Laki datan hallinnan ja jakamisen valvonnasta

Eduskunnan päätöksen mukaisesti säädetään:

1 luku. Yleiset säännökset

1 § Lain tarkoitus ja soveltamisala

Tässä laissa annetaan datan oikeudenmukaista saatavuutta ja käyttöä koskevista yhdenmukaisista säännöistä ja asetuksen (EU) 2017/2394 ja direktiivin (EU) 2020/1828 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2023/2854 (datasäädös), jäljempänä data-asetus, ja eurooppalaisen datan hallinnoinnista ja asetuksen (EU) 2018/1724 muuttamisesta annettua Euroopan parlamentin ja neuvoston asetusta (EU) 2022/868 (datanhallinta-asetus), jäljempänä datanhallinta-asetus, täydentävät säännökset.

Tätä lakia sovelletaan data-asetuksen 1 artiklan ja datanhallinta-asetuksen 1 artiklan soveltamisalan mukaisesti, lukuun ottamatta datanhallinta-asetuksen II lukua ja siihen liittyviä viranomaistehtäviä. Tätä lakia ei sovelleta eduskunnan valtiopäivätoimintaan eikä eduskunnan virastoihin. Lakia ei myöskään sovelleta eduskunnan oikeusasiamieheen eikä valtioneuvoston oikeuskansleriin.

Elinkeinotoimintaan liittyvien liikesalaisuuksien sekä teknisten ohjeiden suojasta säädetään liikesalaisuuslaissa (595/2018).

Todistelun turvaamisesta liikesalaisuuslaissa tarkoitetun liikesalaisuuden tai teknisen ohjeen oikeudettomaan käyttöön tai ilmaisemiseen perustuvan vahingon korvaamista tai liikesalaisuuslain 8 §:ssä tarkoitetun kiellon määräämistä koskevassa asiassa säädetään todistelun turvaamisesta teollis- ja tekijänoikeuksia koskevissa riita-asioissa annetussa laissa (344/2000).

2 § Datakoordinaattori ja muut toimivaltaiset viranomaiset

Data-asetuksen 37 artiklassa tarkoitettuna datakoordinaattorina Suomessa toimii Liikenne- ja viestintävirasto.

Liikenne- ja viestintävirasto on valvonnasta vastaava data-asetuksen 37 artiklassa tarkoitettu toimivaltainen viranomainen, jollei 3 §:stä muuta johdu. Muita toimivaltaisia viranomaisia data-asetuksen valvonnassa ovat kuluttaja-asiamies sekä Kilpailu- ja kuluttajavirasto.

Liikenne- ja viestintävirasto edistää data-asetuksen 37 artiklan 5 kohdan a alakohdassa tarkoitettua yritysten ja yhteisöjen datalukutaitoa sekä seuraa e alakohdassa tarkoitettua datan saataville asettamiseen ja käyttöön liittyvää kehitystä.

Liikenne- ja viestintävirasto sertifioi data-asetuksen 10 artiklan 5 kohdan mukaisesti Suomeen sijoittuneet tuomioistuinten ulkopuoliset riidanratkaisuelimet.

Liikenne- ja viestintävirasto toimii datanhallinta-asetuksen 13 ja 23 artiklassa tarkoitettuna toimivaltaisena viranomaisena.

3 § Kuluttaja-asiamiehen ja Kilpailu- ja kuluttajaviraston toimivalta

Data-asetuksen 37 artiklan mukainen valvonnasta vastaava toimivaltainen viranomainen on kuluttaja-asiamies mainitun asetuksen 3 artiklan 2 ja 3 kohdan osalta, jos kyse on tietojen antamisesta elinkeinonharjoittajalta kuluttajalle.

Kilpailu- ja kuluttajavirasto edistää data-asetuksen 37 artiklan 5 kohdan a alakohdassa tarkoitettua kuluttajien datalukutaitoa.

Kuluttaja-asiamiehen eräistä toimivaltuuksista säädetään kuluttajansuojaviranomaisten eräistä toimivaltuuksista annetussa laissa (566/2020). Kuluttaja-asiamiehen tehtävien tärkeysjärjestyksestä säädetään Kilpailu- ja kuluttajavirastosta annetussa laissa (661/2012).

4 § Yhteistyö viranomaisten välillä

Liikenne- ja viestintäviraston, kuluttaja-asiamiehen ja Kilpailu- ja kuluttajaviraston on data-asetuksen ja tämän lain mukaisia tehtäviä hoitaessaan toimittava yhteistyössä tietosuojavaltuutetun ja muiden asianomaisten viranomaisten kanssa.

