EU:s digitaliserings- och datalagstiftning ur kommunsektorns perspektiv

Dataförvaltningsakten och kommunsektorn

Dataförvaltningsakten (Data Governance Act, DGA) trädde i kraft 23.6.2022 och har tillämpats från och med 24.9.2023. Dataförvaltningsakten är en central åtgärd för att skapa en gemensam förvaltningsmodell för tillgången till och användningen av data i EU. I förordningen föreskrivs det om förfaranden för delning och användning av data, men den förpliktar inte att göra data tillgängliga för vidareutnyttjande. 

Kapitel II i förordningen tillämpas på vissa kategorier av skyddade data som innehas av offentliga myndigheter och som inte omfattas av tillämpningsområdet för direktivet om öppna data, då sådana data görs tillgängliga för vidareutnyttjande i unionen. Med detta avses data som skyddas på grundval av insynsskydd för kommersiella uppgifter, insynsskydd för statistiska uppgifter, skydd av tredje parts immateriella rättigheter eller skydd av personuppgifter (med undantag av personuppgifter som omfattas av tillämpningsområdet för direktivet om öppna data). 

Syftet är att utnyttja potentialen hos skyddade data som innehas av offentliga myndigheter genom att fastställa hur skyddade data kan utnyttjas utan att kränka till exempel dataskyddet eller affärshemligheter. 

Kapitel II i dataförvaltningsakten tillämpas på nästan alla offentliga myndigheter, med undantag för offentliga företag. I dataförvaltningsakten föreskrivs det dessutom om kraven för tillhandahållandet av dataförmedlingstjänster och ramarna för anmälan av och tillsynen över dessa (kapitel III) samt om frivillig datadelning kostnadsfritt för ändamål av allmänt intresse (s.k. dataaltruism, kapitel IV).  

Öppna alla

Hur påverkas kommunerna av bestämmelsen om vidareutnyttjande av skyddade data enligt dataförvaltningsakten?

 Dataförvaltningsakten grundar sig på tanken att myndigheterna inte annars skulle lämna ut data som omfattas av deras tillämpningsområde om det inte särskilt föreskrivs att data ska göras tillgängliga. I Finland är dock offentlighetsprincipen en av de grundläggande principerna för den offentliga förvaltningen. Till exempel är en del av de personuppgifter som en myndighet innehar offentliga och sekretessen för affärshemligheter kan bero på huruvida klausulen för skaderekvisit uppfylls. Dessutom innefattar handlingars offentlighet i regel även rätten att använda data i handlingen om inte något annat följer av någon annan lag (såsom bestämmelser om skydd av personuppgifter eller upphovsrätt). Därför medförde bestämmelserna om vidareutnyttjande av skyddade data i dataförvaltningsakten inte så stora förändringar i Finland som i övriga Europa.

Dataförvaltningsakten förpliktar inte kommunerna att tillhandahålla data. Rätten eller skyldigheten att göra data tillgängliga kan komma från exempelvis annan EU-lagstiftning eller nationell lagstiftning. När en kommun beslutar att göra data tillgängliga eller är skyldig att göra det med stöd av annan lagstiftning, måste kommunen identifiera om den tillhandahållit data för vidareutnyttjande som hör till de kategorier av skyddade data som avses i dataförvaltningsakten. Dataförvaltningsakten är tillämplig då data som omfattas av dess tillämpningsområde har gjorts tillgängliga. När vidareutnyttjande av dessa data begärs ska begäran behandlas och vidareutnyttjandet genomföras i enlighet med dataförvaltningsakten. Dataförvaltningsakten begränsar dock inte att samma data fortfarande kan begäras och lämnas ut med stöd av offentlighetslagen. Då tillämpas fortfarande förfarandena enligt offentlighetslagen.

