Europese Commissie – Voorstel voor een Dataverordening
De Europese Commissie heeft een Dataverordening voorgesteld. Deze bevat onder meer nieuwe regels voor het delen van B2C- en B2B-data (gebruik, toegang en overdraagbaarheid van data) en het B2G-delen van data. Daarnaast bevat het ook bepalingen met betrekking tot het overstappen naar andere clouddiensten, interoperabiliteit van dataruimten en dataverwerkingsdiensten en het sui- generis databankenrecht.
Wat: wetsvoorstel
Impactscore: 2
Voor wie: burgers en consumenten, IT dienstverleners (in het bijzonder cloud and SaaS), sector organisaties
URL: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1113
Samenvatting
Volgens de Europese Commissie moet de voorgestelde Dataverordening zorgen voor een eerlijke digitale omgeving, een concurrerende datamarkt stimuleren, kansen creëren voor datagestuurde innovatie en data voor iedereen toegankelijker maken. Het moet leiden tot nieuwe, innovatieve diensten en meer concurrerende prijzen voor aftermarketdiensten en reparaties van 'slimme' of geconnecteerde objecten.
Zij wil dat doen door middel van een reeks nieuwe regels en verplichtingen die verdeeld zijn over 10 inhoudelijke hoofdstukken.
Hoofdstuk 1: Algemene bepalingen
- In dit deel wordt het drieledige doel van de Dataverordening uiteengezet: (i) het beschikbaar stellen van data die zijn gegenereerd door het gebruik van een product of een gerelateerde dienst door de gebruiker van dat product of die dienst (ii) Het beschikbaar stellen van data door datahouders aan data-ontvangers en (iii) beschikbaar stellen van data door datahouders aan overheidsinstanties of EU-instellingen, -agentschappen of -organen, indien er een uitzonderlijke noodzaak bestaat voor de uitvoering van een taak van algemeen belang.
- De verordening bevat bovendien ook definities (zo wordt onder "data" verstaan "elke digitale weergave van handelingen, feiten of informatie en elke compilatie van dergelijke handelingen, feiten of informatie, ook in de vorm van geluidsopnames of visuele of audiovisuele opnames") en worden er nieuwe begrippen geïntroduceerd zoals "datahouder", " ontvanger van data ", " dataverwerkingsdienst", enz.
- Hoofdstuk 2: Data delen tussen bedrijven en consumenten en tussen bedrijven onderling
- Dit hoofdstuk is vooral relevant voor IoT-producten en andere “slimme” apparaten. Dergelijke producten (en aanverwante diensten) moeten ervoor zorgen dat de data die door het gebruik ervan worden gegenereerd, gemakkelijk toegankelijk zijn voor de gebruiker. Deze toegang moet direct of indirect zijn, doormiddel van een (elektronisch verzoek) tot toegang.
- Dit toegangsrecht wordt aangevuld met een gebruiksrecht en een recht van overdraagbaarheid van data (d.w.z. dat gebruikers het recht hebben hun data over te dragen van aanbieder A naar aanbieder B). Data kan echter niet worden overgedragen aan zogenaamde "poortwachters" (bv. GAFAM) in het kader van de verordening inzake betwistbare en eerlijke markten in de digitale sector (“Digital Markets Act”). De Dataverordening voorziet vervolgens in aanvullende regels voor dergelijke overdraagbaarheid van data (bv. verplichtingen voor de derde partij die de data ontvangt). Interessant is dat het recht van overdraagbaarheid van data niet kan worden gebruikt ten aanzien van "micro- of kleine ondernemingen".
Hoofdstuk 3: Verplichtingen voor datahouders die wettelijk verplicht zijn om data beschikbaar te stellen
- Dit hoofdstuk kan gezien worden als een aanvulling op de regels betreffende het bovengenoemde recht van overdraagbaarheid van data, maar heeft een ruimere werkingssfeer, aangezien het ook van toepassing is op situaties waarin een datahouder data beschikbaar moet stellen aan een ontvanger van data krachtens “EU-wetgeving of nationale wetgeving tot uitvoering van het EU-recht".
- Het bepaalt dat deze beschikbaarstelling op "eerlijke, redelijke en niet-discriminerende voorwaarden en op transparante wijze" dient te geschieden. Dit betekent dat er een passend contractueel kader moet zijn (zie ook hoofdstuk 4 hieronder), dat er niet mag worden gediscrimineerd tussen verschillende ontvangers van data en dat data niet op exclusieve basis beschikbaar mag worden gesteld (tenzij op verzoek van de gebruiker). De toepasselijke vergoeding moet redelijk zijn en mag de kosten niet overschrijden (indien de ontvanger van data een micro-, kleine of middelgrote onderneming is). Het hoofdstuk voorziet in een geschillenbeslechtingsmechanisme in dit verband.
- Een datahouder kan technische beschermingsmaatregelen toepassen om ongeoorloofde toegang tot de data te voorkomen en om de naleving van de toepasselijke wettelijke en contractuele verplichtingen te waarborgen.
Hoofdstuk 4: Oneerlijke bedingen met betrekking tot de toegang tot en het gebruik van data tussen ondernemingen
- In dit hoofdstuk wordt uitgelegd welke contractuele bedingen als oneerlijk moeten worden beschouwd indien zij eenzijdig aan een micro-, kleine of middelgrote onderneming worden opgelegd. In het algemeen is een contractueel beding oneerlijk indien het van dien aard is dat het gebruik ervan sterk afwijkt van de goede marktpraktijken met betrekking tot toegang tot en het gebruik van data, en indruist tegen de beginselen van goede trouw en billijke handel. Vervolgens wordt in het artikel nader toegelicht welk soort specifieke bedingen oneerlijk zullen worden beschouwd. De toegevoegde waarde hiervan ervan kan echter beperkt zijn, aangezien het lijkt dat sommige van deze oneerlijke bedingen reeds zijn uitgesloten door het algemene nationale verbintenissenrecht of handelsrecht, ongeacht het feit of deze eenzijdig opgelegd worden of niet.
Hoofdstuk 5: Data beschikbaar stellen aan overheidsinstanties en EU-instellingen, -agentschappen of -organen op grond van uitzonderlijke noodzaak
- Dit hoofdstuk schept een kader waarin datahouders kunnen worden verplicht data beschikbaar te stellen aan een openbare instelling indien deze aantoont dat er een uitzonderlijke noodzaak bestaat om de gevraagde data te gebruiken.
- Van een dergelijke uitzonderlijke noodzaak kan sprake zijn indien:
- De gevraagde data noodzakelijk zijn om te reageren op een algemene noodsituatie;
- Het verzoek om data beperkt is in tijd en reikwijdte en noodzakelijk is om een algemene noodsituatie te voorkomen of om het herstel na een algemene noodsituatie te ondersteunen;
- Wanneer het gebrek aan beschikbare data de overheidsinstantie of de EU-instelling, het EU-agentschap of het EU-orgaan belet een specifieke taak van algemeen belang te vervullen waarin de wet uitdrukkelijk voorziet.
- Dergelijke verzoeken om data door overheidsinstellingen moeten worden gemotiveerd en moeten bepaalde informatie bevatten. Een datahouder die een verzoek om toegang tot data ontvangt, stelt de data onverwijld ter beschikking van de verzoekende instantie. Niettemin kan de datahouder het verzoek wegens beperkte redenen afwijzen of verzoeken om wijziging van het verzoek.
- Voorts bevat het hoofdstuk bepalingen betreffende de verplichtingen van overheidsinstellingen, de mogelijkheid om compensatie te vragen door de datahouders en om samen te werken met onderzoeksorganisaties of statistische instituten, en aangaande wederzijdse bijstand en grensoverschrijdende samenwerking tussen overheidsinstellingen.
Hoofdstuk 6: Overstappen naar andere dataverwerkingsdiensten
- Dit hoofdstuk verplicht aanbieders van dataverwerkingsdiensten (bv. cloud- of SaaS-aanbieders) hun klanten in staat te stellen naar een andere dienstverlener over te stappen en commerciële, technische, contractuele en organisatorische belemmeringen weg te nemen. Belangrijk is dat de rechten en plichten van de gebruiker en de aanbieder met betrekking tot het overstappen tussen aanbieders van dergelijke diensten duidelijk worden uiteengezet in een schriftelijke overeenkomst, met inbegrip van een aantal dwingende bepalingen.
- Interessant is dat het hoofdstuk aanbieders enkel tijdens een overgangsperiode toestaat beperkte overstapkosten in rekening te brengen. Na deze periode moet het overstapproces gratis zijn.
- Ten slotte verplicht het hoofdstuk aanbieders om bijvoorbeeld functionele gelijkwaardigheid te garanderen of APIs gratis en voor het publiek beschikbaar te stellen.
Hoofdstuk 7: Internationale contexten met betrekking tot niet-persoonsgebonden data
- De essentie van dit hoofdstuk is dat aanbieders van dataverwerkingsdiensten alle redelijke technische, juridische en organisatorische maatregelen moeten nemen om internationale overdracht van of toegang van de overheid tot in de EU opgeslagen niet-persoonsgebonden data te voorkomen wanneer een dergelijke overdracht of toegang in strijd zou zijn met het recht van de Unie of het nationale recht van de betrokken lidstaat, behalve wanneer er uitzonderingen van toepassing zijn.
Hoofdstuk 8: Interoperabiliteit
- Dit hoofdstuk bevat interoperabiliteitsverplichtingen die gericht zijn op de exploitanten van dataruimten, dataverwerkingsdiensten en essentiële vereisten voor slimme contracten met betrekking tot het delen van data.
- Bovendien voorziet het voorstel in deze context uitdrukkelijk de mogelijkheid dat Europese normalisatie-instellingen geharmoniseerde normen opstellen of dat de Commissie gemeenschappelijke specificaties vaststelt.
Hoofdstuk 9: Uitvoering en handhaving
Elke EU-lidstaat moet een of meer bevoegde autoriteiten aanwijzen die belast worden met de handhaving van de Dataverordening. De lidstaten kunnen een of meer nieuwe autoriteiten oprichten of een beroep doen op bestaande autoriteiten. De Dataverordening voorziet ook in het recht voor gebruikers of klanten om een klacht in te dienen bij deze autoriteit.
Hoofdstuk 10: Sui Generis recht krachtens richtlijn 1996/9/EC
De Dataverordening sluit uit dat databanken die bestaan uit machinaal gegenereerde, single-source data bescherming kunnen genieten op grond van het sui generis databankenrecht.