Hvorfor er dataforordningen viktig?
I dag genererer helt vanlig gjenstander enorme mengder med data gjennom innsamling fra blant annet sensorikk. Disse gjenstandene kan overføre dataene over Internett. Gjenstandene omtales ofte som Internet of Things (IoT-gjenstander) eller smarte ting. Dette er alt fra enheter som bidrar til å gjøre hjemmet ditt smartere, til biler, industrielle maskiner og produksjonssystemer. Den enorme mengden med data gir grunnlag for et informasjonsmarked der data kan utnyttes som ressurs og bidra til en samfunnsmessig verdiøkning.
I den datadrevne økonomien kan data i større mengder kombinert med analytics-verktøy brukes til å predikere hendelser før de skjer, optimalisere prosesser, maskinlæring m.v. Ved bruk av kunstig intelligens kan vi få bedre innsikt om eksempelvis global oppvarming og miljøet IoT-gjenstandene opererer i. Innsikten fra analysene vil være en innsatsfaktor som kan bidra til problemløsning, innovasjon og nyskapning, effektivisere arbeidsmetoder eller utvikle nye produkter eller tjenester. Ved hjelp av kunstig intelligens kan vi ta beslutninger basert på data innenfor en rekke områder som miljø, helsesektoren eller i industrien, som kan gi både samfunnet og bedrifter store gevinster.
Regulering av rettferdig tilgang til og bruk av data fra smarte gjenstander og relaterte tjenester
I praksis har dataene ofte blitt «fanget i siloer» hos produsentene av IoT-gjenstandene. Produsenten og/eller leverandøren av IoT-gjenstanden har dermed endt opp med et monopol på datasettene generert når IoT-gjenstandene anvendes og har kunnet kontrollere hvem som skal få tilgang til dataene som er skapt eller samlet inn av gjenstandene. Med Data Act (dataforordningen) blir leverandørene av IoT-gjenstander forpliktet til å dele data med brukeren. Der brukeren, altså en person eller virksomhet, skal få tilgang til data de selv har generert ved bruk. Leverandøren er også forpliktet til å dele de samme dataene til en tredjepart, eksempelvis en skytjenesteleverandør, etter brukerens instruksjoner. Denne forpliktelsen gjelder virksomheter under en viss størrelse.
Krav til kontraktsvilkårene ved deling av data
Det er gitt regler om at avtaler som inngås i forbindelse med utlevering av data til brukere må bestå av balanserte avtalevilkår. For at datadelingsavtaler skal være balanserte stilles det krav til at vilkårene er rettferdige, rimelige og ikke-diskriminerende. Dette gjelder da blant annet krav til vederlag og format.
Krav til design, sikkerhet og informasjon
Produkter må designes og produseres, slik at brukere, by default, får en enkel og sikker tilgang, til strukturert og maskinlesbar data. Brukerne må informeres om hvordan de kan få tilgang til data og hvordan data kan overføres til dem eller en tredjepart. Det stilles også krav til sikkerhetstiltak for å beskytte dataene mot uautorisert tilgang.
Krav til deling av data med offentlig aktører
Offentlige aktører kan få tilgang til og bruke data fra private selskaper i noen særlige omstendigheter der datadeling er begrunnet i høy offentlig interesse eller ved kriser og naturkatastrofer.
Enklere å bytte mellom tjenesteleverandører
At produsentene har operert med ulik interoperabilitet har medført at det har vært krevende å bytte mellom leverandører. Med det nye regelverket stilles det tekniske krav til interoperabilitet slik at brukere kan bytte mellom skytjenesteleverandører og edgetjenester. Edge computing anvendes der data behandles eller lagres nære kilden eller brukerne av dataene.
Forhold til forretningshemmeligheter og opphavsrett – hvem eier rettigheter til rådataene?
Regelverket tar høyde for at forretningshemmeligheter og åndsverk skal beskyttes, med mekanismer for tvisteløsning dersom dette kommer på spissen. Data Act gir brukeren rett til å få tilgang til og bruke dataene, men sier ikke noe om at det er brukeren som har eksklusiv rett til å bruke dataene. Leverandøren har derimot ikke rett til å bruke brukerens data til å tilegne seg innsikt om den økonomiske situasjonen, eiendeler, produksjonsmetoder eller brukerens bruk som er egnet til å undergrave brukerens kommersielle posisjon.
På den andre siden kan Leverandøren nekte å gi tilgang til data begrunnet i forretningshemmeligheter dersom utlevering kan påføre leverandøren betydelig og uerstattelig økonomisk tap. Dermed gir forordningen rom for uklarheter. Dette betyr partene må sørge for å inngå klare avtaler om hvilke data som skal utleveres og hvem som har rett til å utnytte dataene til ulike formål.
I tillegg er det en bestemmelse i Data Act som søker å klargjøre forholdet til databasevernet. Det har vært lenge diskutert om databaser som inneholder maskingenerte og sensorgenererte data i det hele tatt kan oppnå databasevern. Med dataforordningen kan ikke databasevernet brukes som en begrunnelse for å nekte utdeling overfor en bruker eller en tredjepart som instrueres av en bruker.
Forholdet til GDPR
Både Data Act og GDPR gjelder dersom dataene som genereres inneholder personopplysninger, slik at kravene til GDPR gjelder i tillegg.
Når gjelder reglene?
Den 27. november 2023 ble Data Act (dataforordningen) vedtatt i EU og trådte i kraft 11. januar 2024. men det er først i september 2025 reglene vil gjelde i Norge. Det må forventes at det tar en del lenger tid før dataforordningen implementeres i Norge.
Artikkelen er skrevet av Camilla Gjersem og Knut Fiane.