Dataförordningen och kommunsektorn

Enligt dataförordningen kan användare av uppkopplade produkter (IoT-enhet) och tillhörande tjänster utnyttja data som de genererar genom att använda uppkopplade produkter eller tillhörande tjänster. Med uppkopplade produkter avses enheter som genom sina komponenter eller operativsystem erhåller, genererar eller samlar in data om sin prestanda, användning eller miljö och som kan kommunicera dessa data via en elektronisk kommunikationstjänst, via fysisk åtkomst eller via åtkomst i enheten, vilket ofta benämns sakernas internet. Det väsentliga är insamling och lagring av data. Om en enhet endast lagrar och inte skapar data betraktas den inte som en IoT-enhet som avses i förordningen. Enheten behöver inte vara ansluten till internet, även om så ofta är fallet. 

Exempel på typiska IoT-enheter eller produktgrupper som innehåller IoT-enheter i kommunerna är bland annat maskiner, hissar, fordon, drönare samt el- och radioutrustning. I kommunerna kan IoT-lösningar användas till exempel för intelligenta trafiklösningar, styrning av maskiner, fastighetsautomatik, styrning av belysning på idrottsplatser och smartare kameraövervakning.

Med tillhörande tjänster avses en digital tjänst som kan kopplas till driften av en IoT-enhet och som påverkar funktionen hos denna enhet, till exempel genom att överföra data eller kommandon till den. För att en digital tjänst ska betraktas som en tillhörande tjänst måste data utbytas mellan IoT-enheten och tjänsteleverantören och tjänsten ska påverka IoT-enhetens funktioner, beteende eller drift. Det kan till exempel vara fråga om en applikation som reglerar belysning eller temperatur. Däremot ska till exempel stödjande rådgivning, analyser, finansiella tjänster eller reparation och underhåll som utförs regelbundet inte betraktas som tillhörande tjänster som avses i förordningen. 

I samband med ibruktagandet av nya uppkopplade produkter ska avtalen innefatta information om hur kommunen som användare får tillgång till data samt vilken information som datahållaren samlar in och hur data används.

Skyldigheterna enligt dataförordningen gäller i synnerhet datahållarna som till exempel ska utforma och tillverka IoT-enheter och tillhandahålla tillhörande tjänster på ett sådant sätt att data som genereras genom användning av dem som standard är enkelt, säkert och vid behov direkt tillgängliga för användaren och att de kan delas med tredje parter. Dessutom ska datahållarna tillhandahålla data i unionen på rättvisa, rimliga och icke-diskriminerande villkor och på ett öppet sätt. Mikroföretag och små företag i egenskap av datahållare omfattas inte av skyldigheterna att dela data, så att regleringen inte blir en alltför stor börda för dem.

Datahållare är vanligtvis till exempel aktörer inom den privata sektorn som tillverkar uppkopplade produkter eller som innehar data som offentliga organ vill ha åtkomst till. Begreppet datahållare omfattar i allmänhet inte offentliga organ, men kan omfatta offentliga företag till den del som de tillhandahåller enheter eller tjänster på marknaden. I vissa situationer kan datahållarens roll även utkontrakteras. Även då är en förutsättning dock att aktören i fråga har möjlighet att kontrollera åtkomsten till tillgängliga data. 

Med dataanvändare avses en fysisk eller juridisk person som äger eller hyr en uppkopplad produkt eller som erhåller tillhörande tjänster. I rollen som användare har kommunen rätt att få tillgång till data från IoT-enheter samt att dela data om den så önskar. Den nya regleringen medför ändringsbehov i kommunerna till exempel i fråga om avtal där man avtalar om åtkomst till data som genereras genom användning av uppkopplade produkter eller tillhörande tjänster. En kommun ska i egenskap av användare ha ett avtal med datahållaren (t.ex. ett försäljningsavtal, ett hyresavtal, tillhörande serviceavtal) i vilket skyldigheter och rättigheter som gäller tillgången till, användningen och delningen av data som genereras genom användningen av en uppkopplad produkt eller tillhörande tjänst.

Begäran om åtkomst till data kan till exempel genomföras på ett användarkonto. Utöver framställande och behandling av begäran om åtkomst till data kan kontot också användas för till exempel kommunikation eller identifiering av användare för att säkerställa att användaren har rätt att få åtkomst till data. Kontolösningarna bör göra det möjligt för användarna att radera sina konton och radera tillhörande data och kan göra det möjligt för användarna att avsluta åtkomsten till eller användningen eller delningen av data, eller att lämna in begäranden om detta, särskilt med beaktande av situationer där äganderätten till eller användningen av IoT-enheten förändras. I de fall då ett automatiserat beviljande av begäran om dataåtkomst inte är möjligt, exempelvis via ett användarkonto eller en mobilapplikation som tillhandahålls tillsammans med IoT-produkten eller den tillhörande tjänsten, bör datahållaren underrätta användaren om hur åtkomst kan fås till data.

