BAKGRUNN (fra departementets EØS-notat, sist oppdatert 2.9.2022)

Europakommisjonen presenterte 23. februar 2022 forslag til europaparlaments- og rådsforordning om harmoniserende regler om rettferdig tilgang til og bruk av data («Data Act», på norsk «dataforordningen»). Forslaget er det andre store lovgivningsinitiativet i oppfølgingen av Kommisjonens datastrategi fra 2020. Dataforordningen skal blant annet regulere hvem som kan få tilgang til visse typer data og på hvilke betingelser.

Utveksling av høykvalitetsdata mellom ulike sektorer øker konkurransekraften og bidrar til bærekraftig økonomisk vekst. I dag utnyttes ikke data til sitt fulle potensiale. Dette skyldes delvis fragmenterte rettsregler knyttet til datadeling, urimelige kontraktsvilkår, usikkerhet rundt rettigheter og plikter tilknyttet data og kostnader, dårlig håndtering av metadata, manglende standarder, og manglende felles praksis for datadeling. Hensikten bak Kommisjonens forslag til dataforordning er å bøte på noen av disse utfordringene.

Overordnet går forslaget til dataforordning ut på:

• Å legge til rette for at forbrukere og virksomheter kan få tilgang til data som genereres ved deres bruk av tilkoblede produkter og relaterte tjenester.
• Å innføre horisontale rammer for datainnehavere som er forpliktet til å dele data.
• Å innføre horisontale rammer for vern av mikro-, små-, og mellomstore bedrifter mot urimelige vilkår i avtaler om deling av data.
• Å sørge for at offentlig sektor i medlemsstatene, samt Unionens institusjoner, byråer og organer, under nærmere bestemte vilkår kan innhente data fra private virksomheter dersom det foreligger et ekstraordinært behov for dette.
• Å legge til rette for at kunder av databehandlingstjenester (slik som sky- og edgetjenester) skal kunne bytte til en annen tilbyder av tilsvarende tjeneste.
• Å innføre sikkerhetstiltak mot ulovlig overførsel av data til tredjeland.
• Å sørge for utarbeidelse av standarder for interoperabilitet slik at data skal kunne viderebrukes på tvers av sektorer.
• Å skape sammenheng med gjeldende reguleringer innen tilsvarende politikkområde innenfor EU og EØS.

Forslaget til dataforordning skiller ikke mellom persondata og ikke-persondata, men anses i hovedsak å gjelde andre data enn personopplysninger. Samtidig vil personopplysninger kunne være involvert i flere sammenhenger, f.eks. i forbindelse med deling av data fra IoT-produkter (se kap. 2). Forslaget skal være i samsvar med personvernforordningen, forordning (EU) 2016/679 (GDPR).

Nærmere om forslaget

Kapittel 1 angir forordningens virkeområde og definisjoner av sentrale begreper.

Kapittel 2 gjelder deling av data som blir generert fra såkalte tilkoblede produkter (IoT) og relaterte tjenester.

• Et IoT-produkt vil etter forslaget omfatte tilkoblede husholdnings- og forbrukerartikler, kjøretøy, medisinsk utstyr mv. Produkter som hovedsakelig viser eller spiller av innhold, eller tar opp eller overfører innhold, faller imidlertid utenfor definisjonen. Dette vil f.eks. være personlige datamaskiner, nettbrett og smarttelefoner.
• Med «relaterte tjenester» menes en digital tjeneste som er integrert i eller forbundet med et IoT-produkt på en slik måte at dens fravær ville forhindret produktet i å utføre sine funksjoner.

Etter forslaget gis virksomheter og forbrukere (brukere) en rett til å få utlevert data generert via deres bruk av et IoT-produkt og/eller en relatert tjeneste som de eier, leier eller leaser. Utlevering av data skal skje uten unødig forsinkelse og uten kostnad for brukeren. I tillegg får datainnehavere (typisk produsenter) en plikt til å utlevere IoT-data direkte til en tredjepart hvis brukeren ber om det. Forslaget legger til rette for at forbrukere og virksomheter skal kunne velge å gå til en annen leverandør av reparasjons- og vedlikeholdstjenester enn produsenten av IoT-produktet. Formålet med forslaget er også å sikre at små-, mellomstore og mikrobedrifter får tilgang til denne typen data, som de kan omsette i markedet. Ved at også mindre aktører får tilgang til slike data, tilrettelegges det for økt innovasjon i næringslivet.

Videre foreslås regler for å bl.a. sikre konfidensialitet om forretningshemmeligheter, og et forbud mot at tredjeparter bruker den mottatte dataen på måter som er i direkte konkurranse med det produktet eller tjenesten dataen stammer fra. Plattformselskaper definert som «portvoktere» etter forslaget til forordning om digitale markeder («Data Markets Act»), skal ikke kunne motta data etter reglene i kapittelet. Samtidig er mikro- og småbedrifter (definert i «Annex to Recommendation 2003/361/EC» art. 2) unntatt forpliktelsene i kapittelet.  

For andre data enn personopplysninger, foreslås det at datainnehavere bare skal kunne bruke IoT-data i tråd med det som er avtalt med brukeren. (For data som er personopplysninger forutsetter all bruk at det foreligger et behandlingsgrunnlag i samsvar med kravene i personvernforordningen).

Det er også foreslått at produsenter og designere skal ha plikt til å utforme IoT-produkter og relaterte tjenester slik at data som blir generert, som standard, enkelt skal kunne gjøres tilgjengelig for brukeren. Produsenter og designere skal også være åpne om hvilken data som er tilgjengelig og hvordan brukeren kan få tilgang til den.

Kapittel 3 oppstiller plikter for datainnehavere (typisk private virksomheter, herunder produsenter) som er pålagt å dele data etter kapittel 2, eller etter annen unionsrett/nasjonal rett som gjennomfører unionsrett. Avtalevilkår om datadeling skal være rettferdige, rimelige og ikke-diskriminerende. Mener datamottakeren at avtalevilkårene er diskriminerende, vil datainnehaveren ha bevisbyrden for at det motsatte er tilfellet.

Partene vil kunne avtale en rimelig godtgjørelse for datadeling. Er datamottakeren imidlertid en mikro-, små-, eller mellomstor bedrift, skal godtgjørelsen ikke overstige kostprisen av å dele dataene. Samtidig kan det, i unionsretten eller nasjonal rett, fastsettes avvikende regler om godtgjørelse.

Hvis partene er uenige om hvorvidt avtalevilkårene er i samsvar med reglene i kapittelet, kan partene ta saken inn for et tvisteløsningsorgan i medlemsstaten. Avgjørelsen skal bare være bindende hvis partene uttrykkelig har samtykket til dette før tvisteløsningen påbegynnes.

Kapittel 4 gjelder urimelige avtalevilkår om deling og bruk av data som er ensidig påtvunget en mikro-, små-, eller mellomstorbedrift. Slike urimelig avtalevilkår skal anses som ugyldige. Med ensidig påtvunget menes at avtalevilkåret er fastsatt av én av partene, og at den andre parten ikke har kunnet påvirke vilkårets innhold til tross for forsøk. Det er den parten som har fastsatt avtalevilkåret som må bevise at vilkåret ikke er ensidig påtvunget. I kapittel 4 foreslås det også nærmere regler for når et avtalevilkår skal anses å være urimelig.

For å bistå partene med å lage balanserte avtaler om tilgang til og bruk av data, er det foreslått at Kommisjonen skal utarbeide en avtalemal, som vil være frivillig å ta i bruk.

Kapittel 5 oppstiller en plikt for datainnehavere (typisk private virksomheter) til å dele data med offentlige myndigheter, samt Unionens institusjoner, byråer eller organer, når det foreligger et ekstraordinært behov. Mikro- og småbedrifter er unntatt forpliktelsene.

Plikten vil for det første kunne inntre der tilgang til data er nødvendig for å reagere på, forebygge eller bidra til gjenoppretting etter en offentlig nødsituasjon. En offentlig nødsituasjon kan f.eks. være en folkehelsekrise eller en naturkatastrofe. For det andre vil plikten kunne inntre der manglende tilgang til data hindrer det offentlige i å utføre en lovfestet oppgave i allmennhetens interesse. I disse tilfellene oppstilles krav om at det offentlige enten ikke har lyktes med å innhente dataen på annen måte og det ikke er tid til å etablere et rettslig grunnlag for datainnhentingen, eller at datainnhenting etter prosedyren i kapittel 5 i vesentlig grad vil minske den administrative byrden for datainnehavere eller andre virksomheter.

Forespørslene fra det offentlige skal bl.a. være forholdsmessige og så langt som mulig omfatte andre data enn personopplysninger. Det offentlige skal bare bruke dataen til formål som er forenelig med innsamlingsformålet, og dataen skal slettes så snart formålet er oppnådd. Samtidig vil data kunne bli delt med tredjeparter til forsknings-, statistikk- og analyseformål. Hvis dataen er nødvendig for å reagere på en offentlig nødsituasjon, skal datainnhaveren dele dataen gratis. I andre tilfeller kan virksomheten kreve kompensasjon i form av kostpris, samt en rimelig fortjeneste.

Kapittel 6 gjelder bytte mellom databehandlingstjenester, slik som sky- og edgetjenester. Tilbydere av slike tjenester skal særlig fjerne avtalerettslige, tekniske, kommersielle og organisatoriske hindre, slik at det blir enklere for kunder (virksomheter eller forbrukere) å bytte til en annen tilbyder av samme tjenestetype. Bytte av tjeneste skal i utgangspunktet maksimum ta 30 kalenderdager. Gebyrlegging av kunder ved bytte av tjenesteleverandør, skal gradvis bli forbudt.

Det stilles også krav om at tilbydere av nærmere bestemte databehandlingstjenester skal sørge for at tjenesten er «funksjonell ekvivalent» etter at kunden har byttet til en annen tilbyder av tilsvarende tjeneste. Dette gjelder i hovedtrekk databehandlingstjenester som utgjør en skalerbar og elastisk databehandlingsressurs begrenset til infrastrukturelle elementer som servere, nettverk og virtuelle ressurser som er nødvendige for å drive infrastrukturen. Det er et vilkår at de ikke gir tilgang til driftstjenester, software og applikasjoner som lagrer eller på annen måte behandles eller anvendes på de infrastruktuelle elementene.

For andre databehandlingstjenester enn de som er nevnt over, er det foreslått en plikt til å tilgjengeliggjøre åpne tilgangsgrensesnitt (API – «application programming interface») vederlagsfritt. Disse API’ene skal samsvare med åpne interoperabilitetspesifikasjoner eller europeiske standarder for interoperabilitet (se kap. 8). Finnes ikke dette for den aktuelle tjenestetypen, skal dataen utleveres i et strukturert, alminnelig anvendt og maskinlesbart format.

Kapittel 7 pålegger tilbydere av databehandlingstjenester å gjennomføre alle rimelige tekniske, juridiske og organisatoriske tiltak for å hindre at statlige myndigheter i tredjeland får ulovlig tilgang til andre data enn personopplysninger. I denne sammenheng, foreslås det også regler om tilfeller der en domstol eller administrativ myndighet i et tredjeland, på bakgrunn av en rettslig avgjørelse, ber en tilbyder av en databehandlingstjeneste om å overføre eller gi tilgang til data.

Kapittel 8 gjelder krav til interoperabilitet. Forslaget oppstiller krav til interoperabilitet for operatører av dataområder. Det stilles også krav til innholdet i åpne spesifikasjoner for interoperabilitet og europeiske standarder for interoperabilitet mellom databehandlingstjenester. I tillegg reguleres bruk av smartavtaler ved datadeling.

Kommisjonen gis kompetanse til å vedta delegerte rettsakter, bl.a. for å konkretisere kravene til interoperabilitet. Kommisjonen skal også kunne vedta gjennomføringsrettsakter om felles krav til interoperabilitet og smartavtaler, der det ikke foreligger harmoniserte standarder eller disse er utilstrekkelige.

Kapittel 9 gjelder gjennomføring og håndheving. Hver medlemsstat skal utpeke én eller flere tilsynsmyndigheter som skal håndheve forordningen. Organet som skal håndheve kap. 6 skal ha erfaring innen områdene data og elektroniske kommunikasjonstjenester. Datatilsynsmyndigheter etter personvernforordningen skal ha håndhevingskompetanse innen sitt fagområde.

Både enkeltpersoner og virksomheter gis rett til å klage til en tilsynsmyndighet hvis de mener at deres rettigheter etter dataforordningen er blitt krenket. Hver enkelt medlemsstat skal fastsette regler om sanksjoner for brudd på forordningens bestemmelser. Hva gjelder overtredelser av kap. 2, 3 og 5, vil datatilsynsmyndigheter kunne ilegge overtredelsesgebyr i tråd med personvernforordningen art. 83 (5).

Kapittel 10 fastslår at sui generis-retten i Direktiv 1996/9/EC (databasedirektivet) art. 7 ikke skal gjelde for databaser som inneholder data innhentet fra, eller generert ved, bruk av et IoT-produkt eller en relatert tjeneste som oppfyller vilkårene i art. 4 eller 5. Oppsummert gir databasedirektivet art. 7 en rett til å forby uttrekk og/eller gjenbruk av hele basens innhold, eller en vesentlig del av den, dersom det ligger en vesentlig investering bak databasen.

Kapittel 11 gir avsluttende bestemmelser. Kommisjonen gis kompetanse til å vedta diverse delegerte rettsakter og gjennomføringsrettsakter om bl.a. interoperabilitet (se kap. 8). I tillegg tydeliggjøres relasjonen til annen unionslovgivning om datadeling.

Merknader

Rettslige konsekvenser

Hvis forordningen blir vedtatt og innlemmet i EØS-avtalen, må den gjennomføres i norsk rett som den er gjennom en henvisningslov (inkorporasjon).

Blir forordningen vedtatt i gjeldende form, vil den gripe inn i nasjonal kontraktsrett. Det vil derfor muligens være et behov for justeringer i avtaleloven. Det er også mulig at bestemmelser som implementerer databasedirektivet art. 7 i åndsverksloven må revideres.

Økonomiske og administrative konsekvenser

Forslaget vil ha økonomiske og administrative konsekvenser for både private virksomheter som ilegges nye plikter, og for myndigheten(e) som skal føre tilsyn og håndheve regelverket. Departementet vil se nærmere på dette når EU eventuelt har vedtatt forordningen. 

Sakkyndige instansers merknader

Kommunal- og distriktsdepartementet publiserte 28. mars 2022 en nyhetssak på sine nettsider med informasjon om forslaget til dataforordning og med oppfordring om å sende et høringssvar til Kommisjonen, gjerne i kopi til departementet. Departementet ba også om innspill til nasjonal posisjon innen 21. april 2022. Departementet mottok innspill fra Finansforbundet, POSC Caesar Association, Attac Norge, Digitaliseringsdirektoratet, Nasjonal kommunikasjonsmyndighet og Datatilsynet.

Status

Rettsakten ble lagt frem av Europakommisjonen 23. februar 2022. Kommisjonens forslag skal behandles i Rådet og Europaparlamentet.