Lagförslag 26/2024-2025

Tillhör ärendet: Tillsyn, efterlevnadskontroll och sanktioner inom cybersäkerhet och motståndskraft
Lagtingsår: 2024-2025
Typ av dokument: Lagförslag

Ladda ner Word-dokument

 

LAGFÖRSLAG nr 26/2024-2025

 

Datum

 

 

2025-08-28

 

 

 

 

 

 

 

 

 

 

 

Till Ålands lagting

 

 

 

 

 

Tillsyn, efterlevnadskontroll och sanktioner inom cybersäkerhet och motståndskraft

 

 

Huvudsakligt innehåll

 

Landskapsregeringen föreslår att den nya landskapslagen om ändring av landskapslagen om cybersäkerhet och motståndskraft antas av lagtinget. Avsikten med lagförslaget är att beakta det vilket har påtalats och ersätta de bestämmelser vilka förföll vid lagstiftningskontrollen av den av lagtinget den 11 december 2024 antagna landskapslagen om cybersäkerhet och motståndskraft.

     Genom förslaget införs nya tillsyns- och efterlevnadsåtgärder, administrativa påföljdsavgifter, en påföljdsavgiftsnämnd, en utvidgad informationsrätt för tillsynsmyndigheten och andra därmed sammanhängande lagtekniska ändringar.

     Avsikten är att den föreslagna lagen skulle träda i kraft så snart som möjligt.

 

__________________

 

 

INNEHÅLL

Huvudsakligt innehåll 1

Allmän motivering. 3

1. Bakgrund. 3

2. Landskapsregeringens förslag. 5

3. Förslagets verkningar 5

Detaljmotivering. 5

Landskapslag om ändring av landskapslagen om cybersäkerhet och motståndskraft 5

Lagtext 13

L A N D S K A P S L A G om ändring av landskapslagen om cybersäkerhet och motståndskraft 13

Parallelltexter 17

 

 

Allmän motivering

 

1. Bakgrund

 

Landskapsregeringen överlämnade den 19 december 2024 lagförslaget om landskapslag om cybersäkerhet och motståndskraft (LF 13/2024-2025). Lagtinget beslöt i ärendet den 11 december 2024 att anta en ny landskapslag (2025:57) om cybersäkerhet och motståndskraft.

     I den efterföljande lagstiftningskontrollen fann Ålandsdelegationen i sitt utlåtande av den 26 maj 2025 (ÅD 22/25) att hinder för ikraftträdande inte förelåg förutom beträffande landskapslagen om cybersäkerhet och motståndskrafts 40 § 1 och 2 mom., 45 § och 46 §.

     Ålandsdelegationen konstaterade inledningsvis att bestämmelserna om landskapsregeringens informationsrätt i lagens 40 § 1och 2 mom. var mycket vaga med avseende på vilken information som rätten gäller. Ålandsdelegationen hänvisade i frågan till riksdagens grundlagsutskotts praxis, vilken har bedömt att en så pass omfattande rätt till information är så summariskt vag och ospecificerad att den helt klart strider mot skyddet för privatlivet, heder och hemfrid enligt 10 § 1 mom. i grundlagen (GrUU 59/2010 rd, s. 4). Ålandsdelegationen menade vidare att det till följd av avsaknad av bestämmelser om avgränsning av rätten till information inte var möjligt att bedöma hur rätten förhåller sig till skyddet av brev- och telefonhemligheten samt hemligenheten i fråga om förtroliga meddelanden enligt 10 § 2 mom. i grundlagen. Ålandsdelegationen ansåg därför att lagens 40 § 1 och 2 mom. står i strid med 10 § 1 och 2 mom. i grundlagen och därigenom utgör behörighetsöverskridningar, varför dessa bör förordnas att förfalla.

     Ålandsdelegationen konstaterade vidare att bestämmelserna om administrativa påföljdsavgifter i lagens 45 § medgav rätt för landskapsregeringen att påföra verksamhetsutövare betydande påföljdsavgifter, vilket är en typ av bestämmelser för vilka grundlagsutskottet har påpekat att rättssäkerhetsintresset är starkt förhöjt, med hänsyn till att påföljdsavgiften är sträng och har karaktär av sanktion. Intresset av garantierna för rättssäkerheten och framför allt för ett behörigt förfarande enligt rättsskyddet i 21 § i grundlagen och syftena med dem kan därmed vara särskilt förhöjda. Grundlagsutskottet har i sin praxis ansett att ett säkerställande för att ett förfarande för att påföra påföljdsavgifter är behörigt, oavhängigt och rättvist på det sätt som grundlagen förutsätter är genom lagstiftning om att ett kollegialt organ är behörigt att fatta beslut (GrUU 14/2018 rd, s. 17–19 och GrUU 24/2018 rd). Ålandsdelegationen menade vidare att bestämmelsen inte verkade utesluta att landskapsregeringen i egenskap av offentlig verksamhetsutövare själv kunde bli föremål för påföljdsavgifter, vilket än mer skulle framhäva behovet av ett oavhängigt förfarande för påförande av påföljdsavgifter. Ålandsdelegationen ansåg därför att lagens 45 §, samt den därmed sammanhängande bestämmelsen om verkställighet av påföljdsavgift i lagens 46 §, står i strid med 21 § i grundlagen och därigenom utgör behörighetsöverskridningar, varför dessa bör förordnas att förfalla.

     Högsta domstolen fann i sitt utlåtande av den 13 juni 2025 (HD/422/2025), till viss del i överensstämmelse med, men även gående ut-över, bedömningarna i Ålandsdelegationens utlåtande, att hinder för ikraftträdande i huvudsak inte förelåg, förutom beträffande landskapslagen om cybersäkerhet och motståndskrafts 36 § 1 mom. 2 punkten, 38 § 1 mom. 2 punkten, 38 § 2 mom. 8 och 9 punkterna, 40 § 1 och 2 mom., 45 § och 46 §.

