EU:s Data Acts nya krav på molnportabilitet – praktiska konsekvenser för molntjänstleverantörer

  • Hem
  • Aktuellt
  • Insikter
  • 2025
  • EU:s Data Acts nya krav på molnportabilitet – praktiska konsekvenser för molntjänstleverantörer

Bakgrund

I höst börjar EU:s Data Act att tillämpas (förordning (EU) 2023/2854, trädde i kraft den 11 januari 2024 och tillämpas från och med den 12 september 2025). Förordningen syftar till att främja delning och användning av all typ av data inom EU, och kompletterar GDPR, som fortsatt gäller parallellt för personuppgifter.

I den här artikeln fokuserar vi på de regler i Data Act som avser att främja dataportabilitet och motverka kundinlåsning inom marknaden för databehandlingstjänster, vilket inbegriper molntjänster såsom IaaS, SaaS och PaaS, samt tjänster som använder datorkapacitet nära slutanvändaren, s.k. edge computing. I det följande använder vi för enkelhets skull begreppet ”molntjänster” istället för ”databehandlingstjänster”. Regleringarna i kapitel VI i Data Act kan få betydande effekter på EU:s marknad för molntjänster. Förordningen gäller alla leverantörer som erbjuder molntjänster till kunder inom EU, oavsett var leverantören är etablerad.

Sammanfattningsvis innebär de nya reglerna att:

  • molntjänstleverantörer är skyldiga att undanröja alla hinder som försvårar byte mellan molntjänster av samma typ,
  • avgifter för att byta leverantör, inklusive kostnader för datauttag, ska tas bort senast i januari 2027,
  • portabilitet av kunddata blir en tvingande rättighet som uttryckligen ska framgå i kundavtal, och
  • interoperabilitet mellan molntjänster ska definieras genom gemensamma tekniska standarder.

Vissa tjänster är undantagna Data Acts tillämpningsområde:

• Icke-produktionsversioner av molntjänster som används för testning eller utvärdering under en begränsad tid, och

• Skräddarsydda tjänster som är anpassade efter kundens behov och inte erbjuds i stor kommersiell skala undantas från vissa av skyldigheterna i Data Act.

Undanröjande av hinder för molnportabilitet

Data Act kräver att molnleverantörer tar bort alla ”förkommersiella, kommersiella, tekniska, avtalsmässiga och organisatoriska” hinder som försvårar för kunder att byta till eller parallellt använda en annan tjänst av samma tjänstetyp eller övergå till lokal infrastruktur. Det kan innebära att en omställning krävs hos leverantören både i fråga om den tekniska infrastrukturen och affärsmodellen. Ett centralt krav i detta sammanhang är att kunden ska kunna överföra sina exporterbara data och, om kunden har rätt att använda dessa, digitala tillgångar till den nya miljön. Undantag gäller dock för data som skyddas av immateriella rättigheter eller utgör företagshemligheter, såsom mjukvarukod eller affärskritiska algoritmer. Data som är kritisk för tjänstens integritet och säkerhet kan också undantas.

Kravet att undanröja hinder för byte av tjänst innebär även att en leverantör som erbjuder både infrastukturtjänster (IaaS) och plattformstjänster (PaaS) eller mjukvarutjänster (SaaS) på begäran ska kunna separera sin IaaS-tjänst från övriga tjänster för att förhindra kundinlåsning, förutsatt att det är tekniskt genomförbart. Dessutom måste IaaS-leverantörer vidta alla "rimliga åtgärder" för att säkerställa att tjänsten i den nya miljön erbjuder funktionell likvärdighet.

Definitioner

Med ”samma tjänstetyp” aves en likvärdig tjänst inom samma kategori, t.ex. SaaS, PaaS eller IaaS. Tjänsterna måste vidare ha samma övergripande funktionalitet eller användningsområde för att utgöra samma tjänstetyp.

Med kundens ”exporterbara data” avses in- och utdata, dvs. data som kunden skickar in till och får ut från tjänsten under dess användning, samt metadata som genereras under användningen, exempelvis tidpunkter, loggar eller annan kontextuell information relaterad till datan.

