Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Data Act versus GDPR – en svær balancegang

Bird & Bird
09/01/2024
Data Act versus GDPR – en svær balancegang
Bird & Bird logo
Der er et enormt, uforløst potentiale i den europæiske dataøkonomi. EU vedtog derfor i 2020 en strategi, der har til formål at realisere dette potentiale og gøre EU til frontløber i det datadrevne samfunds tidsalder. Som led i realiseringen af denne strategi vedtog EU i slutningen af 2023 en ny forordning (”Data Act”), der skal skabe de lovgivningsmæssige rammer for realiseringen af denne strategi.

Data Act supplerer Data Governance Act, som har været gældende siden september 2023, og som bl.a. regulerer adgang til offentlige data.


I denne artikel, som er en opfølgning på en række tidligere artikler om den nye forordning: Den nye Data Act vil gøre det lettere at skifte cloud-udbyder, Data Act - Dataadgang versus IP-rettigheder og EU’s dataforordning (”Data Act”) godkendt af Parlamentet, beskriver vi samspillet mellem Data Act og GDPR.

Forholdet til GDPR

Data Act slår grundlæggende fast, at når data omfattet af dennes anvendelsesområde deles, og der er er tale om personoplysninger, så skal behandlingen af sådanne data ske i overensstemmelse med GDPR. Data Act ”overruler” således ikke GDPR.

Ovenstående fremgår bl.a. af artikel 1(5) i Data Act:


”Denne forordning berører ikke anvendelsen af EU-lovgivningen om beskyttelse af personoplysninger, navnlig forordning (EU) 2016/679 (GDPR) og direktiv 2002/58/EF, herunder tilsynsmyndighedernes beføjelser og kompetencer."


Overordnet betyder det, at man ved udlevering eller anden behandling af data i henhold til Data Act, der omfatter personoplysninger, skal sørge for at overholde reglerne i GDPR.


Desuden bygger Data Act videre på nogle af reglerne i GDPR. Dette gælder især retten til dataportabilitet, som giver de registrerede mulighed for at flytte deres data mellem dataansvarlige, der tilbyder konkurrerende tjenester. Efter GDPR er denne ret begrænset til (visse) personoplysninger (i visse tilfælde), og hvor det er teknisk muligt. Data Act styrker denne ret for IoT-produkter, så brugere heraf kan få adgang til og overføre alle data, der genereres af produktet.


Helt grundlæggende gælder det således, at

  1. Data Act ikke begrænser retten til privatliv eller databeskyttelse
  2. GDPR har forrang i tilfælde af ”blandede” datasæt, dvs. datasæt, der omfatter både personhenførbare og ikke personhenførbare data, og
  3. Data Act ikke indfører et nyt, selvstændigt retsgrundlag for behandling af personoplysninger.


Definitioner og anvendelsesområde

Data Act introducerer begrebet dataindehaver, som defineres som en juridisk eller fysisk person, der har ret eller pligt til at stille visse data til rådighed efter forpligtelserne i Data Act eller anden relevant lovgivning.

En bruger defineres som en fysisk eller juridisk person, der ejer, lejer eller leaser et IoT-produkt eller modtager en tjenesteydelse.


En dataindehaver vil ofte også være dataansvarlig ifølge GDPR. En bruger kan både være en registreret person ifølge GDPR og selvstændig dataansvarlig for så vidt angår dennes behandling af personoplysninger i modtagne datasæt, der omfatter personoplysninger.


Dataindehavere, der behandler data, er efter Data Act forpligtet til at stille data til rådighed for brugeren, som den selv har afgivet, men de skal også give brugeren adgang til de data, som dataindehaverens tjenesteydelsen eller produkt selv har genereret ved anvendelse af brugerens data. Dataindehaveren skal ved en sådan videregivelse af personoplysninger – som dataansvarlig ifølge GDPR - have et behandlingsgrundlag efter GDPR artikel 6, stk. 1 for så vidt angår ikke-følsomme personoplysninger og GDPR artikel 9, stk. 2 for så vidt angår følsomme personoplysninger.


Hvis en bruger modtager data, der er genereret ved dataindehaverens produkt, hvori der indgår personoplysninger og behandler disse til egne formål, er brugeren dataansvarlig for denne behandlingsaktivitet. Det samme gælder for tredjeparter, som efter en anmodning fra en bruger modtager datasæt med personoplysninger fra dataindehaveren.


Udbydere af IoT-produkter skal derfor være opmærksomme på deres rolle og ansvar både som dataindehaver efter Data Act og som dataansvarlig ifølge GDPR (forudsat de relevante datasæt omfatter personoplysninger).


Data Governance

Data Act stiller krav om brugernes adgang til at kunne tilgå data, som de selv har afgivet, og data, som tjenesteydelsen/produktet har genereret, jf. artikel 3(1):


”Produkter skal udformes og fremstilles, og relaterede tjenester skal leveres, på en sådan måde, at data, der er genereret ved deres anvendelse, som standard er tilgængelige for brugeren på en let og sikker måde og, hvor det er relevant og hensigtsmæssigt, også på en direkte måde.”


Udbydere af IoT-produkter har derfor den grundlæggende udfordring, at de på den ene side skal tage højde for kravet i Data Act om, at deres produkter skal være designet på en måde, der gør det let for brugerne at få adgang til data, mens de på den anden side skal sikre, at principperne i GDPR om privacy by design og default overholdes.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Privat organisation indstilles til bøde på mindst 15 millioner kroner
Privat organisation indstilles til bøde på mindst 15 millioner kroner
01/02/2024
Persondata
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
08/02/2024
Persondata, Kontraktret, Compliance
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
Et vink med en vognstang om, at der skal føres tilsyn med databehandlere
12/02/2024
Persondata, Compliance
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
AI-forordningen er endelig på plads – hvad nu?
AI-forordningen er endelig på plads – hvad nu?
19/02/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted