Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten), COM(2022) 68 final

Myndigheten för digital förvaltning (DIGG), som har i uppdrag att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig, lämnar följande synpunkter.

Sammanfattande övergripande synpunkter

Tillgång till data är en förutsättning för digitalisering och innovation. DIGG ställer sig därför positiv till att det införs en reglering som syftar till att tillgängliggöra data för fler. När mer data görs tillgänglig för fler är det av central betydelse dels att tillgång ges på proportionerliga och icke-diskriminerande villkor, dels att enskildas rättigheter och friheter skyddas. DIGG välkomnar även förslaget utifrån dess betydelse för att komplettera den digitala inre marknaden i EU. DIGG anser att förslaget, genom att öka tillgängligheten och användningen av data mellan sektorer och branscher, kan stärka konkurrenskraften, främja innovation och stärka enskildas rättigheter i ett datadrivet samhälle.

DIGG vill framhålla att en grundläggande förutsättning för digitaliseringen är att det är tydligt hur olika regelverk ska tillämpas. Det anges i en av de inledande artiklarna i dataakten att den inte ska påverka tillämpningen av dataskyddsförordningen. Det kan dock konstateras att det många gånger kommer att förekomma personuppgifter i de data som på olika vis ska tillgängliggöras för användare, datamottagare och myndigheter enligt dataakten. Det förekommer flera bestämmelser i dataakten som på olika sätt överlappar regleringen i dataskyddsförordningen, och trots den inledande bestämmelsen om förhållandet mellan de olika regelverken så framstår det inte som helt tydligt hur de olika regelverken förhåller sig till varandra i specifika delar. Det är viktigt att det skydd som dataskyddsförordningen ger enskilda inte urholkas genom otydligheter i hur regelverken ska tillämpas. Det är därför enligt DIGG:s uppfattning viktigt att regeringen i det fortsatta förhandlingsarbetet säkerställer att det blir tydligt hur det nu föreslagna regelverket och dataskyddsregleringen förhåller sig till varandra.

DIGG noterar att mikro- och små företag undantas från tillämpningen av stora delar av dataaktens bestämmelser i syfte att minska bördan på sådana företag. Dataaktens olika kapitel har dock skilda syften och DIGG ställer sig tveksam till att så svepande undanta dessa företag från tillämpningen av vissa bestämmelser, där andra intressen gör sig starkt gällande. När det gäller exempelvis användares rätt till tillgång till data anser DIGG att de syften som ligger bakom dessa bestämmelser väger tyngre än mikro- och små företags intresse av att inte behöva tillämpa reglerna.

DIGG uppfattar att myndigheter kan vara datainnehavare (”data holder”) enligt dataakten, beroende av förekomsten av skyldigheter att tillgängliggöra data, antingen befintliga eller kommande. Mot bakgrund av att EU annonserat att ett av de dataområden som det finns avsikt att reglera är offentlig förvaltning (”public administration”) så bör utgångspunkten vara att i alla fall många, om inte alla, myndigheter kommer att vara datainnehavare i dataaktens mening och därmed omfattas av de skyldigheter i förordningen som gäller för datainnehavare. Det bör generellt övervägas om dataaktens bestämmelser i sin helhet ska tillämpas på datainnehavare som är myndigheter, eller om myndigheter bör undantas från tillämpningen av dataakten. Det gäller t.ex. bestämmelserna om skälig ersättning och tvistelösning. DIGG anser att denna fråga bör analyseras inför de fortsatta förhandlingarna.

DIGG noterar att dataakten i vissa delar närmast är att betrakta som en ramlagstiftning (exempelvis kapitel III). DIGG anser att det bör övervägas om det är lämpligt utifrån bl.a. rättssäkerhetssynpunkt att underlåtenhet att följa dataaktens bestämmelser i sin helhet ska kunna blir föremål för administrativa sanktionsavgifter, eller om vissa bestämmelser bör undantas från att kunna läggas till grund för sanktionsavgifter. DIGG anser att denna fråga bör bli föremål för fortsatt analys och bevakas i det kommande förhandlingsarbetet.
I det följande redogörs för DIGG:s mer specifika synpunkter i förhållande till dataaktens artiklar.

1 Allmänna bestämmelser

Artikel 1.3

Det är positivt att det i de inledande bestämmelserna tydliggörs att dataakten inte ska påverka tillämpningen av dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG). Det är också positivt att det tydligt anges att bestämmelserna i kapitel II i dataakten ska komplettera dataskyddsförordningens bestämmelse om rätt till dataportabilitet. Samtidigt kan det konstateras att en stor och kanske övervägande andel av de uppgifter som omfattas av dataakten kommer att utgöra personuppgifter i dataskyddsförordningens mening. Det behöver därför tydliggöras ytterligare hur flera av dataaktens bestämmelser är tänkta att tillämpas i förhållande till dataskyddsförordningen, eftersom de olika regelverken sannolikt ofta kommer att vara överlappande. Detta gäller i synnerhet frågor som rör den registrerades rätt till information, rätten till dataportabilitet, klagomålshantering, tillsyn och sanktioner.

Artikel 2.6

Det finns en risk för överlapp och oklarhet i definitionen av data, jämfört med hur begreppet används i öppna data-direktivet (Europarlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn). Begreppet data är inte definierat i öppna data-direktivet men används i direktivet bl.a. för att beskriva handlingar i digitalt format (se exempelvis definition av dynamiska data i art. 2.8 och forskningsdata i art. 2.9). Definitionen av data är central för den inre marknaden för data och begreppet data återfinns i flera gällande och föreslagna rättsakter. Det är därför viktigt att begreppet har en gemensam betydelse för samtliga rättsakter, alternativt inte ges en legaldefinition i dataakten.

Artikel 2.12

För det fall att offentliga aktörer kan omfattas av förordningens tillämpningsområde finns risk för överlappande reglering, eller åtminstone otydlighet, i förhållande till öppna data-direktivet och dataförvaltningsakten. Förhållandet mellan dessa rättsakter bör därför förtydligas i den mån som de ska tillämpas av offentliga aktörer.

Kapitel II Datadelning mellan företag och konsumenter och mellan företag

Allmänt

Det kan konstateras att alla uppgifter som genereras av produkter och tjänster som är knutna till sakernas internet och som direkt eller indirekt kan hänföras till en fysisk person som är i livet utgör personuppgifter i dataskyddsförordningens mening. Det innebär att data som kan knytas till ett användarkonto, en ip-adress eller en unik identifierare i form av t.ex. en MAC-adress utgör personuppgifter. Bestämmelserna i detta kapitel kan därmed antas i stor utsträckning gälla för data som utgör personuppgifter. Det uppstår därmed en risk för överlappande regelverk och det är då viktigt att det är tydligt vilka regler som ska tillämpas när och hur.

Artikel 3.2

Artikeln innehåller flera rättigheter som är av central betydelse för att ge individer större insyn i och tillgång till data som genereras genom användning av produkter och relaterade tjänster. Det framgår dock inte av artikeln vem som innehar skyldigheten att uppfylla de åtaganden som följer av artikeln. Det är viktigt att det tydligt anges vem som ska säkerställa att rättigheterna som följer av artikeln uppfylls för att bestämmelserna ska få avsedd effekt.

I bestämmelsen finns överlappningar jämfört med vad som redan i dagsläget gäller enligt dataskyddsförordningen. Det är exempelvis redan nu ett krav enligt artikel 13 och 14 i dataskyddsförordningen att den vars personuppgifter är föremål för behandling ska informeras om den personuppgiftsansvariges identitet och kontaktuppgifter, ändamålen med personuppgiftsbehandlingen, vilka mottagare som finns av personuppgifterna och om personuppgifter kommer att överföras till länder utanför EU. Av dataskyddsförordningen följer dessutom att den vars personuppgifter behandlas ska informeras om rätten att ge in klagomål till datatillsynsmyndigheten. Det är viktigt både i förhållande till både den som har att uppfylla bestämmelsen och i förhållande till användare att det är tydligt vilka regler som gäller. Det kan därför finnas skäl att, utöver vad som framgår generellt om förhållandet mellan dataakten och dataskyddsförordningen i artikel 1.3, i denna artikel förtydliga att även dataskyddsförordningens bestämmelser ska tillämpas i de fall som de data som omfattas av artikeln utgör personuppgifter.

Artikel 4.4

Denna bestämmelse, som begränsar möjlighet till konkurrens, riskerar att bli mycket svårtillämplig på grund av sin generella utformning. Det är också oklart om en överträdelse av den berörda bestämmelsen ska kunna läggas till grund för ”avskräckande sanktionsavgifter” enligt artikel 33. Om det är avsikten så behöver bestämmelsens tillämpningsområde av rättssäkerhetsskäl förtydligas.

