Dataförvaltningsakten tillhandahåller en ram för att öka förtroendet för frivillig datadelning till förmån för företag och medborgare.
Uppgifternas ekonomiska och samhälleliga potential är enorm: Den kan möjliggöra nya produkter och tjänster baserade på ny teknik, effektivisera produktionen och tillhandahålla verktyg för att bekämpa samhällsutmaningar. På hälsoområdet kan t.ex. data bidra till att förbättra hälso- och sjukvården, förbättra individanpassade behandlingar och hjälpa till att bota sällsynta eller kroniska sjukdomar. Det är också en kraftfull motor för innovation och nya arbetstillfällen och en viktig resurs för nystartade företag och små och medelstora företag.
Denna potential utnyttjas dock inte. Datadelningen i EU är fortfarande begränsad på grund av ett antal hinder (bland annat lågt förtroende för datadelning, problem med återanvändning av data från den offentliga sektorn och datainsamling för det allmänna bästa samt tekniska hinder).
För att verkligen dra nytta av denna enorma potential bör det vara lättare att dela data på ett tillförlitligt och säkert sätt.
Dataförvaltningsakten är ett sektorsövergripande instrument som syftar till att reglera vidareutnyttjandet av offentligt/ägda, skyddade data genom att främja datadelning genom reglering av nya dataförmedlare och genom att uppmuntra delning av data för altruistiska ändamål. Både personuppgifter och icke-personuppgifter omfattas av DGA, och när det gäller personuppgifter gäller den allmänna dataskyddsförordningen (GDPR). Utöver den allmänna dataskyddsförordningen kommer inbyggda skyddsåtgärder att öka förtroendet för datadelning och återanvändning, vilket är en förutsättning för att fler data ska bli tillgängliga på marknaden.
Vidareutnyttjande av vissa kategorier av data som innehas av offentliga myndigheter
Vilka är de viktigaste målen?
Direktivet om öppna data reglerar vidareutnyttjande av offentlig/tillgänglig information som innehas av den offentliga sektorn. Den offentliga sektorn har dock också stora mängder skyddade data (t.ex. personuppgifter och uppgifter som rör affärshemligheter) som inte kan återanvändas som öppna data men som skulle kunna återanvändas enligt särskild EU-lagstiftning eller nationell lagstiftning. En mängd kunskap kan utvinnas från sådana uppgifter utan att äventyra dess skyddade karaktär, och dataförvaltningsakten innehåller regler och skyddsåtgärder för att underlätta sådan återanvändning när så är möjligt enligt annan lagstiftning.
Hur fungerar det i praktiken?
- Tekniska krav för den offentliga sektorn: Medlemsstaterna måste vara tekniskt utrustade för att säkerställa att uppgifternas integritet och konfidentialitet respekteras fullt ut i återanvändningssituationer. Detta kan omfatta en rad verktyg, från tekniska lösningar, såsom anonymisering, pseudonymisering eller åtkomst till data i säkra behandlingsmiljöer (t.ex. datarum) som övervakas av den offentliga sektorn, till avtalsmässiga medel såsom sekretessavtal som ingåtts mellan den offentliga myndigheten och vidareutnyttjaren.
- Stöd från den offentliga myndigheten: Om en offentlig myndighet inte kan bevilja tillgång till vissa data för vidareutnyttjande bör den hjälpa den potentiella vidareutnyttjaren att begära den enskildes samtycke till vidareutnyttjande av deras personuppgifter eller datainnehavarens tillstånd, vars rättigheter eller intressen kan påverkas av vidareutnyttjandet. Dessutom får konfidentiell information (t.ex. företagshemligheter) endast lämnas ut för vidareutnyttjande med sådant samtycke eller tillstånd.
- För att ha ännu fler offentligt lagrade data tillgängliga för vidareutnyttjande begränsar dataförvaltningsakten användningen av exklusiva avtal om vidareutnyttjande av data (där en offentlig myndighet beviljar en sådan exklusiv rättighet till ett företag) till specifika fall av allmänt intresse.
- Rimliga avgifter: Offentliga myndigheter får ta ut avgifter för att tillåta vidareutnyttjande så länge dessa avgifter inte överstiger de nödvändiga kostnaderna. Dessutom bör offentliga myndigheter ge incitament till återanvändning för vetenskaplig forskning och andra icke-kommersiella ändamål samt av små och medelstora företag och nystartade företag, genom att sänka eller till och med utesluta avgifter.
- En offentlig myndighet har upp till två månader på sig att fatta beslut om en begäran om vidareutnyttjande.
- Medlemsstaterna kan välja vilka behöriga organ som ska stödja de offentliga myndigheter som beviljar tillgång till vidareutnyttjandet, till exempel genom att förse de senare med en säker behandlingsmiljö och genom att ge dem råd om hur de bäst strukturerar och lagrar data för att göra dem lättillgängliga.
