Data Act och vad den innebär för molntjänster

Istället för molntjänst, används i dataförordningen termen databehandlingstjänst:

”en digital tjänst som tillhandahålls en kund och som möjliggör allmän nätverkstillgång på begäran till en gemensam pool av konfigurerbara, skalbara och elastiska databehandlingsresurser av centraliserad, distribuerad eller mycket distribuerad art och som snabbt kan tillhandahållas och levereras med minsta möjliga administration eller interaktion med tjänsteleverantören”

Enligt den sista delen av denna definition, synes en hög grad av självbetjäning krävas för att tjänsten ska omfattas. Enligt skälen till förordningen innebär det att kunden ensidigt och självständigt kan tillhandahålla datorkapacitet, såsom servertid eller nätlagring, utan någon mänsklig medverkan från leverantören. Definitionen är för övrigt lik den för molntjänst i NIS2-direktivet.

Det generella begreppet databehandlingstjänster omfattar ett stort antal tjänster med ett mycket brett spektrum av olika ändamål, funktioner och tekniska upplägg. Klart är att databehandlingstjänster inkluderar:

• IaaS (infrastruktur som en tjänst);

• PaaS (plattform som en tjänst); och

• SaaS (programvara som en tjänst).

Dessa tre grundläggande modeller för leverans av databehandling kompletteras med varianter som lagring som en tjänst och databas som en tjänst. Edge computing, som möjliggör decentraliserad databehandling i en uppkopplad enhet närmare den plats där data genereras eller samlas in, omfattas också.

I denna artikel används för enkelhets skull termen molntjänst och inte databehandlingstjänst.

Istället för molntjänst, används i dataförordningen termen databehandlingstjänst:

”en digital tjänst som tillhandahålls en kund och som möjliggör allmän nätverkstillgång på begäran till en gemensam pool av konfigurerbara, skalbara och elastiska databehandlingsresurser av centraliserad, distribuerad eller mycket distribuerad art och som snabbt kan tillhandahållas och levereras med minsta möjliga administration eller interaktion med tjänsteleverantören”

Enligt den sista delen av denna definition, synes en hög grad av självbetjäning krävas för att tjänsten ska omfattas. Enligt skälen till förordningen innebär det att kunden ensidigt och självständigt kan tillhandahålla datorkapacitet, såsom servertid eller nätlagring, utan någon mänsklig medverkan från leverantören. Definitionen är för övrigt lik den för molntjänst i NIS2-direktivet.

Det generella begreppet databehandlingstjänster omfattar ett stort antal tjänster med ett mycket brett spektrum av olika ändamål, funktioner och tekniska upplägg. Klart är att databehandlingstjänster inkluderar:

• IaaS (infrastruktur som en tjänst);

• PaaS (plattform som en tjänst); och

• SaaS (programvara som en tjänst).

Dessa tre grundläggande modeller för leverans av databehandling kompletteras med varianter som lagring som en tjänst och databas som en tjänst. Edge computing, som möjliggör decentraliserad databehandling i en uppkopplad enhet närmare den plats där data genereras eller samlas in, omfattas också.

I denna artikel används för enkelhets skull termen molntjänst och inte databehandlingstjänst.

Molntjänster där de flesta av huvudfunktionerna har skräddarsytts för att tillgodose en enskild kunds specifika behov, eller där alla komponenter har utvecklats för en enskild kunds räkning, undantas från vissa av skyldigheterna gällande byte till annan leverantör, om de inte erbjuds i stor kommersiell skala via molntjänstleverantörens tjänstekatalog. Leverantörer av sådana skräddarsydda tjänster måste dock fortfarande göra öppna gränssnitt tillgängliga och säkerställa att data exporteras i ett strukturerat, allmänt använt och maskinläsbart format.

Vidare gäller förordningens bestämmelser om byte inte molntjänster vilka tillhandahålls under en begränsad tid som en icke-produktionsversion för test- och utvärderingssyften. Däremot undantas ej gratiserbjudanden (free-tier offerings). Frågan om det är en test- eller gratisversion kan därför vara relevant att klargöra. Det framhålls särskilt att leverantörer av molntjänster inte får hindra kunderna från att portera sina exporterbara data och digitala tillgångar till en annan molntjänstleverantör, eller till lokal (on-premises) IKT-infrastruktur, och det grundläggande kravet gäller även efter att ha utnyttjat ett gratiserbjudande.

