EU har vedtatt Data Act: Skal øke tilgangen til og bruken av data
Den 27. november 2023 ble Data Act (Dataforordningen) endelig vedtatt av EU. Forordningen har som formål å øke tilgjengeligheten av data, og er en viktig regulering av dette. Forordningen inneholder regler som blant annet pålegger virksomheter å dele data under rimelige og rettferdige vilkår.
Data Act ble foreslått 23. februar 2022 av Europakommisjonen, og er et direkte resultat av EUs nye datastrategi. Denne strategien har som mål å etablere et eget indre marked for data, samt etablere lovmessige rammer for blant annet datastyring, adgang til data og videreutnyttelse av data. Lovverket vil gjelde for alle EUs medlemstater, men forventes også å bli gjennomført i EØS, og dermed implementert i norsk rett på sikt.
Data Act gjelder kun for “produkter” og “tilknyttede tjenester”
For produktdata, er regelverket begrenset til såkalte “Internet of Things”-produkter (IoT). Dette er produkter som kan registrere, generere eller samle inn data, og som kan formidle denne dataen gjennom en kommunikasjonstjeneste, eksempelvis internett. Dette kan for eksempel være data som genereres fra smarte kjøretøy, eller smarte produkter vi har i hjemmet vårt. Forordningen omfatter imidlertid ikke produkter som ikke er smarte, altså produkter som ikke har som hovedformål å lagre, prosessere eller sende data. Produkter som har dette som hovedformål, for eksempel datamaskiner, nettbrett og mobiltelefoner omfattes ikke. Med “tilknyttede tjenester” siktes det til tjenester der produktet ikke kan fungere uavhengig av tjenesten, f.eks app-styrte smarte produkter, f.eks lyspærer med app-styring.
Data Act innfører regler for deling av data
Data Act øker tilgjengeligheten for data ved å oppstille krav til deling av data mellom ulike virksomheter (B2B), og mellom virksomhet og forbruker (B2C). Regelverket inneholder også en mekanisme for deling av data med offentlige myndigheter i såkalte “exceptional need”-situasjoner.
For å øke tilgjengeligheten av data oppstiller Data Act flere krav, blant annet:
- Krav til utforming og produksjon av IoT-produkter og tilknyttede tjenester: Produkter og tilknyttede tjenester skal utformes på en måte som gjør at dataen, der det er relevant og teknisk gjennomførbart, er direkte tilgjengelig for forbrukeren vederlagsfritt og på en enkel, sikker og strukturert måte. Dersom dataene ikke kan tilgjengeliggjøres direkte for brukeren, skal den tilgjengeliggjøres etter forespørsel. “Brukeren” er definert som både juridiske og fysiske personer, som er eier av, eller har rett til å bruke, et IoT-produkt eller en tilknyttet tjeneste. Dette innebærer at retten til å motta data, både gjelder for forbrukere og virksomheter. Det gjøres viktige unntak for forretningshemmeligheter, herunder at disse kun skal gjøres kjent for tredjeparter dersom datainnehaveren og brukeren tar alle nødvendige skritt før tredjepartene får tilgang. Dette skal gjøres for å bevare forretningshemmelighetenes konfidensialitet, spesielt med tanke på deling av data (se nedenfor). I forkant av avtaleinngåelsen om kjøp, leie eller leasing av IoT-produktet eller den tilknyttede tjenesten, skal brukeren motta informasjon om blant annet hvordan brukeren kan få tilgang til og hente ut data fra IoT-produktet eller den tilknyttede tjenesten.
- Krav til å dele data med tredjeparter: Dersom brukerne av et IoT-produkt eller en tilknyttet tjeneste, anmoder om det, skal dataene også som hovedregel gjøres tilgjengelig for tredjeparter. Dataene skal tilgjengeliggjøres uten ugrunnet opphold. Tredjeparter som mottar data etter anmodning fra brukeren underlegges visse forpliktelser. Blant annet skal tredjeparten kun behandle dataen for det formålet, og under de betingelser, som er avtalt med brukeren. Tredjeparten plikter også å slette dataen når det ikke lenger er nødvendig for det avtalte formålet. Deling av data til tredjeparter, vil kunne være relevant for eksempel i tilfeller hvor tredjeparten skal utføre arbeid eller tjenester for brukeren, for eksempel for verkstedtjenester.
- Tiltak for å forhindre urettferdige kontraktsvilkår: Forordningen oppstiller også krav til kontraktsutformingen ved tilgjengeliggjøring av data fra virksomhet til virksomhet. Blant annet skal dataen tilgjengeliggjøres under rettferdige, rimelige og ikke-diskriminerende vilkår. Det stilles også krav til kompensasjonens størrelse, tilgang til tvisteløsningsorganer og gjennomføringen av relevante tvister. Reglene er inntatt i Data Act for å forhindre at virksomheter med sterkere forhandlingsposisjon skal tvinge frem urettferdige kontraktsvilkår for tilgjengeliggjøringen av data.
Det er ikke alle virksomheter som er underlagt plikten til å dele data. Data Act oppstiller unntak for flere typer mindre virksomheter. Dette innebærer at mikrovirksomheter (virksomheter med under 10 ansatte og en omsetning som ikke overstiger 2 millioner) og små virksomheter (virksomheter med under 50 ansatte og en omsetning som ikke overstiger 10 millioner) ikke plikter å dele data eller tilpasse produktene sine. Det samme gjelder for mellomstore virksomheter (virksomheter med under 250 ansatte og en omsetning som ikke overstiger 50 millioner) som har vært en mellomstor virksomhet i under ett år, eller for produkter en mellomstor virksomhet har hatt på markedet i under 1 år. Mellomstore virksomheter kan dermed sies å ha fått en ettårig karensperiode fra forpliktelsen til å dele data.
Forordningen oppstiller også et viktig unntak for retten til å dele data med tredjeparter. I henhold til artikkel 5 skal såkalte “portvoktere” ikke være å anse som en kvalifisert tredjepart, og har derfor bl.a. ikke rett til å oppfordre eller insentivere en bruker til å tilgjengeliggjøre data til egne tjenester eller insentivere brukeren til å be en databesitter om å dele. Det samme gjelder det å be om tilgang for senere deling i visse tilfeller Som vi tidligere har nevnt i vårt nyhetsbrev for IPR & TMT Q3 2023 publiserte EU-kommisjonen en liste over selskaper som anses som “portvoktere” etter Digital Market Act. Dette innebærer at unntaket i Data Act per nå gjelder for Alphabet, Amazon. Apple, ByteDance og Meta.
Foruten om det som er nevnt over, inneholder Data Act regler for forenkling av overføring av data mellom tjenesteleverandører, beskyttelse av internasjonale dataoverføringer og bedre interoperabilitet.
EUs pressemelding om vedtakelsen av Data Act er tilgjengelig her, og selve forordningen er tilgjengelig her.
Publisert:
Sist oppdatert:
