EUs dataforordning formelt vedtatt
Den 9. november ble dataforordningen vedtatt i EU-parlamentet. Dermed er teksten endelig og virksomheter og myndigheter kan begynne å forberede seg på det som kommer.
EUs dataforordning (Data Act) er en viktig del av EUs strategiske arbeide innenfor reguleringen av den digitale sektoren. EU vil gjennom et lappeteppe av lovtekster foreta en omfattende om- og nyregulering av den digitale sektoren, og dataøkonomien spesielt.
Blant de allerede vedtatte lovtekstene med tilknytning til dette området er dataforvaltningsforordningen (DGA), forordningen om digitale tjenester (DSA) og åpne data-direktivet. Blant de lovforslag som er under behandling finnes blant annet den mye omtalte AI-forordningen, samt sektorspesifikke forslag om regulering av finansielle data og korttidsovernatting.
Til sammen vil disse rettsaktene gi en vidtrekkende regulering av ulike sider ved den digitale økonomien. Særlig vil reguleringen av ikke-persondata bli særlig omfattende. Frem til i dag at reguleringen av ikke-persondata i vesentlig grad vært begrenset til svært sektorspesifikk lovgivning, samt gjennom de eksisterende immaterialrettighetene. Det har betydd at det i praksis har vært svært stor kontrakts- og handlefrihet omkring ikke-persondata.
Formålet med dataforordningen
Det uttalte formålet med dataforordningen er å øke innovasjonen innen EU ved å gi økt adgang til, samt økt mulighet for gjenbruk av, data som kommer fra tilknyttede enheter.
Tilknyttede enheter er gjenstander som er koblet opp mot internett, og kobles gjerne opp mot begrepet «Internet of Things». Tilknyttede enheter vil som oftest ha et mindre eller større antall sensorer som er i stand til å registrere ulike typer data. Slike typer sensorer og data kommer i et stort antall og i ulike former. Biler kan ha sensorer som registrerer hull i veier, kjøleskap kan ha sensorer som registrerer temperaturer, og maskiner i industrien kan registrere forhold som er viktig for produksjonen. Forordningen tar sikte på økt adgang til og gjenbruk av slike (nyttige) data.
Dessuten inneholder dataforordningen en rekke andre reguleringer som er av noe ulik art, men som EU-lovgiver har sett som relevante å regulere for å gi økt innovasjonskraft i EU. Dette omfatter blant annet regulering som sikter mot å fjerne barrierer for å skifte mellom skyleverandører, regulering av avtaler om datatilgang mellom virksomheter, rettigheter for det offentlige til datatilgang hos private virksomheter, og regulering av såkalt smarte kontrakter.
Nøkkelpunkter i dataforordningen
1. Økt tilgang til data registrert av tilknyttede enheter
Dataforordningen har i artiklene 3-7 regulering som gir økt rettigheter for brukerne av tilknyttede enheter til data som disse enhetene registrerer.
- Tilknyttede enheter skal fremstilles, og tilknyttede tjenester skal designes og ytes, på en slik måte at data som registreres av disse skal være tilgjengelige gratis for brukeren. Dataen skal videre være tilstrekkelig strukturert og lesbar for brukeren. Forpliktelsene gjelder så langt det er teknisk mulig.
- Ved avtaler om salg og bruk av tilknyttede enheter vil det settes krav til informasjonen som gis brukeren. Herunder skal det gjøres klart forut for transaksjonen hvilken data enheten kan registrere, om det skjer i realtid, hvordan dataene lagres og hvordan brukeren kan få tilgang til den.
- Brukerne av tilknyttede enheter skal ha rett til tilgang til data registrert av de enhetene de bruker fra databesittere dersom de ikke kan aksessere dem direkte på enheten.
2. Adgang for myndigheters tilgang til data i særlige tilfeller
Dataforordningen gir offentlige myndigheter større adgang til å kreve tilgang til ikke-persondata fra virksomheter og andre.
- Etter dataforordningens artikkel 14 skal en datainnehaver stille data til rådighet for en offentlig myndighet eller for unionens institusjoner dersom det foreligger et ekstraordinært behov for å bruke dataen.
- Ekstraordinære behov som kan gi slik rett (og motsatt plikt til utlevering) er blant annet definert som nødssituasjoner, forebygging av eller gjenoppretting etter nødsituasjoner, og ved manglende tilgjengelighet til data nødvendig for å utføre spesifikke oppgaver i offentlig interesse,
- Datainnehaver skal stille dataene til disposisjon «uten unødig opphold» etter at anmodningen er mottatt.
3. Regulering av muligheten til å bytte mellom dataprosessorer
Kapittel VI i forordningen oppstiller en rekke bestemmelser som skal sikre at kunder effektivt kan bytte mellom ulike tilbydere av databehandlingstjenester. Dette skal sikres blant annet gjennom:
- At leverandørene må fjerne hindringer som vanskeliggjør å avslutte kontrakter, inngå nye avtaler, overføre data og må opprettholde funksjonalitet ved skifte av tjeneste.
- Regulering av hva som er gyldige avtalevilkår ved bytte, inkludert rettigheter og forpliktelser for både kunder og leverandører.