Innan ett avtal om molntjänster som undantas enligt ovan ingås, ska molntjänstleverantören informera den potentiella kunden om vilka skyldigheter i förordningen som inte är tillämpliga.

Till skillnad från andra delar av förordningen, innehåller bestämmelserna gällande molntjänster inga undantag för mikroföretag och små och medelstora företag.

Molntjänster där de flesta av huvudfunktionerna har skräddarsytts för att tillgodose en enskild kunds specifika behov, eller där alla komponenter har utvecklats för en enskild kunds räkning, undantas från vissa av skyldigheterna gällande byte till annan leverantör, om de inte erbjuds i stor kommersiell skala via molntjänstleverantörens tjänstekatalog. Leverantörer av sådana skräddarsydda tjänster måste dock fortfarande göra öppna gränssnitt tillgängliga och säkerställa att data exporteras i ett strukturerat, allmänt använt och maskinläsbart format.

Vidare gäller förordningens bestämmelser om byte inte molntjänster vilka tillhandahålls under en begränsad tid som en icke-produktionsversion för test- och utvärderingssyften. Däremot undantas ej gratiserbjudanden (free-tier offerings). Frågan om det är en test- eller gratisversion kan därför vara relevant att klargöra. Det framhålls särskilt att leverantörer av molntjänster inte får hindra kunderna från att portera sina exporterbara data och digitala tillgångar till en annan molntjänstleverantör, eller till lokal (on-premises) IKT-infrastruktur, och det grundläggande kravet gäller även efter att ha utnyttjat ett gratiserbjudande.

Innan ett avtal om molntjänster som undantas enligt ovan ingås, ska molntjänstleverantören informera den potentiella kunden om vilka skyldigheter i förordningen som inte är tillämpliga.

Till skillnad från andra delar av förordningen, innehåller bestämmelserna gällande molntjänster inga undantag för mikroföretag och små och medelstora företag.

Portalparagrafen i förordningens kapitel rörande byte av molntjänster stadgar bl.a. att leverantörer av molntjänster ska undanröja hinder för kunder att effektivt byta till en molntjänst av ”samma tjänstetyp” som tillhandahålls av en annan leverantör.

”Samma tjänstetyp” synes innebära att en IaaS ska kunna bytas till en annan motsvarande IaaS, o.s.v. för PaaS respektive SaaS, d.v.s. en uppsättning molntjänster som delar samma primära mål, tjänstemodell och huvudsakliga funktioner. Tjänster av samma tjänstetyp kan ha olika och konkurrerande egenskaper såsom prestanda, säkerhet, motståndskraft och tjänstekvalitet.

Portalparagrafen i förordningens kapitel rörande byte av molntjänster stadgar bl.a. att leverantörer av molntjänster ska undanröja hinder för kunder att effektivt byta till en molntjänst av ”samma tjänstetyp” som tillhandahålls av en annan leverantör.

”Samma tjänstetyp” synes innebära att en IaaS ska kunna bytas till en annan motsvarande IaaS, o.s.v. för PaaS respektive SaaS, d.v.s. en uppsättning molntjänster som delar samma primära mål, tjänstemodell och huvudsakliga funktioner. Tjänster av samma tjänstetyp kan ha olika och konkurrerande egenskaper såsom prestanda, säkerhet, motståndskraft och tjänstekvalitet.

Molntjänstleverantörens kundavtal måste innehålla villkor gällande:

• kundens rätt att inleda bytesprocessen, följt av två månaders uppsägningstid;

• kundens rätt att, efter uppsägningstiden, byta till annan molntjänstleverantör, portera alla exporterbara data och digitala tillgångar till lokal (on-premises) IKT-infrastruktur eller radera sådana data och tillgångar;

• molntjänstleverantörens skyldighet att säkerställa en maximal övergångsperiod på 30 kalenderdagar (alternativ övergångsperiod på max sju månader om leverantören inom 14 arbetsdagar från kundens bytesbegäran kan visa att det är tekniskt ogenomförbart), efter den maximala uppsägningstiden om två månader;

• kundens rätt att förlänga övergångsperioden en gång med en tidsperiod som kunden anser lämpligare för sina egna ändamål;

• molntjänstleverantörens skyldighet att under övergångsperioden ge rimligt bistånd, iaktta vederbörlig omsorg för att upprätthålla driftskontinuitet, tillhandahålla tydlig information om kända kontinuitetsrisker och säkerställa en hög säkerhetsnivå;

• molntjänstleverantörens skyldighet att stödja den utträdesstrategi för kunden som är relevant för de avtalade tjänsterna, bl.a. genom att tillhandahålla all relevant information;

• när avtalet ska anses uppsagt, d.v.s. antingen när framgångsrikt byte har slutförts eller vid slutet av uppsägningstiden om kunden vill radera sina exporterbara data och digitala tillgångar, och kunden ska underrättas därom;

• uttömmande specifikation av alla kategorier av data och digitala tillgångar som kan porteras under bytesprocessen samt av data som är specifika för att leverantörens tjänst ska fungera och som, förutsatt att det inte hindrar ett effektivt byte, ska undantas på grund av att de utgör leverantörens företagshemligheter;

• molntjänstleverantörens skyldighet att säkerställa en minimiperiod för datahämtning om minst 30 kalenderdagar, efter utgången av tillämplig övergångsperiod;

• kundens rätt att begära fullständig radering av sina exporterbara data och digitala tillgångar, som genereras direkt av kunden eller som direkt berör kunden, efter utgången av datahämtningsperioden; och

• molntjänstleverantörens rätt till byteavgifter fram till den 12 januari 2027, förutsatt att sådana avgifter inte överstiger de kostnader som direkt uppkommit, och därefter får byteavgifter inte tas ut.

EU-kommissionen ska, före den 12 september 2025, utarbeta och rekommendera icke-bindande standardavtalsklausuler för molnavtal i syfte att hjälpa parterna att formulera och förhandla fram avtal med rättvisa, rimliga och icke-diskriminerande rättigheter och skyldigheter. Fondia rekommenderar att berörda molntjänstleverantörer inte väntar tills sådana icke-bindande standardklausuler antas, utan med utgångspunkt från den egna tjänstens definition, konfiguration, paket, avtalsvillkor och prismodell tidigt inleder ett övergripande arbete med de anpassningar som krävs för att uppfylla förordningens krav, varav obligatoriska villkor om leverantörsbyte i kundavtal är en del.

Vid anpassning av standardavtal och allmänna villkor enligt ovan, bör hänsyn samtidigt tas till förordningens ingående regler avseende oskäliga avtalsvillkor, som ensidigt åläggs ett annat företag i samband med åtkomst till och användning av data mellan företag. Utan att gå in i detalj, är skyldigheter som ett företag ensidigt har ålagt ett annat inte bindande för det senare företaget om det är oskäligt. Förordningen föreskriver grundligt vad som i detta sammanhang är oskäligt och vad som ska anses ensidigt ålagt. Dessa regler om oskäliga avtalsvillkor ska tillämpas på avtal som ingås efter den 12 september 2025.

Molntjänstleverantörens kundavtal måste innehålla villkor gällande:

• kundens rätt att inleda bytesprocessen, följt av två månaders uppsägningstid;

• kundens rätt att, efter uppsägningstiden, byta till annan molntjänstleverantör, portera alla exporterbara data och digitala tillgångar till lokal (on-premises) IKT-infrastruktur eller radera sådana data och tillgångar;

• molntjänstleverantörens skyldighet att säkerställa en maximal övergångsperiod på 30 kalenderdagar (alternativ övergångsperiod på max sju månader om leverantören inom 14 arbetsdagar från kundens bytesbegäran kan visa att det är tekniskt ogenomförbart), efter den maximala uppsägningstiden om två månader;

• kundens rätt att förlänga övergångsperioden en gång med en tidsperiod som kunden anser lämpligare för sina egna ändamål;

• molntjänstleverantörens skyldighet att under övergångsperioden ge rimligt bistånd, iaktta vederbörlig omsorg för att upprätthålla driftskontinuitet, tillhandahålla tydlig information om kända kontinuitetsrisker och säkerställa en hög säkerhetsnivå;

• molntjänstleverantörens skyldighet att stödja den utträdesstrategi för kunden som är relevant för de avtalade tjänsterna, bl.a. genom att tillhandahålla all relevant information;

• när avtalet ska anses uppsagt, d.v.s. antingen när framgångsrikt byte har slutförts eller vid slutet av uppsägningstiden om kunden vill radera sina exporterbara data och digitala tillgångar, och kunden ska underrättas därom;

• uttömmande specifikation av alla kategorier av data och digitala tillgångar som kan porteras under bytesprocessen samt av data som är specifika för att leverantörens tjänst ska fungera och som, förutsatt att det inte hindrar ett effektivt byte, ska undantas på grund av att de utgör leverantörens företagshemligheter;

• molntjänstleverantörens skyldighet att säkerställa en minimiperiod för datahämtning om minst 30 kalenderdagar, efter utgången av tillämplig övergångsperiod;

• kundens rätt att begära fullständig radering av sina exporterbara data och digitala tillgångar, som genereras direkt av kunden eller som direkt berör kunden, efter utgången av datahämtningsperioden; och

• molntjänstleverantörens rätt till byteavgifter fram till den 12 januari 2027, förutsatt att sådana avgifter inte överstiger de kostnader som direkt uppkommit, och därefter får byteavgifter inte tas ut.

EU-kommissionen ska, före den 12 september 2025, utarbeta och rekommendera icke-bindande standardavtalsklausuler för molnavtal i syfte att hjälpa parterna att formulera och förhandla fram avtal med rättvisa, rimliga och icke-diskriminerande rättigheter och skyldigheter. Fondia rekommenderar att berörda molntjänstleverantörer inte väntar tills sådana icke-bindande standardklausuler antas, utan med utgångspunkt från den egna tjänstens definition, konfiguration, paket, avtalsvillkor och prismodell tidigt inleder ett övergripande arbete med de anpassningar som krävs för att uppfylla förordningens krav, varav obligatoriska villkor om leverantörsbyte i kundavtal är en del.

Vid anpassning av standardavtal och allmänna villkor enligt ovan, bör hänsyn samtidigt tas till förordningens ingående regler avseende oskäliga avtalsvillkor, som ensidigt åläggs ett annat företag i samband med åtkomst till och användning av data mellan företag. Utan att gå in i detalj, är skyldigheter som ett företag ensidigt har ålagt ett annat inte bindande för det senare företaget om det är oskäligt. Förordningen föreskriver grundligt vad som i detta sammanhang är oskäligt och vad som ska anses ensidigt ålagt. Dessa regler om oskäliga avtalsvillkor ska tillämpas på avtal som ingås efter den 12 september 2025.

Förordningen förhindrar inte parter att komma överens om molntjänstavtal med en fast löptid, inbegripet proportionella straffavgifter för förtida uppsägning. Vidare vägledning angående vad som kan anses vara proportionellt ges inte. Möjligen kan ettårsavtal, som anger att oanvänd del av årlig förskottsbetalning inte återbetalas, anses utgöra sådan proportionell straffavgift. Däremot är det förmodligen inte proportionellt att t.ex. utkräva hela värdet av ett treårsavtal som sägs upp år ett.

Innan avtal med kund ingås, ska molntjänstleverantören förse den presumtiva kunden med tydlig information om vilka straffavgifter för förtida uppsägning som kan komma att utkrävas.

Förordningen förhindrar inte parter att komma överens om molntjänstavtal med en fast löptid, inbegripet proportionella straffavgifter för förtida uppsägning. Vidare vägledning angående vad som kan anses vara proportionellt ges inte. Möjligen kan ettårsavtal, som anger att oanvänd del av årlig förskottsbetalning inte återbetalas, anses utgöra sådan proportionell straffavgift. Däremot är det förmodligen inte proportionellt att t.ex. utkräva hela värdet av ett treårsavtal som sägs upp år ett.

Innan avtal med kund ingås, ska molntjänstleverantören förse den presumtiva kunden med tydlig information om vilka straffavgifter för förtida uppsägning som kan komma att utkrävas.

Leverantörer av molntjänster får, i synnerhet, inte hindra kunderna från att:

• uppnå funktionell likvärdighet i användningen av den nya molntjänsten i IKT- miljön hos en annan leverantör av molntjänster som omfattar samma tjänstetyp, vilket ej innefattar krav på den ursprungliga leverantören att återuppbygga tjänsten i fråga inom infrastrukturen hos destinationsleverantören; eller

• separera fundamentala infrastrukturtjänster (IaaS) från andra tjänster som tillhandahålls av leverantören (unbundling), om det är teknist möjligt.

Vidare måste molntjänstleverantörer:

• kostnadsfritt göra öppna gränssnitt tillgängliga i samma utsträckning för alla sina kunder och de berörda destinationsleverantörerna, i syfte att underlätta bytesprocessen samt åstadkomma dataportabilitet och interoperabilitet; samt

• säkerställa kompatibilitet med gemensamma specifikationer baserade på öppna interoperabilitetsspecifikationer eller harmoniserade standarder för interoperabilitet (som kan komma att publiceras av EU-kommissionen), i varje fall för PaaS och SaaS – om inga sådana specifikationer eller standarder finns, ska leverantören på kundens begäran exportera alla exporterbara data i ett strukturerat, allmänt använt och maskinläsbart format.

