Dataforvaltningsforordningen (DGA)
Høring igangsatt av Digitaliserings- og forvaltningsdepartementet 19.9.2024 med frist 9.12.2024
Tidligere
- Europaparlaments- og rådsforordning publisert i EU-tidende 3.6.2022
- Pressemelding fra Digitaliserings- og forvaltningsdepartementet lagt fram 26.6.2024
Redaksjonens kommentar
Den offentlige utredningen "Med lov skal data deles" ble lagt fram 26. juni 2024. Utvalget foreslår to ulike lover, en lov om datadeling for å gjennomføre EUs «åpne data-direktiv» (Open Data Directive – ODD) og en lov om dataforvaltning for å gjennomføre EUs «dataforvaltningsforordning» (Data Governance Act – DGA). Ny dataforvaltningslov skal sørge for trygg ramme for deling av data som ikke er åpne og underlagt tredjeparts rettigheter.
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 10.3.2023)
Sammendrag av innhold
DGA følger opp EU-kommisjonens datastrategi fra februar 2020. Forordningen skal sikre felles regler og praksis i EU (og EØS), og har som formål å gjøre data mer tilgjengelig, øke tilliten til dataformidlingstjenester og styrke datadelingsmekanismer. Forordningen omhandler både offentlig og privat sektor, og data underlagt enkelte typer tredjepartsrettigheter.
I hovedtrekk oppstiller DGA:
- Regler om viderebruk av følgende kategorier beskyttede data som det offentlige innehar: kommersielt fortrolige data, fortrolige statistiske data, data beskyttet av tredjeparters immaterielle rettigheter og personopplysninger (såfremt slik data faller utenfor virkeområdet til åpne data-direktiv (EU) 2019/1024).
- Et notifiserings- og tilsynsrammeverk for tilbydere av dataformidlingstjenester.
- Et rammeverk for datadeling av altruistiske grunner.
- Etablering av en ekspertgruppe for datainnovasjon (”European Data Innovation Board” - EDIB).
Unionsretten og nasjonal rett om vern av personopplysninger, herunder personvernforordningen (EU) 2016/679 (GDPR), får anvendelse ved all behandling av personopplysninger. DGA oppstiller ikke noe nytt rettslig grunnlag for behandling av personopplysninger, og griper ikke inn i kompetansen til datatilsynsmyndigheter. Ved en eventuell motstrid, vil personvernforordningen ha forrang. DGA berører blant annet ikke innsynsregelverket i nasjonal rett, konkurranseregelverket, aktiviteter som gjelder nasjonal sikkerhet, forsvar og offentlig sikkerhet, eller bruk av data for å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner.
Kapittel 1 angir forordningens virkeområde og definisjoner av sentrale begreper. For eksempel er «viderebruk» definert som data offentlige organer har og som brukes til andre formål enn det dataen opprinnelig ble produsert eller samlet inn for. Viderebruk kan skje til kommersielle eller ikke-kommersielle formål. Data som deles mellom offentlige organer utelukkende for at disse skal kunne utføre sine offentlige oppgaver, faller utenfor definisjonen.
Kapittel 2 omhandler viderebruk av følgende kategorier av data som innehas av offentlige organer, som er underlagt tredjepartsrettigheter:
- kommersielt fortrolige data, slik som forretningshemmeligheter
- fortrolige statistiske data
- data beskyttet av tredjeparters immaterielle rettigheter
- personopplysninger
Deling av slik data forutsetter at dataen faller utenfor virkeområdet til åpne data-direktivet (EU) 2019/1024. Kapittelet gjelder blant annet ikke for data som innehas av offentlige foretak, allmennkringkastere, kultur- og utdanningsinstitusjoner og data som er beskyttet av hensyn til nasjonal sikkerhet mv. DGA oppstiller ingen plikt for offentlige organer til å tillate viderebruk av ovennevnte data, men gir et rammeverk for hva slags vilkår offentlige organer kan stille for slik viderebruk. Vilkårene skal være ikke-diskriminerende, transparente, proporsjonale, objektivt begrunnet og ikke hindre konkurranse. Vilkår kan for eksempel være at dataen skal anonymiseres, aggregeres og lignende. Der slike metoder ikke tilfredsstiller viderebrukerens behov, kan det for eksempel stilles krav om at tilgang til og viderebruk av data skal skje i et sikkert behandlingsmiljø som er kontrollert av det offentlige organet.
