Europaparlaments- og rådsforordning (EU) 2023/2854 av 13. desember 2023 om harmoniserte regler for rettferdig tilgang til og bruk av data og om endring av forordning (EU) 2017/2394 og direktiv (EU) 2020/1828 (dataforordningen)
Dataforordningen (Data Act)
Europaparlaments- og rådsforordning publisert i EU-tidende 22.12.2023
Tidligere
- Kompromiss fremforhandlet av representanter fra Europaparlamentet og Rådet 27.6.2023
- Europaparlamentets plenumsbehandling 9.11.2023
- Rådsbehandling (enighet med Europaparlamentet; endelig vedtak) 27.11.2023
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 8.10.2024)
Sammendrag av innhold
Etter dataforvaltningsforordningen (DGA), er dataforordningen det andre store lovgivningsinitiativet i oppfølgingen av Kommisjonens datastrategi fra 2020. Forordningens formål er å styrke EUs dataøkonomi og fremme et konkurransedyktig og mer rettferdig datamarked. Rettsakten tar sikte på å gjøre data (særlig industridata) mer tilgjengelig og brukbar – og med det øke datadrevet innovasjon. Rettsakten regulerer hvem som kan bruke hvilke data og på hvilke betingelser.
Virkeområde, hva slags data som omfattes og hvilke aktører som blir berørt varierer noe etter de ulike kapitelene i forordningen.
Overordnet vil dataforordningen:
- Legge til rette for at forbrukere og virksomheter får tilgang til data som genereres ved deres bruk av tilkoblede produkter og relaterte tjenester. (Kap. 2)
- Gi rammer for virksomheter som er forpliktet til å dele data. (Kap. 3)
- Verne mot urimelige avtalevilkår om datadeling. (Kap. 4)
- Legge til rette for at offentlige myndigheter, ved ekstraordinære behov, kan innhente data fra privat sektor. (Kap. 5)
- Legge til rette for at kunder av databehandlingstjenester (som sky- og edgetjenester) kan bytte til en annen tilbyder. (Kap. 6)
- Oppstille sikkerhetstiltak mot ulovlig overførsel av ikke-personopplysninger til tredjeland. (Kap. 7)
- Bidra til økt interoperabilitet ifm. datadeling. (Kap. 8)
Dataforordningen anses å være i samsvar med personvernforordningen, forordning (EU) 2016/679 (GDPR).
Nærmere om Dataforordningen
Kapittel 1 angir bl.a. definisjoner av sentrale begreper.
Kapittel 2 gjelder deling av data generert fra tilkoblede produkter og relaterte tjenester. Tilkoblede produkter (IOT-produkter) kan f.eks. være tilkoblede biler, medisinsk utstyr og industri- og landbruksmaskiner. Relaterte tjenester er alt som gjør at et IOT-produkt fungerer på en bestemt måte, f.eks. en app til å justere temperatur i et kjøleskap.
Forbrukere og virksomheter (brukere) gis rett til å få utlevert data som er generert via deres bruk av et IOT-produkt og/eller en relatert tjeneste som de eier, leier eller leaser. Brukerne kan også kreve at virksomheter som innehar data (datainnehavere) overfører dataen direkte til en tredjepart. Slik kan brukerne gå til en annen leverandør av f.eks. reparasjons- og vedlikeholdstjenester enn produsenten av IOT-produktet. Dette vil kunne bidra til at flere mikro-, små- og mellomstorebedrifter får tilgang til data, og dermed øke innovasjonen.
All rå- og forhåndsbehandlet data generert ved bruk av et tilkoblet produkt eller en relatert tjeneste omfattes. Utlevering skal skje uten unødig opphold og uten kostnad for brukeren. Det gis også regler for å sikre konfidensialitet om forretningshemmeligheter og forbud mot å bruke dataen på måter som er i direkte konkurranse med det produktet eller tjenesten dataen stammer fra.
Når det gjelder andre data enn personopplysninger, kan datainnehavere bare bruke dataen i tråd med det som er avtalt med brukeren. All bruk av personopplysninger krever behandlingsgrunnlag etter personvernforordningen.