- Regulering av gebyrer og tekniske krav ved bytting av leverandører
Samlet sett har disse artiklene som mål å fremme konkurranse, fleksibilitet og kundens rettigheter innenfor databehandlingssektoren.
4. Regulering av mekanismer for å beskytte ikke-persondata
Forordningen oppstiller i artikkel 27 en rekke sikkerhetsmekanismer som er ment å beskytte andre data enn personopplysninger i internasjonale sammenhenger. Tilbydere av databehandlingstjenester må implementere visse tiltak for å hindre at en internasjonal overføring eller statlig tilgang til slike data er i strid med EU-retten eller nasjonal rett.
Videre følger det at domstolsavgjørelser eller administrative myndighetsbeslutninger i et tredjeland som pålegger en leverandør å overføre eller gi tilgang til slike data, i utgangspunktet bare kan anerkjennes eller håndheves hvis de er basert på en internasjonal avtale. Foreligger det ikke en slik avtale kan overføringen kun skje dersom:
- Tredjelandets system krever en begrunnelse og at det dokumenteres at det står i rimelig forhold til formålet
- Adressatens innvending kan utfordres for en kompetent domstol i tredjelandet, og
- Den kompetente domstolen som utsteder beslutningen har myndighet til å ta adekvat hensyn til de relevante juridiske interessene til den som stiller dataene til rådighet..
Tidsskjema
Lovteksten er nå vedtatt av EU-parlamentet. Den må formelt godkjennes av rådet før den blir publisert i EUs lovtidende og deretter trer i kraft som forordning. De fleste av forordningens bestemmelser trer i kraft 22 måneder etter slik publisering.
Teksten er ansett som EØS-relevant. Det er for tidlig å si om den vil bli tatt inn i EØS-avtalen, men vi ser ingen vesentlige årsaker til at den ikke skal bli det. Prosessen med å vurdere om teksten skal inn i EØS-avtalen, og deretter implementeres i norsk rett tar tradisjonelt vesentlig lenger tid enn tiden det tar før rettsakten trer i kraft i EU-landene.
Uansett vil rettsakten ha betydning for norske virksomheter som opererer i EU fra den trer i kraft der.
En del av et større bilde
Dataforordningen inngår i et større legislativt prosjekt fra EU. Dataforordningen gjelder både persondata og ikke-persondata, men alle krav til behandling av personopplysninger som følger av GDPR vil fortsatt gjelde. Det vil derfor bli et avgjørende spørsmål hvordan disse to regelsettene vil fungere sammen.
Reguleringen har også grenseflater mot dataforvaltningsforordningen. Mens dataforvaltningsforordningen i større grad gir et bredere rammeverk for bl.a. bruk og adgang til offentlige data, gir dataforordningen mer spesifikke rettigheter til brukerne av tilknyttede enheter.
Reguleringen i dataforordningen vil også ha sider til den eksisterende reguleringen av immaterielle rettigheter i medlemsstatene i Europa. Utenom at dataforordningen innebærer at databasedirektivets beskyttelse ikke skal gjelde data innsamlet av tilknyttede enheter, er det intensjonen at dataforordningen ikke skal berøre den allerede eksisterende regulering av immaterielle rettigheter. For eksempel innfører ikke dataforordningen noen slik dataeierskapsrett som har vært diskutert i tidligere utredningsarbeid fra EU. Et viktig praktisk tema blir hvordan dataforordningens krav til deling av data skal forenes med beskyttelsen av forretningshemmeligheter. EU legger opp til at det ca tre år etter ikrafttredelsen av dataforordningen skal gjennomføres et prosjekt for å kartlegge innvirkningen på de eksisterende immaterialrettighetene, slik at man unngår utilsiktet påvirkning på annen slik regulering.
Hva betyr dette for norske virksomheter?
Innføringen av dataforordningen vil for det første kunne medføre økt overføring av data mellom landegrensene. Det blir derfor viktig for norske virksomheter å være sikker på at man har rett til å bruke dataen man innehar, eksempelvis gjennom uttrykkelige avtaler. Videre er det viktig at virksomheten sikrer at dataen effektivt kan deles, blant annet ved å sikre at dataen kan gjøres tilgjengelig i sanntid, er kontinuerlig i et maskinlesbart format og at delingen gjøres kostnadsfritt. Virksomheten burde også ha rutiner på hvordan man initierer tilgang til og utleverer data til tredjeparter.
Utvekslingen av data gjelder ikke nødvendigvis all data. Virksomhetene bør derfor ta i betraktning at dataen kan være beskyttet etter andre regelsett, eksempelvis gjennom forretningshemmelighetsloven eller gjennom andre immaterialrettigheter.
De fleste forpliktelsene i forordningen gjelder i prinsippet ikke for små- og mikrobedrifter. Det vil etter forordningens artikkel 7 si selskaper med færre enn 50 ansatte og en årlig omsetning eller årlig balanse på mindre enn 10 millioner euro. Mellomstore bedrifter, definert som selskaper med færre enn 250 ansatte og en årlig omsetning under 50 millioner euro eller en årlig balanse under 43 millioner euro, forventes å være forpliktet av forordningen.