Data Act - viktiga punkter att tänka på
Författare: Arttu Ruukki
Data Act trädde i kraft den 11 januari 2024 och kommer att tillämpas i stort sett fullt ut från och med den 12 september 2025. Från och med det datumet kommer "äganderätten" till data som genereras av anslutna enheter (t.ex. IoT-enheter) och tillhörande digitala tjänster att flyttas från leverantörerna av enheterna och tjänsterna till deras användare. Data Act kommer att innebära betydande ytterligare skyldigheter för företag som tillverkar och tillhandahåller uppkopplade enheter och deras tjänster. Dessa skyldigheter kan tvinga fram en omprövning av hela affärs- och intäktsmodeller.
Vad handlar Data Act om?
Data Act, tillsammans med Data Governance Act, utgör ryggraden i EU:s datastrategi. Målen och ambitionerna bakom Data Act är att främja rättvis tillgång till och användning av data genom att skapa en harmoniserad uppsättning regler som gör det möjligt att återanvända data och undanröja hinder för utvecklingen av den europeiska dataekonomin. Den är inriktad på att frigöra potentialen för innovation och den datadrivna ekonomin genom att undanröja tekniska, ekonomiska och förtroendemässiga hinder, samtidigt som europeiska värden respekteras och rättvis datadelning mellan olika aktörer främjas. Data Act kommer att bidra till Europas gröna och digitala omställning genom att tillhandahålla en tydlig ram för tillgång till och användning av data.
Hur ska dessa mål uppnås i praktiken?
Olika infallsvinklar på Data Act
Data Act innehåller flera sammanlänkade teman, där den gemensamma nämnaren är tillgången till data och grundreglerna för dess användning. Dessa teman behandlas ur olika synvinklar. Viktigast är att lagen definierar en uppsättning harmoniserade regler för att göra de data som genereras till följd av användningen av en ansluten produkt eller relaterad tjänst tillgängliga för användaren och för att göra data tillgängliga för tredje part på begäran av användaren. Som en följd av detta behandlas också frågan om att göra data tillgängliga för offentliga myndigheter för exceptionella behov. Utöver dessa regler om användares rätt till produkt- och tjänstedata behandlar Data Act villkoren för återanvändning av data, det tillåtna innehållet i ensidiga avtalsklausuler om överföring av data, standardisering av mekanismer och tjänster för datadelning, överföring av data utanför Europa och underlättande av byte av molntjänstleverantör.
Vem inom en organisation är ansvarig för att följa Data Act?
Den nya förordningen har omfattande konsekvenser för företagen och efterlevnad är inte bara en fråga om att genomföra en pappersövning på den juridiska avdelningens skrivbord. Några kommentarer om detta:
Vid produktutveckling måste Data Act beaktas redan från början av utformningen av enheter och tjänster - vilka uppgifter som ska samlas in, hur man ska få tillgång till dem och hur de ska hanteras. Dessa val avgör i vilken utsträckning tidigare helt proprietära data måste göras tillgängliga inte bara för användaren, utan också (på användarens begäran) för konkurrenter. Å andra sidan måste enheter och relaterade tjänster som släpps ut på marknaden från och med hösten 2026 redan från början utformas på ett sådant sätt att de data de producerar är enkelt, säkert, kostnadsfritt och, om det är tekniskt möjligt, direkt tillgängliga för användaren, till exempel via enhetens användargränssnitt.
När det gäller datahantering måste data klassificeras och "silas" så att de vid behov kan göras tillgängliga på begäran av en enskild användare om just den användaren. Samtidigt måste dock dataskyddsreglerna beaktas, eftersom Data Act inte på något sätt åsidosätter den allmänna dataskyddsförordningen (GDPR).
Försäljarna måste vara medvetna om vad de ska kommunicera till kunderna när de marknadsför enheter och tjänster, och hur de ska komma överens med kunderna om utlämnande av uppgifter, åtkomsträttigheter och begränsningar av användningen.
När det gäller upphandling bör avtalskrav, t.ex. i samband med upphandling av smarta komponenter för ditt eget enhetserbjudande, anpassas till dina egna skyldigheter att göra data tillgängliga för användaren. White label-produkter är också en utmaning att hantera, där tillgång till data som samlas in av enheter och relaterade tjänster måste avtalas separat, till exempel med en kinesisk leverantör. Ur användarens synvinkel ligger ansvaret för att ge tillgång till data hos det företag som marknadsför produkten eller tjänsten på EU:s inre marknad.
Produktsupport och kundservice kommer säkerligen att konfronteras med datarelaterade förfrågningar och krav från användarna - vars innehåll ibland säkert går utöver de faktiska skyldigheterna. Tydliga processer och riktlinjer måste fastställas för dessa förfrågningar.
Data Act kommer naturligtvis att kräva särskild uppmärksamhet från företagens juridiska avdelningar. Att skydda affärshemligheter som rör data, utarbeta avtalsvillkor för att göra data tillgängliga, hjälpa organisationen att uppfylla kraven i Data Act och annan allmän orkestrering kring efterlevnaden av lagen kommer säkert att hålla juristerna sysselsatta.
Hur förbereder man sig för skyldigheterna enligt Data Act?
Stressen och brådskan med att GDPR trädde i kraft är färskt i minnet hos många organisationer. Omfattningen av effekterna av Data Act kan mycket väl jämföras med effekterna av GDPR. Om det finns några lärdomar att dra från den förberedelseprocess för GDPR som kulminerade våren 2018, så är det att det lönar sig att börja tidigt. Det kan man göra direkt genom att bekanta sig med Data Act, t.ex. på EU-kommissionens webbplats. När en grundläggande förståelse för innehållet börjar ta form bör du i tillämpliga fall ta reda på åtminstone följande punkter:
Vilka uppgifter relaterade till de produkter och/eller tjänster som erbjuds av ditt företag omfattas av skyldigheterna att dela uppgifter?
Hur hanteras de uppgifter som omfattas av skyldigheten att dela uppgifter för närvarande, hur klassificeras de och hur kan de delas i praktiken?
Vilka företagshemligheter ingår i, eller kan härledas eller utläsas ur, de uppgifter som omfattas av skyldigheten att dela med sig, om några?
Hur förhåller sig den information som omfattas av delningsskyldigheten till personuppgifter - är den separerbar, lagras separat, kan delas separat?
Är det nödvändigt att samla in alla uppgifter som för närvarande samlas in och lagras av produkter och/eller tjänster i framtiden?
Hur implementeras kravet på "sharing-by-design" i produktutvecklingen och dess processer, hur integreras det i RnD-processen?
Om datadelning inte kan ske direkt via enheten och/eller tjänsten, hur kan delningen organiseras och hanteras?
Om enheter som tillverkats av någon annan säljs, var finns deras uppgifter och hur säkerställs det att de kan göras tillgängliga för användare eller tredje part på användarens begäran?
Är det möjligt att bygga tjänster för en produkt som tillverkas av en annan operatör på grundval av de produktdata som öppnas genom dataförordningen?
Fondias experter vid din sida
Hjälp med att ta reda på de affärsmässiga konsekvenserna av Data Act kan fås av Fondias expertgrupp för AI och dataekonomi eller genom att kontakta fondia@fondia.com. Denna artikel inleder en serie artiklar om Data Act. I kommande delar kommer vi att ta upp specifika frågor om Data Act ur olika perspektiv och alltid ur en praktisk synvinkel.