av Margarita Kozlov, advokat, och Mira Törnqvist, biträdande jurist, Baker McKenzie.
EU:s nya Data Act innebär nya affärsmöjligheter men också omfattande skyldigheter. I dagsläget är många företag oförberedda på kraven som kommer att ställas. Bristande efterlevnad kan bli både affärskritiskt och stå företagen dyrt. Det skriver Margarita Kozlov, advokat, och Mira Törnqvist, biträdande jurist, Baker McKenzie.
EU:s Data Act (Dataförordningen) ställer helt nya krav på hur företag hanterar användargenererad data som inte utgör så kallade personuppgifter. Lagen syftar till – och är ett viktigt steg i – att skapa en mer konkurrenskraftig och rättvis datamarknad inom EU, samt säkerställa att användare får tillgång till och kontroll över sin data. Data Act börjar tillämpas 12 september i år, med stegvis implementering under två års tid.
Lagen omfattar uppkopplade produkter, datorer, servrar och andra enheter – alltifrån spelkonsoler och belysning till applikationer i telefonen. Reglerna väntas bli särskilt krävande för företag som exempelvis molntjänstleverantörer, teleoperatörer, e-handelsplattformar och andra typer av techbolag.
Det finns en rad fördelar med den nya lagstiftningen. Fram tills nu har företag som har gjort en ”betydande investering” för att samla in, verifiera och strukturera data erhållit exklusiva rättigheter till denna data. Nu blir detta inte längre en tillgång att ha monopol på. Enligt de nya reglerna måste data som har genererats genom en uppkopplad produkt eller tjänst i princip vara tillgänglig för de användare som har genererat den. Detta förväntas främja innovation, och vara positivt för utvecklingen inom AI eftersom tillgång till stora mängder data är avgörande för företag som utvecklar och tränar AI-modeller. Det finns dock vissa begränsningar för vilken data som måste lämnas ut. Företagshemligheter omfattas fortfarande av skydd. Men gränsdragningen mellan vad som är skyddat som företagshemlighet och vad som måste delas enligt Data Act kan vara svår att göra i praktiken.
Till de största utmaningarna med Data Act hör att det kan bli administrativt betungande för företagen att säkerställa regelefterlevnad. Företag har mycket att vinna på att redan nu se över sina användarerbjudanden, sin dokumentation och sina strategiska avtal – bristande förberedelser kan få betydande ekonomiska och affärsmässiga konsekvenser.
För det första bör kommunikationen med användarna om datainsamling ses över. Data Act utökar omfattningen av den data som en användare har rätt till. Kraven på transparens och tillgänglighet kommer omfatta data som utgör en användarens totala ”digitala fotavtryck”. Information till användare ska tydligt beskriva vilken typ, format och mängd data produkten genererar, om den sker i realtid, hur data lagras och hanteras, användarens åtkomst- och raderingsmöjligheter, ändamål och parter för databehandling samt eventuell klassificering som företagshemlighet.
Vidare behöver datadelningen göras säker och strukturerad. Produkten eller tjänsten bör vara utformad så att data kan göras direkt tillgänglig för användaren på ett enkelt, säkert och kostnadsfritt sätt. I praktiken kan detta vara svårt, särskilt om data är lagrad i ostrukturerad form. Att ha en tydlig bild av dataflöden och rutiner är också nödvändigt för att säkerställa efterlevnad av fler av EU:s digitala regelverk, så som NIS 2-direktiv. Företag bör implementera lämpliga säkerhetsåtgärder såsom kryptering, autentisering och åtkomstkontroller, för att skydda data från exempelvis cyberhot.
För det tredje bör en översyn och uppdatering av kundavtal göras. Data Act medför omfattande begränsningar för hur företag får reglera tillgång till och användning av data i avtal om tekniska produkter och tjänster, och reglerar vilka avtalsvillkor som anses oskäliga och därmed ogiltiga. EU-kommissionen har utarbetat standardavtalsklausuler gällande datatillgång, dataanvändning, lämplig ersättning och skydd av affärshemligheter som företagen kan använda i sina avtal.
Även avtal som rör leverantörer behöver ses över och vid behov justeras. Om det finns flera aktörer i leverantörskedjan som hanterar data bör ett lämpligt samarbete säkerställas gällande exempelvis datadelning. Detta blir särskilt relevant om leverantörer finns utanför EU.
En annan viktig åtgärd är att samordna efterlevnaden av GDPR och Data Act. När data utgörs av personuppgifter har GDPRföreträde. Även vid anonymisering av data finns det risk att personuppgifter kan identifieras när de kombineras med annan information. Det är därför viktigt att säkerställa att data som delas är tillräckligt anonymiserad för att undvika att individer kan identifieras, samt att för det fall data utgör personuppgifter förhålla sig till de krav som gäller enligt GDPR.
Sanktionerna är kännbara och överträdelser kan bli kostsamma. De administrativa sanktionsavgifterna, vid exempelvis brister i datadelning eller tillämpning av oskäliga avtalsvillkor, kan uppgå till 20 000 000 EUR eller 4% av den totala globala årsomsättningen under föregående räkenskapsår – beroende på vilket belopp som är högst.
Lagstiftningen inom data och AI befinner sig i en dynamisk fas. Den närmaste tiden innebär stora möjligheter att positionera sig strategiskt i ett affärsklimat i ständig förändring. För de företag som inte är förberedda kan det däremot få affärskritiska konsekvenser – däribland sanktioner, uteblivna affärsmöjligheter och försvagad konkurrenskraft.
