De Europese Data Act (1/3): B2B- en B2C-data delen
De Data Act werd gepubliceerd op 22 december 2023 en treedt in werking op 11 januari 2024, waarna een overgangstermijn begint om zich in regel te stellen (voor de meeste bepalingen tegen 12 september 2025).
Verbonden producten en diensten, en de gebruiksdata die ze genereren
De Data Act is bedoeld om de eerlijkheid in de Europese data-economie te verbeteren. De eerste maatregel om dat doel te bereiken, zijn de regels over de toegang tot gegevens die ontstaan bij het gebruik van "verbonden producten” (vb. smartphone, auto met internetverbinding of “internet of things” toestellen) of bijhorende diensten. Het opzet is dat de gebruiker van dat product of die dienst (bv. eigenaar of huurder) in alle fasen de controle bewaart over diens gebruiksgegevens en de verwerkingen daarvan. De gebruiker kan zowel een consument als een professionele gebruiker zijn.
Ten eerste moeten die verbonden producten en diensten de gebruikers toegang bieden tot hun productgegevens en tot de metagegevens die nodig zijn om die productgegevens te interpreteren en te gebruiken. Louter toegang verlenen tot die gegevens volstaat niet, want de gebruiker moet ook informatie krijgen over dit alles. Nog voor de gebruiker het product of de dienst bestelt, moet de aanbieder ervan (bv. verkoper of verhuurder) de gebruiker informeren over (onder andere) de te verwachten productgegevens, of deze al dan niet real-time gegenereerd worden, waar deze opgeslagen worden (bv. lokaal op het product of op een server) en hoe de gebruiker die gegevens kan raadplegen of wissen.
Als toegang tot de productgegevens via het product of de dienst onmogelijk is, moeten de gegevens beschikbaar zijn via zogeheten “gegevenshouders” (bv. de verkoper of verhuurder) die de productgegevens in handen hebben, op eenvoudig verzoek van de gebruiker. De gebruiker en de gegevenshouder kunnen wel afspraken maken om de toegang tot en het gebruik van de productgegevens te beperken of te verbieden, voor zover er een risico bestaat op het vlak van de gezondheid of veiligheid van een natuurlijke persoon. Ook maatregelen om de vertrouwelijkheid van bedrijfsgeheimen te verzekeren, zijn toegelaten, al wordt ook dit streng geregeld.
Ten tweede zal de gegevenshouder niet langer onbeperkt niet-persoonsgebonden productgegevens mogen verwerken en gebruiken, want elk gebruik van die gegevens moet toegelaten zijn in een contract met de gebruiker. Ook mag de gegevenshouder die gegevens niet verwerken op een manier die de commerciële positie van de gebruiker kan ondermijnen. Bovendien zal de gegevenshouder die gegevens enkel met derden mogen delen, voor zover dat nodig is om een contract met de gebruiker na te komen. Elk ander gebruik en andere doorgifte worden verboden.
Ten derde zal gebruiker niet enkel toegang (moeten) krijgen tot diens productgegevens, want het wordt ook mogelijk om te vragen dat de gegevenshouder die gegevens deelt met een derde (die dan ook als “gegevensontvanger” wordt beschouwd, zie hieronder). Die derde-gegevensontvanger mag echter geen “poortwachter” zijn (“gatekeeper” in de zin van de EU Digital Markets Act), zijnde een onderneming die een aanzienlijke impact op de EU-markt heeft en die een kernplatformdienst aanbiedt om zakelijke gebruikers in contact te brengen met eindgebruikers. Die poortwachters mogen gebruikers ook niet aansporen om die gegevens met hen te delen. Als de productgegevens ook persoonsgegevens omvatten, is de GDPR van toepassing. Als de gebruiker dan niet ook de betrokkene is (de persoon wiens persoonsgegevens worden verwerkt), moet er een juridische basis zijn om die gegevens te delen met de gekozen gegevensontvanger.
Ten vierde zal ook de derde-gegevensontvanger niet onbeperkt de doorgestuurde productgegevens mogen verwerken. Elke verwerking moet in overeenstemming zijn met de doelstellingen en voorwaarden die de gebruiker goedkeurde. Ook verdere doorgiftes aan andere derden zijn niet toegelaten, tenzij dit noodzakelijk is op basis van het contract tussen de (eerste) ontvanger en de gebruiker. Ook mag de derde-gegevensontvanger de ontvangen gegevens niet gebruiken om een product te ontwikkelen dat concurreert met het verbonden product dat de productgegevens oorspronkelijk genereerde, noch om bepaalde analyses te maken van de gegevenshouder en diens activiteiten.
Micro-ondernemingen en kleine ondernemingen zijn vrijgesteld en zijn dus niet verplicht om deze regels te respecteren. Indien die ondernemingen deel uitmaken van een grotere groep zijn de regels alsnog op hen van toepassing.