Med datamottagare avses en fysisk eller juridisk person som agerar för syften kopplade till personens näringsverksamhet, affärsverksamhet, hantverk eller yrke och som är en annan än användaren av en uppkopplad produkt eller tillhörande tjänst, för vilken datahållaren gör data tillgängliga, inbegripet en tredje part. En tredje part som ges tillgång till data kan vara en fysisk eller juridisk person, till exempel en konsument, ett företag, en forskningsorganisation, en organisation utan vinstsyfte eller en enhet som agerar i egenskap av näringsidkare. 

En datamottagare får endast behandla data för ändamål som överenskommits med användaren och dela data med en annan tredje part endast om delning av sådana data har överenskommits med användaren. 

IoT-enhetens data kan också innehålla personuppgifter från fall till fall. Om en enhet samlar in data om till exempel mark oberoende av användaren, samlas inte personuppgifter in på enheten. Om inloggningsdata, uppgifter om körrutter, körsätt eller vilka tider enheten används samlas in på enheten, kan det vara fråga om personuppgifter. Till exempel kan en person som kör stadens gräsklippare identifieras utifrån gräsklipparens lokaliseringsdata och arbetstagarens arbetsskiftslista. Då är det fråga om personuppgifter för arbetsgivaren som förfogar över både arbetsskiftsdata och har tillgång till de data som gräsklipparen samlar in. Data från gräsklippare tolkas inte nödvändigtvis som personuppgifter som delas till en sådan tredje part som inte kan kombinera data från gräsklipparen med data från arbetsskift eller andra uppgifter som underlättar identifiering.

När det gäller personuppgifter är det bra att bekanta sig med avsnittet ”Vad är skillnaden mellan pseudonymisering och anonymisering?” nedan.

Dataförordningen gör det möjligt för offentliga organ, såsom kommuner, att för vissa exceptionella behov få åtkomst till data som innehas av privata aktörer för att utföra en viss lagstadgad uppgift av allmänt intresse. Syftet med regleringen är att offentliga organ ska kunna fatta bättre beslut och vara effektivare i olika exceptionella situationer. Ett exceptionellt behov kan uppstå till exempel för att reagera på ett allmänt nödläge, såsom översvämning, terrängbränder, allvarligt hot mot cybersäkerheten eller en pandemi, eller för att producera officiell statistik om data inte finns tillgängliga på annat sätt. Dock är till exempel företag där kommunen har bestämmande inflytande inte offentliga organ som avses i regleringen. I praktiken är det närmast fråga om reglering som kompletterar den nationella rätten om tillgång till information. Till exempel i samband med covid-19-pandemin delades data på detta sätt åtminstone i viss mån.

I samband med en begäran om data för ett exceptionellt behov ska kommunen i enlighet med dataförordningen precisera bland annat användningsändamålet och användningstiden för data samt visa att de övriga föreskrivna förutsättningarna för begäran uppfylls. Kommissionen utarbetar modeller för begäran om data för exceptionella behov. Om data erhållits genom en sådan begäran ska de raderas efter användning då behovet som angetts i begäran upphör. Data som erhållits genom en sådan begäran ska inte betraktas som öppna data. Under covid-19-pandemin användes, för det allmännas intresse, telefonoperatörernas data om hur människor rörde sig. Dataförordningen utgör en laglig grund för delning av sådana data. EU-institutionerna har också rätt att lämna in begäranden i fråga om exceptionella behov. 

Rätten enligt dataförordningen att begära data på grundval av exceptionellt behov är avsedd att vara den sista tillgängliga metoden och kommer därför rätt sällan att vara aktuell. Dataförordningen kan i detta sammanhang betraktas som en kompletterande reglering som inte åsidosätter den nationella regleringen. 

Data som erhållits med stöd av begäran om data för exceptionellt behov ska separat antecknas som erhållna med stöd av kapitel V i dataförordningen så att skyldigheterna i förordningen kan beaktas då data behandlas i kommunens verksamhet eller när data begärs med stöd av offentlighetslagen. 

Datakompetens 

Med datakompetens avses färdigheter, kunskap och förståelse som gör det möjligt för konsumenter och enheter att dels bli medvetna om det potentiella värdet av de data de genererar, producerar och delar, dels bli motiverade att erbjuda och ge åtkomst till sina data i enlighet med relevanta rättsliga regler. Målet är att öka medborgarnas och enheternas förmåga att dra nytta av datamarknaden. Främjandet av datakompetensen kräver samarbete med myndigheterna inom Undervisnings- och kulturministeriets förvaltningsområde, vars uppgift är att på ett mer övergripande sätt främja digitala kompetenser och som en del av dessa även datakompetens. Utveckling av en kompetens som datakompetens kräver tid och beaktande i exempelvis skolor.

Databehandlingstjänster

Förordningen förväntas också göra det smidigare att byta databehandlingstjänster och att använda tjänster parallellt. Efter 12.9.2027 ska byte och överföring av databehandlingstjänster vara helt avgiftsfritt. Fram till dess kan en nedsatt avgift tas ut för att täcka leverantörens kostnader för bytet.

Det allmänna begreppet ’databehandlingstjänster’ omfattar ett stort antal tjänster som omfattar ett mycket brett urval av olika syften, funktioner och tekniska arrangemang. Till exempel molntjänster är databehandlingstjänster som avses i förordningen. Förordningen förväntas också göra det lättare att konkurrensutsätta och byta molntjänster. Genom att undanröja hindren för ett smidigt byte av molntjänster och genom interoperabilitet strävar man efter att främja ibruktagandet av molntjänster och användningen av flera tjänster parallellt. 

Smarta kontrakt

Smarta kontrakt är ett allt viktigare verktyg för delning av data i framtiden, och trenden går mot en allt mer automatiserad delning av data. Dataförordningen ställer krav på smarta kontrakt som gäller datadelning.

Internationell överföring av data

Enligt dataförordningen är leverantörer av databehandlingstjänster skyldiga att vidta tillräckliga skyddsåtgärder för att förhindra överföring av andra än personuppgifter eller myndigheters åtkomst, om överföringen eller åtkomsten strider mot EU:s eller medlemsstaternas nationella lagstiftning.

Frivilliga arrangemang mellan privata och offentliga aktörer

Dataförordningen tillämpas inte på frivilliga arrangemang för byte eller delning av data, såsom dataaltruistiska mekanismer i dataförvaltningsakten, mellan privata organ och offentliga samfund.

Dataområden

En kommun som deltar i dataområden ska iaktta dataförordningens krav på gemensam praxis som stöder interoperabiliteten.

Begreppen pseudonymisering och anonym information definieras i den allmänna dataskyddsförordningen, pseudonymisering i artikeltexten och anonym information i motiveringen i ingressen till förordningen.

Med pseudonymisering avses behandling av personuppgifter på ett sätt där personuppgifterna inte längre kan kopplas till en viss person utan kompletterande uppgifter. Sådana kompletterande uppgifter ska förvaras omsorgsfullt åtskilda från personuppgifter. Pseudonymisering kan göras till exempel genom kodning eller med täcknamn. Pseudonymiserade uppgifter är fortfarande personuppgifter för den aktör som utfört pseudonymiseringen, och därför ska dataskyddsbestämmelserna tillämpas vid behandling av dessa. För den mottagande aktören är pseudonymiserade data inte nödvändigtvis längre personuppgifter, om aktören inte till exempel har tillgång till ytterligare uppgifter som kan kopplas till och identifiera personen. Enligt skäl 26 i den allmänna dataskyddsförordningen bör man för att avgöra om en person är identifierbar beakta alla hjälpmedel som rimligen kan komma att användas för att identifiera personen. Pseudonymiserade uppgifter är inte nödvändigtvis personuppgifter i alla situationer om uppgifterna är skyddade så att de inte kan kopplas till en viss person. Huruvida pseudonymiserade uppgifter fortfarande betraktas som personuppgifter kräver bedömning från fall till fall.

Uppgifterna är anonyma om de inte kan kopplas till en identifierad eller identifierbar fysisk person. Det är fråga om anonymiserade uppgifter när personuppgifterna har behandlats på ett sådant sätt att det inte är möjligt att identifiera personen. Identifiering måste förhindras oåterkalleligt. Vid bedömningen av möjligheten att identifiera uppgifter ska man beakta alla rimligen genomförbara metoder med vilka uppgifterna skulle kunna återställas som identifierbara. Det ska bedömas från fall till fall om en uppgift kan anses vara anonym eller inte. En person kan identifieras också med hjälp av andra uppgifter än t.ex. namnet. Att enbart avlägsna namn och andra identifieringsuppgifter innebär alltså till exempel inte att uppgifterna är anonyma. Uppgifter som är anonymiserade betraktas inte längre som personuppgifter och omfattas inte av dataskyddsförordningen.

Exempel på pseudonymisering och anonymisering av uppgifter från passerkort: Kommunen har uppgifter från simhallsarmbanden.

