Lagstiftaren fortsätter sina försök att komma ikapp tekniken
Tänk dig att försöka köra ikapp ett Shinkansen-tåg med en dressin som drar en riktigt tung godsvagn. På räls vars underhåll har eftersatts under ganska många år. Du fattar. Svårt. Det är nämligen vad våra kära lagstiftare försöker göra när de reglerar tekniken. Men fortsätt kämpa, lagstiftare! Vissa saker måste regleras för att se till att tekniken används på ett ansvarsfullt och samhällsmässigt effektivt sätt. Bättre sent än aldrig.
Nästa flämtning längs rälsen kommer från Bryssel genom en förordning som fått det informativa namnet dataförordningen. Dataförordningen syftar till att utveckla EU:s dataekonomi genom att göra den mer rättvis och att öka datans tillgänglighet.
Skyldigheterna i förordningen träffar framförallt leverantörer av internetanslutna produkter, s.k. sakernas internet, eller Internet of Things (IOT), och molntjänster. Det kan exempelvis vara fråga om bilar, medicintekniska produkter, smarta hem-produkter och verktyg eller maskiner för bygg och industri. Många produkter kommer samtidigt att träffas av kraven på cybersäkerhet i Cyber Resilience Act (som vi har skrivit om här).
Dataförordningen gäller både för produkter som riktar sig till konsumenter och sådana som erbjuds till företag. Reglerna träffar brett och tar inte mycket hänsyn till verksamhetens storlek. I huvudsak är endast de minsta företagen, s.k. mikroföretag, undantagna.
Med dataförordningen ska det bl.a. bli enkelt och kostnadsfritt för användarna att komma åt den data de själva genererar. Det ska även bli lättare att byta från en molntjänst till en annan. Uppfyller man inte kraven kan man tvingas att betala sanktionsavgifter och viten.
Du jobbar ju med data!
I EU har man nu kommit på det vi i Sverige vetat sedan Masjävlar vann ett gäng guldbaggar precis efter att vi återhämtat oss efter millenniebugg-hysterin: Fler och fler jobbar med data. Och de flesta av oss genererar mycket mer data än vi har åtkomst till och kan dra nytta av – både privat och i jobbet. I den 71 sidor långa rafflande och dramatiska, men samtidigt till viss del sövande, dataförordningen vill EU göra den data som finns inom unionen åtkomlig för fler.
Dataförordningen börjar gälla den 12 september 2025, lagom till dess att många förhoppningsvis har hunnit smälta kraven på informationssäkerhet som kommer med bl.a. NIS 2-direktivet och DORA-förordningen (som du kan läsa mer om här och här). Dataförordningen kompletterar dataförvaltningsförordningen (japp, de heter i princip samma sak) som har samma syfte, dvs. att tillgängliggöra data inom EU. Dataförvaltningsförordningen gäller sedan 24 september 2023 och reglerar, tillsammans med den kommande kompletteringslagen, framförallt extern åtkomst till data från myndigheter. På samma tema har vi även vår svenska lag om den offentliga sektorns tillgängliggörande av data.
Vad behöver vi ha koll på? Vilka möjligheter öppnas?
Genom dataförordningen får användare av IOT-produkter en förstärkt rätt att komma åt den data de genererar genom produkterna, både sådan som innehåller personuppgifter (och då gäller förstås även GDPR) och annan data. Tanken är att stärka användarnas, men också andras, möjligheter att använda data för att utveckla sin verksamhet. Exempelvis kan informationen göra det enklare för en tredje part att tillhandahålla reparations- eller underhållstjänster till användaren.
Dataförordningen är, som många EU-rättsakter, inget under av tydlighet utan kan nog väntas ge upphov till en del rynkade pannor. Konkret innebär förordningen att IOT-produkter ska utformas så att data är direkt tillgänglig för användaren på ett enkelt, säkert och kostnadsfritt sätt i ett heltäckande, strukturerat, allmänt använt och maskinläsbart format. Om sådan direktåtkomst inte är möjlig ska datan göras tillgänglig ”utan oskäligt dröjsmål” efter en begäran. Det finns vissa, men egentligen inte särskilt stora, möjligheter att begränsa åtkomsten för t.ex. företagshemligheter.
