De Dataverordening in de praktijk

In het kader van haar Digitale Strategie neemt de Europese wetgever aan een hoog tempo verschillende wetgevende initiatieven die betrekking hebben op digitale technologieën, gegevens en innovatieve toepassingen. De EU Digitale Strategie moet de onafhankelijke competitieve positie van de EU op het vlak van digitale technologieën verstevigen. Eén van de voornaamste van die initiatieven is de Dataverordening of “Data Act”, die vandaag (11 januari 2024) officieel in werking treedt.

Zowel in de vakliteratuur als op sociale mediakanalen is er reeds heel wat gezegd en geschreven over de nieuwe Verordening. Echter rijst er nog steeds onduidelijkheid over de effectieve praktische implementatie daarvan. In deze nieuwsbrief verduidelijken we enkele kernbegrippen en principes uit de Europese Dataverordening aan de hand van een praktijkvoorbeeld, na eerst de achtergrond en mogelijke relevantie van de Verordening voor uw organisatie te bespreken.

1.       Achtergrond en relevantie voor uw organisatie

De Dataverordening heeft tot doel om “te zorgen voor eerlijke waardeverdeling uit data aan actoren in de data-economie en om de toegang tot en het gebruik daarvan te bevorderen”. De Dataverordening moet van de Europese Unie een leider maken op de globale datamarkt en innovatie binnen de EU aanwakkeren. Die doelstellingen tracht de Dataverordening te verwezenlijken door haar brede toepassingsgebied en geharmoniseerde regels binnen de gehele EU. De Europese Unie wil met andere woorden een belangrijkere positie verwerven ten aanzien van data, het zogenaamde nieuwe goud.

Voor uw organisatie is een duidelijk actieplan voor de implementatie van de bepalingen van de Dataverordening van groot belang. De Dataverordening is immers van toepassing op zowel publieke als private actoren die datagerelateerde producten of diensten op de markt brengen, handelen als datahouder of data-ontvanger of dataverwerkingsdiensten. De Verordening zal met andere woorden aanzienlijke gevolgen hebben voor de manier waarop uw organisatie data verzamelt, gebruikt en commercialiseert. Door de groeiende digitalisering van onze economie zal de Dataverordening een belangrijke rol spelen.

 

2.     Praktijkvoorbeeld: fabrikant van (data)producten

Stel: uw organisatie produceert en brengt een machine op de EU markt met digitale functionaliteiten die de gebruiker toelaat om het gebruik van de machine te monitoren via een mobiele applicatie. Uw machine valt dan onder het toepassingsgebied van de definitie van “product” uit de Dataverordening: “een tastbaar, roerend goed, ook wanneer dit deel uitmaakt van een onroerend goed, dat data over het gebruik of de omgeving ervan verkrijgt, genereert of verzamelt, en dat data kan doorgeven via een openbare elektronische communicatiedienst en waarvan de hoofdfunctie niet het opslaan en verwerken van data is”.

In dat geval zijn er verschillende bepalingen uit de Dataverordening op uw organisatie van toepassing, waarvan we hieronder enkele relevante elementen oplijsten:

  • Toegankelijkheid: u dient ervoor te zorgen dat de data die gegenereerd worden in het kader van de machine gemakkelijk, veilig en rechtstreeks toegankelijk (voor zover als passend en relevant) zijn voor de gebruiker van de machine;
  • Informatieplicht: op fabrikanten van producten rust een verregaande precontractuele informatieverplichting die geldt ten aanzien van de gebruiker;
  • Overdraagbaarheid: u dient als fabrikant van een product de daaruit gegenereerde data onverwijld en kosteloos te delen met een derde partij, op verzoek van een gebruiker van het product;
  • Oneerlijke bedingen: ook dient u uw algemene voorwaarden opnieuw te analyseren. De Dataverordening voorziet immers in een lijst met oneerlijke contractuele bedingen die niet bindend zijn. De Dataverordening hanteert daarbij enerzijds een open norm van oneerlijke bedingen en zet daarnaast enkele specifieke oneerlijke en eenzijdige praktijk uit die niet bindend zijn;
  • Terbeschikkingstelling van data aan overheidsinstanties: in gevallen van uitzonderlijke noodzaak dient uw organisatie op verzoek van een overheidsinstantie, EU-instelling, -agentschap of -orgaan daaraan data ter beschikking te stellen. Voorbeelden van gevallen van uitzonderlijke noodzaak zijn onder meer een algemene noodsituatie, het beletten van een algemene noodsituatie of om het herstel na een algemene noodsituatie te ondersteunen of wanneer een gebrek aan beschikbare data belet om een specifieke taak van algemeen belang te vervullen;
  • Internationale doorgiften van niet-persoonsgebonden data: de Dataverordening voert een beschermingsregime in voor niet-persoonsgebonden data dat doet denken aan Hoofdstuk V van de Algemene Verordening Gegevensbescherming (beter bekend als de “GDPR”) en geïnspireerd lijkt op het befaamde “Schrems II” arrest van het Europese Hof van Justitie. Dat regime voor persoonsgegevens heeft al heel wat stof doen opwaaien gedurende de afgelopen jaren en zal ongetwijfeld een belangrijke impact hebben op de interpretatie van de Dataverordening.

Uw organisatie doet er goed aan om uw verplichtingen onder de Dataverordening strikt na te leven. Er is immers voorzien in een handhavingsmechanisme dat is gebaseerd op dat van de GDPR. Gelet op de uitgebreide waaier aan sanctiemaatregelen waarin de GDPR voorziet, hebben zowel natuurlijke personen als toezichthoudende autoriteiten een ruim arsenaal aan

mogelijkheden om niet-naleving van de Dataverordening aan te vechten.

 

3.     Conclusie

Uit dit praktijkvoorbeeld leren we dat de Dataverordening een ingrijpende impact kan hebben op de activiteiten van uw organisatie. Echter dient niet alleen rekening gehouden te worden met de Dataverordening. Verschillende EU wetgevingsinitiatieven binnen het kader van de EU Digitale Strategie, zoals de Digitale Dienstenverordening (voor meer info, zie onze nieuwsbrief via volgende hyperlink: https://monardlaw.be/nl/stories/ingelicht/digitaledienstenverordening/), de Digitale Marktenverordening, de Verordening betreffende Europese datagovernance en het voorstel van AI-verordening. Ook andere juridische instrumenten interageren met de Dataverordening. Zo bestaat er uiteraard een spanningsveld tussen de Dataverordening en de GDPR, waar in de toekomst ongetwijfeld nog veel om te doen zal zijn. Ook hebben de regels rond intellectuele eigendom en bedrijfsgeheimen een belangrijk verband met de bepalingen van de Dataverordening.

Het weze duidelijk dat uw organisatie tijdig de impact van de Dataverordening op uw activiteiten in kaart dient te brengen de nodige voorzorgen dient te nemen om in overeenstemming te zijn met die regels.

Het privacy en gegevensbeschermingsteam van Monard Law staat u graag bij voor al uw vragen betreffende de Dataverordening en andere vragen met betrekking tot innovatieve technologieën, de EU digitale strategie en privacy en gegevensbescherming.

Dit artikel werd geschreven door

Op zoek naar advies rond een bepaald onderwerp?

We begeleiden je naar de juiste persoon of team.