EU’s nye Data Act skal frigøre værdi i dataøkonomien, men den ændrer ikke på, at GDPR sætter rammen for behandling af personoplysninger. Samspillet stiller især krav til IoT-aktører, der både skal sikre brugernes adgang til data og overholde databeskyttelsesprincipper.
Samspillet mellem Data Act og GDPR
Data Act fastslår, at forordningen ikke berører EU’s regelsæt om databeskyttelse. Hvor datasæt rummer personoplysninger, gælder GDPR uændret, herunder tilsynsmyndighedernes beføjelser. Dermed skaber Data Act ikke et selvstændigt behandlingsgrundlag, og den kan ikke tilsidesætte GDPR ved “blandede” datasæt.
Samtidig bygger Data Act videre på GDPR’s dataportabilitet ved at styrke brugeres adgang til data fra IoT-produkter og relaterede tjenester. Forordningen kræver, at data, der genereres ved brug, som udgangspunkt skal være tilgængelige for brugeren på en let og sikker måde. Det ændrer dog ikke, at enhver behandling af personoplysninger skal være lovlig, nødvendig og proportional.
De grundlæggende pejlemærker kan sammenfattes sådan:
- GDPR har forrang ved datasæt, der indeholder personoplysninger.
- Data Act indfører ikke nye retsgrundlag for behandling af personoplysninger.
- Brugeradgang og dataoverførsel skal forenes med databeskyttelsesprincipper.
Roller, ansvar og adgang
Data Act introducerer rollen som dataindehaver, der kan være forpligtet til at stille data til rådighed for brugeren. I praksis vil dataindehaveren ofte også være dataansvarlig efter GDPR. Brugeren kan både være registreret og selvstændig dataansvarlig, hvis vedkommende behandler modtagne datasæt til egne formål, ligesom tredjeparter, der modtager data efter brugerens anmodning, typisk bliver dataansvarlige for deres videre behandling.
Udlevering af personoplysninger kræver et gyldigt behandlingsgrundlag. For almindelige oplysninger skal dataindehaveren identificere et grundlag efter GDPR artikel 6, mens behandling af følsomme oplysninger forudsætter hjemmel i artikel 9. Ansvarsplacering, dokumentation og transparens bliver derfor centrale, når data flyttes mellem aktører.
Design og governance
Data Act stiller designkrav til IoT-produkter og tilknyttede tjenester, så brugerens data som standard er tilgængelige på en sikker måde. Det skal implementeres i systemarkitektur, grænseflader og kontrakter. Samtidig skal privacy by design og privacy by default være indbygget fra starten.
For at balancere kravene bør virksomheder kortlægge datastrømme, afklare roller, adskille person- og ikke-persondata, og indføre adgangsstyring samt logning. Derudover bør standardiserede processer for anmodninger om dataportabilitet og udlevering til tredjeparter etableres, så overførsel sker lovligt, sikkert og sporbar.
