Datastyringsforordningen (DGA)

Tittel

Europaparlaments- og rådsforordning (EU) 2022/868 av 30. mai 2022 om europeisk datastyring og endring av forordning (EU) 2018/1724 (forordning om datastyring)

Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724 (Data Governance Act)

Siste nytt

Europaparlaments- og rådsforordning publisert i EU-tidende 3.6.2022

Illustrasjon: Pixabay

Den såkalte datastyringsforordningen - Data Governance Act - ble publisert i EU-tidende 3. juni 2022. Regelverket skal gjøre det lettere å utveksle ikke-personlige data, samt tilby en europeisk data­håndterings­modell. Organisering av deling og samling av data skal ivaretas av nøytrale og gjennomsiktige dataformidlere. Forordningen vil tre i kraft i EU 24. september 2023.

Nærmere omtale

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 1.6.2022)

Sammendrag av innhold

Kommisjonens forslag til datastyringsforordning (DGA) følger opp datastrategien fra februar 2020. Forordningen skal sikre felles regler og praksis i EU/EØS, og tar sikte på å øke tilgjengeligheten av data, øke tilliten til dataformidlere og styrke datadelingsmekanismer. Den omhandler både offentlig og privat sektor, og data underlagt tredjeparters rettigheter.

Forordning har følgende "hovedelementer":

  • Gjør enkelte kategorier av offentlige data tilgjengelig for viderebruk der visse tekniske og juridiske formkrav er oppfylt – personopplysninger (utenfor dir. 2019/1024), kommersielt fortrolige data, fortrolige statistiske data, data beskyttet av tredjeparters immaterialrettigheter, herunder forretningshemmeligheter – kapittel II
  • Deling av data mellom virksomheter i privat sektor, mot vederlag i enhver form - regler for dataformidlere i privat sektor – kapittel III
  • Bruk av personopplysninger ved hjelp av «personlig datadelingsformidlere», designet for å hjelpe enkeltpersoner med å utøve rettighetene sine i henhold til personvernforordningen
  • Databruk på altruistiske grunner – kapittel IV
  • Etablering av ekspertgruppe for datainnovasjon (”Data Innovation Board”) – kapittel VI

Generelle bestemmelser – kap.- I

Forslag til forordning innebærer ingen plikt til å tillate viderebruk av data fra offentlig sektor, jf. artikkel 1 nr. 2 i kapittel om generelle bestemmelser og fortalens punkt 6b, men utfyller nasjonal rett og unionsretten og legger noen rammer der slik deling gjøres. En forutsetning er at anonymiteten og konfidensialiteten opprettholdes, og at betingelsene for deling er basert på ikke-diskriminerende, proporsjonale og objektive kriterier.

Unionsretten og nasjonal rett om vern av personopplysninger får anvendelse på alle person-opplysninger som behandles i forbindelse med denne forordningen.

Forordningen berører ikke innsynsregelverket - særlige bestemmelser i unionsretten eller i nasjonal rett om tilgang til eller viderebruk av visse kategorier av data, særlig når det gjelder innsyn i og offentliggjøring av offisielle dokumenter.

Forordningen berører ikke anvendelsen av konkurranseregelverket, og heller ikke aktiviteter som gjelder nasjonal sikkerhet, forsvar og offentlig sikkerhet.

Viderebruk av vise kategorier beskyttede data som innehas av offentlige organer - kap. II

Artikkel 3 nr. 1 bokstav a til d omtaler kategorier av beskyttede data som omfattes – se punkt 1 under sammendrag av innhold. Av nr. 2 bokstav a til e følger avgrensninger mot data som innehas av a) offentlige foretak, b) allmennkringkastere og deres datterforetak i tillegg til andre organer/datterforetak i forbindelse med oppfyllelse av allmennkringkastingsoppgaver, c) data som innehas av kultur- og utdanningsinstitusjoner, d) data beskyttet av årsaker knyttet til nasjonal sikkerhet, forsvar eller offentlig sikkerhet.