Med kundens ”digitala tillgångar” avses element i digitalt format, inbegripet olika former av metadata, till exempel för konfigurationsinställningar och åtkomsträttigheter, samt applikationer, för vilka kunden har nyttjanderätt, oberoende av avtalsförhållandet med molntjänstleverantören.

Funktionell likvärdighet” innebär att kundens exporterbara data och digitala tillgångar används för att återställa en miniminivå av funktionalitet i den nya molntjänsten efter ett byte. Destinationstjänsten ska leverera ett väsentligen jämförbart resultat för de funktioner som delas mellan tjänsterna enligt avtalet.

Utfasning av bytesavgifter

Data Act inför ett gradvis avskaffande av bytesavgifter som molntjänstleverantörer kan ta ut vid byte av tjänst. Från och med 12 januari 2027 är det helt förbjudet att ta ut bytesavgifter. Från den 11 januari 2024 fram till den 12 januari 2027 får bytesavgifter tas ut men måste begränsas till leverantörens faktiska direkta kostnader för att bistå kunden, vilket inkluderar datauttag (data egress charges) och kostnader för specifikt stöd under övergången.

Bytesavgifter som tas ut under övergångsperioden ska tydligt specificeras innan avtalet ingås

Undantag

Straffavgifter för förtida uppsägning: Data Act hindrar inte att leverantören tar ut straffavgifter för förtida uppsägning om sådan uppsägning skulle aktualiseras vid ett byte av tjänst.

Skräddarsydda molntjänster: Molntjänster som är skräddarsydda för kundens specifika behov och inte erbjuds i stor kommersiell skala omfattas inte av reglerna om avskaffande av bytesavgifter.

Exitavtal

För att säkerställa att kunden kan byta leverantör ställer Data Act krav på att kundens rättigheter och leverantörens skyldigheter tydligt anges i ett skriftligt avtal mellan parterna. Avtalet ska bland annat innehålla följande:

  • Maximal uppsägningstid. En maximal uppsägningstid för inledande av bytesprocessen som får inte överstiga två månader.

  • Maximal övergångsperiod. En maximal övergångsperiod på 30 dagar startar efter att uppsägningstiden löpt ut. Om det är tekniskt omöjligt att genomföra flytten inom 30 dagar kan övergångsperioden förlängas upp till maximalt sju månader. Kunden har rätt att förlänga övergångsperioden en gång med en period som kunden själv anser lämplig.

  • Stöd och assistans från leverantören. Leverantören är skyldig att ge rimligt bistånd under bytesprocessen, inklusive: (i) säkerställande av att tjänsten fungerar utan avbrott under hela övergångsperioden, (ii) tillhandahållande av tydlig information om kända risker för kontinuiteten i tjänsten, och (iii) skydd av kundens data under hela överföringsprocessen.

  • Specificering av data och digitala tillgångar. Avtalet måste inkludera en uttömmande specifikation av exporterbara data och digitala tillgångar som kan överföras, samt data som är nödvändiga för tjänstens interna funktion som inte kan överföras därför att de utgör företagshemligheter, under förutsättning att detta inte hindrar eller försenar bytesprocessen.

  • Datahämtning och radering. Kunden ska ha en minimiperiod på 30 dagar för att hämta sina data efter övergångsperiodens slut. Leverantören måste därefter radera alla exporterbara data och digitala tillgångar som genererats av eller direkt berör kunden, såvida inte en alternativ period avtalats.

 

Informationskrav. Härutöver ställer Data Act krav på att leverantörer tillhandahåller kunder den information som behövs för att byta tjänst, inklusive tekniska specifikationer. Leverantörer måste publicera ett onlineregister med information om dataformat och interoperabilitet för exporterbara data.

Standardavtalsklausuler för molntjänstavtal

För att hjälpa parterna att förhandla fram rättvisa och icke-diskriminerande molntjänstvillkor ska Europeiska kommissionen ska utarbeta och rekommendera icke-bindande standardavtalsklausuler för molnavtal, innan den 12 september 2025.

