Samspelet mellan Data Act och GDPR - vad företag behöver veta

Fondia
Insikter
30 oktober 2024

Dataförordningen (Data Act) trädde i kraft den 11 januari 2024 och ska i huvudsak tillämpas från och med den 12 september 2025. I dataförordningen anges skyldigheter för tillgång till data från så kallade uppkopplade produkter (till exempel IoT-enheter) och tillhörande tjänster. Dataförordningen är tillämplig för både personuppgifter och icke-personuppgifter. Detta innebär att det är särskilt viktigt att vara uppmärksam på bestämmelserna i den allmänna dataskyddsförordningen (GDPR) om behandling av personuppgifter när dataförordningen är tillämplig och data innehåller personuppgifter.

En kort repetition av dataförordningen

Spridningen av “sakernas internet” har gjort det nödvändigt att fastställa tydliga och rättvisa regler för tillgång till och användning av data i den europeiska dataekonomin. Detta möjliggörs genom dataförordningen. Syftet med dataförordningen är att förbättra EU:s dataekonomi och skapa en konkurrenskraftig datamarknad genom att öka tillgången till data, främja datadriven innovation och förbättra tillgängligheten och åtkomsten till data, särskilt industriella data. För att uppnå detta möjliggör dataförordningen en rättvis fördelning av datavärdet mellan marknadsaktörerna i dataekonomin. Dataförordningen klargör vem som har tillgång till vilka uppgifter och när, samtidigt som skyddet av personuppgifter säkerställs. Särskilt intressant ur ett dataskyddsperspektiv är skyldigheterna som räknas upp i kapitel II i dataförordningen om att dela data. Dessa skyldigheter samverkar med den allmänna dataskyddsförordningen. I kapitel II fastställs datahållarens skyldigheter att på användarens begäran ge användaren eller en tredje part tillgång till uppkopplade produkters och tillhörande tjänsters data.

Förhållandet mellan dataförordningen och den allmänna dataskyddsförordningen

Tolkningen eller tillämpningen av dataförordningen får inte begränsa eller äventyra rätten till skydd av personuppgifter. När dataförordningen tillämpas måste unionens dataskyddslagstiftning, som den allmänna dataskyddsförordningen, respekteras. Detta gäller särskilt när hanteringen av data innefattar behandling av personuppgifter. Man bör dock komma ihåg att dataförordningen och den allmänna dataskyddsförordningen har olika syften. Det primära syftet med dataförordningen är att säkerställa en rättvis fördelning av datavärdet mellan de olika marknadsaktörerna i dataekonomin och att främja tillgången till data och användningen av data. Den allmänna dataskyddsförordningen syftar till att säkerställa och skydda fysiska personers personuppgifter och integritet under behandlingen.

Dataförordningen skapar inte någon ny behandlingsgrund för behandling eller insamling av personuppgifter. Dataförordningen fungerar som ett kompletterande rättsligt instrument till den allmänna dataskyddsförordningen, vilket leder till en parallell tillämpning av de två rättsliga instrumenten. Om bestämmelserna i dataförordningen strider mot lagstiftning om skydd av personuppgifter, är det dock lagstiftningen om skydd av personuppgifter som ska tillämpas. Den allmänna dataskyddsförordningen är således i slutändan högre i hierarkin. Dataförordningen omfattar både personuppgifter och annan data, vilket kompletterar vissa rättigheter som den registrerade har beviljats, t.ex. rätten till dataportabilitet.

När tillämpas den allmänna dataskyddsförordningen?

Den allmänna dataskyddsförordningen är tillämplig på behandling av personuppgifter. Personuppgifter är all slags information som rör en identifierad eller identifierbar fysisk person. En identifierbar fysisk person är en person som kan identifieras, direkt eller indirekt, särskilt med hänvisning till en identifikationsuppgift som ett namn, ett personnummer, en plats eller en eller flera kännetecken som är specifika för personen, till exempel fysiska, fysiologiska eller sociala.