Hvis viderebruk ikke kan tillates basert på ovennevnte vilkår, skal det offentlige organet bistå med å innhente samtykke fra registrerte (som definert i personvernforordningen) eller tillatelse fra datainnehaver, dersom dette er mulig uten å utgjøre en uforholdsmessig stor belastning for det offentlige organet. Offentlige organer kan ta gebyr for å tillate viderebruk av data. Ved fastsettelse av gebyr, skal det gis insentiver for viderebruk til ikke-kommersielle formål og til små- og mellomstore bedrifter (SMBer). Gebyrer skal knyttes til kostnaden ved å behandle forespørsel om viderebruk og begrenses til nærmere angitte nødvendige kostnader, som kostnader ved anonymisering. Enerettsavtaler og andre ordninger om viderebruk som gir eller har som mål eller virkning å gi enerett, eller på annen måte gjør at andre gis begrenset tilgang til data, er i utgangspunktet forbudt. Det kan gjøres unntak der en eksklusiv rett til å viderebruke data er nødvendig for å yte en tjeneste eller levere et produkt av allmenn interesse som ellers ikke ville vært mulig. Slik avtale kan ikke gjelde lenger enn 12 måneder, og det stilles blant annet krav om offentlig anskaffelse.
Landene skal utpeke ett eller flere kompetente organer som skal bistå offentlige organer i forbindelse med viderebruk av data etter reglene i kapittel 2. Dette inkluderer blant annet å gi veiledning og teknisk støtte i nærmere bestemte tilfeller, og å bistå med å innhente samtykke fra registrerte eller tillatelse fra datainnehavere. Landene skal også etablere eller utpeke et sentralt informasjonspunkt, som skal gi informasjon om vilkår for viderebruk og gebyrer. Informasjonspunktet skal også ta imot og videreformidle forespørsler om viderebruk til rette offentlige organ, og stille til rådighet et register over tilgjengelige datakilder. Funksjonene til informasjonspunktet kan ivaretas ved bruk av automatiserte hjelpemidler.
Kapittel 3 omhandler krav til dataformidlingstjenester. Formålet er å skape tillitt til dataformidling, og gjøre det enklere og tryggere for virksomheter og enkeltpersoner å frivillig dele data. En del av bakgrunnen er EUs politikk om å etablere felles europeiske dataområder på tvers av sektorer («common European data spaces»).
En «dataformidlingstjeneste» er definert som en tjeneste med formål om å etablere kommersielle forbindelser for datadeling, mellom et ubestemt antall registrerte eller datainnehavere på den ene siden og databrukere på den andre siden. Definisjonen avgrenser mot visse tjenestetyper (se artikkel 2 (11)), slik som tjenester som fokuserer på formidling av opphavsrettslig beskyttet innhold. Dataformidlingstjenester kan bestå av bilaterale eller multilaterale datadelinger, eller opprettelse av plattformer og databaser, som legger til rette for deling av data. Dataformidlingstjenester som tilbyr tjenester til registrerte (som definert i personvernforordningen) skal hjelpe disse med å håndheve sine rettigheter og sikre at de ikke oppfordres til å tilgjengeliggjøre mer data for viderebruk enn det som er i deres interesse. Det oppstilles vilkår for å tilby dataformidlingstjenester, herunder tjenester fra datakooperativer. Datakooperativer er en særlig type dataformidlingstjeneste som tilbyr en organisatorisk struktur bestående av registrerte, enkeltpersonsforetak eller SMBer, med hovedformål å støtte sine medlemmer i å utøve sine rettigheter til data.
En dataformidlingstjeneste kan blant annet ikke bruke data som den formidler til andre formål enn å stille den til rådighet for databrukere. Videre kan ikke kommersielle vilkår for å formidle data være betinget av om datainnehaver eller databruker benytter andre tjenester fra samme formidlingstjeneste. Det kreves blant annet også at dataformidlingstjenester legger til rette for utveksling av data i det format den mottok dataen, og eventuelt kun konverterer dataen til spesifikke formater hvis dette bidrar til økt interoperabilitet. Dataformidlingstjenester vil kunne tilby verktøy og andre tilleggstjenester for å gjøre datadeling enklere, slik som midlertidig lagring, kuratering, pseudonymisering og anonymisering. DGA oppstiller en notifiseringsprosedyre for virksomheter som vil å tilby dataformidlingstjenester. Notifisering skal skje til et nasjonalt tilsynsorgan for dataformidlingstjenester. Når notifisering er inngitt, vil virksomheten kunne tilby dataformidlingstjenester i tråd med reglene i kapittel 3. Videre pålegges landene å etablere en eller flere nasjonal(e) tilsynsorgan(er) for dataformidlingstjenester. Disse vil ha i oppgave å overvåke og føre tilsyn med reglene i kapittel 3. Det oppstilles nærmere krav til slike organer.
