken nivå som krävs för att sanktionsavgiften ska ha en tillräckligt handlingsdirigerande och avskräckande effekt. Beloppsintervallet för sanktionsavgifter varierar mellan olika rättsområden, från 1 000 kronor som lägsta nivå, upp till 20 000 000 kronor för de allvarligaste överträdelserna, se t.ex. resegarantilagen (2018:1218) och lagen (2016:1145) om offentlig upphandling.
Den aktuella lagstiftningen innebär att dataförmedlingstjänster kommer att kunna erbjudas av såväl mindre företag som stora globala företag. Intervallet behöver därför vara förhållandevis stort med möjlighet att besluta om högre avgifter för allvarliga överträdelser. Regeringen bedömer mot bakgrund av detta att en sanktionsavgift bör kunna beslutas med lägst 5 000 kronor och högst 10 000 000 kronor.
I artikel 34.2 anges ett antal vägledande kriterier som kan beaktas vid utdömande av sanktioner. De omständigheter som räknas upp är bl.a. överträdelsens art och omfattning, eventuella åtgärder som vidtagits för att begränsa eller avgränsa den skada som överträdelsen orsakat, andra tidigare överträdelser, de ekonomiska vinster som gjorts eller förluster som undvikits till följd av överträdelsen och andra försvårande eller förmildrande omständigheter. Regeringen anser att dessa omständigheter är relevanta för bedömningen av sanktionsavgiftens storlek och att de bör ligga till grund för tillsynsmyndighetens bedömning av sanktionsavgiftens storlek. De omständigheter som kan beaktas bör dock inte vara uttömmande, utan hänsyn ska kunna tas till samtliga relevanta omständigheter i det enskilda fallet.
Bestämmelser om förfarandet vid beslut om sanktionsavgifter
Regeringens förslag: En sanktionsavgift ska endast få beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Ett beslut om sanktionsavgift ska delges.
Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas i tid, ska den lämnas in för indrivning.
En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Sanktionsavgiften ska tillfalla staten.
Promemorians förslag överensstämmer i huvudsak med regeringens. I promemorian föreslås en uttrycklig bestämmelse om att verkställighet får ske enligt utsökningsbalken.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Bolagsverket anför att bestämmelsen om att verkställighet får ske enligt utsökningsbalken är överflödig eftersom en förvaltningsmyndighets beslut som innefattar betalningsskyldighet numera utgör en exekutionstitel enligt utsökningsbalken.
Skälen för regeringens förslag: Det är vanligt att bestämmelser om sanktionsavgifter åtföljs av särskilda förfarandebestämmelser om bl.a. delgivning, preskription och verkställighet, se t.ex. 15 kap. 9 d § och 11–14 §§ lagen (2004:297) om bank- och finansieringsrörelse och 7 kap. 20–23 §§ lagen om åtgärder mot penningtvätt och finansiering av terrorism. Eftersom en sanktionsavgift är en ingripande åtgärd bör det t.ex. finnas en bortre tidsgräns för när avgiften får beslutas. En sanktionsavgift bör endast få beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum. Bevisbördan för att kommunikation har skett bör ligga på tillsynsmyndigheten. Tidsfristen bör räknas från när överträdelsen ägde rum. I fråga om en överträdelse som skett löpande under viss tid är det tillräckligt att kommunikation sker inom två år från det att överträdelsen upphörde för att en sanktionsavgift ska kunna beslutas.
En sanktionsavgift bör betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om avgiften inte betalas i tid bör tillsynsmyndigheten vara skyldig att lämna den obetalda avgiften för indrivning. Av 3 kap. 1 § 6 utsökningsbalken följer att en förvaltningsmyndighets beslut som innefattar betalningsskyldighet och som får överklagas som t.ex. förvaltningsbesvär utgör en exekutionstitel (prop. 2021/22:206 s. 36). Det saknas därför, som Bolagsverket anför, behov av en särskild bestämmelse om att verkställighet får ske enligt utsökningsbalken.
I likhet med vad som i allmänhet gäller för sanktionsavgifter bör avgiften preskriberas till den del verkställighet inte har skett inom fem år. Slutligen bör sanktionsavgiften tillfalla staten.
Informationsutbyte och sekretess
Regeringens förslag: Tillsynsmyndigheten ska, när den bedriver tillsyn, kunna utbyta information med andra myndigheter. Även andra myndigheter, som regeringen ska få bestämma, ska kunna utbyta information med tillsynsmyndigheten i syfte att myndigheterna ska kunna bedriva tillsyn.
Regeringens bedömning: Det behövs inte några sekretessbestämmelser för att skydda uppgifter i den behöriga myndighetens tillsynsverksamhet.
Promemorians förslag och bedömning överensstämmer i sak med regeringens. Promemorians förslag har dock en något annorlunda redaktionell utformning.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Konkurrensverket anser att det behöver klargöras vilka sekretessregler som ska gälla i tillsynsmyndighetens verksamhet för uppgifter som omfattas av sekretess hos den utlämnande myndigheten. Enligt myndigheten är det angeläget att säkerställa att det finns ett motsvarande skydd för uppgifterna hos tillsynsmyndigheten.
Skälen för regeringens förslag och bedömning
Sekretess för uppgifter i tillsynsmyndighetens tillsynsverksamhet
Generellt gäller att uppgifter i allmänna handlingar är offentliga hos alla myndigheter. För att göra undantag från den principen krävs stöd i lag. Bestämmelser om sekretess finns huvudsakligen i offentlighets- och sekretesslagen. Sekretess innebär att det är förbjudet att röja uppgifter, vare sig det sker muntligen, genom att en handling lämnas ut eller på annat sätt (3 kap. 1 § OSL).
För att tillsynsmyndigheten ska kunna utföra den tillsyn som krävs enligt EU:s dataförvaltningsförordning och som föreslås i den föreslagna kompletteringslagen kommer myndigheten att behöva få tillgång till ett stort antal uppgifter för att kontrollera att bl.a. leverantörer av dataförmedlingstjänster och dataaltruismorganisationer uppfyller kraven i EU:s dataförvaltningsförordning, t.ex. uppgifter om hur data används, kommersiella villkor, uppbyggnaden av tjänster, säkerhetsåtgärder och loggar (se artiklarna 12, 20 och 21). Flera av dessa uppgifter kan tänkas utgöra känsliga affärsuppgifter.
Sekretess innebär en inskränkning i den grundlagsfästa rätten till att ta del av allmänna handlingar och avvägningen mellan allmänhetens intresse av insyn måste vägas noga mot sekretessintresset. Regeringen anser emellertid att det är av vikt att de uppgifter som lämnas till tillsynsmyndigheten inom ramen för myndighetens tillsyn, t.ex. om sådant som kan betraktas som affärshemligheter, ska kunna omfattas av sekretess.
I 30 kap. 23 § OSL finns en bestämmelse som gör det möjligt för regeringen att meddela föreskrifter om sekretess för en statlig myndighets verksamhet om den bl.a. innefattar tillsyn. I 9 § och bilagan till offentlighets- och sekretessförordningen (2009:641) finns sådana föreskrifter. Beroende på vilken myndighet som regeringen beslutar att utse till behörig myndighet kan det finnas behov av att komplettera den aktuella bilagan.
Enligt 30 kap. 23 § OSL gäller sekretess bl.a. för uppgift om en enskilds affärs- eller driftförhållanden, om det kan antas att den enskilde lider skada om uppgifterna röjs, och för uppgift om andra ekonomiska eller personliga förhållanden för den som har trätt i affärsförbindelse eller liknande förbindelse med den som är föremål för myndighetens verksamhet. De aktuella bestämmelserna i 30 kap. 23 § OSL bedöms innebära att uppgifter i den behöriga myndighetens tillsynsverksamhet i tillräcklig utsträckning kommer att omfattas av sekretess.
Tillsynsmyndigheten och andra myndigheter bör kunna utbyta information när de bedriver tillsyn
Tillsynen över dataförmedlingstjänster angränsar mot flera andra områden och tillsynsverksamheter, t.ex. dataskydd, konkurrensrätt och cybersäkerhet. Tillsynsmyndigheten behöver därför kunna samverka och utbyta information med andra tillsynsmyndigheter inom framför allt dessa områden. Samverkan bör i första hand avse samordning av tillsyn och utbyte av information inom ramen för respektive verksamhets tillsynsområde. På samma sätt som när tillsynen bedrivs direkt mot t.ex. leverantörer av dataförmedlingstjänster kommer de uppgifter som kan behöva lämnas mellan myndigheterna att röra känsliga uppgifter av olika slag, främst affärsuppgifter. Mot bakgrund av att granskningen inte kommer att avse själva datan gör regeringen bedömningen att det inte finns behov av att utbyta information som utgör personuppgifter.
I offentlighets- och sekretesslagen finns inte någon generell bestämmelse som innebär att myndigheter kan utbyta information som skyddas av sekretess. Det finns en bestämmelse som innebär att en uppgift kan lämnas till en annan myndighet, trots att den skyddas av sekretess, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (10 kap. 2 § OSL). Den bestämmelsen tar dock sikte på den utlämnande myndighetens verksamhet och gör det inte möjligt för tillsynsmyndigheten att, inom ramen för sin tillsynsverksamhet, ta emot uppgifter från andra myndigheter. Regeringen bedömer därför att det behövs en särskild bestämmelse som innebär att den behöriga myndigheten och andra myndigheter kan utbyta information inom ramen för respektive myndighets tillsynsverksamhet (jfr 10 kap. 28 § OSL). Regeringen bör bestämma mellan vilka myndigheter information ska kunna utbytas mot bakgrund av att myndigheternas verksamhet kan komma att ändras.
Konkurrensverket anser att det bör säkerställas att det finns sekretessregler som gäller i tillsynsmyndighetens verksamhet för uppgifter som omfattas av sekretess hos den utlämnande myndigheten. Av 11 kap. 1 § OSL följer att om en myndighet får en sekretessreglerad uppgift från en annan myndighet, så blir sekretessbestämmelsen tillämplig på uppgiften även hos den mottagande myndigheten. Bestämmelsen omfattar den mottagande myndighetens verksamhet som avser tillsyn eller revision. Eftersom det föreslagna informationsutbytet mellan tillsynsmyndigheten och andra myndigheter ska omfatta dessa myndigheters tillsynsverksamhet kommer sekretessbelagda uppgifter fortsätta att skyddas av sekretess vid ett överlämnande.
Sekretess för uppgifter som utbyts mellan myndigheter enligt EU:s dataförvaltningsförordning
Den behöriga myndigheten ska samarbeta med och bistå motsvarande myndigheter i andra medlemsstater (artikel 14.7 i EU:s dataförvaltningsförordning). Detta bistånd och samarbete får omfatta informationsutbyte mellan de berörda behöriga myndigheterna för utförande av deras uppgifter enligt förordningen och i vissa fall finns en skyldighet att lämna ut information (artikel 26.4). Den behöriga myndigheten ska också i vissa fall samarbeta med de nationella konkurrensmyndigheterna, de myndigheter som ansvarar för cybersäkerhet och andra relevanta sektorsmyndigheter (artikel 13.3), se avsnitt 6.2.
Uppgifter i den behöriga myndighetens tillsynsverksamhet kan sannolikt komma att omfattas av sekretess. Det innebär att det måste finnas stöd i offentlighets- och sekretesslagen, eller i annan lag eller förordning som den lagen hänvisar till, för att uppgifter som omfattas av sekretess ska kunna lämnas ut till andra myndigheter (8 kap. 1 § OSL). Av 10 kap. 28 § OSL följer att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldigheten följer av lag eller förordning. En uppgift för vilken sekretess gäller får inte heller röjas för en utländsk myndighet eller en mellanfolklig organisation, om inte utlämnandet sker i enlighet med särskild föreskrift i lag eller förordning (8 kap. 3 § 1 OSL).
EU-förordningar bör anses likställda med svensk lag (se t.ex. prop. 1999/2000:126 s. 272). Detta innebär att en uppgiftsskyldighet som följer av en EU-förordning får anses bryta sekretessen enligt 10 kap. 28 § och 8 kap. 3 § OSL (jfr samma prop. s. 283). För att den behöriga myndigheten ska kunna utbyta uppgifter med behöriga myndigheter i andra medlemsstater behövs det enligt regeringens mening därför inte en sekretessbrytande bestämmelse i nationell lagstiftning, eftersom skyldigheten att samarbeta följer direkt av EU-förordningen (se t.ex. artiklarna 14.7 och 26.6 i EU:s dataförvaltningsförordning). Detsamma gäller för samarbete mellan nationella myndigheter som följer direkt av EU:s dataförvaltningsförordning.
Om en myndighet får en sekretessreglerad uppgift från en annan myndighet fortsätter sekretessen att gälla hos den mottagande myndigheten, om myndigheten får uppgiften i sin verksamhet som avser tillsyn eller revision (11 kap. 1 § OSL). Sekretesskyddet fortsätter alltså att gälla med stöd av 11 kap. 1 § OSL för uppgifter som lämnas mellan myndigheter i Sverige i deras tillsynsverksamhet enligt EU:s dataförvaltningsförordning. Sekretess gäller vidare för vissa uppgifter som en svensk myndighet får som ett led i ett förfarande enligt t.ex. en EU-förordning (30 kap. 24 § OSL).
Det finns också bestämmelser i EU:s dataförvaltningsförordning som innebär att den behöriga myndigheten, om den anser att begärd information från behöriga myndigheter i andra medlemsstater eller från kommissionen är konfidentiell, kan påkalla att skyddet för uppgifterna upprätthålls. De behöriga myndigheterna och kommissionen ska i sådana fall säkerställa konfidentiell behandling (artikel 26.6). Dessa bestämmelser bör enligt regeringens mening säkerställa sekretesskyddet för uppgifter som lämnas över till kommissionen och till behöriga myndigheter i andra medlemsstater. Det innebär att svenska myndigheter kan påkalla att sekretess fortsatt ska gälla för uppgifter som lämnas till utländska myndigheter och EU:s institutioner enligt EU:s dataförvaltningsförordning. I sådana fall bör myndigheten göra en sekretessmarkering på handlingen enligt 5 kap. 5 § OSL.
För uppgifter som myndigheter i andra medlemsstater lämnar till tillsynsmyndigheten i Sverige med stöd av EU:s dataförvaltningsförordning aktualiseras bestämmelserna i 15 kap. 1 och 1 a §§ OSL. Av 15 kap. 1 § följer bl.a. att sekretess gäller för uppgift som rör Sveriges förbindelser med en annan stat eller i övrigt rör en annan stat, myndighet, medborgare eller juridisk person i annan stat, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. Enligt 15 kap. 1 a § OSL gäller sekretess för uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller med en mellanfolklig organisation, om det kan antas att Sveriges möjlighet att delta i det internationella samarbetet som avses i rättsakten eller i avtalet försämras om uppgiften röjs. Dessa bestämmelser har bedömts tillgodose behovet av utrikessekretess med anledning av Sveriges inträde i EU (se prop. 1994/95:112 s. 26–29). Regeringen bedömer mot denna bakgrund att bestämmelserna i 15 kap. 1 och 1 a §§ är tillräckliga för att uppfyllda kraven i artikel 26.4 i EU:s dataförvaltningsförordning.
Möjligheten att i övrigt bevara sekretesskyddet för uppgifter som lämnas till EU:s institutioner regleras i Europaparlamentets och rådets förordning (EG) nr 1049/2001 av den 30 maj 2001 om allmänhetens tillgång till Europaparlamentets, rådets och kommissionens handlingar.
Anmälningsförfarandet och tillsynen för leverantörer av dataförmedlingstjänster ska avgiftsbeläggas
Regeringens förslag: Tillsynsmyndigheten ska få ta ut avgifter för anmälan, registerhållning och tillsyn av leverantörer av dataförmedlingstjänster.
Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om avgifterna för anmälningsförfarandet, registerhållningen och tillsynen av leverantörer av dataförmedlingstjänster.
Promemorians förslag överensstämmer i sak med regeringens. Promemorians förslag har dock en något annorlunda redaktionell utformning.
Remissinstanserna: Samtliga remissinstanser tillstyrker eller har inga synpunkter på förslaget.
Skälen för regeringens förslag: Anmälningsförfarandet för dataförmedlingstjänster får enligt EU:s dataförvaltningsförordning avgiftsbeläggas i medlemsstaterna (artikel 11.11). Leverantörer av dataförmedlingstjänster ska sedan de anmält sig stå under tillsyn av den behöriga myndigheten (artikel 14). Avgiften får omfatta administrativa kostnader för de behöriga myndigheternas övervakning av efterlevnaden, och andra marknadskontrollåtgärder, avseende anmälningar av leverantörer av dataförmedlingstjänster. Avgiften får därmed omfatta både anmälningsförfarandet och den efterföljande tillsynen.
Ansvaret för att registrera och utöva tillsyn över leverantörer av dataförmedlingstjänster bör läggas på en statlig myndighet (avsnitt 6.2). Regeringen bedömer att registret och tillsynen bör avgiftsfinansieras. Regeringen eller den myndighet som regeringen bestämmer bör få meddela föreskrifter om avgifterna. Det finns många osäkerhetsfaktorer för marknaden av dataförmedlingstjänster och hur den kommer att utvecklas. Oaktat det anser regeringen, till skillnad från den bedömning som görs i promemorian, att storleken på avgiften bör följa huvudregeln i avgiftsförordningen att avgifter ska beräknas så att de helt täcker verksamhetens kostnader (full kostnadstäckning).
Överklagande av beslut
Regeringens förslag: Den behöriga myndighetens beslut enligt EU:s dataförvaltningsförordning och kompletteringslagen ska kunna överklagas till allmän förvaltningsdomstol.
Prövningstillstånd ska krävas vid överklagande till kammarrätt.
Promemorians förslag överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, tillstyrker eller har inga synpunkter på förslaget.
Bolagsverket anför att det saknas ett resonemang och analys avseende rätten att lämna in ett klagomål samt att överklaga kollektivt enligt artiklarna 27 och 28 i EU:s dataförvaltningsförordning. Möjligheten att föra talan kollektivt får anses saknas i förvaltningslagen och förvaltningsprocesslagen (1971:291).
Skälen för regeringens förslag
Beslut enligt kompletteringslagen och EU:s dataförvaltningsförordning ska kunna överklagas
Rätten till ett effektivt rättsmedel mot myndighetsbeslut tillgodoses normalt sett genom möjligheten att överklaga beslutet till allmän förvaltningsdomstol, dvs. till en förvaltningsrätt som första instans (se t.ex. prop. 1981/82:142 s. 99). När det gäller beslut som fattas enligt en EU-förordning följer rätten att överklaga av allmänna förvaltningsrättsliga principer och förvaltningslagen. Någon särskild överklagandebestämmelse behövs därmed i och för sig inte i nationell lagstiftning när det gäller beslut som tillsynsmyndigheten fattar enligt EU:s dataförvaltningsförordning.
Däremot behövs det särskilda bestämmelser om rätten att överklaga tillsynsmyndighetens beslut enligt den föreslagna kompletteringslagen, dvs. om varning och sanktionsavgift. För att inte skapa otydlighet om hur olika beslut ska kunna överklagas bör regleringen i den nya lagen vara uttömmande. Således bör även rätten att överklaga tillsynsmyndighetens beslut enligt EU:s dataförvaltningsförordning uttryckligen anges i kompletteringslagen.
Regeringen anser att den överklagandefrist om tre veckor som normalt sett gäller vid överklagande av förvaltningsbeslut även bör gälla vid överklagande av tillsynsmyndighetens beslut enligt EU:s dataförvaltningsförordning och kompletteringslagen (44 § förvaltningslagen). Det bör också krävas prövningstillstånd vid överklagande till kammarrätten.
Särskilt om möjligheten att överklaga beslut enligt EU:s dataförvaltningsförordning
Enligt artikel 28.1 i EU:s dataförvaltningsförordning ska berörda fysiska och juridiska personer ha rätt till effektiva rättsmedel avseende rättsligt bindande beslut som avses i artiklarna 14, 19 och 24 som fattas av den behöriga myndigheten. Förfaranden enligt artikel 28 ska inledas vid domstolarna i den medlemsstat där den behöriga myndigheten som rättsmedlen avser är belägen, antingen individuellt eller i förekommande fall kollektivt.
Bolagsverket efterfrågar en analys av möjligheten att kollektivt överklaga vissa beslut enligt EU:s dataförvaltningsförordning. Det finns dock inte någon uttrycklig skyldighet för medlemsstaterna att införa en möjlighet att överklaga kollektivt och regeringen anser inte heller att det finns skäl att införa någon sådan möjlighet i nationell rätt för överklagande av beslut enligt EU:s dataförvaltningsförordning. Enligt förslaget ska den behöriga myndighetens beslut enligt EU:s dataförvaltningsförordning och kompletteringslagen överklagas till allmän förvaltningsdomstol. De processuella regler som allmän förvaltningsdomstol ska tillämpa i förvaltningsmål finns huvudsakligen i förvaltningsprocesslagen (1971:291). Enligt lagen (2002:599) om grupprättegång finns en möjlighet att föra grupptalan i allmän domstol. Någon motsvarande möjlighet att föra grupptalan i förvaltningsdomstol finns i princip inte, se dock lagen (2023:730) om grupptalan till skydd för konsumenters kollektiva intressen. Bestämmelserna om grupptalan har motiverats av ett behov av att tillvarata enskildas rättsskydd i situationer där det kan vara svårt att göra gällande anspråk i domstol, t.ex. när varje enskilt anspråk har ett mindre ekonomiskt värde. Till saken hör att det i mål i allmän domstol, enligt reglerna i rättegångsbalken, som utgångspunkt gäller att tappande part ska ersätta vinnande parts kostnader (se 18 och 31 kap. rättegångsbalken). Vidare måste käranden för att väcka talan i allmän domstol som regel betala en ansökningsavgift till tingsrätten. Några motsvarande kostnader eller risker för rättsförluster finns inte för parter som för talan i förvaltningsdomstol. Det finns inte heller några hinder för klaganden att ge in ett gemensamt överklagande av ett beslut. Regeringen bedömer mot bakgrund av detta att det inte aktualiseras något behov av att, på samma sätt som för vissa mål i allmän domstol, införa en möjlighet för enskilda att överklaga beslut enligt EU:s dataförvaltningsförordning kollektivt.
Vidare ska berörda fysiska och juridiska personer ha en rätt till ett effektivt rättsmedel om den behöriga myndigheten underlåter att vidta åtgärder med avseende på ett klagomål enligt artikel 27 i EU:s dataförvaltningsförordning. EU-domstolen har, beträffande en liknande motsvarande bestämmelse i artikel 28.3 i det tidigare dataskyddsdirektivet (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter), uttalat att bestämmelsen innebär att den person som har kommit in med en begäran till tillsynsmyndigheten ska ha tillgång till rättsmedel med vilka han eller hon vid nationella domstolar kan angripa det beslut som gått vederbörande emot (se t.ex. dom Schrems, C-362/14, EU:C:2015:650, punkt 64). Detta talar för att EU:s dataförvaltningsförordning skulle kunna förutsätta att personer som ger in klagomål till den behöriga myndigheten enligt artikel 27 har en generell rätt att överklaga den behöriga myndighetens beslut att t.ex. inte vidta någon åtgärd med anledning av ett klagomål.
Det finns dock omständigheter som talar emot en sådan tolkning. Enligt artikel 28.1 i EU:s dataförvaltningsförordning är det berörda fysiska och juridiska personer som ska ha rätt till effektiva rättsmedel. Dessutom ska beslutet vara rättsligt bindande för denne. Ett beslut om att inte vidta några åtgärder med anledning av ett klagomål medför normalt sett inte några rättsligt bindande följder för den som har lämnat in klagomålet (se t.ex. avgörandet HFD 2023 not. 47).
Sammanfattningsvis anser regeringen att det bör överlämnas till rättstillämparen att, genom en tolkning av förvaltningslagens generella bestämmelser om överklagande och bestämmelserna i EU:s dataförvaltningsförordning, bedöma klagorätten (jfr prop. 2017/18:105 s. 163–165).
Av den föreslagna kompletteringslagen bör det framgå att tillsynsmyndighetens beslut enligt lagen och enligt artiklarna 14, 19 och 24 i EU:s dataförvaltningsförordning får överklagas till allmän förvaltningsdomstol.
Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Den föreslagna lagen med kompletterande bestämmelser till EU:s dataförvaltningsförordning och övriga lagändringar ska träda i kraft den 2 augusti 2024.
Regeringens bedömning: Några övergångsbestämmelser behövs inte.
Promemorians förslag och bedömning överensstämmer delvis med regeringens. I promemorian föreslås att den föreslagna lagen med kompletterande bestämmelser till EU:s dataförvaltningsförordning och lagändringarna ska träda i kraft den 1 januari 2024.
Remissinstanserna: Ingen av remissinstanserna yttrar sig särskilt över förslaget och bedömningen.
Skälen för regeringens förslag och bedömning: Den tidpunkt för ikraftträdande som föreslås i promemorian har passerat och ikraftträdandet behöver därför senareläggas. Eftersom EU:s dataförvaltningsförordning har trätt i kraft bör den föreslagna nya lagen och lagändringarna träda i kraft så snart som möjligt, vilket bedöms vara den 2 augusti 2024.
Det bedöms inte finnas något behov av några övergångsbestämmelser.
Konsekvenser
Regeringens bedömning: Förslagen innebär inte några skyldigheter för myndigheter att tillgängliggöra skyddade data enligt EU:s dataförvaltningsförordning.
Flera myndigheter får med anledning av förslagen nya permanenta uppgifter som kommer att medföra en ökad arbetsbörda. Det handlar om de myndigheter som utses till behöriga organ, tillsynsmyndigheten, som även ska vara behörig myndighet, samt den myndighet som ska tillhandahålla den gemensamma informationspunkten. De nya uppgifterna kommer som huvudregel att finansieras genom ökade anslag. Tillsynsmyndighetens uppgifter att hantera anmälningar, registerhållning och tillsyn över leverantörer av dataförmedlingstjänster kommer dock att avgiftsfinansieras.
Förslagen leder till något ökade kostnader för domstolarna. Kostnadsökningarna bedöms inte vara större än att de kan hanteras inom befintliga ekonomiska ramar.
Förslagen innebär inte några konsekvenser för företagen, eftersom det för närvarande inte finns någon etablerad marknad för vidareutnyttjande av skyddade data, dataförmedling eller dataaltruism. Förslagen bedöms inte heller på kort sikt innebära några samhällsekonomiska konsekvenser.
Promemorians bedömning överensstämmer med regeringens.
Remissinstanserna: Majoriteten av remissinstanserna, bl.a. Arbetsförmedlingen, E-hälsomyndigheten, Försvarets materielverk, Förvaltningsrätten i Stockholm, Konsumentverket, Läkemedelsverket, Malmö kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Region Östergötland, Socialstyrelsen, Säkerhetspolisen, Verket för innovationssystem, Växjö kommun och Åklagarmyndigheten, delar eller har inga synpunkter på bedömningen.
