Dataforordningen og den digitale omnibus
Dataforordningen er en del af EU's regulering af det digitale område og fastsætter bl.a. regler for deling af data fra forbundne produkter og relaterede tjenester samt for skift mellem databehandlingstjenester. Forordningens formål er at fremme adgangen til og anvendelsen af data, styrke den europæiske data-økonomi og skabe et mere konkurrencedygtigt datamarked. For virksomheder, der udvikler, leverer eller anvender forbundne produkter og digitale tjenester, markerer forordningen et paradigmeskifte i forståelsen af, hvem der har ret til data – og på hvilke vilkår.
Samtidig er dataforordningen allerede blevet en del af den politiske dagsorden i Bruxelles, hvor regelforenkling og nedskæring af bureaukrati er i fokus. I den såkaldte digitale omnibus foreslås en række justeringer, som – hvis de vedtages – vil få direkte betydning for både virksomheders complianceindsats og deres strategiske brug af data.
I dette nyhedsbrev giver vi et overblik over de centrale elementer i dataforordningen og peger på, hvad den digitale omnibus kan komme til at ændre.
1. Hvad regulerer dataforordningen?
Dataforordningen finder anvendelse på data, der genereres ved brug af forbundne produkter og relaterede tjenester. Et forbundet produkt kan være alt fra en bil til et smart køleskab, som indsamler data om sin anvendelse eller sine omgivelser og kan kommunikere disse data via internettet, Bluetooth eller tilsvarende teknologier. Relaterede tjenester er typisk digitale ydelser – såsom apps – der er så tæt knyttet til produktet, at produktet ikke kan anvendes fuldt ud uden tjenesten.
Forordningen introducerer bl.a. begrebet dataindehaver, som er den virksomhed, der er i besiddelse af dataene og kan anvende dem eller stille dem til rådighed. Dataindehaveren vil ofte – men ikke altid – være producenten eller tjenesteudbyderen. Den anden centrale aktør er brugeren, som kan være en privatperson, virksomhed eller offentlig myndighed, der ejer, lejer eller leaser det forbundne produkt eller modtager den relaterede tjeneste.
Dataforordningen finder anvendelse på tværs af sektorer, men indeholder en række undtagelser for data genereret ved anvendelse af forbundne produkter, der fremstilles eller udformes, eller relaterede tjenester, der leveres, af mikrovirksomheder eller små virksomheder – dvs. virksomheder med under henholdsvis 10 og 50 ansatte, og som har en maksimal årlig omsætning eller en samlet balance på henholdsvis 2 og 10 mio. euro.
2. Hvilke data? Og hvordan skal de udleveres?
Dataforordningen opererer primært med tre kategorier af data: Produktdata, relaterede tjenestedata og relevante merdata (fx tid, sted og kontekst). Fælles for alle tre kategorier er, at brugeren som udgangspunkt har ret til at få adgang til de data, som vedkommendes brug af produktet eller tjenesten genererer.
Data kan udleveres enten direkte – fx via en app eller en hjemmeside – eller indirekte, hvor brugeren anmoder dataindehaveren om adgang, hvorefter dataene udleveres. I sidstnævnte tilfælde skal data stilles til rådighed uden unødigt ophold; i samme kvalitet, som dataindehaveren selv råder over, og på en sikker og gratis måde. Produkter og tjenester bør derfor allerede i designfasen indrettes til datatilgang.
2.1 Udlevering af data til tredjeparter
Dataforordningen giver også brugeren ret til at få data udleveret til en tredjepart, fx et uafhængigt værksted eller en alternativ tjenesteudbyder.
I denne forbindelse er det vigtigt at være opmærksom på, at forretningshemmeligheder kun må videregives, hvis der er truffet alle nødvendige foranstaltninger til at beskytte deres fortrolighed. Her bliver den digitale omnibus interessant. Forslaget lægger nemlig op til, at dataindehavere i visse situationer får udvidet mulighed for at nægte udlevering af forretningshemmeligheder, hvis der foreligger en høj risiko for ulovlig erhvervelse, brug eller videregivelse – særligt til tredjelande med et lavere beskyttelsesniveau end EU. En sådan nægtelse vil kræve en konkret risikovurdering fra sag til sag.
2.2 Særlige regler i B2B-forhold
I forhold mellem virksomheder giver dataforordningen mulighed for, at dataindehaveren kan kræve en rimelig godtgørelse for at stille dataene til rådighed. Derudover indeholder forordningen regler, som skal forebygge urimelige aftalevilkår i aftaler om dataadgang og -anvendelse mellem virksomheder. Et eksempel herpå kunne være et aftalevilkår, som strider mod god handelspraksis ved at udelukke eller begrænse ansvaret for forsætlige handlinger eller grov uagtsomhed for den part, der ensidigt har pålagt vilkåret.
2.3 Offentlige myndigheders adgang til data
Efter dataforordningens regler kan offentlige myndigheder, Kommissionen eller andre EU-organer i visse tilfælde kræve udlevering af data, hvis de kan påvise et ekstraordinært behov herfor. Det kan være, hvis der er en form for forbigående offentlig nødsituation, fx en folkesundhedsmæssig krisesituation, naturkatastrofe eller en større cybersikkerhedsrelateret hændelse. Det kan også være for at varetage en opgave i offentlighedens interesse, såsom udarbejdelse af offentlige statistikker.
Den digitale omnibus foreslår her en markant indsnævring, så myndigheder fremover kun kan kræve data i egentlige nødsituationer. Forslaget vil – hvis det vedtages – styrke virksomhedernes retsstilling og skabe større forudsigelighed.
3. Skift mellem databehandlingstjenester
Dataforordningen indeholder også omfattende regler om skift mellem databehandlingstjenester. Udbydere skal sikre, at brugerne kan skifte tjeneste uden kontraktmæssige eller organisatoriske hindringer, og fra 2027 må der ikke længere opkræves gebyr for skift. Den digitale omnibus lægger op til justeringer, herunder målrettede undtagelser for visse eksisterende kontrakter, hvilket kan få praktisk betydning for både kunder og udbydere.
4. Sanktioner ved manglende overholdelse af dataforordningen
Det er op til de enkelte medlemslande at udpege en myndighed, som skal håndhæve forordningen, og i Danmark er det Digitaliseringsstyrelsen, der har fået den opgave.
De nationale myndigheder kan sanktionere overtrædelser af forordningen med bøder på op til 20 mio. euro eller 4 % af virksomhedens samlede globale omsætning i det foregående regnskabsår, hvis dette beløb er højere end 20 mio. euro. Det kan man ikke læse direkte ud af dataforordningen, men forordningen henviser til bødeniveauet i GDPR, hvor de ovenfor nævnte beløb fremgår.
Dataforordningen indeholder en liste over kriterier, som myndighederne skal overveje, når de beslutter, hvor stor en bøde en overtrædelse skal straffes med. Det kan fx være overtrædelsens art, grovhed, omfang og varighed samt eventuelle tiltag, som den overtrædende part måtte have truffet for at afbøde eller afhjælpe den skade, der er forårsaget af overtrædelsen.
5. Samspillet med GDPR
Det er vigtigt at understrege, at dataforordningen ikke erstatter GDPR. Hvor GDPR regulerer beskyttelsen af personoplysninger, handler dataforordningen om retten til at få adgang til sine data. De to regelsæt skal anvendes side om side, og ved udlevering af data, der indeholder personoplysninger, skal der fortsat være et gyldigt behandlingsgrundlag efter GDPR.
6. Skal vi hjælpe dig?
Hvis du har spørgsmål til dataforordningen, den digitale omnibus eller andet i denne artikel, er du velkommen til at kontakte Holst, Advokater.
