Ny föreslagen EU förordning ska ge ökad tillgång till data

I februari 2022 presenterade EU-kommissionen ett förslag till förordningen Data Act (på svenska datakten) som syftar till att öka tillgången och användningen av data inom unionen. Förslaget är en av flera insatser under ett initiativ kallat EU:s datastrategi vars övergripande mål är att till 2030 etablera en inre europeisk marknad för data. Målet är att data som inte är personuppgifter ska kunna flöda fritt mellan länder och sektorer och användas av företag, forskare och förvaltningar i hela EU på lika villkor. Förhoppningen är att denna inre marknad för data inte bara ska gynna dataekonomin, utan även EU:s ekonomi och samhället i stort genom främjandet av datadriven innovation och forskning.

Enligt EU-kommissionen kan implementeringen av dataakten väntas leda till en BNP-tillväxt på 270 miljarder euro i EU-länderna fram till 2028 eftersom regelverket kan komma att lösa olika rättsliga, ekonomiska och tekniska problem som hittills medfört att data underutnyttjas. Förhoppningen är även att dataakten kommer inverka positivt på utvecklandet av AI, eftersom sådan utveckling generellt kräver stora mängder data.

Sedan februari 2022 har förslaget diskuterats av EU:s medlemsstater och den 14 mars 2023 presenterade Europaparlamentet ett utkast till regelverket. Nästa steg är att Europeiska unionens råd ska behandla utkastet. I det följande kommer några centrala delar från förslaget till dataakten att beröras.

Data som berörs av dataakten

Fysiska uppkopplade produkter som tar emot, genererar eller samlar in data om sin användning eller om miljön runtomkring dem omfattas av förslaget till dataakten (eng: connected products). Ett exempel skulle kunna vara en kaffemaskin som genererar statistik kring vilken varm dryck som är mest populär och hur lång tid det är kvar tills maskinen behöver repareras. Även digitala tjänster som krävs för att en uppkopplad produkt ska kunna utföra en eller flera av sina funktioner kommer att omfattas av reglerna i dataakten om sådana digitala tjänster får tillgång till data som genererats av produkten.

Såväl data som utgör personuppgifter enligt GDPR, och annan typ av data, exempelvis metadata och andra tekniska data, föreslås omfattas av dataakten. Eftersom dataakten kompletterar GDPR, vars bestämmelser fortsatt ska tillämpas fullt ut, föreslås emellertid att användning och delning av data som innefattar personuppgifter ska vara föremål för vissa begränsningar i dataakten.

De nya skyldigheterna och ansvarsområdena som uppställs i förslaget till dataakten kommer träffa tillverkare av uppkopplade produkter och leverantörer av tillhörande tjänster inom EU. Vissa nya skyldigheter kommer även träffa leverantörer av databehandlingstjänster, om de erbjuder tjänsterna till kunder inom EU.

Användares tillgång till data

I förslaget till dataakten ställs krav på att produkter som omfattas av regelverket ska vara designade och tillverkade på ett sätt som möjliggör att data kan tillgängliggöras i ett maskinläsbart format utan kostnad för användare, vilka kan vara såväl konsumenter som juridiska personer. På så sätt ska användare i större utsträckning kunna dra nytta av den data som genererats genom produkten eller dess tillhörande tjänst.

Användare ska också kunna begära att data delas med en tredje part. Det kan till exempel bli aktuellt om en uppkopplad produkt har gått sönder och användaren begär att den aktör som till lägst pris kan reparera produkten, ges tillgång till sådan data som möjliggör reparationen. En sådan aktör ska enbart behandla data för de ändamål som användaren har bestämt på förhand.

Den data som datainnehavaren kan bli skyldig att lämna ut kan komma att innefatta företagshemligheter.   I förslaget till dataakten framgår förvisso att användares rätt att ta del av data inte ska undermineras enbart för att den data som begärts ut innefattar företagshemligheter. Däremot ska företagshemligheter och även eventuella immateriella rättigheter respekteras. Förslaget innehåller därför särskilda regler för att skydda datainnehavarens företagshemligheter, exempelvis i form av att företagshemligheter endast ska behöva lämnas ut till en tredje part när det är strikt nödvändigt för att tillmötesgå en legitim förfrågan, och att datainnehavaren kommer kunna kräva att sekretessavtal ska tecknas med användaren eller den tredje part som användaren begärt att data ska delas med.

Offentliga aktörers tillgång till data vid exceptionellt behov

Förslaget till dataakten innehåller också regler kring att datainnehavare kan vara skyldiga att ge offentliga myndigheter eller vissa unionsinstitutioner tillgång till data i exceptionella situationer.

Exceptionella situationer kan till exempel utgöra allmänna nödsituationer som pandemier, naturkatastrofer eller större cybersäkerhetsincidenter. Ett exempel i närtid som skulle kunna utgöra en exceptionell situation är Coronapandemin, då det kan ha funnits ett behov av att inhämta platsinformation från mobiloperatörer för att kunna kartlägga korrelationen mellan antalet människor i rörelse och spridningen av viruset. En skyldighet att lämna ut data till myndigheter kan också föreligga om det krävs för att förhindra en allmän nödsituation eller för att en samhällsviktig funktion ska kunna återställas efter en allmän nödsituation.

Smidiga byten mellan databehandlingstjänster

Utöver rätten att få tillgång till data från uppkopplade produkter, ska kunder till databehandlingstjänster, exempelvis molntjänster för datalagring, enligt förslaget ha rätt att på ett smidigt sätt få den data som lagras i tjänsten överförd från sin befintliga leverantör till en ny tjänsteleverantör. Leverantörer av databehandlingstjänster ska enligt förslaget bland annat se till att hindren mot att byta tjänsteleverantör undanröjs och erbjuda assistans i dataöverföringen. Det föreslås också regler kring hur eventuella avgifter för byte av databehandlingstjänst ska hanteras.

Sammanfattande kommentar

Sannolikt kommer ett dataakten medföra ett större flöde av data inom unionen, eftersom data som tidigare enbart tillfallit datainnehavare nu även kommer kunna åtnjutas av fler aktörer. Enskilda användare kan också förväntas få en större kontroll över sin data. För företag som är datainnehavare kommer dataakten att kräva anpassning för att kunna möta de nya kraven, exempelvis genom implementering av verktyg för att ge användare tillgång till genererade data.

Kontakta gärna oss på Cederquist om ni har frågor kring hur er verksamhet kan komma att påverkas av en framtida implementering av dataakten.

Vill du läsa mer om dataakten finns det senaste förslaget att tillgå i sin helhet här.

I ett tidigare nyhetsbrev har vi även behandlat ett annat lagstiftningsarbete inom ramen för EU:s datastrategi, Data Governance Act (dataförvaltningsakten) som syftar till att främja delning av data mellan olika aktörer. Om du är intresserad av vår tidigare artikel om dataförvaltningsakten, så hittar du den här.