DEBATT – av Daniel Lundqvist, Advokat/Partner på Kahn Pedersen
EU:s nya dataförordning (Data Act) publicerades i sin slutliga form i slutet av 2023 och ska börja tillämpas från den 12 september 2025. Data Act syftar till att reglera den s.k. dataekonomin inom EU och är en hörnsten i EU:s lagstiftningspaket ’Digital Decade’. Den nya lagstiftningen innehåller flera intressanta nyheter för svenska företag, myndigheter, konsumenter och leverantörer i alla branscher och sektorer. I tre texter, med start i dag, beskriver advokat Daniel Lundqvist från Kahn Pedersen de viktigaste nyheterna i Data Act och resonerar kring hur lagstiftningen kommer att förändra den digitala affären.
Tillgång till och användning av data har under de senaste 20 åren varit en avgörande katalysator för teknisk innovation och digital transformation. Datadriven innovation har exempelvis skapat jättar som Google, Amazon, Facebook och Tesla. Dessutom har tillgång till data varit helt nödvändigt för den senaste tidens framväxt av generativ AI.
Inom EU har reglering av data främst tagit sikte på skyddet för personuppgifter, genom dataskyddsdirektivet från 1995 och sedermera GDPR från 2016. Genom Data Governance Act från 2022 och den nu aktuella Data Act tar EU nu ett bredare grepp och inför reglering som träffar alla typer av data, såväl personuppgifter som annan data (i Data Act används begreppet ”icke-personuppgifter”). Data Act kommer sannolikt få stort genomslag i praktiken, särskilt när det gäller avtalsfrågor om exempelvis ”smarta” produkter och tjänster, molntjänster, datadrivna analystjänster (BI, prediktiv analys etc), edge computing och AI.
Om Data Act
Det är uppenbart att Data Act har handelspolitiska målsättningar, där EU vill försöka omfördela makt på den digitala marknaden från starka (främst amerikanska) leverantörer av molntjänster och standardiserad IT, till förmån för europeiska ”användare” av sådana tjänster. Dessa ”användare” kan enligt Data Act kan vara både fysiska och juridiska personer, d.v.s. Data Act kan vara tillämplig både i avtalsrelationer mellan företag och konsumenter (B2C), mellan företag (B2B) och mellan företag och myndigheter (B2G). Olika delar av lagen är dock tillämpliga för olika avtalsrelationer och beroende på datatyp. Tillsammans med lagens alla nya definitioner (se nedan) skapar detta en betydande komplexitet i lagtexten.
En första huvudvärk för Sveriges alla organisationer kommer alltså vara att bedöma om och när lagstiftningen kommer vara tillämplig och i så fall på vilken data. Lagens indelning i olika datatyper kommer skapa nya behov av informationsklassning och behörighetsstyrning, på samma sätt som GDPR gav upphov till behovet att skilja mellan personuppgifter och icke-personuppgifter. Det kan också nämnas att Data Act är subsidiär i relation till GDPR.
Den här artikelserien kommer att fokusera på tre särskilt intressanta nyheter i Data Act:
• Regler om åtkomst och användning av data från uppkopplade produkter (kapitel II)
• Förbud mot oskäliga avtalsvillkor avseende data, även mellan näringsidkare (kapitel IV)
• Obligatoriskt krav på särskilt ”exitavtal” för bl.a. molntjänster (kapitel VI)
Utgångspunkten i Data Act är, förstås, begreppet ”data”. Det definieras i Data Act som ”varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar”. Vidare definieras ”metadata” som ”en strukturerad beskrivning av innehållet i eller användningen av data som underlättar sökningen i eller användningen av dessa data”.
Utöver dessa grundläggande begrepp innehåller lagstiftningen ett stort antal andra nya begrepp såsom exempelvis ”användare”, ”produktdata”, ”datahållare”, ”datamottagare”, ”databehandlingstjänst”, ”lätt åtkomliga data” och ”digitala tillgångar”. Vi kommer att återkomma till dessa begrepp längre fram i denna artikelserie.
I nuläget är det osäkert vilka sanktionsavgifter som kan utdömas gentemot företag som inte följer Data Act. EU har nämligen överlämnat till medlemsstaterna att, senast den 12 september 2025, bestämma vilka sanktioner som ska gälla vid överträdelse av lagen. Intressant nog anges dock att tillsynsmyndigheter under GDPR (alltså IMY i Sverige) ska ha rätt att tillämpa samma sanktionsavgifter som gäller enligt GDPR, d.v.s. upp till maximalt 4 % av ett företags globala årsomsättning, vid överträdelse av vissa kapitel i Data Act (inklusive kapitel II, som beskrivs nedan).
Data från uppkopplade produkter
En bärande del i Data Act är att tillverkare av uppkopplade produkter och tillhörande tjänster måste tillgängliggöra produktdata och relevanta metadata för användaren. Sådana data kan omfatta bl.a. information om den uppkopplade produktens/tjänstens prestanda, användningen och miljö. Reglerna innebär att det inte längre ska vara möjligt för t.ex. fordons- eller maskintillverkare att förbehålla sig exklusiva rättigheter till de data som samlas in från den uppkopplade produkten. Utgångspunkten i Data Act är istället att användaren, dvs typiskt sett köparen/kunden av den uppkopplade produkten, har rätt till åtkomst och nyttjande av sådan data.
