Freja Partner / Nyheter / Vad innebär Data Act för ditt företag?

Vad innebär Data Act för ditt företag?

Juristen förklarar

28 november 2025

  • Från den 12 september 2025 gäller Data Act i Sverige. Införandet sker dock fortsättningsvis stegvis där hela regelverket förväntas vara helt i kraft 2027.

  • Data Act utgör ett viktigt regelverk för hantering av data, oavsett om data utgörs av personuppgifter eller är icke-personliga uppgifter.

  • Syftet med Data Act är att stärka användarnas rättigheter, minska inlåsningseffekter och fastställa en harmoniserad uppsättning regler.

  • Införandet av Data Act innebär att många aktörer nu kommer att behöva se över och uppdatera sina befintliga avtal och rutiner för att säkerställa regelefterlevnad.

 

Uppkopplade produkter (IoT-produkter) och tillhörande tjänster

Data Act ställer krav på tillverkare och tjänsteleverantörer att låta användare, oavsett om användaren är ett företag eller en privatperson, få tillgång till och återanvända data som skapas genom användningen av uppkopplade produkter (IoT-produkter) och tjänster som hör ihop med och är anslutna till de uppkopplade produkterna vid tidpunkten för köp, uthyrning eller leasing av IoT-produkten, så som tillhörande appar.

Uppkopplade produkter definieras i Data Act som en enhet som tar emot, genererar eller samlar in data om dess användning eller omgivning och som kan kommunicera produktdata via en elektronisk kommunikationstjänst, fysisk anslutning eller åtkomst direkt i enheten, och vars primära funktion inte är att lagra, behandla eller överföra data på uppdrag av någon annan part än användaren. Data Act ställer inledningsvis krav på att dessa uppkopplade produkter ska utformas och tillverkas så att data (inklusive metadata) som standard är direkt tillgängliga för användaren – under förutsättning att det är relevant och tekniskt möjligt. Om det inte är tekniskt möjligt att tillhandahålla data direkt till användaren ska data göras tillgänglig på användarens begäran. Det finns dock vissa undantag från kravet på tillgänglighet. Ett av dem är att det inte föreligger en skyldighet att tillhandahålla företagshemligheter, såvida inte användaren säkerställer vissa skyddsåtgärder, så som Sekretessavtal. I exceptionella situationer där datahållaren (företaget som förfogar över data och tillika innehavaren av företagshemligheter ex. tillverkaren) kan visa att det är mycket sannolikt att denne skulle drabbas av allvarlig ekonomisk skada till följd av avslöjandet av företagshemligheter, trots de skyddsåtgärder som vidtagits av användaren, kan datahållaren vägra, från fall till fall, en begäran om tillgång till de specifika uppgifterna i fråga.

Krav på information

Data Act ställer vidare krav på information. Detta transparenskrav ställer krav på information innan avtal om köp, uthyrning eller leasing av en uppkopplad produkt ingås. Säljaren, uthyraren eller leasinggivaren, som kan vara tillverkaren, ska tillhandahålla viss information till användaren, vilket inkluderar typ, format och uppskattad mängd av data som den uppkopplade produkten kan generera, på ett tydligt och begripligt sätt.

 

Databehandlingstjänster så som molntjänster

Data Act ställer även krav på leverantörer av databehandlingstjänster. Begreppet databehandlingstjänster omfattar ett stort antal tjänster med mycket varierande syften, funktioner och tekniska uppsättningar, så som molntjänster, exv. SaaS (Mjukvara som tjänst), IaaS (Infrastruktur som tjänst) eller PaaS (Plattform som tjänst). För leverantörer av databehandlingstjänster gäller nya regler bland annat för att underlätta vid byte av leverantör och minska inlåsningseffekter.

Leverantörer av databehandlingstjänster ska vidta åtgärder för att möjliggöra för användaren att byta till en databehandlingstjänst av samma tjänsttyp som tillhandahålls av en annan leverantör av databehandlingstjänster, eller till lokal IKT-infrastruktur, eller, där det är relevant, att använda flera leverantörer av databehandlingstjänster samtidigt.