I situationer som omfattas av dataförvaltningsaktens tillämpningsområde ska kommunen: 

  1. Upprätta användningsvillkor
  2. Beakta nödvändigt skydd för data (t.ex. anonymisering)
  3. Dela information om metadata via en gemensam informationspunkt (suojattudata.fi)
    • vilka data som finns tillgängliga
    • på vilka villkor data är tillgängliga (t.ex. begränsat användningsområde, prissättning etc.)
    • hur användningstillstånd begärs

Kommunen kan också

  1. Ta ut en skälig kostnadsersättning. Dataförvaltningsakten fastställer ramarna för de avgifter som kommunerna tar ut och begränsar den prövningsrätt i fråga om fastställande av kommunernas avgifter som grundar sig på kommunallagen.
  2. I och med förordningen begära data åt sig själv för vidareutnyttjande direkt från en datainnehavare eller en dataaltruismorganisation

  3. (då ska kommunen i vidareutnyttjandet iaktta kraven i EU-lagstiftningen och den nationella lagstiftningen samt villkoren som ställts för vidareutnyttjande.

Om data är skyddade på grundval av insynsskydd för kommersiella uppgifter, insynsskydd för statistiska uppgifter, skydd av tredje parts immateriella rättigheter eller skydd av personuppgifter (med undantag av personuppgifter som omfattas av tillämpningsområdet för direktivet om öppna data) tillämpas dataförvaltningsakten. Då skyddade data görs tillgängliga för vidareutnyttjande i kommunen är kommunen fortfarande skyldig att beakta exempelvis affärshemligheter som ingår i data, immateriella rättigheter som hänför sig till materialet samt skyddet av personuppgifter. Den nya regleringen befriar alltså inte kommunerna från dessa skyldigheter. 

Tillhandahållande av data kan grunda sig på specialbestämmelser. Tillhandahållande av data som omfattas av dataförvaltningsakten förutsätter dock inte alltid specialbestämmelser. En sådan situation kan bli aktuell exempelvis om kommunen på basis av ett avtalsarrangemang beviljar nyttjanderätt till material som skyddas av en tredje parts immateriella rättigheter. Kommunen förutsätts tillämpa upphovsrättslagen direkt och på basis av en riskbedömning vidta lämpliga åtgärder i sina datasystem. Även dataförvaltningsakten förpliktar till detta. 

I dataförvaltningsakten avser vidareutnyttjande av data användning av data som innehas av offentliga myndigheter för andra kommersiella eller icke-kommersiella ändamål än det ursprungliga ändamål inom den offentliga verksamheten för vilket de framställdes. Utbyte av data mellan offentliga myndigheter för fullgörande av offentliga uppdrag omfattas dock inte av tillämpningsområdet för förordningen. Ur kommunernas synvinkel lämnar förordningen rum för tolkning till exempel i fråga om hur bestämmelserna om vidareutnyttjande av skyddade data ska tillämpas på utbyte av data mellan kommuner och mellan företag som ägs av kommunerna. Om utbytet av data innefattar fullgörande av kommunens lagstadgade uppgifter räknas det nödvändigtvis inte som sådant utbyte av data som omfattas av dataförvaltningsakten, utan ett sådant utbyte av data faller eventuellt utanför förordningens tillämpningsområde. 

Exklusiva avtal är förbjudna enligt förordningen, dvs. kommunen kan inte besluta om exklusiv delning av skyddade data till exempel för ett företags kommersiella ändamål mot betalning. Exklusiva avtal som ingåtts före 23.6.2022 ska sägas upp senast 24.12.2024. Förbudet mot exklusiva avtal omfattar sådana avtal och annan praxis som begränsar tillgången till data för vidareutnyttjande för andra och ger andra parter ett kommersiellt övertag. I till exempel samutvecklingsprojekt, dvs. i situationer där kommunen delar data till exempelvis ett visst forskningsinstitut eller företag för genomförandet av projektet, är det i regel inte fråga om sådana förbjudna exklusiva avtal som avses i förordningen.  

Om kommunen har skyddade data som den vill göra tillgängliga för vidareutnyttjande, ska kommunen fastställa villkoren och åtkomstförfarandet via den gemensamma informationspunkten som förvaltas av Myndigheten för digitalisering och befolkningsdata (MDB). Villkoren ska vara icke-diskriminerande, öppna, proportionella och objektivt motiverade. Den skyddade karaktären hos data ska bevaras till exempel genom anonymisering eller en säker behandlingsmiljö. Om kommunen får en begäran om vidareutnyttjande av data ska kommunen enligt dataförvaltningsakten svara på begäran inom två månader. Om kommunen inte kan ge tillstånd för vidareutnyttjande (kräver till exempel samtycke), ska kommunen bistå den som ber om vidareutnyttjande med att inhämta samtycke. 

”Då vidareutnyttjande av data inte kan tillåtas genom anonymisering, radering av kommersiellt känslig information, affärshemligheter eller innehåll som är skyddat av immateriella rättigheter, är vidareutnyttjande möjligt på grundval av samtycke. Den offentliga myndigheten ska i den utsträckning det är tillåtet i enlighet med unionsrätten och nationell rätt, göra sitt yttersta för att bistå vidareutnyttjare som begär de registrerades samtycke eller tillstånd från datainnehavare vars rättigheter och intressen kan påverkas av vidareutnyttjandet. Skyldigheten att bistå gäller dock endast då det är möjligt utan en oproportionell börda för den offentliga myndigheten. Ingen kontaktinformation bör lämnas som gör det möjligt för vidareutnyttjare att kontakta registrerade eller datainnehavare direkt. Om den offentliga myndigheten översänder en begäran om samtycke eller tillstånd bör den säkerställa att den registrerade eller datainnehavaren tydligt informeras om möjligheten att vägra samtycke eller tillstånd.” 

(Källa: Utredning av Kommunikationsministeriets arbetsgrupp, 2023.Dataförvaltningsakten: utredningen om det nationella genomförandet. s. 45.) (på finska)

Prissättningen för datadelningen kan inte göras på kommersiella grunder, men det är möjligt att ta ut en skälig avgift för vidareutnyttjande av data för att täcka kostnader för exempelvis anonymisering eller samtyckeshantering. Vid prissättningen bör man beakta att priset inte kan överstiga självkostnadspriset.

Dataaltruismorganisationer och dataförmedlingstjänster

I dataförvaltningsakten föreskrivs det också om dataaltruismorganisationer och dataförmedlingstjänster. Målet är att öka förtroendet för delning och användning av data.

Med dataaltruism avses att data från personer eller organisationer frivilligt och kostnadsfritt görs tillgängliga för användning i allmänhetens intresse, till exempel för att förbättra den offentliga sektorns tjänster, för att fatta offentliga beslut, för att bekämpa klimatförändringar, förbättra rörligheten, för hälso- och sjukvård, för att utveckla officiell statistik eller för vetenskapliga forskningsändamål av allmänt intresse. 

Traficom upprätthåller ett register om identifierade dataaltruismorganisationer som tillgängliggör data av allmänt intresse. Registret är offentligt när den första dataaltruismorganisationen i Finland registreras. 

EU för ett register över medlemsländernas registrerade dataaltruismorganisationer. I exempelvis Spanien har sådan information om användningen av el, som kommuninvånarna frivilligt lämnat, använts bland annat för att styra användningen av el så att den blir mer ekonomisk och ansvarsfull.

Dataförmedlingstjänsterna är neutrala tredje parter som möjliggör överenskommen dataöverföring mellan olika aktörer och applikationer. Syftet med dataförmedlingstjänsterna är att upprätta affärsförbindelser för datadelning. Det kan till exempel vara fråga om datamarknader, organisatörer av ekosystem för datadelning eller tjänster riktade till registrerade som syftar till att öka individens möjligheter att kontrollera sina egna personuppgifter. Man anmäler sig som leverantör av dataförmedlingstjänster till Traficom, som förmedlar uppgifter om de registrerade till Europeiska kommissionen. Kommissionen håller ett register över dataförmedlingstjänster i medlemsländerna. 

