Nytt regelverk om skälig åtkomst till och användning av data (Data Act)

Den s.k. Data Act har nyligen trätt i kraft. Förordningen syftar till att förenkla för olika aktörer att ta del av och skapa värde från data och ska stärka EU:s dataekonomi. Förordningen ställer bland annat upp krav på tillgängliggörande av data från uppkopplade produkter och tillhörande tjänster och innehåller regler som ska förenkla byten mellan databehandlingstjänster så som molntjänster. Förordningen blir tillämplig från och med den 12 september 2025.

Bakgrund

Den 11 januari 2024 trädde förordning (EU) 2023/2854 om harmoniserade regler för skälig åtkomst till och användning av data, också känd som datakten eller på engelska Data Act (nedan kallad ”Data Act”) i kraft. Förordningen är en del av den europeiska datastrategin och syftar till att stärka EU:s dataekonomi. Syftet är att alla ska kunna nyttja fördelarna med den digitala revolutionen.

I den europeiska datastrategin ingår även förordning (EU) 2022/868 om europeisk dataförvaltningsförordning (också känd som ”Data Governance Act”). Data Governance Act syftar till att upprätta processer och strukturer för att underlätta datadelning mellan företag, individer och den offentliga sektorn. Data Act syftar i stället till att klargöra vem som kan skapa värde från data och på vilka villkor. De båda förordningarna kommer dock samverka för en ökad tillgänglighet och transparens.

Data Act blir tillämplig från och med den 12 september 2025. Vissa regler i förordningen kommer dock att bli tillämpliga först senare.

Regelverket i korthet

Data Act ställer upp en rad olika krav avseende tillgängliggörande och behandling av data, bland annat avseende följande:

• Krav på tillgängliggörande av data från uppkopplade produkter och tillhörande tjänster. En rad skyldigheter införs kring uppkopplade produkter och tillhörande tjänster. Exempelvis finns en skyldighet att göra produktdata och data från tillhörande tjänst tillgänglig för en användare, vilket ska beaktas t.ex. vid design av produkten. Vidare ska användaren ha rätt att få åtkomst till, använda och tillgängliggöra produktdata och data från tillhörande tjänster. Det finns även skyldigheter kring utlämnande av data till tredje part och mottagande av sådan data, på användarens begäran.
• Skydd mot oskäliga avtalsvillkor i samband med åtkomst till och användning av data mellan företag. Förordningen innehåller vidare bestämmelser om att oskäliga avtalsvillkor inte ensidigt får åläggas ett annat företag. Regleringen ska motverka att leverantörer med en stark position på marknaden ensidigt ställer upp avtalsvillkor som motparten inte har möjlighet att förhandla. Exempel på avtalsvillkor som kan vara oskäliga är vissa ansvarsbegränsningar, uteslutande av rättsmedel i händelse av underlåtenhet att fullgöra avtalsförpliktelser under vissa förutsättningar eller förhindrande för part att använda data som denne tillhandahållit eller genererat under avtalstiden under vissa förutsättningar.
• Krav på att tillgängliggöra data för offentligt organ, kommissionen, Europeiska centralbanken eller ett unionsorgan visar att det föreligger ett exceptionellt behov. Förutsatt att sådant organ kan visa att det föreligger ett exceptionellt behov, så som hot mot folkhälsan, nödläge till följd av naturkatastrofer eller en större cyberincident, under vissa förutsättningar, kan dessa organ ha rätt att få tillgång till vissa data för att hantera situationen.
• Reglering avseende byte mellan databehandlingstjänster. Leverantörer av databehandlingstjänster, så som molntjänster, ska vidta åtgärder för att göra det möjligt för kunder att enkelt byta till en annan databehandlingstjänst.
• Olaglig internationell statlig åtkomst till och överföring av data som inte innehåller personuppgifter. Förordningen innehåller skyldigheter för leverantörer av databehandlingstjänster, så som molntjänster, att vidta åtgärder för att förhindra överföring av icke-personuppgifter som innehas i unionen utanför unionen, om en sådan överföring eller åtkomst skulle strida mot unionsrätten eller den berörda medlemsstatens nationella rätt.
• Krav avseende interoperabilitet. Förordningen ställer upp krav kring interoperabilitet för att underlätta förflyttning av data och byte mellan databehandlingstjänster. Dessa krav gäller interoperabilitet för bland annat data, datadelningsmekanismer och datadelningstjänster samt för databehandlingstjänster.

Förhållande till dataskyddsförordningen (GDPR)

Data Act omfattar både data som innehåller personuppgifter och data som inte innehåller personuppgifter. Data Act ska dock inte påverka tillämpligheten av GDPR, innebärandes att vid en konflikt mellan Data Act och GDPR så ska GDPR ha företräde.

Vad innebär Data Act för er organisation?

Som följer ovan kan Data Act bli tillämplig för en rad olika aktörer, så som tillverkare av uppkopplade produkter och leverantörer av tillhörande tjänster samt databehandlingstjänster (t.ex. molntjänster). Data Act innehåller även mer generellt tillämpliga krav, exempelvis för organisationer som innehar data som kan vara relevant vid exceptionella behov eller som kan komma att överföras utanför EU i strid med förordningen. Vi rekommenderar därför att ni ser över lagstiftningen och bedömer vilka krav som kan bli tillämpliga för er organisation, för att sedan bedöma vilka åtgärder som behöver vidtas för att säkerställa efterlevnad.

Data Act medför även en rad möjligheter för aktörer att få del av data, t.ex. avseende uppkopplade produkter. Det är därför fördelaktigt att se över lagstiftningen och bedöma hur er organisation kan dra nytta av den rätt till data Data Act medger.

Det är vidare relevant att se över hur kraven, samt eventuella data ni avser att begära ut mot bakgrund av Data Act, förhåller sig till annan lagstiftning, så som GDPR. Om ni t.ex. begär ut data med stöd av Data Act och sådan data innehåller personuppgifter måste det säkerställas att behandlingen är i enlighet med GDPR, bl.a. genom att det finns en laglig grund för behandlingen och att ni inte behandlar mer personuppgifter än nödvändigt.

Om ni har några frågor eller vill veta mer om Data Act och vad regelverket kan få för betydelse för er organisation, är ni varmt välkomna att kontakta oss.