EU’s dataforordning (”Data Act”) godkendt af Parlamentet

Som led i realiseringen af denne strategi blev der tidligere i år opnået politisk enighed om en ny forordning (”Data Act”), der skal skabe de lovgivningsmæssige rammer for realiseringen af denne strategi. 

Data Act supplerer Data Governance Act, som har været gældende siden september 2023, og som bl.a. regulerer adgang til offentlige data.

Forordningen er netop blevet godkendt af Parlamentet med et overvældende flertal, og der udestår nu alene en formel godkendelse af Rådet, før forordningen er endelig.

Forordningen vil gælde 20 måneder efter dens offentliggørelse i EU-tidende, dvs. forventeligt fra omkring medio 2025.

Der er dog god grund til allerede nu at sætte sig ind i reglerne og de muligheder samt udfordringer, de nye regler giver. Ikke mindst for de virksomheder, der udbyder produkter og services, som de nye regler gælder for, vil der ligge en stor opgave i at sikre, at deres brugere kan få adgang til data.

I denne artikel giver vi en generel introduktion til Data Act’en. Vi følger i de kommende uger op med en artikelserie om en række specifikke emner, bl.a. om forholdet til GDPR og forordningens regler om udskiftning af cloud-leverandører, som vil få stor betydning for udbydere og brugere af cloud-løsninger.

Dataforordningens anvendelsesområde

Data Act handler kort fortalt om deling af data og skal sikre, at de data, en person eller virksomhed har været med til at generere, skal kunne udleveres, hvis vedkommende anmoder om dem.

Eller med Parlamentets ord:

”Den nye lovgivning fastlægger regler om deling af data genereret ved brug af forbundne produkter eller relaterede tjenester (for eksempel IoT, industrimaskiner) og giver brugerne adgang til de data, de genererer”.

Forordningen regulerer data, brugere genererer ved brug af såkaldte ”Internet of Things”-produkter (også kaldet IoT-produkter) og tilknyttede tjenester.

Data defineres i forordningen meget bredt som enhver digital repræsentation af handlinger, fakta og information, herunder lyd, billede og audiovisuel optagelse.

Hvem gælder reglerne for?

Data Act betyder i praksis, at alle virksomheder, der producerer hardwareprodukter, hvori der opsamles brugerdata, bliver forpligtet til at stille disse data til rådighed for brugerne af produkterne.

Særligt inden for landbrug og industri vil en nemmere adgang til data genereret ved brug af industriudstyr gøre det muligt for fabrikker, landbrug og byggevirksomheder at optimere drift, produktion og forsyningskæder.

Forordningen omfatter en lang række aktører, herunder producenter af IoT-produkter og udbydere af tilknyttede tjenester til disse produkter, der sælges og markedsføres inden for EU.

Tilknyttede tjenester skal forstås som tjenester, der er indbygget eller forbundet med et IoT-produkt, og ville forhindre produktet i at udøve dets funktioner, uden tjenesten.

Derudover er dataindehavere, dvs. virksomheder, der har en ret eller forpligtelse eller mulighed for at stille data til rådighed for datamodtagere i EU, omfattet.

Datamodtagere, offentlige institutioner og udbydere af cloud-services er desuden også omfattet.

Adgang til og deling af data

Det grundlæggende princip i forordningen er, at virksomheder og forbrugere skal kunne opnå adgang til, forvalte og dele de data, som de selv bidrager til at skabe, når de bruger IoT-produkter og relaterede tjenester. Udbydere af disse tjenester skal derfor sørge for, at brugerne let kan tilgå alle de data, som brugeren er med at skabe. Dette kan gøres gennem overskuelige grænseflader, så brugeren nemt kan danne sig et overblik over al data, der bliver genereret. Producenter af sådanne produkter og relaterede tjenester bør allerede nu begynde at overveje, hvordan dette krav kan håndteres bedst muligt i deres løsninger.