Data Act - Dataadgang versus IP-rettigheder

Som led i realiseringen af denne strategi blev der tidligere i år opnået politisk enighed om en ny forordning (”Data Act”), der skal skabe de lovgivningsmæssige rammer for denne strategi. 

Vi har tidligere udgivet nogle generelle artikler om denne vigtige nye forordning: EU’s dataforordning (”Data Act”) godkendt af Parlamentet og EU fremsætter forslag til ny ”Data Act”. I denne og en række kommende artikler behandler vi nogle specifikke emner, som reguleres i forordningen. Denne artikel handler om Data Act’ens betydning for beskyttelsen af databaserettigheder og forretningshemmeligheder.

En svær balancegang

Emnet er centralt, idet Data Act’en grundlæggende har til formål at give brugere af IoT-produkter og services adgang til data, hvilket potentielt kan være i konflikt med producenternes IP-rettigheder.

Det er derfor tale om en svær balancegang, som da også har været genstand for intense forhandlinger under tilblivelsen af den nye forordning.

Databaserettigheder

En vigtig bestemmelse i den kommende Data Act er artikel 43, der indebærer en indsnævring af den såkaldte "sui generis" beskyttelse af databaser, dvs. beskyttelsen af databaser, der ikke nyder tilstrækkelig værkshøjde til at udgøre et ophavsretligt værk, men som ikke desto mindre repræsenterer en væsentlig investering.

Bestemmelsen fastslår således, at denne ret ikke gælder ”når data er indhentet fra eller genereret af et produkt eller en relateret tjeneste, der falder ind under denne forordnings anvendelsesområde, især i forhold til artikel 4 og 5."

Artikel 43 har til formål at forhindre, at rettighederne til databaser hindrer adgang til data fra tilsluttede produkter og relaterede tjenester. En afledt konsekvens heraf er imidlertid, at betydelige investeringer i indsamling, verifikation og præsentation af data fra tilsluttede enheder ikke længere vil nyde samme beskyttelse.

Virksomheder og organisationer, der investerer betydeligt i indsamling, verifikation og præsentation af data fra tilsluttede enheder og relaterede tjenester, er derfor nødt til omhyggeligt at overveje alternative metoder til at sikre deres investering.

Bestemmelsen introducerer et dilemma, idet man potentielt kan opnå bedre beskyttelse ved at benytte manuelle indsamlingsteknikker frem for at indsamle data via forbundne enheder.

Ligeledes kan det afskrække virksomheder og organisationer fra at kombinere datasæt fra tilsluttede enheder med data fra andre kilder.

Forretningshemmeligheder

Data Act’en har også en indvirkning på, hvordan forretningshemmeligheder beskyttes. Ifølge artikel 4 og 5 kan data der, der er beskyttet som forretningshemmeligheder, således kræves udleveret under visse betingelser.

Forpligtelsen til at dele data reducerer dermed indehaverens kontrol over, hvem der kan få adgang til informationen. Ifølge de nye regler har indehavere af forretningshemmeligheder dog ret til at nægte adgangen til data, hvis der ikke er enighed om de nødvendige beskyttelsesforanstaltninger.

Brugere må endvidere ikke bruge dataene til at udvikle konkurrerende produkter eller få indsigt i indehavernes økonomiske situation, aktiver og produktionsmetoder.

Indehavere af forretningshemmeligheder bliver derfor nødt til omhyggeligt at overveje, hvordan de håndterer forpligtelserne vedrørende dataadgang i henhold til Data Act og adressere de mulige risici, der er forbundet hermed.

Dette gælder, selvom der i forbindelse med de afsluttende forhandlinger blev indført en undtagelse til pligten til at udlevere data beskyttet som forretningshemmeligheder, der giver producenten en vetoret, hvis der er risiko for "alvorligt økonomisk tab”. Der er således tale om en meget snæver undtagelse, som i praksis kan vise sig meget vanskelig, idet dokumentationen for dette skal være velbegrundet og baseret på objektive faktorer. Dette inkluderer blandt andet, hvor godt forretningshemmelighederne beskyttes i andre lande, karakteren og graden af fortrolighed for dataene samt det tilsluttede produkts unikke og nyskabende karakter.

De nylige regler indført i Data Act’en søger således at opnå en balance mellem målet om at gøre data mere tilgængelige og behovet for at bevare beskyttelsen af forretningshemmeligheder. Det er stadig uklart, i hvilket omfang denne beskyttelse vil fungere i praksis og hvilken bevisbyrde der vil være for indehavere af forretningshemmeligheder Når virksomheder udarbejder deres strategi for overholdelse af Data Act’en, bør de tage højde for beskyttelse i overensstemmelse med de nye forpligtelser, herunder gennem udformning af kontraktvilkår og fortrolighedsaftaler.