Information om Dataakten

I slutet av november 2023 antog Europeiska unionens råd en ny förordning som syftar till att reglera tillgängligheten och användningen av data genererad av uppkopplade produkter och tjänster, den s.k. Dataakten (Eng: ”the Data Act”). Dataakten kommer att börja tillämpas från och med september 2025. Det ger företag tid att anpassa sig till de nya reglerna.

Huvudpunkter i Dataakten

Användares rätt till tillgång till och överföring av data

  • Dataakten ger användare (typiskt sätt ägare av en uppkopplad produkt; konsument eller företag) rätten till kostnadsfri och standardmässig tillgång till data genererad från deras uppkopplade produkter och tjänster (art. 3 (1)). För tillverkare, säljare och uthyrare som förfogar över sådan data (s.k. datainnehavare) innebär detta en skyldighet att tillhandahålla denna data till användaren och även i förväg informera användaren om vilken data som genereras av produkten/tjänsten och hur användaren kan tillgå densamma (art. 3.(2) och (3)).
  • Dataakten ger vidare användare en grundläggande rätt att överföra sin data till tredjeparter (s.k. datamottagare), till exempel leverantörer av underhållstjänster etc. Datainnehavaren kan debitera datamottagaren en skälig för ersättning för sådan dataöverföring i ett B2B-sammangang (art. 9), under förutsättning att villkoren för överföringen är transparanta och tillämpas på rättvist, rimligt och icke-diskriminerande sätt (art. 8 (1)).
  • Datainnehavares användning av data som inte utgör personuppgifter för egna syften (till exempel analys och produktutveckling) är endast tillåten om sådan användning genom avtal godkänts av användaren (art. 4 (13)).
  • Dataakten innehåller härtill bestämmelser om överföring av data till offentliga myndigheter i fall av ”exceptionella behov” (art. 14 – 22).

Byte av databehandlingstjänst

Datakten innehåller vidare bestämmelser som syftar till att underlätta för kunder att byta mellan moln- edge- och andra databehandlingstjänster och säkerställa interoperabilitet, dvs. att data kan användas på tvärs av olika plattformar och tjänster (art. 23 – 31, resp. art. 33 - 36).

  • Leverantörer av databehandlingstjänster är enligt Dataakten bland annat skyldiga att inkludera vissa kontraktsvillkor för att tillhandahålla assistans under bytet till annan leverantör och begränsar uppsägningstidens längd för tjänster till maximalt trettio kalenderdagar. Avgifter för att byta leverantör tillåts endast för att täcka leverantörens direkta kostnader för flytten och från och med tre år efter Dataaktens ikraftträdande tillåts inte leverantören debitera några sådana avgifter alls. Därför kan tjänsteleverantörer behöva se över och uppdatera sina allmänna kontraktsvillkor för att följa Dataakten.

Skydd av företagshemligheter

Rättigheterna för användare att få tillgång till data och dela densamma med tredje part kan medföra nya risker för företag när det gäller skyddet av företagshemligheter. Företag kan visserligen vägra att dela data i vissa fall med hänvisning till skyddet för företagshemligheter men Dataakten skyddar framför allt användarens intressen i de här situationerna.

  • Artikel 8 (6) klargör att skyldigheten att dela data med tredje part inte innebär att en skyldighet för datainnehavaren att avslöja affärshemligheter.
  • Dock måste datainnehavare, även om den begärda datan innehåller affärshemligheter, tillmötesgå användarens begäran om tillgång till eller delning av data. Datainnehavaren är hänvisad till att vidta alla nödvändiga åtgärder för att skydda affärshemligheter, såsom att ingå sekretessavtal (art. 4(6) och 5.(9)).
  • Enligt artiklarna 4 (7) och 5 (10) finns möjligheten för datainnehavare att vägra eller upphäva delning av data om användaren eller tredje part inte vidtar nödvändiga skyddsåtgärder, eller om ingen överenskommelse kan nås om vilka åtgärder som ska vidtas. Ett sådant beslut måste dock motiveras och kommuniceras skriftligen till användaren eller tredje part omgående, samt vidarebefordras/motiveras till den behöriga myndigheten.
  • Som en sista utväg kan datainnehavaren neka tillgång till data om "exceptionella omständigheter" föreligger (se art. 4 (8) och 5 (11)), vilket kräver att datainnehavaren kan visa på sannolik allvarlig ekonomisk skada som resultat av röjandet av affärshemligheterna, trots säkerhetsåtgärder från användarens/datamottagaren sida.
  • Det är förbjudet för användare och datamottagare att utveckla en konkurrerande produkt med hjälp av den tillhandahållna datan eller att offentliggöra sådan data för att få insikt i datainnehavarens ekonomiska situation eller produktionsmetoder, enligt art. 4 (10) och 6 (2) e).
  • Vid brott mot överenskomna sekretessåtgärder eller användning av data för utveckling av en konkurrerande produkt, kan datainnehavaren kräva radering av tillhandahållna data, förstörelse av intrångsgörande varor och ersättning i enlighet med art. 11 (2).

