Skip to content

Timo Lagerbjelke

Teknik, juridik & innovation

Menu
  • Mina tankar
  • Arkiv
  • Regelverk att känna till.
    • Data Act
    • DORA (Digital Operational Resilience Act)
    • CLOUD Act
    • GDPR
    • EU 2021/821 (Dual-use)
    • NIS2
    • CRA (Cyber Resilience Act)
    • AI-act
  • Om
Menu

Data Act

Vad det är

Data Act (förordning EU 2023/2854) är EU:s förordning om rättvis tillgång till och användning av data. Den antogs i november 2023 och är tillämplig från september 2025. Förordningen är direkt tillämplig i alla medlemsstater utan krav på nationell implementeringslagstiftning.

Grundlogiken är att data som genereras av uppkopplade produkter och tjänster ska kunna delas på rättvisa villkor mellan de aktörer som bidrar till att skapa den. Förordningen adresserar en strukturell obalans: i praktiken har tillverkare och tjänsteleverantörer haft ensam tillgång till data som användare och tredje parter bidragit till att generera, utan att det funnits rättsliga mekanismer för att utmana detta.

Data Act kompletterar den tidigare Data Governance Act (EU 2022/868), som reglerar strukturer för datadelning och dataförmedlingstjänster, snarare än ersätter den. Tillsammans utgör de kärnan i EU:s datastrategi.

Vad som regleras

Förordningen täcker i huvudsak fyra områden.

Rätt till data från uppkopplade produkter och tjänster innebär att användare — både konsumenter och företag — har rätt att få tillgång till data som genereras av produkter de använder eller äger, och att under vissa förutsättningar dela denna data med tredje parter. Det gäller exempelvis data från uppkopplade maskiner, fordon, medicintekniska produkter, smarta hemenheter och industriell utrustning.

Skyldigheter för datahållare att dela data med tredje parter reglerar under vilka villkor och på vilka villkor data ska kunna delas. Delning ska ske på rättvisa, rimliga och icke-diskriminerande villkor, och datahållaren får inte använda sin ställning för att utestänga konkurrenter eller skapa inlåsningseffekter.

Offentliga myndigheters rätt att begära data från privata aktörer i exceptionella situationer, exempelvis vid naturkatastrofer, folkälsokriser eller andra nödsituationer, regleras i ett särskilt kapitel. Denna mekanism är avsedd som ett undantag, inte en generell befogenhet.

Regler för byte av molntjänstleverantör syftar till att underlätta portabilitet och minska inlåsningseffekter på molnmarknaden. Leverantörer ska underlätta för kunder att byta tjänst och får inte använda tekniska eller avtalsmässiga hinder för att förhindra detta.

Vem berörs

Tillverkare av uppkopplade produkter som placeras på EU-marknaden berörs direkt, oavsett var tillverkaren är etablerad. Det inkluderar tillverkare av konsumentprodukter, industriell utrustning, fordon och medicintekniska produkter med datainsamlingsfunktioner.

Leverantörer av relaterade tjänster, det vill säga digitala tjänster som är nödvändiga för att produkten ska fungera, berörs parallellt med tillverkaren. Molntjänstleverantörer berörs av reglerna om leverantörsbyte och portabilitet. Företagsanvändare och konsumenter får nya rättigheter att begära tillgång till sin data.

Mikroföretag och små företag är i stor utsträckning undantagna från skyldigheterna som datahållare, men kan dra nytta av förordningens rättigheter som datamottagare.

Relation till affärsmodeller och innovationsmiljöer

Data Act påverkar affärsmodeller som byggts på exklusiv tillgång till produktgenererad data. För många tillverkare och tjänsteleverantörer innebär förordningen att data som tidigare utgjort en konkurrensfördel nu måste kunna delas under reglerade former.

I innovationsmiljöer och för startups öppnar förordningen potentiellt tillgång till datakällor som tidigare varit stängda. Möjligheten att som tredje part begära tillgång till data från uppkopplade produkter kan möjliggöra nya tjänster och affärsmodeller inom exempelvis predictive maintenance, energioptimering och hälsoteknik.

Samtidigt introducerar förordningen nya avtalsmässiga och tekniska krav som måste hanteras från produktdesignstadiet. Data by design blir en praktisk nödvändighet på samma sätt som privacy by design under GDPR.

Koppling till andra regelverk

Data Act och GDPR förhåller sig till varandra genom att GDPR fortsätter att gälla fullt ut för all personuppgiftsbehandling även inom Data Acts tillämpningsområde. När data som ska delas innehåller personuppgifter tillkommer GDPR:s krav på rättslig grund, ändamålsbegränsning och skydd. Data Act löser inte GDPR-frågor och skapar inte nya rättsliga grunder för personuppgiftsbehandling.

Data Governance Act kompletterar Data Act genom att reglera de strukturer och intermediärer genom vilka datadelning kan organiseras. I praktiken kan en organisation behöva förhålla sig till båda förordningarna parallellt.

AI Act och Data Act möts i frågan om träningsdata. Tillgång till data från uppkopplade produkter via Data Act kan bli en praktiskt viktig källa för träning av AI-modeller, men GDPR:s begränsningar för personuppgifter och AI Acts krav på dokumentation av träningsdata gäller parallellt.

NIS2 och Data Act överlappar i fråga om säkerhetskrav på data som delas mellan aktörer. Datadelning som sker inom ramen för Data Act befriar inte från NIS2:s krav på konfidentialitet och integritet för organisationer som omfattas av direktivet.

Tillsyn och sanktioner

Varje medlemsstat ska utse en eller flera behöriga myndigheter för tillämpning av Data Act. Samordning mellan myndigheter i olika medlemsstater ska ske genom ett europeiskt datainnovationsråd. I Sverige är det ännu inte fullt ut fastställt vilken myndighet som ska ha det primära tillsynsansvaret.

Sanktionsnivåerna fastställs i nationell lagstiftning inom de ramar förordningen anger, vilket innebär att de kan variera mellan medlemsstater. Förordningen ställer krav på att sanktionerna ska vara effektiva, proportionella och avskräckande.

En praktisk anmärkning

Data Act är ett ungt regelverk och den praktiska tillämpningen är ännu inte etablerad. Vägledningar från tillsynsmyndigheter och de första tillsynsbesluten kommer att vara avgörande för hur förordningens mer öppna formuleringar tolkas i praktiken. För organisationer som berörs är det tidiga skedet ett tillfälle att påverka hur interna processer och produktdesign utformas, innan praxis är låst.

Primärkällor

Förordningstexten finns på EUR-Lex: EU 2023/2854. Europeiska kommissionens information om Data Act finns på digital-strategy.ec.europa.eu. Data Governance Act, EU 2022/868, är relevant som kompletterande regelverk och finns också på EUR-Lex.

Böcker

  • Att Konkurrera i AI-Åldern: Mina tankar om en aktuell bok

    Att Konkurrera i AI-Åldern: Mina tankar om en aktuell bok

  • En recension av “The Big Picture” by Sean Carroll

    En recension av “The Big Picture” by Sean Carroll

  • “The Hard Thing About Hard Things” av Ben Horowitz

    “The Hard Thing About Hard Things” av Ben Horowitz

  • “Zero to One” av Peter Thiel och Blake Masters

    “Zero to One” av Peter Thiel och Blake Masters

Vad är…

  • Innovationsrådgivarens roll?

    Innovationsrådgivarens roll?

  • Fullstack-utvecklarens roll?

    Fullstack-utvecklarens roll?

  • IT-paralegals roll?

    IT-paralegals roll?

© 2026 Timo Lagerbjelke | Powered by Minimalist Blog WordPress Theme