Standarder och specifikationer för interoperabilitet

Dataförordningen kräver att EU fastställer öppna interoperabilitetsspecifikationer och harmoniserar standarder för molntjänster. PaaS- och SaaS-leverantörer måste utan kostnad öppna sina gränssnitt för både kunden och den nya tjänsteleverantören för att säkerställa dataportabilitet och systemkompatibilitet. Syftet är att säkerställa att gamla och nya system kan kommunicera effektivt, så att dataöverföring och interoperabilitet fungerar smidigt.

För att stödja detta avser EU-kommissionen att på sikt skapa en gemensam onlineplattform där molntjänstleverantörer kan se vilka harmoniserade standarder och specifikationer som gäller för deras tjänster. Leverantörer måste säkerställa att deras gränssnitt följer dessa riktlinjer, så att kunder kan byta leverantör utan att förlora funktionalitet. Om en kund vill byta leverantör innan standarderna har publicerats, måste molnleverantören exportera all kunddata i ett strukturerat och standardiserat format.

Det finns skäl att tro att kraven på portabilitet kommer att kräva betydande tekniska investeringar från molnleverantörerna. Samtidigt fastslår Data Act att leverantörerna varken är skyldiga att utveckla ny teknik eller tjänster, eller att dela eller överföra data omfattas av immateriella rättigheter eller utgör affärshemligheter. Detta kan i praktiken göra det svårt för EU att säkerställa faktisk efterlevnad av de tekniska kraven för tjänstebyte.

Vad händer om vi inte uppfyller kraven enligt Data Act?

Medlemsstaterna ansvarar för att utse en eller flera myndigheter som ska övervaka och säkerställa efterlevnaden av Data Act. I Sverige är det ännu inte fastställt vilken myndighet som kommer att ha detta ansvar, men sannolikt kommer Post- och telestyrelsen (PTS) att spela en roll.

Vid vissa överträdelser av Data Act kan samma sanktionsavgifter som gäller enligt GDPR, d.v.s. upp till maximalt 4 % av ett företags globala årsomsättning, komma att utfärdas. När det gäller sanktionsavgifter för överträdelser av reglerna angående byte av molntjänst saknas dock ännu specifika riktlinjer. Medlemsstaterna har fram till den 12 september 2025 att fastställa dessa. Faktorerna som påverkar avgiftens storlek motsvarar dock de som gäller under GDPR, såsom överträdelsens allvar, tidigare överträdelser, ekonomiska fördelar och förmildrande omständigheter.

Rekommenderade åtgärder

För att säkerställa efterlevnad av kapitel VI i Data Act och minimera affärsrisker förknippade med de nya reglerna, kan molntjänstleverantörer redan nu vidta följande åtgärder:

  • Granska och uppdatera avtalsvillkor
    Säkerställ att avtalsvillkor följer kraven i Data Act, t.ex. med avseende på uppsägningstid och övergångsperioder, samt villkor om portering av och radering data.
  • Utveckla tydliga exit-strategier
    Skapa en plan för hur kunder kan byta till en annan tjänst eller till lokal infrastruktur smidigt, inklusive detaljer om hur data och digitala tillgångar porteras och raderas. Säkerställ att processen är tydlig och att stöd från leverantören ges under hela övergången.
  • Kartlägg och specificera exporterbara data och digitala tillgångar
    Identifiera och dokumentera vilka data och digitala tillgångar som kan överföras och säkerställ att det finns tydlig information till kunden om hur dessa kan flyttas eller raderas.
  • Anpassa teknisk infrastruktur
    Säkerställ att den tekniska infrastrukturen kan hantera kraven på interoperabilitet och portabilitet.
  • Utvärdera affärsmodellen
    Molntjänstleverantörer bör noga analysera hur kraven i Data Act påverkar deras affärsmodell, särskilt vad gäller prissättning, paketering av tjänster och konkurrensfördelar. Överväg förändringar som kan förbättra konkurrenskraften utan att skapa oskäliga bindningar för kunderna.

 

Om du har frågor eller behöver ytterligare information om hur Data Act kan påverka din verksamhet, är du välkommen att kontakta oss.

Registrera dig för e-postutskick

Prenumerera på Lindahls nyhetsbrev!

Besök sidan

Relaterat

Kontakt

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse