Datastyringsforordningen forklaret

Dataenes økonomiske og samfundsmæssige potentiale er enormt: den kan muliggøre nye produkter og tjenester baseret på nye teknologier, gøre produktionen mere effektiv og tilvejebringe værktøjer til bekæmpelse af samfundsmæssige udfordringer. På sundhedsområdet kan data f.eks. bidrage til at yde bedre sundhedspleje, forbedre personlige behandlinger og hjælpe med at helbrede sjældne eller kroniske sygdomme. Det er også en stærk drivkraft for innovation og nye job og en kritisk ressource for nystartede virksomheder og SMV'er.

Dette potentiale bliver dog ikke udnyttet. Datadelingen i EU er fortsat begrænset på grund af en række hindringer (herunder lav tillid til datadeling, spørgsmål vedrørende genanvendelse af data fra den offentlige sektor og dataindsamling til fælles bedste samt tekniske hindringer).

For virkelig at udnytte dette enorme potentiale bør det være lettere at dele data på en pålidelig og sikker måde.

Forordningen om datastyring er et tværsektorielt instrument, der har til formål at regulere videreanvendelsen af offentligt/holdte, beskyttede data ved at fremme datadeling gennem regulering af nye dataformidlere og ved at tilskynde til deling af data til altruistiske formål. Både personoplysninger og andre data end personoplysninger er omfattet af forordningen om datastyring, og når det drejer sig om personoplysninger, finder den generelle forordning om databeskyttelse (GDPR) anvendelse. Ud over den generelle forordning om databeskyttelse vil indbyggede sikkerhedsforanstaltninger øge tilliden til datadeling og -genanvendelse, hvilket er en forudsætning for at gøre flere data tilgængelige på markedet.

Videreanvendelse af visse kategorier af data, som offentlige myndigheder er i besiddelse af

Hvad er de vigtigste mål?

Direktivet om åbne data regulerer videreanvendelsen af offentligt tilgængelige oplysninger, som den offentlige sektor er i besiddelse af. Den offentlige sektor har imidlertid også store mængder beskyttede data (f.eks. personoplysninger og kommercielt fortrolige data), der ikke kan genanvendes som åbne data, men som kan genanvendes i henhold til specifik EU-lovgivning eller national lovgivning. Der kan udtrækkes et væld af viden fra sådanne data, uden at det går ud over deres beskyttede karakter, og forordningen om datastyring indeholder regler og garantier for at lette en sådan videreanvendelse, når det er muligt i henhold til anden lovgivning.  

Hvordan fungerer det i praksis?

• Tekniske krav til den offentlige sektor: Medlemsstaterne skal være teknisk udstyret til at sikre, at privatlivets fred og fortroligheden af data respekteres fuldt ud i situationer med videreanvendelse. Dette kan omfatte en række værktøjer, fra tekniske løsninger såsom anonymisering, pseudonymisering eller adgang til data i sikre databehandlingsmiljøer (f.eks. datarum), der overvåges af den offentlige sektor, til kontraktlige midler såsom fortrolighedsaftaler indgået mellem den offentlige myndighed og genbrugeren.
• Bistand fra den offentlige myndighed: Hvis en offentlig myndighed ikke kan give adgang til visse data med henblik på videreanvendelse, bør den bistå den potentielle genbruger med at indhente personens samtykke til videreanvendelse af vedkommendes personoplysninger eller dataindehaverens tilladelse, hvis rettigheder eller interesser kan blive berørt af videreanvendelsen. Desuden må fortrolige oplysninger (f.eks. forretningshemmeligheder) kun videregives til videreanvendelse med et sådant samtykke eller en sådan tilladelse.
• For at få endnu flere offentligt tilgængelige data til videreanvendelse begrænser datastyringsforordningen anvendelsen af eksklusive aftaler om videreanvendelse af data (hvorved en offentlig myndighed tildeler en sådan eneret til én virksomhed) til specifikke tilfælde af offentlig interesse.
• Rimelige gebyrer: offentlige myndigheder kan opkræve gebyrer for at tillade videreanvendelse, så længe disse gebyrer ikke overstiger de nødvendige omkostninger. Desuden bør offentlige myndigheder tilskynde til videreanvendelse til videnskabelig forskning og andre ikkekommercielle formål samt af SMV'er og nystartede virksomheder ved at reducere eller endda udelukke gebyrer.
• En offentlig myndighed har op til to måneder til at træffe afgørelse om en anmodning om videreanvendelse.
• Medlemsstaterne kan vælge, hvilke kompetente organer der skal støtte de offentlige myndigheder, der giver adgang til videreanvendelse, f.eks. ved at give sidstnævnte et sikkert databehandlingsmiljø og ved at rådgive dem om, hvordan de bedst kan strukturere og lagre data for at gøre dem let tilgængelige.
• For at hjælpe potentielle genbrugere med at finde relevante oplysninger om, hvilke data der opbevares af hvilke offentlige myndigheder, skal medlemsstaterne oprette et centralt informationssted. Kommissionen oprettede det europæiske register over beskyttede data i den offentlige sektor (ERPD), et søgbart register over de oplysninger, der indsamles af nationale centrale informationssteder, for yderligere at lette videreanvendelsen af data i og uden for det indre marked.

Dataformidlingstjenester

Hvad er de vigtigste mål?

Mange virksomheder frygter i øjeblikket, at deling af deres data vil medføre et tab af konkurrencemæssige fordele og udgøre en risiko for misbrug. Datastyringsforordningen fastsætter et sæt regler for udbydere af dataformidlingstjenester (såkaldte dataformidlere såsom datamarkedspladser) for at sikre, at de fungerer som pålidelige arrangører af datadeling eller -pooling inden for de fælles europæiske dataområder. For at øge tilliden til datadeling foreslås der med denne nye tilgang en model baseret på dataformidleres neutralitet og gennemsigtighed, samtidig med at enkeltpersoner og virksomheder får kontrol over deres data.

Hvordan fungerer det i praksis?

Rammen tilbyder en alternativ model til Big Tech-platformenes databehandlingspraksis, som har en høj grad af markedsstyrke, fordi de kontrollerer store mængder data.

I praksis vil dataformidlere fungere som neutrale tredjeparter, der forbinder enkeltpersoner og virksomheder med databrugere. Selv om de kan opkræve gebyr for at lette datadelingen mellem parterne, kan de ikke direkte anvende de data, som de formidler, til økonomisk fortjeneste (f.eks. ved at sælge dem til en anden virksomhed eller bruge dem til at udvikle deres eget produkt baseret på disse data). Dataformidlere skal overholde strenge krav for at sikre denne neutralitet og undgå interessekonflikter. I praksis betyder dette, at der skal være en strukturel adskillelse mellem dataformidlingstjenesten og alle andre tjenester, der leveres (dvs. de skal være juridisk adskilt). De kommercielle vilkår (herunder prisfastsættelse) for levering af formidlingstjenester bør heller ikke afhænge af, om en potentiel dataindehaver eller databruger anvender andre tjenester. Alle indsamlede data og metadata kan kun anvendes til at forbedre dataformidlingstjenesten.

Både selvstændige organisationer, der kun udbyder dataformidlingstjenester, og virksomheder, der tilbyder dataformidlingstjenester ud over andre tjenester, kan fungere som betroede formidlere. I sidstnævnte tilfælde skal dataformidlingsaktiviteten være strengt adskilt, både juridisk og økonomisk, fra andre datatjenester.

I henhold til datastyringsforordningen skal dataformidlere underrette den kompetente myndighed om, at de har til hensigt at levere sådanne tjenester. Den kompetente myndighed sikrer, at anmeldelsesproceduren er ikkediskriminerende og ikke forvrider konkurrencen, og bekræfter, at dataformidlingstjenesteudbyderen har indgivet anmeldelsen med alle de krævede oplysninger.

Efter modtagelse af en sådan bekræftelse kan dataformidleren lovligt begynde at drive virksomhed og anvende mærket "dataformidlingstjenesteudbyder, der er anerkendt i Unionen" i sin skriftlige og mundtlige kommunikation samt det fælles logo. Disse myndigheder vil også overvåge overholdelsen af dataformidlingskravene, og Kommissionen fører et centralt register over anerkendte dataformidlere.

Dataaltruisme

Hvad er de vigtigste mål?

Dataaltruisme handler om, at enkeltpersoner og virksomheder giver deres samtykke eller tilladelse til at stille data til rådighed, som de genererer – frivilligt og uden belønning – til brug for almennyttige formål. Sådanne data har et enormt potentiale til at fremme forskning og udvikle bedre produkter og tjenester, herunder inden for sundhed, miljø og mobilitet.

Forskning viser, at selv om der i princippet er vilje til at engagere sig i dataaltruisme, hæmmes dette i praksis af manglen på datadelingsværktøjer. Som sådan er målet med forordningen om datastyring at skabe pålidelige værktøjer, der gør det muligt at dele data på en nem måde til gavn for samfundet. Det vil skabe de rette betingelser for at forsikre enkeltpersoner og virksomheder om, at når de deler deres data, vil de blive håndteret af pålidelige organisationer baseret på EU's værdier og principper. Dette vil gøre det muligt at oprette datapuljer af en tilstrækkelig størrelse til at muliggøre dataanalyse og maskinlæring, herunder på tværs af grænserne.

Hvordan fungerer det i praksis?

Enheder, der stiller relevante data baseret på dataaltruisme til rådighed, vil kunne registrere sig som "dataaltruistiske organisationer, der er anerkendt i Unionen". Disse enheder skal være almennyttige og opfylde gennemsigtighedskrav samt tilbyde specifikke sikkerhedsforanstaltninger for at beskytte rettighederne og interesserne for borgere og virksomheder, der deler deres data. Desuden skal de overholde regelsættet (senest 18 måneder efter dets ikrafttræden), som vil fastsætte oplysningskrav, tekniske og sikkerhedsmæssige krav, kommunikationskøreplaner og anbefalinger om interoperabilitetsstandarder. Regelsættet vil blive udviklet af Kommissionen i tæt samarbejde med dataaltruistiske organisationer og andre relevante interessenter.

Enhederne vil kunne anvende det fælles logo, der er udformet til dette formål, og kan vælge at blive optaget i det offentlige register over dataaltruistiske organisationer. Kommissionen har til orientering oprettet et register på EU-plan over anerkendte dataaltruistiske organisationer.  

En fælles europæisk samtykkeformular for dataaltruisme vil gøre det muligt at indsamle data på tværs af medlemsstaterne i et ensartet format og sikre, at de, der deler deres data, nemt kan give og trække deres samtykke tilbage. Det vil også give retssikkerhed til forskere og virksomheder, der ønsker at anvende data baseret på altruisme. Dette vil være en modulopbygget form, som kan skræddersys til behovene i specifikke sektorer og formål.

Det Europæiske Datainnovationsråd

Hvad er de vigtigste mål?

Som fastsat i forordningen om datastyring oprettede Kommissionen Det Europæiske Datainnovationsråd (EDIB) for at lette udvekslingen af bedste praksis, navnlig om dataformidling, dataaltruisme og anvendelse af offentlige data, der ikke kan stilles til rådighed som åbne data, samt om prioriteringen af tværsektorielle interoperabilitetsstandarder.

Hvordan fungerer det i praksis?

EDIB omfatter repræsentanter fra følgende enheder:

• Medlemsstaternes kompetente myndigheder for dataformidling
• Medlemsstaternes kompetente myndigheder for dataaltruisme
• Det Europæiske Databeskyttelsesråd
• Den Europæiske Tilsynsførende for Databeskyttelse
• Den Europæiske Unions Agentur for Cybersikkerhed (ENISA)
• af Europa-Kommissionen
• EU's SMV-repræsentant/repræsentant udpeget af netværket af SMV-repræsentanter
• andre repræsentanter for relevante organer, der udvælges af Kommissionen gennem en indkaldelse af eksperter.

Listen over EDIB-medlemmer findes her:  Registret over Kommissionens ekspertgrupper og lignende enheder (europa.eu).

EDIB vil få beføjelse til at foreslå retningslinjer for fælles europæiske dataområder, f.eks. om tilstrækkelig beskyttelse af dataoverførsler uden for Unionen.

Internationale datastrømme

Hvad er de vigtigste mål?

Den europæiske strategi for data fra februar 2020 anerkendte betydningen af at have en åben, men assertiv tilgang til internationale datastrømme.

Internationale dataoverførsler kan frigøre det betydelige socioøkonomiske potentiale i den enorme mængde data, der genereres i EU, og dermed øge Unionens internationale konkurrenceevne på den globale scene og samtidig bidrage til økonomisk vækst, hvilket er afgørende, navnlig i genopretningsperioden efter covid-19.

Selv om datastyringsforordningen spiller en central rolle med hensyn til at styrke Den Europæiske Unions åbne strategiske autonomi, bidrager den også til at skabe tillid til internationale datastrømme.

Hvordan fungerer det i praksis?

Selv om den generelle forordning om databeskyttelse har indført alle de nødvendige garantier i forbindelse med personoplysninger, er det takket være forordningen om datastyring, at der findes lignende garantier for anmodninger om adgang fra tredjelandes regeringer i forbindelse med andre data end personoplysninger.

Disse garantier vedrører alle scenarier og bestemmelser, der er fastsat i forordningen om datastyring, nemlig for data fra den offentlige sektor, dataformidlingstjenester og konstellationer af dataaltruisme. Videreanvenderen i tredjelandet skal sikre det samme beskyttelsesniveau med hensyn til de pågældende data som det beskyttelsesniveau, der er sikret i EU-retten, samt acceptere den respektive EU-jurisdiktion.  

Hvis det skønnes nødvendigt, kan Kommissionen vedtage yderligere afgørelser om tilstrækkeligheden af beskyttelsesniveauet for overførsel af offentligt beskyttede data til videreanvendelse, når det drejer sig om en anmodning om adgang til andre data end personoplysninger fra et tredjeland. Disse afgørelser om tilstrækkeligheden af beskyttelsesniveauet vil svare til afgørelserne om tilstrækkeligheden af beskyttelsesniveauet i forbindelse med overførsel af personoplysninger i henhold til GDPR.

Desuden giver forordningen om datastyring Kommissionen beføjelse til at stille standardkontraktbestemmelser til rådighed for offentlige myndigheder og videreanvendere i forbindelse med scenarier, hvor den offentlige sektors data er involveret i dataoverførsler med tredjelande.