Tillhandahållarna blir också skyldiga att, på begäran, göra en användares data tillgänglig för en tredje part utan kostnad. Viktigt att veta är att om man tar emot data i egenskap av tredje part blir man också föremål för skyldigheter. Man måste alltså tänka till innan man tar emot data, om man inte redan har en beredskap för de skyldigheter som kommer med den. Det finns ett förbud mot att använda datan för att utveckla en produkt som konkurrerar med den uppkopplade produkt som datan kommer ifrån, vilket säkert kommer att leda till en hel del funderingar.
När man ingår avtal om t.ex. försäljning eller uthyrning av IOT-produkter måste man se till att användaren får tillgång till en mängd information, såsom typen, formatet och den uppskattade mängden produktdata som den uppkopplade produkten kan generera.
Förordningen innehåller också ett ramverk för hur data ska delas mellan företag, om det finns en skyldighet att dela data enligt förordningen eller något annat regelverk. Där finns bl.a. regler om rätt till ersättning för delad data och förbud mot vissa orättvisa avtalsvillkor vid datadelning.
Användare av molntjänster ska ha rätt att byta tjänst – liknande rätten till dataportabilitet i GDPR. En molntjänstleverantör måste därför ha en beredskap för att kunna föra över användarnas data i användbart skick till en annan leverantör. Från och med 2027 får leverantörerna inte ta betalt för sådana byten. I samma anda, dvs. för att öka datans portabilitet, kommer krav på interoperabilitet, som innebär att de som erbjuder data och datatjänster ska eftersträva vissa standarder för bl.a. datastruktur och gränssnitt.
Vad gör vi nu?
Det finns ett antal frågor som dyker upp när man läser dataförordningen som är viktiga att fundera på redan nu. Behöver man göra om sina system kan det ta tid och då är det inte säkert att det är särskilt gott om tid att få allt gjort före nästa sommar. Vi på Forefront står till buds för att hjälpa er att ta ställning till alla de här frågorna.
- Omfattas vi av kraven i dataförordningen?
- Får vi några rättigheter genom dataförordningen? Hur kan vi dra nytta av dem?
- Ger vi tillräcklig information till användarna innan vi ingår avtal med dem?
- Ska vi göra datan direkt åtkomlig för användaren eller endast på begäran?
- Behöver vi bygga om våra system för att klara av kraven på interoperabilitet?
- Hur säkerställer vi att data delas på ett säkert sätt?
- Vi har tagit emot data som tredje part, vad måste vi tänka på nu?
- Hur ser vi till att vi uppfyller dataförordningens krav på delning samtidigt som vi hanterar personuppgifter på ett sätt som är förenligt med GDPR?
- Vad gör vi om vi vill använda data för att utveckla en produkt utan att riskera att bryta mot förbudet att utveckla konkurrerande produkter?
Vi jobbar också med data
På Forefront har vi ledande expertis inom tech-juridik och vet precis hur vi ska jobba framåt med dataförordningen. Vi har också den know-how som behövs för att se till att det fungerar rent praktiskt och är vana att jobba interdisciplinärt mellan juridik och teknik. Än finns det tid kvar till september 2025, och är ni tidiga på bollen kan ni vinna goodwill genom att visa era kunder att ni i god tid anpassat er till förordningen. Samtidigt kan ni också tidigt dra nytta av de nya reglerna genom enklare inhämtning av information från andra aktörer.
/Staffan Uhlmann
Senior juristkonsult inom tech och informationssäkerhet
*Förordning om harmoniserade regler för skälig åtkomst till och användning av data, på engelska Data Act.