De Data Act maakt het ook onmogelijk om via een contract af te wijken van deze regels ten nadele van de gebruiker. Ze stelt dat deze regels voorrang hebben op de contracten die worden afgesloten met de gebruiker.
Uitwisseling van gegevens tussen ondernemingen
Een tweede aspect zijn de regels over de uitwisseling van gegevens door de gegevenshouder aan een gegevensontvanger, bijvoorbeeld wanneer een gebruiker dat heeft gevraagd (op basis van de regels die hierboven worden uitgelegd). Die ondernemingen moeten daarover afspraken maken en die afspraken moeten eerlijk, redelijk en niet-discriminerend zijn ( “fair, reasonable and non-discriminatory” in het Engels, ook afgekort als “FRAND”). De Europese Commissie zal niet-bindende model contractvoorwaarden uitwerken op dit vlak.
Ook mogen deze afspraken geen afbreuk doen aan de rechten van de gebruiker (zoals hierboven toegelicht). Wederom behoudt de gebruiker de controle, omdat de doorgifte aan een gegevensontvanger enkel mogelijk is op vraag van de gebruiker. Ook indien de gebruiker een doorgifte vraagt, is de gegevenshouder echter niet verplicht om diens bedrijfsgeheimen te delen.
Als de gegevenshouder en de gegevensontvanger afspraken maken over een vergoeding voor de uitwisseling en het opzetten daarvan, moeten ook die afspraken niet-discriminerend en redelijk zijn. Om dat te beoordelen, kijkt men onder meer naar de kosten verbonden aan de uitwisseling, bepaalde investeringen van de gegevenshouder, en het volume, hef formaat of de aard van de uitgewisselde gegevens. In principe mag de gegevenshouder een winstmarge aanrekenen, behalve indien de gegevensontvanger een KMO of een onderzoeksorganisatie zonder winstoogmerk is. De Europese Commissie zal richtlijnen opstellen om te helpen bij de berekening van de redelijke vergoeding.
Er wordt voorzien in een geschillenbeslechtingsregeling specifiek over deze afspraken.
Oneerlijke contractvoorwaarden tussen ondernemingen inzake toegang tot en gebruik van gegevens
Als derde onderdeel gaat de Data Act in op oneerlijke voorwaarden inzake de toegang tot en het gebruik van gegevens. Indien één onderneming oneerlijke voorwaarden eenzijdig oplegt aan een andere onderneming, zijn die voorwaarden niet bindend.
Wat nu oneerlijk is, regelt de Data Act behoorlijk uitvoerig. Ten eerste bevat ze een open definitie. Die geldt algemeen en kan dus op eender welke clausule toegepast worden. Een voorwaarde is oneerlijk indien ze sterk afwijkt van de goede handelspraktijken op het vlak van toegang tot gegevens en gebruik van gegevens, in strijd met de goede trouw en eerlijke behandeling.
Ten tweede geldt er een “zwarte lijst” van specifieke voorwaarden die altijd oneerlijk zijn. Zo wordt het verboden om de aansprakelijkheid voor opzettelijke of zware fouten te beperken, om bepaalde remedies bij een inbreuk uit te sluiten en om te voorzien in een eenzijdig recht om te beoordelen of de gegevensuitwisseling voldoet aan het contract.
Ten derde is er een “grijze lijst” van specifieke voorwaarden waarvan vermoed wordt dat ze oneerlijk zijn, tenzij wordt bewezen dat ze alsnog eerlijk zijn. Zo mag men (onder meer) niet voorzien in clausules die de remedies bij een inbreuk beperken, die eisen dat men toegang krijgt tot bepaalde (beschermde) gegevens van de gegevensontvanger, die het gebruik van de ontvangen gegevens beperken of die toelaten om de prijs of andere belangrijke contractvoorwaarden eenzijdig te wijzigen.
De impact van deze lijsten lijkt eerder beperkt, toch indien het Belgisch recht van toepassing is op een contract. Zo bestaat er al Belgische regelgeving over onrechtmatige clausules in overeenkomsten tussen ondernemingen (artikelen VI.91/1 tot en met VI.91/10 van het Wetboek Economisch Recht, hier te raadplegen).
Inwerkingtreding en toepassing van de Data Act
De Data Act werd gepubliceerd op 22 december 2023 en treedt in werking op 11 januari 2024. De meeste regels zijn van toepassing (en moeten dus gerespecteerd worden) vanaf 12 september 2025.
De regels over de toegang tot productgegevens gegenereerd door verbonden producten en diensten gelden pas voor producten en diensten die op de EU-markt komen vanaf 12 september 2026. Contracten afgesloten op of voor 12 november 2025 moeten ook voldoen aan de Data Act, toch indien ze afgesloten werden voor onbepaalde duur of (minstens) tot 11 januari 2034 van toepassing zijn.