Leverantörer av molntjänster får, i synnerhet, inte hindra kunderna från att:

• uppnå funktionell likvärdighet i användningen av den nya molntjänsten i IKT- miljön hos en annan leverantör av molntjänster som omfattar samma tjänstetyp, vilket ej innefattar krav på den ursprungliga leverantören att återuppbygga tjänsten i fråga inom infrastrukturen hos destinationsleverantören; eller

• separera fundamentala infrastrukturtjänster (IaaS) från andra tjänster som tillhandahålls av leverantören (unbundling), om det är teknist möjligt.

Vidare måste molntjänstleverantörer:

• kostnadsfritt göra öppna gränssnitt tillgängliga i samma utsträckning för alla sina kunder och de berörda destinationsleverantörerna, i syfte att underlätta bytesprocessen samt åstadkomma dataportabilitet och interoperabilitet; samt

• säkerställa kompatibilitet med gemensamma specifikationer baserade på öppna interoperabilitetsspecifikationer eller harmoniserade standarder för interoperabilitet (som kan komma att publiceras av EU-kommissionen), i varje fall för PaaS och SaaS – om inga sådana specifikationer eller standarder finns, ska leverantören på kundens begäran exportera alla exporterbara data i ett strukturerat, allmänt använt och maskinläsbart format.

Utöver redan beskrivna informationskrav, ska leverantörer av molntjänster:

• förse kunden med tillgängliga förfaranden för byte och portering, inklusive metoder och format, samt kända begränsningar och tekniska hinder;

• tillhandahålla ett uppdaterat online-register, som sköts av leverantören, med uppgifter om alla datastrukturer och dataformat samt relevanta standarder och öppna interoperabilitetsspecifikationer i vilka exporterbara data är tillgängliga;

• presentera uppdaterad information på sin webbplats, vartill ska hänvisas i alla kundavtal, om vilken jurisdiktion den IKT-infrastruktur som används för enskilda tjänster tillhör och en allmän beskrivning av de tekniska, organisatoriska och avtalsmässiga åtgärder som vidtagits för att förhindra internationell statlig åtkomst till, eller överföringar av, icke-personuppgifter som innehas i EU, om sådan åtkomst eller överföring skulle strida mot EU-rätten eller EU medlemsstaters nationella rätt; och

• lämna tydlig information, innan avtal ingås med kund och lättillgänglig på leverantörens webbplats, om standardavgifterna för tjänster och eventuella straffavgifter för förtida uppsägning som kan komma att påföras samt de reducerade byteskostnader som kan utkrävas fram till den 12 januari 2027.

Utöver redan beskrivna informationskrav, ska leverantörer av molntjänster:

• förse kunden med tillgängliga förfaranden för byte och portering, inklusive metoder och format, samt kända begränsningar och tekniska hinder;

• tillhandahålla ett uppdaterat online-register, som sköts av leverantören, med uppgifter om alla datastrukturer och dataformat samt relevanta standarder och öppna interoperabilitetsspecifikationer i vilka exporterbara data är tillgängliga;

• presentera uppdaterad information på sin webbplats, vartill ska hänvisas i alla kundavtal, om vilken jurisdiktion den IKT-infrastruktur som används för enskilda tjänster tillhör och en allmän beskrivning av de tekniska, organisatoriska och avtalsmässiga åtgärder som vidtagits för att förhindra internationell statlig åtkomst till, eller överföringar av, icke-personuppgifter som innehas i EU, om sådan åtkomst eller överföring skulle strida mot EU-rätten eller EU medlemsstaters nationella rätt; och

• lämna tydlig information, innan avtal ingås med kund och lättillgänglig på leverantörens webbplats, om standardavgifterna för tjänster och eventuella straffavgifter för förtida uppsägning som kan komma att påföras samt de reducerade byteskostnader som kan utkrävas fram till den 12 januari 2027.

Utöver möjligheten för kunder att byta molntjänst, syftar förordningen till att förbättra även interoperabiliteten för parallell användning av flera molntjänster med kompletterande funktioner (multicloud). Ovan beskrivna krav på leverantörer av molntjänster avseende leverantörsbyte gäller därför i tillämpliga delar också för att underlätta sådan parallell användning.