- För att hjälpa potentiella vidareutnyttjare att hitta relevant information om vilka data som innehas av vilka offentliga myndigheter kommer medlemsstaterna att vara skyldiga att inrätta en central informationspunkt. Kommissionen har inrättat det europeiska registret över skyddade data som innehas av den offentliga sektorn, ett sökbart register över den information som sammanställts av nationella centrala informationspunkter för att ytterligare underlätta vidareutnyttjandet av data på och utanför den inre marknaden.
Dataförmedlingstjänster
Vilka är de viktigaste målen?
Många företag fruktar för närvarande att delning av deras data skulle innebära en förlust av konkurrensfördelar och utgöra en risk för missbruk. I dataförvaltningsakten fastställs en uppsättning regler för leverantörer av dataförmedlingstjänster (så kallade dataförmedlare, såsom datamarknadsplatser) för att säkerställa att de kommer att fungera som pålitliga organisatörer av datadelning eller datapoolning inom de gemensamma europeiska dataområdena. För att öka förtroendet för datadelning föreslås i denna nya strategi en modell som bygger på dataförmedlares neutralitet och öppenhet samtidigt som enskilda och företag får kontroll över sina data.
Hur fungerar det i praktiken?
Ramverket erbjuder en alternativ modell till Big Tech-plattformarnas metoder för datahantering, som har en hög grad av marknadsinflytande eftersom de kontrollerar stora mängder data.
I praktiken kommer dataförmedlare att fungera som neutrala tredje parter som kopplar samman enskilda personer och företag med dataanvändare. Även om de kan ta ut avgifter för att underlätta datadelningen mellan parterna kan de inte direkt använda de data som de förmedlar för ekonomisk vinst (t.ex. genom att sälja dem till ett annat företag eller använda dem för att utveckla en egen produkt baserad på dessa data). Dataförmedlare måste uppfylla strikta krav för att säkerställa denna neutralitet och undvika intressekonflikter. I praktiken innebär detta att det måste finnas en strukturell åtskillnad mellan dataförmedlingstjänsten och alla andra tjänster som tillhandahålls (dvs. de måste vara juridiskt åtskilda). De kommersiella villkoren (inklusive prissättning) för tillhandahållandet av förmedlingstjänster bör inte heller vara beroende av huruvida en potentiell datainnehavare eller dataanvändare använder andra tjänster. Inhämtade data och metadata får endast användas för att förbättra dataförmedlingstjänsten.
Både fristående organisationer som endast tillhandahåller dataförmedlingstjänster och företag som erbjuder dataförmedlingstjänster utöver andra tjänster skulle kunna fungera som betrodda mellanhänder. I det senare fallet måste dataförmedlingsverksamheten vara strikt åtskild, både juridiskt och ekonomiskt, från andra datatjänster.
Enligt dataförvaltningsakten kommer dataförmedlare att vara skyldiga att underrätta den behöriga myndigheten om sin avsikt att tillhandahålla sådana tjänster. Den behöriga myndigheten ska säkerställa att anmälningsförfarandet är icke-diskriminerande och inte snedvrider konkurrensen och ska bekräfta att leverantören av dataförmedlingstjänster har lämnat in anmälan med all nödvändig information.
Efter mottagandet av en sådan bekräftelse kan dataförmedlaren lagligen börja bedriva verksamhet och använda beteckningen ”leverantör av dataförmedlingstjänster som är erkänd i unionen” i sin skriftliga och muntliga kommunikation samt den gemensamma logotypen. Dessa myndigheter kommer också att övervaka efterlevnaden av kraven på dataförmedling och kommissionen för ett centralt register över erkända dataförmedlare.
Dataaltruism
Vilka är de viktigaste målen?
Dataaltruism handlar om att enskilda personer och företag ger sitt samtycke eller tillstånd till att tillgängliggöra data som de genererar – frivilligt och utan ersättning – för att användas för mål av allmänt intresse. Sådana data har en enorm potential att främja forskning och utveckla bättre produkter och tjänster, bland annat på områdena hälsa, miljö och rörlighet.
Forskning visar att det i princip finns en vilja att ägna sig åt dataaltruism, men att detta i praktiken hämmas av bristen på verktyg för datadelning. Målet med dataförvaltningsakten är att skapa tillförlitliga verktyg som gör det möjligt att dela data på ett enkelt sätt till gagn för samhället. Det kommer att skapa rätt förutsättningar för att försäkra enskilda och företag om att när de delar sina uppgifter kommer de att hanteras av betrodda organisationer på grundval av EU:s värden och principer. Detta kommer att göra det möjligt att skapa pooler av data av tillräcklig storlek för att möjliggöra dataanalys och maskininlärning, även över gränserna.
Hur fungerar det i praktiken?
