För investerare
Gå till MyFondia

Dataförordningen (Data Act) – tolkningsfrågor och praktiska utmaningar

Amir Hajdarevic
Amir Hajdarevic
Insikter
19 december 2025

EU:s dataförordning (Data Act) började gälla den 12 september 2025. Förordningen är omfattande och syftar till att öka tillgången till data, stärka datadelningen och driva utvecklingen av EU:s dataekonomi. Den påverkar många sektorer och produkter – allt från industri- och transportfordon till uppkopplade konsumentprodukter och olika databehandlingstjänster.

I den här delen av vår artikelserie fördjupar sig våra experter Arttu Ruukki, Karoliina Vesa och Amir Hajdarevic i några av de viktigaste tolkningsfrågorna och praktiska utmaningarna som företag nu ställs inför.

1. Avtal med användare av uppkopplade produkter – en nyckelfråga i Data Act

En av Dataförordningens bärande principer är att användare får större kontroll över den data som genereras när de använder uppkopplade produkter och tillhörande tjänster.

För att en datahållare ska få använda denna data för egna ändamål – exempelvis analys, serviceutveckling eller produktoptimering – krävs ett avtal mellan datahållaren och användaren.

Gäller både nya och befintliga användare

Kravet omfattar all data som samlas in efter den 12 september 2025 och gäller både nya och redan existerande användare. Detta skapar flera praktiska utmaningar, bland annat:

  • Identifiering av användare: datahållaren måste kunna koppla den som accepterat avtalet till rätt produkt, samtidigt som GDPR följs.

  • Stora kundbaser: komplexitet uppstår när många enheter används av olika personer eller roller.

  • Produkttyper utan användargränssnitt: exempelvis uppkopplad utrustning utan profilhantering, där det blir svårt att samla in samtycke eller identifiera användaren.

Om användaren inte godkänt avtalet får datahållaren inte använda den data som genereras. Det ställer höga krav på dokumentation och interna rutiner.

Olika sätt att ingå dataanvändningsavtal

Vi ser i praktiken att företag hanterar detta på olika sätt:

  • separat avtal om dataanvändning

  • införlivande av dataanvändning i befintliga serviceavtal

  • uppdaterade villkor för alla användare av en tjänst

Kommissionens expertgrupp har publicerat standardavtalsvillkor som kan fungera som vägledning, men företagen måste alltid anpassa villkoren till sina egna lösningar och risker.

2. Företagshemligheter – hur skyddas de i dataförordningen?

En vanlig fråga gäller hur företagshemligheter ska skyddas när datahållare är skyldiga att lämna ut data till användare – och ibland även till en tredje part som kan vara konkurrent.

Data får inte undanhållas utan stöd

Datahållare får inte vägra utlämning endast med hänvisning till att datan innehåller företagshemligheter. För att datan ska omfattas av skydd krävs:

  • att företagshemligheten är identifierad i förväg,

  • att den uppfyller kriterierna i direktivet om företagshemligheter,

  • att avtalen innehåller tekniska och organisatoriska skyddsåtgärder, t.ex. begränsningar av användning och krav på sekretess.

En central utmaning är att avgöra vilka typer av data – rådata, förbehandlad data eller metadata – som faktiskt kan ses som företagshemligheter, respektive vad som är härledd information utanför utlämningsskyldigheten.

3. Oklarheter kring definitionen av databehandlingstjänster

Dataförordningens regler gäller för så kallade databehandlingstjänster. Men definitionen är bred och ger upphov till tolkningsproblem.

Definitionen omfattar digitala tjänster som tillhandahålls en kund och som möjliggör allmän nätverkstillgång på begäran till en gemensam pool av konfigurerbara, skalbara och elastiska databehandlingsresurser av centraliserad, distribuerad eller mycket distribuerad art och som snabbt kan tillhandahållas och levereras med minsta möjliga administration eller interaktion med tjänsteleverantören.

Det är särskilt sista delen – ” snabbt kan tillhandahållas och levereras med minsta möjliga administration eller interaktion med tjänsteleverantören interaktion” – som skapar osäkerhet:

  • Krävs det att tjänsten kan aktiveras direkt utan implementeringsprojekt?

  • Exkluderas skräddarsydda lösningar per automatik?

Samtidigt anger förordningen att tjänster som anpassas efter kunders specifika behov endast delvis är undantagna – vilket talar för ett bredare tillämpningsområde.

Stor osäkerhet för leverantörer

Osäkerheten är problematisk för leverantörer:

  • Om de överanpassar sig till regler som senare visar sig inte vara tillämpliga → onödiga kostnader och felaktiga avtalsvillkor.

  • Om de inte anpassar sina tjänster → risk för bristande efterlevnad.

Ett exempel är kravet på att kunder ska kunna säga upp tjänsten med max två månaders uppsägningstid, även i äldre avtal. Detta kan påverka hela affärsmodellen för tjänster som bygger på långsiktiga ARR-intäkter (Annual Recurring Revenue).

4. Dataförordningen och GDPR – när reglerna möts

Många data-set innehåller både personuppgifter och icke-personuppgifter. Då gäller både GDPR och Data Act samtidigt – och GDPR har alltid företräde vid konflikt.

Rollerna i de två regelverken är dock olika:

  • Datahållare (Data Act): den som har rätt eller skyldighet att använda eller tillgängliggöra data.

  • Personuppgiftsansvarig/biträde (GDPR): den som bestämmer hur personuppgifter behandlas eller utför behandling åt någon annan.

En aktör kan alltså vara:

  • personuppgiftsbiträde i vissa behandlingar

  • personuppgiftsansvarig i andra

  • datahållare i vissa situationer, men inte i andra

Enligt kommissionens FAQ-dokument kan ett bolag som enligt dataförordningen är ”användare” samtidigt vara personuppgiftsansvarig för personuppgifter som hanteras i en uppkopplad enhet eller tillhörande tjänst, såsom personuppgifer kopplade till företagets anställda, men den kan inte vara datahållare för samma uppgifter (om inte företagsanvändaren och den personuppgiftsansvarige separat kommer överens om ett arrangemang om gemensamt ansvar).

Det kan göra rollfördelningen komplex, särskilt för företag som hanterar både sina egna och kunders data. Företaget måste hantera både sina egna och sina kunders uppgifter på ett korrekt sätt och förstå sina datastrukturer.

Sammanfattning: Osäkerhet kvarstår – men företagen måste agera

Många av dataförordningens regler och definitioner är fortfarande oklara. Klargöranden från kommissionen och nationella myndigheter dröjer, och under tiden måste företag själva tolka och tillämpa regelverket utifrån bästa förmåga.

Detta kräver:

  • uppdaterade avtal och processer

  • tydlig rollfördelning mellan Data Act och GDPR

  • analys av risker kopplade till datadelning och företagshemligheter

  • förberedelser för framtida tillsyn och praxis

Fondias experter stöttar dig genom Dataförordningen

Vårt team av specialister inom dataekonomi och Data Act hjälper dig med allt från avtal och strukturer till strategiska beslut och riskbedömningar. Kontakta oss här.

Den här artikeln är en del av vår artikelserie om Dataförordningen, där vi fördjupar oss i praktiska frågor och aktuella tolkningar – med fokus på att ge konkreta och användbara insikter.

Data Act
Dataförordningen

Hur kan vi hjälpa dig?

Vi vill gärna höra mer om era legala behov. Kontakta oss via mail, telefon eller boka ett kostnadsfritt möte redan idag!