DEBATT – av Daniel Lundqvist, Advokat/Partner på Kahn Pedersen.
I den tredje och avslutande delen i serien om Data Act beskriver advokat Daniel Lundqvist från Kahn Pedersen nya tvingande regler om digital interoperablitet och obligatoriska avtalsvillkor för byte av molntjänst.
Ett av EU:s mål med Data Act är att underlätta byten av s.k. databehandlingstjänster. Denna målsättning kommer till uttryck på flera sätt i lagtexten, men allra tydligast i dess kapitel VI. En ”databehandlingstjänst” är en digital tjänst som via internet och ”på begäran” ger användaren tillgång till en ”gemensam pool av konfigurerbara, skalbara och elastiska databehandlingsresurser av centraliserad, distribuerad eller mycket distribuerad art”.
Annorlunda uttryckt: begreppet databehandlingstjänster i Data Act avser alltså molntjänster (IaaS, PaaS och SaaS) och tjänster för edge computing. Vad är då edge computing undrar kanske någon läsare? Det betyder, lite förenklat, att en digital tjänst använder datorkapacitet i hårdvara nära slutanvändaren (såsom t.ex. dator, mobiltelefon, IoT-enheter etc) istället för – eller som ett komplement till – centraliserad datorkapacitet (datacenter) som används för att tillhandahålla molntjänster. Jag kommer i det följande använda begreppet ”molntjänster” istället för ”databehandlingstjänster”.
Syftet är att undanröja hinder för byte
Genom Data Act vill EU att försöka undanröja hinder som finns för byte av molntjänster ”av samma tjänstetyp” alternativt för flytt från molntjänst till lokal IT-infrastruktur (on-premises). Med samma tjänstetyp förefaller man mena att en SaaS-tjänst ska kunna bytas till en annan motsvarande SaaS, en PaaS-tjänst till en motsvarande PaaS och en IaaS-tjänst mot en motsvarande IaaS.
Detta innebär att Data Act både innehåller krav avseende tekniska, kommersiella och avtalsmässiga aspekter för ett sådant byte. Den här artikeln kommer främst att resonera kring de avtalsmässiga och kommersiella krav som ställs i Data Act.
Vad gäller de tekniska kraven kommer molntjänstleverantörer (åtminstone avseende PaaS och SaaS) bli skyldiga att säkerställa kompabilitet med branschöverenskommelser, s.k. ”gemensamma specifikationer”, alternativt av Kommissionen fastställda ”harmoniserade standarder”. I första hand förväntar sig alltså EU att branschen själv ska definiera tekniska krav och specifikationer, men EU förbehåller sig rätten att utfärda tekniska standarder om branschen skulle misslyckas. De exakta tekniska kraven för att främja byte av molntjänstleverantör är alltså inte kända i nuläget.
Enligt portalparagrafen om interoperabilitet och byte av molntjänster är leverantörer skyldiga att undanröja alla ”förkommersiella, kommersiella, tekniska, avtalsmässiga och organisatoriska hinder” som hindrar en kund från att:
• Säga upp ett molntjänstavtal efter att maximal uppsägningstid gått ut och efter att kunden framgångsrikt har bytt molntjänstleverantör
• Ingå avtal med en annan molntjänstleverantör som täcker samma tjänstetyp.
• Migrera och flytta kundens ”exporterbara data och digitala tillgångar” till en annan molntjänstleverantör eller till lokal IT-infrastruktur
• Uppnå funktionell likvärdighet i användningen av en databehandlingstjänst hos en annan leverantör av samma tjänstetyp
• Om tekniskt möjligt, separera grundläggande infrastrukturtjänster (IaaS) från andra tjänster som tillhandahålls av leverantören (s.k. unbundling)
De här kraven, som alltså gäller för alla molntjänster, är mycket långtgående och träffar både utformning av tjänstepaketering/design, prismodeller/prissättning och avtalsvillkor. Detta är tveklöst en förändring som riskerar att bli smärtsam och svår för många av dagens molntjänstleverantörer, inte minst de amerikanska jättarna, vars affärsmodeller och tjänstepaketering i stor utsträckning är konstruerade och designade för att binda kunden närmare och hårdare till sin egen leveransmodell och sina egna tjänster.