Data kan pseudonymiseras så att enskilda användares namn och kontaktuppgifter raderas från data eller så ändras namnen till koder. Uppgifterna kan fortfarande specificeras i kommunen på individnivå och en kombination av uppgifter, såsom kön, rabattkategori och datum för aktivering av armband, kan ändå räcka för att identifiera en enskild person. Det är alltså fortfarande fråga om personuppgifter. Om kommunen lämnar ut pseudonymiserade uppgifter till en annan organisation ska man bedöma om mottagaren av uppgifterna kan koppla uppgifterna till identifierbara personer. Om identifiering inte är möjlig betraktas pseudonymiserade uppgifter inte som personuppgifter ur mottagarens synvinkel.

Anonymisering av data kan till exempel genomföras genom att göra data mer allmänna eller omvandla dem till statistiskt format, vilket gör det omöjligt att specificera enskilda individer. Av anonymiserade data kan man t.ex. ta reda på att armband med pensionärsrabatt används mest på tisdags- och torsdagsmorgnar, och att män oftare än kvinnor besöker simhallen kvällstid. Det är dock inte möjligt att ta reda på besöksuppgifterna för en enskild armbandsanvändare, så data anses inte längre innehålla personuppgifter.
 

Vid tillämpningen av EU:s digitaliserings- och datalagstiftning är det viktigt att identifiera om det är fråga om personuppgifter eller inte. När till exempel data görs tillgängliga och de data som öppnas har innehållit personuppgifter, men har anonymiserats, iakttas direktivet om öppna data. Om uppgifterna innehåller personuppgifter som pseudonymiseras, tillämpas däremot dataförvaltningsakten. Även vid tillämpningen av dataförordningen är det viktigt att utreda om data som genereras genom användning av uppkopplade produkter och tillhörande tjänster innehåller personuppgifter. 

Mer information om anonymisering och pseudonymisering 

• På webbplatsen för dataombudsmannens byråPseudomymiserade och anonymiserade personuppgifter
• Nyhet från dataombudsmannens byrå (9.9.2025):EU-domstolen förtydligade reglerna för behandling av pseudonymiserade uppgifter
• WP29-dataskyddsarbetsgruppens utlåtande om begreppet personuppgifter
• WP29-dataskyddsarbetsgruppens utlåtande om anonymiseringsteknik
• Europeiska dataskyddsstyrelsens utkast till anvisningar om pseudonymisering (ännu inte slutligen godkänt):  Guidelines 01/2025 on Pseudonymisation | European Data Protection Board

Dataförordningen kompletterar dataförvaltningsakten, som ökar förtroendet för frivilliga mekanismer för datadelning. I dataförordningen fastställs å sin sida vem som har rätt att få åtkomst till, använda och dela data som genereras från enheter/tjänster och under vilka förutsättningar. Avsikten är att dataförordningen och dataförvaltningsakten tillsammans ska underlätta en tillförlitlig och säker tillgång till data och främja användningen av data inom viktiga ekonomiska sektorer och sektorer av allmänt intresse. 

Öppna data regleras inte i dataförordningen utan i direktivet om öppna data.

Datainnovationsstyrelsen som definieras i dataförvaltningsakten är en rådgivande aktör även i fråga om dataförordningen.

Kommissionen kan utarbeta specifikationer för interoperabiliteten och begära att de europeiska standardiseringsorganisationerna utarbetar standarder som uppfyller kraven i dataförordningen. Dessutom utvecklar kommissionen icke-bindande standardavtalsvillkor för delning av data som frivilligt kan användas.

Kommunikationsministeriet är den myndighet som ansvarar för det nationella genomförandet. I utkastet till regeringens proposition föreslås att Transport- och kommunikationsverket Traficom ska vara datasamordnare enligt förordningen i Finland. Datasamordnarens uppgift är att underlätta samarbetet mellan de behöriga myndigheterna och vara en central kontaktpunkt i alla frågor som gäller tillämpningen och genomförandet av förordningen. 

Som datasamordnare ska Traficom göra begäranden om exceptionellt behov tillgängliga för den offentliga sektorn och främja frivilliga avtal om delning av data mellan offentliga organ och datahållare. Mandattiden för den arbetsgrupp som stöder genomförandet av EU:s tvärsektoriella dataförordning och som Traficom ansvarar för har förlängts.

I fråga om konsumentavtal föreslås det i det nationella genomförandeförslaget (Utlåtande - Utlåtandetjänsten) att Konkurrens- och konsumentverket ska ansvara för att öka datakompetensen och förståelsen, konsumentombudsmannen ska ansvara för att informera konsumenterna i avtalsfrågor och dataombudsmannen ska ansvara för behandlingen av personuppgifter som omfattas av dataförordningen. 

Också dataombudsmannen, som övervakar att behandlingen av personuppgifter är lagenlig, kommer att ha en betydande roll i tillsynen över personuppgiftsbehandlingen som hänför sig till dataförordningen.