Kuluttaja-asiamiehen on ilmoitettava Liikenne- ja viestintävirastolle, jos se vastaanottaa ilmoituksen, joka koskee data-asetuksessa säädettyjen velvoitteiden rikkomista, ja se katsoo tarpeelliseksi ottaa asian tutkittavakseen.

2 luku. Viranomaisten tutkintamenettely ja valvontatoimenpiteet

5 § Tiedonsaantioikeus

Liikenne- ja viestintäviraston tiedonsaantioikeuksista data-asetuksen, datanhallinta-asetuksen ja tämän lain noudattamisen todentamiseksi säädetään data-asetuksen 37 artiklan 14 kohdassa ja datanhallinta-asetuksen 14 artiklan 2 kohdassa ja 24 artiklan 2 kohdassa. Tietopyynnön kohteiden on luovutettava tiedot salassapitosäännösten estämättä, ilman aiheetonta viivytystä, viranomaisen pyytämässä muodossa ja maksutta.

Liikenne- ja viestintävirastolla on tässä pykälässä tarkoitetut tiedonsaantioikeudet, jos virasto pyytää tietoja toisen jäsenvaltion toimivaltaisen viranomaisen data-asetuksen 37 artiklan 15 kohdan mukaisesti tekemän pyynnön perusteella mainitun artiklan 2 kohdassa ja 38 artiklan 3 kohdassa säädetyn toimivaltaisten viranomaisten yhteistyövelvoitteen toteuttamiseksi.

6 § Tiedonvaihto viranomaisten välillä

Liikenne- ja viestintävirastolla ja kuluttaja-asiamiehellä on salassapitosäännösten estämättä oikeus luovuttaa data-asetuksessa, datanhallinta-asetuksessa ja tässä laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tiedot tai laatimansa asiakirjat toisilleen, jos se on näille data-asetuksessa, datanhallinta-asetuksessa tai tässä laissa säädettyjen tehtävien hoitamiseksi välttämätöntä.

Liikenne- ja viestintävirasto ja kuluttaja-asiamies voivat pyytää muilta viranomaisilta lausuntoa käsiteltävään asiaan ja luovuttaa näille lausunnon antamisen kannalta välttämättömät asiakirjat ja tiedot salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä, jos se on näille data-asetuksessa, datanhallinta-asetuksessa tai tässä laissa säädettyjen tehtävien hoitamiseksi välttämätöntä.

Liikenne- ja viestintäviraston on ilmoitettava 25 §:n 1 momentissa mainituille viranomaisille, jos on syytä epäillä, että sen käsiteltäväksi tulleella dataan pääsyä tai datan siirtoa koskevalla asialla on yhteys kansalliseen turvallisuuteen tai puolustukseen.

Liikenne- ja viestintävirastolla on salassapitosäännösten ja muiden tietojen luovuttamista koskevien rajoitusten estämättä oikeus luovuttaa tässä laissa säädettyjen tehtäviensä hoitamisen yhteydessä saamansa tai laatimansa asiakirja sekä ilmaista salassa pidettävä tieto sisäministeriölle ja sen alaisille viranomaisille sekä Pääesikunnalle, jos se on 25 §:n 1 momentissa tarkoitetun lausuntomenettelyn kannalta välttämätöntä.

7 § Tarkastukset

Liikenne- ja viestintävirastolla on data-asetukseen tai tähän lakiin perustuvien velvoitteiden epäiltyyn rikkomiseen liittyvää valvontaa varten oikeus päästä tilaan, jota data-asetuksessa tarkoitettu käyttäjä, datan haltija tai datan vastaanottaja käyttää elinkeino- tai ammattitoimintaansa liittyviin tarkoituksiin, ja tehdä valvonta-asian hoitamiseksi tarvittavia tarkastuksia. Pääsy- ja tarkastusoikeus ei koske pysyväisluonteiseen asumiseen käytettäviä tiloja.

Liikenne- ja viestintävirastolla on tarkastuksissa oikeus salassapitosäännösten estämättä saada tutkittavakseen, jäljentää ja ottaa jäljennösten ottamista varten haltuun epäiltyyn rikkomukseen liittyvän valvontatehtävän kannalta tarpeellinen liikekirjeenvaihto, kirjanpito, muut asiakirjat ja tiedot missä tahansa muodossa tallennusvälineestä riippumatta. Tarkastusta toimittava virkamies voi pyytää tarkastuksen kohteen laillisilta edustajilta tai henkilöstön jäseniltä tarkastuksen kohteeseen ja tarkoitukseen liittyviä selvityksiä tosiseikoista ja asiakirjoista sekä tallentaa saamansa vastaukset.