     Högsta domstolen konstaterade inledningsvis att bestämmelserna om tillsyns- och efterlevnadskontrollåtgärder i 36 § 1 mom. 2 punkten, 38 § 1 mom. 2 punkten och 38 § 2 mom. 8 punkten medger rätt för landskapsregeringen att beställa säkerhetsrevisioner och att utse en övervakningsansvarig. Högsta domstolen bedömde att bestämmelserna innebar att vissa kontrolluppgifter kan anvisas till andra än myndigheter, varför dessa skulle granskas i förhållande till bestämmelserna om överföring av förvaltningsuppgifter på andra än myndigheter enligt 124 § i grundlagen. Högsta domstolen redogjorde för Grundlagsutskottets omfattande praxis i frågan och konstaterade att grundlagen förutsätter att befogenheter vilka anvisas andra än myndigheter ska vara exakt reglerade och i övrigt tillbörliga (GrUU 44/2016 rd). Det ska även genom lagstiftning säkerställas att de involverade är lämplig och behöriga för sin uppgift. Därtill har grundlagsutskottet vidare förutsatt att vissa bestämmelser gällande tjänsteansvar tillämpas på privata aktörer när de fullgör offentliga förvaltningsuppgifter (GrUU 8/2014 rd). Högsta domstolen bedömde att det inte tydligt framgår av lagens bestämmelser vad säkerhetsrevisioner gäller eller vilka befogenheter den övervakningsansvarige i fråga har. Högsta domstolen ansåg därför att lagens 36 § 1 mom. 2 punkten, 38 § 1 mom. 2 punkten och 38 § 2 mom. 8 punkten stod i strid med 124 § i grundlagen och därigenom utgör behörighetsöverskridningar, varför de ska förordnas att förfalla.

     Högsta domstolen förenade sig med Ålandsdelegationen när den konstaterade att bestämmelserna om landskapsregeringens informationsrätt i lagens 40 § på ett lämpligt sätt är knutet till ett krav på nödvändighet, men att de i övrigt är alldeles för vag och ospecificerad till grundlagsutskottets praxis (GrUU 59/2010 rd). Högsta domstolen menade vidare, med hänvisning till grundlagsutskottets praxis, att eftersom informationsrätten inte avgränsas tydligt i lagen är det inte heller möjligt att försäkra sig om att rätten inte inkräktar på skyddet för hemligheten i fråga om förtroliga meddelanden enligt 10 § 2 mom. i grundlagen (GrUU 62/2024 rd). Högsta domstolen ansåg därför att lagens 40 § 1 mom., samt den därmed nära sammanhängande bestämmelsen om innehållet i landskapsregeringens informationsbegäran 40 § 2 mom., står i strid med 10 § 1 och 2 mom. i grundlagen och därigenom utgör behörighetsöverskridanden, varför dessa ska förordnas att förfalla.

     Högsta domstolen förenade sig vidare med Ålandsdelegationen och grundlagsutskottets praxis när den konstaterade att förfaranden om påförande av en administrativ påföljdsavgift likt de i lagens 45 § medför ett förhöjt intresse av ett rättssäkert förfarande, i enlighet med rättsskyddet i 21 § grundlagen. Högsta domstolen lyfte även den fram att grundlagsutskottet i sin praxis har lyft fram att ett kollegialt organ är behörigt att fatta ett beslut om att påföra påföljdsavgift säkerställer att förfarandet för påförandet av sådana påföljdsavgifter är behörigt, oavhängigt och rättvist på det sätt som krävs i 21 § i grundlagen (GrUU 14/2018 rd). Högsta domstolen ansåg därför att lagens 45 §, samt de därmed sammanhängande bestämmelserna landskapsregeringens rätt att påföra administrativa påföljdsavgifter i lagens 38 § 2 mom. 9 punkten och om verkställighet av administrativ påföljdavgift i 46 §, står i strid med 21 § i grundlagen och därmed utgör behörighetsöverskridningar, varför de ska förordnas att förfalla.

     Republikens president fann den 27 juni 2025, på de grunder vilka hade framförts av Ålandsdelegationen och högsta domstolen, dock på de grunder vilka följer av högsta domstolens utlåtande där dessa skiljer sig sinsemellan, att 36 § 1 mom. 2 punkten, 38 § 1 mom. 2 punkten, 38 § 2 mom. 8 och 9 punkterna, 40 § 1 och 2 mom., 45 § och 46 § i landskapslagen om cybersäkerhet och motståndskraft skulle förfalla.

     Landskapsregeringen beslutade den 14 augusti 2025 att sätta landskapslagen om cybersäkerhet och motståndskraft i kraft, till de delar den inte hade förordnats att förfalla.

     Landskapet måste fortsatt genomföra de delar av Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet, hädanefter benämnt cybersäkerhetsdirektivet) och Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG (hädanefter benämnt motståndskraftsdirektivet), vilkas genomförande förföll i samband med lagstiftningskontrollen av landskapslagen om cybersäkerhet och motståndskraft.

 

2. Landskapsregeringens förslag

 

Landskapsregeringen föreslår att lagtinget antar en landskapslag om ändring av landskapslagen om cybersäkerhet och motståndskraft. I ändringslagen införs nya bestämmelser, i huvudsak motsvarande de vilka förföll, dock med beaktande av de utlåtanden ifrån Ålandsdelegationen och högsta domstolen vilka låg till grund för republikens presidents beslut.

     Lagförslaget påför landskapsregeringen uppgiften att utse en till denna administrativt anknuten, men vid skötandet av sina uppgifter oberoende, påföljdsavgiftsnämnd, vilken ska ha till uppgift att på framställan ifrån landskapsregeringen besluta huruvida enskilda verksamhetsutövare vid lagöverträdelser ska påföras administrativa påföljdsavgifter eller inte. Landskapsregeringen ges vidare rätt till nödvändig information ifrån verksamhetsutövare för skötandet av sina tillsynsuppgifter och övriga uppgifter enligt lagen, dock med en inskränkning i form av ett undantag för information vilken omfattas av skyddet för hemligheten i fråga om förtroliga meddelanden. Landskapsregeringen ges vidare rätt att själv utföra eller ålägga verksamhetsutövaren att låta utföra säkerhetsrevisioner och att utse övervakningsansvariga.

     Lagförslaget beaktar därmed republikens presidents beslut, dock utan ändring av motiveringen av lagstiftningen såsom den är återgiven i det tidigare av lagtinget antagna lagförslaget om landskapslag om cybersäkerhet och motståndskraft (LF 13/2024-2025), utöver vad som anförs under detaljmotiveringen nedan. Det här föreliggande lagförslaget beaktar därmed lagtingets avsikt med det tidigare beslutet om antagandet av den ursprungliga lagstiftningen.

 

3. Förslagets verkningar

 

Lagförslaget medför inga direkta förändringar avseende dess verkningar i förhållande till vad som redan har anförts i det tidigare lagförslaget, varför hänvisning i denna del sker till detta.

