1 §  Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), i denna lag benämnd EU:s dataförvaltningsförordning.

Ord och uttryck i lagen har samma betydelse som i EU:s dataförvaltningsförordning.

2 §  Den myndighet som regeringen bestämmer ska vara tillsynsmyndighet enligt denna lag.

Tillsynsmyndigheten ska vara behörig myndighet för dataförmedlingstjänster enligt artikel 13 i EU:s dataförvaltningsförordning och för registrering av dataaltruismorganisationer enligt artikel 23 i EU:s dataförvaltningsförordning.

3 §  De myndigheter som regeringen bestämmer ska på begäran lämna tillsynsmyndigheten de uppgifter som den behöver i sin tillsynsverksamhet.

4 §  Tillsynsmyndigheten ska på begäran lämna de uppgifter som en annan myndighet behöver i sin tillsynsverksamhet.

Regeringen bestämmer vilka myndigheter som ska ha rätt att få uppgifter enligt första stycket.

5 §  Tillsynsmyndigheten får meddela en varning till en leverantör av dataförmedlingstjänster som bryter mot anmälningsskyldigheten enligt artikel 11, villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12 eller villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.

6 §  Tillsynsmyndigheten får meddela en varning till en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja andra data än personuppgifter för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.

7 §  Tillsynsmyndigheten får meddela en varning till en erkänd dataaltruismorganisation som bryter mot

1. villkoren för registrering som erkänd dataaltruismorganisation enligt artiklarna 18, 20, 21 eller 22, eller
2. villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.

8 §  Tillsynsmyndigheten får besluta de förelägganden som behövs för att EU:s dataförvaltningsförordning, denna lag eller föreskrifter som har meddelats i anslutning till lagen ska följas.

Tillsynsmyndigheten får förena ett föreläggande enligt artikel 14 i EU:s dataförvaltningsförordning med vite.

9 §  Tillsynsmyndigheten ska besluta att ta ut en sanktionsavgift från en leverantör av dataförmedlingstjänster vid överträdelser av

• anmälningsskyldigheten enligt artikel 11,
• villkoren för tillhandahållande av dataförmedlingstjänster enligt artikel 12, eller
• villkoren för överföring av andra data än personuppgifter till tredjeland enligt artikel 31 i EU:s dataförvaltningsförordning.

Om det kan anses tillräckligt får tillsynsmyndigheten, i stället för att besluta en sanktionsavgift vid överträdelser enligt första stycket, meddela en varning enligt 5 §.

10 §  Tillsynsmyndigheten ska besluta att ta ut en sanktionsavgift av en fysisk eller juridisk person som har beviljats rätten att vidareutnyttja andra data än personuppgifter för överträdelser av artikel 5.14 i EU:s dataförvaltningsförordning.

Om det kan anses tillräckligt får tillsynsmyndigheten, i stället för att besluta en sanktionsavgift vid överträdelser enligt första stycket, meddela en varning enligt 6 §.

11 §  En sanktionsavgift enligt 9 eller 10 § ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.

När avgiftens storlek bestäms ska hänsyn tas till

1. överträdelsens art, allvar, omfattning och varaktighet,
2. åtgärder som har vidtagits för att begränsa eller avhjälpa den skada som överträdelsen har orsakat,
3. tidigare överträdelser,
4. de ekonomiska vinster som har gjorts eller de förluster som har undvikits till följd av överträdelsen, och
5. försvårande eller förmildrande omständigheter utöver dem i 1-4.

Tillsynsmyndigheten får avstå från att ta ut en sanktionsavgift helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.

12 §  En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande som har förenats med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

13 §  En sanktionsavgift får beslutas endast om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från den dag då överträdelsen ägde rum.

Ett beslut om sanktionsavgift ska delges.

14 §  En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.

Om sanktionsavgiften inte betalas i tid, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.

Sanktionsavgiften tillfaller staten.

15 §  En sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.

16 §  Tillsynsmyndigheten får ta ut avgifter från leverantörer av dataförmedlingstjänster för anmälan, registerhållning och tillsyn av leverantörer av dataförmedlingstjänster enligt EU:s dataförvaltningsförordning och denna lag.

Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om avgifterna.

17 §  Tillsynsmyndighetens beslut enligt artiklarna 14, 19 och 24 i EU:s dataförvaltningsförordning eller enligt denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.