Data som innehas av offentlige organer, og som kan viderebrukes iht. denne forordningen, omfattes ikke av virkeområdet for åpne data-direktiv (EU) 2019/1024. Personopplysninger regulert i åpne data-direktivet faller altså utenfor. Viderebruk av data som kan inneholde forretningshemmeligheter skal se hen til rammer for lovlig tilegnelse mm. i direktiv (EU) 2016/943. DGA berører ikke tilgang til og bruk av data for å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksette strafferettslige sanksjoner, jf. fortalens punkt 3. Forordningen avgrenser mot data som kulturinstitusjoner som bibliotek, museer og teatre etc. er i besittelse av.

Forskningsutøvende organisasjoner og forskningsfinansierende organisasjoner kan være organisert både som offentlige organer og offentligrettslige organer, og det uttales i fortalens punkt 8 at forordningen bare bør få anvendelse på slike hybridorganisasjoner i dets egenskap som forskningsutøvende organisasjon. Der slike organisasjoner har data som del av spesifikk privat-offentlig forening med hovedmål om å drive forskning, så tar DGA til orde for at slike data ikke bør omfattes. Likevel slik at landene bør kunne bruke kravene etter forordningen på offentlige foretak eller private foretak som utfører oppgaver i offentlig sektor eller yter tjeneste av allmenn interesse.

DGA forbyr i utg.pkt. enerettsavtaler og praktiske ordninger som gir eller har som mål eller virkning å gi enerett eller begrense tilgjengeligheten til partene i avtalene eller annen praksis, jf. art. 4. Unntak kan gis der det er nødvendig for å levere en tjeneste av allmenn interesse, og en viser til reglene om off. innkjøp og tildeling av konsesjoner, samt reglene om statsstøtte, jf. fortalens punkt 9. Ev. avtaler skal offentliggjøres. For avtaler inngått før forordningen trer i kraft og for terminering av tidsubegrensede/ langsiktige avtaler er det egne regler.

Nærmere vilkår for viderebruk fremgår av art. 5 og fortalens punkt 11. Offentlige organer kan bl.a. pålegge forpliktelser om at tilgang til og viderebruk av data må skje i et sikkert prosesseringsmiljø som er kontrollert av offentlig sektor der anonymiserte eller endrede data ikke oppfyller viderebrukers behov. Det tas til orde for det samme også for pseudonymiserte data. DGA uttaler at vilkårene etter kap. II bør utformes på en måte som fremmer vitenskapelig forskning, som er eks. på noe anses som ikke-diskriminerende. Offentlige organer bør bistå med å innhente samtykke ved å innføre tekniske mekanismer som gjør det mulig å videresende anmodninger om samtykke der det er praktisk mulig, noe som ikke vil inkludere å gi ut kontaktdata som gjør at viderebrukere kan kontakte datainnehaver direkte.

Det stilles særlige krav mht. overføring av data til tredjeland (se bl.a. punkt 15-17), bl.a. for å forhindre IP-tyveri  og industrispionasje. Overføring kan skje om det foreligger tilstrekkelige sikkerhetstiltak mht. fundamentale rettigheter og datasubjekter og dataholdere mht. bruken av dataene er ivaretatt. Tiltak skal antas å foreligge dersom tredjelandet har tilsvarende tiltak som unionen. Kommisjonen kan vedta gjennomføringsrettsakter som erklærer tredjelands oppfyllelse av tiltak. Behovet for gjennomføringsrettsakter skal baseres på informasjonen som medlemslandene frembringer gjennom European Data Innovation Board. En slik vurdering skal forsikre offentlige organer som tillater viderebruk at de ikke kompromitterer beskyttelsen av dataene. Vurderingen av nivået på beskyttelsen i tredjeland skal se hen til relevant generisk og sektorspesifikt regelverk, herunder om offentlig sikkerhet, forsvar, nasjonal sikkerhet og strafferett. Det skal også ses hen til uavhengige fungerende tilsynsmyndigheter for å sikre og håndheve forpliktelsene, eller for å sikre tredjelandets internasjonale forpliktelser mht. vern av data som landet har inngått. Sikkerhetstiltakene skal inkludere muligheter for at rettighetene kan håndheves med effektive rettsmidler. 

Det offentlige kan ta gebyr for viderebruk av data. Vilkårene fremgår av art. 6. Særlige vilkår kan gis for viderebruk basert på ikke-kommersielle hensikter, og til små/mellomstore bedrifter i tråd med statsstøtteregelverket (art. 6 nr. 4). Beregningsgrunnlaget følger av art. 6 nr. 5). DGA oppmuntrer til å generere og gjøre data tilgjengelig i tråd med prinsippet om innebygd åpenhet og åpenhet som standardinnstilling (jf. også punkt 16 i åpne data-direktivet), og også bruke formater og strukturer som letter anonymiseringen.

Landene skal, jf. artikkel 7, utpeke organer (competent bodies) som kan være sektorspesifikke og som skal gi støtte til off. organer mht. tilgang til viderebruk av data. Teknisk støtte kan eks. bestå i bistand til å finne teknikker til å analysere sensitive data, eller bistand til viderebrukere i forbindelse med innhenting av samtykke eller tillatelse fra datasubjekter og dataholdere. Støtten kan også bestå i vurderinger om tilsagn en viderebruker har gitt for data beskyttet av immaterialrettigheter (iht. til artikkel 5 nr. 10) er tilstrekkelig med hensyn til overføring til tredjeland. Slike organer må altså ha tilstrekkelig juridisk og teknisk kapasitet og ekspertise.

Det off. organet som har ansvaret for registeret der dataene ligger er behandlingsansvarlig. Forordningen gir således ikke et nytt rettslig grunnlag for behandling av personopplysninger og endrer ikke opplysningskravene i GDPR-forordningen. Overføring av personopplysninger over landegrensene må være i tråd med kapittel V i personvernforordningen, jf. fortalens punkt 3a. Personvernforordningen vil ha forrang ved motstrid i unionsretten eller nasjonal rett. De utpekte organene skal ikke berøre personvernmyndighetens tilsynsmyndighet og myndighetsområder. Se også punkt 21.

Landene skal etablere et sentralt informasjonspunkt, jf. art. 8. Informasjon om vilkår for viderebruk og gebyrer skal her være tilgjengelig gjennom informasjonspunktet, som skal ha et tverrsektorielt oppdrag. De skal videreformidle forespørsler om viderebruk til rett etat og stille til rådighet et register over tilgjengelige datakilder med relevant info. Automatiske hjelpemidler kan tas i bruk, der eksisterende praktiske arrangementer som åpne data portaler kan fylle formålet. Interne tjenester (internal services) kan være et kompetent organ. Nærmere regler om anmodninger og klage følger av art. 8a.

Dataformidlere og datadelingstjenester i privat sektor – kapittel III

DGA etablerer et regelverk for dataformidlere. EUs politikk med å etablere felles europeiske datarom (data spaces) er del av bakgrunnen, det er behov for at noen kan strukturere og organisere slike datarom. Et overordnet mål er å skape tillitt til dataformidling, som gjør det enklere og tryggere for foretak og enkeltpersoner å frivillig gjøre dataene tilgjengelige for allmennheten under regulerte forhold. Dataformidlerne skal være nøytrale og pålitelige tilretteleggere for deling av data mellom foretak (B2B) og mellom personer og foretak (C2B). DGA retter seg kun mot tjenester med formidling mellom et udefinert antall datasubjekter og dataholdere på den ene siden og databrukere på den andre siden. Aktører som begrenser seg til å fasilitere bruk av data basert på dataaltruisme og som opererer på non-profit basis er ikke dekket av kapittel III, jf. art. 14 (se også punkt 23), da denne aktiviteten støtter opp under mål av allmenn interesse ved å øke volumet av data tilgjengelig for slike formål.

Dataformidlere som tilbyr tjenester til datasubjekter som forstått i GDPR-forordningen er en særlig kategori av dataformidlere, fordi de skal assistere enkeltindivider med å håndheve sine rettigheter og sikre at enkeltindivider ikke oppfordres til å gjøre mer data tilgjengelig for viderebruk enn det som er i deres interesse (informerte valg). Vilkår for å tilby slike tjenester følger av art. 11. Opprettelse av datarom som sikrer bruk uten overføring til tredjeparter kan være et slikt vilkår, og kan gjelde både statiske og dynamiske data knyttet til eks. IOT.

