Data Act versus GDPR – en svær balancegang
Data Act supplerer Data Governance Act, som har været gældende siden september 2023, og som bl.a. regulerer adgang til offentlige data.
I denne artikel, som er en opfølgning på en række tidligere artikler om den nye forordning: Den nye Data Act vil gøre det lettere at skifte cloud-udbyder, Data Act - Dataadgang versus IP-rettigheder og EU’s dataforordning (”Data Act”) godkendt af Parlamentet, beskriver vi samspillet mellem Data Act og GDPR.
Forholdet til GDPR
Data Act slår grundlæggende fast, at når data omfattet af dennes anvendelsesområde deles, og der er er tale om personoplysninger, så skal behandlingen af sådanne data ske i overensstemmelse med GDPR. Data Act ”overruler” således ikke GDPR.
Ovenstående fremgår bl.a. af artikel 1(5) i Data Act:
”Denne forordning berører ikke anvendelsen af EU-lovgivningen om beskyttelse af personoplysninger, navnlig forordning (EU) 2016/679 (GDPR) og direktiv 2002/58/EF, herunder tilsynsmyndighedernes beføjelser og kompetencer."
Overordnet betyder det, at man ved udlevering eller anden behandling af data i henhold til Data Act, der omfatter personoplysninger, skal sørge for at overholde reglerne i GDPR.
Desuden bygger Data Act videre på nogle af reglerne i GDPR. Dette gælder især retten til dataportabilitet, som giver de registrerede mulighed for at flytte deres data mellem dataansvarlige, der tilbyder konkurrerende tjenester. Efter GDPR er denne ret begrænset til (visse) personoplysninger (i visse tilfælde), og hvor det er teknisk muligt. Data Act styrker denne ret for IoT-produkter, så brugere heraf kan få adgang til og overføre alle data, der genereres af produktet.
Helt grundlæggende gælder det således, at
- Data Act ikke begrænser retten til privatliv eller databeskyttelse
- GDPR har forrang i tilfælde af ”blandede” datasæt, dvs. datasæt, der omfatter både personhenførbare og ikke personhenførbare data, og
- Data Act ikke indfører et nyt, selvstændigt retsgrundlag for behandling af personoplysninger.
Definitioner og anvendelsesområde
Data Act introducerer begrebet dataindehaver, som defineres som en juridisk eller fysisk person, der har ret eller pligt til at stille visse data til rådighed efter forpligtelserne i Data Act eller anden relevant lovgivning.
En bruger defineres som en fysisk eller juridisk person, der ejer, lejer eller leaser et IoT-produkt eller modtager en tjenesteydelse.
En dataindehaver vil ofte også være dataansvarlig ifølge GDPR. En bruger kan både være en registreret person ifølge GDPR og selvstændig dataansvarlig for så vidt angår dennes behandling af personoplysninger i modtagne datasæt, der omfatter personoplysninger.
Dataindehavere, der behandler data, er efter Data Act forpligtet til at stille data til rådighed for brugeren, som den selv har afgivet, men de skal også give brugeren adgang til de data, som dataindehaverens tjenesteydelsen eller produkt selv har genereret ved anvendelse af brugerens data. Dataindehaveren skal ved en sådan videregivelse af personoplysninger – som dataansvarlig ifølge GDPR - have et behandlingsgrundlag efter GDPR artikel 6, stk. 1 for så vidt angår ikke-følsomme personoplysninger og GDPR artikel 9, stk. 2 for så vidt angår følsomme personoplysninger.
Hvis en bruger modtager data, der er genereret ved dataindehaverens produkt, hvori der indgår personoplysninger og behandler disse til egne formål, er brugeren dataansvarlig for denne behandlingsaktivitet. Det samme gælder for tredjeparter, som efter en anmodning fra en bruger modtager datasæt med personoplysninger fra dataindehaveren.
Udbydere af IoT-produkter skal derfor være opmærksomme på deres rolle og ansvar både som dataindehaver efter Data Act og som dataansvarlig ifølge GDPR (forudsat de relevante datasæt omfatter personoplysninger).
Data Governance
Data Act stiller krav om brugernes adgang til at kunne tilgå data, som de selv har afgivet, og data, som tjenesteydelsen/produktet har genereret, jf. artikel 3(1):
”Produkter skal udformes og fremstilles, og relaterede tjenester skal leveres, på en sådan måde, at data, der er genereret ved deres anvendelse, som standard er tilgængelige for brugeren på en let og sikker måde og, hvor det er relevant og hensigtsmæssigt, også på en direkte måde.”
Udbydere af IoT-produkter har derfor den grundlæggende udfordring, at de på den ene side skal tage højde for kravet i Data Act om, at deres produkter skal være designet på en måde, der gør det let for brugerne at få adgang til data, mens de på den anden side skal sikre, at principperne i GDPR om privacy by design og default overholdes.