Myndigheten för digital förvaltning och Region Skåne anser att den föreslagna finansieringen till de behöriga organen inte är tillräcklig. Enligt Myndigheten för digital förvaltning kommer kostnaderna för att ge det stöd som krävs för att främja användningen av data samt att vara behörigt organ uppgå till 3,6 miljoner kronor det första året och därefter ca 2,3 miljoner kronor per år. Vidare kommer kostnaden för att bygga upp den tekniska funktionaliteten som krävs för att implementera den gemensamma informationspunkten enligt myndigheten att uppgå till 3,8 miljoner kronor det första året och därefter till ca 3 miljoner kronor per år. Region Skåne anser att tillgängliggörande av skyddade data för vidareutnyttjande kommer att få ekonomiska konsekvenser för kommuner och regioner, eftersom de bör arbeta med frågan proaktivt för att främja ökad innovation, konkurrenskraft och transparens, trots att regleringen inte ställer tvingande krav på att tillgängliggöra skyddade data.
Försäkringskassan anser att det är svårt att förutse konsekvenserna av förslagen och därmed om de kommer att medföra ökade kostnader och behov av finansiering. Kammarrätten i Jönköping menar att förslagen kan leda till ytterligare måltillströmning hos samtliga förvaltningsdomstolar och anser att domstolarnas eventuellt ökade arbetsbörda bör följas upp.
Enligt Kungliga tekniska högskolan och Stockholms kommun leder förslagen till ekonomiska konsekvenser för de myndigheter som ska hantera begäranden om vidareutnyttjande. Även om myndigheter har rätt att ta ut avgifter för ärenden om vidareutnyttjande, kommer handläggningen av sådana ärenden enligt Stockholms kommun att kräva mer resurser. Bolagsverket menar att myndighetens anmälningsskyldighet för överträdelser enligt artikel 5.14 i EU:s dataförvaltningsförordning inte ryms inom befintliga anslag, eftersom myndigheten inte är anslagsfinansierad.
Regelrådet anser att det av konsekvensanalysen bör framgå att det inte bara är dataförmedlingstjänster eller dataaltruismorganisationer som kan tänkas påverkas av regleringen, utan också sådana företag i vilkas intresse det är att använda den offentliga data som kan tillgängliggöras. Enligt myndigheten bör det även framgå vilka och hur många sådana företag som kan komma att påverkas, eventuella effekter för företagens kostnader, tidsåtgång och verksamhet samt hur små företag påverkas av förslagen.
Kommerskollegium bedömer att förslagen inte aktualiserar EU:s anmälningsprocedurer för varor och tjänster.
Skälen för regeringens bedömning
Samhällsekonomiska konsekvenser
EU:s dataförvaltningsförordning kommer enligt Europeiska kommissionens konsekvensanalys av förordningen att förbättra den inre marknaden för data, och därmed den inre marknaden som helhet. Säkra produkter och tjänster med tillgång till stora datamängder är enligt kommissionens analys centralt för den ekonomiska utvecklingen inom unionen. En sådan utveckling är svår att genomföra genom nationella regelverk i olika medlemsstater. Genom en EU-förordning som är direkt tillämplig i alla medlemsstater bedömer kommissionen att det blir lättare för företag att anpassa sina produkter eller tjänster som utvecklats i en medlemsstat till marknaden i andra medlemsstater. Regeringen bedömer att de kompletterande nationella bestämmelserna till EU:s dataförvaltningsförordning bidrar till att uppfylla kommissionens mål med förordningen. För närvarande finns det inte någon etablerad marknad för vidareutnyttjande av data, dataförmedling eller dataaltruism, varför förslagen inte bedöms medföra några samhällsekonomiska konsekvenser. De föreslagna bestämmelserna bedöms på sikt kunna bidra till att skapa sådana marknader, dock främst genom tillkommande sektorslagstiftning som t.ex. den planerade unionsrätten inom hälsodataområdet.
Konsekvenser för behöriga organ för vidareutnyttjande av skyddade data
Den eller de myndigheter som regeringen bestämmer ska vara behöriga organ enligt EU:s dataförvaltningsförordning. De behöriga organen ska bistå de myndigheter som beviljar eller vägrar tillgång för vidareutnyttjande av skyddade data. Med detta avses bl.a. tekniskt stöd, vägledning och rättsligt bistånd. Enligt EU:s dataförvaltningsförordning ska behöriga organ ha tillräckliga juridiska, ekonomiska och tekniska resurser för att utföra sina uppgifter (se avsnitt 5.9).
I promemorian redovisas att det har undersökts i vilken utsträckning myndigheter innehar data som skulle kunna omfattas av tillämpningsområdet för EU:s dataförvaltningsförordning. De tillfrågade myndigheterna bedömer att regelverket endast kommer att bli tillämpligt i enstaka fall. Uppgiften som behörigt organ bedöms därför i ett inledande skede inte bli särskilt omfattande. Detta talar enligt regeringen för att det inte behöver inrättas en ny myndighet för uppgiften utan att den kan fördelas till en eller flera befintliga myndigheter, som utses av regeringen.
Uppgifterna för den eller de myndigheter som kommer att utses till behöriga organ bedöms initialt kräva 2 miljoner kronor per år tills vidare för den myndighet som får huvudansvaret för uppgifterna och 1 miljon kronor per år tills vidare för andra myndigheter och kommer att finansieras genom ökade anslag (prop. 2023/24:1 utg.omr. 2 och 22). Till skillnad från Myndigheten för digital förvaltning och Region Skåne anser regeringen att det för närvarande inte krävs någon ytterligare finansiering, eftersom antalet ärenden om vidareutnyttjande av data bedöms bli mycket begränsat. Det beror på att det föreslagna regelverket inte medför några krav på tillgängliggörande av skyddade data för vidareutnyttjande och att det i princip inte finns några sådana skyldigheter i andra lagar eller förordningar. På sikt kan antalet ärenden dock förväntas öka i omfattning, särskilt om nya skyldigheter att tillgängliggöra skyddade data införs.
Konsekvenser för den myndighet som ska tillhandahålla den gemensamma informationspunkten
Den gemensamma informationspunkten ska tillhandahålla en sökbar tillgångsförteckning som innehåller en översikt över alla tillgängliga datakällor. Europeiska kommissionen ska inrätta en europeisk gemensam åtkomstpunkt som den nationella informationspunkten ska vara ansluten till (se avsnitt 5.10).
Kostnaderna för den myndighet som ska tillhandahålla den gemensamma informationspunkten uppskattas till sammanlagt 3 miljoner kronor per år och kommer att tillgodoses genom ökade anslag (prop. 2023/24:1 utg.omr. 22). Kostnaderna omfattar i huvudsak teknisk utveckling av den gemensamma informationspunkten och förvaltning av systemet. Myndigheten som tillhandahåller den gemensamma informationspunkten kommer också att behöva vägleda myndigheter om vilken information och data som de ska lämna till informationspunkten. Till skillnad från Myndigheten för digital förvaltning anser regeringen att det för närvarande inte krävs någon ytterligare finansiering.
Konsekvenser för den behöriga myndigheten för dataförmedlingstjänster och dataaltruismorganisationer
För att kunna bedöma konsekvenserna för den behöriga myndigheten för dataförmedlingstjänster och dataaltruismorganisationer behöver en uppskattning göras av hur många leverantörer av dataförmedlingstjänster och dataaltruismorganisationer som kan tänkas anmäla sig respektive registrera sig i Sverige. I promemorian anges att det inte har varit möjligt att göra någon sådan beräkning eller uppskattning, men att det i dagsläget i princip inte finns några aktörer som tillhandahåller sådana tjänster. Flertalet andra medlemsstater har gjort samma bedömning. Företag som är etablerade utanför unionen men som verkar här ska utse en rättslig företrädare i någon av medlemsstaterna. Hur många sådana aktörer som kan tänkas omfattas av regelverket är också svårt att bedöma.
Regeringen konstaterar, i likhet med det som redovisas i promemorian, att det för närvarande inte finns någon etablerad marknad för vare sig dataförmedlingstjänster eller dataaltruismorganisationer. Det innebär att arbetet för den behöriga myndigheten till en början kommer att vara begränsat. Myndigheten behöver dock, oavsett antalet aktörer, ha en teknisk infrastruktur redo och ha kapacitet för att hantera registreringar och anmälningar. Regeringen avser att utse en myndighet som har e-tjänster, verksamhetssystem och rutiner att utgå ifrån, vilket också bedöms begränsa kostnaderna jämfört med om en myndighet utan sådan kompetens skulle utses.
Den behöriga myndighetens arbete kommer i huvudsak att bestå av teknisk utveckling av e-tjänster, hantering av ansökningsförfarandet och tillsynen av dataaltruismorganisationer, representation i Europeiska datainnovationsstyrelsen och rapportering av uppgifter till Europeiska kommissionen. Kostnaderna för detta uppskattas till sammanlagt 4 miljoner kronor per år och kommer att finansieras genom ökade anslag (prop. 2023/24:1 utg.omr. 22). Den behöriga myndigheten ska även registrera och utöva tillsyn över leverantörer av dataförmedlingstjänster. Dessa uppgifter föreslås vara helt avgiftsfinansierade.
Konsekvenser för myndigheter i övrigt samt domstolar
De nationella bestämmelserna som föreslås komplettera EU:s dataförvaltningsförordning innebär inte några skyldigheter för statliga eller kommunala myndigheter. Det är först om en myndighet till följd av bestämmelser i annan lag, eller på eget initiativ, tillgängliggör skyddade data som den behöver tillämpa bestämmelserna i förordningen och den kompletterande nationella lagstiftningen (se avsnitt 5.4). De nya bestämmelserna kan visserligen tänkas innebära att antalet ärenden om tillgängliggörande av data ökar, men ökningen bedöms bli mycket liten. En myndighet som tillgängliggör skyddade data för vidareutnyttjande föreslås få ta ut en avgift för tillgängliggörandet. Förslagen bedöms i övrigt inte innebära några kostnader för tillgängliggörande myndigheter som inte kommer att täckas av avgiftsintäkterna. Det innebär, till skillnad från vad bl.a. Bolagsverket och Region Skåne menar, att det inte behövs någon ytterligare finansiering genom ökade anslag för dessa myndigheter.
Eftersom förslagen inte innebär några skyldigheter att tillgängliggöra skyddade data för vidareutnyttjande påverkar de inte heller den kommunala självstyrelsen.
Möjligheten att överklaga myndigheters beslut om tillgängliggörande av skyddade data kommer att innebära en ökning av antalet mål till de allmänna förvaltningsdomstolarna. Det är svårt att bedöma antalet ärenden om tillgängliggörande av skyddade data för vidareutnyttjande. Regeringen bedömer dock att det kommer att vara förhållandevis få ärenden och därmed även få överklaganden till domstol. Förslagen i denna del bedöms därför inte innebära att antalet mål i de allmänna förvaltningsdomstolarna kommer att öka i någon större omfattning. Eventuella kostnadsökningar anses vara marginella och bedöms rymmas inom domstolarnas befintliga anslag. Om behov uppstår kan det dock, i likhet med vad Kammarrätten i Jönköping anför, vara lämpligt att så småningom följa upp domstolarnas eventuellt ökade arbetsbörda till följd av förslagen.
Konsekvenser för staten
Förslagen bedöms medföra ökade kostnader för staten med anledning av flera nya myndighetsuppgifter. En statlig myndighet ska utses till tillsynsmyndighet som i sin tur ska vara behörig myndighet enligt EU:s dataförvaltningsförordning. Vidare ska en eller flera statliga myndigheter utses till behöriga organ och en myndighet ska tillhandahålla den gemensamma informationspunkten. Samtliga dessa uppgifter kommer att anslagsfinansieras och kostnaderna bedöms sammanlagt uppgå till 10 miljoner kronor per år. Förslagen innebär i övrigt inte några konsekvenser för staten.
Konsekvenser för företag
Förslagen bedöms, till skillnad från vad Regelrådet påpekar, inte medföra några konsekvenser för företagen, eftersom det för närvarande inte finns någon etablerad marknad för vidareutnyttjande av skyddade data, dataförmedling eller dataaltruism. Förslagen syftar dock till att skapa förutsättningar för att en sådan marknad ska etableras, vilket enligt regeringens mening på sikt kommer att gynna företag.
Anmälningsförfarandet för leverantörer av dataförmedlingstjänster föreslås vara avgiftsfinansierat. Även tillgängliggörandet av skyddade data för vidareutnyttjande föreslås avgiftsbeläggas. Trots att det inte finns någon etablerad marknad för vidareutnyttjande eller dataförmedling kan den föreslagna avgiften komma att inverka på företags benägenhet att utveckla sådana tjänster. Det kan dock antas att priset på tjänsterna kommer att anpassas till de avgifter som företagen kommer att behöva betala. Avgiften bedöms därmed inte inverka i någon större utsträckning på företags möjligheter att bedriva dataförmedling.
Enligt EU:s dataförvaltningsförordning får myndigheter göra skyddade data tillgängliga till en nedsatt avgift eller kostnadsfritt, särskilt för små och medelstora företag, uppstartsföretag, det civila samhället och utbildningsanstalter, för att ge incitament till vidareutnyttjande av vissa data (artikel 6.4). Regeringen föreslår inte att någon sådan möjlighet införs i nuläget. Det är dock inte uteslutet att på nytt överväga en reducerad avgift för vissa aktörer vid tillgängliggörande av skyddade data för vidareutnyttjande när en sådan marknad har utvecklats.
