Certezza
Certezza
08 791 92 00
Kontakt Incident Support
Meny Stäng
ISO27001 Certified
08 791 92 00
ISO27001 Certified
Certezza Kontakt Incident

Dataakten – eller förordning om harmoniserade regler för skälig åtkomst till och användning av data

2022-04-01
Den 23 februari 2022 presenterade kommissionen ett förslag till en förordning om harmoniserade regler för rättvis tillgång till och användning av data från bland annat uppkopplade produkter, s.k. sakernas internet, inom ramen för den europeiska strategin för data

(COM (2020) 66).

Syftet med förslaget är att mellan aktörerna i dataekonomin rättvist fördela nyttor från den typen av data som kommer från uppkopplade produkter samt att främja tillgång till och användning av data.

Enligt EU-kommissionen syftar förslaget till att främja fullbordandet av den inre marknaden för data, där data från den offentliga sektorn, företag och enskilda används på bästa möjliga sätt, samtidigt som rättigheterna i förhållande till sådana data och de investeringar som görs för att samla in dem respekteras. Bestämmelserna om delning av data mellan leverantörer av databehandlingstjänster syftar till att skapa rättvisa och konkurrenskraftiga marknadsvillkor för den inre marknaden för molntjänster och relaterade tjänster. Skyddet av konfidentiella affärsuppgifter och företagshemligheter är en viktig aspekt av den inre marknadens funktion. Förslaget ska säkerställa respekten för företagshemligheter i samband med datadelning mellan företag och konsumenter.

Svenska ståndpunkter finns här 2021/22:FPM70. 

Förordningen har som mer specifika syften enlig nedan

  • Underlätta konsumenternas och företagens åtkomst till och användning av data, och samtidigt bevara incitamenten att investera i skapandet av värde genom data.
  • Se till att de offentliga myndigheterna och unionens institutioner, byråer och organ kan använda data som innehas av företag i särskilda situationer där behovet av data är stort.
  • Underlätta byten mellan olika tjänster för molnteknik och edge computing.
  • Införa skyddsåtgärder mot olaglig överföring av data utan föregående meddelande av molntjänstleverantören.
  • Utarbeta interoperabilitetsstandarder för data som ska återanvändas mellan olika sektorer i ett försök att undanröja hinder för datautbytet mellan gemensamma domänspecifika europeiska dataområden, i enlighet med kraven på interoperabilitet inom sektorn, och mellan andra data som inte omfattas av ett särskilt gemensamt europeiskt dataområde.

Förordningen ska tillämpas på

  • Tillverkare av produkter och tillhandahållare av relaterade tjänster som är placerade på inre marknaden och användarna av dessa produkter och tjänster.
  • Datainnehavare som delar data till datamottagare inom EU:s institutioner och myndigheter som begär att datainnehavare ska dela data när det finns ett exceptionellt behov för utförandet av en uppgift av allmänt intresse, och
  • Datamottagare i EU till vilka data har delats.
  • Offentliga organ och unionens institutioner, byråer eller organ som begär att datainnehavare gör data tillgängliga när det finns ett exceptionellt behov av dessa data för utförandet av en uppgift i allmänt intresse.
  • Leverantörer av databehandlingstjänster som erbjuder kunder i unionen sådana tjänster.

Tre kategorier av marknadsaktörer definieras:

  • Användare, det vill säga en fysisk eller juridisk person som äger, hyr eller leasar en produkt eller använder en tjänst.
  • Datainnehavare, det vill säga en juridisk eller fysisk person som har lagliga rättigheter eller skyldigheter, eller förmågan att göra vissa data tillgängliga (genom produktens tekniska design).
  • Datamottagare, vilket innebär en part till vilken en datainnehavare delar data på begäran av en användare.

Några definitioner ur förslaget: 

  • data: varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, fakta eller information, även i form av ljudupptagningar, bildupptagningar eller audiovisuella upptagningar.
  • produkt: alla lösa saker, även när de ingår i ett fast föremål, som erhåller, genererar eller samlar in data om sin användning eller om miljön, och som kan kommunicera data via en allmänt tillgänglig elektronisk kommunikationstjänst och vars huvudfunktion inte är att lagra eller behandla data.
  • användare: fysisk eller juridisk person som äger, hyr eller leasar en produkt eller erhåller en tjänster.
  • datainnehavare: juridisk eller fysisk person som har en rätt eller skyldighet, i enlighet med denna förordning, tillämplig unionslagstiftning eller nationell lagstiftning som genomför unionslagstiftning, eller, när det gäller ickepersonuppgifter och genom kontroll av den tekniska designen för produkten och tillhörande tjänster, förmågan att göra vissa data tillgängliga.
  • datamottagare: en juridisk eller fysisk person, som agerar för syften kopplade till personens näringsverksamhet, affärsverksamhet, hantverk eller yrke och som är en annan än användaren av en produkt eller tillhörande tjänst, åt vilken datainnehavaren gör data tillgängliga, inbegripet en tredje part på användarens begäran eller i enlighet med en rättslig skyldighet enligt unionsrätten eller nationell lagstiftning som genomför unionsrätten.
  • allmänt nödläge: en exceptionell situation med negativa konsekvenser för befolkningen i unionen, en medlemsstat eller en del av en medlemsstat, och som medför en risk för allvarliga och bestående återverkningar på levnadsvillkoren och den ekonomiska stabiliteten, eller avsevärd värdeminskning av ekonomiska tillgångar i unionen eller berörda medlemsstater.
  • behandling: åtgärd eller kombination av åtgärder som utförs på data eller dataset i elektroniskt format, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbetning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.
  • smart kontrakt: ett datorprogram som lagras i ett system för elektroniska liggare där resultatet från exeveringen (Sic) av programmet registreras i den elektroniska liggaren.
  • elektronisk liggare: en elektronisk liggare enligt artikel 3.53 i förordning (EU) nr 910/2014 (eIDAS 2, ett manipuleringssäkert elektroniskt register över data, som säkerställer äkthet och integritet för de data som den innehåller, samt korrekt datum och tidpunkt och kronologisk ordning för dessa data).

Skyldighet att göra data som genereras genom användning av produkter eller tillhörande tjänster tillgängliga

Produkter ska utformas och tillverkas, och tillhörande tjänster ska tillhandahållas, så att data som genereras av användare är tillgängliga för användaren på ett enkelt, säkert och, när detta är relevant och lämpligt, direkt sätt.

Om användaren inte har direkt åtkomst till data från produkten ska datainnehavaren utan onödigt dröjsmål, utan kostnad och i tillämpliga fall kontinuerligt och i realtid göra de data som genereras genom användningen av en produkt eller tillhörande tjänst tillgängliga för användaren. Detta ska göras på grundval av en enkel begäran på elektronisk väg om det är tekniskt möjligt.

På begäran av en användare, eller av en part som agerar för en användares räkning, ska datainnehavaren utan onödigt dröjsmål och utan kostnad för användaren göra de data som genererats genom användningen av en produkt eller tillhörande tjänst tillgängliga för en tredje part, med samma kvalitet som är tillgänglig för datainnehavaren och, i tillämpliga fall, kontinuerligt och i realtid.

Tekniska skyddsåtgärder och om obehörig användning eller obehörigt utlämnande av data

Datainnehavaren får vidta lämpliga tekniska skyddsåtgärder, inbegripet smarta kontrakt för att förhindra obehörig åtkomst till data.

En datamottagare som, i syfte att erhålla data, har lämnat felaktig eller falsk information till datainnehavaren, använt bedrägliga eller tvingande medel eller missbrukat tydliga luckor i datainnehavarens tekniska infrastruktur som är utformad för att skydda dessa data, har använt de data som gjorts tillgängliga för obehöriga ändamål eller har röjt dessa data för en annan part utan datainnehavarens tillstånd, ska utan onödigt dröjsmål

  1. Förstöra de data som tillhandahållits av datainnehavaren och eventuella kopior av dessa.
  2. Avsluta produktion, erbjudande, utsläppande på marknaden eller användning av varor, härledda data eller tjänster som framställts på grundval av kunskap som erhållits genom sådana data, eller import, export eller lagring av varor som innebär intrång för dessa ändamål, och förstöra alla varor som innebär intrång.

Punkten 2 ovan ska inte tillämpas om

  1. Användningen av data inte har vållat datainnehavaren betydande skada.
  2. Det skulle vara oproportionerligt med hänsyn till datainnehavarens intressen.

Skyldighet att göra data tillgängliga för en offentlig myndighet

Alla företag (utom små företag och mikroföretag) ska på begäran – kostnadsfritt – göra data tillgängliga för en offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan som visar att det föreligger ett exceptionellt behov av att använda dessa begärda data.

Ett exceptionellt behov av att använda data ska anses föreligga under någon av följande omständigheter:

  1. Om datan är nödvändig för att hantera ett allmänt nödläge.
  2. Om begäran om data är begränsad i tid och omfattning och nödvändig för att förhindra ett allmänt nödläge eller bidra till återhämtningen från ett allmänt nödläge.
  3. Om bristen på tillgängliga data hindrar den offentliga myndigheten eller unionsinstitutionen, unionsbyrån eller unionsorganet från att utföra en specifik uppgift av allmänt intresse som uttryckligen föreskrivs i lag och
    1. den offentliga myndigheten eller unionsinstitutionen, unionsbyrån eller unionsorganet inte har kunnat erhålla sådana data på alternativa sätt, till exempel genom att köpa in data på marknaden till marknadspris eller genom att förlita sig på befintliga skyldigheter att göra data tillgängliga, och antagandet av nya lagstiftningsåtgärder kan inte säkerställa att data finns tillgängliga i tid, eller
    2. att inhämtning av data i enlighet med det förfarande som fastställs i detta kapitel avsevärt skulle minska den administrativa bördan för datainnehavare eller andra företag

Skyddsåtgärder för data som inte är personuppgifter i internationella sammanhang

Leverantörer av databehandlingstjänster ska vidta alla rimliga tekniska, rättsliga och organisatoriska åtgärder, inbegripet avtalsarrangemang, för att förhindra internationell överföring av eller statlig åtkomst till icke-personuppgifter som innehas i unionen, om en sådan överföring eller åtkomst skulle strida mot unionsrätten eller den berörda medlemsstatens nationella lagstiftning,

Grundläggande krav på interoperabilitet

Operatörer av dataområden ska uppfylla följande grundläggande krav för att underlätta interoperabilitet mellan data, datadelningsmekanismer och datadelningstjänster:

  1. Innehåll i dataset, användningsbegränsningar, licenser, datainsamlingsmetoder, datakvalitet och osäkerhet i data ska beskrivas tillräckligt för att mottagaren ska kunna hitta, få åtkomst till och använda data.
  2. Datastrukturer, dataformat, vokabulärer, klassificeringssystem, taxonomier och kodförteckningar ska beskrivas på ett allmänt tillgängligt och konsekvent sätt.
  3. De tekniska medlen för åtkomst till data, såsom programmeringsgränssnitt, och deras användningsvillkor och tjänstekvalitet ska vara tillräckligt beskrivna för att möjliggöra automatisk åtkomst och överföring av data mellan parter, även kontinuerligt eller i realtid i ett maskinläsbart format.
  4. De medel som krävs för att möjliggöra interoperabilitet mellan smarta kontrakt inom deras tjänster och verksamhet ska tillhandahållas.

Grundläggande krav avseende smarta kontrakt för datadelning

Leverantören av en applikation som använder smarta kontrakt eller den person vars närings- eller yrkesverksamhet inbegriper användning av smarta kontrakt för andra inom ramen av ett avtal om att tillgängliggöra data ska efterleva följande grundläggande krav:

  1. Robusthet: Säkerställa att det smarta kontraktet har utformats för att erbjuda en mycket hög grad av robusthet för att undvika funktionsfel och stå emot manipulering från tredje parts sida.
  2. Säkerhet vid uppsägning och avbrott: Säkerställa att det finns en mekanism för att avsluta det fortsatta genomförandet av transaktioner. Det smarta kontraktet ska omfatta interna funktioner som kan återställa eller instruera kontraktet att permanent eller tillfälligt avbryta driften för att undvika framtida (oavsiktliga) exekveringar.
  3. Dataarkivering och kontinuitet: Föreskriva, i fall där ett smart kontrakt måste avslutas eller avaktiveras, en möjlighet att arkivera transaktionsuppgifter, den smarta avtalslogiken och kod för att föra register över tidigare utförda transaktioner (granskningsbarhet).
  4. Behörighetskontroll: Ett smart kontrakt ska skyddas genom strikta mekanismer för åtkomstkontroll vid skikten för kontroll och smarta kontrakt.

Senaste Notiser

Se fler notiser >

Senaste Krönikor

Se fler krönikor >