Hvad skal man være særligt opmærksom i EU’s Data Act?

For danske virksomheder, der skal overholde EU’s dataforordning, er der flere centrale punkter at være opmærksom på.

Fokus bør især være på adgang til og deling af data, kontraktforhold, tekniske og organisatoriske foranstaltninger samt dokumentation af compliance.

1. Adgangs- og delingsrettigheder
Virksomheder skal sikre, at de kan give adgang til data genereret af deres produkter eller tjenester, især IoT-enheder, til både kunder og andre virksomheder, når det kræves.

Dette kræver overblik over, hvilke data der indsamles, og hvordan de kan udleveres på en sikker og struktureret måde.

Helt konkret skal virksomhederne have styr på følgende:

• Som dataindehavere skal man stille data til rådighed på fair, rimelige og ikke-diskriminerende vilkår og må ikke indgå eneretsaftaler om adgang til data.
• Brugere skal have mulighed for at dele data med tredjepart, også til kommercielt brug.
• Leverandører af cloud-tjenester skal sikre, at data nemt kan flyttes til andre udbydere i forbindelse med leverandørskifte.
• Hvis man udvikler eller leverer forbundne produkter og tjenester (f.eks. IoT-enheder), skal man sikre, at brugere og virksomheder nemt kan tilgå og dele de data, de selv har genereret, på en gennemsigtig og let tilgængelig måde.
• Offentlige myndigheder skal kunne få adgang til data ved ekstraordinære behov som kriser eller nødsituationer.

Du kan læse mere om de konkrete tiltag og formuleringer i kapitel 2 i EU’s Data Act.

2. Gennemsigtige og fair datakontrakter
Det er vigtigt at gennemgå og eventuelt opdatere kontrakter om datadeling, så de lever op til krav om fair adgang og brug af data. Kontrakter skal være gennemsigtige og ikke urimeligt begrænse adgangen til data for andre parter.

Når du som virksomhed udarbejder kontrakter, skal du være opmærksom på følgende:

• Alle dataaftaler skal være baseret på FRAND-principper (fair, rimelige og ikke-diskriminerende vilkår).
• Vilkår, der ensidigt pålægges – fx “take it or leave it”-aftaler – kan erklæres ugyldige, hvis de vurderes urimelige.
• Der gælder særlige beskyttelsesmekanismer for mikrovirksomheder og SMV’er på B2B-markedet, så man undgår urimelige kontraktvilkår.

I kapitel 4 i EU’s Data Act, kan du læse mere om ovenstående. Især artikel 13 samt artikel 14-22, der giver eksempler på vilkår, der anses for urimelige og indeholder procedurer for vurdering af kontraktvilkår, er vigtige at sætte sig ind i.

3. Tekniske og organisatoriske foranstaltninger
Virksomheder skal implementere tekniske og organisatoriske tiltag, der sikrer korrekt håndtering, deling og beskyttelse af data. Dette inkluderer opdatering af interne processer, træning af medarbejdere og løbende audits.

Først og fremmest skal:

• Virksomheden sikre, at brugere og datamodtagere får adgang til relevante data via gennemsigtige, overskuelige digitale grænseflader – f.eks. API, downloadfunktion, portering.
• Man udarbejde interne politikker, uddanne medarbejdere, procedurer for håndtering af dataanmodninger og sikring af compliance.
• Dataindehavere og producenter løbende opdatere sikkerhedsforanstaltninger for at minimere risici og sikre compliance på tværs af produkter, tjenester og nationale grænser.
• Cloud-udbydere og databehandlingstjenester implementere organisatoriske sikkerhedsprocedurer for at forhindre ulovlig adgang og lette flytning af data mellem udbydere (cloud portability).

En nærmere beskrivelse af de forskellige foranstaltninger findes i Data Act’s kapitel 6, 7 og 8.

4. Dokumentation og compliance
Virksomheder skal kunne dokumentere, at de overholder Data Act, f.eks. gennem politikker, procedurer og eventuelle certificeringer. Dette ligner kravene fra GDPR, hvor dokumentation og løbende evaluering er centrale.

Selvom Data Act ikke har ét enkelt “dokumentationskapitel” som GDPR, skal du være opmærksom på følgende områder, hvor der stilles indirekte og direkte krav:

• Virksomheder skal kunne fremvise dokumentation for, hvordan data deles, hvem der har adgang, opbevaringsperioder, adgangsrettigheder og procedure for portering/sletning af data
• Der skal foreligge skriftlig dokumentation for alle relevante organisatoriske og tekniske tiltag herunder intern audits og rapportering – denne skal kunne fremlægges for myndigheder eller ved tvist om compliance.
• Virksomheder skal dokumentere og kunne redegøre for, at kontrakter og tekniske procedurer vedrørende datadeling er opbygget på fair, rimelige og ikke-diskriminerende vilkår (FRAND).
• Compliance omfatter også løbende revurdering, opdatering og ajourføring af dokumentation, så virksomheden til enhver tid kan vise overholdelse af Data Act’s krav.

De konkrete krav til virksomheders dokumentation og compliance i EU’s Data Act fremgår især af kapitel 6-8 samt de tilhørende artikler om forpligtelser, transparens og information.

5. Samspil med GDPR og nationale regler
Data Act supplerer GDPR, men overlapper ikke fuldstændigt. Virksomheder skal derfor sikre, at de både overholder Data Act og eksisterende databeskyttelsesregler, herunder den danske databeskyttelseslov.

Hvis du vil vide mere

Vi afholder også et event, hvor du kan blive klogere på Data Act, og hvad den betyder for jeres virksomhed.

• 28. oktober afholder vi webinaret ”Kravene i Data Act og overholdelse heraf”, som du også kan tilmelde dig via vores hjemmeside.

Derudover har vi et tæt samarbejde med DAHL Advokatpartnerskab, hvor du som medlem af IT-Branchen kan få gratis rådgivning om f.eks. dataforordningen.

Du skal blot skrive til DAHLs juridiske hotline på shield@dahllaw.dk eller ringe på 88 91 91 00. Den telefoniske rådgivning er ubegrænset og gratis for dig som medlem. De første 4 timers skriftligt advokatarbejde er gratis.

Du kan også læse mere om reglerne for dataforordningen på Digitaliseringsstyrelsen hjemmeside.