Tarkastukseen sovelletaan lisäksi hallintolain (434/2003) 39 §:ää.

Liikenne- ja viestintävirastolla on tässä pykälässä säädetyt tarkastusoikeudet, jos se toimittaa Suomessa tarkastuksen toisen jäsenvaltion toimivaltaisen viranomaisen data-asetuksen 37 artiklan 15 kohdan mukaisesti tekemän pyynnön perusteella data-asetuksen mainitun artiklan 2 kohdassa ja 38 artiklan 3 kohdassa säädetyn toimivaltaisten viranomaisten yhteistyövelvoitteen toteuttamiseksi.

8 § Asianajosalaisuutta koskeva poikkeus tiedonsaanti- ja tarkastusoikeudesta

Poiketen siitä, mitä edellä tässä luvussa säädetään, Liikenne- ja viestintävirastolla ei ole 5 ja 7 §:ssä säädettyjä tutkintavaltuuksia käyttäessään oikeutta saada tai tarkastaa asiakirjoja, jotka sisältävät asiakkaan ja asianajajista annetussa laissa (496/1958) tarkoitetun asianajajan, ulkopuolisen luvan saaneista oikeudenkäyntiavustajista annetussa laissa (715/2011) tarkoitetun oikeudenkäyntiasiamiehen tai -avustajan taikka oikeusapulaissa (257/2002) tarkoitetun julkisen oikeusavustajan välistä luottamuksellista kirjeenvaihtoa.

Poikkeusta sovelletaan Liikenne- ja viestintäviraston 5 ja 7 §:n mukaisiin tutkintavaltuuksiin riippumatta siitä, käytetäänkö niitä Liikenne- ja viestintäviraston omien valvontatehtävien suorittamisessa vai toisen jäsenvaltion toimivaltaisen viranomaisen pyynnöstä.

9 § Virka-apu

Liikenne- ja viestintävirastolla on oikeus data-asetuksessa ja tässä laissa säädettyjen tehtäviensä suorittamiseksi saada pyynnöstä poliisilta virka-apua.

10 § Valvontapäätös

Jos Liikenne- ja viestintävirasto toteaa, että data-asetuksen tai datanhallinta-asetuksen velvollisuuksia tai kieltoja on rikottu, se voi antaa huomautuksen tai varoituksen ja velvoittaa sen, joka rikkoo data-asetusta tai datanhallinta-asetusta, lopettamaan rikkomisen, korjaamaan virheensä tai laiminlyöntinsä taikka kieltää data-asetuksen tai datanhallinta-asetuksen vastaisen toimenpiteen.

Viranomainen voi asettaa kohtuullisen määräajan, jonka kuluessa rikkomus tai laiminlyönti on lopetettava.

11 § Uhkasakko ja keskeyttämisuhka

Liikenne- ja viestintävirasto voi asettaa 10 §:n nojalla antamansa valvontapäätöksen tai muun tämän lain nojalla antamansa määräyksen tehosteeksi uhkasakon tai keskeyttämisuhan.

Uhkasakkoa ei saa asettaa 5 §:ssä tarkoitetun tiedonantovelvollisuuden tehosteeksi luonnolliselle henkilölle, jos henkilöä on aihetta epäillä rikoksesta ja tiedot liittyvät rikosepäilyn kohteena olevaan asiaan.

12 § Tehtävien tärkeysjärjestys ja asian tutkimatta jättäminen

Liikenne- ja viestintävirasto voi asettaa tässä laissa säädetyt valvontatehtävänsä tärkeysjärjestykseen.

Liikenne- ja viestintävirasto voi jättää asian tutkimatta, jos asialla on epäillystä virheestä tai laiminlyönnistä huolimatta data-asetuksen tai datanhallinta-asetuksen mukaisten velvoitteiden noudattamisen kannalta vain vähäinen merkitys. Liikenne- ja viestintäviraston on tehtävä päätös tutkimatta jättämisestä heti, kun se on mahdollista.

3 luku. Hallinnolliset seuraamusmaksut

13 § Valmistajalle, myyjälle, vuokraajalle, leasinginantajalle tai palveluntarjoajalle määrättävä seuraamusmaksu

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun valmistajalle tai palveluntarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö velvollisuutta suunnitella, valmistaa tai tarjota verkkoon liitetyt tuotteet ja niihin liittyvät palvelut data-asetuksen 3 artiklan 1 kohdan mukaisesti.

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun myyjälle, vuokraajalle tai leasinginantajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö velvollisuutta antaa ennen sopimuksen tekemistä data-asetuksen 3 artiklan 2 kohdassa tarkoitetut tiedot muille käyttäjille kuin kuluttajille.

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun tuotteeseen liittyvän palvelun tarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö velvollisuutta antaa ennen sopimuksen tekemistä data-asetuksen 3 artiklan 3 kohdassa tarkoitetut tiedot muille käyttäjille kuin kuluttajille.

14 § Datan haltijalle määrättävä seuraamusmaksu

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun datan haltijalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen:

1) 4 artiklan 1 kohdassa säädettyä velvollisuutta asettaa helposti saatavilla oleva data ja siihen liittyvä metadata käyttäjän saataville;

2) 4 artiklan 2, 7 tai 8 kohdassa taikka 5 artiklan 10 tai 11 kohdassa säädettyä velvollisuutta ilmoittaa datan jakamisesta pidättäytymisestä, datan jakamisen keskeyttämisestä tai datan jakamisesta kieltäytymisestä Liikenne- ja viestintävirastolle;

3) 4 artiklan 4 kohdassa säädettyä kieltoa kohtuuttomasti vaikeuttaa käyttäjän valintojen tai oikeuksien hyödyntämistä;

4) 4 artiklan 5 kohdassa säädettyä kieltoa pyytää käyttäjältä enempää tietoa kuin on tarpeen sen varmistamiseksi, onko henkilö katsottava käyttäjäksi, tai säilyttää enempää tietoa käyttäjän pääsystä pyydettyyn dataan kuin on tarpeen taikka 5 artiklan 4 kohdassa säädettyä kieltoa pyytää käyttäjältä tai kolmannelta osapuolelta enempää tietoa kuin on tarpeen sen varmistamiseksi, onko henkilö katsottava käyttäjäksi tai kolmanneksi osapuoleksi, tai säilyttää enempää tietoa kolmannen osapuolen pääsystä dataan kuin on tarpeen;

5) 4 artiklan 7 kohdassa tai 5 artiklan 10 kohdassa säädettyä velvollisuutta toimittaa käyttäjälle tai kolmannelle osapuolelle kirjallisesti perusteltu päätös datan jakamisesta pidättäytymisestä tai datan jakamisen keskeyttämisestä taikka 4 artiklan 8 kohdassa tai 5 artiklan 11 kohdassa säädettyä velvollisuutta toimittaa käyttäjälle tai kolmannelle osapuolelle kirjallisesti perustelut, joiden nojalla datan haltija on kieltäytynyt jakamasta dataa;

6) 4 artiklan 13 kohdassa säädettyä kieltoa käyttää helposti saatavilla olevaa muuta dataa kuin henkilötietoja ilman käyttäjän kanssa tehtyä sopimusta tai mainitun artiklan 14 kohdassa säädettyä kieltoa asettaa muuta dataa kuin henkilötietoja kolmansien osapuolten saataville ilman käyttäjän kanssa tehtyä sopimusta;

7) 5 artiklan 1 kohdassa säädettyä velvollisuutta pyynnöstä asettaa helposti saatavilla oleva data ja siihen liittyvä metadata kolmannen osapuolen saataville tai 8 artiklan 4 kohdassa säädettyä kieltoa asettaa dataa datan vastaanottajan saataville ilman käyttäjän pyyntöä taikka mainitun artiklan 1 kohdassa säädettyä velvollisuutta sopia datan vastaanottajan kanssa datan saataville asettamista koskevista järjestelyistä; tai

8) 18 artiklan 1 kohdassa säädettyä velvollisuutta asettaa data mainitussa kohdassa tarkoitettujen elinten pyynnöstä niiden saataville ilman aiheetonta viivytystä.

15 § Käyttäjälle määrättävä seuraamusmaksu

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun data-asetuksen käyttäjälle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen:

1) 4 artiklan 6 kohdassa säädettyä velvollisuutta noudattaa datan haltijan tai liikesalaisuuksien haltijan kanssa sovittuja suojatoimenpiteitä liikesalaisuuksien säilyttämiseksi;

2) 4 artiklan 10 kohdassa säädettyä kieltoa hyödyntää tai luovuttaa kolmannelle osapuolelle datanhaltijalta saamaansa dataa sellaisen verkkoon liitetyn tuotteen kehittämiseksi, joka kilpailee sen tuotteen kanssa, josta data on peräisin;

3) 4 artiklan 11 kohdassa säädettyä kieltoa käyttää pakottavia keinoja tai käyttää väärin datan suojaamiseen suunnitellun datan haltijan teknisen infrastruktuurin puutteita saadakseen pääsyn dataan; tai

4) 11 artiklan 1 kohdassa säädettyä kieltoa muuttaa tai poistaa teknisiä suojatoimenpiteitä ilman, että siitä on sovittu datan haltijan kanssa.

16 § Portinvartijayritykselle määrättävä seuraamusmaksu

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun kilpailullisista ja oikeudenmukaisista markkinoista digitaalialalla ja direktiivien (EU) 2019/1937 ja (EU) 2020/1828 muuttamisesta annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/1925 (digimarkkinasäädös), jäljempänä digimarkkina-asetus, 3 artiklassa tarkoitetulle portinvartijayritykselle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen 5 artiklan 3 kohdassa säädettyä kieltoa pyytää tai vastaanottaa dataa.

17 § Kolmannelle osapuolelle määrättävä seuraamusmaksu

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun kolmannelle osapuolelle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen:

1) 5 artiklan 5 kohdassa säädettyä kieltoa käyttää pakottavia keinoja tai käyttää väärin datan suojaamiseen suunnitellun datan haltijan teknisen infrastruktuurin puutteita saadakseen pääsyn dataan;

2) 6 artiklan 2 kohdan a alakohdassa säädettyä kieltoa kohtuuttomasti vaikeuttaa käyttäjän valintojen tai oikeuksien hyödyntämistä;

3) 6 artiklan 2 kohdan c alakohdassa säädettyä kieltoa asettaa vastaanottamansa data muun kolmannen osapuolen saataville ilman käyttäjän kanssa tehtyä sopimusta ja ilman, että muu kolmas osapuoli toteuttaa kaikki datan haltijan ja kolmannen osapuolen sopimat suojatoimenpiteet liikesalaisuuksien säilyttämiseksi;

4) 6 artiklan 2 kohdan d alakohdassa säädettyä kieltoa asettaa data digimarkkina-asetuksen 3 artiklassa tarkoitetun portinvartijayrityksen saataville;

5) 6 artiklan 2 kohdan e alakohdassa säädettyä kieltoa hyödyntää tai luovuttaa muulle kolmannelle osapuolelle datanhaltijalta saamaansa dataa sellaisen verkkoon liitetyn tuotteen kehittämiseksi, joka kilpailee sen tuotteen kanssa, josta data on peräisin;

6) 6 artiklan 2 kohdan g alakohdassa säädettyä velvollisuutta huomioida datan haltijan tai liikesalaisuuksien haltijan kanssa sovitut toimenpiteet liikesalaisuuksien säilyttämiseksi;

7) 6 artiklan 2 kohdan h alakohdassa säädettyä kieltoa estää käyttäjää, joka on kuluttaja, asettamasta vastaanottamaansa dataa muiden osapuolten saataville; tai

8) 11 artiklan 1 kohdassa säädettyä kieltoa muuttaa tai poistaa teknisiä suojatoimenpiteitä ilman, että siitä on sovittu datan haltijan kanssa.

18 § Datankäsittelypalvelun tarjoajalle määrättävä seuraamusmaksu

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun datankäsittelypalvelun tarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö data-asetuksen:

1) 25 artiklan 1 kohdassa säädettyä velvollisuutta tehdä kirjallinen sopimus asiakkaan kanssa ja asettaa se asiakkaan saataville ennen sopimuksen allekirjoittamista;

2) 26 artiklassa säädettyä velvollisuutta antaa asiakkaalle artiklan mukaiset tiedot;

3) 29 artiklan 1 kohdassa säädettyä kieltoa periä vaihtomaksuja; tai

4) 32 artiklan 1 kohdassa säädettyä velvollisuutta toteuttaa riittävät toimenpiteet estääkseen muun datan kuin henkilötietojen siirto kolmansiin maihin tai kolmansien maiden viranomaisten pääsy tällaiseen dataan.

19 § Datan välityspalvelujen tarjoajalle määrättävä seuraamusmaksu

Liikenne- ja viestintävirasto voi määrätä seuraamusmaksun datanhallinta-asetuksen 10 artiklassa tarkoitetun datan välityspalvelun tarjoajalle, joka tahallaan tai huolimattomuudesta rikkoo tai laiminlyö mainitun asetuksen:

1) 11 artiklassa säädettyä datan välityspalvelun tarjoajan ilmoitusvelvollisuutta;

2) 12 artiklassa säädettyjä datan välityspalvelun tarjoamisen edellytyksiä; tai

3) 31 artiklassa säädettyjä muiden tietojen kuin henkilötietojen siirtoa kolmansiin maihin koskevia edellytyksiä.

20 § Data-asetusta koskevan seuraamusmaksun suuruus