Uttaget av data från en molntjänstleverantör till en annan för att underlätta parallell användning av tjänster kan vara en pågående verksamhet, till skillnad från det engångsuttag som är en del av en bytesprocess. Av denna anledning får leverantörer, när en molntjänst används parallellt med en annan molntjänst, påföra uttagsavgifter för data, men endast i syfte att vidareföra de kostnader som uppkommit. Uttagsavgifterna får inte överstiga de uppkomna kostnaderna. Till skillnad från bytesavgifter, som endast kan utkrävas fram till den 12 januari 2027, gäller alltså ingen tidsgräns för sådana uttagsavgifter.

Utöver möjligheten för kunder att byta molntjänst, syftar förordningen till att förbättra även interoperabiliteten för parallell användning av flera molntjänster med kompletterande funktioner (multicloud). Ovan beskrivna krav på leverantörer av molntjänster avseende leverantörsbyte gäller därför i tillämpliga delar också för att underlätta sådan parallell användning.

Uttaget av data från en molntjänstleverantör till en annan för att underlätta parallell användning av tjänster kan vara en pågående verksamhet, till skillnad från det engångsuttag som är en del av en bytesprocess. Av denna anledning får leverantörer, när en molntjänst används parallellt med en annan molntjänst, påföra uttagsavgifter för data, men endast i syfte att vidareföra de kostnader som uppkommit. Uttagsavgifterna får inte överstiga de uppkomna kostnaderna. Till skillnad från bytesavgifter, som endast kan utkrävas fram till den 12 januari 2027, gäller alltså ingen tidsgräns för sådana uttagsavgifter.

Varje medlemsstat ska utse en eller flera behöriga myndigheter, som ska ansvara för tillämpningen och efterlevnaden av förordningen. Om flera utses, ska bland dem utses en datasamordnare.

Enligt kommittédirektiv 2024:97, avser regeringen att i närtid ge en myndighet i uppdrag att fullgöra uppgiften som behörig myndighet enligt förordningen i Sverige. Vidare ska en särskild utredare föreslå kompletterande bestämmelser till förordningen och övriga åtgärder. Utredaren ska bl.a. analysera vilka sanktionsbestämmelser som behövs för att uppfylla förordningens krav på medlemsstaterna att, senast den 12 september 2025, fastställa regler om sanktioner för överträdelse av förordningen. Utredarens uppdrag ska redovisas senast den 15 oktober 2025 (vilket för övrigt synes något sent med tanke på nyssnämnda förordningskrav).

IMY (Integritetsskyddsmyndigheten) ska ansvara för att övervaka förordningens tillämpning när det gäller skyddet av personuppgifter.

Ett bolag som omfattas av förordningen ska omfattas av behörigheten för den medlemsstat där det är etablerat. Om bolaget är etablerat i fler än en medlemsstat, ska det anses omfattas av behörigheten för den medlemsstat där det har sitt huvudsakliga etableringsställe, d.v.s. där bolaget har sitt huvudkontor eller säte från vilket de huvudsakliga finansiella funktionerna och den operativa kontrollen utövas.

Varje medlemsstat ska utse en eller flera behöriga myndigheter, som ska ansvara för tillämpningen och efterlevnaden av förordningen. Om flera utses, ska bland dem utses en datasamordnare.

Enligt kommittédirektiv 2024:97, avser regeringen att i närtid ge en myndighet i uppdrag att fullgöra uppgiften som behörig myndighet enligt förordningen i Sverige. Vidare ska en särskild utredare föreslå kompletterande bestämmelser till förordningen och övriga åtgärder. Utredaren ska bl.a. analysera vilka sanktionsbestämmelser som behövs för att uppfylla förordningens krav på medlemsstaterna att, senast den 12 september 2025, fastställa regler om sanktioner för överträdelse av förordningen. Utredarens uppdrag ska redovisas senast den 15 oktober 2025 (vilket för övrigt synes något sent med tanke på nyssnämnda förordningskrav).

IMY (Integritetsskyddsmyndigheten) ska ansvara för att övervaka förordningens tillämpning när det gäller skyddet av personuppgifter.

Ett bolag som omfattas av förordningen ska omfattas av behörigheten för den medlemsstat där det är etablerat. Om bolaget är etablerat i fler än en medlemsstat, ska det anses omfattas av behörigheten för den medlemsstat där det har sitt huvudsakliga etableringsställe, d.v.s. där bolaget har sitt huvudkontor eller säte från vilket de huvudsakliga finansiella funktionerna och den operativa kontrollen utövas.