Det fremgår av punkt 22a at forordningen bør omfatte tjenester som har som mål å opprette handelsforbindelser. Slike dataformidlere kan være bilaterale eller multilaterale datadelinger og det kan opprettes plattformer eller databaser som legger til rette for deling eller felles bruk av data. Tjeneste-leverandører som aggregerer, beriker eller endrer dataene og lisensierer bruken av slike data til databrukere uten å etablere en direkte link mellom datasubjekter og dataholdere på den ene siden og databrukere på den andre siden, eksempelvis datameglere og datakonsulenter er ikke omfattet. Det vil bl.a. utelukke lukkede grupper eller der tilgang til tjenesten er avhengig av godkjenning fra medlemmer i en gruppe. Videre så skal tilbudet av skyinfrastruktur eller datadelings-software, eller tilbudet av web browsers/ browser plug-ins eller epost tjenester ikke betraktes som dataformidler i denne forordningen. Begrunnelsen er at slike tjenester kun tilbyr tekniske hjelpemidler for datasubjektene eller dataholderne til å dele data med andre og ikke retter seg mot å etablere direkte juridisk- eller forretningsvirksomhet mellom dem og databrukerne.

Dataformidlerne må oppfylle en rekke krav (art. 11). Nøytralitet mht dataene som deles er ett slikt krav. I praksis kan dataformidlere ikke gjøre så mye mer enn å konvertere dataene til spesifikke formater eller gjøre andre grep som letter bruken av dataene for databruker. I det ligger at de skal kunne bruke dataene fra dataholdere til å forbedre formidlingstjenesten, og også tilby særlige tjenester for å forbedre brukervennligheten og tilleggstjenester som fasiliteter deling, eksempelvis lagring, kuratering, pseudoanonymisering og anonymisering. Erstatning for materielle og immaterielle skader i tillegg til skader som er et resultat av bruk av dataene kan adresseres i relevante kontrakter basert på nasjonal erstatningsrett. Leverandører av kontoinformasjon def. i art. 4 i direktiv (EU) 2015/2366 er ikke omfattet.

Dataformidlere skal ta rimelige tiltak for å sikre interoperabilitet innen en sektor og mellom sektorer for å sikre at markedet fungerer på en god måte.

Dataplattformer som kun brukes av en dataholder for å tilby egne data og som er utviklet eksklusivt av produsenter av objekter og enheter koplet til IOT og som har som mål å sikre funksjonalitet for disse og som tillater verdiøkende tjenester er ikke omfattet. Det følger videre av punkt 22b at off. organer som tilbyr dataformidlingstjenester på ikke-kommersiell basis ikke er omfattet av kapitel III og videre at landene selv kan bestemme om offentlige organer kan tilby dataformidlingstjenester på kommersiell basis. 

Definisjonen av dataformidlingstjenester i artikkel 2 c underpunkt d sett opp mot punkt 22 som sier at tilbydere av dataformidlingstjenester (Kap. III) også kan omfatte offentlige organer, og videre punkt 22b som sier at «forordningen heller ikke får anvendelse på tjenester opprettet av offentlig sektor for å gjøre det lettere å viderebruke enten beskyttede data som innehas av forskjellige offentlige organer i samsvar med kap. II i forordningen, eller andre data, forutsatt at de ikke har som mål å opprette handelsforbindelser», skaper litt tvil om hva som er rammene for offentlige organer. Dersom dette skal forstås som at offentlige organer skal kunne konkurrere med private aktører så vil det gå mot forordningens grunntanke. Men det kan altså være at man har ønsket å gå bort fra dette. Dette sjekkes ut.

Det er en egen notifiseringsprosedyre (art. 10) til nasjonale kompetente myndigheter for slike dataformidlere. For dataformidlere i evt. tredjeland er det bl.a. tilleggskrav om representasjon i landet hvor datadelingen skjer fra.

Forslaget pålegger landene å etablere en (eller flere) nasjonal(e) kompetent(e) myndighet(er) (art. 12) – (competent authorities = vedkommende myndigheter) - som skal overvåke at reglene etter kapittel III om private dataformidlere følges. Den kompetente myndigheten som utpekes/opprettes kan utveksle opplysninger med datatilsynet, konkurransemyndighetene, myndigheter med ansvar for cyber sikkerhet og andre relevante myndigheter som er nødvendig for at de skal kunne utføre sine oppgaver. Nærmere krav følger av artikkel 23 – må være juridisk adskilt fra de som har med dataformidling å gjøre. Krav om at top-management i den kompetente myndigheten ikke kan være konstruktør, fabrikant, leverandør, montør, kjøper, eier, bruker eller reparatør av de tjenester, som de vurderer, eller representant eller bemyndiget representant for noen av disse partene.

Forordningen pålegger også å overvåke og føre tilsyn med at kravene i kap. III overholdes. Landene skal etablere sanksjoner der dataformidlere ikke oppfyller kravene i forordningen (art. 13). Sanksjonene skal være effektive, forholdsmessige og avskrekkende, og det siktes til økonomisk straff og eller opphør/utsettelse av dataformidlingstjenesten.

Dataaltruisme – Kapittel IV

Et formål med forordningen er at det skal bli enklere for enkeltpersoner og virksomheter å frivillig dele egne data til samfunnets beste (dataaltruisme definert i art. 2 nr. 10). Det skal utvikles et felles europeisk samtykkeformular for å minske omkostningene ved å innhente samtykke og lette dataportabiliteten (der data som skal stilles til rådighet ikke er i personens besittelse). Landenes organisatoriske eller tekniske løsninger som bidrar til slik dataaltruisme, jf. punkt 35, kan eksempelvis være enkle samtykkeløsninger for datasubjekter og dataholdere, eller informasjonskampanjer. Eksempler på slike kampanjer er bl.a. hvordan offentlig sektor og samfunnet kan dra fordeler av dataaltruisme gjennom bedre trafikkavvikling, bedre offentlig helse eller bekjempelse av klimaendringer. Det kan videre fastsettes retningslinjer, som i så fall skal rapporteres til kommisjonen (art. 14a). Forordningen berører ikke opprettelsen, organiseringen og driften av andre enheter enn offentlige organer som arbeider med deling av data og innhold på grunnlag av åpne lisenser, jf. punkt 37a som gir eksempler.

Det stilles krav for å kunne registrere seg som en dataaltruismeorganisasjon, bl.a. at det må være en juridisk enhet opprettet med formål om å oppfylle allmennyttige formål, og de må operere på non-profit basis (art. 16). Kompetente myndighet(er) skal føre et register over anerkjente dataaltruismeorganisasjoner, som skal rapportere til kommisjonen. Det kan søkes om å bli registrert i registeret (art. 17). Endring av informasjon skal registreres senest 14 dager etter at endringen fant sted, og EU-kommisjonen skal underrettes omgående.

Det stilles transparenskrav, jf. art. 18, bl.a. å føre oversikt over de som er gitt anledning til å prosessere dataene som holdes av en slik organisasjon, dato for når slik prosessering har skjedd, formålet med prosesseringen av dataene, og gebyrene som er betalt om det har skjedd betaling. Organisasjonene skal årlig utarbeide en aktivitetsrapport til nasjonale kompetent(e) myndighet(er), som altså må utpekes/opprettes, jf. art. 20.

Særlig krav for å verne registrerte data og datainnehaveres rettigheter og interesser er omhandlet i artikkel 19. Kravene går bl.a. på at de dataene gjelder skal underrettes før dataene deres behandles om formålene av allmenn interesse, om behandling gjelder utenfor unionen. De skal f.eks. også stille til rådighet verktøy for lette å kalle tilbake samtykket.

Det skal opprettes kompetent myndighet (competent authority = vedkommende myndighet) også for å overvåke og føre tilsyn med at dataaltruismeorganisasjoner opererer i tråd med vilkårene som er satt, jf. artikkel 21. Denne myndigheten skal ikke berøre den myndigheten som tilligger Datatilsynet etter GDPR, og den skal utpekes på bakgrunn av sin kapasitet og ekspertise og være uavhengig av enhver dataaltruismeorganisasjon. 

Kravene til kompetente myndigheter (vedkommende myndigheter) og prosedyremessige bestemmelser – Kapittel V

Kapitlet omhandler krav relatert til vedkommende myndigheter (competent authorities) og prosessuelle bestemmelser. Kravene fremkommer i artikkel 23, mens retten til klage omhandles i artikkel 24. Rette til effektive rettsmidler følgar av artikkel 25.

