Den 23. februar 2022 offentliggjorde EU-Kommissionen et forslag til en ny forordning vedrørende adgangen til og brug af data genereret i EU, i daglig tale kaldet ”Data Act”. Forordningen indgår som led i EU’s digitale strategi, og er et supplement til den nye Data Governance Act, der er den første foreslåede retsakt med afsæt i den europæiske datastrategi.
Den 23. februar 2022 offentliggjorde EU-Kommissionen et forslag til en ny forordning vedrørende adgangen til og brug af data genereret i EU, i daglig tale kaldet ”Data Act”. Forordningen indgår som led i EU’s digitale strategi, og er et supplement til den nye Data Governance Act, der er den første foreslåede retsakt med afsæt i den europæiske datastrategi.
Den europæiske datastrategi blev lanceret i 2020, og det er formålet med denne strategi at skabe et digitalt indre marked for data, hvor data kan bevæge sig frit på tværs af forskellige sektorer inden for EU. Målet er, at EU skal blive en førende rollemodel inden for dataøkonomi, og i sidste ende at udnytte fordelene ved bedre anvendelse af data, herunder større produktivitet og konkurrenceprægede markeder, samt forbedringer inden for sundhed og trivsel, miljø, gennemsigtig forvaltning og hensigtsmæssige offentlige tjenester.
Data Governance Act har til formål at styrke delingen af data på tværs af EU ved bl.a. at etablere en ramme, der skal fremme en ny forretningsmodel for dataformidlingstjenester. Disse tjenester skal skabe et sikkert miljø, der kan hjælpe virksomheder og enkeltpersoner med at dele data. Dette kan f.eks. være digitale platforme der hjælper med datadeling mellem virksomheder og letter forpligtelserne til datadeling.
Delingen af data på tværs af EU skal yderligere styrkes ved (under nærmere omstændigheder) at give adgang til offentlige data, som er underlagt tredjeparters rettigheder, oprette nye anmeldelses- og tilsynsregimer for datamellemmænd, der påtager sig opgaven at administrere delingen af data, og skabe rammer for dataaltruisme, hvor data kan anvendes til f.eks. videnskabelige formål. Data Governance Act omfatter oplysninger fra både den offentlige og private sektor samt personoplysninger og andre data end personoplysninger.
Mens Data Governance Act regulerer de processer og strukturer der er nødvendige for at lette tilgængeligheden af data mellem virksomheder, individer og den offentlige sektor, regulerer Data Act, hvem der kan administrere materielle rettigheder til adgang eller anvendelse af data og under hvilke betingelser.
Anvendelsesområde
Forordningen vil regulere al data, brugere genererer ved brug af såkaldte ”Internet of Things”-produkter (også kaldet IoT-produkter) og tilknyttede tjenester. Data defineres i forordningen som enhver digital repræsentation af handlinger, fakta og information, herunder lyd, billede og audiovisuel optagelse. Der er dermed lagt op til et meget bredt anvendelsesområde, som omfatter industrielle data, men også kan omfatte personoplysninger.
Forordningen omfatter en lang række aktører, herunder producenter af IoT-produkter og udbydere af tilknyttede tjenester til disse produkter, der sælges og markedsføres inden for EU. Tilknyttede tjenester skal forstås som tjenester, der er indbygget eller forbundet med et IoT-produkt, og ville forhindre produktet i at udøve dets funktioner, uden tjenesten. Brugerne af disse produkter og tjenester er også omfattet af forordningen.
Derudover er dataindehavere, dvs. virksomheder, der har en ret eller forpligtelse eller mulighed for at stille data til rådighed for datamodtagere i EU omfattet. Den præcise afgrænsning af ”dataindehaver” er endnu meget uklar, men det er hensigten, at der skal være tale om et særdeles bredt begreb. Datamodtagere, offentlige institutioner og udbydere af cloud-services er desuden også omfattet.
Adgang til og deling af data
Det grundlæggende princip for forordningen er, at virksomheder og forbrugere skal kunne opnå adgang til, forvalte og dele de data, som de selv bidrager til at skabe, når de bruger IoT-produkter og relaterede tjenester. Udbydere af disse tjenester skal derfor sørge for, at brugerne let kan tilgå alle de data, som brugeren selv er med at skabe. Dette kan gøres gennem nemme og overskuelige grænseflader, så forbrugeren nemt kan danne sig et overblik over al data, der bliver genereret. Producenter af sådanne produkter og relaterede tjenester bør allerede nu begynde at overveje, hvordan dette kan inkorporeres bedst muligt.
Særligt inden for landbrug og industri vil en nemmere adgang til data genereret ved brug af industriudstyr gøre det muligt for fabrikker, landbrug og byggevirksomheder at optimere drift, produktion og forsyningskæder. Inden for præcisionslandbrug kan data fra IoT-udstyr hjælpe landmænd med at analysere realtidsdata som f.eks. vejr, temperatur og fugtighed og kan hjælpe til at optimere og øge udbyttet og forbedre landbrugsplanlægningen.
Brugere skal have mulighed for at stille de data, der genereres ved brug af produktet, til rådighed over for en tredjepart. Dette skal ske uden omkostning for forbrugeren, uden unødig forsinkelse og af samme kvalitet, der er tilgængelig for dataindehaveren. Tredjeparten kan være en direkte konkurrent eller en ekstern platform der kan bruge dataene til at udvikle nye tjenester. Tredjeparter må ikke bruge denne data til at udvikle et direkte konkurrerende produkt, men kan skabe alternative tjenester.
Eksempelvis kan en ejer af en bil vælge at dele data, der genereres ved brugen af den, med sit forsikringsselskab. Delingen af data kan også anvendes af eftersalgs-tjenester, så forbrugerne kan vælge en billigere reparations- og vedligeholdelsesudbyder end producentens egne tjenester.
Offentlige organers adgang til data
Forordningen åbner op for, at offentlige organer under ekstraordinære omstændigheder kan anmode om udlevering af data fra dataindehavere. Dette kan være tilfældet, hvis en nødsituation som f.eks. terrorangreb, naturkatastrofer eller sundhedskriser truer. Anmodningen om data skal dog stå i rimeligt forhold til truslen, og kan ikke anvendes til daglig retshåndhævelse. Derudover skal dataene slettes, når formålet med indhentelsen er ophørt.
Offentlige organer har desuden mulighed for efterfølgende at dele de indhentede data til non-profit forskningsorganisationer.
Små- og mellemstore virksomheder (SME’er)
SME’er vil i særdeleshed drage fordel af den nye Data Act, da forordningen vil pålægge dataindehavere obligatoriske forpligtelser til at stille deres data til rådighed på rimelige og ikke-diskriminerende vilkår. I tilfælde hvor en dataindehaver ensidigt har pålagt urimelige kontraktvilkår over for SME’er, vil bevisbyrden tilfalde dataindehaveren, og det vil således være dataindehaveren der skal kunne dokumentere, at kontraktsvilkårene ikke er urimelige.
EU-Kommissionen vil desuden udvikle ikke-bindende standardkontraktvilkår, der vil hjælpe SME’er med at forhandle fair og balancerede datadelingskontrakter med selskaber, der har en langt bedre forhandlingsposition.
Forholdet til GDPR
Når data inden for forordningens anvendelsesområde deles, og der er er tale om personhenførbare oplysninger, skal delingen ske i overensstemmelse med GDPR. Den nye Data Act vil således ikke overrule GDPR-forordningen.
Desuden bygger Data Act videre på, reglerne i GDPR-forordningen. Dette gælder især retten til dataportabilitet, som giver de registrerede mulighed for at flytte deres data mellem dataansvarlige, der tilbyder konkurrerende tjenester. I henhold til GDPR er denne ret begrænset til personoplysninger, der behandles på visse retsgrundlag, og hvor det er teknisk muligt. Data Act vil styrke denne ret for de tilsluttede produkter, så forbrugeren kan få adgang til og overføre alle data, der genereres af produktet, både personlige og industrielle data.
Det videre forløb
Forordningen arbejder med et særdeles omfattende anvendelsesområde, hvilket betyder at mange af forordningens aspekter er en anelse uklare. Mange af disse detaljer vil nu blive drøftet, og det forventes at Europa-Parlamentet og Rådet forventes inden for det kommende års tid vil fremsætte ændringsforslag til udkastet. En endelig ikrafttræden af forordningen forventes ikke før 2024 eller 2025.