Kapittel 4 omhandler dataaltruisme. Det oppstilles vilkår for at en virksomhet skal kunne registreres som en dataaltruismeorganisasjon, og tilleggskrav for å kunne kalle seg for en anerkjent altruismeorganisasjon. Det stilles åpenhetskrav til dataaltruismeorganisasjonen, og det kreves at organisasjonen sikrer rettighetene til registrerte og datainnehavere når det gjelder deres data. Dette innebærer eksempelvis at registrerte og datainnehavere må gis nødvendig informasjon om hvordan dataen vil bli brukt. Det stilles også sikkerhetskrav for lagring og behandling av data.
Medlemslandene skal utpeke ett eller flere tilsynsorganer med ansvar for et nasjonalt register over anerkjente dataaltruismeorganisasjoner. Tilsynsorganet (eller organene) skal også overvåke hvorvidt anerkjente dataaltruismeorganisasjoner overholder kravene i kapitlet. Ved brudd på kravene, vil organisasjonen miste retten til å betegne seg som «anerkjent dataaltruismeorganisasjon i unionen». EU-kommisjonen gis adgang til å vedta gjennomføringsrettsakter til forordningen om etablering og utvikling av et europeisk samtykkeskjema for dataaltruisme. Det europeiske personvernrådet (EDPB) og det europeiske datainnovasjonsrådet (EDIB), opprettet i medhold av DGA, skal konsulteres i forbindelse med dette arbeidet. Interessenter skal også konsulteres. Et slikt samtykkeskjema vil blant annet sikre at registrerte er i stand til å inngi og tilbakekalle samtykke etter personvernregelverket.
Kapittel 5 inneholder bestemmelser om tilsynsorganer og prosess. Kapitlet skiller mellom tilsynsorganer for henholdsvis dataformidlingstjenester og dataaltruismeorganisasjoner, men inneholder felles bestemmelser for disse. Det er også angitt at begge typer tilsynsmyndigheter kan sammenslås av medlemslandene. Det er lagt vekt på å regulere tilsynsorganenes uavhengighet på flere nivåer. Nasjonale tilsynsorganer skal dele nødvendige opplysninger med EU-kommisjonen og tilsynsorganer i andre medlemsland, etter begrunnede forespørsler. Dette omfatter også konfidensielle opplysninger, men EU-kommisjonen og andre medlemsstaters tilsynsorgan må sikre at konfidensialiteten ivaretas. Både virksomheter og enkeltpersoner har klageadgang for ethvert forhold som springer ut av forordningen. Klagen rettes til det aktuelle tilsynsorganet, som skal informere klager om fremdriften og beslutningen, samt rettsmidler. Med rettsmidler siktes det til at både virksomheter og enkeltpersoner kan bringe tilsynsorganets avgjørelse inn for domstolene.
Kapittel 6 inneholder bestemmelser om datainnovasjonarådet (“European Data Innovation Board” – EDIB). EDIB vil utgjøre en ekspertgruppe, med representanter fra tilsynsorganene for dataformidlingstjenester og dataaltruismeorganisasjoner i alle medlemsland. I tillegg deltar EDPB, ENISA, EU-kommisjonen, EU SME Envoy eller en representant, samt øvrige representanter fra relevante sektororganer og ekspertiseorganer. EDIB skal bistå EU-kommisjonen med å utarbeide konsekvent praksis for offentlige organer og tilsynsorganer for en rekke ansvarsområder tilknyttet forordningen. Som eksempler nevnes håndtering av forespørsler om viderebruk, håndheving av kravene overfor dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner. I tillegg gis EDIB en rekke rådgivende oppgaver overfor EU-kommisjonen, samt får i oppgave å tilrettelegge for samarbeid mellom tilsynsorganer. Norge har spilt inn til EU behovet for at EFTA-landende (Norge, Island, Sveits og Liechtenstein) får deltatt i EDIB på lik linke som medlemslandene.