Förhållande till GDPR

  • Dataakten ska tillämpas utan att det påverkar GDPR. Vid en konflikt en konflikt ska GDPR äga företräde (art. 1(5)).
  • När personuppgifter behandlas krävs därför en rättslig grund enligt GDPR. Om användare begär tillgång till data eller önskar att data delas med tredje part, finns vanligtvis en rättslig grund för detta enligt art. 6 (1) c) (fullgörande av rättslig skyldighet) eller art. 6 (1) f) (intresseavvägning) GDPR.
  • Utmaningar uppstår när datan även berör tredje part som inte är användaren. Företag bör därför alltid beakta GDPR:s bestämmelser när data överförs och kontrollera att det finns en laglig grund för offentliggörandet.

Avtalsvillkor för dataöverföring

  • När en datainnehavare enligt Dataakten är skyldig att överföra data till en kommersiell datamottagare, bör villkoren för överföringen regleras i avtal mellan parterna (art. 8 (1)), i syfte att säkerställa att processen sker på ett ordnat sätt som skyddar bådas intressen och uppfyller lagkrav, såsom dataskydd.
  • Dock, ensidigt ålagda (dvs. oförhandlade) avtalsvillkor om tillgång och användning av data eller ansvar vid avtalsbrott rörande datarelaterade skyldigheter, är inte bindande om de anses oskäliga eller om de begränsar användarens rättigheter under Dataakten (art. 8 (2) och 13 (1)). Vad som anses vara "oskäligt" specificeras delvis i artiklarna 13 (4) och (5), med exempel på både orättvisa villkor gentemot datamottagaren och datainnehavaren. Dessutom anses ett villkor vara oskäligt "om dess tillämpning avviker kraftigt från god affärssed gällande tillgång till och användning av data (artikel 13 (3)). Dock eftersom det ännu saknas god affärssed i sammanhanget, så är bestämmelsen svårtolkad.
  • För att vägleda företag, kommer Europeiska kommissionen att ta fram icke-bindande standardavtalsklausuler för datatillgång och dataanvändning, inklusive villkor för lämplig ersättning och skydd av affärshemligheter. Dessa modellklausuler, som ska utarbetas innan övergångsperioden (20 månader från Dataaktens ikraftträdande) avslutas, är avsedda att stödja företag i att utforma och förhandla lagligt godtagbara avtal (art. 41).

Sanktioner

Det är upp till varje medlemsland att fastställa nationella regler för sanktioner för brott mot Dataakten. Dataakten föreskriver att sådana sanktioner ska vara effektiva, proportionella och avskräckande; en formulering inspirerad av GDPR.

Om en överträdelse av Dataakten också rör personuppgifter, kan nationella dataskyddsmyndigheter, utöver böter enligt Dataakten, påföra böter upp till det högre beloppet av 20 miljoner euro eller 4% av företagets årliga omsättning från föregående år, för överträdelser av regler om datatillgång och delning med användare enligt Dataakten.

Rekommenderad åtgärder

Innan Dataakten träder i kraft bör företag som tillverkar, säljer eller hyr ut uppkopplade produkter säkerställa att de har avtal på plats som möjliggör för dem att fullt ut fortsätta utnyttja data från sina produkter. Företagen bör även ha utarbetat strategier avseende delning av data som säkerställer efterlevnad av Dataakten samtidigt som hänsyn tas till GDPR och skydd av företagshemligheter. I praktiken kan det sannolikt krävas produktutveckling från datainnehavarna för att möjliggöra efterlevnad av Dataakten, inklusive standardmässig tillgång av data för användare.

 

Registrera dig för e-postutskick

Prenumerera på Lindahls nyhetsbrev!

Besök sidan

IT/Tech

Lindahls IT/Tech-team består av drygt 25 jurister med mångårig och mångsidig erfarenhet av juridisk rådgivning inom IT och teknik. Samhällets allmänna digitalisering, automatisering och mjukvaruberoende speglar våra uppdrag: våra klienter är verksamma inom alla branscher och finns inom såväl privat som offentlig sektor.

Besök sidan

Relaterat

Kontakt

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse