En omfattande översikt över datalagen, inklusive dess mål och hur den fungerar i praktiken.
Varför Data Act?
Datalagen är en lag som syftar till att stärka EU:s dataekonomi och främja en konkurrenskraftig datamarknad genom att göra data (särskilt industridata) mer tillgängliga och användbara, uppmuntra datadriven innovation och öka tillgången till data. För att uppnå detta säkerställer datalagen rättvisa i fördelningen av datavärdet mellan aktörerna i dataekonomin. Det klargör vem som kan använda vilka data och på vilka villkor.
Under de senaste åren har tillgången på produkter som är anslutna till internet (nedan kallade uppkopplade produkter) ökat snabbt på den europeiska marknaden. Dessa produkter, som tillsammans utgör ett nätverk som kallas Internet-of-things (IoT), ökar avsevärt mängden data som finns tillgängliga för återanvändning i EU. Detta utgör en enorm potential för innovation och konkurrenskraft i EU.
Datalagen ger användare av uppkopplade produkter (företag eller individer som äger, leasar eller hyr en sådan produkt) större kontroll över de data de genererar, samtidigt som incitament bibehålls för dem som investerar i datateknik. Dessutom fastställs allmänna villkor för situationer där ett företag har en rättslig skyldighet att dela data med ett annat företag.
Datalagen innehåller också åtgärder för att öka rättvisan och konkurrensen på den europeiska molnmarknaden samt för att skydda företag från oskäliga avtalsvillkor relaterade till datadelning som åläggs av starkare aktörer. Den inrättar också en mekanism genom vilken offentliga myndigheter kan begära uppgifter från ett företag där det finns ett exceptionellt behov, till exempel i offentliga nödsituationer, och innehåller tydliga regler för hur sådana begäranden ska göras. Dessutom införs skyddsåtgärder för att undvika att statliga organ från tredjeländer kan få tillgång till icke-personuppgifter om detta skulle strida mot EU-lagstiftningen eller nationell lagstiftning. Slutligen fastställs i dataakten grundläggande krav på interoperabilitet för att säkerställa att data kan flöda smidigt mellan sektorer och medlemsstater, med hjälp av gemensamma europeiska dataområden, samt mellan leverantörer av databehandlingstjänster.
Datalagen offentliggjordes i Europeiska unionens officiella tidning den 22 december 2023 och träder i kraft den 12 september 2025.
Dataakten kompletterar dataförvaltningsakten, det första resultatet inom ramen för den europeiska datastrategin. Dataförvaltningslagen trädde i kraft i september 2023. Dataförvaltningsakten ökar förtroendet för frivilliga mekanismer för datadelning, men datalagen ger rättslig klarhet om tillgången till och användningen av data.
Tillsammans med andra politiska åtgärder och finansieringsmöjligheter kommer dessa två förordningar att bidra till upprättandet av en inre EU-marknad för data och göra Europa ledande inom dataekonomin genom att utnyttja potentialen i de ständigt ökande datamängderna, särskilt industridata, till förmån för den europeiska ekonomin och det europeiska samhället.
Frågor som tagits upp
I enlighet med de allmänna bestämmelserna (kapitel I) som anger förordningens tillämpningsområde och definierar nyckelbegrepp, är datalagen uppdelad i sex huvudkapitel:
Kapitel II om delning av data mellan företag och konsumenter inom ramen för sakernas internet: användare av IoT-objekt kan komma åt, använda och portera data som de samgenererar genom sin användning av en ansluten produkt.
Kapitel III om datadelning mellan företag: detta klargör villkoren för datadelning där ett företag enligt lag är skyldigt att dela data med ett annat företag, bland annat genom datalagen.
Kapitel IV om oskäliga avtalsvillkor: dessa bestämmelser skyddar alla företag, särskilt små och medelstora företag, mot oskäliga avtalsvillkor som åläggs dem.
Kapitel V om datadelning mellan företag och myndigheter: offentliga myndigheter kommer att kunna fatta fler evidensbaserade beslut i vissa situationer med exceptionellt behov genom åtgärder för att få tillgång till vissa uppgifter som innehas av den privata sektorn.
Kapitel VI om byte mellan databehandlingstjänster: leverantörer av molntjänster och edge computing-tjänster måste uppfylla minimikrav för att underlätta interoperabilitet och möjliggöra byte.
Kapitel VII om olaglig tillgång till uppgifter från tredjeland: icke-personuppgifter som lagras i EU skyddas mot olagliga förfrågningar från utländska myndigheter.
Kapitel VIII om interoperabilitet: deltagare i datautrymmen måste uppfylla kriterierna för att data ska kunna flöda inom och mellan datautrymmen. Ett EU-register kommer att fastställa relevanta standarder och specifikationer för molndriftskompatibilitet.
Kapitel IX om verkställighet: Medlemsstaterna måste utse en eller flera behöriga myndigheter som ska övervaka och verkställa datalagen. Om mer än en myndighet utses ska en ”datasamordnare” utses för att fungera som gemensam kontaktpunkt på nationell nivå.
Kapitel II: Delning av data mellan företag och konsumenter inom ramen för IoT-marknaden
Varför?
Ett centralt mål med datalagen är att skapa rättvisa i dataekonomin och ge användarna möjlighet att skörda värde från de data de genererar med hjälp av de anslutna produkter som de äger, hyr eller hyr ut.
Datalagen gör det möjligt för användare av uppkopplade produkter (t.ex. uppkopplade bilar, medicinsk utrustning och fitnessutrustning, industri- eller jordbruksmaskiner) och relaterade tjänster (dvs. allt som gör att en ansluten produkt beter sig på ett visst sätt, till exempel en app för att justera belysningens ljusstyrka eller för att reglera temperaturen på ett kylskåp) att få tillgång till de data som de samskapar med hjälp av de anslutna produkterna/relaterade tjänsterna.
Tillgången till sådana uppgifter kommer i hög grad att påverka ekonomin. Till exempel kan data som genereras av uppkopplade produkter och relaterade tjänster användas för att främja eftermarknads- och sidotjänster samt för att skapa helt nya tjänster, vilket gynnar både företag och konsumenter.
Exempel på uppkopplade produkter: konsumentprodukter (t.ex. uppkopplade bilar, hälsoövervakningsanordningar, smart-home-enheter), andra produkter (t.ex. flygplan, robotar, industrimaskiner).
Exempel på en relaterad tjänst: en användare köper en tvättmaskin och installerar en applikation som gör det möjligt för dem att mäta tvättcykelns miljöpåverkan baserat på data från de olika sensorerna inuti maskinen och justerar cykeln därefter. Denna ansökan skulle betraktas som en relaterad tjänst.
Exempel på eftermarknads- och sidotjänster: reparations- och underhållstjänster, databaserad försäkring.
Typer av uppgifter som omfattas av tillämpningsområdet
Kapitel II i datalagen om datadelning mellan företag och konsumenter gäller för alla rådata och förbehandlade data som genereras genom användning av en ansluten produkt eller en relaterad tjänst som är lätt tillgänglig för datainnehavaren ( t.ex. tillverkare av en ansluten produkt/leverantör av en relaterad tjänst), med andra ord data som lätt kan nås utan oproportionerlig ansträngning och som går utöver en enkel drift. Detta gäller både personuppgifter och icke-personuppgifter, inklusive relevanta metadata.
Sådana data omfattar data som samlas in från en enda sensor eller en ansluten grupp av sensorer, såsom temperatur, tryck, flödeshastighet, ljud, pH-värde, vätskenivå, position, acceleration eller hastighet.
Härledda eller härledda data och innehåll (t.ex. mycket berikade data, audiovisuellt material) faller utanför tillämpningsområdet. Datalagen påverkar inte heller lagarna om skydd av immateriella rättigheter.
Till exempel, om en användare tittar på en film på sin anslutna TV, är filmen i sig inte inom räckvidden, men data om skärmens ljusstyrka ligger inom räckvidden.
I praktiken
Kapitel II i datalagen ger användare (dvs. juridiska eller fysiska personer som äger, hyr eller hyr en ansluten produkt) tillgång till de data som de genererar genom sin användning av den anslutna produkten eller relaterade tjänsten. Om användaren vill dela dessa uppgifter med en annan enhet eller individ (”tredje part”) kan de antingen göra det direkt eller be datainnehavaren att dela dem med en tredje part efter eget val (exklusive grindvakter enligt lagen om digitala marknader). Datainnehavaren är vanligtvis det företag som tillverkar den anslutna produkten eller som tillhandahåller en relaterad tjänst. En datainnehavare måste ha ett avtal med användaren (t.ex. köpeavtal, hyresavtal, tillhörande tjänsteavtal osv.) som fastställer rättigheterna avseende åtkomst, användning och delning av de uppgifter som genereras av den anslutna produkten eller relaterade tjänsten. Det är viktigt att notera att datainnehavaren inte kan använda icke-personliga data som genereras av produkten utan användarens samtycke.
Som exempel, och med tanke på att det relevanta kontraktet bestämmer de exakta rollerna:
-
Ett företag driver en bulldozer: datainnehavaren skulle vanligtvis vara bulldozertillverkaren, och användaren skulle vara det företag som driver bulldozern.
-
Om någon köper ett anslutet kylskåp och laddar ner en app som hjälper dem att reglera den optimala temperaturen för innehållet i kylskåpet, skulle det potentiellt finnas två datainnehavare, nämligen den enhet som släppte ut kylskåpet på marknaden och den enhet som erbjuder den relaterade tjänsten (appen), och endast en användare (ägaren av kylskåpet).
Datalagen innehåller flera mekanismer för att göra det lättare för användarna att använda sig av dessa bestämmelser: datainnehavarna ska förse användaren med information om vilken typ av data de kommer att generera när de använder den anslutna produkten eller relaterade tjänsten (inklusive volym, insamlingsfrekvens osv.). användarna bör kunna begära tillgång till uppgifterna genom en enkel process, och datainnehavarna måste göra uppgifterna tillgängliga för användarna gratis.
Begränsningar av användningen av uppgifterna
För att inte avskräcka företag från att investera i datagenererande produkter kan de erhållna uppgifterna inte användas för att utveckla en konkurrerande ansluten produkt. Datalagen förbjuder inte konkurrens i relaterade eller eftermarknadstjänster. Dessutom finns det ingen skyldighet enligt datalagen för en datainnehavare att dela data med tredje parter som är baserade utanför EU.
Datalagen är helt förenlig med dataskyddsreglerna, särskilt dataskyddsförordningen. Om användaren inte är den registrerade vars uppgifter begärs kan personuppgifter endast göras tillgängliga om det finns en giltig rättslig grund (t.ex. samtycke). Detta är ett viktigt övervägande eftersom de samgenererade uppgifterna ofta innehåller både personuppgifter och icke-personuppgifter, vilket kan vara svårt att separera.
Den stimulerar utvecklingen av uppkopplade produkter och tjänster som bygger på nya dataflöden, vilket är av särskilt värde för mindre företag. Dessutom omfattas mikroföretag och små företag, i egenskap av tillverkare eller leverantörer av närstående tjänster, inte av samma skyldigheter som större företag.
För att skydda företagshemligheter utan att undergräva syftet med datalagen att göra mer data tillgängliga kan datainnehavaren och användaren/tredjeparten komma överens om vissa åtgärder för att bevara företagshemligheternas konfidentialitet. Om dessa åtgärder inte följs får datainnehavaren hålla inne eller avbryta datadelningen. Datainnehavaren får endast vägra att dela uppgifter om den kan visa att den med stor sannolikhet kommer att drabbas av allvarlig ekonomisk skada till följd av röjande av företagshemligheter.
Datainnehavaren och användaren kan komma överens om att begränsa datadelningen om det finns en risk för att säkerhetskraven för den anslutna produkten skulle kunna undergrävas, vilket leder till allvarliga negativa effekter på människors hälsa, säkerhet eller säkerhet. Sådana krav måste fastställas i EU-lagstiftning eller nationell lagstiftning.
Om datainnehavaren tillfälligt upphäver, undanhåller eller vägrar att dela uppgifter på grund av skydd av företagshemligheter eller säkerhetskrav, ska den underrätta den nationella behöriga myndigheten. Användare får överklaga ett sådant beslut, antingen inför en behörig domstol i en medlemsstat, genom ett klagomål till den behöriga myndigheten eller efter överenskommelse med datainnehavaren inför ett tvistlösningsorgan.
Kapitel III: Regler om obligatorisk datadelning mellan företag
Varför?
Genom datalagen införs regler för situationer där ett företag (datainnehavaren) har en rättslig skyldighet enligt EU-lagstiftningen eller nationell lagstiftning att göra data tillgängliga för ett annat företag (datamottagare), även i samband med IoT-data. Framför allt måste villkoren för datadelning vara rättvisa, rimliga och icke-diskriminerande.
Som ett incitament för datadelning kan datainnehavare som är skyldiga att dela data begära ”rimlig ersättning” från datamottagaren.
Typer av uppgifter som omfattas av tillämpningsområdet
Kapitel III i datalagen gäller alla uppgifter (både personliga och icke-personliga) som innehas av ett företag, inklusive situationer som omfattas av kapitel II i datalagen.
I praktiken
Datainnehavare får begära rimlig ersättning för att göra uppgifterna tillgängliga för en datamottagare. Detta kan omfatta kostnader för att göra uppgifterna tillgängliga samt tekniska kostnader i samband med spridning och lagring. Mikroföretag, små och medelstora företag och ideella forskningsorganisationer kan dock inte debiteras mer än kostnaderna för att göra uppgifterna tillgängliga.
För att skydda datainnehavarna innehåller datalagen en icke uttömmande förteckning över åtgärder för att avhjälpa situationer där en tredje part eller användare olagligen har tillgång till eller använt data. En datainnehavare kan till exempel kräva att en part som gör intrång upphör att producera produkten i fråga eller förstör de uppgifter som den olagligen har erhållit, eller kan begära ersättning.
Eventuella skyldigheter avseende datadelning som föregår datalagen påverkas inte. Skyldigheterna i framtida (sektoriell) lagstiftning bör anpassas till bestämmelserna i kapitel III i datalagen.
Kapitel IV: Oskäliga avtalsvillkor
Varför?
Avtalsfrihet är centralt för relationer mellan företag. Datalagen syftar dock till att skydda alla europeiska företag som vill förvärva uppgifter, särskilt små och medelstora företag, mot oskäliga avtalsvillkor genom sina åtgärder för att ingripa i situationer där exempelvis ett av företagen har en starkare förhandlingsposition (t.ex. på grund av sin marknadsstorlek) och å andra sidan föreskriver ett icke förhandlingsbart villkor (”take-it-or-leave-it”) som rör tillgång till och användning av uppgifter.
Typer av uppgifter som omfattas av tillämpningsområdet
Dessa regler omfattar alla uppgifter, både personliga och icke-personliga, som innehas av en privat enhet som nås och används på grundval av ett avtal mellan företag.
I praktiken
Ensidigt införde take-it-or-leave-it-villkor kan, om de avser tillhandahållande av uppgifter, bli föremål för ett oskälighetstest.
I datalagen upprättas en icke-uttömmande förteckning över villkor som alltid anses vara oskäliga (t.ex. som skulle utesluta eller begränsa ansvaret för den part som ensidigt ålade villkoret om uppsåtliga handlingar eller grov oaktsamhet) och villkor som antas vara oskäliga (t.ex. som på ett olämpligt sätt skulle begränsa avhjälpande åtgärder vid underlåtenhet att fullgöra avtalsförpliktelser eller ansvar vid brott mot dessa skyldigheter, eller utvidga ansvaret för det företag som har ålagts villkoret ensidigt). Om ett villkor anses vara oskäligt är det inte längre giltigt – om möjligt är det helt enkelt avbrutet från kontakten. Om det antas vara oskäligt kan den enhet som införde villkoret försöka visa att villkoret inte är oskäligt.
Kapitel V: Datadelning mellan företag och myndigheter
Varför?
Uppgifter som innehas av privata enheter kan vara väsentliga för att en offentlig myndighet ska kunna utföra en uppgift av allmänt intresse. Kapitel V i datalagen ger offentliga myndigheter tillgång till sådana uppgifter på vissa villkor, om det finns ett exceptionellt behov. Den senare avser en situation som är oförutsebar och tidsbegränsad, där de uppgifter som innehas av en privat enhet är nödvändiga för att utföra uppgiften av allmänt intresse, särskilt för att förbättra evidensbaserat beslutsfattande. Situationer med exceptionellt behov omfattar både offentliga nödsituationer (såsom större naturkatastrofer eller katastrofer orsakade av människor, pandemier och cybersäkerhetsincidenter) och situationer som inte är nödsituationer (t.ex. skulle aggregerade och anonymiserade data från förarnas GPS-system kunna användas för att optimera trafikflödena).
Datalagen kommer att säkerställa att offentliga myndigheter har tillgång till sådana uppgifter i tid och på ett tillförlitligt sätt, utan att det medför en onödig administrativ börda för företagen.
Typer av uppgifter som omfattas av tillämpningsområdet
Enligt kapitel V är alla uppgifter inom tillämpningsområdet, med fokus på icke-personuppgifter.
I kapitel V i datalagen om datadelning mellan företag och myndigheter görs åtskillnad mellan två scenarier:
-
För att reagera på ett offentligt krisläge bör en offentlig myndighet begära icke-personuppgifter. Om detta inte är tillräckligt för att svara på situationen kan dock personuppgifter begäras. Om möjligt bör dessa uppgifter anonymiseras av datainnehavaren.
-
I situationer som inte är nödsituationer får offentliga myndigheter endast begära icke-personuppgifter.
Viktiga intressenter
De enheter som har rätt att begära uppgifter är offentliga myndigheter i medlemsstaterna samt vissa EU-institutioner, EU-organ och EU-byråer. Dessa enheter kan också dela data med forskningspresterande och finansierande organisationer på vissa villkor.
När det gäller förfrågningar mellan företag och myndigheter är datainnehavare vanligtvis privata enheter, men kan även omfatta offentliga företag.
I praktiken
En offentlig myndighet får på vissa villkor ålägga en datainnehavare att utan onödigt dröjsmål tillhandahålla vissa uppgifter för att reagera på ett allmänt nödläge. I datalagen definieras ett allmänt nödläge. men dess existens bestäms enligt nationella förfaranden eller EU-lagar.
För exceptionella behov som inte har samband med ett allmänt krisläge får en offentlig myndighet begära icke-personuppgifter för att fullgöra en specifik uppgift som ligger i allmänhetens intresse och som har föreskrivits i lag, om den offentliga myndigheten kan bevisa att den inte har kunnat få tillgång till uppgifterna på annat sätt.
I båda fallen (nödsituation och icke-nödsituation) måste en begäran respektera ett antal strikta principer och villkor. Till exempel måste framställningarna vara specifika, öppna och proportionerliga, företagshemligheter måste skyddas och uppgifterna måste raderas när de inte längre behövs.
I tabellen nedan sammanfattas vad företag kan begära att lämna uppgifter till en offentlig myndighet i detta sammanhang.
Ersättning för tillgängliggörande av uppgifter enligt kapitel V i datalagen
| Andra företag än mikroföretag och små företag kan begära: | Mikroföretag och små företag kan be om: | |
| Allmänt nödläge | Företagen kan begära att deras uppgifter ska erkännas och erkännas offentligt av den mottagande offentliga myndigheten. | Skälig ersättning som inte överstiger de tekniska och organisatoriska kostnader som uppkommit + offentligt erkännande, på begäran |
| Icke-nödsituation | Skälig ersättning som inte överstiger de tekniska och organisatoriska kostnader som uppkommit (utom för framställning av officiell statistik) | Ej tillämpligt (undantaget från skyldigheten att lämna uppgifter) |
För att minimera bördan för företagen kan samma uppgifter inte begäras mer än en gång (engångsprincipen) av mer än ett offentligt organ. Därför måste alla förfrågningar göras allmänt tillgängliga av datasamordnaren (såvida det inte föreligger säkerhetsproblem).
Kapitel VI: Växling mellan databehandlingstjänster
Varför?
För att säkerställa en konkurrensutsatt marknad i EU bör kunder av databehandlingstjänster (inklusive molntjänster och kanttjänster) kunna byta sömlöst från en leverantör till en annan. Kunderna står dock för närvarande inför ett antal hinder för detta, bland annat höga avgifter i samband med t.ex. dataöverföring, långdragna förfaranden och bristande interoperabilitet mellan leverantörer som kan leda till förlust av data och applikationer.
Datalagen kommer att göra bytet fritt, snabbt och flytande. Detta kommer att gynna kunder, som fritt kan välja de tjänster som bäst uppfyller deras behov, liksom leverantörer, som kommer att dra nytta av en större pool av kunder.
Omfattning
Kapitel VI i datalagen är tillämpligt på leverantörer av databehandlingstjänster (dvs. digitala tjänster som möjliggör allestädes närvarande nätåtkomst på begäran, t.ex. nät, servrar eller annan virtuell eller fysisk infrastruktur och programvara). Data som är avgörande för byte omfattar ingångs- och utdata, inklusive metadata, som genereras genom kundens användning av tjänsten, med undantag för data som skyddas av immateriella rättigheter eller utgör en företagshemlighet för tjänsteleverantören.
I praktiken
För att komma till rätta med maktbalansen mellan leverantörer och kunder på molnmarknaden fastställer datalagen minimikrav för innehållet i molnavtal. I synnerhet kommer kunder från den privata och offentliga sektorn att dra nytta av mycket större insyn i avtalen.
Datalagen innehåller åtgärder för att säkerställa att kunder snabbt och smidigt kan byta från en leverantör av databehandlingstjänster (”källleverantör”) till en annan (destinationsleverantör), och utan att förlora data eller funktionalitet i applikationer. Leverantörer av plattform och programvara som tjänst måste till exempel göra öppna gränssnitt tillgängliga och åtminstone exportera data i ett allmänt använt och maskinläsbart format. Leverantörer av infrastruktur som en tjänst måste vidta åtgärder för att underlätta att kunden, när en kund byter till en tjänst av samma typ, får väsentligt jämförbara resultat som svar på samma indata för funktioner som båda tjänsterna delar (funktionell likvärdighet). Som ett exempel på en sådan åtgärd kan källleverantören behöva använda verktyg för att flytta datorarbetsbelastningar från en virtualiseringsteknik till en annan.
Alla leverantörer är skyldiga att undanröja hinder som deras kunder kan möta när de vill byta till en annan leverantör eller använda flera tjänster samtidigt.
Datalagen kommer också att helt ta bort bytesavgifter, inklusive avgifter för dataöverföring (dvs. avgifter för datatransitering), från och med den 12 januari 2027. Detta innebär att leverantörer inte kommer att kunna debitera sina kunder för den verksamhet som är nödvändig för att underlätta byte eller för datautmatning. Som en övergångsåtgärd under de första tre åren efter datalagens ikraftträdande (från den 11 januari 2024 till den 12 januari 2027) får leverantörerna dock fortfarande debitera sina kunder för de kostnader som uppstår i samband med byte och datautgång.
Kapitel VII: Olagligt tillträde från tredje land
Varför?
Ibland syftar ett beslut eller en dom som utfärdats av ett land utanför EU (nedan kallat tredjeland) till att ge myndigheter tillgång till och överföring av icke-personuppgifter som behandlas och lagras inom EU. I vissa fall kan dock beviljandet av tillgång till eller överföring av sådana uppgifter faktiskt vara olagligt, särskilt om begäran strider mot EU:s lagstiftning och garantier för skyddet av enskildas grundläggande rättigheter, nationella säkerhetsintressen eller kommersiellt känsliga uppgifter.
Datalagen följer dataförvaltningsakten med avseende på de bestämmelser som syftar till att förhindra olaglig tillgång till och överföring av icke-personuppgifter från tredjeländer som innehas i EU. Sådana bestämmelser påverkar inte den regelbundna datadelningen mellan företag. De ökar öppenheten och rättssäkerheten när det gäller processen och villkoren för åtkomst till eller överföring av icke-personuppgifter till offentliga organ utanför EU.
Typer av uppgifter som omfattas av tillämpningsområdet
Alla icke-personuppgifter som innehas i EU av en leverantör av en databehandlingstjänst.
I praktiken
Datalagen förbjuder inte gränsöverskridande dataflöden, men säkerställer att det skydd som ges för uppgifter i EU reser med uppgifter som överförs utanför EU.
I detta sammanhang fastställs i dataakten regler och skyddsåtgärder för en utländsk offentlig myndighets begäran om tillgång till icke-personuppgifter som innehas i unionen. Legitimt internationellt samarbete när det gäller brottsbekämpning påverkas inte av dessa bestämmelser.
Om det inte finns något internationellt avtal som reglerar tillgången för ett tredjelands regering till icke-personuppgifter inom EU, kan uppgifterna endast överföras eller kommas åt på särskilda villkor. Dessa villkor avser vissa garantier som skyddar europeiska rättigheter som måste uppfyllas av tredjelandets rättssystem, bland annat ett krav på att ange skälen och bedöma proportionaliteten i beslutet. Den leverantör av databehandlingstjänster som omfattas av ett sådant beslut får kontakta det berörda nationella organet för att bedöma om villkoren i datalagen är uppfyllda. För att hjälpa till att bedöma om dessa villkor har uppfyllts kommer Europeiska kommissionen att utarbeta riktlinjer tillsammans med Europeiska datainnovationsstyrelsen (en expertgrupp som inrättats enligt dataförvaltningsakten för att underlätta utbytet av bästa praxis och prioritera sektorsövergripande interoperabilitetsstandarder).
Leverantörer av databehandlingstjänster bör vidta alla rimliga åtgärder (t.ex. kryptering, revisioner, efterlevnad av certifieringssystem) för att förhindra åtkomst till de system där de lagrar icke-personuppgifter. Dessa åtgärder bör offentliggöras på deras webbplatser. Dessutom bör de, när så är möjligt, informera sina kunder innan de ger tillgång till sina uppgifter.
Kapitel VIII: Kompatibilitet
Varför?
Standarder och interoperabilitet är avgörande för att säkerställa att data från olika källor kan användas inom och mellan gemensamma europeiska dataområden för att främja forskning och utveckla nya produkter eller tjänster. För detta ändamål fastställs i dataakten vissa grundläggande krav som deltagare i dataområden måste uppfylla och som kan specificeras ytterligare av Europeiska kommissionen genom delegerade akter.
Det syftar också till att säkerställa interoperabilitet mellan databehandlingstjänster. detta är viktigt för att kunderna ska kunna dra nytta av enklare byte.
Viktiga intressenter
Detta kapitel riktar sig till deltagare i dataområden som erbjuder data eller databaserade tjänster till andra deltagare och som underlättar eller deltar i datadelning inom dataområdena.
Det riktar sig också till leverantörer av smarta kontrakt samt leverantörer av databehandlingstjänster.
I praktiken
Deltagare i datarymden bör uppfylla flera grundläggande krav för att data ska kunna flöda inom och mellan datautrymmen. Till exempel bör en beskrivning av datastrukturer, dataformat och vokabulär, i förekommande fall, vara tillgänglig för allmänheten. Dessutom bör det säkerställas att datadelningsavtal, t.ex. smarta kontrakt, är driftskompatibla.
Datalagen banar också väg för att öka interoperabiliteten för databehandlingstjänster genom harmoniserade standarder och öppna specifikationer för driftskompatibilitet.
Dessutom fastställs krav på leverantörer av smarta kontrakt för automatiserat genomförande av datadelningsavtal, till exempel för att säkerställa att de på ett korrekt sätt genomför bestämmelserna i datadelningsavtalet och står emot manipulation av tredje part.
Kommissionen kommer att bedöma hindren för driftskompatibilitet och prioritera standardiseringsbehoven på grundval av vilka den kan be europeiska standardiseringsorganisationer att utarbeta harmoniserade standarder som uppfyller ovannämnda krav.
Om begäran inte leder till en harmoniserad standard eller om standarden är otillräcklig för att säkerställa överensstämmelse med datalagen, kan kommissionen anta gemensamma specifikationer som reservlösning. Dessa bör utvecklas på ett öppet och inkluderande sätt, med beaktande av återkoppling från Europeiska datainnovationsstyrelsen.
Kapitel IX: Verkställighet och övergripande bestämmelser
Medlemsstaterna kommer att utse en eller flera (nya eller befintliga) behöriga myndigheter för att säkerställa ett effektivt genomförande av dataakten. Om det finns flera behöriga myndigheter måste medlemsstaterna utse en av dem till ”datasamordnare”. Datasamordnaren kommer att fungera som en enda kontaktpunkt för alla frågor som rör genomförandet av datalagen på nationell nivå, vilket underlättar tillämpningen både för företag och offentliga myndigheter. Om ett företag t.ex. söker gottgörelse för överträdelse av sina rättigheter enligt datalagen bör datasamordnaren (på begäran) tillhandahålla all nödvändig information för att hjälpa dem att lämna in sitt klagomål till lämplig behörig myndighet. Uppgiftssamordnaren kommer också att underlätta samarbete i gränsöverskridande situationer, t.ex. när en behörig myndighet från en viss medlemsstat inte vet vilken myndighet den bör vända sig till i datasamordnarens medlemsstat.
Kommissionen kommer att föra ett offentligt register över behöriga myndigheter och datasamordnare.
Europeiska datainnovationsstyrelsen kommer att underlätta diskussioner mellan behöriga myndigheter, till exempel för att samordna och anta rekommendationer om fastställande av påföljder för överträdelser av datalagen. Påföljder fastställs av behöriga myndigheter, och enligt datalagen bör det finnas effektiva, proportionella och avskräckande påföljder.
Medlemsstaterna får, om de så önskar, inrätta certifierade tvistlösningsorgan för att bistå parter som inte kan komma överens om rättvisa, rimliga och icke-diskriminerande villkor för tillhandahållande av uppgifter. Parterna är fria att vända sig till tvistlösningsorgan – antingen i den medlemsstat där de är etablerade eller i en annan medlemsstat.
Certifierade tvistlösningsmekanismer och specialiserade behöriga myndigheter kommer att göra det lättare för företag, särskilt småföretag, att hävda sina rättigheter enligt datalagen eftersom de erbjuder de berörda parterna en enkel, snabb och billig lösning.
Vad händer härnäst?
Den europeiska datastrategin visar vägen för EU att bli ledande inom dataekonomin. Detta kommer att uppnås genom inrättandet av en europeisk inre marknad för data där data kan flöda mellan sektorer och medlemsstater på ett säkert och tillförlitligt sätt till gagn för ekonomin och samhället. Genom att säkerställa rättvisa i fördelningen av data mellan intressenter är datalagen en nyckelfaktor för att uppnå denna vision.
Datalagen träder i kraft den 12 september 2025.
För att hjälpa företag att navigera i dessa nya regler kommer kommissionen att rekommendera en uppsättning standardavtalsvillkor för att hjälpa företag att ingå avtal om datadelning som är rättvisa, rimliga och icke-diskriminerande (kapitlen II och III i datalagen). Dessa villkor kommer också att ge vägledning om rimlig ersättning och skydd av företagshemligheter. Kommissionen kommer också att rekommendera en uppsättning icke-bindande standardavtalsklausuler för datormolnavtal mellan molntjänstanvändare och leverantörer. En expertgrupp har inrättats för att hjälpa kommissionen att utarbeta sådana villkor och klausuler och den planerar att rekommendera dem senast hösten 2025.
Inom tre år efter det att den har trätt i kraft kommer kommissionen att göra en utvärdering av effekterna av datalagen. På grundval av detta kan kommissionen vid behov föreslå en ändring av lagen.
Rättsligt meddelande
Detta dokument bör inte betraktas som företrädare för Europeiska kommissionens officiella ståndpunkt.