DAEN

MENU

Nye regler om data: Datastyringsforordningen

I slutningen af 2021 blev der opnået politisk enighed i EU om flere nye retsakter på dataområdet. Retsakterne kommer til at påvirke både private virksomheder og offentlige myndigheder, og skaber rammerne for den digitale økonomi i EU, dvs. skabe rammerne for big data, kunstig intelligens og digitale services, samt skabe en bedre datainfrastruktur i EU.

I slutningen af 2021 blev der opnået politisk enighed i EU om flere nye retsakter på dataområdet. Retsakterne kommer til at påvirke både private virksomheder og offentlige myndigheder, og skaber rammerne for den digitale økonomi i EU, dvs. skabe rammerne for big data, kunstig intelligens og digitale services, samt skabe en bedre datainfrastruktur i EU.

I de følgende uger udgiver Poul Schmith/Kammeradvokaten en artikelserie på 5 artikler, hvori vi sætter spot på disse nye tiltag på dataområdet og forklarer reglernes betydning i praksis. De kommende retsakter omhandler:

  • datastyring (”datastyringsforordningen”)
  • kunstig intelligens (”AI-Forordningen”)
  • det indre marked for digitale tjenester (”forordning om digitale tjenester”)
  • åbne og retfærdige markeder i den digitale sektor (”forordning om digitale markeder”) samt
  • en såkaldt datalov om en fair dataøkonomi ved sikring af adgang til og brug af data, herunder både i forholdet business-to-business og business-to-government, samt regulering af databaser

I denne første artikel i serien gennemgår vi de væsentligste dele af forslaget til den kommende datastyringsforordning. Forordningen skal gøre det lettere for erhvervslivet og EU-landene at udveksle data for derved at øge velstanden, give borgerne medindflydelse og skabe tillid til virksomhederne.

Mod øget datadeling i eu

Datastyringsforordningen er det første af en række lovgivningsmæssige tiltag, der gennemføres som led i Den europæiske datastrategi. Strategien, som blev lanceret i 2020, har til formål at gøre EU førende i et datadrevet samfund ved at etablere et indre marked for data. Dette vil gøre det muligt for data at bevæge sig frit inden for EU og på tværs af sektorer til gavn for virksomheder, forskere og offentlige myndigheder og dermed samfundet og dets borgere.

Datastyringsforordningens overordnede mål er udmøntet i følgende fire konkrete formål:

  • At stille data fra den offentlige sektor til rådighed til videreanvendelse, herunder i tilfælde, hvor dataene er omfattet af andre rettigheder, såsom databeskyttelsesforordningen eller intellektuelle ejendomsrettigheder el.lign.
  • At dele data mellem virksomheder med enhver form for betaling.
  • At muliggøre at personoplysninger kan anvendes ved hjælp af en ”formidler til deling af personoplysninger”, der skal bistå fysiske personer med at udøve deres rettigheder efter databeskyttelsesforordningen.
  • At muliggøre anvendelse af data til altruistiske formål.

Samlet er formålet med datastyringsforordningen således at fremme tilgængeligheden af data til anvendelse ved at styrke datadelingsmekanismer i hele EU samt ved at øge tilliden til såkaldte dataformidlere. Forordningen har til gengæld ikke til formål at tildele, ændre eller fjerne materielle rettigheder til adgang til eller anvendelse af data. Det er planen, at dette i stedet skal håndteres i en kommende ”dataretsakt”. Sidstnævnte indgår også som en artikel i denne artikelserie.

Væsentligste nyskabelser i datastyringsforordningen

Udover en række almindelige bestemmelser om datastyringsforordningens genstand og centrale definitioner, indeholder forordningen tre kapitler, som hver især afspejler og fastsætter regler, der skal muliggøre opnåelsen af de ovenfor beskrevne formål. Vi vil i det følgende fremhæve de væsentligste elementer i hvert af de tre kapitler. Det er dog vigtigt indledningsvis at fremhæve, at forordningen ikke er endeligt vedtaget, og at indholdet således stadig kan ændre sig. I lyset af den politiske enighed om indholdet er det dog vores forventning, at de væsentligste elementer i reguleringen ligger fast.

Videreanvendelse af bestemte kategorier af data, som er i offentlige myndigheders besiddelse

Datastyringsforordningens kapitel II regulerer videreanvendelse af bestemte kategorier af data, som er i offentlige myndigheders besiddelse.

Kapitlet finder ifølge forordningens artikel 3 anvendelse på data, som er i offentlige myndigheders besiddelse, og som er beskyttet af hensyn til andres rettigheder, f.eks.  forretningshemmeligheder, tredjeparters intellektuelle ejendomsret eller beskyttelse af personoplysninger. Omvendt finder kapitlet ikke anvendelse på data, som er i offentlige virksomheders besiddelse, i public service-radio- og tv-virksomheders besiddelse, i kultur- og uddannelsesinstitutioners besiddelse, eller som er beskyttet af hensyn til national sikkerhed o.lign. Reglerne finder heller ikke anvendelse på data, hvis tilvejebringelse ikke er omfattet af en myndighedsopgave.

Reglerne i datastyringsforordningens kapitel II fritager ikke offentlige myndigheder for deres tavshedsforpligtelser, ligesom reglerne heller ikke berører retten til aktindsigt o.lign. Dertil kommer, at videreanvendelse af data alene tillades, hvis dette er i overensstemmelse med intellektuelle ejendomsrettigheder.

Selve mekanismen til videreanvendelse af beskyttede data fra den offentlige sektor er fastsat i datastyringsforordningens artikel 5. Efter denne bestemmelse offentliggør offentlige myndigheder, der har kompetence til at give eller nægte adgang til data, betingelserne for tilladelse af videreanvendelse af myndighedens data. Betingelserne skal være

  • ikkediskriminerende,
  • stå i rimeligt forhold til formålet og
  • være objektivt begrænsede med hensyn til kategorier af data, formålet med videreanvendelsen og karakteren af data.

Offentlige myndigheder kan ifølge forordningens artikel 5, stk. 3, i den forbindelse kræve, at kun såkaldte forbehandlede data videreanvendes, hvis formålet med forbehandlingen er at anonymisere eller pseudonymisere personoplysninger eller slette fortrolige forretningsoplysninger.

Offentlige myndigheder kan i forbindelse med tilladelse til videreanvendelse bl.a. stille krav om, at data tilgås og videreanvendes i et sikkert databehandlingsmiljø, der stilles til rådighed af og kontrolleres af den offentlige sektor.

Derudover får offentlige myndigheder mulighed for at kontrollere resultaterne af videreanvenderens behandling af data og ret til at forbyde anvendelsen af resultater, der indeholder oplysninger, som bringer tredjeparters rettigheder og interesser i fare. Dette fremgår af artikel 5, stk. 4 og 5.

For så vidt angår videreanvendelse af personoplysninger, fastsættes det i forslagets artikel 5, stk. 6, at hvis videreanvendelse af data ikke kan tillades efter artikel 5, stk. 3-5, og der ikke i databeskyttelses-forordningen kan findes et andet retsgrundlag for at videregive data, skal den offentlige myndighed støtte videre anvendere i at indhente et samtykke fra de registrerede og/eller tilladelse fra de juridiske enheder, hvis rettigheder og interesser kan blive berørt af en videreanvendelse. Dette forudsætter dog, at det er muligt uden uforholdsmæssige omkostninger for den offentlige sektor.

Sammenfattende er det væsentligste takeaway fra forordningens kapitel II således, at offentlige myndigheder efter forordningen fremadrettet vil have en forpligtelse til i langt højere grad at bistå erhvervslivet med at få adgang til deres data, herunder personoplysninger.

Datadeling

I forslaget til datastyringsforordningen fastsættes der i kapitel III en række relativt detaljerede regler vedrørende såkaldte datadelingstjenester. Reglerne vedrører eksempelvis krav om og til anmeldelse af udbud af datadelingstjenester samt betingelser for at udbyde en datadelingstjeneste.

Datadeling defineres som en dataindehavers tilrådighedsstillelse af data for en databruger med henblik på fælles eller enkeltvis brug af de delte data på grundlag af frivillige aftaler, enten direkte eller gennem en formidler. En datadelingstjeneste er eksempelvis en formidlingstjeneste mellem dataindehavere, som er juridiske personer, og potentielle databrugere, herunder tilrådighedsstillelse af de tekniske eller andre midler, der muliggør sådanne tjenester. Disse tjenester kan omfatte bilateral eller multilateral dataudveksling eller oprettelse af platforme eller databaser, der muliggør udveksling eller fælles udnyttelse af data, samt opbygning af en særlig infrastruktur til sammenkobling af dataindehavere og databrugere. Et andet eksempel på en datadelingstjeneste er formidlingstjenester mellem registrerede, der ønsker at stille deres personoplysninger til rådighed, og potentielle databrugere, herunder tilrådighedsstillelse af de tekniske eller andre midler, der muliggør sådanne tjenester, i forbindelse med udøvelsen af de rettigheder, der er fastsat i databeskyttelsesforordningen.

Gennemgående for datadelingstjenester er således, at de skal bidrage til øget deling af data og dermed til databevægelighed og et indre marked for data.

Udbydere af datadelingstjenester pålægges en række forpligtelser i forslaget til forordningens artikel 11. De væsentligste af disse forpligtelser er følgende:

  • Udbyderen må ikke anvende de data, som den udbyder tjenester for, til andre formål end at stille dem til rådighed for databrugere, og datadelingstjenester skal placeres i en særskilt retlig enhed.
  • Udbyderen skal sikre, at proceduren for adgang til vedkommendes tjeneste er retfærdig, gennemsigtig og ikkediskriminerende for både dataindehavere og databrugere.
  • Udbyderen skal indføre procedurer, der skal forhindre svigagtig praksis og misbrug i forbindelse med adgangen til data, når brugere ønsker adgang gennem udbyderens tjenester.
  • Udbyderen skal træffe passende tekniske, retlige og organisatoriske foranstaltninger for at forhindre overførsel af eller adgang til andre data end personoplysninger, som er ulovlig i henhold til EU-retten.
  • Udbyderen af tjenester til registrerede personer skal handle i de registreredes bedste interesse og gøre det lettere for dem at udøve deres rettigheder.

Forpligtelserne vil i praksis afhænge af, hvilken type datadelingstjeneste der er tale om. Generelt kan det dog bemærkes, at der stilles relativt omfattende krav til udbydere af datadelingstjenester, netop fordi disse efter forordningen vil spille en central rolle i deling af data og tilliden til samme.

Dataaltruisme

Kapitel IV i forslaget til datastyringsforordningen skaber en ramme for enheder, der indsamler og behandler data, som stilles til rådighed for altruistiske formål. Ved dataaltruisme forstås i forordningen registrerede personers samtykke til behandling af personoplysninger, der vedrører dem, eller andre dataindehaveres tilladelse til, at andre data end personoplysninger, som de er i besiddelse af, anvendes uden modydelse med henblik på almennyttige formål, f.eks. videnskabelige formål eller for at forbedre offentlige tjenester.

Det er en forudsætning for at være omfattet af reglerne, at enheden registreres som en dataaltruistisk organisation. Dette forudsætter, at den pågældende organisation skal:

  • være en retlig enhed, der er oprettet med henblik på at opfylde almennyttige formål.
  • drives uden sigte på fortjeneste og være uafhængig af enheder, der drives med fortjeneste for øje.
  • udføre de aktiviteter, der forbundet med dataaltruisme, gennem en juridisk uafhængig struktur, der er adskilt fra dens andre aktiviteter.

Der stilles i kapitel IV en række krav til registreringens indhold, krav om gennemsigtighed samt særlige krav til beskyttelse af registrerede personer og retlige enheders interesser for så vidt angår deres data.

For så vidt angår sidstnævnte, skal enheder, der er opført i registret over anerkendte dataaltruistiske organisationer, underrette dataindehaverne om de almennyttige formål, for hvilke den tillader, at en databruger behandler dens data, på en letforståelig måde samt eventuel behandling uden for EU. Enheden skal også sikre, at dataene ikke anvendes til andre formål end de almennyttige formål, til hvilke den tillader behandlingen.

Samspil med eksisterende regler

Datastyringsforordningen omfatter forskellige typer af data, herunder både personoplysninger og andre data end personoplysninger. Forordningen vil derfor i vidt omfang have overlap med anden (EU-retlig) regulering.

Ifølge forslaget til datastyringsforordningen er det klare udgangspunkt, at selvom der er et (væsentligt) samspil med de generelle regler i databeskyttelsesforordningen, e-databeskyttelsesdirektivet m.m., vil denne ikke ændre på indholdet af disse regler, men alene supplere dem.

Tilsvarende vil datastyringsforordningen ikke påvirke indholdet af sektorspecifik lovgivning, såsom eksisterende regulering af betalingstjenester, miljøoplysninger, intelligente transportsystemer, elektricitetsnetdata, elektronisk handel m.v. Datastyringsforordningen vil således understøtte anvendelse af data, der stilles til rådighed under de eksisterende regelsæt, uden at ændre disse regler eller skabe nye sektorspecifikke forpligtelser

Næste skridt

Europa-Parlamentet og EU’s medlemsstater er som nævnt nået til politisk enighed om Kommissionens forslag til datastyringsforordningen.

Næste skridt er den endelige vedtagelse af forordningen ved en afstemning i Europa-Parlamentet og i Rådet.

Forordningen lægger op til, at der gives en forberedelsesperiode på 12 måneder fra forordningens ikrafttrædelse. I denne periode vil bl.a. offentlige myndigheder skulle forberede sig på efterlevelse af forordningen, herunder ved at træffe de nødvendige tekniske og organisatoriske foranstaltninger til at understøtte videreanvendelse og deling af data.

Hvis du ønsker at høre mere om datastyringsforordningen eller andre af de kommende retsakter på dataområdet, er du velkommen til at kontakte os.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.