En omfattende oversigt over dataloven, herunder dens målsætninger, og hvordan den fungerer i praksis.
Hvorfor dataloven?
Dataforordningen er en lov, der har til formål at styrke EU's dataøkonomi og fremme et konkurrencedygtigt datamarked ved at gøre data (navnlig industrielle data) mere tilgængelige og anvendelige, hvilket tilskynder til datadreven innovation og øger datatilgængeligheden. For at opnå dette sikrer dataloven en retfærdig fordeling af værdien af data mellem aktørerne i dataøkonomien. Det præciseres, hvem der kan bruge hvilke data og på hvilke betingelser.
I de senere år har der været en hurtig vækst i tilgængeligheden af internetforbundne produkter ("forbundne produkter") på det europæiske marked. Disse produkter, der tilsammen udgør et netværk kendt som tingenes internet (IoT), øger mængden af data, der er tilgængelige til genbrug i EU, betydeligt. Dette udgør et enormt potentiale for innovation og konkurrenceevne i EU.
Dataloven giver brugere af forbundne produkter (virksomheder eller enkeltpersoner, der ejer, leaser eller lejer et sådant produkt) større kontrol over de data, de genererer, samtidig med at der opretholdes incitamenter for dem, der investerer i datateknologier. Desuden fastsætter den generelle betingelser for situationer, hvor en virksomhed har en retlig forpligtelse til at dele data med en anden virksomhed.
Dataloven indeholder også foranstaltninger til at øge retfærdigheden og konkurrencen på det europæiske cloudmarked samt til at beskytte virksomheder mod urimelige kontraktvilkår i forbindelse med datadeling, der pålægges af stærkere aktører. Den indfører også en mekanisme, hvorigennem offentlige myndigheder kan anmode om data fra en virksomhed, hvor der er et ekstraordinært behov, f.eks. i offentlige nødsituationer, og fastsætter klare regler for, hvordan sådanne anmodninger skal fremsættes. Desuden indføres der beskyttelsesforanstaltninger for at undgå, at statslige organer fra tredjelande kan få adgang til andre data end personoplysninger, hvis dette ville være i strid med EU-retten eller national ret. Endelig fastsætter dataforordningen væsentlige krav til interoperabilitet for at sikre, at data kan flyde problemfrit mellem sektorer og medlemsstater, hvilket fremmes af fælles europæiske dataområder, samt mellem udbydere af databehandlingstjenester.
Dataloven blev offentliggjort i Den Europæiske Unions Tidende den 22. december 2023 og træder i kraft den 12. september 2025.
Dataforordningen supplerer datastyringsforordningen, som er den første del af den europæiske datastrategi. Datastyringsloven trådte i kraft i september 2023. Selv om datastyringsloven øger tilliden til frivillige datadelingsmekanismer, giver dataloven juridisk klarhed med hensyn til adgang til og anvendelse af data.
Sammen med andre politiske foranstaltninger og finansieringsmuligheder vil disse to forordninger bidrage til oprettelsen af et indre marked for data i EU og gøre Europa førende inden for dataøkonomien ved at udnytte potentialet i de stadigt stigende datamængder, navnlig industridata, til gavn for den europæiske økonomi og det europæiske samfund.
Behandlede spørgsmål
I overensstemmelse med de generelle bestemmelser (kapitel I), der fastsætter forordningens anvendelsesområde og definerer centrale begreber, er dataloven inddelt i seks hovedkapitler:
Kapitel II om datadeling mellem virksomheder og mellem virksomheder og forbrugere i forbindelse med IoT: brugere af IoT-objekter kan få adgang til, bruge og portere data, som de samgenererer gennem deres brug af et forbundet produkt.
Kapitel III om datadeling mellem virksomheder: dette præciserer betingelserne for datadeling, hvor en virksomhed ved lov, herunder gennem dataloven, er forpligtet til at dele data med en anden virksomhed.
Kapitel IV om urimelige kontraktvilkår: disse bestemmelser beskytter alle virksomheder, navnlig SMV'er, mod urimelige kontraktvilkår, der pålægges dem.
Kapitel V om udveksling af data mellem virksomheder og myndigheder: offentlige myndigheder vil være i stand til at træffe mere evidensbaserede beslutninger i visse situationer med ekstraordinært behov gennem foranstaltninger til at få adgang til visse data, som den private sektor ligger inde med.
Kapitel VI om skift mellem databehandlingstjenester: udbydere af cloud- og edge computing-tjenester skal opfylde minimumskravene for at lette interoperabiliteten og muliggøre skift.
Kapitel VII om ulovlig tredjelandsregerings adgang til data: andre data end personoplysninger, der er lagret i EU, er beskyttet mod ulovlige anmodninger fra udenlandske regeringer om adgang.
Kapitel VIII om interoperabilitet: deltagere i dataområder skal opfylde kriterier, der gør det muligt for data at flyde inden for og mellem dataområder. Et EU-register vil fastsætte relevante standarder og specifikationer for cloudinteroperabilitet.
Kapitel IX om håndhævelse: Medlemsstaterne skal udpege en eller flere kompetente myndigheder til at overvåge og håndhæve dataforordningen. Hvis der udpeges mere end én myndighed, skal der udpeges en "datakoordinator" til at fungere som centralt kontaktpunkt på nationalt plan.
Kapitel II: Datadeling mellem virksomheder og mellem virksomheder og forbrugere i forbindelse med IoT-markedet
Hvorfor?
Et centralt mål med dataloven er at skabe retfærdighed i dataøkonomien og sætte brugerne i stand til at høste værdi af de data, de genererer ved hjælp af de forbundne produkter, som de ejer, lejer eller leaser.
Dataloven gør det muligt for brugere af forbundne produkter (f.eks. forbundne biler, medicinsk udstyr og fitnessudstyr, industri- eller landbrugsmaskiner) og relaterede tjenester (dvs. alt, der ville få et forbundet produkt til at opføre sig på en bestemt måde, f.eks. en app til at justere lysets lysstyrke eller regulere temperaturen i et køleskab) at få adgang til de data, de sammen skaber ved hjælp af de tilsluttede produkter/relaterede tjenester.
Tilgængeligheden af sådanne data vil i høj grad påvirke økonomien. Data, der genereres af forbundne produkter og relaterede tjenester, kan f.eks. bruges til at fremme eftermarkedet og accessoriske tjenester samt til at skabe helt nye tjenester til gavn for både virksomheder og forbrugere.
Eksempler på forbundne produkter: forbrugerprodukter (f.eks. forbundne biler, sundhedsovervågningsudstyr, smart home-udstyr), andre produkter (f.eks. fly, robotter, industrimaskiner).
Eksempel på en beslægtet tjeneste: en bruger køber en vaskemaskine og installerer en applikation, der giver dem mulighed for at måle miljøpåvirkningen af vaskecyklussen baseret på data fra de forskellige sensorer inde i maskinen og justerer cyklussen i overensstemmelse hermed. Denne ansøgning vil blive betragtet som en tilknyttet tjeneste.
Eksempler på eftermarkeds- og hjælpetjenester: reparation og vedligeholdelse, databaseret forsikring.
Typer af data i omfang
Kapitel II i dataloven om datadeling mellem virksomheder og mellem virksomheder og forbrugere finder anvendelse på alle rå og forbehandlede data, der genereres ved brug af et forbundet produkt eller en tilknyttet tjeneste, der er let tilgængelig for dataindehaveren ( f.eks. producent af et forbundet produkt/leverandør af en tilknyttet tjeneste), dvs. data, der er let tilgængelige uden en uforholdsmæssig indsats, og som går ud over en simpel operation. Dette gælder både personoplysninger og andre data, herunder relevante metadata.
Sådanne data omfatter data indsamlet fra en enkelt sensor eller en forbundet gruppe af sensorer, såsom temperatur, tryk, flowhastighed, lyd, pH-værdi, væskeniveau, position, acceleration eller hastighed.
Udledte eller afledte data og indhold (f.eks. højt berigede data og audiovisuelt materiale) er uden for anvendelsesområdet. Endvidere berører dataloven ikke lovene om beskyttelse af intellektuelle ejendomsrettigheder.
For eksempel, hvis en bruger ser en film på deres tilsluttede tv, er selve filmen ikke inden for rækkevidde, men data om skærmens lysstyrke er inden for rækkevidde.
I praksis
Datalovens kapitel II giver brugere (dvs. enhver juridisk eller fysisk person, der ejer, lejer eller leaser et forbundet produkt) adgang til de data, de genererer gennem deres brug af det forbundne produkt eller den tilknyttede tjeneste. Hvis brugeren ønsker at dele disse data med en anden enhed eller en anden person ("tredjepart"), kan de enten gøre det direkte, eller de kan anmode dataindehaveren om at dele dem med en tredjepart efter eget valg (undtagen gatekeepere i henhold til retsakten om digitale markeder). Dataindehaveren er typisk den virksomhed, der fremstiller det tilsluttede produkt, eller som leverer en relateret tjeneste. En dataindehaver skal have en kontrakt med brugeren (f.eks. købskontrakt, lejekontrakt, relateret servicekontrakt osv.), der definerer rettighederne vedrørende adgang, brug og deling af de data, der genereres af det forbundne produkt eller den tilknyttede tjeneste. Det er vigtigt at bemærke, at dataindehaveren ikke kan bruge andre data end personoplysninger, der genereres af produktet uden brugerens samtykke.
Som eksempel og under hensyntagen til, at den relevante kontrakt fastlægger de nøjagtige roller:
-
En virksomhed driver en bulldozer: dataindehaveren ville typisk være bulldozerproducenten, og brugeren ville være den virksomhed, der driver bulldozeren.
-
Hvis nogen køber et tilsluttet køleskab og downloader en app, der hjælper dem med at regulere den optimale temperatur for indholdet af køleskabet, vil der potentielt være to dataindehavere, nemlig den enhed, der markedsførte køleskabet, og den enhed, der tilbyder den relaterede tjeneste (appen), og kun den ene bruger (ejeren af køleskabet).
Dataloven indeholder flere mekanismer, der skal gøre det lettere for brugerne at gøre brug af disse bestemmelser: dataindehavere skal give brugeren oplysninger om, hvilken type data de vil generere, når de bruger det tilsluttede produkt eller den tilknyttede tjeneste (herunder volumen, indsamlingshyppighed osv.) brugerne bør kunne anmode om adgang til dataene gennem en simpel proces, og dataindehavere skal stille dataene gratis til rådighed for brugerne.
Begrænsninger i anvendelsen af dataene
For ikke at afskrække virksomhederne fra at investere i datagenererende produkter, kan de indsamlede data ikke bruges til at udvikle et konkurrerende forbundet produkt. Dataloven forbyder ikke konkurrence inden for relaterede eller eftermarkedsrelaterede tjenester. Endvidere er der ingen forpligtelse i henhold til dataloven for en dataindehaver til at dele data med tredjeparter, der er etableret uden for EU.
Dataloven er i fuld overensstemmelse med databeskyttelsesreglerne, navnlig GDPR. Hvis brugeren ikke er den registrerede, hvis der anmodes om oplysninger, kan personoplysninger kun stilles til rådighed, hvis der er et gyldigt retsgrundlag (f.eks. samtykke). Dette er en vigtig overvejelse, da de samgenererede data ofte indeholder både personoplysninger og andre data, som kan være vanskelige at adskille.
Det tilskynder til udvikling af forbundne produkter og tjenester baseret på nye datastrømme, som er af særlig værdi for mindre virksomheder. Desuden er mikrovirksomheder og små virksomheder som producenter eller leverandører af relaterede tjenester ikke underlagt de samme forpligtelser som større virksomheder.
For at beskytte forretningshemmeligheder uden at underminere datalovens mål om at stille flere data til rådighed kan dataindehaveren og brugeren/tredjeparten aftale visse foranstaltninger for at bevare forretningshemmelighedens fortrolighed. Hvis disse foranstaltninger ikke overholdes, kan dataindehaveren tilbageholde eller suspendere datadelingen. Dataindehaveren kan kun nægte at dele data, hvis han kan påvise, at den med stor sandsynlighed vil lide alvorlig økonomisk skade som følge af videregivelsen af forretningshemmeligheder.
Dataindehaveren og brugeren kan indvillige i at begrænse datadelingen, hvis der er risiko for, at sikkerhedskravene til det tilsluttede produkt kan blive undermineret, hvilket kan have alvorlige negative virkninger for menneskers sundhed, sikkerhed eller sikkerhed. Sådanne krav skal være fastsat i EU-retten eller national ret.
Hvis dataindehaveren suspenderer, tilbageholder eller nægter at dele oplysninger på grund af beskyttelse af forretningshemmeligheder eller sikkerhedskrav, skal denne underrette den nationale kompetente myndighed. Brugerne kan anfægte en sådan afgørelse, enten ved den kompetente domstol eller domstol i en medlemsstat, via en klage til den kompetente myndighed eller efter aftale med dataindehaveren ved et tvistbilæggelsesorgan.
Kapitel III: Regler om obligatorisk datadeling mellem virksomheder
Hvorfor?
Dataloven indfører regler for situationer, hvor en virksomhed ("dataindehaver") har en retlig forpligtelse i henhold til EU-retten eller national ret til at stille data til rådighed for en anden virksomhed ("datamodtager"), herunder i forbindelse med IoT-data. Navnlig skal vilkårene og betingelserne for datadeling være retfærdige, rimelige og ikke-diskriminerende.
Som et incitament til datadeling kan dataindehavere, der er forpligtede til at dele data, anmode datamodtageren om "rimelig kompensation".
Typer af data i omfang
Datalovens kapitel III finder anvendelse på alle oplysninger (både personlige og ikke-personlige), som en virksomhed ligger inde med, herunder situationer, der er omfattet af datalovens kapitel II.
I praksis
Dataindehavere kan anmode om rimelig kompensation for at stille dataene til rådighed for en datamodtager. Dette kan omfatte omkostninger til at stille dataene til rådighed samt tekniske omkostninger i forbindelse med formidling og lagring. Mikrovirksomheder, SMV'er og nonprofitforskningsorganisationer kan dog ikke opkræves mere end de omkostninger, der er forbundet med at stille dataene til rådighed.
For at beskytte dataindehavere indeholder dataloven en ikke-udtømmende liste over foranstaltninger til at afhjælpe situationer, hvor en tredjepart eller bruger ulovligt har tilgået eller brugt data. En dataindehaver kan f.eks. kræve, at en krænkende part holder op med at producere det pågældende produkt eller destruerer de data, som vedkommende ulovligt har indhentet, eller at vedkommende kan søge erstatning.
Eventuelle datadelingsforpligtelser, der går forud for dataloven, berøres ikke. Forpligtelser i fremtidig (sektorspecifik) lovgivning bør bringes i overensstemmelse med bestemmelserne i datalovens kapitel III.
Kapitel IV: Urimelige kontraktvilkår
Hvorfor?
Aftalefrihed er afgørende for relationer mellem virksomheder. Dataloven har imidlertid til formål at beskytte alle europæiske virksomheder, der ønsker at erhverve data, navnlig SMV'er, mod urimelige kontraktvilkår gennem dens foranstaltninger til at gribe ind i situationer, hvor en af virksomhederne f.eks. er i en stærkere forhandlingsposition (f.eks. på grund af dens markedsstørrelse) og pålægger et vilkår, der ikke kan forhandles ("take-it-or-leave-it"), vedrørende dataadgang og -anvendelse på den anden side.
Typer af data i omfang
Disse regler omfatter alle data, både personlige og ikke-personlige, som opbevares af en privat enhed, der tilgås og anvendes på grundlag af en kontrakt mellem virksomheder.
I praksis
Ensidigt pålagt take-it-eller-leave-it-vilkår kan, hvis de vedrører tilrådighedsstillelse af data, underkastes en urimelighedstest.
Dataloven opstiller en ikke-udtømmende liste over vilkår, der altid anses for at være urimelige (f.eks. som ville udelukke eller begrænse det ansvar, som den part, der ensidigt pålagde vilkåret for forsætlige handlinger eller grov uagtsomhed), og vilkår, der formodes at være urimelige (f.eks. ville begrænse retsmidler i tilfælde af manglende opfyldelse af kontraktlige forpligtelser eller ansvar i tilfælde af misligholdelse af disse forpligtelser eller udvide ansvaret for den virksomhed, som vilkåret er blevet ensidigt pålagt). Hvis et vilkår anses for at være urimeligt, er det ikke længere gyldigt — hvor det er muligt, er det simpelthen adskilt fra kontakten. Hvis det formodes at være urimeligt, kan den enhed, der har pålagt vilkåret, forsøge at påvise, at vilkåret ikke er urimeligt.
Kapitel V: Datadeling mellem virksomheder og myndigheder
Hvorfor?
Data, som private enheder er i besiddelse af, kan være afgørende for, at en offentlig myndighed kan påtage sig en opgave af offentlig interesse. Datalovens kapitel V giver offentlige myndigheder mulighed for at få adgang til sådanne data på visse vilkår og betingelser, hvor der er et ekstraordinært behov. Sidstnævnte henviser til en situation, der er uforudsigelig og tidsbegrænset, hvor de data, som en privat enhed ligger inde med, er nødvendige for udførelsen af opgaverne i offentlighedens interesse, navnlig for at forbedre evidensbaseret beslutningstagning. Situationer med ekstraordinært behov omfatter både offentlige nødsituationer (såsom større naturkatastrofer eller menneskeskabte katastrofer, pandemier og cybersikkerhedshændelser) og ikke-nødsituationer (f.eks. kan aggregerede og anonymiserede data fra chaufførernes GPS-systemer anvendes til at optimere trafikstrømmene).
Dataloven vil sikre, at offentlige myndigheder har adgang til sådanne data på en rettidig og pålidelig måde uden at pålægge virksomhederne en unødig administrativ byrde.
Typer af data inden for anvendelsesområdet
Under kapitel V er alle data omfattet af anvendelsesområdet med fokus på andre data end personoplysninger.
I kapitel V i dataloven om datadeling mellem virksomheder og myndigheder skelnes der mellem to scenarier:
-
For at kunne reagere på en offentlig nødsituation bør en offentlig myndighed anmode om andre data end personoplysninger. Hvis dette er utilstrækkeligt til at reagere på situationen, kan der dog anmodes om personoplysninger. Disse data bør så vidt muligt anonymiseres af dataindehaveren.
-
I ikke-nødsituationer må offentlige myndigheder kun anmode om andre data end personoplysninger.
Nøgleinteressenter
De enheder, der har ret til at anmode om data, omfatter medlemsstaternes offentlige myndigheder samt visse EU-institutioner, -organer og -agenturer. Disse enheder kan også dele dataene med forskningsintensive organisationer og finansieringsorganisationer på visse betingelser.
I forbindelse med anmodninger mellem virksomheder og myndigheder er dataindehavere typisk private enheder, men kan også omfatte offentlige virksomheder.
I praksis
En offentlig myndighed kan på visse betingelser forpligte en dataindehaver til at stille visse data til rådighed uden unødig forsinkelse for at reagere på en offentlig nødsituation. Dataloven definerer en offentlig nødsituation. men dens eksistens bestemmes i henhold til nationale eller EU-procedurer eller love.
I forbindelse med ekstraordinære behov, der ikke er relateret til en offentlig nødsituation, kan en offentlig myndighed anmode om andre data end personoplysninger for at udføre en specifik opgave, der er i offentlighedens interesse, og som er fastsat ved lov, hvis den offentlige myndighed kan bevise, at den ikke har været i stand til at få adgang til dataene på anden måde.
I begge tilfælde (nød og ikke-nødsituation) skal anmodninger overholde en række strenge principper og betingelser. Anmodninger skal f.eks. være specifikke, gennemsigtige og forholdsmæssige, forretningshemmeligheder skal beskyttes, og oplysningerne skal slettes, når de ikke længere er nødvendige.
Nedenstående tabel viser, hvad virksomheder kan anmode om at levere data til en offentlig myndighed i denne forbindelse.
Kompensation for tilrådighedsstillelse af data i henhold til datalovens kapitel V
| Andre virksomheder end mikrovirksomheder og små virksomheder kan anmode om: | Mikrovirksomheder og små virksomheder kan bede om: | |
| Offentlig nødsituation | Virksomheder kan anmode om, at deres databidrag anerkendes og anerkendes offentligt af det modtagende offentlige organ | Rimeligt vederlag, der ikke overstiger de tekniske og organisatoriske omkostninger + offentlig anerkendelse, efter anmodning |
| Ikke-nødsituation | Rimeligt vederlag, der ikke overstiger de tekniske og organisatoriske omkostninger (bortset fra udarbejdelse af officielle statistikker) | Ikke relevant (undtaget forpligtelsen til at levere data) |
For at minimere byrden for virksomhederne kan mere end ét offentligt organ ikke anmode om de samme data mere end én gang ("engangsprincippet"). Derfor skal alle anmodninger gøres offentligt tilgængelige af datakoordinatoren (medmindre der er et sikkerhedsproblem).
Kapitel VI: Skift mellem databehandlingstjenester
Hvorfor?
For at sikre et konkurrencedygtigt marked i EU bør kunder af databehandlingstjenester (herunder cloud- og edgetjenester) kunne skifte problemfrit fra en udbyder til en anden. Kunderne står imidlertid i øjeblikket over for en række hindringer, herunder høje gebyrer i forbindelse med f.eks. dataudgang, langvarige procedurer og manglende interoperabilitet mellem udbyderne, som kan resultere i tab af data og applikationer.
Dataloven vil gøre skiftet frit, hurtigt og flydende. Dette vil gavne kunder, der frit kan vælge de tjenester, der bedst opfylder deres behov, samt udbydere, der vil drage fordel af en større pulje af kunder.
Omfang
Datalovens kapitel VI finder anvendelse på udbydere af databehandlingstjenester (dvs. digitale tjenester, der muliggør allestedsnærværende og on demand-netadgang, såsom netværk, servere eller anden virtuel eller fysisk infrastruktur og software). Data, der er afgørende for skift, omfatter input- og outputdata, herunder metadata, der genereres af kundens brug af tjenesten, bortset fra data, der er beskyttet af intellektuelle ejendomsrettigheder, eller som udgør en forretningshemmelighed for tjenesteudbyderen.
I praksis
For at overvinde magtbalancen mellem udbydere og kunder på cloudmarkedet fastsætter dataloven minimumskrav til indholdet af cloud-kontrakter. Navnlig vil kunder fra den private og offentlige sektor drage fordel af langt større kontraktgennemsigtighed.
Dataloven indeholder foranstaltninger, der skal sikre, at kunderne hurtigt og gnidningsløst kan skifte fra én udbyder af databehandlingstjenester ("kildeudbyder") til en anden ("destinationsudbyder") og uden at miste data eller applikationers funktionalitet. For eksempel skal udbydere af platform og software som en tjeneste stille åbne grænseflader til rådighed og som minimum eksportere data i et almindeligt anvendt og maskinlæsbart format. Udbydere af infrastruktur som en tjeneste skal træffe foranstaltninger til at lette, at kunden, når en kunde skifter til en tjeneste af samme type, får væsentligt sammenlignelige resultater som reaktion på det samme input for funktioner, som begge tjenester deler ("funktionel ækvivalens"). Som et eksempel på en sådan foranstaltning kan kildeudbyderen være nødt til at bruge værktøjer til at flytte databehandlingsarbejdsbyrder fra én virtualiseringsteknologi til en anden.
Alle udbydere er forpligtet til at fjerne hindringer, som deres kunder måtte stå over for, når de ønsker at skifte til en anden udbyder eller bruge flere tjenester på samme tid.
Dataloven vil også helt fjerne gebyrer for skift af data, herunder gebyrer for dataudgang (dvs. gebyrer for dataoverførsel), fra den 12. januar 2027. Det betyder, at udbyderne ikke vil være i stand til at opkræve deres kunder for de operationer, der er nødvendige for at lette skift eller for dataudgang. Som en overgangsforanstaltning i de første tre år efter datalovens ikrafttræden (fra den 11. januar 2024 til den 12. januar 2027) kan udbyderne dog stadig opkræve betaling af deres kunder for omkostningerne i forbindelse med skift og dataudgang.
Kapitel VII: Ulovlig tredjelandsregerings adgang
Hvorfor?
Nogle gange har en afgørelse eller en dom truffet af et land uden for EU ("tredjeland") til formål at give regeringen adgang til og overførsel af andre data end personoplysninger, der behandles og lagres i EU. I visse tilfælde kan det imidlertid faktisk være ulovligt at give adgang til eller overføre sådanne oplysninger, navnlig hvis anmodningen er i strid med EU-lovgivningen og garantier vedrørende beskyttelse af fysiske personers grundlæggende rettigheder, nationale sikkerhedsinteresser eller kommercielt følsomme oplysninger.
Dataloven følger datastyringsloven med hensyn til de bestemmelser, der har til formål at forhindre ulovlig statslig adgang fra tredjelande og overførsel af andre data end personoplysninger, der opbevares i EU. Sådanne bestemmelser har ingen indvirkning på den regelmæssige udveksling af data mellem virksomheder. De øger gennemsigtigheden og retssikkerheden med hensyn til den proces og de betingelser, hvorunder andre data end personoplysninger kan tilgås eller overføres til offentlige organer uden for EU.
Typer af data i omfang
Alle andre data end personoplysninger, der opbevares i EU af en udbyder af en databehandlingstjeneste.
I praksis
Dataloven forbyder ikke grænseoverskridende datastrømme, men sikrer, at beskyttelsen af data i EU rejser med data, der overføres uden for EU.
I denne forbindelse fastsætter dataloven regler og garantier for anmodninger om adgang fra en udenlandsk offentlig myndighed til andre data end personoplysninger, der opbevares i Unionen. Legitimt internationalt samarbejde i forbindelse med retshåndhævelse berøres ikke af disse bestemmelser.
Hvis der ikke er nogen international aftale, der regulerer et tredjelands regerings adgang til andre data end personoplysninger, der befinder sig i EU, kan oplysningerne kun overføres eller tilgås på særlige betingelser. Disse betingelser henviser til visse garantier, der sikrer europæiske rettigheder, som tredjelandets retssystem skal opfylde, herunder et krav om at angive begrundelsen og vurdere proportionaliteten i afgørelsen. Udbyderen af databehandlingstjenester, der er omfattet af en sådan afgørelse, kan kontakte det relevante nationale organ for at hjælpe med at vurdere, om betingelserne i dataloven er opfyldt. For at hjælpe med at vurdere, om disse betingelser er opfyldt, vil Europa-Kommissionen sammen med Det Europæiske Datainnovationsråd (en ekspertgruppe nedsat i henhold til forordningen om datastyring) udarbejde retningslinjer for at lette udvekslingen af bedste praksis og prioritere tværsektorielle interoperabilitetsstandarder.
Udbydere af databehandlingstjenester bør træffe alle rimelige foranstaltninger (f.eks. kryptering, audit, overholdelse af certificeringsordninger) for at forhindre adgang til de systemer, hvor de lagrer andre data end personoplysninger. Disse foranstaltninger bør offentliggøres på deres websteder. Desuden bør de så vidt muligt informere deres kunder, inden de giver adgang til deres data.
Kapitel VIII: Interoperabilitet
Hvorfor?
Standarder og interoperabilitet er afgørende for at sikre, at data fra forskellige kilder kan anvendes inden for og mellem fælles europæiske dataområder for at fremme forskning og udvikle nye produkter eller tjenester. Med henblik herpå fastsætter dataloven nogle væsentlige krav, som deltagerne i dataområder skal overholde, og som Europa-Kommissionen kan præcisere yderligere ved hjælp af delegerede retsakter.
Det har også til formål at sikre interoperabilitet mellem databehandlingstjenester; dette er vigtigt, hvis kunderne skal have gavn af lettere skift.
Nøgleinteressenter
Dette kapitel er rettet mod deltagere i dataområder, der tilbyder data eller databaserede tjenester til andre deltagere, og som letter eller deltager i datadeling inden for dataområderne.
Det henvender sig også til leverandører af smarte kontrakter samt udbydere af databehandlingstjenester.
I praksis
Datarumsdeltagere bør opfylde flere væsentlige krav for at gøre det muligt for data at flyde inden for og mellem dataområder. En beskrivelse af datastrukturerne, dataformaterne og ordforrådene, hvor sådanne foreligger, bør f.eks. være offentligt tilgængelige. Desuden bør der sikres midler til at sikre interoperabilitet mellem datadelingsaftaler, såsom intelligente kontrakter.
Dataforordningen baner også vejen for at øge interoperabiliteten mellem databehandlingstjenester gennem harmoniserede standarder og åbne interoperabilitetsspecifikationer.
Desuden fastsættes der krav til leverandører af intelligente kontrakter om automatisk gennemførelse af datadelingsaftaler, f.eks. for at sikre, at de gennemfører bestemmelserne i datadelingsaftalen korrekt og kan modstå manipulation fra tredjeparters side.
Kommissionen vil vurdere hindringer for interoperabilitet og prioritere standardiseringsbehov, på grundlag af hvilke den kan anmode europæiske standardiseringsorganisationer om at udarbejde harmoniserede standarder, der opfylder ovennævnte krav.
Hvis anmodningen ikke fører til en harmoniseret standard, eller hvis standarden ikke er tilstrækkelig til at sikre overensstemmelse med dataforordningen, kan Kommissionen vedtage fælles specifikationer som en fallback-løsning. Disse bør udvikles på en åben og inklusiv måde under hensyntagen til feedback fra Det Europæiske Datainnovationsråd.
Kapitel IX: Håndhævelse og overordnede bestemmelser
Medlemsstaterne udpeger en eller flere (nye eller eksisterende) kompetente myndigheder til at sikre en effektiv gennemførelse af dataforordningen. Hvor der er flere kompetente myndigheder, skal medlemsstaterne udpege en af dem som "datakoordinator". Datakoordinatoren vil fungere som en kvikskranke for alle spørgsmål vedrørende gennemførelsen af dataloven på nationalt plan og lette anvendelsen for både virksomheder og offentlige myndigheder. Hvis en virksomhed f.eks. søger erstatning for krænkelse af deres rettigheder i henhold til dataloven, bør datakoordinatoren (efter anmodning) give alle de oplysninger, der er nødvendige for at hjælpe dem med at indgive deres klage til den relevante kompetente myndighed. Datakoordinatoren vil også lette samarbejdet i grænseoverskridende situationer, f.eks. når en kompetent myndighed fra en given medlemsstat ikke ved, hvilken myndighed den skal henvende sig til i datakoordinatorens medlemsstat.
Kommissionen vil føre et offentligt register over kompetente myndigheder og datakoordinatorer.
Det Europæiske Datainnovationsråd vil lette drøftelserne mellem kompetente myndigheder, f.eks. med henblik på at koordinere og vedtage henstillinger om fastsættelse af sanktioner for overtrædelser af dataloven. De kompetente myndigheder fastsætter sanktioner, og i henhold til dataloven bør der være sanktioner, der er effektive, står i et rimeligt forhold til overtrædelsen og har afskrækkende virkning.
Medlemsstaterne kan, hvis de ønsker det, oprette certificerede tvistbilæggelsesorganer til at bistå parter, der ikke kan nå til enighed om retfærdige, rimelige og ikkediskriminerende vilkår for at stille data til rådighed. Parterne kan frit henvende sig til ethvert tvistbilæggelsesorgan — enten i den medlemsstat, hvor de er etableret, eller i et andet.
Certificerede tvistbilæggelsesmekanismer og specialiserede kompetente myndigheder vil gøre det lettere for virksomheder, navnlig små virksomheder, at håndhæve deres rettigheder i henhold til dataloven, da de tilbyder de involverede parter en enkel, hurtig og billig løsning.
Hvad er det næste?
Den europæiske datastrategi udstikker kursen for, at EU kan blive førende inden for dataøkonomien. Dette vil blive opnået gennem oprettelsen af et europæisk indre marked for data, hvor data kan strømme mellem sektorer og medlemsstater på en sikker og pålidelig måde til gavn for økonomien og samfundet. Ved at sikre en retfærdig fordeling af værdien af data mellem interessenterne er dataloven et centralt element for at nå denne vision.
Dataloven træder i kraft den 12. september 2025.
For at hjælpe virksomhederne med at navigere i disse nye regler vil Kommissionen anbefale et sæt standardkontraktbestemmelser for at hjælpe virksomheder med at indgå datadelingskontrakter, der er retfærdige, rimelige og ikkediskriminerende (datalovens kapitel II og III). Disse vilkår vil også give vejledning om rimelig kompensation og beskyttelse af forretningshemmeligheder. Kommissionen vil også anbefale et sæt ikkebindende standardkontraktbestemmelser for cloud computing-kontrakter mellem brugere og udbydere af cloudtjenester. Der er nedsat en ekspertgruppe, der skal hjælpe Kommissionen med at udarbejde sådanne vilkår og bestemmelser, og den planlægger at anbefale dem senest i efteråret 2025.
Senest tre år efter dens ikrafttræden vil Kommissionen foretage en evaluering af datalovens virkning. På dette grundlag kan Kommissionen om nødvendigt foreslå en ændring af loven.
Juridisk meddelelse
Dette dokument bør ikke betragtes som repræsentativt for Europa-Kommissionens officielle holdning.