Artikel 4.5

Bestämmelsens nuvarande utformning kan uppfattas som att det räcker att det finns en tillämplig rättslig grund enligt dataskyddsförordningen för att utlämnande ska kunna ske. Om personuppgifter ska lämnas ut till någon annan än den registrerade (”data subject”) enligt dataskyddsförordningen så måste utlämnandet ske i enlighet med dataskyddsförordningen i sin helhet – det är inte tillräckligt att det finns en rättslig grund för utlämnandet. Detta bör förtydligas i bestämmelsen.

Rättslig grund för en behandling av personuppgifter i form av utlämnande kan t.ex. vara att personuppgiftsbehandlingen är nödvändig för att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse. Rättsliga förpliktelser och uppgifter av allmänt intresse kan ha sin grund i unionsrätten eller i nationell rätt. Det är inte otänkbart att dataakten kan uppfattas innebära en skyldighet att lämna ut data som utgör personuppgifter. Om avsikten är att artikel 4.5 i dataakten inte ska utgöra rättslig grund för utlämnandet genom att ge uttryck för en rättslig förpliktelse eller en uppgift av allmänt intresse så bör detta uttryckligen anges i bestämmelsen.

Artikel 4.6

Det är tveksamt om data som genererats av en produkt eller en relaterad tjänst där det finns ett avtal med användaren i något fall kan anses utgöra något annat än personuppgifter, eftersom personuppgifts begreppet innefattar alla uppgifter som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det bör mot denna bakgrund förtydligas vad som avses med ”icke personuppgifter” (”non-personal data”). Om bestämmelsen tar sikte på anonymiserade data, som inte utgör personuppgifter, bör detta tydligt anges.

Det är av synnerlig vikt att dataakten inte innehåller en reglering som riskerar att förändra eller undergräva definitionen av vad som utgör en personuppgift enligt dataskyddsförordningen. Formuleringen om att data som inte utgör personuppgifter, men som skulle kunna användas för att få insikter om en användares ekonomiska situation etc., är därmed mycket problematisk.

Artikel 7.1

Som framgår ovan finns det enligt DIGG:s uppfattning mycket som talar för att de data som regleras av detta kapitel i stor utsträckning kommer att utgöra personuppgifter. Den som behandlar personuppgifter och är personuppgiftsansvarig för behandlingen är redan i dagsläget skyldig att tillgodose rätten till dataportabilitet enligt dataskyddsförordningen. I dataskyddsförordningen görs inga undantag för mikro- och små företag. De rättigheter som tillkommer användaren enligt dataakten framstår inte som så mycket mer betungande att tillgodose utöver den befintliga rätten till dataportabilitet. De intressen som dataaktens bestämmelser i kapitel II är avsedda att tillgodose är dessutom oberoende av storleken på det företag som har att tillgodose rättigheterna. Mot denna bakgrund finns det inte skäl att undanta mikro- och små företag från tillämpningen av bestämmelserna i kapitel II i dataakten.

Artikel 7.2

Skrivningen om virtuella assistenter bör placeras i anslutning till definitionerna av produkter respektive relaterade tjänster.

Kapitel III Skyldigheter för datainnehavare som enligt lag är skyldiga att göra data tillgängliga

Allmänt

DIGG uppfattar att både offentliga och privata aktörer kan vara datainnehavare och träffas av regleringen i detta kapitel. Bestämmelserna i kapitlet är i stor utsträckning av mer civilrättslig karaktär och sämre lämpade att tillämpas inom statliga, regionala och kommunala myndigheters verksamhet. Det finns även skäl att göra skillnad på privata och offentliga aktörer utifrån att offentlig verksamhet bedrivs i det allmännas intresse och inte med vinstintresse. Det finns därför skäl att undanta myndigheter från tillämpningen av vissa bestämmelser i detta kapitel.

Artikel 8

Att det införs en reglering av villkor för delning av data mellan datainnehavare och datamottagare är positivt och lägger grunden för en harmoniserad datamarknad. En reglering av dataområden innebärande att sådana områden består av likadana, standardiserade villkor för datadelning som kan återanvändas utgör, tillsammans med tekniska specifikationer, en möjliggörare för interoperabilitet och kompabilitet mellan datainnehavare och datamottagare i dataområden. Förordningen bör därför i möjligaste mån möjliggöra standardiserade villkor och avtal som kan vara gällande inom ett dataområde.

Artikel 9

Myndigheter bör undantas från art. 9.1 som stadgar att ”all ersättning som en datainnehavare och en datamottagare kommer överens om för att göra data tillgängliga ska vara rimlig”. En myndighets uttag av avgifter styrs av föreskrifter som inte kan avtalas bort. En alternativ lösning i denna bestämmelse är att det i bestämmelsen anges principer för avgiftsuttag, där avgifter närmare regleras i sektorsspecifik reglering och vid behov i genomförandeakter (jfr. särskilt värdefulla datamängder i öppna data-direktivet).

