EU:s digitala omställning – den nya dataregleringen

Skrivet av Guest User

Data Governance Act & Data Act

I media talas det mycket om den nya AI-förordningen, men två regelverk som är minst lika viktiga (och kostsamma vid underlåtenhet att följa lagkraven) för verksamheter att känna till och börja anpassa sig efter är dataakten och dataförvaltningsakten. Dataförvaltningsakten har redan trätt i kraft medan verksamheter har tills den 12 september 2025 att anpassa sina produkter och tjänster för att efterleva kraven som föreskrivs dataakten. Läs nedan för en sammanfattning av regelverken.

Den viktiga dataekonomin

I det digitala samhället spelar tillgången till data en stor roll för företagens konkurrenskraft. Varje klick, sökning samt interaktion med tjänster och produkter genererar värdefull information, och verksamheters förmåga att utnyttja denna data är avgörande för att skapa nya tjänster, förbättra användarupplevelser och optimera processer. Denna datadrivna revolution påverkar alla sektorer, från hälsovård och energi till finansiella tjänster och transport, och banar väg för betydande ekonomisk tillväxt och samhällsförändringar. Enligt Thierry Breton, EU-kommissionär med ansvar för den inre marknaden, kommer all framtida innovation under det kommande decenniet vara beroende av tillgång till stora mängder data.

EU:s datastrategi – skapa en gemensam datamarknad

Mot denna bakgrund är EU:s datastrategi viktig för unionens övergripande mål om att stärka sin position i den globala dataekonomin. Strategin fokuserar på att utveckla ett datadrivet samhälle och skapa en gemensam marknad för data, där data fritt kan flöda och utnyttjas jämlikt av aktörer i hela EU. För att förverkliga denna vision är tillgången på högkvalitativ data för innovation nyckeln, samtidigt som datan måste hanteras med respekt för europeiska värderingar såsom integritetsskydd för individer. En tydlig reglering kring tillgång till och användning av data behövs och måste präglas av rättvisa, praktiskt genomförbara regler och transparens. EU har i sin datastrategi identifierat flera hinder på vägen, idag finns det exempelvis en begränsad datatillgång för små- och medelstora företag, det behövs infrastruktur för datahantering, verifiering av datas kvalitet och äkthet samt utveckling av avancerade databehandlingskapaciteter. För att bemöta dessa utmaningar har EU lanserat två viktiga lagstiftningsåtgärder: Dataförvaltningsakten (”the Data Governance Act”) och Dataakten (”the Data Act”). Dessa initiativ är utformade för att stimulera datadelning och innovation inom unionen, och markerar viktiga steg mot att realisera visionen om en sammanlänkad och innovativ datamarknad.

Dataförvaltningsakten eller dataförvaltningsförordningen

(”the Data Governance Act” (DGA))

Dataförvaltningsakten, som trädde i kraft den 23 juni 2022 och blev tillämplig från och med 24 september 2023, syftar till att öka tillgängligheten och användbarheten av data från den offentliga sektorn. Detta görs genom att bygga förtroende mellan aktörer som hanterar data och stärka mekanismerna för datadelning inom EU. Förordningen strävar även efter att förbättra tillgången till data och skapa en pålitlig miljö som underlättar användningen av data för forskning, samt stimulerar skapandet av nya innovativa tjänster och produkter.

Dataförvaltningsakten syfte är att möjliggöra säker vidareanvändning av specifika datatyper från offentlig sektor, som är skyddade för att dessa utgör till exempel företagshemligheter, personuppgifter eller immateriella rättigheter. Detta kräver att offentliga myndigheter är tekniskt utrustade för att garantera den integritet och sekretess som krävs vid sådan vidareanvändning. Förordningen kompletterar därför EU:s direktiv om öppna data från 2019, vilket i Sverige har införlivats genom den så kallade öppna data-lagen, eftersom öppna data-lagen inte omfattar sådana typer av skyddade data.

Genom fyra åtgärdsområden ska dataförvaltningsakten främja utvecklingen av pålitliga system för datadelning, vilka är följande:

  1. Återanvändning av offentlig sektors data: För att överbrygga gapet där viss data inte kan göras tillgänglig som öppna data, införs mekanismer som underlättar återanvändningen av sådan data. Exempelvis kan återanvändning av hälsoinformation främja forskning för att hitta botemedel mot sällsynta eller kroniska sjukdomar.

  2. Pålitliga dataförmedlare: För att säkerställa en effektiv datadelning, införs åtgärder för att etablera dataförmedlare som pålitliga organisatörer. Dessa förmedlare ska spela en central roll i hanteringen och samordningen av data inom de europeiska datarummen, och därmed stärka datans värde och tillgänglighet.

  3. Förenkla dataframställning: Genom att underlätta processen för medborgare och företag att göra sina data tillgängliga, stimuleras ett bredare deltagande i datadelning.

  4. Gränsöverskridande datadelning: För att underlätta datadelning över sektor- och landsgränser, implementeras åtgärder som gör det möjligt att effektivt använda data där det behövs mest.

Vidare fastställer dataförvaltningsakten en skyldighet för varje medlemsstat att inrätta en informationspunkt för att ta emot förfrågningar eller begäranden om återanvändning av data. På en övergripande europeisk nivå skapas också en enskild informationspunkt, som kommer att erbjuda ett elektroniskt register över nationellt tillgängliga data. Även om dataförvaltningsakten inte specifikt föreskriver sanktioner, understryks medlemsstaternas ansvar att fastställa lämpliga påföljder för överträdelser och vidta nödvändiga åtgärder för att säkerställa efterlevnad.

Dataakten eller dataförordningen

(”the Data Act”)

Som ett första steg i linje med EU:s datastrategi skapar dataförvaltningsakten strukturer och processer för att underlätta datadelning mellan företag, privatpersoner och offentlig sektor. Den efterföljande dataakten, som trädde i kraft den 11 januari 2024 och blir tillämplig från och med den 12 september 2025, kan ses som det andra initiativet. Dataakten kallas också för dataförordningen på svenska, dock värt att notera är att den inte ska förväxlas med dataskyddsförordningen (GDPR). Dessa två förordningar gäller parallellt och fokuserar på två skilda aspekter av datahantering; dataakten möjliggör tillgänglighet och användning av data genererad genom produkter och tjänster över alla ekonomiska sektorer, medan GDPR:s syfte är att skydda individers rätt till privatliv och integritet.

Dataakten innehåller bestämmelser som syftar till att främja en rättvis och öppen marknad för data. Förordningens syfte är att skapa ett ramverk som specificerar vem som har rätt att använda produktdata eller data från tillhörande tjänster samt under vilka villkor denna användning är tillåten. Förordningen tar sikte på att hantera avtalsmässiga obalanser i datadelning, genom att införa bestämmelser som säkerställer rättvis ersättning för datatillhandahållande och etablerar mekanismer för effektiv tvistlösning. Den stärker även principen om dataportabilitet, vilket förenklar för både individer och företag att överföra sina data mellan olika plattformar och tjänsteleverantörer. Dessutom tillåter dataakten att nationella myndigheter och EU:s institutioner, i exceptionella situationer, kan få tillgång till och använda data, vilket kan vara viktigt i till exempel krissituationer såsom naturkatastrofer eller pandemier.

Tillsyn och sanktioner

Varje medlemsstat ska också utse en eller flera behöriga myndigheter som ska ansvara för tillämpningen och efterlevnaden av dataakten. I Sverige blir det troligtvis Integritetsskyddsmyndigheten (IMY) som får ansvaret för att övervaka efterlevnaden av förordningen, eftersom enligt dataakten ska de tillsynsmyndigheter som ansvarar för att övervaka tillämpningen av GDPR även ansvara för övervakningen av dataakten. Vidare krävs att medlemsstaterna etablerar sanktionsavgifter för överträdelser av dataakten, där vissa överträdelser kan medföra sanktionsavgifter upp till 20 miljoner euro eller 4 procent av den totala globala årsomsättningen, i linje med de belopp som kan utdömas enligt GDPR.

Sammanfattning

Tidigare innebar köpet av en produkt att man ägde den fullt ut, men i dagens uppkopplade värld, där smarta bilar, diskmaskiner och solpaneler också genererar enorma mängder data, har äganderätten till denna data koncentrerats hos några få stora företag. Detta gäller även populära molntjänster som erbjuder e-post och dokumenthantering. Den nya dataregleringen syftar bland annat till att underlätta för användare att byta tjänsteleverantörer eller smarta produkter genom att möjliggöra överföring av deras data utan att behöva göra detta själv manuellt. Denna möjlighet är inte alltid given idag, då många företag strävar efter att behålla sina kunder som kan göra det krångligt eller tidskrävande att byta till en annan tjänst eller produkt. Men om ett företag inte följer dessa nya regler kommer konsumenter kunna lämna in klagomål till IMY. Rätten till dataportabilitet, som redan finns i GDPR men som inte används i stor utsträckning, utvidgas genom dataakten till att även omfatta icke-personuppgifter och är mer långtgående även gällande hur datan ska lämnas ut.

Dataförvaltningsakten och dataakten kompletterar varandra

Medan dataförvaltningsakten riktar sig till myndigheter och fokuserar på att bygga förtroende för datatransaktioner samt främja frivillig datadelning, riktar sig dataakten till privata aktörer där rättvis fördelning av data är i fokus. Dataförvaltningsakten och dataakten utgör därmed tillsammans två kompletterande lagstiftningsinitiativ inom ramen för EU:s datastrategi, som har som målsättning att skapa en stark och enhetlig ram för datahantering och användning. Genom att täcka olika aspekter av datadelning och användning – från ökad transparens inom offentlig sektor till skydd av sekretesskyddade uppgifter och främjandet av dataportabilitet inom privat sektor – strävar dessa lagar efter att främja en säker, rättvis och innovativ digital ekonomi i EU.

Guest User
Föregående

EU:s dataskyddsmyndigheter sätter idag igång åtgärd för rätten till tillgång till personuppgifter
Nästa

AI-förordningen - Världens första omfattande lagstiftning kring artificiell intelligens