Data Act har været gældende siden september 2025, men mange producenter af forbundne produkter (IoT) har stadig ikke sikret, at deres vilkår, tekniske løsninger og interne processer understøtter de nye krav om dataadgang. Her giver vi et overblik over tre kerneområder, hvor Data Act og GDPR mødes – et samspil, der kræver opmærksomhed fra alle, der producerer eller anvender forbundne produkter.
Dataadgang er ikke længere en forretningsbeslutning og GDPR følger med
Brugerne har ret til adgang til de produktdata, relaterede tjenestedata og metadata, som forbundne produkter og relaterede tjenester genererer. Det gælder som udgangspunkt i realtid (hvor det er relevant og teknisk muligt), i et struktureret og maskinlæsbart format og uden ekstra betaling.
Men IoT data indeholder ofte personoplysninger, og Data Act udgør ikke i sig selv et selvstændigt behandlingsgrundlag efter GDPR. Når brugeren fx ikke selv er den registrerede (men en virksomhed), skal både bruger og dataindehaver sikre, at der er hjemmel i GDPR til at anmode om og videregive data. Alternativt kan data leveres i anonymiseret format.
Virksomheder, der fx producerer medicinsk udstyr, wearables eller andet IoT har særlige udfordringer her, fordi data typisk er følsomme helbredsoplysninger omfattet af GDPR artikel 9.
"Unfair" vilkår bliver tilsidesat, også selv om formålet er at beskytte personoplysninger
Data Act regulerer urimelige vilkår i aftaler mellem virksomheder. Vilkår, der ensidigt begrænser kundens adgang til data eller muligheden for datadeling, er ikke bindende, hvis de vurderes som urimelige ud fra "god handelspraksis". Vilkår, der f.eks. tillader ensidige prisændringer uden gyldig grund, formodes at være urimelige, og vilkår, der udelukker ansvar for forsæt eller grov uagtsomhed, er altid urimelige.
Det gælder også vilkår, der tidligere var tænkt som "GDPR sikkerhedsforanstaltninger", hvis de reelt fungerer som hindringer for brugerens dataadgang. Kontraktvilkår om FRAND (Fair, Reasonable And Non-Discriminatory) og kompensationsordninger skal udformes, så de ikke udgør en omgåelse af Data Act.
Hvis jeres standardvilkår ikke er gennemgået i lyset af begge regelsæt, er det tid til et eftersyn.
Tredjeparter får en direkte adgangsret, men GDPR bestemmer stadig, hvad du må dele
Brugeren kan kræve, at dataindehaveren stiller data til rådighed for en tredjepart, som brugeren udpeger – f.eks. en uafhængig servicepartner eller leverandør. Data Act siger, at du skal, men GDPR siger, hvad du må.
Tredjeparter må kun anvende data til de formål, der er aftalt med brugeren, og må f.eks. ikke anvende data til profilering (medmindre det er en del af aftalen med brugeren). Desuden må tredjeparter ikke anvende data til at udvikle konkurrerende produkter.
Det kan sagtens lade sig gøre at overholde begge regelsæt, men det kræver, at virksomheden har styr på dataroller (dataindehaver, bruger, tredjepart), behandlingsgrundlag efter GDPR, tekniske foranstaltninger (f.eks. anonymisering) og klare aftalevilkår.
Hvad er "first step"?
Foretag en vurdering af, hvilke forbundne produkter og relaterede tjenester der er omfattet af Data Act, og om I på nuværende tidspunkt kan overholde kravene til dataadgang. Genbesøg og opdater vilkår, betingelser og oplysninger for at sikre, at alle transparensforpligtelser er overholdt. Husk den interne governance.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Denne artikel er udgivet efter aftale med Kromann Reumert. Den er oprindeligt udgivet her.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