Kapittel 7 omhandler internasjonal tilgang til og overføring av ikke-personopplysninger omfattet av forordningen. Dersom det vil stride med unionsretten eller medlemslandets egen lovgivning å overføre ikke-personopplysninger til et tredjeland, skal alle rimelige tekniske, juridiske og organisatoriske tiltak iverksettes for å forhindre dette. Foreligger en avgjørelse fra en domstol eller nemnd i et tredjeland, og som krever tilgang til eller overføring av ikke-personopplysninger, må slike avgjørelser kun etterkommes hvis det foreligger en internasjonal avtale mellom tredjelandet og unionen eller medlemslandet. Det er gitt nærmere bestemmelser om hvordan forespørsler om data fra tredjeland håndteres der det ikke foreligger slike avtaler.
I kapittel 8 gis EU-kommisjonen adgang til å vedta delegerte rettsakter for å utfylle forordningen. Blant annet kan det vedtas særlige vilkår for overføring av data til tredjeland som andre reguleringer angir som meget sensitive. I tillegg kan det vedtas et regelsett som supplerer forordningen. Regelsettet kan blant annet inneholde passende informasjonskrav som sikrer at de registrerte og datainnehavere kan gi samtykke til behandlingen av dataene på et så informert grunnlag som mulig. Regelsettet kan også inneholde krav som sikrer et tilfredsstillende sikkerhetsnivå for lagring og behandling av data, samt verktøy for innhenting og tilbakekalling av samtykke. Videre kan regelsettet inneholde en kommunikasjonskjøreplan og anbefalinger av relevante interoperabilitetsstandarder.
Kapittel 9 inneholder i hovedsak bestemmelser om administrative sanksjoner. Det overlates til medlemslandene å nedfelle bestemmelser om administrativ straff når det gjelder brudd på bestemmelsene om overføring av ikke-personopplysninger til tredjeland. Det samme gjelder brudd på notifiseringsplikten for dataformidlingstjenester, vilkårene for å tilby dataformidlingstjenester samt vilkårene for registrering som en anerkjent dataaltruismeorganisasjon.
Forordningen vil håndheves i EU fra 24. september 2023, og skal evalueres av EU-kommisjonen innen 24. september 2025.
Merknader
Det rettslige grunnlaget for forordningen er artikkel 114 i «Treaty on the Functioning of the European Union» (TFEU), på norsk «Traktaten om Den europeiske unions virkemåte» (TEUV). Forordningens saklige virkeområde er ikke tidligere regulert nasjonalt. Implementeringen at PSI-direktivet med endringsdirektiv ((EU) 2003/98 og (EU) 2013/37) har berørt visse tema som også DGA berører, ekspempelvis forbud mot enerettsavtaler.
Rettslige konsekvenser
Forordningen må gjennomføres i nasjonal rett «som sådan», gjennom en henvisningslov. Det foreligger dermed ikke nasjonalt handlingsrom innenfor forordningens saklige virkeområde, med unntak av tilfellene hvor forordningen åpner for nasjonale tilpasninger. Det er ikke enda tatt stilling til hvilken nasjonal lovgivning forordningen eventuelt skal gjennomføres i. Det er heller ikke vurdert hvorvidt det er behov for endringer i forvaltningslovens og/eller offentleglovas bestemmelser om taushetsplikt mv. Foreløpig gjennomgang tilsier imidlertid ikke at det vil være et slikt behov.
Økonomiske og administrative konsekvenser
Forslaget vil medføre budsjettmessige konsekvenser og påvirke organiseringen av norsk offentlig forvaltning. Blant annet fordi forordningen stiller krav om å etablere et felles nasjonalt informasjonspunkt, samt oppretting av tilsynsorgan(er) som skal føre tilsyn med dataformidlingstjenester og dataaltruismeorganisasjoner. Det kan også tenkes at offentlige midler kan inngå i finansieringen av dataformidlingstjenester og/eller dataaltruismeorganisasjoner, det være seg i oppstartfasen eller lenger ut i drift. Dette er ikke vurdert nærmere.
Sakkyndige instansers merknader
Et foreløpig posisjonsnotat om DGA har vært behandlet i SU kommunikasjoner 11. november 2021.
Vurdering
Forordningen vurderes som EØS-relevant, da den inngår som en regulering av det europeiske indre marked. Det er imidlertid ikke tatt endelig stilling til om forordningen anses som akseptabel, eller eventuelt behov for tilpasningstekst.
Status
Dataforvaltningsforordningen (Data Governance Act - DGA) ble formelt vedtatt i EU 4. mai 2022, og gjøres gjeldende i EU fra 24. september 2023. Forordningen er under vurdering i EØS/EFTA-statene.