Rätten till byte av tjänsteleverantör gäller således till de databehandlingstjänster som omfattar ”samma tjänstetyp”, vilket i Data Act definieras som en tjänst som har samma primära syfte, samma tjänstemodell och samma huvudsakliga funktioner.

Användarens rättigheter och leverantörens skyldigheter i samband med byte mellan leverantörer ska tydligt framgå av ett skriftigt avtal, vilket ska inkludera (nedan lista utgör enbart exempel och är inte uttömmande):

  • klausul som tillåter användaren att på begäran byta till en annan tjänst som erbjuds av en annan leverantör utan onödigt dröjsmål och i vilket fall som helst senast efter den obligatoriska maximala övergångsperioden på 30 kalenderdagar.
  • klausul som påför leverantören en skyldighet att säkerställa att en hög säkerhetsnivå upprätthålls under hela bytesprocessen, särskilt säkerheten för data under dennes överföring.
  • klausul som anger att avtalet ska anses uppsagt vid slutet av den maximala uppsägningstiden om två månader, därefter börjar 30-dagarsfristen löpa.

Om det inte är tekniskt möjligt att kunna genomföra bytet inom den satta maximala övergångsperioden på 30 kalenderdagar finns under särskilda omständigheter möjlighet till förlängning på upp till max sju månader.

Genom Data Act åläggs leverantörer av databehandlingstjänster att undanröja befintliga hinder och att inte införa nya hinder mot byte. Hinder kan bland annat vara av kommersiell, teknisk, avtalsmässig eller organisatorisk natur. Onödigt höga bytesavgifter och andra icke motiverade avgifter som inte är relaterade till de faktiska byteskostnaderna hindrar användare från att byta leverantör, begränsar det fria flödet av data och orsakar inlåsningseffekter. Därför påförs ett förbud för leverantörer att ta ut bytesavgifter för bytesprocessen från och med den 12 januari 2027. Fram till det datumet får dock leverantörer av databehandlingstjänster ta ut reducerade bytesavgifter, men dessa får inte överstiga de kostnader som leverantören har haft och som är direkt kopplade till den aktuella bytesprocessen. Innan ett avtal med användaren ingås ska leverantören ge tydlig information om standardavgifter för tjänsten samt om reducerade bytesavgifter som kan tas ut.

Det finns dock vissa undantag från förbudet att ta ut bytesavgifter. Exempel på detta är för tjänster där majoriteten av huvudfunktionerna har skräddarsytts för att möta en enskild användares specifika krav eller där alla komponenter har utvecklats för en enskild användares ändamål.

Det finns dock inget hinder i Data Act mot att ta ut en straffavgift för att användaren säger upp avtalet i förtid.

Interoperabilitet

Data Act syftar även på att förbättra och stärka interoperabiliteten för parallell användning av flera databehandlingstjänster med kompletterande funktioner. Detta avser alltså situationer där användaren inte säger upp ett befintligt avtal för att byta till en annan leverantör av databehandlingstjänster, utan där flera tjänster från olika leverantörer används parallellt för att dra nytta av de kompletterande funktionerna hos de olika tjänsterna i användarens system. Det erkänns dock att en överföring för att underlätta parallell användning av tjänster kan vara en kontinuerlig aktivitet, vilket innebär att leverantörer av databehandlingstjänster därför fortsatt bör kunna ta ut viss avgift för sådant datauttag, under förutsättning att sådana avgifter inte överstiger de faktiska kostnader som uppstår.

 

Förbud mot oskäliga avtalsvillkor

Avtalsvillkor måste vara rättvisa, rimliga och icke-diskriminerande. Data Act förbjuder oskäliga avtalsvillkor. Det gäller både för leverantörer av uppkopplade produkter och tillbehör till sådana samt leverantörer av databehandlingstjänster. Data Act fastställer en lista över klausuler som alltid ska anses oskäliga och en lista över klausuler som ska presumeras vara oskäliga. I det senare fallet bör det företag som inför avtalsvillkoret kunna motbevisa presumtionen om oskälighet genom att visa att det avtalsvillkor som anges inte är oskäligt i det aktuella fallet. Om ett avtalsvillkor inte finns med i listan över villkor som alltid anses oskäliga eller som presumeras vara oskäliga gäller den allmänna bestämmelsen om oskälighet.