 

Detaljmotivering

 

Landskapslag om ändring av landskapslagen om cybersäkerhet och motståndskraft

 

36 §. Tillsyn och efterlevnadskontroll av kritiska verksamhetsutövare. Enligt paragrafens nya 1 mom. 2 punkt kan landskapsregeringen vid tillsyn av en kritisk verksamhetsutövare som tillsynsåtgärd antingen själv utföra, ålägga verksamhetsutövaren att låta utföra säkerhetsrevisioner av dess cybersäkerhetsarbete, det vill säga dess åtgärder för hanteringen av cybersäkerhetsrisker. En säkerhetsrevision utgör en strukturerad och omfattande utvärdering av en organisations säkerhetsinfrastruktur, policyer och rutiner för cybersäkerhet. Syftet med en säkerhetsrevision är att identifiera sårbarheter innan dessa utnyttjas. Ett åläggande om att en verksamhetsutövare ska låta utföra en säkerhetsrevision förutsätter att denna genomförs av ett oberoende organ och på egen bekostnad av verksamhetsutövaren. Utförandet av en säkerhetsrevision ska i första hand betraktas som en åtgärd vilken syftar till att ge underlag till stöd för verksamhetsutövarens fortsatta hantering av cybersäkerhetsrisker genom åtgärder för ökad cybersäkerhet. I andra hand ska den betraktas som en ren kunskapsskapande åtgärd, vilken ger landskapsregeringen ett förbättrat informationsunderlag avseende verksamhetsutövarens arbete för cybersäkerhet. Resultatet av säkerhetsrevisioner förväntas göras tillgängliga för såväl verksamhetsutövaren som landskapsregeringen. Säkerhetsrevisionen och dess slutsatser förväntas bidra till en fördjupande lägesbild, men innebär i sig inga direkta rättsföljder för den granskade verksamhetsutövaren. Det sker därmed inte i något av fallen någon överföring av förvaltningsuppgifter ifrån tillsynsmyndigheten till det organ vilket utför säkerhetsrevisionen. Möjligheten för landskapsregeringen att ålägga verksamhetsutövaren att låta utföra säkerhetsrevisionen är principiellt likartat utformad som rikets genomförande i 30 § 1 mom. 1 meningen i cybersäkerhetslagen (FFS 124/2025), vilken granskades av riksdagens grundlagsutskott (GrUU 62/2024) utan anmärkning. Bestämmelsen genomför art. 21.1 led b i motståndskraftsdirektivet.

     Bestämmelserna har utformats med beaktande av lagstiftningskontrollens slutsatser och grundlagsutskottets praxis (se GrUU 8/2014 rd, GrUU 44/2016 rd och jämför med GrUU 62/2024) och bedöms därmed vara i överenstämmelse med 124 § i grundlagen.

 

38 §. Tillsyn och efterlevnadskontroll av väsentliga verksamhetsutövare. Enligt paragrafens nya 1 mom. 2 punkt kan landskapsregeringen vid tillsyn av en väsentlig verksamhetsutövare som tillsynsåtgärd utföra eller ålägga verksamhetsutövaren att låta utföra regelbundna och riktade säkerhetsrevisioner. De riktade säkerhetsrevisioner som avses ska baseras på de riskbedömningar vilka utförs av landskapsregeringen eller den granskade verksamhetsutövaren, eller på annan tillgänglig riskrelaterad information. Resultaten av alla riktade säkerhetsrevisioner ska göras tillgängliga för landskapsregeringen. Kostnaderna för sådana riktade säkerhetsrevisioner som utförs av ett oberoende organ vilket verksamhetsutövaren har anlitat ska betalas av den granskade verksamhetsutövaren, utom i vederbörligen motiverade fall, när landskapsregeringen har beslutat något annat. Bestämmelsen genomför art. 32.2 mom. 1 led b och 32.2 mom. 2 och 3 i cybersäkerhetsdirektivet.

     Enligt paragrafens nya 2 mom. 8 punkt kan landskapsregeringen vid konstaterade brister eller överträdelser vid efterlevnadskontroll av en väsentlig verksamhetsutövare som efterlevnadskontrollåtgärd ålägga verksamhetsut-övaren att låta utse en oberoende övervakningsansvarig, med väl definierade uppgifter och under en fastställd tidsperiod, i syfte att övervaka verksamhetsutövarens efterlevnad av 20 och 21 §§. Den övervakningsansvariga ska övervaka huruvida verksamhetsutövaren vidtar ålagda åtgärder för cybersäkerhet och i förekommande fall uppfyller sin rapporteringsskyldighet vid cybersäkerhetsincidenter. Övervakningen kan avse samtliga såväl som vissa särskilt utpekade skyldigheter enligt de angivna bestämmelserna. Det är upp till landskapsregeringen att i samband med åläggandet definiera den övervakningsansvariges uppgifter närmare och tidsperioden under vilken den övervakningsansvariga ska verka. Den övervakningsansvariges verksamhet ska bekostas av den övervakade verksamhetsutövaren. Likt principen för säkerhetsrevisioner är det verksamhetsutövaren, förvisso efter åläggande därom av landskapsregeringen, vilken låter utse en övervakningsansvarig, i enlighet landskapsregeringens instruktioner om omfattningen av dennes uppdrag och uppdragets varaktighet. Den övervakningsansvariges uppdrag och uppgifter ersätter dock inte till någon del tillsynsmyndighetens, utan bidrager snarast till att verksamhetsutövaren och tillsynsmyndigheten ges ett tillkommande löpande såväl som slutligt underlag för bedömningen av verksamhetsutövarens regelefterlevnad till särskilt utpekad del. Den övervakningsansvariges slutsatser om den granskade verksamhetsutövarens efterlevnad eller underlåtelse till sådan kan tillsammans med tillsynsmyndighetens övriga underlag till följd av sina tillsynsåtgärder i tillsynsärendet medföra att vidare efterlevnadskontrollåtgärder vidtas eller underlåtes av landskapsregeringen, men utgör alltså inte i sig någon rättsföljd. Det sker därmed genom bestämmelsen inte någon överföring av egentliga förvaltningsuppgifter ifrån tillsynsmyndigheten till en övervakningsansvarig. Slutsatserna av den övervakningsansvariges övervakning av verksamhetsutövarens regelefterlevnad ska löpande såväl som vid uppdragets fullgörande göras tillgängliga för verksamhetsutövaren och landskapsregeringen. Bestämmelsen genomför art. 32.4 led g i cybersäkerhetsdirektivet.