Skillnaden mellan dataaltruismorganisationer och dataförmedlingstjänster är bland annat att ta ut avgifter. Dataaltruismorganisationer lämnar ut data kostnadsfritt.

Vad är skillnaden mellan pseudonymisering och anonymisering?

Begreppen pseudonymisering och anonym information definieras i den allmänna dataskyddsförordningen, pseudonymisering i artikeltexten och anonym information i motiveringen i ingressen till förordningen.

Med pseudonymisering avses behandling av personuppgifter på ett sätt där personuppgifterna inte längre kan kopplas till en viss person utan kompletterande uppgifter. Sådana kompletterande uppgifter ska förvaras omsorgsfullt åtskilda från personuppgifter. Pseudonymisering kan göras till exempel genom kodning eller med täcknamn. Pseudonymiserade uppgifter är fortfarande personuppgifter för den aktör som utfört pseudonymiseringen, och därför ska dataskyddsbestämmelserna tillämpas vid behandling av dessa. För den mottagande aktören är pseudonymiserade data inte nödvändigtvis längre personuppgifter, om aktören inte till exempel har tillgång till ytterligare uppgifter som kan kopplas till och identifiera personen. Enligt skäl 26 i den allmänna dataskyddsförordningen bör man för att avgöra om en person är identifierbar beakta alla hjälpmedel som rimligen kan komma att användas för att identifiera personen. Pseudonymiserade uppgifter är inte nödvändigtvis personuppgifter i alla situationer om uppgifterna är skyddade så att de inte kan kopplas till en viss person. Huruvida pseudonymiserade uppgifter fortfarande betraktas som personuppgifter kräver bedömning från fall till fall.

Uppgifterna är anonyma om de inte kan kopplas till en identifierad eller identifierbar fysisk person. Det är fråga om anonymiserade uppgifter när personuppgifterna har behandlats på ett sådant sätt att det inte är möjligt att identifiera personen. Identifiering måste förhindras oåterkalleligt. Vid bedömningen av möjligheten att identifiera uppgifter ska man beakta alla rimligen genomförbara metoder med vilka uppgifterna skulle kunna återställas som identifierbara. Det ska bedömas från fall till fall om en uppgift kan anses vara anonym eller inte. En person kan identifieras också med hjälp av andra uppgifter än t.ex. namnet. Att enbart avlägsna namn och andra identifieringsuppgifter innebär alltså till exempel inte att uppgifterna är anonyma. Uppgifter som är anonymiserade betraktas inte längre som personuppgifter och omfattas inte av dataskyddsförordningen.
 

Exempel på pseudonymisering och anonymisering av uppgifter från passerkort: Kommunen har uppgifter från simhallsarmbanden.

Data kan pseudonymiseras så att enskilda användares namn och kontaktuppgifter raderas från data eller så ändras namnen till koder. Uppgifterna kan fortfarande specificeras i kommunen på individnivå och en kombination av uppgifter, såsom kön, rabattkategori och datum för aktivering av armband, kan ändå räcka för att identifiera en enskild person. Det är alltså fortfarande fråga om personuppgifter. Om kommunen lämnar ut pseudonymiserade uppgifter till en annan organisation ska man bedöma om mottagaren av uppgifterna kan koppla uppgifterna till identifierbara personer. Om identifiering inte är möjlig betraktas pseudonymiserade uppgifter inte som personuppgifter ur mottagarens synvinkel.

