En samlet oversigt over dataforordningen, herunder dens mål, og hvordan den fungerer i praksis.
Hvorfor dataforordningen?
Dataforordningen er en lov, der har til formål at forbedre EU's dataøkonomi og fremme et konkurrencedygtigt datamarked ved at gøre data (navnlig industrielle data) mere tilgængelige og anvendelige, tilskynde til datadreven innovation og øge datatilgængeligheden. For at opnå dette sikrer dataforordningen retfærdighed i fordelingen af værdien af data blandt aktørerne i dataøkonomien. Det præciserer, hvem der kan bruge hvilke data og på hvilke betingelser. Du kan få mere detaljerede oplysninger i de ofte stillede spørgsmål (FAQ) om dataforordningen.
I de senere år har der været en hurtig vækst i tilgængeligheden af produkter, der er forbundet til internettet ("forbundne produkter"), på det europæiske marked. Disse produkter, som tilsammen udgør et netværk kendt som tingenes internet (IoT), øger mængden af data, der er til rådighed til videreanvendelse i EU, betydeligt. Dette udgør et enormt potentiale for innovation og konkurrenceevne i EU.
Dataforordningen giver brugere af forbundne produkter (virksomheder eller enkeltpersoner, der ejer, leaser eller lejer et sådant produkt) større kontrol over de data, de genererer, samtidig med at incitamenterne for dem, der investerer i datateknologier, opretholdes. Desuden fastsætter den generelle betingelser for situationer, hvor en virksomhed har en retlig forpligtelse til at dele data med en anden virksomhed.
Dataforordningen omfatter også foranstaltninger til at øge retfærdigheden og konkurrencen på det europæiske cloudmarked samt til at beskytte virksomheder mod urimelige kontraktvilkår i forbindelse med datadeling, der pålægges af stærkere aktører. Den indfører også en mekanisme, hvorigennem offentlige myndigheder kan anmode om data fra en virksomhed, hvor der er et ekstraordinært behov, f.eks. i offentlige nødsituationer, og fastsætter klare regler for, hvordan sådanne anmodninger bør fremsættes. Desuden indføres der sikkerhedsforanstaltninger for at undgå, at statslige organer fra tredjelande kan få adgang til andre data end personoplysninger, hvis dette ville være i strid med EU-retten eller national ret. Endelig fastsætter dataforordningen væsentlige krav vedrørende interoperabilitet for at sikre, at data kan flyde problemfrit mellem sektorer og medlemsstater, hvilket fremmes af fælles europæiske dataområder, samt mellem udbydere af databehandlingstjenester.
Dataforordningen blev offentliggjort i EU-Tidende den 22. december 2023 og har fundet anvendelse siden den 12. september 2025.
Dataforordningen supplerer forordningen om datastyring , som trådte i kraft i september 2023. Selv om datastyringsforordningen øger tilliden til frivillige datadelingsmekanismer, skaber dataforordningen juridisk klarhed med hensyn til adgangen til og anvendelsen af data.
Sammen med andre politiske foranstaltninger og finansieringsmuligheder bidrager disse to forordninger til oprettelsen af et indre marked for data i EU. Målet er at gøre Europa førende inden for dataøkonomien ved at udnytte potentialet i de stadigt stigende datamængder, navnlig industrielle data, til gavn for den europæiske økonomi og det europæiske samfund.
Spørgsmål, der behandles
I overensstemmelse med de generelle bestemmelser (kapitel I), som fastsætter forordningens anvendelsesområde og definerer centrale begreber, er dataforordningen struktureret i seks hovedkapitler:
Kapitel II om datadeling mellem virksomheder og mellem virksomheder og forbrugere i forbindelse med tingenes internet: brugere af IoT-objekter kan få adgang til, bruge og portere data, som de samgenererer gennem deres brug af et forbundet produkt.
Kapitel III om datadeling mellem virksomheder: Dette præciserer betingelserne for datadeling, når en virksomhed ved lov, herunder gennem dataforordningen, er forpligtet til at dele data med en anden virksomhed.
Kapitel IV om urimelige kontraktvilkår: Disse bestemmelser beskytter alle virksomheder, navnlig SMV'er, mod urimelige kontraktvilkår, der pålægges dem.
Kapitel V om datadeling mellem virksomheder og myndigheder: offentlige myndigheder vil kunne træffe mere evidensbaserede beslutninger i visse situationer med et ekstraordinært behov gennem foranstaltninger til at få adgang til visse data, som den private sektor er i besiddelse af.
Kapitel VI om skift mellem databehandlingstjenester: udbydere af cloud- og edgecomputingtjenester skal opfylde minimumskrav for at lette interoperabiliteten og muliggøre skift.
Kapitel VII om tredjelandes ulovlige adgang til oplysninger: andre data end personoplysninger, der er lagret i EU, er beskyttet mod ulovlige anmodninger fra udenlandske myndigheder om adgang.
Kapitel VIII om interoperabilitet: deltagere i dataområder skal opfylde kriterier, der gør det muligt for data at flyde inden for og mellem dataområder. Et EU-register vil fastsætte relevante standarder og specifikationer for cloudinteroperabilitet.
Kapitel IX om håndhævelse: Medlemsstaterne skal udpege en eller flere kompetente myndigheder til at overvåge og håndhæve dataforordningen. Hvis der udpeges mere end én myndighed, skal der udpeges en "datakoordinator", der skal fungere som centralt kontaktpunkt på nationalt plan.
Kapitel II: Datadeling mellem virksomheder og mellem virksomheder og forbrugere i forbindelse med IoT-markedet
Hvorfor?
Et centralt mål med dataforordningen er at skabe retfærdighed i dataøkonomien og sætte brugerne i stand til at høste værdi af de data, de genererer, ved hjælp af de forbundne produkter, som de ejer, lejer eller leaser.
Dataforordningen gør det muligt for brugere af forbundne produkter (f.eks. forbundne biler, medicinsk udstyr og fitnessudstyr, industri- eller landbrugsmaskiner) og relaterede tjenester (dvs. alt, hvad der ville få et forbundet produkt til at opføre sig på en bestemt måde, såsom en app til at justere lysstyrken eller regulere temperaturen på et køleskab) at få adgang til de data, som de samskaber ved hjælp af de forbundne produkter/relaterede tjenester.
Tilgængeligheden af sådanne data vil påvirke økonomien betydeligt. Data, der genereres af forbundne produkter og relaterede tjenester, kan f.eks. anvendes til at styrke eftermarkedet og accessoriske tjenester samt til at skabe helt nye tjenester til gavn for både virksomheder og forbrugere.
Eksempler på forbundne produkter: forbrugerprodukter (f.eks. forbundne biler, sundhedsovervågningsudstyr, smart home-udstyr), andre produkter (f.eks. fly, robotter, industrimaskiner).
Eksempel på en relateret tjeneste: en bruger køber en vaskemaskine og installerer en applikation, der giver dem mulighed for at måle vaskecyklussens miljøpåvirkning på grundlag af data fra de forskellige sensorer inde i maskinen og justerer cyklussen i overensstemmelse hermed. Denne applikation vil blive betragtet som en relateret tjeneste.
Eksempler på eftersalgsservice og accessoriske tjenesteydelser: reparations- og vedligeholdelsestjenester, databaseret forsikring.
Typer af data, der er omfattet af anvendelsesområdet
Kapitel II i dataforordningen om datadeling mellem virksomheder og mellem virksomheder og forbrugere finder anvendelse på alle rådata og forbehandlede data, der genereres ved brug af et forbundet produkt eller en relateret tjeneste, og som er umiddelbart tilgængelige for dataindehaveren (f.eks. producenten af et forbundet produkt/udbyderen af en relateret tjeneste), dvs. data, der let kan tilgås uden en uforholdsmæssig stor indsats, og som går videre end en simpel operation. Dette gælder både personoplysninger og andre data end personoplysninger, herunder relevante metadata.
Sådanne data omfatter data indsamlet fra en enkelt sensor eller en forbundet gruppe af sensorer såsom temperatur, tryk, strømningshastighed, lyd, pH-værdi, væskeniveau, position, acceleration eller hastighed.
Udledte eller afledte data og indhold (f.eks. stærkt berigede data, audiovisuelt materiale) er ikke omfattet af anvendelsesområdet. Desuden berører dataforordningen ikke lovgivningen om beskyttelse af intellektuelle ejendomsrettigheder.
Hvis en bruger f.eks. ser en film på sit tilsluttede tv, er selve filmen ikke inden for rækkevidde, men data om skærmens lysstyrke er inden for rækkevidde.
I praksis
Kapitel II i dataforordningen giver brugerne (dvs. enhver juridisk eller fysisk person, der ejer, lejer eller leaser et forbundet produkt) adgang til de data, som de genererer gennem deres brug af det forbundne produkt eller den relaterede tjeneste. Hvis brugeren ønsker at dele disse data med en anden enhed eller person ("tredjepart"),kan vedkommende enten gøre det direkte eller anmode dataindehaveren om at dele dem med en tredjepart efter eget valg (undtagen gatekeepere i henhold til forordningen om digitale markeder). Dataindehaveren er typisk den virksomhed, der fremstiller det forbundne produkt eller leverer en relateret tjeneste. En dataindehaver skal have en kontrakt med brugeren (f.eks. salgskontrakt, lejekontrakt, relateret tjenesteydelseskontrakt osv.), der definerer rettighederne vedrørende adgang til, brug og deling af de data, der genereres af det forbundne produkt eller den relaterede tjeneste. Det er vigtigt at bemærke, at dataindehaveren ikke kan anvende andre data end personoplysninger, der er genereret af produktet, uden brugerens samtykke.
Som eksempel og under hensyntagen til, at den relevante kontrakt bestemmer de nøjagtige roller:
-
En virksomhed driver en bulldozer: Dataindehaveren vil typisk være bulldozerproducenten, og brugeren vil være den virksomhed, der driver bulldozeren.
-
Hvis nogen køber et tilsluttet køleskab og downloader en app, der hjælper dem med at regulere den optimale temperatur for køleskabets indhold, vil der potentielt være to dataindehavere, nemlig den enhed, der har markedsført køleskabet, og den enhed, der tilbyder den relaterede tjeneste (appen), og kun den ene bruger (ejeren af køleskabet).
Dataforordningen omfatter flere mekanismer, der skal gøre det lettere for brugerne at gøre brug af disse bestemmelser: dataindehavere skal give brugeren oplysninger om den type data, de vil generere, når de bruger det forbundne produkt eller den relaterede tjeneste (herunder mængde, indsamlingshyppighed osv.) brugerne bør kunne anmode om adgang til dataene gennem en enkel proces, og dataindehaverne skal stille dataene gratis til rådighed for brugerne.
Begrænsninger i brugen af data
For ikke at afskrække virksomhederne fra at investere i datagenererende produkter kan de indsamlede data ikke anvendes til at udvikle et konkurrerende forbundet produkt. Dataforordningen forbyder ikke konkurrence inden for relaterede tjenester eller eftermarkedstjenester. Desuden er en dataindehaver i henhold til dataforordningen ikke forpligtet til at dele data med tredjeparter, der er baseret uden for EU.
Dataforordningen er i fuld overensstemmelse med databeskyttelsesreglerne, navnlig GDPR. Hvis brugeren ikke er den registrerede, hvis data der anmodes om, kan personoplysninger kun stilles til rådighed, hvis der er et gyldigt retsgrundlag (f.eks. samtykke). Dette er en vigtig overvejelse, da de samgenererede data ofte indeholder både personoplysninger og andre data end personoplysninger, hvilket kan være vanskeligt at adskille.
Det tilskynder til udvikling af forbundne produkter og tjenester baseret på nye datastrømme, som er af særlig værdi for mindre virksomheder. Desuden er mikrovirksomheder og små virksomheder som fabrikanter eller udbydere af relaterede tjenester ikke underlagt de samme forpligtelser som større virksomheder.
For at beskytte forretningshemmeligheder uden at underminere dataforordningens mål om at stille flere data til rådighed kan dataindehaveren og brugeren/tredjeparten aftale visse foranstaltninger for at bevare forretningshemmelighedernes fortrolighed. Hvis disse foranstaltninger ikke overholdes, kan dataindehaveren tilbageholde eller suspendere datadelingen. Dataindehaveren må kun nægte at dele data, hvis vedkommende kan påvise, at der er stor sandsynlighed for, at vedkommende vil lide alvorlig økonomisk skade som følge af videregivelsen af forretningshemmeligheder.
Dataindehaveren og brugeren kan aftale at begrænse datadelingen, hvis der er risiko for, at sikkerhedskravene til det forbundne produkt kan blive undermineret, hvilket kan have alvorlige negative virkninger for menneskers sundhed eller sikkerhed. Sådanne krav skal være fastsat i EU-retten eller national ret.
Hvis dataindehaveren suspenderer, tilbageholder eller nægter at dele data af hensyn til beskyttelse af forretningshemmeligheder eller sikkerhedskrav, skal vedkommende underrette den nationale kompetente myndighed. Brugerne kan anfægte en sådan afgørelse, enten ved den kompetente domstol eller ret i en medlemsstat, via en klage til den kompetente myndighed eller efter aftale med dataindehaveren ved et tvistbilæggelsesorgan.
Kapitel III: Regler om obligatorisk datadeling mellem virksomheder
Hvorfor?
Dataforordningen indfører regler for situationer, hvor en virksomhed ("dataindehaver") i henhold til EU-retten eller national ret har en retlig forpligtelse til at stille data til rådighed for en anden virksomhed ("datamodtager"), herunder i forbindelse med IoT-data. Navnlig skal vilkårene og betingelserne for datadeling være fair, rimelige og ikkediskriminerende.
Som et incitament til datadeling kan dataindehavere, der er forpligtet til at dele data, anmode om "rimelig kompensation" fra datamodtageren.
Typer af data, der er omfattet af anvendelsesområdet
Dataforordningens kapitel III finder anvendelse på alle oplysninger (både personoplysninger og andre oplysninger), som en virksomhed er i besiddelse af, herunder situationer, der er omfattet af dataforordningens kapitel II.
I praksis
Dataindehavere kan anmode om rimelig kompensation for at stille dataene til rådighed for en datamodtager. Dette kan omfatte omkostninger i forbindelse med at stille dataene til rådighed samt tekniske omkostninger i forbindelse med formidling og lagring. Mikrovirksomheder, SMV'er og nonprofitforskningsorganisationer kan dog ikke opkræves mere end de omkostninger, der er forbundet med at stille dataene til rådighed.
For at beskytte dataindehavere indeholder dataforordningen en ikkeudtømmende liste over foranstaltninger til afhjælpning af situationer, hvor en tredjepart eller bruger ulovligt har tilgået eller anvendt data. En dataindehaver kan f.eks. kræve, at en krænkende part ophører med at producere det pågældende produkt eller destruerer de data, som vedkommende ulovligt har indhentet, eller kræve erstatning.
Eventuelle forpligtelser til datadeling, der går forud for dataforordningen, berøres ikke heraf. Forpligtelser i fremtidig (sektorspecifik) lovgivning bør bringes i overensstemmelse med bestemmelserne i kapitel III i dataforordningen.
Kapitel IV: Urimelige kontraktvilkår
Hvorfor?
Aftalefrihed er afgørende for relationer mellem virksomheder. Dataforordningen har imidlertid til formål at beskytte alle europæiske virksomheder, der søger at erhverve data, navnlig SMV'er, mod urimelige kontraktvilkår gennem dens foranstaltninger til at gribe ind i situationer, hvor en af virksomhederne f.eks. befinder sig i en stærkere forhandlingsposition (f.eks. på grund af sin markedsstørrelse), og pålægger den anden virksomhed et ufravigeligt vilkår ("take-it-or-leave-it") vedrørende dataadgang og -anvendelse.
Typer af data, der er omfattet af anvendelsesområdet
Disse regler omfatter alle oplysninger, både personlige og ikkepersonlige, som en privat enhed er i besiddelse af, og som tilgås og anvendes på grundlag af en kontrakt mellem virksomheder.
I praksis
Ensidigt pålagte take-it-or-leave-it-vilkår kan, når de vedrører tilrådighedsstillelse af data, underkastes en urimelighedstest.
Dataforordningen opstiller en ikkeudtømmende liste over vilkår, der altid anses for at være urimelige (f.eks. som ville udelukke eller begrænse ansvaret for den part, der ensidigt pålagde vilkåret, for forsætlige handlinger eller grov uagtsomhed), og over vilkår, der formodes at være urimelige (f.eks. som uhensigtsmæssigt ville begrænse retsmidler i tilfælde af manglende opfyldelse af kontraktlige forpligtelser eller ansvar i tilfælde af misligholdelse af disse forpligtelser eller udvide ansvaret for den virksomhed, som vilkåret ensidigt er blevet pålagt). Hvis et vilkår anses for at være urimeligt, er det ikke længere gyldigt – om muligt udskilles det blot fra aftalen. Hvis det formodes at være urimeligt, kan den enhed, der pålagde vilkåret, forsøge at påvise, at vilkåret ikke er urimeligt.
Kapitel V: Datadeling mellem virksomheder og myndigheder
Hvorfor?
Data, som private enheder er i besiddelse af, kan være afgørende for, at en offentlig myndighed kan udføre en opgave af offentlig interesse. Kapitel V i dataforordningen giver offentlige myndigheder adgang til sådanne data på visse vilkår og betingelser, hvis der er et ekstraordinært behov herfor. Sidstnævnte henviser til en situation, der er uforudsigelig og tidsbegrænset, hvor de data, som en privat enhed er i besiddelse af, er nødvendige for udførelsen af opgaven af almen interesse, navnlig for at forbedre evidensbaseret beslutningstagning. Situationer med et ekstraordinært behov omfatter både offentlige nødsituationer (såsom større naturkatastrofer eller menneskeskabte katastrofer, pandemier og cybersikkerhedshændelser) og ikkenødsituationer (f.eks. kan aggregerede og anonymiserede data fra førernes GPS-systemer anvendes til at hjælpe med at optimere trafikstrømmene).
Dataforordningen vil sikre, at offentlige myndigheder har rettidig og pålidelig adgang til sådanne data, uden at virksomhederne pålægges en unødig administrativ byrde.
Typer af data inden for anvendelsesområdet
I henhold til kapitel V er alle data omfattet med fokus på andre data end personoplysninger.
I kapitel V i dataloven om datadeling mellem virksomheder og myndigheder skelnes der mellem to scenarier:
-
For at reagere på en offentlig nødsituation bør en offentlig myndighed anmode om andre data end personoplysninger. Hvis dette imidlertid ikke er tilstrækkeligt til at reagere på situationen, kan der anmodes om personoplysninger. Disse data bør så vidt muligt anonymiseres af dataindehaveren.
-
I andre situationer end nødsituationer kan offentlige myndigheder kun anmode om andre data end personoplysninger.
Vigtige interessenter
De enheder, der har ret til at anmode om data, omfatter medlemsstaternes offentlige myndigheder samt visse EU-institutioner, -organer og -agenturer. Disse enheder kan også dele dataene med forskningsintensive og -finansierende organisationer på visse betingelser.
I forbindelse med anmodninger fra virksomheder til myndigheder er dataindehavere typisk private enheder, men kan også omfatte offentlige virksomheder.
I praksis
En offentlig myndighed kan på visse betingelser forpligte en dataindehaver til at stille visse data til rådighed uden unødig forsinkelse for at reagere på en offentlig nødsituation. Dataforordningen definerer en offentlig nødsituation, men dens eksistens bestemmes i henhold til nationale procedurer eller EU-procedurer eller -love.
I forbindelse med ekstraordinære behov, der ikke vedrører en offentlig nødsituation, kan en offentlig myndighed anmode om andre data end personoplysninger for at udføre en specifik opgave, der er i offentlighedens interesse, og som er fastsat ved lov, hvis den offentlige myndighed kan bevise, at den ikke har været i stand til at få adgang til dataene på anden vis.
I begge tilfælde (nødsituationer og ikke-nødsituationer) skal anmodninger overholde en række strenge principper og betingelser. For eksempel skal anmodninger være specifikke, gennemsigtige og forholdsmæssige, forretningshemmeligheder skal beskyttes, og dataene skal slettes, når de ikke længere er nødvendige.
Nedenstående tabel opsummerer, hvad virksomheder kan anmode om for at levere data til en offentlig myndighed i denne forbindelse.
Kompensation for at stille data til rådighed i henhold til dataforordningens kapitel V
| Andre virksomheder end mikrovirksomheder og små virksomheder kan anmode om: | Mikrovirksomheder og små virksomheder kan anmode om: | |
| Offentlig nødsituation | Virksomheder kan anmode om, at deres databidrag anerkendes og anerkendes offentligt af den modtagende offentlige myndighed | Rimelig godtgørelse, der ikke overstiger de tekniske og organisatoriske omkostninger + offentlig bekræftelse efter anmodning |
| Ikke-nødsituation | Rimelige vederlag, der ikke overstiger de tekniske og organisatoriske omkostninger (undtagen til udarbejdelse af officielle statistikker) | Ikke relevant (undtaget fra forpligtelsen til at levere data) |
For at minimere byrden for virksomhederne kan de samme data ikke kræves mere end én gang ("engangsprincippet") af mere end én offentlig myndighed. Derfor skal alle anmodninger gøres offentligt tilgængelige af datakoordinatoren (medmindre der er sikkerhedsmæssige betænkeligheder).
Kapitel VI: Skift mellem databehandlingstjenester
Hvorfor?
For at sikre et konkurrencedygtigt marked i EU bør kunder af databehandlingstjenester (herunder cloud- og edgetjenester) kunne skifte problemfrit fra én udbyder til en anden. Kunderne står imidlertid i øjeblikket over for en række hindringer, herunder høje gebyrer i forbindelse med f.eks. dataudgang, langvarige procedurer og manglende interoperabilitet mellem udbydere, som kan resultere i tab af data og applikationer.
Dataforordningen vil gøre det muligt at skifte frit, hurtigt og flydende. Dette vil gavne kunder, der frit kan vælge de tjenester, der bedst opfylder deres behov, samt udbydere, der vil drage fordel af en større pulje af kunder.
Anvendelsesområde
Dataforordningens kapitel VI finder anvendelse på udbydere af databehandlingstjenester (dvs. digitale tjenester, der muliggør allestedsnærværende og on demand-netværksadgang såsom netværk, servere eller anden virtuel eller fysisk infrastruktur og software). Data, der er afgørende for skift, omfatter input- og outputdata, herunder metadata, der er genereret ved kundens brug af tjenesten, bortset fra data, der er beskyttet af intellektuelle ejendomsrettigheder eller udgør en forretningshemmelighed for tjenesteudbyderen.
I praksis
For at overvinde magtubalancen mellem udbydere og kunder på cloudmarkedet fastsætter dataforordningen minimumskrav til indholdet af cloudkontrakter. Navnlig vil kunder fra den private og den offentlige sektor drage fordel af langt større kontraktgennemsigtighed.
Dataforordningen indeholder foranstaltninger, der skal sikre, at kunder hurtigt og gnidningsløst kan skifte fra én udbyder af databehandlingstjenester ("kildeudbyder") til en anden ("destinationsudbyder") uden at miste data eller applikationernes funktionalitet. For eksempel skal udbydere af Platform og Software som en Tjeneste stille åbne grænseflader til rådighed og som minimum eksportere data i et almindeligt anvendt og maskinlæsbart format. Udbydere af infrastruktur som en tjeneste skal træffe foranstaltninger for at gøre det lettere for en kunde, der skifter til en tjeneste af samme type, at opnå materielt sammenlignelige resultater som reaktion på det samme input for funktioner, som begge tjenester har til fælles ("funktionel ækvivalens"). Som et eksempel på en sådan foranstaltning kan kildeudbyderen være nødt til at bruge værktøjer til at flytte computerarbejdsbelastninger fra en virtualiseringsteknologi til en anden.
Alle udbydere er forpligtet til at fjerne hindringer, som deres kunder kan stå over for, når de ønsker at skifte til en anden udbyder eller bruge flere tjenester på samme tid.
Dataforordningen vil også helt fjerne skiftegebyrer, herunder gebyrer for dataudgang (dvs. gebyrer for datatransit), fra den 12. januar 2027. Det betyder, at udbyderne ikke vil være i stand til at opkræve betaling fra deres kunder for de aktiviteter, der er nødvendige for at lette skift eller dataudgang. Som en overgangsforanstaltning i de første tre år efter dataforordningens ikrafttræden (fra den 11. januar 2024 til den 12. januar 2027) kan udbydere dog stadig opkræve gebyrer fra deres kunder for de omkostninger, der påløber i forbindelse med skift og dataudgang.
Kapitel VII: Ulovlig adgang for tredjelandes myndigheder
Hvorfor?
Nogle gange har en afgørelse eller dom afsagt af et land uden for EU ("tredjeland") til formål at give regeringen adgang til og mulighed for at overføre andre data end personoplysninger, der behandles og lagres i EU. I visse tilfælde kan det imidlertid faktisk være ulovligt at give adgang til eller overføre sådanne oplysninger, navnlig hvis anmodningen er i strid med EU-lovgivningen og garantierne for beskyttelse af fysiske personers grundlæggende rettigheder, nationale sikkerhedsinteresser eller kommercielt følsomme oplysninger.
Dataforordningen følger forordningen om datastyring med hensyn til de bestemmelser, der har til formål at forhindre ulovlig statslig adgang fra tredjelande og overførsel af andre data end personoplysninger, der opbevares i EU. Sådanne bestemmelser har ingen indvirkning på regelmæssig udveksling af data mellem virksomheder. De øger gennemsigtigheden og retssikkerheden med hensyn til den proces og de betingelser, hvorunder andre data end personoplysninger kan tilgås af eller overføres til offentlige organer uden for EU.
Typer af data, der er omfattet af anvendelsesområdet
Alle andre data end personoplysninger, som en udbyder af en databehandlingstjeneste er i besiddelse af i EU.
I praksis
Dataforordningen forbyder ikke grænseoverskridende datastrømme, men sikrer, at den beskyttelse, der ydes data i EU, rejser med data, der overføres uden for EU.
I denne forbindelse fastsætter dataforordningen regler og garantier for anmodninger om adgang fra en udenlandsk offentlig myndighed til andre data end personoplysninger, der er lagret i Unionen. Lovligt internationalt samarbejde i forbindelse med retshåndhævelse berøres ikke af disse bestemmelser.
Hvis der ikke findes nogen international aftale, der regulerer en tredjelandsregerings adgang til andre data end personoplysninger, der befinder sig i EU, kan oplysningerne kun overføres eller tilgås på særlige betingelser. Disse betingelser henviser til visse garantier for beskyttelse af europæiske rettigheder, som tredjelandets retssystem skal opfylde, herunder et krav om at angive årsagerne hertil og vurdere proportionaliteten i afgørelsen. Udbyderen af databehandlingstjenester, der er omfattet af en sådan afgørelse, kan kontakte det relevante nationale organ for at hjælpe med at vurdere, om betingelserne i dataforordningen er opfyldt. For at hjælpe med at vurdere, om disse betingelser er opfyldt, vil Europa-Kommissionen udarbejde retningslinjer sammen med Det Europæiske Datainnovationsråd (en ekspertgruppe, der er nedsat i henhold til forordningen om datastyring for at lette udvekslingen af bedste praksis og prioritere tværsektorielle interoperabilitetsstandarder).
Udbydere af databehandlingstjenester bør træffe alle rimelige foranstaltninger (f.eks. kryptering, revisioner, overholdelse af certificeringsordninger) for at forhindre adgang til de systemer, hvor de lagrer andre data end personoplysninger. Disse foranstaltninger bør offentliggøres på deres websteder. Desuden bør de så vidt muligt informere deres kunder, inden de giver adgang til deres data.
Kapitel VIII: Interoperabilitet
Hvorfor?
Standarder og interoperabilitet er afgørende for at sikre, at data fra forskellige kilder kan anvendes inden for og mellem fælles europæiske dataområder til at fremme forskning og udvikle nye produkter eller tjenester. Med henblik herpå fastsætter dataforordningen visse væsentlige krav, som deltagere i dataområder skal overholde, og som Europa-Kommissionen kan præcisere yderligere ved hjælp af delegerede retsakter.
Det har også til formål at sikre interoperabilitet mellem databehandlingstjenester, Dette er afgørende, hvis kunderne skal have lettere ved at skifte leverandør.
Vigtige interessenter
Dette kapitel er rettet mod deltagere i dataområder, der tilbyder data eller databaserede tjenester til andre deltagere, og som letter eller deltager i datadeling inden for dataområderne.
Det henvender sig også til leverandører af intelligente kontrakter samt udbydere af databehandlingstjenester.
I praksis
Deltagere i dataområder bør opfylde flere væsentlige krav for at gøre det muligt for data at flyde inden for og mellem dataområder. F.eks. bør en beskrivelse af datastrukturer, dataformater og ordlister, hvor sådanne foreligger, være offentligt tilgængelig. Desuden bør der sikres midler til at sikre datadelingsaftalers interoperabilitet, f.eks. intelligente kontrakter.
Dataforordningen baner også vejen for øget interoperabilitet mellem databehandlingstjenester gennem harmoniserede standarder og åbne interoperabilitetsspecifikationer.
Desuden fastsættes der krav til leverandører af intelligente kontrakter om automatiseret gennemførelse af datadelingsaftaler, f.eks. for at sikre, at de korrekt gennemfører bestemmelserne i datadelingsaftalen og modstår manipulation fra tredjeparters side.
Kommissionen vil vurdere hindringerne for interoperabilitet og prioritere standardiseringsbehovene, på grundlag af hvilke den kan anmode de(n) europæiske standardiseringsorganisation(er) om at udarbejde harmoniserede standarder, der opfylder ovennævnte krav.
Hvis anmodningen ikke fører til en harmoniseret standard, eller hvis standarden er utilstrækkelig til at sikre overensstemmelse med dataforordningen, kan Kommissionen vedtage fælles specifikationer som en alternativ løsning. Disse bør udvikles på en åben og inklusiv måde under hensyntagen til feedback fra Det Europæiske Datainnovationsråd.
Kapitel IX: Håndhævelse og overordnede bestemmelser
Medlemsstaterne udpeger en eller flere (nye eller eksisterende) kompetente myndigheder for at sikre en effektiv gennemførelse af dataforordningen. Når der er flere kompetente myndigheder, skal medlemsstaterne udpege en af dem som "datakoordinator". Datakoordinatoren vil fungere som en "one-stop-shop" for alle spørgsmål vedrørende gennemførelsen af dataforordningen på nationalt plan og lette anvendelsen for både virksomheder og offentlige myndigheder. Hvis en virksomhed f.eks. søger erstatning for krænkelse af deres rettigheder i henhold til dataforordningen, bør datakoordinatoren (efter anmodning) give alle de nødvendige oplysninger for at hjælpe dem med at indgive deres klage til den relevante kompetente myndighed. Datakoordinatoren vil også lette samarbejdet i grænseoverskridende situationer, f.eks. når en kompetent myndighed fra en given medlemsstat ikke ved, hvilken myndighed den skal henvende sig til i datakoordinatorens medlemsstat.
Kommissionen vil føre et offentligt register over kompetente myndigheder og datakoordinatorer.
Det Europæiske Datainnovationsråd vil lette drøftelserne mellem de kompetente myndigheder, f.eks. for at koordinere og vedtage henstillinger om fastsættelse af sanktioner for overtrædelser af dataforordningen. Sanktioner fastsættes af de kompetente myndigheder, og i henhold til dataforordningen bør der være sanktioner, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning.
Medlemsstaterne kan, hvis de ønsker det, oprette certificerede tvistbilæggelsesorganer til at bistå parter, der ikke kan nå til enighed om fair, rimelige og ikkediskriminerende vilkår for at stille data til rådighed. Parterne kan frit henvende sig til ethvert tvistbilæggelsesorgan – enten i den medlemsstat, hvor de er etableret, eller i en anden medlemsstat.
Certificerede tvistbilæggelsesmekanismer og specialiserede kompetente myndigheder vil gøre det lettere for virksomheder, navnlig små virksomheder, at håndhæve deres rettigheder i henhold til dataforordningen, da de tilbyder en enkel, hurtig og billig løsning til de involverede parter.
Støtte til gennemførelsen af dataforordningen
Dataforordningen har fundet anvendelse siden den 12. september 2025. For at hjælpe virksomhederne med at navigere i disse nye regler har Kommissionen offentliggjort:
- Ofte stillede spørgsmål (FAQ) om dataforordningen
- Udkast til henstilling om ikkebindende standardkontraktvilkår for dataadgang og -anvendelse og ikkebindende standardkontraktbestemmelser for cloud computing-kontrakter
- Vejledning om køretøjsdata, der ledsager dataforordningen
I fremtiden vil Kommissionen offentliggøre en vejledning om rimelig kompensation for obligatorisk datadeling mellem virksomheder inden for rammerne af kapitel III i dataforordningen.
På grundlag af det vejledningsmateriale, der allerede er offentliggjort, tilbyder den lancerede juridiske helpdesk for dataforordningen interessenter konkret vejledning om juridiske spørgsmål i forbindelse med dataforordningen.
I den digitale omnibus foreslår Kommissionen specifikke ændringer af dataforordningen for at yde øjeblikkelig hjælp til både virksomheder, offentlige forvaltninger og borgere og for at stimulere konkurrenceevnen.
Senest tre år efter dens ikrafttræden vil Kommissionen foretage en evaluering af virkningen af dataforordningen. På dette grundlag kan Kommissionen om nødvendigt foreslå en ændring af loven.
Juridisk meddelelse
Dette dokument bør ikke betragtes som repræsentativt for Europa-Kommissionens officielle holdning.