     Enligt paragrafens nya 2 mom. 9 punkt kan landskapsregeringen vid konstaterade brister eller överträdelser vid efterlevnadskontroll av en väsentlig verksamhetsutövare som efterlevnadskontrollåtgärd, utöver någon av de åtgärder som avses i 1–8 punkterna, göra en framställning till påföljdsavgiftsnämnden om att verksamhetsutövaren ska påföras en administrativ påföljds-avgift. Till skillnad ifrån tidigare lagförslag är det därmed inte landskapsregeringen som ålägger verksamhetsutövarna administrativa påföljdsavgifter, utan dessa utfärdas enligt förslaget av ett oberoende kollegialt organ, efter framställan av landskapsregeringen. Bestämmelsen genomför art. 32.4 led i i cybersäkerhetsdirektivet.

     Bestämmelserna om landskapsregeringens möjlighet att ålägga en verksamhetsutövare att låta utföra säkerhetsrevisioner och att utse övervakningsansvariga har principiellt likartad utformning som rikets genomförande igenom dess cybersäkerhetslagen, vilken granskades av riksdagens grundlagsutskott (GrUU 62/2024) utan anmärkning. Bestämmelserna har därmed utformats med beaktande av lagstiftningskontrollens slutsatser och grundlagsutskottets praxis och bedöms därmed vara i överenstämmelse med 124 § i grundlagen (se GrUU 8/2014 rd, GrUU 44/2016 rd och jämför med GrUU 62/2024 rd).

 

39 §. Tillsyn och efterlevnadskontroll av viktiga verksamhetsutövare. Enligt paragrafens nya 3 mom. kan landskapsregeringen vid konstaterade brister eller överträdelser vid efterlevnadskontroll av en viktig verksamhetsutövare vidta motsvarande efterlevnadskontrollåtgärder enligt 38 § 2 mom., med undantag för åläggande av en verksamhetsutövare att låta utse en övervakningsansvarig enligt 8 punkten. Bestämmelsens lydelse harmoniseras med den nya bestämmelsen om utseende av övervakningsansvarig i 38 § 2 mom. 9 punkten. Bestämmelsen genomför art. 33.4 i cybersäkerhetsdirektivet.

 

40 §. Rätt att få information. Enligt paragrafens nya 1 mom. inledningssats har landskapsregeringen rätt att, trots sekretessbestämmelser och andra begränsningar vilka gäller utlämnande av information, få nödvändig information av verksamhetsutövare, i syfte att kunna utföra av sina tillsynsuppgifter och övriga uppgifter enligt lagen. I de nya bestämmelserna vilka följer i punktlistan anges närmare vilken information som landskapsregeringen har rätt till samt i vilket syfte den inhämtas. Genom bestämmelsen genomförs delar av art. 32.2 mom. 1 led d–g och art. 33.2 mom. 1 led c-f i cybersäkerhetsdirektivet och art. 21.2 mom. 1 i motståndskraftsdirektivet.

     Enligt 1 mom. 1 punkten har landskapsregeringen rätt att av en kritisk verksamhetsutövare få information om riskbedömningar, åtgärder och plan för motståndskraft, incidenter och till denna direkt anknuten information vilken är nödvändig för tillsynen över fullgörandet av verksamhetsutövarens skyldigheter avseende åtgärder för motståndskraft samt över anmälan och rapporteringen av incidenter. Landskapsregeringen har därmed bland annat rätt att ta del av handlingar och uppgifter om verksamhetsutövarens hantering av motståndskraftsrisker, riskbedömningar samt planer och strategier för motståndskraft. Landskapsregeringen har vidare rätt att få information om genomförandet av hanteringsåtgärder, incidentberedskap, skyddsåtgärder, incidenthantering, åtgärder för kontinuitet, personalsäkerhetshantering, utbildningar, praxis för motståndskraft, utbildningar, förfaranden, och eventuella resultat av säkerhetsrevisioner, samt de bevis vilka de baserar sig på. Med hjälp av informationsrätten kan landskapsregeringen bedöma information om verksamhetsutövarens planer och strategier samt riskhanteringens ändamålsenlighet, personalutbildningar och genomförandet av dem, iakttagelser av incidenter, hot och tillbud, genomförandet av incidenthanteringen samt säkerställandet av kontinuiteten i verksamheten och tjänsterna. Landskapsregeringen behöver informationen för att övervaka verksamhetsutövarens uppfyllande av sina skyldigheter att vidta åtgärder för motståndskraft och att incidenter anmäls och rapporteras. Myndighetens närmare informationsrätt inbegriper även en rätt att få annan information, direkt knuten till den ovan nämnda, vilken är nödvändig för tillsynen över den skyldighet som gäller hantering av motståndskraftsrisker och över att incidenter anmäls och rapporteras. Denna tillkommande informationsrätt är nödvändig för att tillsynsmyndigheten inte ska begränsas av en på förhand för snävt avgränsad informationsrätt inom ett område med åtgärder och incidenter av vitt skiljande natur. Landskapsregeringens informationsrätt är dock knuten till ett strikt nödvändighetskrav.

     Enligt 1 mom. 2 punkten har landskapsregeringen rätt att av en väsentlig eller viktig verksamhetsutövare få information om åtgärder för cybersäkerhet, betydande cybersäkerhetsincidenter och till denna direkt anknuten information vilken är nödvändig för tillsynen över fullgörandet av verksamhetsutövarens skyldigheter avseende åtgärder för cybersäkerhet samt över anmälan och rapporteringen av cybersäkerhetsincidenter. Landskapsregeringen har därmed bland annat rätt att ta del av handlingar och uppgifter om verksamhetsutövarens hantering av cybersäkerhetsrisker, riskbedömningar, planer och strategier för cybersäkerhet. Landskapsregeringen har vidare rätt att få information om genomförandet av hanteringsåtgärder, praxis för cyberhygien, utbildningar, förfaranden, logguppgifter om cyberhot, cybersäkerhetsprinciper och eventuella resultat av säkerhetsrevisioner, samt de bevis vilka de baserar sig på. Med hjälp av informationsrätten kan landskapsregeringen bedöma information om verksamhetsutövarens planer och strategier samt riskhanteringens ändamålsenlighet, utbildningar i cybersäkerhet och genomförandet av dem, iakttagelser av cybersäkerhetsincidenter, cyberhot och tillbud, information om genomförandet av datasäkerheten, genomförandet av incidenthanteringen samt säkerställandet av kontinuiteten i verksamheten och tjänsterna. Landskapsregeringen behöver informationen för att övervaka verksamhetsutövarens uppfyllande av sina skyldigheter att vidta åtgärder för cybersäkerhet och att cybersäkerhetsincidenter anmäls och rapporteras. Myndighetens närmare informationsrätt inbegriper även en rätt att få annan information, direkt knuten till den ovan nämnda, vilken är nödvändig för tillsynen över den skyldighet som gäller hantering av cybersäkerhetsrisker och över att cybersäkerhetsincidenter anmäls och rapporteras. Denna tillkommande informationsrätt är nödvändig för att tillsynsmyndigheten inte ska begränsas av en på förhand för snävt avgränsad informationsrätt inom ett område med åtgärder och incidenter av vitt skiljande natur. Landskapsregeringens informationsrätt är dock knuten till ett strikt nödvändighetskrav.

     Enligt 1 mom. 3 punkten har landskapsregeringen rätt att av en väsentlig eller viktig verksamhetsutövare få förmedlingsuppgifter, lokaliseringsuppgifter och information om meddelanden vilka innehåller ett skadligt datorprogram eller ett skadligt kommando, om det är nödvändigt för tillsynen över fullgörandet av verksamhetsutövarens skyldigheter avseende åtgärder för cybersäkerhet eller över anmälan och rapporteringen av betydande incidenter. Den information som landskapsregeringen har fått med stöd av tredje punkten är sekretessbelagd. Bestämmelsen kompletterar informationsrätten i 2 punkten och den närmare definierade rätten till information om dessa uppgifter berättigas och behövs av de skäl som skyddet för konfidentialitet vid kommunikation förutsätter. För att ytterligare trygga skyddet för konfidentiell information föreskrivs det även om en särskild sekretessgrund i fråga om information vilken har fåtts med stöd av punkten. Det tillkommande skydde berättigas av att sekretessgrunderna i offentlighetslagen (2021:79) för Åland inte tillräckligt skyddar sekretessen för information som omfattas av skyddet för förtrolig kommunikation. Sekretessbeläggningen medför även en tystnadsplikt. Sekretessbeläggningen gäller inte sådan information om skadliga datorprogram eller IP-adresser vilken inte omfattas av lagstadgad sekretess eller någon annan begränsning av utlämnande av information och som aktören också annars kan lämna ut trots sekretessbestämmelserna eller begränsningarna av utlämnande av information. Sekretessen för andra uppgifter som omfattas av särskild sekretess än de som avses i punkten bestäms i offentlighetslagen.

     Enligt 1 mom. avslutningssats ska landskapsregeringen rätt till information enligt momentet dock inte begränsa skyddet för vars och ens privatliv, brev- och telefonhemligheten samt hemligheten i fråga om andra förtroliga meddelanden, enligt 10 § 1 och 2 mom. i grundlagen, mer än nödvändigt. Bestämmelsen är avgränsande och syftar till att säkerställa att landskapsregeringens informationsrätt inte kränker grundlagsskyddade rättigheter och skyddsintressen. Landskapsregeringens utnyttjande av sin rätt att få information får därmed inte begränsa skyddet av konfidentiella meddelanden eller integritetsskyddet mer än vad som är nödvändigt. Myndigheten bör vidare avstå från att begära, samt i förlängningen lämna ut, annan än nödvändig information.

     Enligt paragrafens nya 2 mom. ska landskapsregeringen i begäran om information ange syftet med begäran och precisera den begärda informationen. Informationen ska lämnas ut utan dröjsmål, i den form som landskapsregeringen har begärt och avgiftsfritt. Skyldigheten för verksamhetsutövaren att lämna uppgifter får inte medföra oskäliga kostnader, bland annat på grund av de tekniska egenskaperna hos det informationsformat vilket begärs. Om det av tekniska skäl är omöjligt att lämna informationen, kan verksamhetsutövaren fullgöra skyldigheten genom att ge landskapsregeringen tillgång till informationen på annat sätt. Om begäran om information gäller åtgärder vilka verksamhetsutövaren i sin helhet eller till delar har lagt ut på utomstående, är verksamhetsutövaren skyldig att lämna informationen oberoende av om den innehas av denna eller av en underleverantör. Verksamhetsutövaren är därmed vid behov skyldig att skaffa den begärda informationen av sin leverantör och lämna in den till landskapsregeringen. Genom bestämmelsen genomförs delar av art. 32.3 och 33.3 i cybersäkerhetsdirektivet och art. 21.2 mom. 2 i motståndskraftsdirektivet.

     Bestämmelserna har utformats med beaktande av lagstiftningskontrollens slutsatser och grundlagsutskottets praxis och bedöms därmed vara i överenstämmelse med 10 § i grundlagen (se GrUU 59/2010 rd och GrUU 62/2024 rd).

 

44a §. Påföljdsavgiftsnämnd. I den nya paragrafen föreskrivs det om inrättandet av ett nytt organ, en påföljdsavgiftsnämnd, vilken utses av landskapsregeringen och ska ha som uppgift att på framställan ifrån landskapsregeringen påföra enskilda verksamhetsutövare administrativa påföljdsavgifter. Påföljdsavgiftsnämnden ska befinnas i anslutning till landskapsregeringen, det vill säga att den utses av, erhåller ersättning av och är administrativt underställd landskapsregeringen, vilken även sköter dess administration. Påföljdsavgiftsnämnden förväntas alltjämt att sköta sina uppgifter och avgöra sina ärenden på ett oberoende, opartiskt och sakligt sätt. Påföljdsavgiftsnämnden ska enbart sammanträda vid behov för att behandla ett ärende vilket gäller påförande av en administrativ påföljdsavgift. Genom att en påföljds-avgiftsnämnd införs, det vill säga att ett i sitt beslutsfattande oberoende kollegialt organ görs behörigt att påföra administrativa påföljdsavgifter säkerställs att förfarandet för att påföra sådana påföljdsavgifter är behörigt, oavhängigt och rättvist. Av bestämmelsens ordalydelse framgår att påföljds-avgift endast kan påföras enskilda, och därmed inte offentliga, verksamhetsutövare. Påföljdsavgiftsnämndens funktion och sammansättning är i huvudsak utformad enligt desamma principer vilka har legat till grund för rikets genomförande i 36 § i cybersäkerhetslagen, vilken granskades av grundlagsutskottet (GrUU 62/2024) utan anmärkning. Bestämmelsen genomför delar av art. 36 i cybersäkerhetsdirektivet och art. 22 i motståndskraftsdirektivet.

     I paragrafens 1 mom. föreskrivs att landskapsregeringen ska utse en till denna ansluten påföljdsavgiftsnämnd, vilken på framställan ifrån landskapsregeringen kan påföra enskilda verksamhetsutövare administrativa påföljds-avgifter. Landskapsregeringen bestämmer i samband med påföljdsavgiftsnämndens tillsättande om ledamöternas ersättning. Landskapsregeringen kan därmed i enlighet med 38 § 2 mom. 9 punkten framställa till påföljdsavgiftsnämnden om att en administrativ påföljdsavgift påförs en enskild verksamhetsutövare, om den i sin tillsynsverksamhet observerar att denna vidtar ett lagstridigt förfarande. Landskapsregeringen ska i sin tillsynsverksamhet tillse att ärendet utreds tillräckligt, så att det till framställningen om påförande av en administrativ påföljdsavgift kan fogas en fullständig utredning om den förseelse eller försummelse som ligger till grund för framställningen.

     I paragrafens 2 mom. bestäms påföljdsavgiftsnämndens sammansättning. Påföljdsavgiftsnämnden ska bestå av en ordförande, en vice ordförande och minst fyra övriga ledamöter och personliga ersättare för dem. Nämndens ledamöter och ersättare ska antingen vara förtrogna med hantering av risker inom cybersäkerhet eller motståndskraft och cybersäkerhets- eller motståndskraftsdirektivet samt de skyldigheter vilka ankommer på verksamhetsutövare inom respektive sakområde enligt denna lag och författningar utfärdade med stöd av denna. Kravet på förtrogenhet med den tillämpliga lagstiftningen inom sakområdena är kopplad till påföljdsavgiftsnämndens beslutsförhet i 3 mom. Påföljdsavgiftsnämndens ordförande och vice ordförande ska därutöver ha sådan tillräcklig juridisk sakkunskap vilken uppdraget förutsätter. Påföljdsavgiftsnämndens ledamöter utses för en period om 5 år i taget, dess ledamöter ska agera oberoende och opartiskt i sitt uppdrag och dess uppgift ska vara bisyssla för medlemmarna och ersättarna. Påföljdsavgiftsnämnden beslutar själv om de närmare formerna för sin egen verksamhet och organisering, exempelvis om en eventuell indelning i skilda sektioner för cybersäkerhet och motståndskraft. För ordföranden och vice ordföranden utses inga ersättare.

     I paragrafens 3 mom. föreskrivs närmare om påföljdsavgiftsnämndens beslutsfattande. Påföljdsavgiftsnämnden ska fatta sina beslut efter föredragning. Föredragande är den tjänsteman vid landskapsregeringen vilken handlägger tillsynsärenden inom aktuellt sakområde. Påföljdsavgiftsnämnden är beslutsför när ordföranden eller vice ordföranden och minst två andra ledamöter eller ersättare är närvarande, förutsatt att desamma i enlighet med 2 mom. är förtrogna med det sakområde vilket ärendet gäller. Det utslag vilket flertalet har understött ska gälla som påföljdsavgiftsnämndens beslut. Vid lika röstetal gäller det utslag vilket är lindrigare för den vilken påföljden riktas emot.

     Paragrafens 4 mom. reglerar påföljdsavgiftsnämndens informationsrätt. Enligt bestämmelsen har påföljdsavgiftsnämnden trots sekretessbestämmelser rätt att avgiftsfritt få den i 40 § avsedda information samt övrig information som är nödvändig för påförande av en administrativ påföljdsavgift eller för beräkning av dess belopp. Information som är nödvändig för påförande av påföljdsavgift kan från fall till fall vara till exempel information om riskhantering och riskrapportering som tillsynsmyndigheten har rätt att få med stöd av 40 § samt annan information som är nödvändig för att bedöma grunden för och beloppet av påföljdsavgiften. I 45 § föreskrivs närmare om de omständigheter vilka ska beaktas vid helhetsbedömningen inför bestämningen av påföljdsavgiftens belopp. Bestämmelsens syfte är att tillse att påföljdsavgiftsnämnden kan inhämta behövlig information om de omständigheter vilka är av relevans för beslutet att påföra eller avstå från att påföra en påföljdsavgift sam för att kunna beräkna och bedöma skäligheten av dess storlek.

     Bestämmelserna har utformats med beaktande av lagstiftningskontrollens slutsatser och grundlagsutskottets praxis och bedöms därmed vara i överenstämmelse med 21 § i grundlagen (se GrUU 14/2018 rd GrUU 62/2024 rd).

 

45 §. Administrativ påföljdsavgift. I denna nya paragraf föreskrivs om påföljdsavgiftsnämndens möjligheter och villkor för att påföra en verksamhetsutövare en administrativ påföljdsavgift till följd av att den har brutit mot lagens skyldigheter.

     I paragrafens 1 mom. föreskrivs att påföljdsavgiftsnämnden genom beslut kan ålägga en enskild verksamhetsutövare, vilken uppsåtligen eller av grov oaktsamhet bryter mot dess skyldigheter enligt denna lag, att erlägga en administrativ påföljdssavgift. En administrativa påföljdssavgift ska påföras utöver någon annan efterlevnadskontrollåtgärd och utesluter därmed inte att andra åtgärder vidtas. Den administrativa påföljdsavgiften ska tillfalla landskapet. Av bestämmelsens ordalydelse framgår att påföljdsavgift endast kan påföras enskilda, och därmed inte offentliga, verksamhetsutövare. Bestämmelsen genomför art. 34.1, 34.2 och 36 i cybersäkerhetsdirektivet och art. 22 i motståndskraftsdirektivet.

     I paragrafens 2 mom. föreskrivs att påföljdsavgiftsnämnden i varje enskilt fall ska, när den fattar beslut om huruvida en väsentlig eller viktig verksamhetsutövare ska påföras en administrativ påföljdsavgift och vid bedömningen av avgiftsbeloppets storlek, ta vederbörlig hänsyn till samma omständigheter enligt 37 § 4 mom. som vid vidtagande av övriga efterlevnadskontrollåtgärder. Bestämmelsen genomför art. 34.3 i cybersäkerhetsdirektivet.

     I paragrafens 3 mom. föreskrivs att en administrativ sanktionsavgift vilken påförs en kritisk verksamhetsutövare ska som minst uppgå till minst 2 000 och som högst till 20 000 euro. Beloppen är harmoniserade med försummelseavgiften enligt lagen om skydd av samhällets kritiska infrastruktur och om stärkande av samhällets motståndskraft (FFS 310/2025). Bestämmelsen genomför art. 22 i motståndskraftsdirektivet.

     I paragrafens 4 mom. föreskrivs att en administrativ sanktionsavgift vilken påförs en väsentlig verksamhetsutövare ska som högst uppgå till 10 000 000 euro eller 2 % av den totala globala årsomsättningen, under det föregående räkenskapsåret, för det företag som den väsentliga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst. Bestämmelsen genomför art. 34.4 i cybersäkerhetsdirektivet.