En uppkopplad produkt, t.ex. en smartklocka, kan och genererar ofta data om en identifierad eller identifierbar fysisk person, tillsammans med annan data. I detta fall kan dessa s.k. IoT-data också betraktas som personuppgifter. Aggregerade datamängder kan innehålla personuppgifter i varierande grad. Om annan data och personuppgifter är oskiljaktigt förbundna med varandra tillämpas bestämmelserna och de allmänna principerna i den allmänna dataskyddsförordningen. T.ex. principen om uppgiftsminimering, även om datamängden endast innehåller en liten mängd personuppgifter. Om data kombineras på ett sätt som gör det möjligt att identifiera en enskild person utifrån datan kan icke-personuppgifter omvandlas till personuppgifter. Även om data inte är personuppgifter nu kan de anses vara sådana i framtiden.

Det är också värt att beakta EU-domstolens extensiva tolkning av begreppet personuppgifter. EU-domstolen har i sin rättspraxis konstaterat att definitionen av personuppgifter i den allmänna dataskyddsförordningen är tillämplig när uppgifterna rör en viss person på grund av sitt innehåll, sitt syfte eller verkan (se t.ex. mål C-180/21).

När data som betraktas som personuppgifter behandlas måste det säkerställas att det finns en grund för behandlingen enligt den allmänna dataskyddsförordningen, såsom samtycke eller ett berättigat intresse. Personuppgifter kan således begränsa användarens tillgång till data.

Roller ur ett dataskyddsperspektiv

Roller skapar utmaningar för den parallella tillämpningen av den allmänna dataskyddsförordningen och dataförordningen. I den allmänna dataskyddsförordningen används begreppen ”personuppgiftsansvarig” och ”personuppgiftsbiträde”, medan det i dataförordningen talas om ”datahållare” och ”användare”. Trots detta kan rollerna ses som delvis överlappande och relativa. Vid behandling av personuppgifter kan datahållaren ofta också betraktas som personuppgiftsansvarig. Användaren kan ofta anses vara personuppgiftsansvarig, särskilt om det rör sig om ett företag. Det är också möjligt att datahållaren och användaren är gemensamt personuppgiftsansvariga enligt den allmänna dataskyddsförordningen. Enligt skälen i dataförordningen betraktas personuppgiftsbiträden inte som datahållare.

Exempelvis är ett företag som hyr ut bilar till fysiska personer en användare i förhållande till tillverkaren. Om ett företag däremot behandlar personuppgifter, t.ex. uppgifter om bilens position, i förhållande till en fysisk person, som i detta fall är en användare och samtidigt en registrerad, kan företaget betraktas som personuppgiftsansvarig och datahållare. Det är möjligt att denna liknelse även omfattar personuppgiftsbiträden.

Det är dock viktigt att inse att bara för att en viss aktör har en viss roll enligt dataförordningen betyder det inte automatiskt att den har en viss roll enligt den allmänna dataskyddsförordningen. En ”användare” behöver t.ex. inte alltid motsvara en ”registrerad” eller en ”datahållare” behöver inte alltid vara en ”personuppgiftsansvarig”. Rollerna är alltså inte förutbestämda, utan ska bedömas från fall till fall.

Vad är nästa steg?

Att samordna dataförordningen och den allmänna dataskyddsförordningen skapar vissa utmaningar. Detta innebär att förberedelserna inför den parallella tillämpningen av dessa förordningar bör inledas tidigt. Det är viktigt för tillverkare och tillhandahållare av uppkopplade produkter att identifiera vilka data som är personuppgifter och vilka som inte är det. När de hanterar användarnas begäran om tillgång till data, där den begärda datan också innehåller personuppgifter, är det också viktigt att ta hänsyn till de skyldigheter som följer av dataskyddslagstiftningen.

Fondias experter vid din sida

Fondias expertgrupper för Dataekonomi och AI⁠ kan hjälpa till med tillämpningen av Data Act och det går också att kontakta oss via sweden@fondia.com

Denna artikel ingår i en artikelserie om Data Act som behandlar enskilda frågor i Data Act ur olika perspektiv och så praktiskt som möjligt. Tidigare delar av serien:

Byte av molntjänstleverantör enligt Data Act

Data Act - viktiga punkter att tänka på

Data Act

Läs fler aktuella artiklar

Hur kan vi hjälpa dig?

Vi vill gärna höra mer om era legala behov. Kontakta oss via mail, telefon eller boka ett kostnadsfritt möte redan idag!