Krav på obligatoriskt exit-avtal
Data Act innehåller även omfattande krav på de avtalsvillkor som ska finnas i molntjänstavtal rörande byte av molntjänster. Det införs alltså krav på ett slags obligatoriskt ”exit-avtal”. Kraven motsvarar de avtalsvillkor som sedan länge varit vanliga i vissa branscher på grund av regulatoriska krav (t.ex. inom bank och försäkring), men nu införs alltså generella regler som kommer att gälla inom hela EU oavsett bransch.
Alla molntjänstavtal ska enligt Data Act innehålla bland annat följande:
• Rätt för kunden att byta till en annan molntjänst, eller flytta alla exporterbara data och digitala tillgångar till lokal IT-infrastruktur, under en maximal övergångsperiod på 30 dagar (nedan ”övergångsperiod”) efter utgången av en maximal uppsägningstid på två månader (vilken kan förlängas till maximalt sju månader om det är ”tekniskt ogenomförbart” att genomföra flytten på kortare tid)
• Rätt för kunden att vid ett tillfälle förlänga övergångsperioden med en period som kunden anser lämplig.
• Ett generellt åtagande för molntjänstleverantören att stödja kundens exit-strategi, bland annat genom att tillhandahålla all relevant information.
• Ett villkor som anger att avtalet ska anses vara uppsagt och att kunden ska notifieras om detta (i) efter ett framgångsrikt slutförande av bytesprocessen, (ii) två månader efter att kunden meddelat molntjänstleverantören att kunden inte vill byta tjänst utan istället radera sin data när tjänsten upphör.
• En uttömmande specifikation av alla kategorier av data och digitala tillgångar som kan flyttas till en ny molntjänst.
• En uttömmande specifikation över sådana kategorier av data som är specifika för leverantörens molntjänst och som krävs för att tjänsten ska fungera, men som inte kommer att flyttas på grund av att de utgör leverantörens företagshemligheter.
• En minimiperiod för datahämtning om minst 30 dagar efter utgången av övergångsperioden.
• Åtagande för molntjänstleverantören att radera all data och alla digitala tillgångar som genereras av kunden, eller direkt berör kunden, efter utgången av miniperioden för datahämtning.
• Uttrycklig reglering om eventuella bytesavgifter för genomförande av byte. Sådana avgifter får inte alls tas ut från och med den 12 januari 2027. Under perioden 11 januari 2024 – 12 januari 2027 måste bytesavgifter begränsas till de kostnader som är direkt kopplade till bytesprocessen. Det är också obligatoriskt för molntjänstleverantörer att i förväg informera kunden om alla ”standardavgifter”, ”straffavgifter för förtida uppsägning” och bytesavgifter förknippat med ett byte.
Molntjänstleverantören ska också informera kunden om tillgängliga metoder och format för byte, samt eventuella begränsningar som leverantören känner till. Leverantören är generellt skyldig att samarbeta med kunden för att göra bytesprocessen effektiv.
Ytterligare ett krav i lagtexten är att leverantören ska lämna information på sina webbplatser om vilken jurisdiktion som den IKT-infrastruktur som leverantören använder, d.v.s. var datahallar, servrar etc befinner sig rent geografiskt.
Gäller inte för skräddarsydda molntjänster
Ett viktigt undantag från de regler som beskrivs ovan är att merparten av bestämmelserna inte ska tillämpas där de flesta ”huvudfunktionerna” i molntjänsten har skräddarsytts för att möta kundens specifika krav. Detta undantag gäller under förutsättning att (i) molntjänsten inte erbjuds i stor kommersiell skala via leverantörens allmänna tjänstekatalog, och (ii) att leverantören innan avtalsingåendet har informerat kunden om vilka bestämmelser i Data Act som inte är tillämpliga.
Gäller inte för testversioner – men för gratisversioner
En lite märklig ordning i Data Act är vidare att reglerna i kapitel VI inte gäller för molntjänster som tillhandahålls som ”en icke-produktionsversion för testnings- och utvärderingsändamål och under en begränsad tidsperiod” men däremot för gratiserbjudanden (”free-tier offerings”). Eftersom molntjänstleverantörers gratiserbjudanden ofta (uttalat eller underförstått) inte är avsedda för produktionstillämpningar, utan för att en presumtiv kund ska kunna utvärdera tjänsterna innan denne skalar upp sitt användande, kommer det vara viktigt för en kund att ta reda på om det är en gratisversion eller en testversion som kunden använder.
Avslutande reflektioner
Inlåsningseffekter till IT-leverantörer är en vanlig frustration för många svenska organisationer. Problematiken är inte begränsad till molntjänstleverantörer, utan gäller i högsta grad även för exempelvis IT-outsourcing eller systemförvaltning/support. Behovet av lagstiftning eller regler på området för att stärka IT-köpares rättigheter kan alltså – om man anser att sådant behov finns – egentligen sägas vara bredare än de regler som EU nu väljer att lagstifta om genom Data Act.
Det är särskilt intressant att Data Act inte ”bara” reglerar tekniska och avtalsmässiga aspekter kring interoperabilitet, utan att även tjänstepaketering, tjänstedesign och prismodeller omfattas av regelverket. Hur leverantörer väljer att paketera sina tjänster har nämligen, enligt min erfarenhet, varit en starkt bidragande orsak till den höga grad av inlåsning som många IT-köpare upplever idag. Jag ser samtidigt flera tillämpnings- och gränsdragningsfrågor i dessa delar, inte minst i relation till den generella näringsfriheten. Utgångspunkten – åtminstone på en fungerande fri marknad – borde vara att en säljare fritt får utforma sitt erbjudande och att det är upp till köparen/beställaren att välja tjänst och/eller genom kravställning och förhandling påverka säljarens tjänstepaketering. Uppenbarligen menar EU att den inre marknaden i dessa delar inte fungerar idag, utan att lagreglering är nödvändig för att stärka IT-köpares ställning och affärsintressen.
Precis som i övriga delar av Data Act finns en tydlig måltavla för de nya reglerna. Det är stora (amerikanska) IT-leverantörer som anses ha haft för stor makt och inflytande på bekostnad av (europeiska) kunder. Om det är rätt eller fel analys – och om lagstiftning är rätt eller fel metod – kan givetvis diskuteras. Klart är i alla fall att EU förefaller ha tappat förtroendet för IT-branschens förmåga att själv komma tillrätta med dessa utmaningar.
Avslutningsvis vill jag påstå Data Act är en game-changer i många avseenden. Den här artikelserien tar upp tre konkreta områden som kommer påverka IT-branschen fundamentalt. Jag hade kunnat skriva åtminstone lika många delar till, och ändå inte göra en uttömmande beskrivning av konsekvenserna av Data Act. Jag tror att den senaste lagstiftning som haft en så stor påverkan på den digitala affären sannolikt var GDPR. I vissa avseenden tror jag att Data Act kommer vara lättare att implementera i praktiken, eftersom lagkraven förmodligen är tydligare och enklare att förstå. I andra avseenden kan Data Act bli svårare att implementera, eftersom den så tydligt slår mot rent kommersiella intressen på IT-marknaden.
Motiveringen bakom Data Act är att EU vill skapa en ”rättvis dataekonomi”. Frågan är, emellertid, om icke-europeiska bolag delar EU:s uppfattning om vad som är rättvist?
2015 uttalade den dåvarande amerikanske presidenten Barack Obama, angående europeisk lagstiftning inom det digitala området, att “sometimes the European response here is more commercially driven than anything else”. Efter att ha läst och analyserat Data Act är min slutsats att Data Act nog ger stöd för Obamas uttalande.
