Ett steg närmare antagandet av EU:s Dataakt
Den 23 februari 2023 presenterade EU-kommissionen ett förslag till förordning med regler kring användning och åtkomst till data som genereras inom EU (”Dataakten”). Dataakten syftar till att stärka EU:s dataekonomi och utgör en del av EU-kommissionens datastrategi. I juni 2023 nådde EU-parlamentet och ministerrådet en politisk överenskommelse avseende förslaget, som väntas antas så snart överenskommelsen formellt godkänts.
Bakgrund
EU-kommissionens datastrategi syftar till att stärka den inre marknaden genom att säkerställa EU:s globala konkurrenskraft och datasuveränitet. Genom att bland annat fokusera på potentialen i den ständigt ökande mängden industridata utgör Dataakten en av grundpelarna i strategin.[1] Enligt EU-kommissionen kommer Dataakten att stimulera ökad konkurrenskraft på den inre marknaden samt skapa större möjligheter för datadriven innovation och europeiska molntjänster.[2]
Vad innebär Dataakten?
Genom den politiska överenskommelsen mellan EU-parlamentet och ministerrådet klargörs omfattningen av de regler som ska tillämpas på data som genereras av s.k. smarta produkter, vilket omfattar alla uppkopplade produkter från hushållsapparater till industrimaskiner. Dataakten berör huvudsakligen vem som får åtkomst till och rätt att använda data som genereras genom smarta produkter i EU.
Icke-uppkopplade produkter är vanligtvis tekniskt avgränsade och har ett begränsat användningsområde. Smarta produkter kan emellertid generera data som i sig kan vara både begränsande och värdeskapande. Frågan om hur denna data får användas och vem som bör gynnas av den har varit omtvistad. Traditionellt sett har produkttillverkarna och leverantörerna reserverat rättigheterna till denna data för sig själva. Det har även saknats transparens kring hur användargenererad data kan användas. Genom Dataakten vill EU skapa ett ramverk för vem som kan tillgodogöra sig värdet av användargenererad data och på vilka villkor.
Dataakten föreslår åtgärder för att hindra leverantörer av smarta produkter från att tillämpa avtalsvillkor som av olika skäl är ofördelaktiga för användarna, till exempel genom att överlåta kontrollen över användargenererad data till leverantörerna. De nya reglerna i förslaget ger användare av smarta produkter rätt att själva bestämma vem som har tillgång till användargenererad data, samt rätt att kopiera eller flytta sådan data till nya leverantörer.
I förslaget finns även åtgärder för att möjliggöra för användare att dela data med tredje part i syfte att främja eftermarknadstjänster och innovation. Till exempel skulle innehavaren av en bil kunna välja att dela med sig av vissa data till försäkringsbolag i syfte att förbättra säkerheten på vägarna och förebygga olyckor.
Dataakten är även avsedd att främja konkurrensen genom att ta bort tekniska barriärer som hindrar vissa leverantörer från att tillhandahålla tjänster som kräver tillgång till data som genereras i smarta produkter. Ett exempel är då vissa tillverkare blockerar tillgången till data i sina produkter för att förhindra konkurrenter från att utföra service på produkterna. Förslaget innehåller även obligatoriska skyddsåtgärder för att förhindra eller försvåra för statliga aktörer utanför EU att få tillgång till användargenererad data från smarta produkter.
I förslaget återfinns därutöver nya regler som ger kunder ökade möjligheter att byta molntjänsteleverantörer och förenklar överföringen av data mellan olika molntjänster. Avsikten är att göra det enklare och snabbare att flytta allt från privata fotoalbum till hela affärssystem mellan olika molntjänstleverantörer. Detta ska åstadkommas genom nya obligatoriska krav på avtalsinnehåll och nya ramverk för molntjänstleverantörerna att förhålla sig till. Även dessa åtgärder motiveras av EU:s fortsatta fokus på att säkerställa en hälsosam konkurrens på den inre marknaden, inte minst för europeiska molntjänstleverantörer.
Även data som omfattas av GDPR föreslås omfattas av Dataakten. Det är dock viktigt att komma ihåg att Dataakten inte är avsedd att ersätta eller på något sätt begränsa GDPR:s tillämplighet. Bestämmelserna i GDPR ska fortsatt tillämpas fullt ut, vilket innebär att användning och delning av användargenererad data som innefattar personuppgifter kommer att vara föremål för vissa begränsningar.
Vad händer nu?
EU-parlamentets och ministerrådets överenskommelse måste godkännas formellt av dessa institutioner innan Dataakten kan antas. Efter antagandet träder Dataakten i kraft den tjugonde dagen efter dess offentliggörande och börjar tillämpas först 20 månader efter ikraftträdande.
Molntjänstleverantörer och tillverkare av smarta produkter bör redan nu börja planera för hur Dataakten kan komma att påverka deras verksamheter. Juridiska och ekonomiska rådgivare bör vara medvetna om hur Dataakten kan inverka på etablerade affärsmodeller, särskilt avseende inkomstströmmar som vilar på användargenererad data. Samtidigt öppnar Dataakten nya möjligheter, inte minst för små och medelstora bolag som vill in på EU:s digitala marknad.
Kontakta Wistrand Advokatbyrå vid frågor eller för mer information.