Oskäliga villkor kan utgöras av ensidiga villkor (om villkoret har tillhandahållits av en avtalspart och den andra parten inte kunnat påverka innehållet trots försök till förhandling) och villkor som avviker från god affärssed. Oskäliga villkor är inte bindande. Data Act föreskriver att om det oskäliga avtalsvillkoret kan skiljas från de återstående villkoren i avtalet ska de återstående villkoren vara bindande.

 

Delning av data

När det gäller delning och vidareanvändning av data får datahållaren (alltså företaget som förfogar över data ex. tillverkaren) endast dela produktdata (data som genereras genom användningen av en uppkopplad produkt) med tredje part om det är nödvändigt för att uppfylla sitt avtal med användaren. Där det är relevant bör datahållaren avtalsmässigt binda tredje parter att inte vidarebefordra data som mottagits från dem.

Vill datahållaren sälja eller analysera data vidare exv. för produktutveckling krävs uttryckliga avtalsvillkor som har godtagits av användaren. Mottagaren av data får bara behandla data på det sätt som denne kommit överens om med datahållaren och får inte använda informationen för att utveckla konkurrerande produkter eller dela dem med annan tredje part i det syftet om användaren inte samtyckt till sådan delning av data. Det ska betonas att det nu, genom Data Act, är användaren som äger sin data.

 

Konklusion

Framöver kommer flera avtalsklausuler att vara obligatoriska i samtliga kundavtal. Det gäller bland annat bestämmelser som ger kunden rätt att begära byte till en annan leverantör av databehandlingstjänster, med tydligt angivna tidsramar för den maximala övergångsperioden, anger när avtalet ska anses uppsagt, samt fastställer den maximala uppsägningstid som får tillämpas vid inledandet av bytesprocessen. För företag innebär detta att det nu är hög tid att gå igenom befintliga kundavtal och säkerställa att villkoren uppfyller de nya kraven i Data Act. Äldre affärsmodeller som bygger på vidareförsäljning eller analys av kunddata måste omprövas eftersom samtycke nu krävs i avtalen.

Det är inte tillräckligt att enbart uppdatera de juridiska avtalsvillkoren – den tekniska infrastrukturen måste också stödja Data Act:s krav. System och plattformar bör redan från början vara designade för datadelning och tillgänglighet så att data enkelt kan göras åtkomlig för kunder. Det är vidare avgörande att det finns väl definierade rutiner och processer för säker och effektiv dataexport vid byte av tjänsteleverantör, i enlighet med de obligatoriska tidsramarna i förordningen.

Vi på Freja Partner bistår gärna med att granska befintliga avtal, ta fram nya avtalsvillkor och ge rådgivning kring den praktisk tillämpningen av Data Act i verksamheten.

 

Freja Partner genom

Zandra Larsen, jurist och dataskyddssamordnare

Senaste nytt

Se alla nyheter
Stäng fönster

Ett gott kreditbetyg är ett bevis på att verksamheten är välskött, och därmed en trygghetsfaktor för samarbetspartners och kunder.

Läs mer om kreditvärdighet
Stäng fönster

Dagens Industris Gasellundersökning rankar Sveriges mest framgångsrika företag. Undersökningen bygger på företagets fyra senaste årsredovisningar. Mindre än 1 procent av Sveriges aktiebolag uppfyller kraven för att få kallas Gasellföretag. Freja Partner är ett av dem.

Läs mer på Di Gasell
Stäng fönster

Dagens Industris Gasellundersökning rankar Sveriges mest framgångsrika företag. Undersökningen bygger på företagets fyra senaste årsredovisningar. Mindre än 1 procent av Sveriges aktiebolag uppfyller kraven för att få kallas Gasellföretag. Freja Partner är ett av dem.

Läs mer på DI Gasell