Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Den nye Data Act vil gøre det lettere at skifte cloud-udbyder

Bird & Bird
07/12/2023
Den nye Data Act vil gøre det lettere at skifte cloud-udbyder
Bird & Bird logo
Der er et stort uforløst potentiale i den europæiske dataøkonomi. EU vedtog derfor i 2020 en strategi, der har til formål at realisere dette potentiale og gøre EU til frontløber i det datadrevne samfunds tidsalder.

Som led i realiseringen af denne strategi blev der tidligere i år opnået politisk enighed om en ny forordning (”Data Act”), der skal skabe de lovgivningsmæssige rammer for realiseringen af denne strategi.


Forordningen blev endeligt vedtaget af Ministerrådet den 27. november 2023 og vil gælde 20 måneder efter offentliggørelsen i EU-tidende, dvs. fra juli 2025.


Vi har i en række tidligere artikler behandlet udvalgte reguleringstemaer i Data Act Anvendelse af kunstig intelligens i et dataretligt lys, Data Act - Dataadgang versus IP-rettigheder og EU's dataforordning ("Data Act") godkendt af Parlamentet. I denne artikel behandler vi et emne, som vil få stor praktisk betydning for både cloud-udbydere og brugere af cloud-tjenester; nemlig reglerne i Data Act om skifte af cloud-udbyder.   


Skifte mellem cloud-leverandører skal være lettere

Et væsentligt formål med Data Act er at gøre det nemmere for virksomheder m.fl. at skifte mellem cloud-udbydere for dermed at øge virksomhedernes adgang til og kontrol over deres data. Eller med medlem af Euro-parlamentet, Morten Løkkegaards ord:


”Cloud-services [..] afgørende for mange virksomheder og vil få større betydning i fremtiden. Derfor er det vigtigt, at vi styrker kunders, særligt virksomheders, muligheder for at skifte cloud-leverandør ved at gøre det nemmere og billigere. Vi liberaliserer markedet for cloud-services og sætter kunden mere i centrum.”


Forordningens kapitel 6 indeholder derfor en både omfattende og kompliceret regulering herom. 


Hvem gælder de nye regler for?

Reglerne gælder for udbydere af databehandlingstjenester.


Databehandlingstjenester er i Artikel 22(a) bredt – og ikke videre klart - defineret som en tjeneste

”enabling ubiquitous, and on-demand network access to a shared pool of configurable, scalable and elastic computing resources of a centralised, distributed or highly distributed nature, provided to a customer, that can be rapidly provisioned and released with minimal management effort or service provider interaction.“ (sic!)


Definitionen dækker i hvert fald cloud-leverancemodellerne IaaS og PaaS samt herudover, visse typer af SaaS-løsninger (afhængig af om løsningen er ”skalerbar og elastisk”).


Det er også værd at bemærke, at udtrykket databehandling skal forstås bredt og således ikke er begrænset til kun at gælde for visse typer af data.


Hvad indebærer reglerne?

Data Act skal som nævnt gøre det lettere at flytte data fra én databehandlingstjeneste til en anden, så man som kunde ikke bindes til én leverandør.  


Forordningen indfører derfor nogle regler, som skal sikre, at kunderne har mulighed for at skifte fra én databehandlingstjeneste til en anden


  1. hurtigt
  2. omkostningsfrit
  3. uden tab af funktionalitet (krav om teknisk ækvivalens)
  4. med hjælp fra leverandøren


Herudover indføres (v) en række specifikke krav til leverandørernes aftaler. 


Ad (i): Det skal (bare) gå stærkt:


For det første følger det af Artikel 23, at kunden skal have mulighed for at opsige aftalen om en databehandlingstjeneste med et varsel, der som udgangspunkt ikke må overstige 60 dage.


Bindingsperioder og/eller længere opsigelsesvarsler for kunden, som ellers er ganske udbredte i cloud-kontrakter, er derfor ikke lovlige. Dog kan et længere varsel være gyldigt, hvis aftalen har været genstand for ligeværdige forhandlinger, hvilket i praksis stort set aldrig er tilfældet ved køb af cloud-ydelser.


For det andet skal leverandøren gøre det muligt for kunden at skifte til en anden databehandlingstjeneste eller at overføre kundens data, applikationer og digitale aktiver til en ny tjeneste eller on-premise løsning inden for højst 90 kalenderdage.


Ofte vil flytningen af data fra én cloud-tjeneste til en anden være et kompliceret, omfattende og derfor også tidskrævende projekt. I det lys forekommer denne frist vidtgående. Der er af samme grund indført en undtagelse, der muliggør en flytteperiode på op til 9 måneder, hvis det ikke er teknisk muligt at gennemføre flytningen på 90 dage. Det er op til leverandøren at dokumentere, at der foreligger en sådan teknisk umulighed og i givet fald meddele kunden dette.


Ad (ii) Det må som udgangspunkt ikke koste noget:


Et cloud-migreringsprojekt kan være en bekostelig affære. Det er derfor også vidtgående, at der i Artikel 26 indføres en regel om, at leverandøren efter en overgangsperiode på 3 år ikke må opkræves betaling for at assistere med at gennemføre skiftet. I overgangsperioden må leverandøren endvidere alene kræve betaling for de omkostninger, som er forbundet hermed (og alene i b2b-aftaleforhold).


Ad (iv) krav til aftalens indhold:


I Artikel 24 indføres en række krav til indholdet af leverandørernes aftaler – både i b2b og b2c forhold. Det følger heraf, at de rettigheder, kunderne har i medfør af forordningen - om bl.a. at kunne opsige aftalen med et varsel på 60 dage, leverandørens pligt til at medvirke til at gennemføre skiftet og fristen herfor på 90 dage - skal fremgå klart af en skriftlig aftale med kunden. Aftalen skal være lettilgængelig for kunden forud for aftaleindgåelsen. 


Herudover skal aftalen indeholde en udtømmende specifikation af kategorier af data og applikationer, der kan eksporteres ved skiftet, herunder som minimum alle data, som kunden importerede ved indgåelsen af aftalen, og alle data og metadata, der er genereret af kunden og ved brug af tjenesten.


Ad (v) Leverandørens pligt til at assistere:


Leverandøren har ifølge de nye regler pligt til at yde aktiv assistance og loyal hjælp til kunden med at gennemføre flytningen. Der indføres derfor en usædvanlig og ny rolle for leverandørerne; nemlig at skulle lette arbejdet for kunderne med at forlade dem(!) - ovenikøbet uden at kunne få dækket sine omkostninger (efter udløbet af overgangsperioden, jf. ovenfor).


En stor udfordring for cloud-udbyderne

Der er som nævnt tale om vidtgående og ambitiøse regler, som vil give i hvert fald nogle udbydere af databehandlingstjenester tekniske og kommercielle udfordringer.


Selvom der stadig er længe til at reglerne finder anvendelse, bør leverandørerne allerede nu begynde at forholde sig til de nye regler. Først og fremmest bør leverandørerne få klarlagt, om de er omfattet af reglerne, dvs. om de leverer databehandlingstjenester i henhold til Data Act’s (ikke videre klare) definition heraf.


Leverandører, som er omfattet af reglerne, bør dernæst inden længe begynde at forberede sig på de nye regler, bl.a. i form af implementering af tekniske foranstaltninger i deres løsninger, der gør det muligt at migrere data fra en kunde til en anden leverandør på kort tid og uden tab af funktionalitet.


Ligeledes skal leverandørerne have opdateret deres kontraktvilkår.


Endelig bør leverandørerne sørge for at tage højde for de nye krav om bl.a. kundens opsigelsesret og pligt til vederlagsfri henholdsvis omkostningsdækket migreringsassistance i prissætningen af deres ydelser.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted