Dataförvaltningsakten förklaras

Datans ekonomiska och samhälleliga potential är enorm: det kan möjliggöra nya produkter och tjänster som bygger på ny teknik, effektivisera produktionen och tillhandahålla verktyg för att bekämpa samhällsutmaningar. På hälsoområdet kan data till exempel bidra till att tillhandahålla bättre hälso- och sjukvård, förbättra individanpassade behandlingar och hjälpa till att bota sällsynta eller kroniska sjukdomar. Det är också en kraftfull motor för innovation och nya arbetstillfällen och en viktig resurs för nystartade företag och små och medelstora företag.

Denna potential förverkligas dock inte. Datadelningen i EU är fortfarande begränsad på grund av ett antal hinder (bl.a. lågt förtroende för datadelning, frågor som rör återanvändning av uppgifter från den offentliga sektorn och datainsamling för det allmännas bästa samt tekniska hinder).

För att verkligen utnyttja denna enorma potential bör det vara lättare att dela data på ett tillförlitligt och säkert sätt.

Data Governance Act (DGA) är ett sektorsövergripande instrument som syftar till att reglera återanvändningen av offentligt/hållna, skyddade data, genom att främja datadelning genom reglering av nya dataförmedlare och genom att uppmuntra utbyte av data för altruistiska ändamål. Både personuppgifter och icke-personuppgifter omfattas av DGA, och när det gäller personuppgifter gäller den allmänna dataskyddsförordningen (GDPR). Utöver den allmänna dataskyddsförordningen kommer inbyggda skyddsåtgärder att öka förtroendet för datadelning och återanvändning, vilket är en förutsättning för att göra mer data tillgängligt på marknaden.

Återanvändning av vissa kategorier av uppgifter som innehas av offentliga myndigheter

Vilka är de viktigaste målen?

Direktivet om öppna data reglerar återanvändning av offentligt/tillgänglig information som innehas av den offentliga sektorn. Den offentliga sektorn har dock också stora mängder skyddade uppgifter (t.ex. personuppgifter och kommersiellt konfidentiella uppgifter) som inte kan återanvändas som öppna data men som kan återanvändas enligt särskild EU-lagstiftning eller nationell lagstiftning. En mängd kunskap kan hämtas från sådana uppgifter utan att äventyra dess skyddade natur, och DGA innehåller regler och skyddsåtgärder för att underlätta sådan återanvändning när det är möjligt enligt annan lagstiftning.  

Hur fungerar det i praktiken?

• Tekniska krav för den offentliga sektorn: Medlemsstaterna måste vara tekniskt utrustade för att säkerställa att uppgifternas integritet och konfidentialitet respekteras fullt ut vid återanvändning. Detta kan omfatta en rad verktyg, från tekniska lösningar, såsom anonymisering, pseudonymisering eller åtkomst till data i säkra behandlingsmiljöer (t.ex. datarum) som övervakas av den offentliga sektorn, till avtalsmässiga medel såsom sekretessavtal som ingåtts mellan den offentliga myndigheten och återanvändningen.
• Stöd från den offentliga myndigheten: Om en offentlig myndighet inte kan bevilja tillgång till vissa uppgifter för återanvändning bör den hjälpa den potentiella återanvändningstagaren att begära den enskildes samtycke att återanvända sina personuppgifter eller datainnehavarens tillstånd vars rättigheter eller intressen kan påverkas av återanvändningen. Dessutom kan konfidentiell information (t.ex. företagshemligheter) endast lämnas ut för vidareutnyttjande med sådant samtycke eller tillstånd.
• För att få tillgång till ännu mer offentligt lagrade data för återanvändning begränsar DGA beroendet av exklusiva avtal om vidareutnyttjande av data (där en offentlig myndighet beviljar ett sådant företag en sådan ensamrätt) till specifika fall av allmänt intresse.
• Rimliga avgifter: offentliga myndigheter får ta ut avgifter för att tillåta återanvändning så länge dessa avgifter inte överstiger de nödvändiga kostnaderna. Dessutom bör offentliga myndigheter uppmuntra återanvändning för vetenskaplig forskning och andra icke-kommersiella ändamål samt av små och medelstora företag och nystartade företag, genom att minska eller till och med utesluta avgifter.
• En offentlig myndighet kommer att ha upp till två månader på sig att fatta beslut om en begäran om återanvändning.
• Medlemsstaterna kan välja vilka behöriga organ som ska stödja de offentliga myndigheter som ger tillgång till återanvändning, t.ex. genom att förse dessa med en säker behandlingsmiljö och genom att ge dem råd om hur man bäst strukturerar och lagrar data för att göra dem lättillgängliga.
• För att hjälpa potentiella återanvändare att hitta relevant information om vilka uppgifter som innehas av offentliga myndigheter kommer medlemsstaterna att vara skyldiga att inrätta en enda informationspunkt. Kommissionen inrättade det europeiska registret över skyddade uppgifter som innehas av den offentliga sektorn (ERPD), ett sökbart register över den information som sammanställts av nationella gemensamma informationspunkter för att ytterligare underlätta vidareutnyttjande av uppgifter på och utanför den inre marknaden.

Dataförmedlingstjänster

Vilka är de viktigaste målen?

Många företag fruktar för närvarande att delning av deras uppgifter skulle innebära en förlust av konkurrensfördelar och utgöra en risk för missbruk. DGA fastställer en uppsättning regler för leverantörer av dataförmedlingstjänster (så kallade dataförmedlare, såsom datamarknadsplatser) för att säkerställa att de fungerar som tillförlitliga organisatörer av datadelning eller datapooler inom de gemensamma europeiska dataområdena. För att öka förtroendet för datadelning föreslås i detta nya tillvägagångssätt en modell som bygger på dataförmedlares neutralitet och transparens, samtidigt som enskilda personer och företag får kontroll över sina uppgifter.

Hur fungerar det i praktiken?

Ramverket erbjuder en alternativ modell till Big Tech-plattformarnas datahanteringspraxis, som har en hög grad av marknadsstyrka eftersom de kontrollerar stora mängder data.

I praktiken kommer dataförmedlare att fungera som neutrala tredje parter som kopplar samman individer och företag med dataanvändare. Även om de kan ta ut avgifter för att underlätta datadelningen mellan parterna, kan de inte direkt använda de uppgifter som de förmedlar för ekonomisk vinst (t.ex. genom att sälja dem till ett annat företag eller använda dem för att utveckla sin egen produkt på grundval av dessa uppgifter). Dataförmedlare måste uppfylla strikta krav för att säkerställa denna neutralitet och undvika intressekonflikter. I praktiken innebär detta att det måste finnas en strukturell åtskillnad mellan dataförmedlingstjänsten och alla andra tjänster som tillhandahålls (dvs. de måste vara juridiskt åtskilda). De kommersiella villkoren (inklusive prissättning) för tillhandahållande av förmedlingstjänster bör inte heller vara beroende av om en potentiell datainnehavare eller dataanvändare använder andra tjänster. Alla data och metadata som förvärvas kan endast användas för att förbättra dataförmedlingstjänsten.

Både fristående organisationer som endast tillhandahåller dataförmedlingstjänster och företag som erbjuder dataförmedlingstjänster utöver andra tjänster kan fungera som betrodda mellanhänder. I det senare fallet måste dataförmedlingsverksamheten vara strikt åtskild, både rättsligt och ekonomiskt, från andra datatjänster.

Enligt DGA kommer dataförmedlare att vara skyldiga att underrätta den behöriga myndigheten om sin avsikt att tillhandahålla sådana tjänster. Den behöriga myndigheten kommer att se till att anmälningsförfarandet är icke-diskriminerande och inte snedvrider konkurrensen och kommer att bekräfta att leverantören av dataförmedlingstjänster har lämnat in anmälan med all nödvändig information.

Vid mottagandet av en sådan bekräftelse kan dataförmedlaren lagligen börja driva och använda etiketten ”leverantör av dataförmedlingstjänster som är erkänd i unionen” i sin skriftliga och muntliga kommunikation samt den gemensamma logotypen. Dessa myndigheter kommer också att övervaka efterlevnaden av dataförmedlingskraven och kommissionen för ett centralt register över erkända dataförmedlare.

Dataaltruism

Vilka är de viktigaste målen?

Dataaltruism handlar om individer och företag som ger sitt samtycke eller tillstånd att tillgängliggöra data som de genererar – frivilligt och utan belöning – för att användas för mål av allmänt intresse. Sådana data har en enorm potential att främja forskning och utveckla bättre produkter och tjänster, även på områdena hälsa, miljö och rörlighet.

Forskning tyder på att det i princip finns en vilja att engagera sig i dataaltruism, men i praktiken hämmas detta av bristen på verktyg för datadelning. Målet med dataförvaltningslagen är därför att skapa betrodda verktyg som gör det möjligt att dela data på ett enkelt sätt till gagn för samhället. Det kommer att skapa de rätta förutsättningarna för att garantera enskilda och företag att när de delar sina uppgifter kommer de att hanteras av betrodda organisationer på grundval av EU:s värderingar och principer. Detta kommer att göra det möjligt att skapa datapooler av tillräcklig storlek för att möjliggöra dataanalys och maskininlärning, även över gränserna.

Hur fungerar det i praktiken?

Enheter som tillhandahåller relevanta data baserade på dataaltruism kommer att kunna registrera sig som ”dataaltruismorganisationer som erkänns i unionen”. Dessa enheter måste ha en icke-vinstdrivande karaktär och uppfylla transparenskraven samt erbjuda särskilda skyddsåtgärder för att skydda rättigheterna och intressena för medborgare och företag som delar sina uppgifter. Dessutom måste de följa regelboken (senast 18 månader efter det att den trätt i kraft), där det fastställs informationskrav, tekniska krav och säkerhetskrav, färdplaner för kommunikation och rekommendationer om standarder för driftskompatibilitet. Regelboken kommer att utarbetas av kommissionen i nära samarbete med dataaltruismorganisationer och andra berörda parter.

Enheterna kommer att kunna använda den gemensamma logotyp som utformats för detta ändamål och kan välja att ingå i det offentliga registret över data-altruismorganisationer. Kommissionen har inrättat ett register på EU-nivå över erkända dataaltruismorganisationer för informationsändamål.  

Ett gemensamt europeiskt samtyckesformulär för dataaltruism kommer att göra det möjligt att samla in uppgifter i medlemsstaterna i ett enhetligt format, så att de som delar deras uppgifter enkelt kan ge och dra tillbaka sitt samtycke. Det kommer också att ge rättssäkerhet för forskare och företag som vill använda data baserade på altruism. Detta kommer att vara en modulbaserad form som kan anpassas till behoven inom specifika sektorer och ändamål.

Europeiska datainnovationsstyrelsen

Vilka är de viktigaste målen?

I enlighet med vad som anges i DGA inrättade kommissionen Europeiska datainnovationsstyrelsen (EDIB) för att underlätta utbyte av bästa praxis, särskilt när det gäller dataförmedling, dataaltruism och användning av offentliga data som inte kan göras tillgängliga som öppna data, samt för prioritering av sektorsövergripande interoperabilitetsstandarder.

Hur fungerar det i praktiken?

EDIB omfattar företrädare för följande enheter:

• Medlemsstaternas behöriga myndigheter för dataförmedling
• Medlemsstaternas behöriga myndigheter för dataaltruism
• Europeiska dataskyddsstyrelsen
• Europeiska datatillsynsmannen
• Europeiska unionens cybersäkerhetsbyrå (Enisa)
• Europeiska kommissionen
• EU:s företrädare för små och medelstora företag som utsetts av nätverket av företrädare för små och medelstora företag
• andra företrädare för relevanta organ som valts ut av kommissionen genom en utlysning av experter.

Listan över EDIB-medlemmar finns här:  Register över kommissionens expertgrupper och andra liknande enheter (europa.eu).

Edib kommer att ha befogenhet att föreslå riktlinjer för gemensamma europeiska dataområden, till exempel om adekvat skydd för dataöverföringar utanför unionen.

Internationella dataflöden

Vilka är de viktigaste målen?

I den europeiska datastrategin från februari 2020 erkändes vikten av att ha en öppen men ändå självsäker strategi för internationella dataflöden.

Internationella dataöverföringar kan frigöra den betydande socioekonomiska potentialen hos den stora mängd data som genereras inom EU och därigenom öka unionens internationella konkurrenskraft på den globala arenan, samtidigt som den bidrar till ekonomisk tillväxt, vilket är avgörande särskilt i återhämtningsskedet efter covid-19.

DGA spelar en viktig roll för att stärka Europeiska unionens öppna strategiska oberoende, men bidrar också till att skapa förtroende för internationella dataflöden.

Hur fungerar det i praktiken?

Dataskyddsförordningen har infört alla nödvändiga skyddsåtgärder i samband med personuppgifter, men det är tack vare DGA som liknande skyddsåtgärder finns för åtkomstförfrågningar från tredjeländers regeringar i samband med icke-personuppgifter.

Dessa skyddsåtgärder gäller alla scenarier och bestämmelser som fastställts av DGA, nämligen för data från den offentliga sektorn, dataförmedlingstjänster och dataaltruismkonstellationer. Återanvändningsföretaget i tredjelandet kommer att behöva säkerställa samma skyddsnivå med avseende på uppgifterna i fråga som den skyddsnivå som garanteras i EU-lagstiftningen, samt godta respektive EU-jurisdiktion.  

Om det bedöms nödvändigt får kommissionen anta ytterligare beslut om adekvat skyddsnivå för överföring av offentligt skyddade uppgifter för vidareutnyttjande när det gäller en begäran om tillgång till icke-personuppgifter från ett tredjeland. Dessa beslut om adekvat skyddsnivå kommer att likna besluten om adekvat skyddsnivå i samband med överföring av personuppgifter enligt den allmänna dataskyddsförordningen.

Dessutom ger DGA kommissionen befogenhet att göra standardavtalsklausuler tillgängliga för offentliga myndigheter och vidareutnyttjare för scenarier där data från den offentliga sektorn deltar i dataöverföringar med tredjeländer.