Den 23 juni 2022 trädde EU-förordningen Data Governance Act (på svenska dataförvaltningsakten) i kraft, och den kommer att börja tillämpas den 24 september 2023. Förordningen är den första av flera insatser i ett initiativ kallat EU:s datastrategi, vars övergripande mål är att till 2030 etablera en inre europeisk marknad för data. Målet är att data som inte är personuppgifter ska kunna flöda fritt mellan länder och sektorer och användas av företag, forskare och förvaltningar i hela EU på lika villkor. Förhoppningen är att denna inre marknad för data inte bara ska gynna dataekonomin, utan även EU:s ekonomi och samhället i stort genom främjandet av datadriven innovation och forskning.
Genom Data Governance Act etableras ett regulatoriskt ramverk som avser att skapa förutsättningar för företag, privatpersoner och den offentliga sektorn att på ett enkelt och säkert sätt dela data med andra parter som kan dra nytta av den. Förhoppningen är att ramverket kommer öka mängderna data som delas inom EU och på så sätt främja forskning och utveckling av nya produkter och tjänster som är beroende av stora mängder data i utvecklingsprocessen. Data Governance Act ålägger emellertid inte någon part en skyldighet att faktiskt dela data, utan reglerar endast formerna för att på frivillig basis dela data på ett kontrollerat sätt.
Data Governance Act introducerar framförallt tre mekanismer vars funktion är att främja datadelningen inom EU.
Myndigheter innehar ofta stora mängder data som är skyddade och därmed inte utan vidare kan delas med tredje part. Det kan till exempel röra sig om data som är föremål för en tredje parts immateriella rättigheter, data som utgör företagshemligheter, eller data som utgör personuppgifter och därmed skyddas av GDPR.
För att möjliggöra vidareutnyttjandet av sådan data ställer förordningen upp villkor för under vilka förutsättningar en myndighet kan möjliggöra delning av data samtidigt som skyddet för delad data inte undanröjs. Detta kan bland annat säkerställas genom tekniska åtgärder (som anonymisering, pseudonymisering eller säkra databehandlingsmiljöer, beroende på vilken data som är föremål för delning) och genom kontraktuella åtgärder (som sekretessavtal mellan myndigheten och den part som ska få åtkomst till data). Om skyddet för aktuella data inte på ett betryggande sätt kan säkerställas genom åtgärder från myndighetens sida ska myndigheten istället, i den utsträckning det är möjligt, bistå med att inhämta rättighetsinnehavarens samtycke för vidareutnyttjandet av data.
För att undvika att konkurrensen hämmas, ska myndigheter som huvudregel inte utge exklusiva rättigheter till en part att vidareutnyttja data. Vidare ska de avgifter som myndigheter tar ut för möjliggörandet av vidareutnyttjande av data vara objektivt motiverade och proportionella och inte riskera att skapa en utestängningseffekt för mindre aktörer.
Förordningen etablerar ny form av dataförmedlare som ska agera som neutrala parter vid förmedling av data mellan datainnehavare (vilka kan vara företag eller privatpersoner) och potentiella dataanvändare. Dataförmedlare har inte rätt att själva kommersialisera den data som man uppdragits att förmedla och kommer att vara föremål för en rad krav för att undvika att intressekonflikter uppstår och för att förmedlad data ska hanteras säkert. Den som vill tillhandahålla dataförmedlingstjänster i enlighet med förordningen behöver anmäla sin verksamhet till tillsynsmyndigheten och kommer vara föremål för tillsyn för att säkerställa att dataförmedlaren uppfyller de krav som ställs på verksamheten. Förhoppningen är att dessa reglerade dataförmedlare ska öka företags förtroende för att dela med sig av data till andra parter utan risk för att data missbrukas i något led.
Förordningen etablerar en mekanism som ska främja dataaltruism, det vill säga tillgängliggörandet av data för allmänhetens intressen. Detta ska möjliggöras genom att icke-vinstdrivande organisationer, vilka uppfyller vissa kriterier, ska kunna registrera sig som så kallade “erkända dataaltruismorganisationer”. Dataaltruismorganisationer är skyldiga att tydligt specificera för vilka ändamål data ska användas och kommer även lyda under såväl transparenskrav som krav för att säkerställa att den data som organisationerna tar del av behandlas på ett sätt som inte inskränker rättigheterna hos de individer och företag som väljer att dela data.
För att möjliggöra för företag och individer att dela med sig av data för främjandet av allmänna ändamål kommer ett EU formulär tas fram, genom vilket företag och individer kan samtycka till att data delas med sådana dataaltruismorganisationer som främjar de allmänna ändamål som företaget eller individen i fråga vill dela med sig av data för.
Utöver införandet av Data Governance Act pågår andra lagstiftningsarbeten inom ramen för EU:s datastrategi. Bland annat har EU-kommissionen lagt fram ett förslag på en EU-förordning kallad Data Act, som är tänkt att komplettera Data Governance Act på datadelningsområdet. Data Act kommer bland annat att skapa förutsättningar för användare av IoT-produkter att få tillgång till den data som genereras vid användning av produkterna, möjliggöra för myndigheter att under vissa omständigheter begära ut data som innehas av företag, underlätta för små företag att få tillgång till data och stärka konsumenters rättigheter i förhållande till sin data.
För företag som använder eller har behov av stora mängder data i sin verksamhet kommer Data Governance Act förhoppningsvis bidra till nya och säkrare sätt att ta del av data som tidigare inte varit tillgängliga. Förordningen kan exempelvis göra stor skillnad för utvecklandet av AI, där tillgång till stora mängder data ofta är en förutsättning. Vilket praktiskt genomslag som förordningen kommer att ha återstår att se, och Cederquist kommer följa effekterna av Data Governance Act framåt. I kommande nyhetsbrev kommer vi även att titta närmre på Data Act och vilka konsekvenser lagförslaget kan få för företag. Kontakta oss gärna om ni är intresserade av att veta mer om hur er verksamhet påverkas, eller kan dra nytta av, det nya ramverk som införs genom Data Governance Act eller den kommande Data Act.