Anonymisering av data kan till exempel genomföras genom att göra data mer allmänna eller omvandla dem till statistiskt format, vilket gör det omöjligt att specificera enskilda individer. Av anonymiserade data kan man t.ex. ta reda på att armband med pensionärsrabatt används mest på tisdags- och torsdagsmorgnar, och att män oftare än kvinnor besöker simhallen kvällstid. Det är dock inte möjligt att ta reda på besöksuppgifterna för en enskild armbandsanvändare, så data anses inte längre innehålla personuppgifter.

Vid tillämpningen av EU:s digitaliserings- och datalagstiftning är det viktigt att identifiera om det är fråga om personuppgifter eller inte. När till exempel data görs tillgängliga och de data som öppnas har innehållit personuppgifter, men har anonymiserats, iakttas direktivet om öppna data. Om uppgifterna innehåller personuppgifter som pseudonymiseras, tillämpas däremot dataförvaltningsakten. Även vid tillämpningen av dataförordningen är det viktigt att utreda om data som genereras genom användning av uppkopplade produkter och tillhörande tjänster innehåller personuppgifter. 

Mer information om anonymisering och pseudonymisering 

Datainnovationsstyrelsen

Datainnovationsstyrelsen som inrättats av Europeiska kommissionen ger råd och bistår kommissionen i frågor som gäller dataförvaltningsakten och underlättar medlemsländernas samarbete i fråga om förordningen. Enligt förordningen ska Traficom och Myndigheten för digitalisering och befolkningsdata i egenskap av behöriga myndigheter vara medlemmar i datainnovationsstyrelsen. På Traficoms webbplats dataekonomi och digitala tjänster finns närmare upplysningar om Traficoms arbete.

Nationella myndigheter och andra aktörer

Kommunikationsministeriet är den myndighet som ansvarar för det nationella genomförandet. 

Transport- och kommunikationsverket Traficom ansvarar för tillsynen över och registreringen av leverantörer av dataförmedlingstjänster och dataaltruismorganisationer.

Statistikcentralen är en nationell allmän stödpunkt för vidareutnyttjande av skyddade data (webbplatsen på finska) vars uppgifter innefattar styrning och tekniskt stöd till offentliga förvaltningsmyndigheter. Statistikcentralen ger allmänt stöd till kommunerna då de behöver hjälp med vidareutnyttjandet av skyddade data. Statistikcentralen är vid sidan av Findata en annan sektorspecifik informationspunkt och de ger tillgång till vissa statistiska material. 

Myndigheten för digitalisering och befolkningsdata ansvarar för den nationella gemensamma informationspunkten (suojattudata.fi) som avses i artikel 8.1. Findata - Tillståndsmyndigheten för social- och hälsovårdsdata är ett exempel på en nationell sektorspecifik informationspunkt som anmälts till kommissionen och som sammanställer och förbehandlar social- och hälsovårdsuppgifter för vidareutnyttjande. Findata erbjuder med stöd av speciallagstiftningen tjänster såsom en tryggad behandlingsmiljö och hantering av samtycke.

Europeiska kommissionen förvaltar det elektroniska registret över tillgängliga data vid de nationella gemensamma informationspunkterna, dvs. en gemensam informationspunkt för hela unionen. Webbplatsen är åtminstone tillsvidare densamma som informationspunkten för öppna data, data.europa.eu. Via sökfunktionen är det möjligt att välja tillgängliga skyddade dataset (European Register for Protected Data, dvs. genom att välja ERPD Data Only. Detta val öppnas direkt via länken ovan). Anvisningar om hur data begärs via de nationella gemensamma informationspunkterna finns under dessa dataset (artikel 8.4).

Förhållande till annan lagstiftning

Kapitel III och IV i dataförvaltningsakten delar en del av sina mål med till exempel datalagstiftningen, eftersom båda syftar till att öka datarörligheten mellan aktörerna. Skillnaden är att det i dataförvaltningsakten endast föreskrivs om förfarandet, inte om rätten att få data eller skyldigheten att lämna ut data. 

Dataförvaltningsakten ersätter inte någon befintlig rättsakt utan den tillämpas utöver dessa. Till exempel de offentliga myndigheter som avses i kapitel II kvarstår fortfarande bland annat som personuppgiftsansvariga enligt den allmänna dataskyddsförordningen och som myndigheter enligt de nationella allmänna förvaltningslagarna, inklusive skyldigheter. Alla personuppgifter som behandlas i samband med dataförvaltningsakten ska omfattas av unionens lagstiftning och den nationella lagstiftningen om skydd av personuppgifter. Enligt skäl 4 i förordningen gäller detta även då personuppgifter och andra data än personuppgifter i en datamängd är oupplösligt sammanlänkade.

Det är viktigt att förstå förhållandet mellan dataförvaltningsakten och direktivet om öppna data, eftersom dataförvaltningsakten endast tillämpas på sådana data som inte omfattas av direktivet om öppna data. Dessa två författningar kan alltså ses som varandras motsvarigheter. Medan direktivet om öppna data gäller öppna data (dvs. icke-skyddade data), gäller dataförvaltningsakten de kategorier av skyddade data som avses i förordningen. Vid jämförelsen ska det också beaktas att begreppet data som används i dataförvaltningsakten i stor utsträckning kan anses motsvara begreppet handling i direktivet om öppna data. I dataförvaltningsakten kan begreppet data tolkas som all information i digital form. I direktivet om öppna data används begreppet handling lika brett och parallellt. 

Förhållandet till offentlighetslagen ska också beaktas. Om begäran om information framställs med stöd av offentlighetslagen tillämpas offentlighetslagen.

Användbara länkar

Kommunförbundets sakkunniga som kan ge mer information

Jaana Nevalainen

Jaana Jormanainen

Projektchef/specialsakkunnig
Strategienheten, Digitalisering och informationssamhället
+358 9 771 2257, +358 50 448 5062
[email protected]
Ansvarsområden
  • Sakkunnig-, intressebevaknings- och utvecklingsuppgifter i synnerhet för att möjliggöra interoperabilitet och utnyttjande av information i kommunerna.
  • Den offentliga förvaltningens informationsflöden, informationslager och utnyttjande av information.
  • EU-intressebevakning och samarbete inom digitaliserings- och datafrågor.
  • Projektet EU:s digitaliserings- och datalagstiftning ur kommunsektorns perspektiv och temanätverket.
Niina Erkkilä

Niina Erkkilä

projektkoordinator
Strategienheten, Digitalisering och informationssamhället
+358 9 771 2173, +358 50 593 4552
[email protected]
Ansvarsområden
  • behandling, analys och visualisering av resultat från digitaliseringskartläggningen, stöd för specialsakkunniga.
  • biträdande uppgifter i projekt inom EU:s digitaliserings- och datalagstiftning.
  • biträdande uppgifter i teamets kommunikation, mindre utredningsuppgifter, ordnande av evenemang, nätverksadministration, m.m.
  • stöduppgifter i nätverksadministration samt övriga biträdande administrativa uppgifter.
Läs mer om dessa teman
information och digitalisering
EU och internationell verksamhet
informationshantering

Kommunförbundets Brysselkontor

Sedan 1992 har Kommunförbundet ett kontor i Bryssel. Målet med vår EU-intressebevakning är att trygga och utveckla verksamhetsförutsättningarna för kommunerna i Finland. 
Kommunförbundets Brysselkontor

Kaffe med Uffe

En gång per månad bjuder Ulf Stenman, direktör för Kommunförbundet svenska verksamhet på ett virtuellt, aktuellt och spirituellt morgonkaffe på Teams.  
Läs mera: Kaffe med Uffe

Digifika - nätverk för digitalisering

Kommunförbundet arrangerar korta sessioner med presentationer och diskussioner om digitalisering på svenska i nätverket för Digifika.

Mer info om nätverket för digifika.