Det overraskende først: Data Act giver ingen selvstændig hjemmel til at behandle personoplysninger. Virksomheder skal derfor stadig finde et lovligt grundlag i GDPR – ofte art. 6 – når de indsamler, genererer eller udleverer data fra forbundne produkter og relaterede tjenester.
Hvad betyder dette i praksis?
Først skal det identificeres, om de genererede data er personoplysninger. Den vurdering er ofte vanskelig og afgør, om GDPR gælder sideløbende. Dernæst skal rollerne kvalificeres korrekt: er virksomheden dataindehaver efter Data Act og dataansvarlig eller databehandler efter GDPR? En fejlkvalificering kan udløse forkerte pligter i hele kæden.
En særlig faldgrube opstår ved udlevering til brugeren, når brugeren ikke er den registrerede. Her kræver enhver overdragelse et selvstændigt behandlingsgrundlag i GDPR; uden et sådant må data ikke udleveres.
Data Act pålægger sælgere at oplyse om datagenerering i de omfattede produkter og tjenester. Hvis data kan henføres til fysiske personer, udløses også GDPR’s oplysningspligt, herunder oplysninger om kategorier af modtagere. Det stiller krav til klar og konsekvent information på tværs af aktører.
Er de genererede data personoplysninger, skal den dataansvarlige kunne håndtere anmodninger om indsigt, sletning, berigtigelse og begrænsning – også når data deles på tværs af platforme og aktører under Data Act. Processer skal kunne følge data, ikke omvendt.
Faglig fordybelse
Læs mere i: Udleveringsforpligtelsen, Oplysningsforpligtelsen og De praktiske udfordringer i samspillet med GDPR.
