I 2018 blev der genereret 33 zettabytes data, og det forventes, at dette tal vil stige til 175 zettabytes i 2025. Dog anslår EU Kommissionen, at 80% af industridata aldrig bliver brugt, og det nye forslag til en ny dataforordning har derfor til formål at stille flere data til rådighed for videreanvendelse.
Forslaget supplerer og berører ikke den gældende EU-lovgivning om databeskyttelse og beskyttelse af privatlivets fred, herunder navnlig GDPR-forordningen. Derfor er principperne for dataminimering, ”Data protection by Design and by Default” stadig afgørende, når behandlingen af data indebærer betydelige risici for fysiske personers grundlæggende rettigheder. Parterne i en datadeling bør derfor gøre brug af pseudonymisering, kryptering og anvendelse af teknologi, der gør det muligt at overføre algoritmer til data.
Hvad skal virksomhederne forberede sig på?
Forslaget sikrer, at brugere af et produkt[1] eller en relateret tjeneste[2] kan få adgang til de data, der genereres ved brug af produktet/tjenesten ved anmodning, og at brugerne kan anvende dataene, f.eks. ved at dele dem med tredjeparter efter eget valg. Dette kunne eksempelvis være en bruger, der vil sende data om et produkt til en virksomhed, der kan reparere produktet. Denne virksomhed vil ved øget adgang til data kunne forbedre og innovere sin tjeneste og konkurrere på lige fod med sammenlignelige tjenester udbudt af producenten, hvilket vil sænke priserne på markedet.
Hertil vil den øgede mulighed for deling af data optimere brugen af forskelligt udstyr. Eksempelvis vil en landmand, der har udstyr fra forskellige producenter (f.eks. en traktor og et automatisk vandingssystem) kunne anmode om deling af denne data til en specialiseret leverandør af landbrugsoptimeringssoftware, der kan analysere og give større indsigt i de indsamlede data.
Brugerens anmodning om dataadgang bør ske automatisk, f.eks. via oprettelse af en brugerkonto, der indeholder en simpel automatisk anmodningsmekanisme, eller via en app til telefonen.
Dog må de indhentede data ikke bruges til at udvikle et konkurrerende produkt.
I den forbindelse skal producenter og designere udforme deres produkter, så der er let adgang til data som standard. Hertil skal producenten acceptere brugerens anmodning om at stille denne data til rådighed for tredjeparter.
Dog kan dataindehaveren anmode om rimelig godtgørelse for at stille data til rådighed, der dog alene skal svare til de direkte omkostninger forbundet hermed.
Forslaget har også til formål at gøre det lettere at skifte mellem databehandlingstjenester, herunder cloud- og edgetjenester, og at forbedre interoperabiliteten af data, datadelingsmekanismer og tjenester. Forslaget indeholder således visse minimumskrav, der skal gøre det lettere at skifte mellem udbydere, og fastsætter, at udbyderne bør træffe rimelige foranstaltning som kryptering af data eller verificeret overholdelse af certificeringsordninger for sikkerhedsgarantier for at forhindre ulovlig adgang til andre data end personoplysninger.
Databaserettigheder
Forslaget berører ikke eksisterende regler inden for immaterialret, men indfører ændringer ift. databasedirektivet. For at fjerne risikoen for at indehavere af data i databaser, der er indsamlet eller genereret ved brug af et produkt eller en relateret tjeneste, påberåber sig sui-generis-retten i databasedirektivet, fastslår forslaget, at sui-generis-retten ikke finder anvendelse på sådanne databaser.
Gælder forpligtelserne også for SMV’er?
En lang række af forpligtelserne efter forslaget gælder ikke for små- eller mikrovirksomheder, herunder at gøre data lettilgængelig for brugeren.
Særligt i forhold til SMV’er bliver der foreslået et værn mod urimelige aftalevilkår, der regulerer adgangen til og anvendelsen af data eller ansvar og retsmidler i forbindelse med brud på eller ophør af datarelaterede forpligtelser. Forslaget lægger således op til, at ”take it or leave it” aftalevilkår, hvor en stærkere forhandlingsposition misbruges, ikke er bindende for SMV’er. De facto betyder dette en begrænsning i aftalefriheden.
Endeligt bliver der med forslaget åbnet op for, at offentlige myndigheder kan få adgang til data i tilfælde af offentlige nødsituationer såsom større naturkatastrofer eller større cybersikkerhedsrelaterede hændelser.
Håndhævelse og sanktioner
Forslaget fastslår, at hver medlemsstat skal udpege en eller flere kompetente myndigheder, som har ansvaret for anvendelsen og håndhævelsen af forordningen, herunder at behandle klager over påståede krænkelser af forordningen.
Hertil skal de nationale myndigheder samarbejde med andre medlemsstaters kompetente myndigheder for at sikre ensartet anvendelse af forordningen.
Endeligt kan de nationale myndigheder pålægge økonomiske sanktioner med afskrækkende virkning, herunder periodiske sanktioner og sanktioner med tilbagevirkende kraft, eller indlede retsforfølgning med henblik på at pålægge bøder.
Næste skridt
Rådet og Parlamentet er i gang med at udarbejde deres respektive holdninger til Kommissionens forslag, der kan læses i sin fulde længde her.
Kontakt Lundgrens’ IT Team, hvis du har spørgsmål til det nye forslag til forordning, herunder hvilken effekt det kunne få for din virksomhed, hvis forordningen bliver vedtaget i sin nuværende form.
[1] en materiel løsøregenstand, også hvis den indgår i en stationær genstand, som registrerer, genererer eller indsamler data vedrørende dens anvendelse eller omgivelser, og som er i stand til at kommunikere data via en offentligt tilgængelig elektronisk kommunikationstjeneste, og hvis primære funktion ikke er lagring og behandling af data
[2] en digital tjeneste, herunder software, som er integreret i eller forbundet med et produkt på en sådan måde, at fraværet heraf ville forhindre produktet i at udføre en af sine funktioner
