Er Data Act et selvstændigt behandlingsgrundlag efter GDPR?

Nej. Data Act pålægger adgangs- og udleveringspligter, men fastsætter ikke GDPR-hjemmel. Virksomheder skal identificere et lovligt behandlingsgrundlag efter art. 6 og, ved følsomme oplysninger, opfylde art. 9 eller anonymisere data.

Hvilke kontraktvilkår kan tilsidesættes under Data Act?

Vilkår, som strider mod god handelspraksis, herunder klausuler der urimeligt begrænser dataadgang eller datadeling, kan tilsidesættes. Ensidige prisændringer formodes urimelige, og ansvarsfraskrivelse for forsæt eller grov uagtsomhed er ugyldig.

Hvordan håndteres tredjepartsadgang lovligt?

Brugeren kan udpege en tredjepart, men udlevering og brug skal ske inden for et gyldigt GDPR‑grundlag og det aftalte formål. Tredjeparten må ikke profilere uden aftale eller udvikle konkurrerende produkter, og der bør etableres klare roller og tekniske kontroller.

Har I også glemt Data Act midt i AI‑bølgen?

I dag

•

Kromann Reumert

Har I også glemt Data Act midt i AI‑bølgen?

IT-ret Kontraktret EU-ret Persondata og cybersikkerhed

Data Act kræver realtidsadgang til IoT‑data og påvirker kontrakter og datadeling. Adgangen skal understøttes af et gyldigt GDPR‑grundlag, især ved helbredsdata. Få overblik over urimelige vilkår, tredjepartsadgang og praktiske første compliance‑skridt.

Pia Kirstine Voldmester

Heela Lakanval

Birgitte Toxværd

Data Act og GDPR: Ret til dataadgang og behandlingsgrundlag

Data Act giver brugere ret til adgang til produktdata, relaterede tjenestedata og metadata fra forbundne produkter i eller tæt på realtid, i et struktureret og maskinlæsbart format og uden særskilt betaling.

Data Act er imidlertid ikke et selvstændigt GDPR-behandlingsgrundlag. Hvor brugeren ikke er den registrerede, eller hvor data er følsomme, skal der foreligge hjemmel efter GDPR art. 6 og eventuelt art. 9; alternativt bør data leveres i anonymiseret form.

Urimelige vilkår og FRAND under Data Act

I B2B-forhold kan urimelige aftaleklausuler, der begrænser dataadgang eller datadeling, tilsidesættes efter kriteriet om god handelspraksis. Klausuler om ensidige prisændringer formodes urimelige, og ansvarsfraskrivelse for forsæt eller grov uagtsomhed er ugyldig.

Klausuler udformet som GDPR-sikkerhed må ikke fungere som skjulte barrierer. FRAND-betingelser og kompensationsmodeller skal balancere rimelighed med adgangskravene og må ikke omgå forordningen. Et samlet kontrakttjek på tværs af reglerne er nødvendigt.

Tredjepartsadgang: Pligter, begrænsninger og roller

Brugeren kan pålægge dataindehaveren at dele data direkte med en udpeget tredjepart. Data Act fastlægger pligten til udlevering, mens GDPR afgrænser, hvad der lovligt kan deles og til hvilke formål.

Tredjeparter må kun anvende data til det aftalte formål, må ikke profilere uden aftale og må ikke bruge data til at udvikle konkurrerende produkter. Klar rollefordeling, passende behandlingsgrundlag og tekniske foranstaltninger som anonymisering eller pseudonymisering er centrale.

Første skridt til efterlevelse og governance

Start med at kortlægge omfanget af forbundne produkter og relaterede tjenester samt systemernes evne til realtidsudlevering i et maskinlæsbart format. Opdater også brugeroplysninger for at opfylde transparenskrav.

Etabler governance, procedurer og dokumentation på tværs af jura og teknik. Uddan kommercielle teams i urimelige vilkår og FRAND, og forankr kontroller ved onboarding af tredjeparter.

Fokusér særligt på disse tre tiltag: