När en kommun vill göra data tillgängliga för vidareutnyttjande, eller är skyldig att göra det enligt annan lagstiftning, måste kommunen identifiera vilken lagstiftnings tillämpningsområde som omfattar data som innehas av kommunen. Om det är fråga om data som omfattas av dataförvaltningsaktens tillämpningsområde, ska kommunen:
- Upprätta användningsvillkor
- Beakta nödvändigt skydd för data (t.ex. anonymisering)
- Dela information om metadata via en gemensam informationspunkt (suojattudata.fi)
- vilka data som finns tillgängliga
- på vilka villkor data är tillgängliga (t.ex. begränsat användningsområde, prissättning etc.)
- hur användningstillstånd begärs
Kommunen kan också
- Ta ut en skälig kostnadsersättning
- I och med förordningen begära data åt sig själv för vidareutnyttjande direkt från en datainnehavare eller en dataaltruismorganisation
(då ska kommunen i vidareutnyttjandet iaktta kraven i EU-lagstiftningen och den nationella lagstiftningen samt villkoren som ställts för vidareutnyttjande.
Dataförvaltningsakten förpliktar inte i sig kommunerna att tillgängliggöra data för vidareutnyttjande. Rätten eller skyldigheten att göra data tillgänglig kan komma från exempelvis annan EU-lagstiftning eller nationell lagstiftning.
När en kommun, antingen på grund av annan reglering eller av egen vilja, gör data tillgänglig för vidareutnyttjande, måste den granska om datan omfattas av tillämpningsområdet för direktivet om öppna data eller av dataförvaltningsakten Om data är skyddade på grundval av insynsskydd för kommersiella uppgifter, insynsskydd för statistiska uppgifter, skydd av tredje parts immateriella rättigheter eller skydd av personuppgifter (med undantag av personuppgifter som omfattas av tillämpningsområdet för direktivet om öppna data) tillämpas dataförvaltningsakten. Då skyddade data görs tillgängliga för vidareutnyttjande i kommunen är kommunen fortfarande skyldig att beakta exempelvis affärshemligheter som ingår i data, immateriella rättigheter som hänför sig till materialet samt skyddet av personuppgifter. Den nya regleringen befriar alltså inte kommunerna från dessa skyldigheter.
I dataförvaltningsakten avser vidareutnyttjande av data användning av data som innehas av offentliga myndigheter för andra kommersiella eller icke-kommersiella ändamål än det ursprungliga ändamål inom den offentliga verksamheten för vilket de framställdes. Utbyte av data mellan offentliga myndigheter för fullgörande av offentliga uppdrag omfattas dock inte av tillämpningsområdet för förordningen. Ur kommunernas synvinkel lämnar förordningen rum för tolkning till exempel i fråga om hur bestämmelserna om vidareutnyttjande av skyddade data ska tillämpas på utbyte av data mellan företag som ägs av kommunerna. Om utbytet av data innefattar fullgörande av kommunens lagstadgade uppgifter räknas det nödvändigtvis inte som sådant utbyte av data som omfattas av dataförvaltningsakten, utan ett sådant utbyte av data faller eventuellt utanför förordningens tillämpningsområde.
Exklusiva avtal är förbjudna enligt förordningen, dvs. kommunen kan inte besluta om exklusiv delning av skyddade data till exempel för ett företags kommersiella ändamål mot betalning. Exklusiva avtal som ingåtts före 23.6.2022 ska sägas upp senast 24.12.2024. Förbudet mot exklusiva avtal omfattar alla avtal eller annan praxis som begränsar tillgången till data för vidareutnyttjande för andra. I till exempel samutvecklingsprojekt, dvs. i situationer där kommunen delar data till exempelvis ett visst forskningsinstitut eller företag för genomförandet av projektet, är det i regel inte fråga om sådana förbjudna exklusiva avtal som avses i förordningen.
Om kommunen har skyddade data som den vill göra tillgängliga för vidareutnyttjande, ska kommunen offentliggöra villkoren och åtkomstförfarandet för vidareutnyttjandet via den gemensamma informationspunkten som förvaltas av Myndigheten för digitalisering och befolkningsdata (MBD). Villkoren ska vara icke-diskriminerande, öppna, proportionella och objektivt motiverade. Den skyddade karaktären hos data ska bevaras till exempel genom anonymisering eller en säker behandlingsmiljö. Om kommunen får en begäran om vidareutnyttjande av data ska kommunen enligt dataförvaltningsakten svara på begäran inom två månader. Om kommunen inte kan ge tillstånd för vidareutnyttjande (kräver till exempel samtycke), ska kommunen bistå den som ber om vidareutnyttjande med att inhämta samtycke.
”Då vidareutnyttjande av data inte kan tillåtas genom anonymisering, radering av kommersiellt känslig information, affärshemligheter eller innehåll som är skyddat av immateriella rättigheter, är vidareutnyttjande möjligt på grundval av samtycke. Den offentliga myndigheten ska i den utsträckning det är tillåtet i enlighet med unionsrätten och nationell rätt, göra sitt yttersta för att bistå vidareutnyttjare som begär de registrerades samtycke eller tillstånd från datainnehavare vars rättigheter och intressen kan påverkas av vidareutnyttjandet. Skyldigheten att bistå gäller dock endast då det är möjligt utan en oproportionell börda för den offentliga myndigheten. Ingen kontaktinformation bör lämnas som gör det möjligt för vidareutnyttjare att kontakta registrerade eller datainnehavare direkt. Om den offentliga myndigheten översänder en begäran om samtycke eller tillstånd bör den säkerställa att den registrerade eller datainnehavaren tydligt informeras om möjligheten att vägra samtycke eller tillstånd.”
(Källa: Utredning av Kommunikationsministeriets arbetsgrupp, 2023. Dataförvaltningsakten: utredningen om det nationella genomförandet. s. 45.) (på finska)
Prissättningen för datadelningen kan inte göras på kommersiella grunder, men det är möjligt att ta ut en skälig avgift för vidareutnyttjande av data för att täcka kostnader för exempelvis anonymisering eller samtyckeshantering. Vid prissättningen bör man beakta att priset inte kan överstiga självkostnadspriset.