     I paragrafens 5 mom. föreskrivs att en administrativ sanktionsavgift vilken påförs en viktig verksamhetsutövare ska som högst uppgå till 7 000 000 euro eller 1,4 % av den totala globala årsomsättningen, under det föregående räkenskapsåret, för det företag som den viktiga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst. Bestämmelsen genomför art. 34.5 i cybersäkerhetsdirektivet.

     I paragrafens 5 mom. föreskrivs att påföljdsavgiftsnämnden, om påföljds-kollegiet har beslutat att påföra en verksamhetsutövare en administrativ sanktionsavgift enligt art. 83 i den allmänna dataskyddsförordningen, inte ska påföra en väsentlig eller viktig verksamhetsutövare en administrativ påföljdsavgift för en överträdelse enligt 41 § och som följer av samma gärning. En administrativ sanktionsavgift enligt art. 58.2 i jämte 83 i den allmänna dataskyddsförordningen jämte 24 § i dataskyddslagen och 4 och 5 §§ i landskapslagen om tillämpning på Åland av riskförfattningar om dataskydd, vilken tillämpliggör 24 § i dataskyddslagen om administrativa påföljdsavgifter. Landskapsregeringen får emellertid fortsatt ålägga verksamhetsutövaren övriga efterlevnadskontrollåtgärder, vilka föreskrivs i 38 § 2 och 3 mom. samt 39 § 3 mom. Bestämmelsen genomför art. 35.2 i cybersäkerhetsdirektivet.

     Bestämmelserna har utformats med beaktande av lagstiftningskontrollens slutsatser och grundlagsutskottets praxis och bedöms därmed vara i överenstämmelse med 21 § i grundlagen (se GrUU 14/2018 rd GrUU 62/2024 rd).

 

46 §. Verkställighet av påföljdsavgift. Den nya bestämmelsen innehåller en informativ hänvisning om att bestämmelser om verkställighet av påföljdsavgifter återfinns i lagen om verkställighet av böter (FFS 672/2002) samt föreskriver att en påföljdsavgift preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades. Bestämmelsen genomför delar av art. 36 i cybersäkerhetsdirektivet och art. 22 i motståndskraftsdirektivet.

     Bestämmelsen har utformats med beaktande av lagstiftningskontrollens slutsatser och grundlagsutskottets praxis och bedöms därmed vara i överenstämmelse med 21 § i grundlagen (se GrUU 14/2018 rd GrUU 62/2024 rd).

 

47 §. Ändringssökande. Den ändrade paragrafen innehåller informativa hänvisningar för en berörd verksamhetsutövares rättsskyddsförutsättning genom ändringssökande, när den har blivit föremål för ett av landskapsregeringens eller påföljdsnämndens beslut enligt lagen. Bestämmelsen genomför tillsammans med självstyrelselagen och rikets genomförande delar av art. 32.5 mom. 2 men. 2 i cybersäkerhetsdirektivet och delar av art. 21.4 i motståndskraftsdirektivet.

     Enligt paragrafens 1 mom. får en berörd verksamhetsutövare som inte är nöjd med landskapsregeringens beslut enligt 25 § 2 mom. i självstyrelselagen söka ändring genom besvär hos högsta förvaltningsdomstolen.

     Enligt paragrafens nya 2 mom. får en berörd verksamhetsutövare vilken inte är nöjd med ett av påföljdsavgiftsnämndens beslut enligt 25 § 1 mom. i självstyrelselagen söka ändring genom besvär hos Ålands förvaltningsdomstol.

     I paragrafens nya 3 mom. återfinns en informativ hänvisning om att ändring söks på det sätt som föreskrivs i lagen om rättegång i förvaltningsärenden.

 

Ikraftträdandebestämmelse. Lagen föreslås träda i kraft så snart som möjligt. I enlighet med 20 § 2 mom. i självstyrelselagen föreslås datumet för ikraftträdande lämnas öppet för landskapsregeringen att fatta beslut om.

 

Lagtext

 

Landskapsregeringen föreslår att följande lag antas.

 

L A N D S K A P S L A G
om ändring av landskapslagen om cybersäkerhet och motståndskraft

 

     I enlighet med lagtingets beslut

     ändras 39 § 3 mom. och 47 § landskapslagen (2025:57) om cybersäkerhet och motståndskraft, samt

     fogas till lagen nya 36 § 1 mom. 2 punkten, 38 § 1 mom. 2 punkten, 38 § 2 mom. 8 och 9 punkterna, 40 § 1 och 2 mom., 44a, 45, och 46 §§ som följer:

 

36 §

Tillsyn och efterlevnadskontroll av kritiska verksamhetsutövare

     Landskapsregeringen kan vid tillsyn av en kritisk verksamhetsutövare vidta följande tillsynsåtgärder:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     2) utföra eller ålägga verksamhetsutövaren att låta utföra säkerhetsrevisioner, och

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

38 §

Tillsyn och efterlevnadskontroll av väsentliga verksamhetsutövare

     Landskapsregeringen kan vid tillsyn av en väsentlig verksamhetsutövare vidta följande tillsynsåtgärder:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     2) utföra eller ålägga verksamhetsutövaren att låta utföra regelbundna och riktade säkerhetsrevisioner,

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     Landskapsregeringen kan vid konstaterade brister eller överträdelser vid efterlevnadskontroll av en väsentlig verksamhetsutövare vidta följande efterlevnadskontrollåtgärder:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     8) ålägga verksamhetsutövaren att låta utse en övervakningsansvarig, med väl definierade uppgifter och under en fastställd tidsperiod, i syfte att övervaka verksamhetsutövarens efterlevnad av 20 och 21 §§, och

     9) göra en framställning till påföljdsavgiftsnämnden om att verksamhetsutövaren ska påföras en administrativ påföljdssavgift.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

39 §

Tillsyn och efterlevnadskontroll av viktiga verksamhetsutövare

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

     Landskapsregeringen kan vid konstaterade brister eller överträdelser vid efterlevnadskontroll av en viktig verksamhetsutövare vidta motsvarande efterlevnadskontrollåtgärder enligt 38 § 2 mom., med undantag för åläggande av en verksamhetsutövare att låta utse en övervakningsansvarig enligt 8 punkten.

 

40 §

Rätt att få information

     Landskapsregeringen har trots sekretessbestämmelser och andra begränsningar vilka gäller utlämnande av information följande rätt att få information:

     1) rätt att av en kritisk verksamhetsutövare få information om riskbedömningar, åtgärder och plan för motståndskraft, incidenter och till denna direkt anknuten information vilken är nödvändig för tillsynen över fullgörandet av verksamhetsutövarens skyldigheter avseende åtgärder för motståndskraft samt över anmälan och rapporteringen av incidenter,

     2) rätt att av en väsentlig eller viktig verksamhetsutövare få information om åtgärder för cybersäkerhet, betydande cybersäkerhetsincidenter och till denna direkt anknuten information vilken är nödvändig för tillsynen över fullgörandet av verksamhetsutövarens skyldigheter avseende åtgärder för cybersäkerhet samt över anmälan och rapporteringen av cybersäkerhetsincidenter, och

     3) rätt att av en väsentlig eller viktig verksamhetsutövare få förmedlingsuppgifter, lokaliseringsuppgifter och information om meddelanden vilka innehåller ett skadligt datorprogram eller ett skadligt kommando, om det är nödvändigt för tillsynen över fullgörandet av verksamhetsutövarens skyldigheter avseende åtgärder för cybersäkerhet eller över anmälan och rapporteringen av betydande incidenter. Den information som landskapsregeringen har fått med stöd av denna punkt är sekretessbelagd.

Landskapsregeringens rätt till information ska dock inte begränsa skyddet för vars och ens privatliv, brev- och telefonhemligheten samt hemligheten i fråga om andra förtroliga meddelanden mer än nödvändigt.

     Landskapsregeringen ska i begäran om information ange syftet med begäran och precisera den begärda informationen. Informationen ska lämnas ut utan dröjsmål, i den form vilken landskapsregeringen har begärt och avgiftsfritt.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

 

44a §

Påföljdsavgiftsnämnd

     Landskapsregeringen ska utse en till denna ansluten påföljdsavgiftsnämnd, vilken på framställan ifrån landskapsregeringen kan påföra enskilda verksamhetsutövare administrativa påföljdsavgifter. Landskapsregeringen bestämmer i samband med påföljdsavgiftsnämndens tillsättande om ledamöternas ersättning.

     Påföljdsavgiftsnämnden ska bestå av en ordförande, en vice ordförande och minst fyra övriga ledamöter och personliga ersättare för dem. Nämndens ledamöter och ersättare ska antingen vara förtrogna med hantering av risker inom cybersäkerhet eller motståndskraft och cybersäkerhets- eller motståndskraftsdirektivet samt de skyldigheter vilka ankommer på verksamhetsutövare inom respektive sakområde enligt denna lag och författningar utfärdade med stöd av denna. Påföljdsavgiftsnämndens ordförande och vice ordförande ska därutöver ha sådan tillräcklig juridisk sakkunskap vilken uppdraget förutsätter. Påföljdsavgiftsnämndens ledamöter utses för en period om 5 år i taget. Nämndens ledamöter ska agera oberoende och opartiskt i sitt uppdrag.

     Påföljdsavgiftsnämnden ska fatta sina beslut efter föredragning. Föredragande är den tjänsteman vid landskapsregeringen vilken handlägger tillsynsärenden inom aktuellt sakområde. Påföljdsavgiftsnämnden är beslutsför när ordföranden eller vice ordföranden och minst två andra ledamöter eller ersättare är närvarande, förutsatt att desamma i enlighet med 2 mom. är förtrogna med det sakområde vilket ärendet gäller. Det utslag vilket flertalet har understött ska gälla som påföljdsavgiftsnämndens beslut. Vid lika röstetal gäller det utslag vilket är lindrigare för den vilken påföljden riktas emot.

     Påföljdsavgiftsnämnden har trots sekretessbestämmelser rätt att avgiftsfritt få den i 40 § avsedda information samt övrig information som är nödvändig för påförande av en administrativ påföljdsavgift eller för beräkning av dess belopp.

 

45 §

Administrativ påföljdsavgift

     Påföljdsavgiftsnämnden kan genom beslut ålägga en enskild verksamhetsutövare, vilken uppsåtligen eller av grov oaktsamhet bryter mot dess skyldigheter enligt denna lag, att erlägga en administrativ påföljdssavgift. Den administrativa påföljdsavgiften ska tillfalla landskapet.

     Påföljdsavgiftsnämnden ska i varje enskilt fall, när den fattar beslut om huruvida en väsentlig eller viktig verksamhetsutövare ska påföras en administrativ påföljdsavgift och vid bedömningen av avgiftsbeloppets storlek, ta vederbörlig hänsyn till samma omständigheter enligt 37 § 4 mom. som vid vidtagande av övriga efterlevnadskontrollåtgärder.

     En administrativ påföljdsavgift vilken påförs en kritisk verksamhetsut-övare ska som minst uppgå till 2 000 och som högst till 20 000 euro.

     En administrativ påföljdsavgift vilken påförs en väsentlig verksamhetsutövare ska som högst uppgå till 10 000 000 euro eller 2 % av den totala globala årsomsättningen, under det föregående räkenskapsåret, för det företag vilket den väsentliga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst.

     En administrativ påföljdsavgift vilken påförs en viktig verksamhetsut-övare ska som högst uppgå till 7 000 000 euro eller 1,4 % av den totala globala årsomsättningen, under det föregående räkenskapsåret, för det företag vilket den viktiga verksamhetsutövaren tillhör, beroende på vilken siffra som är högst.

     Påföljdsavgiftsnämnden ska, om påföljdskollegiet har beslutat att påföra en verksamhetsutövare en administrativ sanktionsavgift enligt den allmänna dataskyddsförordningen, inte påföra en väsentlig eller viktig verksamhetsutövare en administrativ påföljdssavgift för en överträdelse enligt 41 § och vilken följer av samma gärning.

 

46 §

Verkställighet av påföljdsavgift

     Bestämmelser om verkställighet av påföljdsavgifter finns i lagen om verkställighet av böter (FFS 672/2002). En påföljdsavgift preskriberas när fem år har förflutit från den dag då det lagakraftvunna beslutet om avgiften meddelades.

 

47 §

Ändringssökande

     En berörd verksamhetsutövare vilken inte är nöjd med ett av landskapsregeringens beslut får söka ändring genom besvär hos högsta förvaltningsdomstolen.

     En berörd verksamhetsutövare vilken inte är nöjd med ett av påföljdsavgiftsnämndens beslut får söka ändring genom besvär hos Ålands förvaltningsdomstol.

     Ändring söks på det sätt som föreskrivs i lagen om rättegång i förvaltningsärenden (FFS 808/2019).

 

__________________

 

     Denna lag träder i kraft den

 

__________________

 

 

 

Mariehamn den 28 augusti 2025

 

 

L a n t r å d

 

 

Katrin Sjögren

 

 

Föredragande minister

 

 

Ingrid Zetterman

 

 

Parallelltexter

 

·       Parallelltexter till landskapsregeringens lagförslag nr 26/2024-2025