Plattformselskaper definert som «portvoktere» etter forordning om digitale markeder (DMA), kan ikke motta data etter reglene i kapittelet. Samtidig er mikro- og småbedrifter i utgangspunktet unntatt forpliktelsene i kapittelet. Det samme gjelder bedrifter som har vært mellomstore i mindre enn ett år og for deres IOT-produkter det første året produktene er på markedet. Mikro-, små- og mellomstore bedrifter er definert i «Annex to Recommendation 2003/361/EC» art. 2.
Kapittel 3 gir plikter for datainnehavere som er forpliktet til å dele data etter kapittel 2 eller annen unionsrett/nasjonal rett som gjennomfører unionsrett. Kapittelet omfatter all data, inkludert IOT-data.
Avtalevilkår om datadeling skal være rettferdige, rimelige og ikke-diskriminerende. Partene kan avtale en rimelig godtgjørelse, som kan omfatte kostpris av datadelingen, samt tekniske kostnader ved formidling og lagring. Er datamottakeren en mikro-, små-, eller mellomstor bedrift eller en non-profitt forskningsorganisasjon kan godtgjørelsen ikke overstige kostpris.
Det oppstilles også en ikke-uttømmende liste over tiltak for å avhjelpe i situasjoner der en part ulovlig har tilegnet seg data.
Kapittel 4 gjelder urimelige avtalevilkår om deling og bruk av data som er ensidig påtvunget en annen virksomhet. Slike avtalevilkår er ugyldige. Med ensidig påtvunget menes at avtalevilkåret er fastsatt av én av partene og at den andre ikke har kunnet påvirke vilkårets innhold til tross forsøk. Det gis nærmere regler for når avtalevilkår anses å være urimelig.
Kapittelet omfatter all data som innehas av private virksomheter, som tilgjengeliggjøres og brukes på grunnlag av avtale mellom virksomheter.
Kapittel 5 gir offentlige myndigheter, Kommisjonen, Den Europeiske Sentralbank og EU-organer tilgang til data fra privat sektor når det foreligger ekstraordinære behov. Dette er uforutsette og tidsbegrensede situasjoner, hvor data private virksomheter besitter er nødvendig for å utføre oppgaver i allmennhetens interesse. Ekstraordinært behov kan foreligge i to tilfeller:
- Offentlige nødsituasjoner, som større natur- eller menneskeskapte katastrofer, pandemier, cybersikkerhetshendelser mv. For å håndtere slike situasjoner, bør det offentlige i utgangspunktet kreve data som ikke er personopplysninger. Virksomheter kan be om offentlig annerkjennelse for å ha delt data. Mikro- og småbedrifter kan i tillegg kreve rimelig vederlag (begrenset til tekniske og organisatoriske kostnader).
- Ikke-nødsituasjoner, f.eks. der aggregerte og anonymiserte data fra sjåførers GPS-systemer brukes til å optimere trafikkflyt. Kun data som ikke er personopplysninger kan kreves, og det er en forutsetning at det ikke har vært mulig for det offentlige å få tilgang til dataen på annet vis. Virksomheter kan kreve rimelig vederlag for å dele dataen (begrenset til tekniske og organisatoriske kostnader). Mikro- og småbedrifter er unntatt plikten til å dele data.
Anmodninger fra det offentlige må være spesifikke, transparente og forholdsmessige. Forretningshemmeligheter skal beskyttes og data skal slettes ved oppnådd formål. Samtidig kan dataen, under nærmere vilkår, deles med tredjeparter ifm. forsknings- og statistikkformål.
Kapittel 6 gir regler om bytte mellom databehandlingstjenester (som sky- og edgetjenester). Tilbydere av slike tjenester må legge til rette for at forbrukere og virksomheter (kunder) enkelt og raskt kan bytte til en annen tilbyder, eller benytte flere tjenester samtidig. Input- og outputdata, inkl. metadata, som genereres av kundens bruk av tjenesten omfattes. Data beskyttet av immaterielle rettigheter eller som utgjør forretningshemmeligheter er unntatt.
Reglene innebærer for eksempel at tilbydere av «Platform and Software as a Service» (PaaS og SaaS) får plikt til å tilgjengeliggjøre åpne tilgangsgrensesnitt og, som minimum, plikt til å eksportere data i et alminnelig anvendt og maskinlesbart format. Tilbydere av «Infrastructure as a Service» (IaaS) må legge til rette for at kunden, ved bytte til tilsvarende tjeneste, får materielt sammenliknbart resultat som følge av samme input, for de funksjonene tjenestene deler («funksjonell ekvivalens»).
Det innføres forbud mot å ta gebyr ifm. bytte av databehandlingstjeneste, gjeldende fra 12. januar 2027. I tillegg stilles minimumskrav til innholdet i skykontrakter.
Kapittel 7 gjelder internasjonal tilgang til og overføring av data som ikke er personopplysninger. Hvis det vil stride mot unionsretten eller medlemslandets lovgivning å overføre slik data til et tredjeland, må tilbydere av databehandlingstjenester treffe passende tiltak for å forhindre dette. Foreligger avgjørelse fra en domstol/nemnd i et tredjeland, som krever tilgang til eller overføring av data, skal slike avgjørelser i utgangspunktet kun etterkommes hvis det foreligger en internasjonal avtale mellom tredjelandet og unionen/medlemslandet. Det gis nærmere regler om hvordan dataforespørsler håndteres der slike avtaler ikke foreligger. Reglene har ingen innvirkning på den regelmessige utvekslingen av data mellom virksomheter.
Kapittel 8 gjelder interoperabilitet. Deltakere i dataområder («data spaces») må oppfylle flere krav, for å legge til rette for at data kan flyte innenfor og mellom dataområder. Videre oppstilles krav til innholdet i åpne spesifikasjoner for interoperabilitet og europeiske standarder for interoperabilitet for databehandlingstjenester. Også bruk av smartavtaler for datadeling reguleres.
Kommisjonen kan anmode europeiske standardiseringsorganisasjoner om å utarbeide harmoniserte standarder for interoperabilitet og krav til smartavtaler. Hvis slike anmodninger ikke fører til harmoniserte standarder, eller hvis standardene er utilstrekkelige, kan Kommisjonen via gjennomføringsrettsakter vedta felles spesifikasjoner.
Kapittel 9 gjelder håndheving. Hver medlemsstat skal utpeke én eller flere tilsynsmyndigheter til å håndheve forordningen. Ved mer enn ett tilsyn, skal én utpekes som «datakoordinator». Både enkeltpersoner og virksomheter gis rett til å klage til tilsynsmyndigheten/ene hvis de mener at deres rettigheter er krenket. Organet som skal håndheve kap. 6 (og art. 34 og 35) skal ha erfaring innen områdene data og elektroniske kommunikasjonstjenester. Tilsynsmyndigheter etter personvernforordningen skal ha håndhevingskompetanse innen sitt fagområde.
Datainnovasjonsrådet (European Data Innovation Board – EDIB), opprettet i medhold av dataforvaltningsforordningen (DGA), skal legge til rette for samarbeid mellom medlemsstatenes tilsynsmyndigheter. EDIB skal også bl.a. bistå og gi råd til Kommisjonen ifm. utarbeidelse av delegerte rettsakter og gjennomføringsrettsakter. Norge vil arbeide for at EFTA-landende (Norge, Island, Sveits og Liechtenstein) får delta i EDIB på lik linje som EU-landene, dvs. med møte- og talerett, men uten stemmerett.
Hver medlemsstat skal fastsette regler om sanksjoner. For overtredelser av kap. 2, 3 og 5 kan datatilsynsmyndigheter ilegge overtredelsesgebyr i tråd med personvernforordningen art. 83 (5).
Medlemsstatene kan også opprette sertifiserte tvisteløsningsorganer for å bistå parter som f.eks. ikke oppnår enighet om avtalevilkår for datadeling (se omtale av kap. 3 og 4).
Kapittel 10 fastslår at sui generis-vernet i direktiv 96/9/EF (databasedirektivet) art. 7 ikke får anvendelse når data er hentet fra eller generert av et tilkoblet produkt eller en relatert tjeneste. (Oppsummert gir databasedirektivet art. 7 rett til å forby uttrekk og/eller gjenbruk av hele basens innhold, eller en vesentlig del av den, hvis det ligger en vesentlig investering bak databasen).
Kapittel 11 gir avsluttende bestemmelser, herunder gis Kommisjonen kompetanse til å vedta enkelte delegerte rettsakter.
Merknader
Det rettslige grunnlaget for forordningen er art. 114 i "Treaty of the Functioning of the European Union" (TEUF) (Den europeiske unions funksjonsområde).
Rettslige konsekvenser
Hvis dataforordningen blir innlemmet i EØS-avtalen, må den gjennomføres i norsk rett som den er gjennom en henvisningslov (inkorporasjon). Det vil trolig være behov for en ny lov for å gjennomføre forordningen.
Dataforordningen griper inn i nasjonal kontraktsrett og det vil derfor kunne være behov for justeringer i avtaleloven. Det kan også være at bestemmelser som gjennomfører databasedirektivet art. 7 i åndsverkloven må revideres.
Gjennomføring av forordningen i norsk rett forutsetter lovendring, slik at innlemmelse i EØS-avtalen krever Stortingets samtykke, jf. Grl. § 26 annet ledd. Det vil bli tatt konstitusjonelt forbehold ved eventuell innlemmelse i EØS-avtalen.
Økonomiske og administrative konsekvenser
Forordningen vil ha økonomiske og administrative konsekvenser for myndigheten(e) som skal føre tilsyn og håndheve regelverket. Det må påregnes løpende utgifter, men på dette tidspunktet er det vanskelig å gi konkrete anslag. Videre må det påregnes sporadiske kostnader knyttet til det offentliges innhenting av data ifm. ekstraordinære behov etter kap. 5.
Forordningen vil også medføre økte kostnader for private virksomheter, som ilegges nye plikter.
Sakkyndige instansers merknader
Kommunal- og distriktsdepartementet publiserte 28. mars 2022 en nyhetssak på sine nettsider med informasjon om forslaget til dataforordning og med oppfordring om å sende et høringssvar til Kommisjonen, gjerne i kopi til departementet. Departementet ba også om innspill til nasjonal posisjon innen 21. april 2022. Departementet mottok innspill fra Finansforbundet, POSC Caesar Association, Attac Norge, Digitaliseringsdirektoratet, Nasjonal kommunikasjonsmyndighet og Datatilsynet.
Foreløpig posisjonsnotat ble behandlet i SU Kommunikasjoner 27. september 2022.
Dataforordningen er til vurdering nasjonalt og i EØS-EFTA-statene. Forordningen anses EØS-relevant, og arbeidet med å vurdere akseptabilitet og eventuelle behov for tilpasninger har startet. Posisjonsnotat ble behandlet i SU Kommunikasjoner 26. september 2024.
Vurdering
Dataforordningen antas å ville bidra til økt datadeling i privat sektor, både innad og på tvers av ulike sektorer. Ved at flere virksomheter, herunder mikro-, små- og mellomstore virksomheter, får tilgang til (brukbar) data, vil dataøkonomien i det indre markedet bli styrket. Dette vil også føre til økt – og mer rettferdig – konkurranse, samt økt datadrevet innovasjon. Rettsakten vurderes derfor å få stor betydning for privat sektor og vil, om innlemmet i EØS-avtalen, kunne gi flere muligheter for norsk næringsliv. Forordningen er også et viktig reguleringsinitiativ når det gjelder forbrukeres (og virksomheters) kontroll over egne IOT-data, samt kunders kontroll over deres data i sky- og edgetjenester.
Videre legger dataforordningen til rette for at offentlige myndigheter effektivt, og innen relativt klare rammer, kan få tilgang til data ved ekstraordinære behov. Behovet for slik regulering ble bl.a. synliggjort ifm. koronapandemien.
Dataforordningen regulerer tematikk som er nærliggende å løse gjennom internasjonalt samarbeid. Gjennomføring av rettsakten i norsk rett vil være et viktig ledd i å tilrettelegge for at Norge kan ta aktiv del i den globale dataøkonomien.
Status
Status i EU
Europakommisjonen presenterte 23. februar 2022 forslag til forordning om harmoniserende regler om rettferdig tilgang til og bruk av data («Data Act», «dataforordningen»). Dataforordningen, forordning (EU) 2023/2854, ble formelt vedtatt i EU 13. desember 2023, og trådte i kraft 11. januar 2024. De fleste av bestemmelsene vil gjelde fra 12. september 2025.
Status i Norge og EØS
Forordningen er til vurdering i EØS-EFTA-statene.