EUs dataforordning – praktiske konsekvenser for næringslivet

EUs nye dataforordning – også kjent som Data Act – trer i kraft i EU fra 12. september 2025. Forordningen innfører et felles regelverk for deling og tilgang til data fra tilkoblede (IoT) produkter og tjenester i EUs indre marked. Formålet er å fremme innovasjon og konkurranse ved å sikre at slike data blir gjort tilgjengelig for brukere og andre aktører. Forordningen er foreløpig ikke inntatt i EØS-avtalen, men anses EØS-relevant og vil antakelig også inntas i EØS-avtalen og norsk lov. Uansett vil dette være aktuelt for norske aktører som tilbyr tjenester innen EU.

Data Act markerer et skifte i EUs regulering av digital verdiskaping og tilgang til data, og vil påvirke en rekke ulike virksomheter, inkludert produsenter og leverandører av IoT-enheter (f.eks. sensorer, maskiner, kjøretøy), programvareutviklere, tjenesteleverandører innen skytjenester og edge computing, samt aktører som benytter seg av data fra slike systemer.

For mange virksomheter innebærer regelverket nye plikter, behov for tekniske og organisatoriske tilpasninger, samt gjennomgang av eksisterende kontraktspraksis. Samtidig åpner regelverket for nye forretningsmuligheter for aktører som kan bygge tjenester på de data som må deles.

Hovedinnholdet i Data Act

Hvilke data omfattes?

Et sentralt element i regelverket er at brukeren av et tilkoblet produkt eller en relatert tjeneste får rett til å få utlevert data som genereres ved bruk, eksempelvis data som samles inn automatisk gjennom sensorer og systemer i produktene. Det er kun “tilgjengelige” rådata og metadata som omfattes av forordningen. Ferdigbehandlede analyser, aggregerte modeller og data som inneholder forretningshemmeligheter eller åndsverk er altså unntatt. Virksomheter må derfor kartlegge og skille klart mellom data som omfattes av delingsplikten, data som er unntatt, og informasjon som eventuelt må anonymiseres eller skjermes.

Rett til tilgang og overføring

Data skal gjøres tilgjengelig uten kostnad for brukeren, i et strukturert og maskinlesbart format, fortrinnsvis via digitale grensesnitt (API-er).

Brukeren får videre rett til å instruere at dataene overføres direkte til en tredjepart etter eget valg. Dataansvarlig (produsenten eller tjenesteleverandøren) har da plikt til å tilrettelegge for dette. Dataene kan imidlertid ikke benyttes til å kopiere produkter, bygge konkurrerende enheter eller forsøke å utlede forretningskritisk informasjon om produsenten.

Det er også visse begrensninger ift hvilke aktører som kan kreve data overført til seg: Store plattformselskaper som omfattes av Digital Markets Act (såkalte «gatekeepers»), typisk Google, Microsoft, Amazon, Apple m.fl., kan ikke være mottakere under denne ordningen.

Bytte av skytjenester

Virksomheter som benytter skytjenester får nye rettigheter til å flytte sine data og digitale ressurser til andre tjenesteleverandører uten unødig forsinkelse, datatap eller ekstra kostnader. Fra januar 2027 skal det heller ikke kunne kreves standardgebyrer for overføring av data (såkalte «exit fees»).

Skyleverandører må sikre teknisk interoperabilitet, benytte vanlige formater og gjøre nødvendige eksportverktøy tilgjengelige for å tilrettelegge for dette. Det skal også gis tydelig informasjon om betingelsene for tjenestemigrering.

Forbud mot urimelige vilkår

Data Act forbyr urimelige avtalevilkår i situasjoner hvor det foreligger ubalanse mellom partene, særlig til ugunst for små og mellomstore virksomheter. Plikten til å dele data skal skje på rettferdige, rimelige og ikke-diskriminerende vilkår, populært forkortet FRAND (Fair, Reasonable and Non-Discriminatory). Det må antas at terskelen for hva som i denne sammenheng vil være tillatt ikke nødvendigvis vil være sammenfallende med hva som er tillat etter avtaleloven § 36. EU-kommisjonen vil i løpet av 2025 publisere modellklausuler som veiledning. Dette kan også får betydning for eksisterende standardavtaler og lisensbetingelser – særlig der en part i praksis har enerett til data som andre aktører er avhengige av for å kunne levere sine tjenester.

Forholdet til annen lovgivning

Samspill med GDPR

Der dataene omfatter personopplysninger, gjelder personvernforordningen (GDPR) parallelt. Det betyr at behandlingsgrunnlag (typisk samtykke eller kontrakt) må være på plass, og at prinsipper om dataminimering, formålsbegrensning og informasjonssikkerhet må ivaretas. For enkelte aktører vil dette kreve revisjon av hvordan samtykke innhentes og dokumenteres, og utvikling av løsninger for at brukere enkelt skal kunne trekke tilbake samtykke eller avslutte datadeling.

Vern av forretningshemmeligheter

Virksomheter kan nekte deling dersom det er en overveiende risiko for at deling vil medføre vesentlig økonomisk skade eller eksponering av forretningshemmeligheter. Et slikt unntak må begrunnes konkret og dokumenteres. Det åpnes også for å stille krav til konfidensialitet og sikkerhetstiltak, som avtaler om hemmelighold og teknisk tilgangskontroll.

Hva bør virksomheter gjøre nå?

Selv om forordningen først får virkning i september 2025, og forordningen heller ikke er inntatt i EØS-avtalen ennå, bør berørte virksomheter starte arbeidet allerede nå. Virksomheter som tilbyr IoT produkter, skytjenester eller datadrevne forretningsmodeller, må sette seg inn i hvordan forordningen påvirker egen rolle og avtaleforhold – og hvilke tiltak som bør iverksettes.

Aktuelle tiltak inkluderer:

Kartlegging av hvilke data som genereres, hvem som har tilgang, og hvilke datasett som omfattes av delingsplikten.
Vurdering av om eksisterende produktdesign, datastrømmer og brukergrensesnitt er i tråd med de kravene som forordningen stiller.
Revisjon av kontrakter med leverandører, kunder og tredjepartsaktører, med sikte på å sikre FRAND-vilkår.
Gjennomgang av rutiner for behandling av personopplysninger, herunder samtykke og informasjonsplikt.
Beskyttelse av immaterielle rettigheter og forretningshemmeligheter gjennom tydelig dokumentasjon og adgangsbegrensning.

Våre advokater har inngående kunnskap om dette og andre temaer knyttet til den digitale økonomien.