EU:s nya dataförvaltningsakt (Data Governance Act) träder i kraft i juni 2022 (läs mer här). Dataförvaltningsakten är del av EU-strategin för data, som syftar till att stärka dataekonomin. Syftet med dataförvaltningsakten är att främja tillgängligheten och användbarheten för data från den offentliga sektorn genom att öka förtroendet mellan aktörer som hanterar data samt att stärka mekanismer för datadelning inom EU. Dataförvaltningsakten ska också främja tillgången till data och skapa en tillförlitlig miljö för att underlätta användningen av data för forskningsändamål samt för skapandet av nya innovativa tjänster och produkter. Denna artikel analyserar vad den nya dataförvaltningsakten innebär i praktiken.
Bakgrund och syfte
Dataförvaltningsakten är del av EU-strategin för data, som syftar till att stärka dataekonomin. Syftet med dataförvaltningsakten är att främja tillgängligheten och användbarheten för data från den offentliga sektorn genom att öka förtroendet mellan aktörer som hanterar data samt att stärka mekanismer för datadelning inom EU. Dataförvaltningsakten ska främja tillgången till data och skapa en tillförlitlig miljö för att underlätta användningen av data för forskningsändamål samt för skapandet av nya innovativa tjänster och produkter
Mekanismer för att göra data tillgänglig och användbar
Syftena med dataförvaltningsakten ska uppnås genom att den skapar en mekanism som gör det möjligt att på ett säkert sätt vidareutnyttja vissa kategorier av data från den offentliga sektorn som omfattas av andras rättigheter. Det handlar till exempel om företagshemligheter, personuppgifter och uppgifter som skyddas av immateriella rättigheter. Detta innebär att offentliga myndigheter som tillåter denna typ av vidareutnyttjande behöver vara tekniskt rustade för att se till att integriteten och sekretessen bevaras fullt ut. I detta avseende kommer dataförvaltningsakten att komplettera direktivet om öppna data från 2019, som inte omfattar sådana typer av data.
Exklusiva avtal om vidareutnyttjande av data från den offentliga sektorn kommer att kunna ingås när det är motiverat och nödvändigt för tillhandahållandet av en tjänst av allmänt intresse. Löptiden för befintliga avtal kommer att vara högst 30 månader och för nya kontrakt 12 månader. EU-kommissionen ska även upprätta en europeisk gemensam åtkomstpunkt med ett sökbart elektroniskt register över data från den offentliga sektorn. Registret ska vara tillgängligt via nationella gemensamma informationspunkter.
Ett nytt ramverk för dataförmedlingstjänster
Dataförvaltningsakten skapar ett nytt ramverk för att främja så kallade dataförmedlingstjänster som ska tillhandahålla en säker miljö där företag eller enskilda personer kan dela data. När det gäller företag kan dessa tjänster bestå av digitala plattformar som stöder frivillig datadelning mellan företag eller som underlättar fullgörandet av sådana datadelningsskyldigheter som fastställs i denna förordning, och även annan (europeisk eller nationell) lagstiftning. Genom att använda dessa tjänster kommer företagen att kunna dela sina data utan att behöva oroa sig för att de ska missbrukas eller att man ska förlora konkurrensfördelar.
En tänkbar tillämpning på området personuppgifter är tjänster som hjälper enskilda att utöva sina rättigheter enligt den allmänna dataskyddsförordningen (GDPR). Sådana tjänster kan hjälpa människor att få full kontroll över sina uppgifter och att dela dem med företag som de litar på. Detta kan till exempel göras med hjälp av nya verktyg för hantering av personuppgifter, som personliga dataområden eller dataplånböcker (appar som utbyter sådana uppgifter med andra på grundval av datainnehavarens samtycke).
Leverantörer av dataförmedlingstjänster kommer att behöva listas i ett register, så att deras kunder vet att de kan lita på dem. Tjänsteleverantörerna kommer inte att ha rätt att använda delade data i andra syften. De kommer till exempel inte att kunna sälja data vidare, däremot får de ta betalt för de transaktioner som de utför.
Lättare tillgång till data för samhällsnytta
Genom dataförvaltningsakten ska det bli lättare för enskilda och företag att frivilligt göra data tillgängliga för det allmännas bästa, till exempel för medicinska forskningsprojekt. De som vill samla in data för ändamål av allmänt intresse kan begära att tas upp i ett nationellt register över erkända dataaltruismorganisationer. Registrerade organisationer kommer att erkännas i hela EU. Detta kommer att skapa det förtroende som krävs för dataaltruismen och uppmuntra enskilda och företag att ge data till sådana organisationer, så att de kan utnyttjas för en bredare samhällsnytta. Om en organisation vill bli erkänd som dataaltruismorganisation enligt dataförvaltningsakten måste den följa ett särskilt regelverk.
Enkel identifiering av tjänsteleverantörer
Frivillig certifiering i form av en logotyp ska göra det lättare att känna igen vilka leverantörer av dataförmedlingstjänster och dataaltruismorganisationer som följer reglerna.
Europeiska datainnovationsstyrelsen
En ny enhet, Europeiska datainnovationsstyrelsen, kommer att skapas för att ge råd till och bistå EU-kommissionen bland annat i arbetet med att förbättra dataförmedlingstjänsternas interoperabilitet och med att utarbeta riktlinjer om hur utvecklingen av dataområden kan underlättas.
Internationell åtkomst till och överföring av data
Genom dataförvaltningsakten skapas åtgärder som skyddar data från den offentliga sektorn, dataförmedlingstjänster och dataaltruismorganisationer mot olaglig internationell överföring av eller statlig åtkomst till icke-personuppgifter. För personuppgifter finns inom EU redan liknande skyddsåtgärder tack vare GDPR.
Mer specifikt kan EU-kommissionen anta beslut om adekvat skyddsnivå som anger att specifika länder utanför EU måste ha tillräckliga skyddsåtgärder för användning av icke-personuppgifter som överförs från EU. Dessa beslut liknar besluten om adekvat skyddsnivå för personuppgifter inom ramen för GDPR. Sådana skyddsåtgärder anses föreligga om landet i fråga har likvärdiga åtgärder som säkerställer en skyddsnivå liknande den som ges genom lagstiftningen i EU eller dess medlemsländer.
EU-kommissionen får också anta standardavtalsklausuler för att stödja offentliga myndigheter och aktörer som vidareutnyttjar data i samband med överföringar av icke-personuppgifter som omfattas av dataförvaltningsakten till länder utanför EU.
Tidsplan för tillämpningen
Dataförvaltningsakten godkändes av Europeiska rådet den 16 maj 2022 och publicerades i EU:s officiella tidning den 6 juni 2022. Den träder i kraft träda i kraft 20 dagar efter dagen den publicerades, dvs. i juni 2022. Den börjar tillämpas 15 månader efter ikraftträdandet, dvs. i september 2023.
Lagtext
Du hittar texten för den nya dataförvaltningsakten (EU-förordning 2022/868) här.
Nästa steg
Myndigheter, regioner, kommuner och andra offentliga verksamhetens bör förbereda sig på den nya dataförvaltningsakten. Ett lämpligt första steg kan vara att analysera vad dataförvaltningsakten innebär för verksamheten och utreda om och i förekommande fall vilka åtgärder som behöver vidtas. Exempel på åtgärder kan vara tekniska åtgärder som säkerställer sekretess av data, avtal om nyttjande för data och legala åtgärder för lagenlig överföring av data till länder utanför EU/EES.
Kontakta Sebastian Berg (sebastian@techlaw.se), expert inom IT-rätt och datajuridik, för råd.