05 mar Data Act – nya krav för IoT och IT-tjänster
I början på året, närmare bestämt den 11 januari, trädde EU:s nya dataförordning[1] (eng. Data Act) i kraft. Dataförordningen syftar till att reglera den så kallade dataekonomin, som utgör en viktig del av EU:s lagstiftningspaket ”Digital Decade”[2].
Data Act vilar på antagandet att stora delar av de data som genereras från så kallade uppkopplade produkter och tillhörande tjänster är outnyttjade, eller att de kontrolleras av ett litet antal stora företag (främst amerikanska). Genom dataförordningen avser EU att lösa upp dessa inlåsningar för data, främja delning av data mellan olika aktörer och göra data tillgänglig för användare av uppkopplade produkter och tillhörande tjänster.
Föga förvånande utgör den kanske mest givet centrala delen av Data Act just data, vilket i förordningen definieras enligt (art. 2(1)):
”varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, fakta eller information, även i form av ljudupptagningar, bildupptagningar eller audiovisuella upptagningar.”
I tillägg till data, förekommer även begrepp som metadata, produktdata och data från en tillhörande tjänst, till vilka det tillskrivs olika skyldigheter och rättigheter enligt förordningen. En av de mest centrala bestämmelserna är att tillverkare av uppkopplade produkter och tillhörande tjänster ska tillgängliggöra produktdata, data från en tillhörande tjänst, och relevanta metadata för användare av sådana produkter och tillhörande tjänster (art. 3). Under vissa förutsättningar ska även vissa data tillgängliggöras till tredje parter (art. 5) och offentliga organ (art. 14).
Med produktdata avses i första hand data som genereras genom användningen av en uppkopplad produkt, såsom data som följer av användarens åtgärder, till exempel data om produktens miljö och interaktion, men även data som genereras när produkten är inaktiv samt så kallad rådata. För att göra data enligt det föregående användbar, ska den innefatta relevanta metadata, såsom grundläggande information om sammanhang. Data enligt det föregående ska vara direkt tillgängliga för användaren som huvudregel, och produkter och tjänster ska utformas och tillverkas för att kunna tillmötesgå dessa krav. Dessa krav innebär att till exempel en maskintillverkare inte längre kan förbehålla sig exklusiva rättigheter till data som genererats av en uppkopplad maskin.
Data Act kommer att vara tillämplig för flertalet aktörer, däribland tillverkare av uppkopplade produkter och leverantörer av tillhörande tjänster, som under förordningen, inte uteslutande, benämns datahållare. Med uppkopplade produkter avses produkter som genererar eller samlar in data om exempelvis sin användning, och som kan kommunicera dessa data till exempel via en elektronisk kommunikationstjänst, även benämnt IoT-produkter[3]. Det kan exempelvis handla om bilar, medicinsk utrustning, industriella maskiner, smarta kylskåp eller andra smarta hushållsprodukter som kan betraktas som uppkopplade. Med tillhörande tjänster avses digitala tjänster som är anslutna till den uppkopplade produkten och har viss betydelse för dess funktion, till exempel en streamingtjänst.
Genom Data Act införs vidare inskränkningar om hur företag får avtala när det gäller avtalsvillkor som rör åtkomst till och användning av data, som till exempel kan förekomma i avtal om molntjänster eller andra IT-tjänster (art. 13). Om ett sådant avtalsvillkor ensidigt ålagts ett annat företag ska det inte vara bindande för det senare företaget om det är oskäligt. För att fastställa vad som ska anses oskäligt återges i förordningen en förteckning över villkor som alltid ska anses vara oskäliga, och en förteckning över villkor som kan antas vara oskäliga. Att notera är att reglerna endast är tillämpliga på ensidigt ålagda villkor, vilket i vart fall förutsätter ett misslyckat försök till omförhandling, samt att de endast är tillämpliga på avtal som ingås mellan två företag, och därmed inte upphandlade avtal.
Data Act ställer även upp skyldigheter för leverantörer av databehandlingstjänster, såsom molntjänster och edgetjänster, att vidta åtgärder för att underlätta för, samt undanröja hinder för, kunder att byta från en databehandlingstjänst till en annan (art. 23). I samband med ett sådant byte av databehandlingstjänst, ska kundens rättigheter och leverantörens skyldigheter regleras i ett särskilt skriftligt avtal, ett så kallat exitavtal (art. 25). Det obligatoriska exitavtalet syftar till att förenkla bytesprocesser mellan databehandlingstjänster, och genom att uppställa minimikrav på innehållet i avtalet, standardisera bytesprocesser.
Den nya förordningen kommer att påverka många företag, men framför allt leverantörer av uppkopplade produkter och leverantörer av olika IT-tjänster. Dataförordningen kommer dessutom få genomslag i flera olika delar av företagen, bland annat avseende inköp, avtalsskrivning, informationsklassning, samt utformning av produkter och tjänster. Eftersom reglerna börjar tillämpas redan den 12 september 2025 är det hög tid att sätta sig in i vad kraven innebär för den egna organisationen. Bristande efterlevnad kan föranleda sanktionsavgifter, vars nivå det är upp till respektive medlemsstat att bestämma, och som för Sveriges del ännu inte är fastslagen.
Vi på Wikström & Partners tillhandahåller rättsligt stöd avseende dataförordningens tillämpning och genomför löpande utbildningsaktiviteter om bland annat Data Act, AI Act och andra rättsakter relevanta för digitalisering.
Välkommen att kontakta oss om du har några frågor!
Anton Karlsson Christina Wikström
Biträdande jurist Advokat & Managing Partner
anton@wikstrompartners.se christina@wikstrompartners.se
+46 70 148 00 09 +46 70 691 68 00
[1] Europaparlamentets och rådets förordning (EU) 2023/2854 av den 13 december 2023 om harmoniserade regler för skälig åtkomst till och användning av data och om ändring av förordning (EU) 2017/2394 och direktiv (EU) 2020/1828 (dataförordningen).
[2] https://digital-strategy.ec.europa.eu/sv/policies/europes-digital-decade#tab_1.
[3] Internet of Things, eller på svenska sakernas internet.