Data Act – konsekvensanalys avseende ny reglering för data
Bakgrund
Som en del av EU:s datastrategi ska Europeiska kommissionen (”Kommissionen”) under Q4 2021 lägga fram ett lagstiftningsförslag på området för tillgång till och skydd för data – Data Act. Som ett led i lagstiftningsprocessen publicerade Kommissionen den 28 maj 2021 en konsekvensanalys avseende lagstiftningsinitiativet. Konsekvensanalysen är öppen för s k offentligt samråd till och med 3 september 2021.
Datadrivna produkter och tjänster utvecklas ofta med hjälp av data från olika medlemsstater och kommersialiseras sedan i hela EU. Dock har medlemsstaterna kommit olika långt i lagstiftningsåtgärder avseende datadelning. För att undvika lagstiftningsfragmentering, och istället dra nytta av den inre marknadens omfattning, avser Kommissionen att harmonisera reglerna för tillgång till och användning av data inom EU genom Data Act.
Konsekvensanalysen har publicerats mot bakgrund av att vikten av tillgång till och användning av data har ökat i den digitala ekonomin och att det idag är några få aktörer som sitter på en stor del av den data som finns – vilket begränsar tillgången till data och snedvrider konkurrensen inom EU.
Konsekvensanalysen
Syftet med Data Act är att säkerställa tillgång till och användning av data i specifika situationer genom en allokering av ekonomiska värden som är lika för alla aktörer i dataekonomin. För att skapa en konkurrenskraftig inre marknad för data anser Kommissionen att reglerna om tillgång till och användning av data måste vara rättvisa, praktiska och tydliga.
För att uppnå Kommissionens mål måste ett antal problem övervinnas. De problem som Kommissionen har identifierat på området är:
- Användningen av personuppgifter av offentlig sektor
- Tillgången till och användningen av data inom privat sektor
- Avsaknaden av tekniska gränssnitt för automatiserade datautbyten
- Avsaknaden av standarder för smarta kontrakt
- Etablering av en konkurrenskraftigare molntjänstmarknad
- Internationellt skydd för data som inte är personuppgifter
Kommissionen överväger i konsekvensanalysen följande tillvägagångssätt för att överkomma de identifierade problemen.
Utökad tillgång till den privata sektorns data för offentlig sektor (B2G)
För att ge offentlig sektor utökad tillgång till den privata sektorns data överväger Kommissionen två policyalternativ. Vid utformningen av dessa alternativ ska hänsyn tas till behovet av att minska överföring av personuppgifter, inklusive konfidentiella affärshemligheter, till offentlig sektor. Kommissionens föreslagna policyalternativ är:
- En mer flexibel rättslig reglering avseende offentlig sektors tillgång till och användning av data som tillhör aktörer inom privat sektor – inklusive krav på datadelning, transparens och skyddsåtgärder.
- En rättslig reglering som ger offentlig sektor rätt att för definierade ändamål av allmänt intresse (eng. defined public interest purposes) få tillgång till data som innehas av aktörer inom privat sektor
Tillgång till och användning av data inom privat sektor (B2B)
För att säkerställa en rättvis tillgång till och användning av data mellan aktörer i privat sektor föreslår Kommissionen att fem policyalternativ utreds. De föreslagna alternativen är:
- Transparenskrav för tillverkare av smarta objekt avseende tillgång till och användning av annan data än personuppgifter.
- Ett skälighetstest (eng. fairness test) vid delning av data mellan aktörer i privat sektor för att förebygga oskäliga villkor för tillgång till och användning av data. Detta test skulle kunna kompletteras med modellklausuler som rekommenderas av Kommissionen.
- Fastställande av rättigheter avseende tillgång till och användning av annan data än personuppgifter på grundval av rättvisa, skäliga, proportionerliga, transparanta och icke-diskriminerande villkor.
- Harmonisering av horisontella villkor för tillgång till data som skulle kunna tillämpas på sektorsspecifika regler för tillgång till data. Sådana villkor skulle reglera hur parter får tillgång till data, medan sektorsspecifika regler avseende tillgång till data skulle kunna fastslås genom sektorsspecifik reglering.
- Utvärdering av nuvarande reglering i Databasdirektivet avseende immaterialrättsligt skydd av data och potentiella anpassningar av direktivet i syfte att förenkla tillgång till och användning av data.
Förbättrad portabilitet för data som genereras av privatpersoner
För att hjälpa individer att nyttja rätten till dataportabilitet överväger Kommissionen en reglering som föreskriver tekniska specifikationer för dataportabilitet som är förenliga med GDPR artikel 20. En sådan reglering skulle exempelvis reglera skyldigheten för företag som säljer smarta objekt att tillhandahålla tekniska gränssnitt som möjliggör portabilitet i realtid av data som insamlas av sådana smarta objekt.
Reglering avseende enkel molntjänstportabilitet
Kommissionens förslag till Data Act kan komma att innehålla bindande krav för molntjänstleverantörer att tillhandahålla data- och applikationsportabilitet. Möjliga policyalternativ för att uppnå detta innefattar:
- Framtagande av standardavtalsklausuler som baseras på branschkoder
- Utformning av högnivåkrav i Data Act som ska tillämpas på samtliga molntjänstleverantörer på marknaden.
- Framtagande av specifika regulatoriska krav som definierar tydliga kontraktuella, tekniska och ekonomiska villkor.
Interoperabilitet avseende smarta kontrakt
Antalet smarta kontrakt har ökat sedan 2017. Kommissionen menar att avsaknaden av harmoniserade standarder undergräver driftskompatibilitet och hindrar skalning mellan sektorer och över gränser. Med anledning därav föreslår Kommissionen att möjligheten att definiera väsentliga krav avseende smarta kontrakts interoperabilitet ska definieras samt att europeiska organ för standardisering ska ges i uppdrag att ta fram tekniska standarder för smarta kontrakt.
Offentlig sektors tillgång till annan data än personuppgifter som innehas av molntjänstleverantörer
För att minska riskerna med offentlig sektors tillgång till annan data än personuppgifter samt säkerställa förtroendet för användningen av molntjänster, avser Kommissionen att utvärdera två policyalternativ. Dessa alternativ är:
- en skyldighet för molntjänstleverantörer att underrätta användare varje gång molntjänstleverantören får en begäran om tillgång till uppgifter från utländska myndigheter samt att underrätta Kommissionen om lagar som de omfattas av utanför EU. Informationen skulle sedan offentliggöras på EU:s transparensportal.
- krav på molntjänstleverantörer att, utöver det föregående policyalternativet, vidta alla rimliga rättsliga, tekniska och organisatoriska åtgärder för att förhindra överföring eller tillgång till annan data än personuppgifter som innehas av företag inom EU, och som lagras hos molntjänstleverantörer, till myndigheter i tredjeländer i de fall sådan överföring skulle strida mot EU-rätten eller nationell lagstiftning.
Avslutande kommentar
För att EU ska bli en attraktiv, säker och dynamisk dataekonomi behöver tydliga och rättvisa regler för tillgång till och användning av data införas. Förslaget till Data Act är en del av EU-kommissionens datastrategi och syftar till att skapa en inre marknad för data, där data som inte är personuppgifter kan flöda fritt mellan länder och sektorer och användas på lika villkor av alla aktörer i hela EU. Lagstiftningsprocessen är fortfarande i ett tidigt skede och de reella konsekvenserna förslaget kan komma att få är ännu ovissa. Först efter den 3 september kommer Kommissionen gå vidare för att sedan publicera ett konkret förslag under Q4 2021.