Byte av molntjänstleverantör enligt Data Act

Med en databehandlingstjänst enligt Data Act avses tjänster som ger användare flexibel och skalbar tillgång till delade IT-resurser, såsom nätverk, servrar, programvara och applikationer, utan betydande administration eller interaktion med tjänsteleverantören. Tjänsterna kan genomföras på olika sätt, t.ex. infrastruktur som tjänst (IaaS), plattform som tjänst (PaaS), programvara som tjänst (SaaS) eller variationer därav. Dessa tjänster kan användas på olika terminalutrustningar och de anpassar sig till användarnas behov och variation i efterfrågan, vilket gör att resurser snabbt kan läggas till eller minskas. Det låter som ett mycket brett utbud av IT-tjänster. Dock omfattas inte t.ex. skräddarsydda tjänster eller icke-standardiserade tjänster som erbjuds under en begränsad tidsperiod i testsyfte.

När man tittar på definitionen av en databehandlingstjänst får man lätt intrycket att den täcker ett mycket brett spektrum av tjänster. Avsnittet som nämner "-- med minsta möjliga administration eller interaktion med tjänsteleverantören --" blir därför en viktig del av definitionen och en begränsande faktor för tillämpligheten. I praktiken verkar det som om en tjänst som kräver en icke obetydlig åtgärd från tjänsteleverantörens sida för att tas i bruk skulle uteslutas från tillämpningsområdet. Regleringen skulle således främst omfatta tjänster av typen "self service", där kunden snabbt och ensidigt kan aktivera, avaktivera och skala upp tjänsten. Trots denna begränsning finns det åtminstone tusentals leverantörer av databehandlingstjänster som omfattas av definitionen och en mycket stor andel av alla företag som är kunder. Å andra sidan gynnas även konsumenterna av de krav som Data Act ställer på leverantörer av databehandlingstjänster, eftersom skyldigheterna även gäller i B2C-förhållanden.

Syftet med kapitel VI i Data Act är att underlätta byte av molntjänstleverantör (eller överföring av tjänsten till kundens egen infrastruktur) och därmed sänka kostnaderna för databehandling genom ökad konkurrens. Det anges särskilt att tjänsteleverantörer inte får införa och ska undanröja förkommersiella, kommersiella, tekniska, avtalsmässiga och organisatoriska hinder som hindrar kunder från att byta tjänsteleverantör eller överföra data från tjänsten. På en praktisk nivå innebär detta att tjänsteleverantören är skyldig att vidta exempelvis följande åtgärder:

• Uppfylla olika skyldigheter i samband med information till kunder i olika skeden av tjänsten

• Inkludera särskilda villkor i avtalet om tjänsten

• Utvinning, konvertering och överföring av data till kunden i ett standardiserat format på begäran och radering av data efter att en angiven period för datahämtning har löpt ut

• Tillhandahålla rimlig assistans i bytesprocessen

• Agera omsorgsfullt för att upprätthålla kontinuiteten i servicefunktionerna

• Tillhandahålla information om risker för tjänstens kontinuitet i samband med byte

• Ordna en säker mekanism för dataöverföring så att säkerheten förblir på samma nivå som för tjänsten

• Upprättande av ett onlineregister med detaljerad information om tjänstens datastrukturer och andra frågor

• Samarbeta i god tro med kunden och den nya tjänsteleverantören för att säkerställa att bytesprocessen är effektiv, sker i rätt tid och att tjänstens kontinuitet garanteras

• Öppna gränssnitt för överföring av data

• Kompatibilitetskrav i enlighet med en standard som kommer att publiceras senare

Utöver de ökade skyldigheterna begränsas tjänsteleverantörernas möjligheter att ta ut avgifter för bytestjänster. Bytesavgifter har typiskt sett tagits ut både för att täcka de kostnader som tjänsteleverantören ådrar sig i samband med bytet och för att skapa en artificiell ekonomisk extra avskräckande faktor för kunden som överväger att byta. Till följd av Data Acts omedelbara ikraftträdande, dvs. från och med den 1 januari 2024, får tjänsteleverantörer endast ta ut bytesavgifter av kunder till ett belopp som motsvarar tjänsteleverantörens egna kostnader som är direkt relaterade till bytesprocessen i fråga. Efter en övergångsperiod på tre år, dvs. från och med januari 2027, får inga bytesavgifter tas ut för bytesprocessen överhuvudtaget.

Avskaffandet av bytesavgifter uppmuntrar tjänsteleverantörer att utveckla sina tjänster och tillhörande dataöverföringsfunktioner för att göra bytet så automatiserat som möjligt utan tjänsteleverantörens medverkan i enskilda fall. Data Act ålägger dock inte någon särskild skyldighet att utveckla eller införa nya verktyg för att underlätta bytet, utan det är upp till varje tjänsteleverantör att avgöra.

Ett av de avtalsmässiga hinder som ska undanröjas är begränsningen av anmälningstiden för dataöverföringar. Som utgångspunkt ska tjänstens uppgifter vara klara för överföring efter en anmälningstid på högst två månader från det att bytesprocessen påbörjats och överföringen ska ske inom en övergångstid på högst en månad. I praktiken måste det därför vara möjligt att koppla bort tjänsten inom tre månader från det att användaren har underrättats. För mer komplexa tjänster kan denna tid förlängas, liksom på begäran av kunden. Dessa tidsfrister innebär dock inte att tidsbegränsade avtal om tjänster inte kan ingås. Tidsbegränsade avtal kan också innehålla påföljdsavgifter för förtida uppsägning, men de måste vara "proportionerliga". Data Act ger inte mycket vägledning vid tolkningen av proportionalitet. Det kan dock antas att om t.ex. ett treårigt tidsbegränsat avtal sägs upp mitt under det första året, är det inte proportionerligt att ta ut hela värdet av den treåriga avtalsperioden som en påföljdsavgift. För att tjänsteleverantören ska kunna ta ut en påföljdsavgift av sina kunder krävs också att påföljdsavgiften är särskilt definierad i avtalet om tjänsten.

Leverantörer av databehandlingstjänster som omfattas av tillämpningsområdet måste redan nu beakta skyldigheterna i Data Act när det gäller begränsning av bytesavgifter. De bytesavgifter som ska faktureras måste baseras på faktiska, uppkomna kostnader. Det är också lämpligt att redan nu förbereda sig för det slutliga borttagandet av bytesavgifter 2027 genom att bygga tjänsterna så att kunddata kan överföras och raderas så enkelt som möjligt, vilket minimerar mängden onödigt arbete i framtiden.

Före september 2025 måste avtal om tjänster inom tillämpningsområdet också kompletteras med nya avsnitt som krävs enligt Data Act. Likaså måste det onlineregister som krävs enligt förordningen upprättas, gränssnitt skapas till tjänsten och produktdokumentationen kompletteras.

Du kan läsa mer om de skyldigheter som Data Act ställer på leverantörer av databehandlingstjänster och om förordningens övriga innehåll här⁠.

Fondias expertgrupp för Data och AI⁠ kan hjälpa till med tillämpningen av Data Act och det går också att kontakta oss via sweden@fondia.com.

Denna artikel ingår i en artikelserie om Data Act som behandlar enskilda frågor i Data Act ur olika perspektiv och så praktiskt som möjligt. Tidigare delar av serien: Data Act - viktiga punkter att tänka på⁠