Nu får ni, såsom jag tidigare har lovat er, ett nytt inlägg om det nya spännande regelverket EU Data Act. Ni undrar säkert varför vi ska ha en till reglering som har något med ”Data” att göra. Det är dessutom ett ganska omfattande regelverk som kommer (utifrån utkastet) att bestå av 42 artiklar och 90 skäl. I det här inlägget tänker jag ge er bakgrunden till denna reglering och hur EU-kommissionen har motiverat den, samt hur regleringen förhåller sig till GDPR.
Som många av er redan känner till så har dataskyddsförordningen (GDPR) kommit till för att skydda ”den personliga integriteten”. Så frågan är vilka intressen som ligger bakom EU Data Act. EU-kommissionen har angett ett antal motiv till denna reglering. Bland de motiv som har angetts är följande:
Att kunna skörda det fulla värdet av data i den europeiska ekonomin.
Att kunna få bort hinder för att växla mellan konkurrenskraftiga och pålitliga molntjänster i EU.
Att stärka konsumenter och företag genom att ge dem inflytande över vad som kan göras med den data som genereras av deras uppkopplade produkter.
Små och medelstora företag kommer nu att skyddas mot oskäliga avtalsvillkor.
Regeringarna kommer att kunna frigöra värdet av data från privata företag i exceptionella situationer av stort allmänt intresse, såsom översvämningar eller skogsbränder.
Hur förhåller sig EU Data Act till GDPR?
Enligt EU-kommissionen är EU Data Act helt förenlig med och bygger på GDPR. Det som framgår av EU-kommissionens hemsida tyder på att det inte kommer att vara några oklarheter kring tillämpningen av EU Data Act i förhållande till GDPR. Frågan är om det är så oproblematiskt såsom EU-kommissionen menar och om förslaget om EU Data Act inte innebär några oklarheter gällande förhållandet till GDPR.
Jag är inte helt säker på detta. Av min egen tidigare erfarenhet av remissarbete så överensstämmer EU-förordningar inte alltid med varandra och otydligheter kring tillämpningen av flera regelverk är mer en huvudregel än undantag.
Låt oss ta ett exempel. I artikel 14 i den föreslagna EU Data Act anges bl.a. följande:
En uppgiftsinnehavare ska på begäran göra uppgifter tillgängliga för ett offentligt organ eller för en av unionens institutioner, byrå eller organ som visar ett exceptionellt behov av att använda uppgifterna begärda.
För mig är det oklart hur denna bestämmelse kommer att förhålla sig till GDPR. Såsom jag läser förslaget om att tillgängliggöra uppgifter för myndigheter i exceptionella situationer, ger inte förslaget rättsligt stöd för myndigheterna att behandla personuppgifter [Artikel 17.1 (d) i EU Data Act]. Dessutom så ska denna rättighet främst röra icke personuppgifter [Artikel 17.2 (d)].
Formuleringen att myndigheters rätt att begära data främst gäller icke personuppgifter gör inte saker och ting lättare då det inte kan uteslutas att denna rättighet även kan röra personuppgifter.
Dataskyddsförordningen utgör det primära regelverket för behandling av personuppgifter inom EU. När grunden för en behandling ska fastställas i EU-rätt eller nationell rätt ska den uppfylla ett mål av allmänt intresse och vara proportionell mot de legitima mål som eftersträvas (artikel 6.3 i GDPR). Den sistnämnda bestämmelsen vänder sig till lagstiftaren i EU och lagstiftarna i medlemsländerna vid lagstiftning av nya regelverk som ska kunna ge ett rättsligt stöd för myndigheterna att behandla personuppgifter. Generellt innebär kraven i denna bestämmelse att integritetsriskerna med viss personuppgiftsbehandling måste vägas mot fördelarna som behandlingen bidrar med, till det ändamål som förslaget avser att uppfylla. För att behandlingen ska vara tillåten måste fördelarna stå i rimlig proportion till nackdelarna. I detta sammanhang är det viktigt att understryka att det är lagstiftaren som ska göra dessa proportionalitetsbedömningar enligt artikel 6.3 i GDPR. Det räcker således inte att de personuppgiftsansvariga som berörs av lagstiftningen gör dessa proportionalitetsbedömningar.
Eftersom de föreslagna bestämmelserna gällande tillgängliggörande av data för myndigheter i artikel 14-22 i EU Data Act är vida, så bör inte de utgöra grund för myndigheterna att behandla personuppgifter om inte kompletterande bestämmelser införs någonstans. Detta är i linje med formuleringarna i artikel 17.1 (d) i den föreslagna EU Data Act. Men frågan blir hur ska myndigheterna i praktiken göra och vilket stöd behöver de ha för att utöva denna rättighet om data trots allt skulle innehålla personuppgifter.
Med det sagt så är jag inte helt övertygad om att EU Data Act är så enkel att tillämpa som det kanske låter.
Men framtiden får visa mer.
Fortsättning följer!