Enligt huvudregeln ska därför uppkopplade produkter och tillhörande tjänster utformas så att produktdata och metadata som standard ska vara ”direkt tillgängliga” för användaren. Om användaren inte har direkt åtkomst till informationen, ska den part som har tillgång till data (”datahållaren”) tillse att användaren på begäran och utan oskäligt dröjsmål får tillgång till ”lätt åtkomliga data” och metadata. Detta ska om möjligt ske i realtid.
Datahållaren får identifiera viss produkt-/metadata som företagshemligheter, och därvid begränsa användarens nyttjande av sådan information, t.ex. genom sekretessklausul i avtal med användaren. Det faktum att datahållaren identifierat företagshemligheter hindrar dock inte – och får som huvudregel inte användas för att begränsa – datadelning med användaren eller av användaren utsedd tredje part.
En viktig inskränkning är vidare att användarens nyttjande av mottagna data begränsas till användarens interna bruk. Användaren får alltså varken själv eller genom tredje part använda mottagna data för att utveckla en uppkopplad produkt som konkurrerar med tillverkaren/tjänstetillhandahållaren.
Det kan också nämnas att datahållaren inte får använda insamlade data för att ”få inblick i användarens ekonomiska situation, tillgångar och produktionsmetoder” eller för att på något sätt ”undergräva användarens kommersiella ställning”. Datahållaren får vidare inte utan rättslig grund enligt GDPR dela personuppgifter med användaren (såvida inte användaren är den registrerade personen). Datahållaren får inte heller tillgängliggöra icke-personuppgifter för tredje part för annat ändamål än att fullgöra avtalet med användaren.
Datahållaren ska, utan tillkommande kostnad för användaren, som huvudregel även dela med sig av lätt åtkomliga data och metadata till tredje parter som utses av användaren. Samma begränsningar och kvalifikationer avseende delning av företagshemligheter och personuppgifter gäller i de fall data på användarens begäran delas med en tredje part.
Det är viktigt att påpeka att det här kapitlet i Data Act (kapitel II) innehåller flera olika specialregler, kvalifikationer och undantag från de huvudregler som beskrivs ovan, bland annat att kapitlet endast ska tillämpas under förutsättning att tillverkaren av den uppkopplade produkten (eller leverantören av tillhörande tjänster) inte är ett s.k. mikroföretag eller litet företag. Det innebär i praktiken att data från uppkopplade produkter där tillverkaren/tjänstetillhandahållaren har färre än 50 anställda och omsätter mindre än 10 MEUR per år inte omfattas av de regler som beskrivits ovan. Som redan framgått ovan, en första relativt komplex övning för svenska företag kommer att vara att bedöma om och hur Data Act kommer att vara tillämplig på den egna verksamheten.
Avslutande reflektioner
De nya reglerna i Data Act om datadelning och åtkomst till produktdata och data från tillhörande tjänster innebär en stor omställning i många branscher. Större aktörer, som exempelvis fordons- och maskintillverkare, har de senaste 10-15 åren skapat nya intäktsströmmar från uppkopplade produkter och tillhörande tjänster vilka har baserats på datadrivna insikter. Dessa leverantörer kommer tvingas att bygga om och förändra sina affärsmodeller så att de möter kraven i Data Act.
Förhoppningen från EU:s sida är att Data Act ska gynna europeiska användare och företag, såtillvida att den (europeiska) verksamhet som genererar data också ska kunna använda och kommersialisera på datan. Den här omställningen kommer inte att vara enkel eller okontroversiell. De leverantörer som betraktar insamlade data från uppkopplade produkter och tillhörande tjänster som en intäktsbringande tillgång har historiskt sett förbehållit sig ensamrätt att kommersialisera på datan. Det är därför tänkbart att Data Act kan leda till höjda priser för sådana produkter/tjänster, när tillverkare och leverantörer vill kompensera för minskade intäkter från tjänster som bygger på användning av insamlade produktdata för egna ändamål och egna tjänster. Det kan inte heller uteslutas att (icke-europeiska) leverantörer kommer välja att helt lämna den europeiska marknaden med anledning av Data Act (och andra delar i EU:s Digital Decade). Huruvida Data Act kommer att ha positiva eller negativa effekter för europeiska användare och företag är därmed en fråga om perspektiv.
Klart är i alla fall att Data Act kommer ändra spelreglerna på den europeiska digitala marknaden, bland annat – men inte enbart – på marknaden för uppkopplade produkter. Men det slutar inte här, Data Act innehåller många andra intressanta och viktiga nyheter, som påverkar även andra typer av digitala affärer. Nästa del av denna artikelserie kommer att handla om hur Data Act tvingar fram förändringar i avtalsvillkor mellan företag för bl.a. molntjänster.