Artikel 10

DIGG uppfattar det som att det genom denna artikel är avsett att inrättas en ordning där tvister ska lösas av tvistelösningsorgan, att likna vid skiljeförfarande. Tvister där myndigheter är datainnehavare bör inte avgöras genom skiljeförfarande, av flera skäl. För det första finns det ett intresse av insyn i offentlig verksamhet som inte fullt ut kan tillgodoses om ett slutet och konfidentiellt förfarande för tvistelösning tillämpas. För det andra är det kostsamt att lösa tvister genom skiljeförfarande. För det tredje ligger organiseringen av tvistelösning som innefattar myndigheter nära det område som rör medlemsstaternas interna organisering. Det bör därför lämnas upp till varje medlemsstat att avgöra hur tvister somm innefattar datainnehavare som är myndigheter ska lösas.

Kapitel V Göra data tillgängliga för offentliga myndigheter och unionens institutioner, byråer eller organ på grundval av exceptionella behov

Allmänt

Det är viktigt att det tydliggörs att dataskyddsförordningen i sin helhet och fullt ut ska tillämpas på en sådan begäran om data som innehåller personuppgifter. Detta innebär att personuppgifter inte ska lämnas ut om det inte är nödvändigt att behandla personuppgifter för att uppnå ändamålet med behandlingen.

Artikel 14.2

Det bör övervägas om mikro- och små företag ska omfattas av regleringen i kapitel V. Syftet bakom att införa regleringen i kapitlet gör sig gällande på samma vis oavsett storleken på företaget som är innehavare av den data som behövs och efterfrågas. Det finns vidare bestämmelser i kapitlet som tillförsäkrar datainnehavaren skälig ersättning för den data som lämnas ut. Mot denna bakgrund är det inte självklart att mikro- och små företag ska undantas.

Artikel 15

Det är rimligt att det under vissa exceptionella omständigheter ska vara möjligt för myndigheter att ta del av data i syfte att hantera ett allmänt nödläge (”public emergency”). Det finns dock ett behov av större tydlighet avseende under vilka omständigheter som en sådan möjlighet ska kunna tillgås.

Begreppet ”allmänt nödläge” är centralt i sammanhanget. I skäl 58 anges att förekomsten av allmänt nödläge ska fastställas i enlighet med existerande nationella eller internationella förfaranden (“the existence of a public emergency is determined according to the respective procedures in the Member States or of relevant international organisations”). Det kan konstateras att det i Sveriges saknas generella mekanismer för att konstatera att ett ”allmänt nödläge” föreligger. Det är mer i linje med svensk rätt att en myndighet på eget bevåg konstaterar att det föreligger ett exceptionellt behov av data för att utföra sina uppgifter.

Det finns vidare en risk för att möjligheten att ta del av data under exceptionella omständigheter inte fullt ut harmoniseras inom unionen om det lämnas till respektive medlemsstat att fastställa när ett allmänt nödläge är för handen. Det kan t.ex. uppstå problematik om en myndighet som bedömt att ett allmänt nödläge föreligger begär ut data från ett företag i en annan medlemsstat där samma situation bedömts på ett annat sätt.

Det finns mot denna bakgrund skäl att genom dataakten eller annan EU-rättsakt ge ytterligare tydlighet av vad som ska anses utgöra ett allmänt nödläge, utöver den ledning som ges i skäl 57 till dataakten. Detta kan ske antingen genom att bestämmelserna i detta kapitel detaljeras ytterligare, genom en bilaga till dataakten eller genom att kommissionen ges i uppdrag att i en genomförandeakt ange vilka kriterier som ska användas för att bedöma om ett allmänt nödläge föreligger. Det kan t.ex. vara kriterier som att ett visst antal människor ska beröras, att fara ska vara nära förestående, att en situation kan medföra en viss grad av ekonomiska konsekvenser eller liknande.

Artikel 17.1

Det bör i artikeln regleras hur en begäran om data som behöver lämnas återkommande eller under vissa tidsintervaller ska hanteras, exempelvis avseende dynamiska data eller annan data som kontinuerligt uppdateras. En begäran om data som förutsätter att data löpande lämnas till en myndighet bör inte behöva göras återkommande, däremot kan det vara rimligt att myndigheten specificerar under vilken tidsperiod som data ska lämnas på detta sätt.

Artikel 17.1(d)

Det bör tydliggöras vad som avses med den ”rättsliga grunden” för begäran om data.

Artikel 18

Det finns generellt en möjlighet för ett företag som mottar en begäran om data att göra sin data allmänt tillgängliga, exempelvis via en hemsida, därför att företaget uppfattar att det finns ett behov av data. Artikeln bör ändras så att en förfrågan under sådana förutsättningar bör förfalla, och myndigheten bör istället hänvisas till att hämta den data som finns allmänt tillgänglig, under förutsättning att den data som tillgängliggjorts av företaget motsvarar den data som myndigheten begärt.

Artikel 18.2

Utöver de grunder som anges för att kunna avslå en begäran om data bör det tilläggas som en tredje grund att begäran får avslås om den inte kan tillmötesgås utan att det sker i strid med dataskyddsförordningen.

Artikel 19.1(b)

Det är viktigt att det tydliggörs att dataskyddsförordningen i sin helhet och fullt ut ska tillämpas av en myndighet mottagit data som utgör personuppgifter med stöd av dataakten.

Artikel 21

Det bör framgå av förordningen huruvida data får delas även med forskningsinstitut utanför EU. Det framgår även av bestämmelsen att data får behandlas för forskningsändamål som är förenliga med det ursprungliga ändamålet. Av dataskyddsförordningen framgår emellertid att forskningsändamål för behandling av personuppgifter inte ska anses vara oförenliga med det ändamål som uppgifterna ursprungligen samlades in för (art. 5.1 dataskyddsförordningen). Förhållandet mellan data och personuppgifter bör därför här förtydligas i syfte att undvika oklarheter.

Kapitel VIII Interoperabilitet

Allmänt

Interoperabilitet är en grundläggande förutsättning för harmonisering av dataområden. Det är positivt att interoperabilitet regleras på en övergripande nivå. DIGG vill dock understryka att regleringen måste förhålla sig till den kommande regleringen om interoperabilitet i offentliga digitala tjänster.

Artikel 28.1

Det är oklart vad som avses med ”operatörer av dataområden” (”operators of dataspaces”) och därmed vilket ansvar för interoperabilitet som ankommer på den aktör som träffas av artikel 28.1. Om datakten ska utgöra grund för sektorsspecifik reglering måste den rollen och ansvaret som är förenat med den tydligt definieras. På så vis kan dataakten utgöra ett ramverk på principiell nivå, som kompletteras genom sektorsspecifika bestämmelser.

Kapitel IX Genomförande och verkställighet

Artikel 31

Det är positivt att förordningen öppnar för att en eller flera myndigheter ska ansvara för tillämpningen av förordningen och övervakning av att bestämmelserna följs. Det är lämpligt mot bakgrund av att den föreslagna regleringen spänner över flera olika sektorer och områden, exempelvis konkurrens och dataskydd, över vilka tillsyn redan idag utövas av olika myndigheter. I sammanhanget ska dock understrykas att det är av största vikt att för det fall att flera myndigheter i Sverige utses så som behöriga myndigheter, att dessa ges adekvata förutsättningar att samverka och samordna sina insatser i syfte att skapa en enhetlig tillämpning av förordningens bestämmelser. Det är därför positivt att det anges i artikel 31.4 att en myndighet ska ha en samordnande roll.

Artikel 31.2(a)

Det anges i bestämmelsen bl.a. att datatillsynsmyndigheten ska ansvara för tillämpningen av dataakten i den utsträckning som ”protection of personal data is concerned”. Det är otydligt om det som avses med denna formulering är att datatillsynsmyndigheten ska ansvara för tillsyn över dataaktens alla bestämmelser om de data som hanteras utgör personuppgifter eller bara de bestämmelser som utgör lex specialis eller på annat vis kompletterar dataskyddsförordningen. Detta bör tydliggöras.

Artikel 33

Det bör övervägas om det för åsidosättande av vissa av förordningens bestämmelser inte ska vara möjligt att utfärda sanktionsavgifter. Det gäller bl.a. kapitel III, som i stor utsträckning utgör en reglering av vilka villkor som ska gälla i den avtalsmässiga relationen mellan två parter
För att säkerställa den avsedda harmoniseringen bör det vidare i artikeln detaljeras ytterligare vilket beviskrav som ska gälla för att administrativa sanktionsavgifter ska kunna utfärdas.
Detta yttrande har beslutats av generaldirektören Anna Eriksson. I den slutliga handläggningen har också juristen Mathea Franzén och chefsjuristen Linn Kempe deltagit. Föredragande har varit juristen Eva Maria Broberg Lennartsson.

Publicerad: