Dataförordningen och dataombudsmannens behörighet

I EU:s dataförordning (Data Act, DA) föreskrivs hur data från uppkopplade produkter kan delas. Förordningen började till stor del tillämpas 12.9.2025. Dataombudsmannens byrå övervakar att lagstiftningen om skydd för personuppgifter iakttas även i samband med tillämpningen av dataförordningen.

Syftet med dataförordningen är att underlätta åtkomsten till och användningen av data. Förordningen gäller i stor utsträckning data som uppstår vid användning av uppkopplade produkter. Sådana produkter kan vara till exempel olika sensorer, smartklockor, elbilar och även pappersmaskiner eller flygplan. Apparaterna samlar in många olika slag av data. Om de data som enheten samlar in berättar något om apparatens användare utgör detta personuppgifter. Till exempel kan en smartklocka spara hälsouppgifter om användaren och en elbil kan spara platsuppgifter. Vid behandling av personuppgifter ska lagstiftningen om dataskydd iakttas. 

Vilka rättigheter har användaren?

Enligt dataförordningen ska tillverkare av uppkopplade produkter utforma sina apparater så att användaren kan få åtkomst till de data som apparaterna producerar. Om data av tekniska skäl inte kan fås till exempel direkt från apparaten, ska tillverkaren på användarens begäran överlåta dem till användaren. Användaren kan också dela dessa data till exempel med ett företag som erbjuder service eller tilläggstjänster. 

Användaren kan vara antingen en privatperson eller ett företag eller en sammanslutning (juridisk person). Användaren kan alltså avse också en organisation och inte alltid den person som konkret använder apparaten.

Därtill gör dataförordningen det lättare att byta molntjänst och överföra data från ett system till ett annat. I samhälleliga undantagssituationer, såsom i samband med naturkatastrofer eller pandemier, kan även myndigheter ha rätt att få data om det behövs av tvingande skäl av allmänt intresse.  

Vad ska den personuppgiftsansvarige beakta?

Den personuppgiftsansvarige ska vara noggrann med vilka av de data som en uppkopplad produkt producerar som är personuppgifter. Personuppgifter är alla uppgifter utifrån vilka en person kan identifieras. Personuppgifter ska behandlas i enlighet med kraven i dataskyddsregleringen, medan andra typer av data kan användas friare. 

Behandling av personuppgifter förutsätter alltid en behandlingsgrund som finns i lagen och dataförordningen i sig skapar ingen sådan grund. Det är viktigt att beakta detta särskilt i situationer där apparatens användare till exempel är ett företag eller en offentlig organisation som samlar in personuppgifter om den person som konkret använder apparaten. Om apparatens användare är någon annan än den person som uppgifter samlas in om, kan uppgifterna delas endast om det finns en lagenlig grund för det. En sådan situation kan uppstå till exempel om: 

  • Användaren är ett företag vars apparat samlar in uppgifter om den arbetstagare som använder apparaten 
  • Användaren är en skola som lånar ut en dator som samlar in uppgifter om eleven 
  • Användaren är ett biluthyrningsföretag som hyr ut en bil som samlar in uppgifter om föraren 

Den personuppgiftsansvarige bör komma ihåg den registrerades rättigheter och bestämmelserna om dem även vid tillämpningen av dataförordningen. Den personuppgiftsansvarige ska dessutom ge de registrerade aktuell och heltäckande information om behandlingen av personuppgifter.

Mer information om behandlingsgrunderna: När får personuppgifter behandlas?
Mer information om den registrerades rättigheter: Den registrerades rättigheter
Mer information om att informera de registrerade: Berätta om behandlingen för den registrerade

Av arbetsgivare krävs särskild noggrannhet

Särskild noggrannhet ska användas i situationer där arbetsgivaren använder apparater som samlar in data som kan användas för att dra slutsatser om enskilda arbetstagares arbete eller övriga beteende. Arbetsgivaren ska i dessa situationer sörja för arbetstagarnas integritetsskydd. Arbetsgivaren ska säkerställa att arbetstagarna inte med tekniska medel följs upp i strid med allmänna dataskyddsförordningen eller arbetslivets dataskyddslag (lagen om integritetsskydd i arbetslivet, 759/2004). 

Mer information om dataskydd i arbetslivet: Vanliga frågor om arbetslivet

Tillämpning och övervakning av dataförordningen

I Finland bereds nationell lagstiftning som närmare definierar olika myndigheters ansvar för tillsynen över dataförordningen. Enligt propositionen är Transport- och kommunikationsverket Traficom den huvudsakliga tillsynsmyndigheten och datasamordnaren. Behandlingen av propositionen pågår dock. Beredningens framskridande kan följas i statsrådets projektportal på sidan Regeringens proposition om genomförande av EU:s dataförordning.  

Dataförordningen trädde i kraft den 11 januari 2024. Tillämpningen av regleringen inleddes till stor del den 12 september 2025, men vissa skyldigheter träder i kraft först 2026. 

I vilka ärenden kan du kontakta dataombudsmannens byrå?

Dataombudsmannens byrå övervakar att lagstiftningen om skydd för personuppgifter iakttas även i samband med tillämpningen av dataförordningen. Dataombudsmannen övervakar bestämmelserna i dataskyddsförordningen även när personuppgifter och andra typer av data är oskiljaktigt kopplade till varandra. Dessutom ska dataombudsmannen underrättas om en myndighet eller någon annan aktör inom den offentliga sektorn i en samhällelig undantagssituation begär data som innehåller personuppgifter av ett företag. Dataombudsmannens byrå har inte behörighet att övervaka andra frågor i anslutning till dataförordningen.  

Du kan kontakta dataombudsmannens byrå om du anser att lagstiftningen om skydd för personuppgifter har överträtts i samband med tillämpningen av dataförordningen. 

Mer information: 

Mer information om dataförordningen på Europeiska kommissionens webbplats 
Dataförordningen förklarad på Europeiska kommissionens webbplats
Datainnehavarens skyldigheter på Traficoms webbplats
Dataförordningen på Traficoms webbplats