Övriga konsekvenser
Regeringen bedömer att förslagen inte har någon betydelse för brottsligheten och det brottsförebyggande arbetet, för sysselsättningen och offentlig service i olika delar av landet, för små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags, för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen. Förslagen påverkar inte tillämpningen av EU:s dataförvaltningsförordning och bedöms i övrigt vara förenliga med EU-rätten. Förslagen bedöms inte heller medföra något behov av särskilda informationsinsatser.
Regeringen bedömer att förslagen inte aktualiserar EU:s anmälningsprocedurer för varor och tjänster. Kommerskollegium, som administrerar dessa anmälningsprocedurer, delar denna bedömning.
Författningskommentar
Förslaget till lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), i denna lag benämnd EU:s dataförvaltningsförordning.
Ord och uttryck i lagen har samma betydelse som i EU:s dataförvaltningsförordning.
Paragrafen innehåller en upplysning om att lagen kompletterar EU:s dataförvaltningsförordning samt bestämmelser om ord och uttryck i lagen. Övervägandena finns i avsnitt 6.1.
I första stycket anges att lagen innehåller kompletterande bestämmelser till EU:s dataförvaltningsförordning. Hänvisningen till förordningen är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.
Av andra stycket framgår att de ord och uttryck som används i lagen, exempelvis behörig myndighet och dataförmedlingstjänst, ska förstås på samma sätt som i EU:s dataförvaltningsförordning.
Tillsynsmyndighet
2 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet enligt denna lag.
Tillsynsmyndigheten ska vara behörig myndighet för dataförmedlingstjänster enligt artikel 13 i EU:s dataförvaltningsförordning och för registrering av dataaltruismorganisationer enligt artikel 23 i EU:s dataförvaltningsförordning.
Paragrafen innehåller bestämmelser om vilken myndighet som ska vara tillsynsmyndighet och behörig myndighet enligt EU:s dataförvaltningsförordning. Övervägandena finns i avsnitt 6.2.
Av första stycket framgår att regeringen bestämmer vilken myndighet som ska vara tillsynsmyndighet enligt lagen.
Enligt andra stycket är tillsynsmyndigheten även behörig myndighet för dataförmedlingstjänster enligt artikel 13 och för registrering av dataaltruismorganisationer enligt artikel 23 i EU:s dataförvaltningsförordning. Vilka uppgifter tillsynsmyndigheten har som behörig myndighet framgår av EU:s dataförvaltningsförordning. Det handlar bl.a. om att sköta anmälningsförfarandet för leverantörer av dataförmedlingstjänster och registreringen av dataaltruismorganisationer (artiklarna 11 och 19), samarbeta med andra myndigheter (artikel 13), utöva tillsyn över leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer (artiklarna 14 och 24), föra och regelbundet uppdatera ett offentligt nationellt register över erkända dataaltruismorganisationer (artikel 17) samt hantera klagomål (artikel 27).
Uppgiftsskyldighet
3 § De myndigheter som regeringen bestämmer ska på begäran lämna tillsynsmyndigheten de uppgifter som den behöver i sin tillsynsverksamhet.
I paragrafen regleras en skyldighet för de myndigheter som regeringen bestämmer att lämna de uppgifter till tillsynsmyndigheten som den behöver i sin tillsynsverksamhet. Övervägandena finns i avsnitt 6.3.5.
De myndigheter som regeringen bestämmer ska lämna tillsynsmyndigheten uppgifter som den behöver i sin tillsynsverksamhet. Det kan vara ekonomiska uppgifter av olika slag, t.ex. ekonomiska redovisningar från leverantörer av dataförmedlingstjänster och dataaltruismorganisationer som andra myndigheter har fått inom ramen för sin tillsynsverksamhet.
4 § Tillsynsmyndigheten ska på begäran lämna de uppgifter som en annan myndighet behöver i sin tillsynsverksamhet.
Regeringen bestämmer vilka myndigheter som ska ha rätt att få uppgifter enligt första stycket.
I paragrafen regleras en skyldighet för tillsynsmyndigheten att lämna de uppgifter som en annan myndighet behöver i sin tillsynsverksamhet. Övervägandena finns i avsnitt 6.3.5.
Enligt första stycket ska tillsynsmyndigheten på begäran lämna de uppgifter som en annan myndighet behöver i sin tillsynsverksamhet. Det kan t.ex. vara uppgifter om hur data används av leverantörer av dataförmedlingstjänster och dataaltruismorganisationer i sina respektive verksamheter, kommersiella villkor eller andra uppgifter i leverantörer av dataförmedlingstjänsters och dataaltruismorganisationers verksamheter som den andra myndigheten behöver i sin tillsynsverksamhet.
Av andra stycket framgår att regeringen bestämmer vilka myndigheter som ska ha rätt till uppgifter enligt första stycket.
Varning
5 § Tillsynsmyndigheten får meddela en varning till en leverantör av dataförmedlingstjänster som bryter mot anmälningsskyldigheten enligt artikel 11, villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12 eller villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.
Paragrafen innehåller bestämmelser om när tillsynsmyndigheten får meddela en varning till en leverantör av dataförmedlingstjänster. Övervägandena finns i avsnitt 6.3.1.
Möjligheten att meddela en varning omfattar överträdelser av anmälningsskyldigheten enligt artikel 11, villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12 och villkoren för överföring av andra data än personuppgifter (s.k. icke-personuppgifter enligt förordningen) till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning. Samma överträdelser kan leda till en sanktionsavgift enligt 9 §.
Anmälningsskyldigheten i artikel 11 i EU:s dataförvaltningsförordning innebär att leverantörer av dataförmedlingstjänster som avser att tillhandahålla dataförmedlingstjänster enligt förordningen ska lämna en anmälan till den behöriga myndigheten för dataförmedlingstjänster. Av bestämmelserna i artikel 11 framgår även vad en anmälan ska innehålla och till vilken medlemsstat anmälan ska göras.
I artikel 12 i EU:s dataförvaltningsförordning finns villkor för att få tillhandahålla dataförmedlingstjänster. Dessa reglerar bl.a. hur de kommersiella villkoren för dataförmedlingstjänsten får vara utformade (artikel 12 b), att det ska vidtas tillräckliga åtgärder för att säkerställa att data inte används i strid med t.ex. unionsrätten (artikel 12 j) och att det förs ett loggregister över dataförmedlingsverksamheten (artikel 12 o).
Artikel 31 i EU:s dataförvaltningsförordning reglerar förutsättningarna för internationell tillgång till och överföring av vissa skyddade data. Av bestämmelserna följer bl.a. att leverantörer av dataförmedlingstjänster ska vidta åtgärder för att förhindra internationell överföring av eller statlig tillgång till andra data än personuppgifter (icke-personuppgifter) som innehas i unionen om en sådan överföring eller tillgång skulle strida mot unionsrätten eller den nationella rätten.
Det kan vara aktuellt att i vissa fall besluta om en varning innan en sanktionsavgift enligt 9 § övervägs eller i stället för att en sanktionsavgift beslutas. Det kan också vara aktuellt med varning vid mindre allvarliga överträdelser. Ett exempel på en situation när en varning kan vara aktuell är om en leverantör av dataförmedlingstjänster av rent förbiseende råkat utelämna en uppgift i en anmälan enligt artikel 11.6. Ett annat exempel är om leverantören av dataförmedlingstjänster inte uppfyller något av villkoren i artiklarna 12 eller 31 och överträdelsen inte bedöms vara av så allvarligt slag att en sanktionsavgift behöver utgå. Syftet med varning är bl.a. att en leverantör av dataförmedlingstjänster ska ges möjlighet att rätta till de förhållanden som har föranlett varningen, innan det blir aktuellt med mer ingripande åtgärder.
Det framstår som särskilt angeläget att meddela en varning i samband med att tillsynsmyndigheten överväger att begära att Europeiska kommissionen avlägsnar leverantören av dataförmedlingstjänster från kommissionens register enligt artikel 14.4 i EU:s dataförvaltningsförordning, om överträdelsen grundar sig på någon av artiklarna 11 eller 12.
6 § Tillsynsmyndigheten får meddela en varning till en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja andra data än personuppgifter för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.
Paragrafen innehåller bestämmelser om när tillsynsmyndigheten får meddela en varning till en fysisk eller juridisk person som har beviljats rätt att vidareutnyttja andra data än personuppgifter. Övervägandena finns i avsnitt 6.3.1.
Möjligheten att meddela en varning omfattar överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning. Samma överträdelser kan leda till en sanktionsavgift enligt 10 §.
Av artikel 5.14 följer att fysiska eller juridiska personer som beviljats rätten att vidareutnyttja andra data än personuppgifter (icke-personuppgifter) endast får överföra dessa data till tredjeland i enlighet med kraven i artiklarna 10, 12 och 13 i EU:s dataförvaltningsförordning.
Det kan vara aktuellt att i vissa fall besluta om en varning innan en sanktionsavgift enligt 10 § övervägs eller i stället för att en sanktionsavgift beslutas. Det kan också vara aktuellt med varning vid mindre allvarliga överträdelser. Syftet med varning är bl.a. att en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja data ska ges möjlighet att rätta till de förhållanden som har föranlett varningen, innan det blir aktuellt med mer ingripande åtgärder.
7 § Tillsynsmyndigheten får meddela en varning till en erkänd dataaltruismorganisation som bryter mot
1. villkoren för registrering som erkänd dataaltruismorganisation enligt artiklarna 18, 20, 21 eller 22, eller
2. villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.
Paragrafen innehåller bestämmelser om tillsynsmyndighetens möjligheter att meddela en varning till en erkänd dataaltruismorganisation. Övervägandena finns i avsnitt 6.3.1.
Möjligheten att meddela en varning omfattar överträdelser av något av villkoren för registrering som erkänd dataaltruismorganisation enligt artiklarna 18, 20, 21 eller 22 i EU:s dataförvaltningsförordning, eller villkoren för överföring av andra data än personuppgifter (icke-personuppgifter) till tredjeland enligt artikel 31 i samma förordning.
I artikel 18 i EU:s dataförvaltningsförordning finns allmänna krav för registrering i ett offentligt nationellt register över erkända dataaltruismorganisationer. För att kunna registreras måste en dataaltruismorganisation bl.a. utföra dataaltruismåtgärder, vara en juridisk person och bedriva verksamheten på icke-vinstdrivande grund. Av artikel 20 följer ett transparenskrav som bl.a. innebär att en erkänd dataaltruismorganisation ska föra ett register över vilka som getts möjlighet att behandla de data som innehas av den erkända dataaltruismorganisationen. I artikel 21 finns särskilda krav för att skydda registrerades och datainnehavares rättigheter och intressen när det gäller deras data. Enligt artikel 22 ska Europeiska kommissionen ta fram en regelbok som fastställer ytterligare krav för att bl.a. säkerställa rättigheter för registrerade och datainnehavare i förhållande till dataaltruismorganisationer och säkerhetsmässiga krav för att skydda data. Vad som avses med registrerad och datainnehavare framgår av artikel 2 i förordningen.
Artikel 31 i EU:s dataförvaltningsförordning reglerar förutsättningarna för internationell tillgång och överföring av vissa skyddade data. Av bestämmelserna följer bl.a. att erkända dataaltruismorganisationer ska vidta åtgärder för att förhindra internationell överföring av eller statlig tillgång till andra data än personuppgifter (icke-personuppgifter) om en sådan överföring eller tillgång skulle strida mot unionsrätten eller den nationella rätten.
Det framstår som särskilt angeläget att meddela en varning i samband med att tillsynsmyndigheten överväger att besluta att återkalla rätten att använda beteckningen dataaltruismorganisation som är erkänd i unionen och att avlägsna dataaltruismorganisationen från offentliga nationella register och offentliga unionsregister enligt artikel 24.5 i EU:s dataförvaltningsförordning, om överträdelsen grundar sig i någon av artiklarna 18, 20, 21 eller 22.
Föreläggande och vite
8 § Tillsynsmyndigheten får besluta de förelägganden som behövs för att EU:s dataförvaltningsförordning, denna lag eller föreskrifter som har meddelats i anslutning till lagen ska följas.
Tillsynsmyndigheten får förena ett föreläggande enligt artikel 14 i EU:s dataförvaltningsförordning med vite.
Paragrafen innehåller bestämmelser om när tillsynsmyndigheten får meddela förelägganden och när sådana förelägganden får förenas med vite. Övervägandena finns i avsnitt 6.3.1.
Tillsynsmyndigheten utövar tillsyn över vidareutnyttjare, leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer enligt lagen och EU:s dataförvaltningsförordning. Tillsynsmyndigheten kan meddela de förelägganden som behövs för att bl.a. utöva sin tillsynsverksamhet. Myndigheten kan t.ex. besluta om ett föreläggande för att få en leverantör av dataförmedlingstjänster att upphöra med en överträdelse av ett eller flera av kraven i kapitel III i EU:s dataförvaltningsförordning (artikel 14.4). Myndigheten kan också förelägga vidareutnyttjare, leverantörer av dataförmedlingstjänster och erkända dataaltruismorganisationer att komma in med uppgifter för att kontrollera att kraven i artikel 31 i EU:s dataförvaltningsförordning uppfylls.
Det är endast förelägganden som riktar sig till leverantörer av dataförmedlingstjänster enligt artikel 14 i EU:s dataförvaltningsförordning som får förenas med vite. Allmänna bestämmelser om vite finns i lagen (1985:206) om viten.
Sanktionsavgift
9 § Tillsynsmyndigheten ska besluta att ta ut en sanktionsavgift från en leverantör av dataförmedlingstjänster vid överträdelser av
– anmälningsskyldigheten enligt artikel 11,
– villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12, eller
– villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.
Om det kan anses tillräckligt får tillsynsmyndigheten, i stället för att besluta en sanktionsavgift vid överträdelser enligt första stycket, meddela en varning enligt 5 §.
Paragrafen reglerar tillsynsmyndighetens möjlighet att besluta att ta ut en sanktionsavgift från en leverantör av dataförmedlingstjänster. Övervägandena finns i avsnitt 6.3.2.
Tillsynsmyndigheten är enligt 2 § behörig myndighet för dataförmedlingstjänster.
Anmälningsskyldigheten i artikel 11 i EU:s dataförvaltningsförordning innebär att leverantörer av dataförmedlingstjänster som avser att tillhandahålla dataförmedlingstjänster ska lämna en anmälan till den behöriga myndigheten för dataförmedlingstjänster. Artikel 11 reglerar bl.a. vad en anmälan ska innehålla och till vilken medlemsstat anmälan ska göras. I artikel 12 finns villkor för att få tillhandahålla dataförmedlingstjänster. De avser t.ex. hur de kommersiella villkoren för dataförmedlingstjänsten får vara utformade (artikel 12 b), att det vidtas tillräckliga åtgärder för att säkerställa att data inte används i strid med t.ex. unionsrätten (artikel 12 j) och att det förs ett loggregister över dataförmedlingsverksamheten (artikel 12 o). Artikel 31 reglerar förutsättningarna för internationell tillgång och överföring av vissa skyddade data. Av bestämmelserna följer bl.a. att leverantörer av dataförmedlingstjänster ska vidta åtgärder för att förhindra internationell överföring av eller statlig tillgång till andra data än personuppgifter (icke-personuppgifter), om en sådan överföring eller tillgång skulle strida mot unionsrätten eller den nationella rätten. Sanktionsavgiften bygger på strikt ansvar.
När det gäller valet av sanktion framgår av paragrafen att utgångspunkten är att en sanktionsavgift ska beslutas. I andra stycket anges att tillsynsmyndigheten, om det kan anses tillräckligt, i stället för sanktionsavgift får meddela en varning. Tillsynsmyndigheten kan också avstå från att besluta om en sanktionsavgift om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften (11 §). Varning är t.ex. avsedd att meddelas vid mindre allvarliga överträdelser, se kommentaren till 5 §.
10 § Tillsynsmyndigheten ska besluta att ta ut en sanktionsavgift av en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja andra data än personuppgifter för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.
Om det kan anses tillräckligt får tillsynsmyndigheten, i stället för att besluta en sanktionsavgift vid överträdelser enligt första stycket, meddela en varning enligt 6 §.
Paragrafen reglerar tillsynsmyndighetens möjlighet att besluta att ta ut en sanktionsavgift av en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja andra data än personuppgifter. Övervägandena finns i avsnitt 6.3.2.
Av artikel 5.14 följer att fysiska eller juridiska personer som beviljats rätten att vidareutnyttja andra data än personuppgifter (icke-personuppgifter) endast får överföra dessa data till tredjeland i enlighet med kraven i artiklarna 10, 12 och 13 i EU:s dataförvaltningsförordning. Sanktionsavgiften bygger på strikt ansvar.
När det gäller valet av sanktion framgår av paragrafen att utgångspunkten är att en sanktionsavgift ska beslutas. I andra stycket anges emellertid att tillsynsmyndigheten, om det kan anses tillräckligt, i stället för sanktionsavgift får meddela en varning. Varning är t.ex. avsedd att meddelas vid mindre allvarliga överträdelser, se kommentaren till 6 §. Tillsynsmyndigheten kan också i vissa fall avstå från att besluta om en sanktionsavgift (se 11 §).
11 § En sanktionsavgift enligt 9 eller 10 § ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
När avgiftens storlek bestäms ska hänsyn tas till
1. överträdelsens art, allvar, omfattning och varaktighet,
2. åtgärder som har vidtagits för att begränsa eller avhjälpa den skada som överträdelsen har orsakat,
3. tidigare överträdelser,
4. de ekonomiska vinster som har gjorts eller de förluster som har undvikits till följd av överträdelsen, och
5. försvårande eller förmildrande omständigheter utöver dem i 1–4.
Tillsynsmyndigheten får avstå från att ta ut en sanktionsavgift helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
I paragrafen regleras sanktionsavgiftens storlek. Övervägandena finns i avsnitt 6.3.3.
I första stycket regleras det lägsta respektive det högsta belopp som en sanktionsavgift enligt 9 eller 10 § ska uppgå till.
Av andra stycket framgår sådana omständigheter som ska beaktas när sanktionsavgiftens storlek bestäms. De omständigheter som räknas upp i punktlistan följer av artikel 34 i EU:s dataförvaltningsförordning.
När det gäller överträdelsens art och allvar kan hänsyn tas till både det slag av överträdelse som är föremål för bedömning och till det mått av systematiskt handlande som ligger bakom överträdelsen. Vid bedömning av överträdelsens omfattning och varaktighet kan det finnas anledning att särskilt beakta om tillsynsmyndigheten utfärdat en varning för samma överträdelse. Åtgärder som kan ha vidtagits för att begränsa eller avhjälpa den skada som överträdelsen har orsakat kan t.ex. vara att leverantören av dataförmedlingstjänster eller en vidareutnyttjare har underrättat tillsynsmyndigheten om överträdelsen i syfte att begränsa skadan. Tidigare överträdelser ska beaktas i försvårande riktning. Det kan röra sig såväl om överträdelser av samma slag, som andra överträdelser för vilka sanktionsavgift kan utgå. Vidare ska särskild hänsyn tas till de ekonomiska vinster som har gjorts eller de förluster som har undvikits till följd av överträdelsen. Slutligen ska även andra försvårande och förmildrande omständigheter beaktas när avgiftens storlek ska bestämmas. Det kan t.ex. vara omfattningen av den skada som överträdelsen orsakat registrerade eller datainnehavare. Vad som avses med registrerad och datainnehavare framgår av artikel 2 i EU:s dataförvaltningsförordning.
Enligt tredje stycket får tillsynsmyndigheten avstå från att ta ut sanktionsavgiften helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det skulle vara oskäligt att ta ut avgiften. Ett skäl att sätta ned avgiften kan vara att leverantören av dataförmedlingstjänster eller en vidareutnyttjare har gjort allt som rimligen kan krävas för att förhindra den uppkomna skadan. Befrielse kan också övervägas när det är fråga om engångsföreteelser som inte ger intryck av att vara särskilt allvarliga och som inte har fått några uppenbara, eller i vart fall inte avsevärda, negativa konsekvenser. I bagatellartade fall bör någon avgift inte utgå.
En sanktionsavgift bör vidare kunna sättas ned helt eller delvis om exempelvis en leverantör av dataförmedlingstjänster eller en vidareutnyttjare drabbas av flera sanktionsavgifter vid samma prövningstillfälle och den samlade reaktionen skulle bli alltför betungande. Det bör dock inte anses oskäligt att ta ut en sanktionsavgift enbart på grund av att överträdelsen exempelvis berott på att en leverantör av dataförmedlingstjänster eller en vidareutnyttjare inte känt till reglerna eller på grund av dålig ekonomi, tidsbrist eller bristande rutiner.
Frågan om en avgift ska sättas ned får avgöras efter en helhetsbedömning utifrån omständigheterna i det enskilda fallet. Möjligheten att sätta ned avgiften är en undantagsbestämmelse och bör tillämpas restriktivt.
12 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande som har förenats med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
Paragrafen reglerar när en sanktionsavgift inte får beslutas. Övervägandena finns i avsnitt 6.3.2.
Av paragrafen framgår att en sanktionsavgift inte får beslutas om överträdelsen omfattas av ett föreläggande som har förenats med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
13 § En sanktionsavgift får beslutas endast om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
I paragrafen regleras den bortre tidsgränsen för när en sanktionsavgift får beslutas. Övervägandena finns i avsnitt 6.3.4.
En sanktionsavgift får beslutas endast om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum. För att någon ska anses ha fått tillfälle att yttra sig måste denne enligt 25 § förvaltningslagen (2017:900) ha underrättats om allt material av betydelse för beslutet och fått tillfälle att inom en bestämd tid yttra sig över materialet. Bevisbördan för att detta har skett ligger på tillsynsmyndigheten. Tidsfristen räknas från när överträdelsen, dvs. den otillåtna eller felaktiga handlingen, ägde rum. När det gäller pågående överträdelser börjar preskriptionstiden löpa först när överträdelsen har upphört. Syftet med att ge den som avgiften ska tas ut av tillfälle att yttra sig är att ge denne möjlighet att påtala eventuella felaktigheter och omständigheter i utredningsmaterialet som kan utgöra skäl för befrielse från avgift innan beslut fattas.
Bestämmelser om delgivning finns i delgivningslagen (2010:1932).
14 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas i tid, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.
Sanktionsavgiften tillfaller staten.
Paragrafen innehåller bestämmelser om betalningen av en sanktionsavgift. Övervägandena finns i avsnitt 6.3.4.
Av andra stycket framgår att tillsynsmyndigheten ska lämna en sanktionsavgift för indrivning om avgiften inte betalas i tid. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.
15 § En sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Paragrafen reglerar preskriptionstiden för verkställighet av en sanktionsavgift. Övervägandena finns i avsnitt 6.3.4.
Enligt paragrafen faller en beslutad sanktionsavgift bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft. Preskriptionstiden är absolut. Innebörden av detta är att fullgörande inte kan krävas efter det att fem år har gått sedan beslutet fått laga kraft, även om verkställighet har skett under femårsperioden avseende en del av avgiften. Det som preskriberas är den del av avgiften som ännu inte drivits in.
Avgifter
16 § Tillsynsmyndigheten får ta ut avgifter från leverantörer av dataförmedlingstjänster för anmälan, registerhållning och tillsyn av leverantörer av dataförmedlingstjänster enligt EU:s dataförvaltningsförordning och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om avgifterna.
Paragrafen reglerar möjligheten för tillsynsmyndigheten att ta ut avgifter från leverantörer av dataförmedlingstjänster. Övervägandena finns i avsnitt 6.4.
Överklagande
17 § Tillsynsmyndighetens beslut enligt artiklarna 14, 19 och 24 i EU:s dataförvaltningsförordning eller enligt denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Paragrafen innehåller bestämmelser om överklagande av vissa beslut enligt EU:s dataförvaltningsförordning och av beslut som fattas med stöd av lagen. Övervägandena finns i avsnitt 6.5.
Förslaget till lag om ändring i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data
1 kap.
1 a § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), i denna lag benämnd EU:s dataförvaltningsförordning.
Paragrafen, som är ny, innehåller en upplysning om att lagen kompletterar EU:s dataförvaltningsförordning. Övervägandena finns i avsnitt 5.1.
Hänvisningen till EU:s dataförvaltningsförordning är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.
2 § Denna lag påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller skyddade data eller som begränsar en sådan rätt.
Lagen påverkar inte heller tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter.
Paragrafen anger hur lagen förhåller sig till författningar som reglerar tillgång till data eller skyddade data och skyddet av personuppgifter (se prop. 2021/22:225 s. 71 och 72). Övervägandena finns i avsnitt 5.3.
Ändringen i första stycket innebär att paragrafen även omfattar skyddade data enligt EU:s dataförvaltningsförordning. Vad som avses med skyddade data framgår av 4 §.
3 § Om det i någon annan lag eller i en förordning finns mer långtgående krav i fråga om tillgängliggörande av data eller skyddade data än i denna lag, ska de kraven tillämpas.
Paragrafen anger hur lagen förhåller sig till författningar som reglerar hur data ska göras tillgängliga (se prop. 2021/22:225 s. 72). Övervägandena finns i avsnitt 5.3.
Ändringen i första stycket innebär att paragrafen även omfattar skyddade data enligt EU:s dataförvaltningsförordning. Vad som avses med skyddade data framgår av 4 §.
4 § I lagen avses med
begäran om tillgängliggörande av data för vidareutnyttjande: en begäran om att data eller skyddade data ska göras tillgängliga för vidareutnyttjande i enlighet med denna lag eller kapitel II i EU:s dataförvaltningsförordning,
bulknedladdning: nedladdning av en avgränsad datamängd,
data: information i digitalt format oberoende av medium,
dynamiska data: data som uppdateras ofta eller i realtid för att vara aktuella och relevanta att vidareutnyttja,
forskningsdata: data som till någon del är offentligt finansierade, som samlas in eller framställs inom ramen för vetenskaplig forskningsverksamhet och som görs direkt tillgängliga för vidareutnyttjande genom en dataplattform som är allmänt åtkomlig,
gränssnitt: en regeluppsättning för dynamiskt datautbyte mellan programvaror,
maskinläsbart format: ett filformat som är strukturerat på ett sådant sätt att det enkelt kan läsas av ett datorprogram,
offentligt företag: ett företag som en eller flera myndigheter har ett bestämmande inflytande över och som är verksamt
– inom de sektorer som framgår av 2 kap. 1 § och 5–8 §§ lagen (2016:1146) om upphandling inom försörjningssektorerna,
– som ett kollektivtrafikföretag enligt Europaparlamentets och rådets förordning (EG) nr 1370/2007 av den 23 oktober 2007 om kollektivtrafik på järnväg och väg och om upphävande av rådets förordning (EEG) nr 1191/69 och (EEG) nr 1107/70,
– som ett lufttrafikföretag som har allmän trafikplikt enligt artikel 16 i Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen, eller
– som ett rederi inom gemenskapen som uppfyller förpliktelser vid allmän trafik enligt artikel 4 i rådets förordning (EEG) nr 3577/92 av den 7 december 1992 om tillämpning av principen om frihet att tillhandahålla tjänster på sjötransportområdet inom medlemsstaterna (cabotage),
offentligt styrt organ: ett sådant organ som avses i 1 kap. 18 § lagen (2016:1145) om offentlig upphandling eller en sammanslutning av sådana organ,
skyddade data: sådana kategorier av data som avses i artikel 3.1 i EU:s dataförvaltningsförordning,
vidareutnyttjande: bearbetning av data från den offentliga sektorn för valfritt ändamål,
värdefull datamängd: data som förtecknas i en genomförandeakt som har meddelats med stöd av artikel 14.1 i öppna data-direktivet,
öppna data-direktivet: Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn.
I paragrafen definieras olika ord och uttryck i lagen (prop. 2021/22:225 s. 73–75). Övervägandena finns i avsnitt 5.3.
Ändringen i första stycket innebär att definitionen begäran om tillgängliggörande av data för vidareutnyttjande även omfattar skyddade data enligt EU:s dataförvaltningsförordning. Vidare införs skyddade data som ett nytt uttryck i lagen. Med skyddade data ska förstås sådana kategorier av data som avses i artikel 3.1 i EU:s dataförvaltningsförordning. Med skyddade data enligt artikel 3.1 i förordningen avses data som innehas av offentliga myndigheter och som är skyddade på grund av insynsskydd för kommersiella uppgifter, inklusive affärs-, yrkes- och företagshemligheter, insynsskydd för statistiska uppgifter, skydd av tredje parts immateriella rättigheter och skydd av personuppgifter, i den mån sådana uppgifter faller utanför tillämpningsområdet för Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn.
7 a § Bestämmelserna om vidareutnyttjande av skyddade data ska endast tillämpas av myndigheter, dock inte av kultur- eller utbildningsinstitutioner.
Paragrafen, som är ny, reglerar vilka som ska tillämpa lagens bestämmelser om vidareutnyttjande av skyddade data. Övervägandena finns i avsnitt 5.2.
Bestämmelserna om vidareutnyttjande av skyddade data ska endast tillämpas av myndigheter, vilket även följer av artikel 3.1 i EU:s dataförvaltningsförordning. Kultur- och utbildningsinstitutioner undantas uttryckligen från tillämpningsområdet för bestämmelserna om vidareutnyttjande av skyddade data enligt lagen. Det följer av artikel 3.1 i förordningen att bestämmelserna om vidareutnyttjande av skyddade data inte ska gälla för data som innehas av kultur- eller utbildningsinstitutioner.
8 § Lagen ska tillämpas
1. när någon som har rätt att få tillgång till data eller skyddade data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av data för vidareutnyttjande,
2. när en myndighet eller ett offentligt företag på eget initiativ tillgängliggör data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas,
3. när en myndighet på eget initiativ tillgängliggör skyddade data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas, eller
4. när data lämnas till en statlig eller kommunal myndighet som ska använda dem i en konkurrensutsatt verksamhet som avser tillhandahållande av data.
Trots första stycket ska lagen inte tillämpas
1. när data, i andra fall än som avses i första stycket 4, lämnas
a) mellan statliga och kommunala myndigheter,
b) från ett organ som enligt 1 kap. 5 § andra stycket jämställs med en myndighet eller ett offentligt företag till en statlig eller kommunal myndighet, eller
2. när en statlig eller kommunal myndighet tillhandahåller data i en konkurrensutsatt verksamhet.
Paragrafen klargör när lagen ska tillämpas (se prop. 2021/22:225 s. 77–79). Övervägandena finns i avsnitt 5.4.
Ändringen i första stycket första punkten innebär att lagen även ska tillämpas när någon som har rätt att få tillgång till skyddade data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av sådan data för vidareutnyttjande.
Första stycket tredje punkten, som är ny, innebär att lagen ska tillämpas när en myndighet på eget initiativ tillgängliggör skyddade data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas. Fjärde punkten motsvarar nuvarande tredje punkten.
I andra stycket första punkten justeras hänvisningen till den nya fjärde punkten i första stycket.
2 kap.
5 a § En myndighet som tillgängliggör skyddade data för vidareutnyttjande ska ställa upp villkor för vidareutnyttjandet i enlighet med artikel 5 i EU:s dataförvaltningsförordning.
En myndighet som tillgängliggör skyddade data till en vidareutnyttjare som avser att överföra dem till tredjeland i enlighet med artikel 5.10 i EU:s dataförvaltningsförordning är skyldig att anmäla de överträdelser av artikel 5.14 som myndigheten får kännedom om till tillsynsmyndigheten enligt lagen (2024:000) med kompletterande bestämmelser till EU:s dataförvaltningsförordning.
Paragrafen, som är ny, innehåller bestämmelser om villkor som en myndighet ska ställa upp vid tillgängliggörande av skyddade data för vidareutnyttjande och om en anmälningsskyldighet för tillgängliggörande myndigheter vid vissa överträdelser. Övervägandena finns i avsnitt 5.5 och 5.6.
Av artikel 5 följer bl.a. att de villkor som myndigheten ställer upp ska vara icke-diskriminerande, transparenta, proportionerliga och objektivt motiverade med hänsyn till den data som vidareutnyttjandet gäller.
För att anmälningsskyldigheten enligt andra stycket ska bli aktuell krävs att myndigheten har tillgängliggjort vissa typer av skyddade data för överföring till tredjeland.
De överträdelser som ska anmälas är överträdelser enligt artikel 5.14 i EU:s dataförvaltningsförordning, som i sin tur hänvisar till artiklarna 5.10, 5.12 och 5.13. Artikel 5.10 innebär att en myndighet som tillåter vidareutnyttjare att överföra vissa kategorier av skyddade data till tredjeland i vissa fall ska ställa upp avtalsmässiga villkor till vidareutnyttjaren. Artikel 5.12 reglerar en möjlighet för Europeiska kommissionen att anta genomförandeakter i vilka det bl.a. intygas att ett tredjelands rättsliga, tillsynsmässiga och verkställighetsmässiga arrangemang säkerställer skydd för immateriella rättigheter och företagshemligheter. Av artikel 5.13 följer att kommissionen i vissa fall ska anta delegerade akter, som kompletterar förordningen, genom att fastställa särskilda villkor som ska tillämpas på överföring till tredjeland av vissa kategorier av data, som inte är personuppgifter (icke-personuppgifter), som anses vara mycket känsliga.
För att myndigheten ska ha en skyldighet att anmäla överträdelser enligt artikel 5.14 i EU:s dataförvaltningsförordning krävs att myndigheten efter tillgängliggörandet fått kännedom om att vidareutnyttjaren har gjort sig skyldig till överträdelser av artikel 5.14.
En gemensam informationspunkt
6 a § Den myndighet som regeringen bestämmer ska tillhandahålla en gemensam informationspunkt enligt artikel 8 i EU:s dataförvaltningsförordning.
En myndighet som tillgängliggör skyddade data för vidareutnyttjande ska informera den myndighet som tillhandahåller den gemensamma informationspunkten om sådana data och villkoren för vidareutnyttjande av dessa.
Paragrafen är ny och innehåller bestämmelser om den gemensamma informationspunkten enligt artikel 8 i EU:s dataförvaltningsförordning. Övervägandena finns i avsnitt 5.10.
Av EU:s dataförvaltningsförordning följer att den gemensamma informationspunkten ska tillhandahålla en sökbar tillgångsförteckning som innehåller en översikt över alla tillgängliga datakällor tillsammans med relevant information som beskriver tillgängliga data, inbegripet åtminstone dataformatet och datastorleken samt villkoren för vidareutnyttjandet av dessa data (artikel 8.2). Den myndighet som tillgängliggör skyddade data för vidareutnyttjande enligt förordningen ska informera den myndighet som tillhandahåller den gemensamma informationspunkten om de uppgifter som ska tillhandahållas i den sökbara tillgångsförteckningen enligt artikel 8.2.
Behöriga organ enligt EU:s dataförvaltningsförordning
7 § Den eller de myndigheter som regeringen bestämmer ska vara behöriga organ enligt artikel 7 i EU:s dataförvaltningsförordning.
Paragrafen, som är ny, innehåller bestämmelser om vilken eller vilka myndigheter som ska vara behöriga organ enligt EU:s dataförvaltningsförordning. Övervägandena finns i avsnitt 5.9.
3 kap.
1 a § En myndighet som innehar skyddade data får ge någon en exklusiv rätt att vidareutnyttja dessa data endast om det är tillåtet enligt artikel 4 i EU:s dataförvaltningsförordning.
Paragrafen, som är ny, innehåller en upplysning om bestämmelserna i artikel 4 i EU:s dataförvaltningsförordning. Övervägandena finns i avsnitt 5.5.
Av artikel 4 i EU:s dataförvaltningsförordning framgår att huvudregeln är att exklusiva avtal är förbjudna. Enligt paragrafen får en myndighet som innehar skyddade data endast ge någon en exklusiv rätt att vidareutnyttja dessa data i den mån det är tillåtet enligt artikel 4.
4 kap.
2 a § En myndighet som tillgängliggör skyddade data för vidareutnyttjande får ta ut en avgift för tillgängliggörandet.
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om avgiften.
Paragrafen, som är ny, innehåller en rätt att ta ut en avgift för tillgängliggörande av skyddade data. Övervägandena finns i avsnitt 5.7.
5 kap.
1 § En myndighet ska inom fyra veckor avgöra ett ärende till följd av en begäran om tillgängliggörande av data för vidareutnyttjande.
Om en sådan begäran avser skyddade data ska ärendet avgöras inom åtta veckor.
Tidsfristen enligt första eller andra stycket får förlängas med ytterligare fyra veckor, om en begäran är omfattande eller komplicerad. Myndigheten ska underrätta sökanden om förlängningen och redovisa skälen för den senast tre veckor från den dag då begäran kom in.
Paragrafen anger vilka tidsfrister som gäller vid handläggningen av ett ärende om tillgängliggörande av data (se prop. 2021/22:225 s. 94). Övervägandena finns i avsnitt 5.8.
Av andra stycket, som är nytt, framgår vilka tidsfrister som gäller vid handläggningen av ett ärende till följd av en begäran om tillgängliggörande av skyddade data. I sådana ärenden gäller i stället för vad som sägs i första stycket att ett ärende ska avgöras senast åtta veckor från den dag begäran kom in.
I tredje stycket förtydligas att möjligheten till förlängning gäller även det nya andra stycket.
Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten)
Sammanfattning av promemorian Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24)
I promemorian lämnas förslag till genomförande av och komplettering till förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltningsförordning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), nedan dataförvaltningsförordningen. Bestämmelserna i EU-förordningen ska börja tillämpas den 24 september 2023.
Dataförvaltningsförordningen omfattar villkor för vidareutnyttjande av vissa typer av skyddade data från offentliga myndigheter, en ram för anmälan av och tillsyn över tillhandahållande av dataförmedlingstjänster, ett ramverk för frivillig registrering av och tillsyn över dataaltruismorganisationer samt inrättande av en europeisk datainnovationsstyrelse.
Det föreslås att förordningen genomförs genom en ny lag samt genom tillägg till lagen om offentliga sektorns tillgängliggörande av data för vidareutnyttjande.
Enligt dataförvaltningsförordningen ska en eller flera myndigheter utses till behöriga organ. Dessa ska bistå andra myndigheter som ska bevilja eller vägra tillgång till vissa kategorier av skyddade data för vidareutnyttjande. Myndigheten för digital förvaltning och Statistiska centralbyrån föreslås bli behöriga organ. Myndigheten för digital förvaltning ska vara huvudansvarig för uppgiften och också ha till uppgift att främja tillgängliggörande av skyddade data.
En gemensam informationspunkt ska inrättas enligt dataförvaltningsförordningen. Myndigheten för digital förvaltning föreslås tillhandahålla den gemensamma informationspunkten.
I dataförvaltningsförordningen finns det ramverk för leverantörer av dataförmedlingstjänster och för dataaltruismorganisationer. Post- och telestyrelsen föreslås bli s.k. behörig myndighet för dessa. Uppgiften innebär att myndigheten ska ta emot anmälningar och ansökningar från dessa aktörer samt utöva tillsyn över dem.
Medlemsstaterna ska införa sanktioner för överträdelser av vissa artiklar i dataförvaltningsförordningen. Post- och telestyrelsen ska kunna besluta om en erinran mot leverantörer av dataförmedlingstjänster och dataaltruismorganisationer. Sanktionsavgift ska kunna beslutas för vissa överträdelser som leverantörer av dataförmedlingstjänster begår. Sanktionsavgift ska också kunna beslutas för överträdelser som vidareutnyttjare gör sig skyldiga till vid vissa tredjelandsöverföringar. Myndigheter som tillgängliggör vissa kategorier av skyddade data för vidareutnyttjande ska anmäla till tillsynsmyndigheten för dataförmedlingstjänster om de får kännedom om sådana överträdelser som kan leda till en sanktionsavgift.
Lagförslagen ska träda i kraft den 1 januari 2024.
Promemorians lagförslag
Förslag till lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning
Härigenom föreskrivs följande.
Inledande bestämmelse
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), nedan EU:s dataförvaltningsförordning.
Ord och uttryck i lagen har samma betydelse som i EU:s dataförvaltningsförordning.
Tillsynsmyndighet
2 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet enligt denna lag. Den myndighet som är tillsynsmyndighet enligt denna lag är behörig myndighet för dataförmedlingstjänster enligt artikel 13 EU:s dataförvaltningsförordning och behörig myndighet för registrering av dataaltruismorganisationer enligt artikel 23 EU:s dataförvaltningsförordning.
Informationsutbyte
3 § De myndigheter regeringen bestämmer ska på begäran lämna tillsynsmyndigheten de uppgifter som den behöver för att kunna utföra sitt tillsynsuppdrag enligt EU:s dataförvaltningsförordning.
Tillsynsmyndigheten ska på begäran lämna de uppgifter som andra myndigheter som regeringen bestämmer behöver för att kunna utföra tillsynsuppdrag enligt annan författning.
Erinran
4 § Tillsynsmyndigheten får meddela en erinran till en leverantör av dataförmedlingstjänster som bryter mot anmälningsskyldigheten enligt artikel 11, villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12 eller villkoren för överföring av andra uppgifter än personuppgifter till tredjeland enligt artikel 31 EU:s dataförvaltningsförordning.
Tillsynsmyndigheten får meddela en erinran till en erkänd dataaltruismorganisation som bryter mot villkoren för registrering som erkänd dataaltruismorganisation i artiklarna 18, 20, 21 och 22 eller villkoren för överföring av andra uppgifter än personuppgifter till tredjeland enligt artikel 31 EU:s dataförvaltningsförordning.
Vite
5 § Tillsynsmyndigheten får förena förelägganden enligt artikel 14 EU:s dataförvaltningsförordning med vite.
Sanktionsavgift
6 § Tillsynsmyndigheten får ta ut en sanktionsavgift av en leverantör av en dataförmedlingstjänst vid överträdelser av –
– anmälningsskyldigheten för leverantören av dataförmedlingstjänster enligt artikel 11,
– villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12, eller
– villkoren för överföring av andra uppgifter än personuppgifter till tredjeland enligt artikel 31 EU:s dataförvaltningsförordning.
Tillsynsmyndigheten får ta ut en sanktionsavgift av en vidareutnyttjare för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.
7 § En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
När avgiftens storlek bestäms ska särskild hänsyn tas till
1. överträdelsens art, allvar, omfattning och varaktighet,
2. eventuella åtgärder som leverantören av dataförmedlingstjänster eller vidareutnyttjaren vidtagit för att begränsa eller avhjälpa den skada som överträdelsen har orsakat,
3. tidigare överträdelser som leverantören av dataförmedlingstjänster eller vidareutnyttjaren har gjort sig skyldig till,
4. de ekonomiska vinster som leverantören av dataförmedlingstjänster eller vidareutnyttjaren gjort eller de förluster som de undvikit till följd av överträdelsen, och
5. andra försvårande eller förmildrande omständigheter.
Tillsynsmyndigheten får avstå från att ta ut en sanktionsavgift helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
8 § En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande som har förenats med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
9 § En sanktionsavgift får inte beslutas om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
10 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften fick laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken.
En sanktionsavgift tillfaller staten.
11 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Avgifter
12 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om skyldighet för leverantörer av dataförmedlingstjänster som omfattas av anmälningsskyldighet enligt artikel 11 EU:s dataförvaltningsförordning att betala avgift för tillsynsmyndighetens verksamhet enligt EU:s dataförvaltningsförordning och denna lag
Överklagande
13 § Tillsynsmyndighetens beslut enligt artikel 14, 19 och 24 EU:s dataförvaltningsförordning eller enligt denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 1 januari 2024.
Förslag till lag om ändring i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data
Härigenom föreskrivs i fråga om lag (2022:818) om den offentliga sektorns tillgängliggörande av data
dels att 1 kap. 2, 3, 4, 8 och 10 §§, 4 kap. 1 § samt 5 kap. 1 § ska ha följande lydelse,
dels att det ska införas sex nya paragrafer, 1 kap. 1 a § och 7 a §, 2 kap. 5 a och 6 a §§, 3 kap. 1 a § och 4 kap. 2 a §, och närmast före 2 kap. 6 a § en ny rubrik av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 a §
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), nedan EU:s dataförvaltningsförordning.
2 §
Denna lag påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt.
Denna lag påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller skyddade data eller som begränsar en sådan rätt.
3 §
Om det i någon annan lag eller i en förordning finns mer långtgående krav i fråga om tillgängliggörande av data än i denna lag, ska de kraven tillämpas.
Om det i någon annan lag eller i en förordning finns mer långtgående krav i fråga om tillgängliggörande av data eller skyddade data än i denna lag, ska de kraven tillämpas.
4 §
I lagen avses med
begäran om tillgängliggörande av data för vidareutnyttjande: en begäran om att data ska göras tillgängliga för vidareutnyttjande i enlighet med denna lag,
begäran om tillgängliggörande av data för vidareutnyttjande: en begäran om att data eller skyddade data ska göras tillgängliga för vidareutnyttjande i enlighet med denna lag eller kapitel II EU:s dataförvaltningsförordning,
bulknedladdning: nedladdning av en avgränsad datamängd,
data: information i digitalt format oberoende av medium,
dynamiska data: data som uppdateras ofta eller i realtid för att vara aktuella och relevanta att vidareutnyttja,
forskningsdata: data som till någon del är offentligt finansierade, som samlas in eller framställs inom ramen för vetenskaplig forskningsverksamhet och som görs direkt tillgängliga för vidareutnyttjande genom en dataplattform som är allmänt åtkomlig,
gränssnitt: en regeluppsättning för dynamiskt datautbyte mellan programvaror,
maskinläsbart format: ett filformat som är strukturerat på ett sådant sätt att det enkelt kan läsas av ett datorprogram,
offentligt företag: ett företag som en eller flera myndigheter har ett bestämmande inflytande över och som är verksamt
- inom de sektorer som framgår av 2 kap. 1 § och 5–8 §§ lagen (2016:1146) om upphandling inom försörjningssektorerna,
- som ett kollektivtrafikföretag enligt Europaparlamentets och rådets förordning (EG) nr 1370/2007 av den 23 oktober 2007 om kollektivtrafik på järnväg och väg och om upphävande av rådets förordning (EEG) nr 1191/69 och (EEG) nr 1107/70,
- som ett lufttrafikföretag som har allmän trafikplikt enligt artikel 16 i Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen, eller
- som ett rederi inom gemenskapen som uppfyller förpliktelser vid allmän trafik enligt artikel 4 i rådets förordning (EEG) nr 3577/92 av den 7 december 1992 om tillämpning av principen om frihet att tillhandahålla tjänster på sjötransportområdet inom medlemsstaterna (cabotage),
offentligt styrt organ: ett sådant organ som avses i 1 kap. 18 § lagen (2016:1145) om offentlig upphandling eller en sammanslutning av sådana organ,
skyddade data: sådana kategorier av skyddade data som avses i artikel 3.1 EU:s dataförvaltningsförordning.
vidareutnyttjande: bearbetning av data från den offentliga sektorn för valfritt ändamål,
värdefull datamängd: data som förtecknas i en genomförandeakt som har meddelats med stöd av artikel 14.1 i öppna data-direktivet,
öppna data-direktivet: Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn.
7 a §
Bestämmelserna om vidareutnyttjande av skyddade data ska endast tillämpas av myndigheter, dock inte av kulturinstitutioner och utbildningsinstitutioner.
8 §
Lagen ska tillämpas
1. när någon som har rätt att få tillgång till data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av data för vidareutnyttjande,
2. när en myndighet eller ett offentligt företag på eget initiativ tillgängliggör data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas, eller
3. när data lämnas till en statlig eller kommunal myndighet som ska använda dem i en konkurrensutsatt verksamhet som avser tillhandahållande av data.
1. när någon som har rätt att få tillgång till data eller skyddade data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av data för vidareutnyttjande,
2. när en myndighet eller ett offentligt företag på eget initiativ tillgängliggör data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas,
3. när en myndighet på eget initiativ tillgängliggör skyddade data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas, eller
4. när data lämnas till en statlig eller kommunal myndighet som ska använda dem i en konkurrensutsatt verksamhet som avser tillhandahållande av data.
Trots första stycket ska lagen inte tillämpas
1. när data, i andra fall än som avses i första stycket 3, lämnas
a) mellan statliga och kommunala myndigheter,
b) från ett organ som enligt 1 kap. 5 § andra stycket jämställs med en myndighet eller ett offentligt företag till en statlig eller kommunal myndighet, eller
2. när en statlig eller kommunal myndighet tillhandahåller data i en konkurrensutsatt verksamhet.
10 §
Lagen gäller inte för data som
1. omfattas av en sådan ensamrätt som följer av patentlagen (1967:837), mönsterskyddslagen (1970:485), lagen (1992:1685) om skydd för kretsmönster för halvledarprodukter, växtförädlarrättslagen (1997:306), varumärkeslagen (2010:1877) eller lagen (2018:1653) om företagsnamn,
2. tredje man innehar rätt till enligt lagen (1960:729) om upphovsrätt till litterära och konstnärliga verk,
3. utgörs av datorprogram, eller
4. utgörs av logotyper, heraldiska vapen eller insignier.
Första stycket ska inte tillämpas avseende sådana kategorier av skyddade data som framgår av artikel 3.1 c i EU:s dataförvaltningsförordning.
2 kap.
5 a §
En myndighet som tillgängliggör skyddade data för vidareutnyttjande ska ställa upp villkor för vidareutnyttjandet i enlighet med artikel 5 i EU:s dataförvaltningsförordning.
En myndighet som tillgängliggör konfidentiella data till en vidareutnyttjare som avser att överföra dem till tredje land i enlighet med artikel 5.10 i EU:s dataförvaltningsförordning är skyldig att anmäla de överträdelser av artikel 5.14 som myndigheten får kännedom om till tillsynsmyndigheten enligt lag (2023:000) med kompletterande bestämmelser till EU:s dataförvaltningsförordning.
Förteckning över skyddade data som görs tillgängliga
6 a §
Den myndighet som regeringen bestämmer ska tillhandahålla en gemensam informationspunkt enligt artikel 8 i EU:s dataförvaltningsförordning.
En myndighet som tillgängliggör skyddade data för vidareutnyttjande ska informera den myndighet som tillhandahåller den gemensamma informationspunkten om sådana data och villkoren för vidareutnyttjande av dessa.
3 kap.
1 a §
En myndighet som innehar skyddade data får endast ge någon en exklusiv rätt att vidareutnyttja dessa data i den mån det är tillåtet enligt artikel 4 i EU:s dataförvaltningsförordning.
4 kap.
1 §
En myndighet eller ett offentligt företag som har rätt att ta ut en avgift för att tillgängliggöra data för vidareutnyttjande får inte beräkna den till ett högre belopp än vad som följer av 2–6 §§.
En myndighet eller ett offentligt företag som har rätt att ta ut en avgift för att tillgängliggöra data eller skyddade data för vidareutnyttjande får inte beräkna den till ett högre belopp än vad som följer av 2–6 §§.
2 a §
Vid tillgängliggörande av skyddade data får en avgift, utöver vad som följer av 2 § första stycket första meningen, också täcka sådana kostnader som framgår av artikel 6.5 i EU:s dataförvaltningsförordning.
5 kap.
1 §
En myndighet ska inom fyra veckor avgöra ett ärende till följd av en begäran om tillgängliggörande av data för vidareutnyttjande.
Om en sådan begäran avser skyddade data ska ärendet avgöras inom åtta veckor.
Tidsfristen får förlängas med ytterligare fyra veckor, om en begäran är omfattande eller komplicerad. Myndigheten ska underrätta sökanden om förlängningen och redovisa skälen för den senast tre veckor från den dag då begäran kom in.
Denna lag träder i kraft den 1 januari 2024.
Förteckning över remissinstanserna
Efter remiss har yttranden kommit in från Arbetsförmedlingen, Bolagsverket, E-hälsomyndigheten, Folkhälsomyndigheten, Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Förvaltningsrätten i Luleå, Förvaltningsrätten i Stockholm, Försäkringskassan, Gagnefs kommun, Göteborgs kommun, Integritetsskyddsmyndigheten, Justitiekanslern, Järfälla kommun, Kammarrätten i Jönköping, Kommerskollegium, Konkurrensverket, Konsumentverket, Kungliga biblioteket, Kungliga tekniska högskolan, Lantmäteriet, Läkemedelsverket, Malmö kommun, Myndigheten för digital förvaltning, Myndigheten för samhällsskydd och beredskap, Nacka kommun, Patent- och registreringsverket, Pensionsmyndigheten, Polismyndigheten, Post och telestyrelsen, Regelrådet, Region Blekinge, Region Skåne, Region Stockholm, Region Östergötland, Skatteverket, Socialstyrelsen, Statistiska centralbyrån, Stockholms kommun, Svenskt näringsliv, Sveriges advokatsamfund, Sveriges kommuner och regioner, Sveriges meteorologiska och hydrologiska institut, Sveriges universitets- och högskoleförbund, Säkerhetspolisen, TechSverige, Teknikföretagen, Verket för innovationssystem, Vetenskapsrådet, Växjö kommun och Åklagarmyndigheten.
Följande remissinstanser har inte svarat eller angett att de avstår från att lämna några synpunkter: Bodens kommun, Båstads kommun, CGI Sverige AB, Chalmers tekniska högskola AB, Civic Tech Sweden, Dun & Bradstreet Sverige AB, Ekerö kommun, Falköpings kommun, Google Sverige, Grums kommun, Gävle kommun, InfoTrader i Ronneby AB, Internetstiftelsen, Jönköpings kommun, Kristianstads kommun, Kävlinge kommun, Köpings kommun, Leksands kommun, Lidköpings kommun, Lunds kommun, Malå kommun, Mariestads kommun, Meta Sverige, Metria AB, MyData Sverige, Mönsterås kommun, Näringslivets regelnämnd, Piteå kommun, Research Institutes of Sweden (RISE), Riksdagens ombudsmän, Rättighetsalliansen, Sollefteå kommun, Svenljunga kommun, Svenska institutet för standarder, Tibro kommun, Tillväxtanalys, Tillväxtverket, Trosa kommun, UC AB och Åre kommun.
Lagrådsremissens lagförslag
Förslag till lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning
Härigenom föreskrivs följande.
1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), i denna lag benämnd EU:s dataförvaltningsförordning.
Ord och uttryck i lagen har samma betydelse som i EU:s dataförvaltningsförordning.
Tillsynsmyndighet
2 § Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet enligt denna lag.
Tillsynsmyndigheten ska vara behörig myndighet för dataförmedlingstjänster enligt artikel 13 i EU:s dataförvaltningsförordning och för registrering av dataaltruismorganisationer enligt artikel 23 i EU:s dataförvaltningsförordning.
Uppgiftsskyldighet
3 § De myndigheter som regeringen bestämmer ska på begäran lämna tillsynsmyndigheten de uppgifter som den behöver i sin tillsynsverksamhet.
4 § Tillsynsmyndigheten ska på begäran lämna de uppgifter som en annan myndighet behöver i sin tillsynsverksamhet.
Regeringen bestämmer vilka myndigheter som ska ha rätt att få uppgifter enligt första stycket.
Varning
5 § Tillsynsmyndigheten får meddela en varning till en leverantör av dataförmedlingstjänster som bryter mot anmälningsskyldigheten enligt artikel 11, villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12 eller villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.
6 § Tillsynsmyndigheten får meddela en varning till en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja andra data än personuppgifter för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.
7 § Tillsynsmyndigheten får meddela en varning till en erkänd dataaltruismorganisation som bryter mot
1. villkoren för registrering som erkänd dataaltruismorganisation enligt artiklarna 18, 20, 21 eller 22, eller
2. villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.
Föreläggande och vite
8 § Tillsynsmyndigheten får besluta de förelägganden som behövs för att EU:s dataförvaltningsförordning, denna lag eller föreskrifter som har meddelats i anslutning till lagen ska följas.
Tillsynsmyndigheten får förena ett föreläggande enligt artikel 14 i EU:s dataförvaltningsförordning med vite.
Sanktionsavgift
9 § Tillsynsmyndigheten ska ta ut en sanktionsavgift från en leverantör av dataförmedlingstjänster vid överträdelser av
– anmälningsskyldigheten enligt artikel 11,
– villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12, eller
– villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.
Om det kan anses tillräckligt får tillsynsmyndigheten, i stället för att ta ut en sanktionsavgift vid överträdelser enligt första stycket, meddela en varning enligt 5 §.
10 § Tillsynsmyndigheten ska ta ut en sanktionsavgift av en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja andra data än personuppgifter för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.
Om det kan anses tillräckligt får tillsynsmyndigheten, i stället för att ta ut en sanktionsavgift vid överträdelser enligt första stycket, meddela en varning enligt 6 §.
11 § En sanktionsavgift enligt 9 eller 10 § ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
När avgiftens storlek bestäms ska hänsyn tas till
1. överträdelsens art, allvar, omfattning och varaktighet,
2. åtgärder som har vidtagits för att begränsa eller avhjälpa den skada som överträdelsen har orsakat,
3. tidigare överträdelser,
4. de ekonomiska vinster som har gjorts eller de förluster som har undvikits till följd av överträdelsen, och
5. försvårande eller förmildrande omständigheter utöver dem i 1–4.
Tillsynsmyndigheten får avstå från att ta ut en sanktionsavgift helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
12 § En sanktionsavgift får inte tas ut om överträdelsen omfattas av ett föreläggande som har förenats med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
13 § En sanktionsavgift får tas ut endast om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
14 § En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas i tid, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.
Sanktionsavgiften tillfaller staten.
15 § En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
Avgifter
16 § Tillsynsmyndigheten får ta ut avgifter från leverantörer av dataförmedlingstjänster för anmälan, registerhållning och tillsyn av leverantörer av dataförmedlingstjänster enligt EU:s dataförvaltningsförordning och denna lag.
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om avgifterna.
Överklagande
17 § Tillsynsmyndighetens beslut enligt artiklarna 14, 19 och 24 i EU:s dataförvaltningsförordning eller enligt denna lag får överklagas till allmän förvaltningsdomstol.
Prövningstillstånd krävs vid överklagande till kammarrätten.
Denna lag träder i kraft den 2 augusti 2024.
Förslag till lag om ändring i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data
Härigenom föreskrivs i fråga om lagen (2022:818) om den offentliga sektorns tillgängliggörande av data
dels att 1 kap. 2–4 och 8 §§ och 5 kap. 1 § ska ha följande lydelse,
dels att det ska införas sju nya paragrafer, 1 kap. 1 a och 7 a §§, 2 kap. 5 a, 6 a och 7 §§, 3 kap. 1 a § och 4 kap. 2 a §, och närmast före 2 kap. 6 a och 7 §§ nya rubriker av följande lydelse.
Nuvarande lydelse
Föreslagen lydelse
1 kap.
1 a §
Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), i denna lag benämnd EU:s dataförvaltningsförordning.
2 §
Denna lag påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt.
Denna lag påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller skyddade data eller som begränsar en sådan rätt.
Lagen påverkar inte heller tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter.
3 §
Om det i någon annan lag eller i en förordning finns mer långtgående krav i fråga om tillgängliggörande av data än i denna lag, ska de kraven tillämpas.
Om det i någon annan lag eller i en förordning finns mer långtgående krav i fråga om tillgängliggörande av data eller skyddade data än i denna lag, ska de kraven tillämpas.
4 §
I lagen avses med
begäran om tillgängliggörande av data för vidareutnyttjande: en begäran om att data ska göras tillgängliga för vidareutnyttjande i enlighet med denna lag,
begäran om tillgängliggörande av data för vidareutnyttjande: en begäran om att data eller skyddade data ska göras tillgängliga för vidareutnyttjande i enlighet med denna lag eller kapitel II i EU:s dataförvaltningsförordning,
bulknedladdning: nedladdning av en avgränsad datamängd,
data: information i digitalt format oberoende av medium,
dynamiska data: data som uppdateras ofta eller i realtid för att vara aktuella och relevanta att vidareutnyttja,
forskningsdata: data som till någon del är offentligt finansierade, som samlas in eller framställs inom ramen för vetenskaplig forskningsverksamhet och som görs direkt tillgängliga för vidareutnyttjande genom en dataplattform som är allmänt åtkomlig,
gränssnitt: en regeluppsättning för dynamiskt datautbyte mellan programvaror,
maskinläsbart format: ett filformat som är strukturerat på ett sådant sätt att det enkelt kan läsas av ett datorprogram,
offentligt företag: ett företag som en eller flera myndigheter har ett bestämmande inflytande över och som är verksamt
– inom de sektorer som framgår av 2 kap. 1 § och 5–8 §§ lagen (2016:1146) om upphandling inom försörjningssektorerna,
– som ett kollektivtrafikföretag enligt Europaparlamentets och rådets förordning (EG) nr 1370/2007 av den 23 oktober 2007 om kollektivtrafik på järnväg och väg och om upphävande av rådets förordning (EEG) nr 1191/69 och (EEG) nr 1107/70,
– som ett lufttrafikföretag som har allmän trafikplikt enligt artikel 16 i Europaparlamentets och rådets förordning (EG) nr 1008/2008 av den 24 september 2008 om gemensamma regler för tillhandahållande av lufttrafik i gemenskapen, eller
– som ett rederi inom gemenskapen som uppfyller förpliktelser vid allmän trafik enligt artikel 4 i rådets förordning (EEG) nr 3577/92 av den 7 december 1992 om tillämpning av principen om frihet att tillhandahålla tjänster på sjötransportområdet inom medlemsstaterna (cabotage),
offentligt styrt organ: ett sådant organ som avses i 1 kap. 18 § lagen (2016:1145) om offentlig upphandling eller en sammanslutning av sådana organ,
skyddade data: sådana kategorier av data som avses i artikel 3.1 i EU:s dataförvaltningsförordning,
vidareutnyttjande: bearbetning av data från den offentliga sektorn för valfritt ändamål,
värdefull datamängd: data som förtecknas i en genomförandeakt som har meddelats med stöd av artikel 14.1 i öppna data-direktivet,
öppna data-direktivet: Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn.
7 a §
Bestämmelserna om vidareutnyttjande av skyddade data ska endast tillämpas av myndigheter, dock inte av kultur- eller utbildningsinstitutioner.
8 §
Lagen ska tillämpas
1. när någon som har rätt att få tillgång till data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av data för vidareutnyttjande,
2. när en myndighet eller ett offentligt företag på eget initiativ tillgängliggör data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas, eller
3. när data lämnas till en statlig eller kommunal myndighet som ska använda dem i en konkurrensutsatt verksamhet som avser tillhandahållande av data.
1. när någon som har rätt att få tillgång till data eller skyddade data enligt någon annan lag eller förordning framställer en begäran om tillgängliggörande av data för vidareutnyttjande,
2. när en myndighet eller ett offentligt företag på eget initiativ tillgängliggör data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas,
3. när en myndighet på eget initiativ tillgängliggör skyddade data som omfattas av lagen i syfte att de ska kunna vidareutnyttjas, eller
4. när data lämnas till en statlig eller kommunal myndighet som ska använda dem i en konkurrensutsatt verksamhet som avser tillhandahållande av data.
Trots första stycket ska lagen inte tillämpas
1. när data, i andra fall än som avses i första stycket 3, lämnas
1. när data, i andra fall än som avses i första stycket 4, lämnas
a) mellan statliga och kommunala myndigheter,
b) från ett organ som enligt 1 kap. 5 § andra stycket jämställs med en myndighet eller ett offentligt företag till en statlig eller kommunal myndighet, eller
2. när en statlig eller kommunal myndighet tillhandahåller data i en konkurrensutsatt verksamhet.
2 kap.
5 a §
En myndighet som tillgängliggör skyddade data för vidareutnyttjande ska ställa upp villkor för vidareutnyttjandet i enlighet med artikel 5 i EU:s dataförvaltningsförordning.
En myndighet som tillgängliggör skyddade data till en vidareutnyttjare som avser att överföra dem till tredjeland i enlighet med artikel 5.10 i EU:s dataförvaltningsförordning är skyldig att anmäla de överträdelser av artikel 5.14 som myndigheten får kännedom om till tillsynsmyndigheten enligt lagen (2024:000) med kompletterande bestämmelser till EU:s dataförvaltningsförordning.
En gemensam informationspunkt
6 a §
Den myndighet som regeringen bestämmer ska tillhandahålla en gemensam informationspunkt enligt artikel 8 i EU:s dataförvaltningsförordning.
En myndighet som tillgängliggör skyddade data för vidareutnyttjande ska informera den myndighet som tillhandahåller den gemensamma informationspunkten om sådana data och villkoren för vidareutnyttjande av dessa.
Behöriga organ enligt EU:s dataförvaltningsförordning
7 §
Den eller de myndigheter som regeringen bestämmer ska vara behöriga organ enligt artikel 7 i EU:s dataförvaltningsförordning.
3 kap.
1 a §
En myndighet som innehar skyddade data får ge någon en exklusiv rätt att vidareutnyttja dessa data endast om det är tillåtet enligt artikel 4 i EU:s dataförvaltningsförordning.
4 kap.
2 a §
En myndighet som tillgängliggör skyddade data för vidareutnyttjande får ta ut en avgift för tillgängliggörandet.
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om avgiften.
5 kap.
1 §
En myndighet ska inom fyra veckor avgöra ett ärende till följd av en begäran om tillgängliggörande av data för vidareutnyttjande.
Tidsfristen får förlängas med ytterligare fyra veckor, om en begäran är omfattande eller komplicerad. Myndigheten ska underrätta sökanden om förlängningen och redovisa skälen för den senast tre veckor från den dag då begäran kom in.
Om en sådan begäran avser skyddade data ska ärendet avgöras inom åtta veckor.
Tidsfristen enligt första eller andra stycket får förlängas med ytterligare fyra veckor, om en begäran är omfattande eller komplicerad. Myndigheten ska underrätta sökanden om förlängningen och redovisa skälen för den senast tre veckor från den dag då begäran kom in.
Denna lag träder i kraft den 2 augusti 2024.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2024-02-12
Närvarande: F.d. justitieråden Eskil Nord och Kerstin Calissendorff samt justitierådet Eric M. Runesson
Kompletterande bestämmelser till EU:s dataförvaltningsförordning
Enligt en lagrådsremiss den 1 februari 2024 har regeringen (Finansdepartementet) beslutat inhämta Lagrådets yttrande över förslag till
lag med kompletterande bestämmelser till EU:s dataförvaltningsförordning,
lag om ändring i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data.
Förslagen har inför Lagrådet föredragits av rättssakkunniga Marzia Kristensson.
Lagrådet lämnar förslagen utan erinran.
Finansdepartementet
Utdrag ur protokoll vid regeringssammanträde den 7 mars 2024
Närvarande: statsrådet Svantesson, ordförande, och statsråden Ankarberg Johansson, Edholm, J Pehrson, Waltersson Grönvall, Jonson, Strömmer, Forssmed, Tenje, Slottner, M Persson, Wykman, Malmer Stenergard, Liljestrand, Brandberg, Bohlin, Carlson, Pourmokhtari
Föredragande: statsrådet Erik Slottner
Regeringen beslutar proposition 2023/24:73 Kompletterande bestämmelser till EU:s dataförvaltningsförordning