I artikkel 23 omk kravene til kompentente myndigheter fremkommer det bl.a. i nr. 3 at:

"Den øverste ledelsen og det personalet som har ansvar for å utføre de relevante oppgavene hos vedkommende myndigheter fastsatt i denne forordningen, kan ikke være designer, produsent, leverandør, installatør, kjøper, eier, bruker eller vedlikeholder av tjenestene de evaluerer, de kan heller ikke være representant for noen av disse partene eller representere dem. Dette utelukker ikke bruk av evaluerte tjenester som er nødvendige for vedkommende myndighets aktiviteter, eller bruk av slike tjenester for personlige formål."

Aktuelle myndigheter som utpekes etter artikkel 12 (dataformidlingstjenester) og artikkel 20 (dataaltruisme) bør gjennomgå sine roller og aktiviteter. mht. eventuelle rollekonflikter. 

Ekspertgruppe for datainnovasjon – Kapittel VI

Det skal etableres (art. 26) en ekspertgruppe for datainnovasjon (datainnovasjonsråd) som skal rådgi EU-Kommisjonen på en rekke spørsmål (art. 27), bl.a. for å sikre konsistent praksis for prosessering av forespørsler om viderebruk og at de kompetente myndighetsorganene som utpekes har lik praksis mht kravene som stilles i forordningen.

Se også punkt 26 om at de skal fasilitere arbeidet med industristandarder.

Det er tatt opp med EU at EØS-land som Norge, Island og Liechtenstein må kunne delta på lik linje med medlemsland siden vi implementerer forordningen på samme måte som Norge.

Komité og delegering – Kapittel VII

Mydnighetene til å vedta delegerte rettsakter gis kommisjonen – nærmere omtale i art. 28 som viser til art. 5 nr. 11 og art. 19a nr. 1.

Sluttbestemmelser – kapittel VIII

Omhandler internasjonal tilgang og overføring av data (art. 30), sanksjoner (art. 31) og evaluering og gjennomgåelse av resultater (art. 32)

Merknader

Rettslige konsekvenser

Forordningen må inntas som den er - henvisningslov.

Foreløpig gjennomgang har ikke fullt ut vurdert behov for endringer i forvaltningslovens og offentlighetslovens regler om f.eks. taushetsplikt. Foreløpig gjennomgang tilsier imidlertid ikke at det vil være et slikt behov. Forordningen er i tråd med GDPR.

Økonomiske og administrative konsekvenser

Forslaget vil ha konsekvenser for Norge. Forslaget vil kunne ha budsjettmessige konsekvenser og påvirke organiseringen og styringen av norsk offentlig forvaltning, bl.a. ved at det stilles krav om å etablere et felles nasjonalt informasjonspunkt, at det må drives tilsynsvirksomhet med dataformidlere i privat sektor, og at det skal opprettes organ(er) som skal gi teknisk og juridisk støtte til datadeling i offentlig sektor.

Forslaget sier ikke noe om flere av disse rollene kan kombineres hos et offentlig organ, men kommisjonen har gitt signaler om at et felles informasjonspunkt vil kunne kombineres med det å være kompetent organ som skal bistå teknisk og juridisk. Mht. personvern så overlates det til medlemsstatene å sørge for tekniske løsninger som tillater anonymisering. Vi har bedt kommisjonen om å komme med rådgiving rundt en slik praktisering, men uten at vi har fått mer info. Et organ som blir pekt ut som kompetent (vedkommende) myndighet til å drive tilsyn vil ikke kunne være tilbyder av datadelingstjenester under kapittel III. Det følger av forordningen også klare krav mht roller for personer og ledere hos vedkommende myndighet, jf. artikkel 23 nr. 3. Det må gjøres konkrete vurderinger for å hindre eventuelle rollekonflikter.

Med kommisjonens forslag var det klart at offentlige organ ikke skulle drive dataformidlingstjenester etter kap. III i konkurranse med private aktører. I desemberversjonen av rettsakten (forelå politisk enighet) sies det i definisjonen av dataformidlingstjenester i artikkel 2 c underpunkt d at offentlige organer som tilbyr datadelingsformidlingstjenester uten å ha som mål å opprette handelsforbindelser ikke skal betraktes som dataformidlingstjenester, mens punkt 22 sier at tilbydere av dataformidlingstjenester (Kap. III) også kan omfatte offentlige organer, og videre punkt 22b som sier at «forordningen heller ikke får anvendelse på tjenester opprettet av offentlig sektor for å gjøre det lettere å viderebruke enten beskyttede data som innehas av forskjellige offentlige organer i samsvar med kap. II i forordningen, eller andre data, forutsatt at de ikke har som mål å opprette handelsforbindelser». Ut fra desemberversjonen har det vært en usikkerhet rundt hva som ligger i dette. I den endelig vedtatte rettsakten er nå definisjonen endret slik at det står «data sharing services offered by public sector bodies that do not aim to establish commercial relationships» Det betyr at «inttermediation er fjernet fra definsjonen og slik at en nå kun snakker om at datadeling ikke skal anses som formidling. Det er fornuftig, men det står fortsatt i fortalen i endelig vedtatt rettsakt at offentlige organer kan drive slike dataformidlingstjenester. EU-kommisjonen har i samtale med Digdir aå langt ikke klart å klargjøre hva som faktisk skal legges til grunn.

Det offentlige skal gi bistand til de som ønsker å viderebruke data med å få samtykke fra enkeltpersoner eller tillatelse fra selskap hvis rettigheter og interesser som kan berøres av viderebruk - artikkel 5 (6). Det er riktignok lagt inn en reservasjon om at bistanden må være gjennomførbar og uten at det medfører uforholdsmessige kostnader for det offentlige.​ Etableringen av disse rollene og de kravene som stilles i de rollene de skal ha vil kunne ha ressurskonsekvenser, inkludert det å administrere et slikt samtykkeregime.

Norges posisjonsnotat tok opp dette med pseudonymisering, da det var uklart om forlsaget til forordning likestilte dette med anonymisering, jf. art. 5 (3), og det var også uklarheter mht. behandlingsgrunnlag. Kommisjonen har i møte presisert at DGA ikke gir behandlingsgrunnlag, og det er tydeliggjort i forordningen. Behandlingsgrunnlag må således finnes andre steder. Det er også avklart at pseaudonymisering ikke er likestilt med anonymisering og kommisjonen har sagt at dette vil kreve flere "safeguards". Se for øvrig fortalens pkt. 6 og også art. 7 (2) b.

Prising av data/gebyrer: ODD åpner for at nasjonale regler kan gi innsyn i data som anonymiseres, og at det kan tas betalt etter nærmere regler. I Norge følger dette av offentlighetsloven. DGA, som avgrenser mot ODD, har også regler om betaling for anonymisering. Reglene er ikke like, noe som kan ha betydning siden det er forskjeller i regelverkene mellom hva som kan hensyntas ved utarbeidelse av gebyrer. Teoretisk kan man dermed ende opp med at hvilken hjemmel man søker viderebruk etter avgjør hvilket gebyr som skal betales. Kommisjonen uttalte i møte med KDD og Digdir at siden anonymisering vil kunne være dyrt, så kan en avvise innsyn etter ODD, og viderebruker må da be om innsyn etter DGA der en kan ta større gebyrer. Dette er et svar som en bør gå nærmere inn i, f.eks. i utvlaget som skal se på en helhetlig regulering av viderebruk av offentlige data.

Status

EØS-notatet er basert på 10.desember utkastet som det var enighet om mellom kommisjonen, rådet og EP. Rettsakten ble formelt vedtatt 4. mai. Desemberversjonen og endelig rettsakt er ikke helt like, men signalet er at det i utgangspunktet ikke bør være annet enn mindre språklige endringer etter den politiske enigheten fra desember. Det ser ut som at noe tekst er flyttet litt på – f.eks. i definisjonene og det er forenklet ved at gjentakende tekst er fjernet

Tekst i desemberversjonen som ikke finnes i siste versjon er denne setningen i artikkel 3 nr 3: "This Chapter does not create any obligation on public sector bodies to allow re-use of data nor does it release public sector bodies from their confidentiality obligations under Union or national law. Dette vil uansett gjelde selv om ikke er sagt i art. 3 nr. 3.

Det er også ryddet i nummeringen slik at endelig vedtatt rettsakt vil avvike fra desmebervesjonen som det var poliltisk engihet om. Signaler fra Brussel tilsier at det ikke er foretatt materielle endringer for desember forslaget.

Rettsakten er under vurdering i EØS-/EFTA-statene.