Nyhet

EU:s digitala omställning – nya beslut om data och dataskydd

EU har i sommar fattat flera beslut som får betydelse för företag vars produkter eller tjänster genererar data och/eller behandlar personuppgifter. Vi har kortfattat beskrivit innebörden av besluten. Välkommen att kontakta oss om du har frågor eller önskar rådgivning.

Data Act: EU nära ny förordning om tillgång och användning av data

Under det svenska ordförandeskapet, den 27 juni 2023, meddelades att Europeiska unionens råd (Rådet) och Europaparlamentet (Parlamentet) nått en preliminär överenskommelse om slutlig lydelse av en förordning om regler för skälig åtkomst till och användning av data, den så kallade dataakten  eller Data Act. Den slutliga version som är resultatet av den preliminära överenskommelsen ska språkgranskas och måste därefter antas av Rådet och Parlamentet var för sig. Rådet har meddelat sin avsikt att godkänna akten så snart som möjligt. När förordningen antagits och publicerats i EU:s officiella tidning träder den i kraft och tillämpas från och med det tillämpningsdatum som anges i lagtexten (normalt 12-24 månader efter ikraftträdandet).

Dataakten ska tillämpas på data som genereras av uppkopplade enheter, exv. smarta hushållsmaskiner och smarta industrimaskiner, och reglerar tillgången till och användandet av data som genererats som hittills i de flesta fall endast tillfallit tillverkarna av de smarta produkterna. Förordningen syftar till att säkerställa att användare av en produkt eller tjänst kan få tillgång till data som genereras av användningen.

Dataakten är en del av EU:s strategi att göra EU till ledare i det datadrivna samhället och få till stånd en välfungerande inre marknad för data, och utgör det andra lagstiftningsinitiativet till följd strategin. Det första initiativet resulterade i dataförvaltningsakten (Data Governance Act) som tillämpas från och med september 2023. Medan dataförvaltningsakten syftar till att skapa strukturer och processer som ska underlätta för datadelning mellan företag, enskilda och den offentliga sektorn, ska dataakten utgör en ram för åtkomst till och användandet av data som genereras i användning av produkter och tjänster inom alla ekonomiska sektorer. Samspelet mellan dataakten, dataförvaltningsakten och GDPR klargörs i lagtexten.

Dataakten kommer bl.a. att:

  • införa skyddsåtgärder mot olagliga överföringar av data från molntjänstleverantörer,
  • underlätta byte av leverantörer av databehandlingstjänster,
  • innehålla regler för skydd av företagshemligheter och IPR,
  • införa åtgärder mot missbruk av avtalsmässiga obalanser i fråga om datadelning, om lämplig ersättning för tillgängliggörande av data och om tvistlösningsmekanismer,
  • rätten till dataportabilitet för enskilda och företag förstärks, och
  • tillåta att nationella myndigheter och EU:s institutioner i exceptionella situationer kan tillgå och använda data.

 

Vinge bevakar den fortsatta lagstiftningsprocessen.

 

Pressmeddelandet finner ni här.

 

GDPR: beslut om adekvat skyddsnivå för personuppgifter som överförs till USA

Kommissionen antog den 10 juli 2023 ett beslut om adekvat skyddsnivå för personuppgifter som överförs till USA. Beslut om adekvat skyddsnivå handlar om överföring av personuppgifter till länder utanför EU och innebär att skyddsnivån för personuppgifter i allt väsentligt anses motsvara den skyddsnivå som gäller enligt GDPR inom EU/EES.

EU-domstolen ogiltigförklarande år 2020 det tidigare beslutet om adekvat skydd enligt skölden för skydd av privatlivet i EU och USA (Privacy Shield). Domen föranledde diskussioner mellan Kommissionen och amerikanska myndigheter om en ny dataskyddsram. Resultat av förhandlingarna, ramen för dataskydd mellan EU och USA, eller EU-US Data Privacy Framework, innebär nya bindande dataskyddsåtgärder för företag som ansluter sig och åtgärdar de brister som påtalades av EU-domstolen. Bland annat begränsas amerikanska underrättelsemyndigheters tillgång till personuppgifterna och en särskild dataskyddsdomstol inrättas för EU-medborgare.

Enligt Kommissionens beslut anses en adekvat skyddsnivå föreligga vid överföringar till USA om dataimportören omfattas av EU-US Data Privacy Framework, dvs. om dataimportören har certifierat sitt deltagande i ramen och förpliktigat sig att följa de bindande skyddsåtgärderna. Detta innebär att Kommissionen anser att överföringar av personuppgifter till amerikanska företag som omfattas av dataskyddsramen kan ske utan att ytterligare dataskyddsåtgärder vidtas. Huruvida EU-domstolen håller med om den förstärkta skyddsnivån vet vi först den dag den nya dataskyddsramen dyker upp i ett mål.

De amerikanska myndigheter som är ansvarig för certifiering och efterlevnad är US Department of Commerce och US Federal Trade Commission. Kommissionen och amerikanska myndigheter kommer regelbundet utvärdera EU-US Data Privacy Framework. Den första översynen ska göras innan slutet av juli nästa år.

Pressmeddelandet finner ni här.