Markedet bugner av smarte ting og duppeditter, samtidig som stadig flere hverdagslige gjenstander gjøres smarte ved at de kobles til internett for å kunne generere data. Det er ikke lenger uvanlig at kjøleskapet eller ovnen din er koblet til internett. For å øke tilgjengeligheten til data som genereres, sendes og mottas av slike tilknyttede enheter og tjenester, la EU i 2022 frem forslag om Data Act. Hensikten er å skape et sunt konkurransemarked som oppmuntrer til data-drevet innovasjon.
Denne artikkelen gir deg en oversikt over hva vi vet om Data Act så langt, og hvilke konsekvenser forordningen kan få for produsenter og brukere av tilknyttede enheter.
Hva er Data Act?
Data Act er en forordning som på visse betingelser øker bedrifters tilgang til og muligheten for å gjenbruke data. Dette gjelder data fra enheter koblet til internett, som IoT-produkter, samt relaterte tjenester og programvare.
For virksomheter som opererer i EU vil Data Act gjelde fra og med september 2025. Siden forordningen vurderes som relevant for EØS, er det forventet at den vil bli innlemmet i EØS-avtalen. Dette vil på sikt gi betydelige konsekvenser for norsk næringsliv.
Muligheter og konsekvenser til forbrukere og virksomheter
EU’s Data Act gir økte muligheter for deg som forbruker og fører til viktige konsekvenser for virksomheter både innenfor og utenfor EU.
1. Økt tilgang til data
Dataforordningen skal gi bedrifter større tilgang til data som genereres fra tilknyttede enheter og tjenester ved å stille krav til deling av data mellom virksomheter, og mellom virksomheter og forbrukere. I tillegg gis myndigheter adgang til å få data utlevert i ekstraordinære tilfeller.
Disse kravene innebærer blant annet at:
- brukere av tilknyttede enheter skal ha rett til å få tilgang til data direkte fra datainnehaveren, ofte produsenten eller leverandøren, dersom de ikke kan få tilgang til dataene direkte på enheten.
- brukere av tilknyttede enheter skal kunne kreve at dataene raskt gjøres tilgjengelig for en tredjepart, for eksempel dersom tredjeparten skal utføre verkstedtjenester for brukeren.
- det vil stilles krav til produksjon og utforming av tilknyttede enheter for at dataene de genererer skal være lett tilgjengelige.
- myndighetene i særlige tilfeller skal kunne få tilgang til data generert av tilknyttede enheter.
2. Mulighet til å bytte mellom tjenestetilbydere
Dataforordningen skal gjøre det lettere å bytte mellom tilbydere av databehandlingstjenester, ved blant annet å fjerne hindre slik at det blir lettere for brukere av for eksempel skytjenester å bytte tilbyder. Det betyr at du som forbruker vil få større frihet til å velge tilbyder, forklart i eksempelet nedenfor.
Bruker du for eksempel den skybaserte treningstjenesten Strava til å spore din treningsaktivitet, vil Data Act gjøre det enklere for deg å bytte til en annen leverandør av samme tjeneste - for eksempel Garmin Connect - hvis du finner at den tilbyr lavere priser eller bedre funksjoner. Gjennom forordningen pålegges Strava å tilrettelegge for enkel eksport av alle treningsdata i et standardformat som Garmin Connect enkelt kan importere. Dette gjelder også dersom du skulle ønske å bytte fra Spotify til Apple Music.
3. Tiltak for å forhindre urettferdige kontraktsvilkår
Dataforordningen oppstiller egne krav som skal forhindre at virksomheter med sterk forhandlingsposisjon tvinger frem urettferdige kontraktsvilkår.
Under Data Act vil det for eksempel oppstilles hindringer mot at store plattformer som tilbyr app-butikker, som Google Play eller Apple’s App Store, utnytter sin dominerende markedsposisjon til å pålegge mindre apputviklere urettferdige vilkår. Dette er for øvrig ikke den eneste forordningen som rammer tech-gigantene Google og Apple. Vi har skrevet mer om dette her.
4. Krav til beskyttelse av personopplysninger
Tilbydere av databehandlingstjenester pålegges å gjennomføre alle rimelige tiltak for å hindre at statlige myndigheter i tredjeland får ulovlig tilgang til andre data enn personopplysninger.
Hvem omfattes av dataforordningen?
Dataforordningen vil gjelde for:
- Produsenter av tilknyttede enheter og relaterte tjenester
- Brukere av tilknyttede enheter og relaterte tjenester
- Datainnehavere som gjør data tilgjengelig for datamottakere
- Datamottakere som data gjøres tilgjengelig for
- Offentlige organer som ber datainnehavere om å gjøre data tilgjengelig
- Tilbydere av databehandlingstjenester
- Deltakere i datasfærer og leverandører av applikasjoner som bruker smarte kontrakter, og personer som i sitt virke implementerer smarte kontrakter for andre som en del av gjennomføring av en avtale
Hvorvidt en virksomhet omfattes av forordningens forpliktelser, kommer an på virksomhetens størrelse. Små bedrifter og mikrobedrifter er unntatt fra mange av forordningens krav og plikter. Mellomstore bedrifter er i utgangspunktet omfattet, med unntak av de bedriftene som har vært å anse som en mellomstor bedrift i under ett år eller har hatt sitt produkt på markedet i under ett år. Store bedrifter, som ellers er innenfor forordningens virkeområde, er omfattet.
Er du usikker på om du omfattes av forordningen? Da kan du ta kontakt med oss i BDO.
Oppsummering: Hva betyr dette for norske virksomheter?
Virksomheter som omfattes av dataforordningen må:
- forberede seg på å overholde nye krav til produksjon og utforming av IoT-produkter, og å overholde krav til datadeling
- sikre at de faktisk har rett til å bruke dataen de innehar, og sikre at dataen kan deles effektivt
- utarbeide rutiner for hvordan data skal utleveres til tredjeparter
- sørge for at nye rutiner i tråd med dataforordningen ikke strider mot rutiner og etterlevelse av andre tilgrensede regelverk, som for eksempel EUs personvernforordning (GDPR)
- sikre gjennomføring av alle rimelige tiltak for å hindre at statlige myndigheter i tredjeland får ulovlig tilgang til data