Enheter som tillhandahåller relevanta data baserade på dataaltruism kommer att kunna registrera sig som ”dataaltruismorganisationer som är erkända i unionen”. Dessa enheter måste ha en icke-vinstdrivande karaktär och uppfylla transparenskrav samt erbjuda särskilda skyddsåtgärder för att skydda rättigheter och intressen för medborgare och företag som delar sina uppgifter. Dessutom måste de följa regelverket (senast 18 månader efter dess ikraftträdande), som kommer att fastställa informationskrav, tekniska krav och säkerhetskrav, färdplaner för kommunikation och rekommendationer om standarder för interoperabilitet. Regelboken kommer att utarbetas av kommissionen i nära samarbete med dataaltruismorganisationer och andra berörda parter.
Enheterna kommer att kunna använda den gemensamma logotyp som utformats för detta ändamål och kan välja att ingå i det offentliga registret över dataaltruismorganisationer. Kommissionen har i informationssyfte upprättat ett register på EU-nivå över erkända dataaltruismorganisationer.
Ett gemensamt europeiskt samtyckesformulär för dataaltruism kommer att göra det möjligt att samla in uppgifter i alla medlemsstater i ett enhetligt format, vilket säkerställer att de som delar sina uppgifter enkelt kan ge och dra tillbaka sitt samtycke. Det kommer också att skapa rättssäkerhet för forskare och företag som vill använda data som bygger på altruism. Detta kommer att vara en modulär form som kan anpassas till behoven inom specifika sektorer och syften.
Europeiska datainnovationsstyrelsen
Vilka är de viktigaste målen?
I enlighet med dataförvaltningsakten inrättade kommissionen Europeiska datainnovationsstyrelsen (EDIB) för att underlätta utbyte av bästa praxis, särskilt om dataförmedling, dataaltruism och användning av offentliga data som inte kan göras tillgängliga som öppna data, samt om prioritering av sektorsövergripande interoperabilitetsstandarder.
Hur fungerar det i praktiken?
I EDIB ingår företrädare för följande enheter:
- Medlemsstaternas behöriga myndigheter för dataförmedling
- Medlemsstaternas behöriga myndigheter för dataaltruism
- Europeiska dataskyddsstyrelsen
- Europeiska datatillsynsmannen
- Europeiska unionens cybersäkerhetsbyrå (Enisa)
- Europeiska kommissionen
- EU:s företrädare för små och medelstora företag/företrädare som utses av nätverket av företrädare för små och medelstora företag
- Andra företrädare för relevanta organ som valts ut av kommissionen genom en ansökningsomgång för experter.
Listan över EDIB:s medlemmar finns här: Register över kommissionens expertgrupper och andra liknande organ (europa.eu).
EDIB kommer att ha befogenhet att föreslå riktlinjer för gemensamma europeiska dataområden, till exempel om adekvat skydd för dataöverföringar utanför unionen.
Internationella dataflöden
Vilka är de viktigaste målen?
I den europeiska strategin för data från februari 2020 erkändes vikten av att ha en öppen men bestämd inställning till internationella dataflöden.
Internationella dataöverföringar kan frigöra den betydande socioekonomiska potentialen hos den stora mängd data som genereras inom EU och därigenom öka unionens internationella konkurrenskraft på den globala arenan, samtidigt som de bidrar till ekonomisk tillväxt, vilket är avgörande särskilt under återhämtningen efter covid-19.
Samtidigt som dataförvaltningsakten spelar en nyckelroll när det gäller att stärka Europeiska unionens öppna strategiska oberoende bidrar den också till att skapa förtroende för och tillit till internationella dataflöden.
Hur fungerar det i praktiken?
Den allmänna dataskyddsförordningen har infört alla nödvändiga skyddsåtgärder i samband med personuppgifter, men det är tack vare dataförvaltningsakten som liknande skyddsåtgärder finns för begäranden om tillgång från tredjeländers regeringar i samband med andra uppgifter än personuppgifter.
Dessa skyddsåtgärder gäller alla scenarier och bestämmelser som fastställs i dataförvaltningsakten, nämligen för data från den offentliga sektorn, dataförmedlingstjänster och dataaltruismkonstellationer. Återanvändaren i tredjelandet måste säkerställa samma skyddsnivå med avseende på uppgifterna i fråga som den skyddsnivå som säkerställs i EU-lagstiftningen, samt godta respektive EU-jurisdiktion.
Om det anses nödvändigt får kommissionen anta ytterligare beslut om adekvat skyddsnivå för överföring av offentliga skyddade data för vidareutnyttjande när det gäller en begäran om tillgång till icke-personuppgifter från ett tredjeland. Dessa beslut om adekvat skyddsnivå kommer att likna de beslut om adekvat skyddsnivå som rör överföring av personuppgifter enligt den allmänna dataskyddsförordningen.
Dessutom ger dataförvaltningsakten kommissionen befogenhet att göra standardavtalsklausuler tillgängliga för offentliga myndigheter och vidareutnyttjare för scenarier där data från den offentliga sektorn är involverade i dataöverföringar med tredjeländer.
Läs mer
Översikt