För investerare
Gå till MyFondia

EU:s Data Act – viktiga klargöranden att ha koll på

Fredrik Niklasson
Fredrik Niklasson
Insikter
20 januari 2026

EU:s dataförordning (Data Act) är på väg att genomgripande förändra hur företag måste hantera, dela och avtala om data från uppkopplade produkter och digitala tjänster.

I den här artikeln sammanfattar Fredrik Niklasson de senaste svenska klargörandena, tillsynsfrågorna och de mest praktiskt betydelsefulla konsekvenserna för verksamheter som omfattas av regelverket. Du får också en genomgång av vad som faktiskt krävs i form av processer, avtal och styrning. Även om förordningen kan innebära risker, t.ex. exponering av företagshemligheter, teknisk komplexitet och administrativa kostnader, öppnar den också möjligheter till nya affärsmodeller och samarbeten.

Behöver du stöd i hur reglerna ska hanteras i er organisation är du välkommen att kontakta Fondia.

Kompletterande svensk lag föreslås

I december 2025 kom ett betänkande av Utredningen om kompletterande bestämmelser till EU:s dataförordning (SOU 2025:118). Dataförordningen ((EU) 2023/2854) ska tillämpas från och med den 12 september 2025, är direkt tillämplig i Sverige och innehåller bl.a. regler om:

  • åtkomst till samt användning och delning av data som genereras av uppkopplade produkter och tillhörande tjänster, så att användare får större kontroll över de data som genereras;

  • skyldighet att dela data med annat företag, skydd mot oskäliga avtalsvillkor och den ersättning som får tas ut av datahållarna;

  • ökad rättvisa och konkurrens på den europeiska marknaden för molntjänster, såsom avgiftsfritt byte av tjänster;

  • möjlighet för offentliga organ inom EU att begära tillgång till data från företag vid ett exceptionellt behov, t.ex. allmänt nödläge;

  • skyddsåtgärder för att förhindra att myndigheter i tredjeländer får tillgång till icke-personuppgifter; och

  • grundläggande krav på interoperabilitet för att säkerställa att data smidigt kan delas mellan sektorer och medlemsstater.

Utredningen föreslår att svenska bestämmelser som kompletterar dataförordningen samlas i en ny svensk lag och förordning som träder i kraft den 1 juli 2026.

Behörig myndighet och sanktioner

Regeringen har gett Post- och telestyrelsen (PTS) i uppdrag att vara behörig myndighet. PTS ska kunna ingripa mot överträdelser av dataförordningen genom att besluta om sanktionsavgift eller meddela anmärkning. Den ska även kunna besluta om förelägganden förenade med vite att t.ex. upphöra med viss åtgärd.

Sanktionsavgift om minst 5 000 och högst 20 miljoner kronor ska kunna tas ut.

PTS ska bl.a. hantera klagomål och undersöka frågor som rör dataförordningen. Utredningen konstaterar att dataförordningen är ett nytt och komplext regelverk och att det råder osäkerhet kring hur den ska tillämpas, eftersom många bestämmelser lämnar utrymme för tolkning. PTS får därför en viktig roll i att sprida kunskap om dataförordningen och stärka företagens datakompetens.

Administrativa utmaningar och kostnader

Utredningen lyfter fram att dataförordningen ställer omfattande krav på berörda företag, vilket kan medföra betydande administrativa kostnader:

  • data ska tillgängliggöras och delas på ett visst sätt;

  • processer måste upprättas för att kunna dela data med andra aktörer på ett kontrollerat sätt;

  • nya administrativa rutiner krävs för att hantera förfrågningar om dataåtkomst och säkerställa att rätt data delas i rätt format;

  • personal kan behöva utbildas om processerna, så att de vet hur förfrågningar hanteras korrekt och i tid;

  • data ska delas på ett säkert sätt, vilket innebär tekniska och organisatoriska säkerhetsrutiner för att skydda data mot obehörig åtkomst eller missbruk; och

  • investeringar i nya IT-system och interna processer kan behövas.

Begränsningar i avtalsfriheten

Dataförordningens regler om avtal och avtalsvillkor innebär enligt utredningen vissa begränsningar av avtalsfriheten. Företag måste anpassa eller ta fram nya avtal och avtalsmodeller för datadelning med kunder, leverantörer och samarbetspartners, i linje med förordningens bestämmelser om parternas rättigheter och skyldigheter. Detta kan kräva betydande resurser i form av tid och juridisk kompetens. Många företag kommer sannolikt behöva anlita extern juridisk expertis för att ta fram avtalsmodeller för olika situationer.

Sådana åtgärder är en direkt konsekvens av att dataförordningen har börjat gälla. Det är de berörda företagen som ansvarar för att deras verksamheter och ageranden är förenliga med bestämmelserna. Dataförordningen är direkt tillämplig och utredningen anger att det inte finns något utrymme att föreslå förenklingar av regelverket.

EU-kommissionens åtgärder

För att underlätta enhetlig tillämpning och efterlevnad av dataförordningen har EU-kommissionen tagit fram frivilliga modellavtalsklausuler för uppkopplade produkter och tillhörande tjänster.

Tre uppsättningar klausuler har tagits fram för de situationer där datadelning är obligatorisk:

  • datainnehavare >> användare (omfattar både parters rättigheter och skyldigheter när det gäller åtkomst till, användning och delning av de data som genereras genom användarens användning av en uppkopplad produkt eller tillhörande tjänst);

  • användare >> datamottagare (fastställer villkoren för dataanvändning av datamottagare som valts av användaren); och

  • datainnehavare >> datamottagare (omfattar villkoren för datainnehavarens delning av data med den datamottagare som valts av användaren och den potentiella ersättningen för detta).

En ytterligare uppsättning modellavtalsklausuler har utarbetats för situationer med frivillig datadelning, d.v.s. delning som inte initierats av användaren. Riktlinjer om rimlig ersättning för obligatorisk datadelning mellan företag förväntas också publiceras av kommissionen.

Kommissionen har även offentliggjort frivilliga standardavtalsklausuler för avtal om molntjänster, vilka bl.a. täcker dataförordningens omfattande krav på avtalsvillkor som undanröjer hinder för effektivt byte av molntjänster och informationsskyldighet.

I skrivande stund finns ovanstående endast tillgängligt på engelska, men översättning till alla EU-språk pågår.

Kommissionen har också publicerat FAQs Data Act samt inrättat en särskild Data Act Legal Helpdesk, för att ge företag direkt stöd i specifika frågor som rör tillämpningen av de nya reglerna.

Dataförordningen och andra EU-regler

Utredningen understryker att dataförordningen ska tillämpas parallellt med ett stort antal andra EU-rättsakter. Detta skapar osäkerhet i praktiken och kan leda till tillämpningsproblem:

  • vid konflikt gäller reglerna i dataskyddsförordningen (GDPR) före bestämmelserna i dataförordningen, men det betyder inte att samspelet i praktiken är tydligt eller att tillämpningen är enkel; och

  • dataförordningen och datadelningsskyldigheter i andra rättsakter ska tillämpas parallellt, vilket innebär otydligheter för aktörer som omfattas då de regler som ska ha företräde avgörs både av när de trädde i kraft och om de är sektorspecifika.

Dessutom innehåller regelverk som ska tillämpas parallellt olika definitioner av liknande begrepp och termer:

  • produktsäkerhetsförordningen innehåller en definition av ”produkt”, dataförordningen definierar ”uppkopplad produkt”, cybersäkerhetsakten har en definition av ”IKT-produkt”, cyberresiliensförordningen definierar ”produkt med digitala element” o.s.v.; och

  • ”data” definieras i förordningen om en ram för det fria flödet av andra data än personuppgifter i EU som andra data än personuppgifter, medan ”data” i dataförordningen i stället avser varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, fakta eller information, även i form av ljudupptagningar, bildupptagningar eller audiovisuella upptagningar.

Utredningen konstaterar att olika definitioner gör det svårare för företag att följa reglerna och att en översyn skulle kunna skapa större enhetlighet.

Interoperabilitet

Interoperabilitet, d.v.s. rättslig, organisatorisk, semantisk och teknisk förmåga hos informationssystem att fungera tillsammans vid utbyte av data, är en utmaning. Det beror bl.a. på att gemensamma standarder saknas eller inte används av alla, vilket i sin tur leder till att anpassningar krävs när data ska delas både hos den som delar data och den som ska ta emot och använda den. Utredningen ser därför ett behov på EU-nivå att, genom specifikationer och standarder, skyndsamt peka ut hur data ska delas i syfte att uppnå interoperabilitet.

Våra avslutande reflektioner

Dataförordningen ger kunder makt och utmanar leverantörer. Reglernas slutmål – att dra nytta av fördelarna med bättre dataanvändning – är ambitiöst, men praktiskt komplicerat. Även om förordningen kan innebära risker, t.ex. exponering av företagshemligheter, teknisk komplexitet och administrativa kostnader, öppnar den också möjligheter till nya affärsmodeller och samarbeten. Organisationer som snabbt kan förvandla regelefterlevnad till en katalysator för innovation och datadriven tillväxt kommer ha en fördel.

Fondias experter stöttar dig i hur dataförordningen ska hanteras

Vårt team av specialister inom dataekonomi och Data Act hjälper dig med allt från avtal och strukturer till strategiska beslut och riskbedömningar. Kontakta oss här.

Data Act
Dataförordningen

Hur kan vi hjälpa dig?

Vi vill gärna höra mer om era legala behov. Kontakta oss via mail, telefon eller boka ett kostnadsfritt möte redan idag!