Slutrapport från expertgruppen för B2B-datadelning och molntjänstavtal

Syfte och tillämpning

Både MCT:s och SCC:s är icke-bindande och frivilliga, men avser att spegla de rättigheter och skyldigheter som fastställs i Dataförordningen. Modellerna är främst framtagna för affärsrelationer mellan företag (B2B), men de kan även användas i konsumentavtal, förutsatt att kompletterande bestämmelser inkluderas för att säkerställa efterlevnad av tvingande konsumentskyddsregler – till exempel konsumentens ångerrätt vid distansavtal.

Modellavtalsvillkor för datadelning (MCT:s)

Modellavtalsvillkoren för datadelning, MCT:s, är strukturerade som fullständiga avtal (som dock kan kompletteras eller ändras) och anpassade för följande scenarion:

1. Avtal mellan datahållare och användare av en uppkopplad produkt eller tillhörande tjänst, där datahållaren önskar använda data som genererats från produkten/tjänsten.

2. Avtal mellan användare och en tredje part, där användaren begär att datahållaren ska dela data med den tredje parten, i enlighet med artikel 5 i Dataförordningen.

3. Avtal mellan datahållare och en tredje part till vilken användaren instruerat datahållaren att dela data, enligt artikel 5.

4. Avtal mellan datadelare och datamottagare, där datadelning sker frivilligt utan koppling till en användarbegäran.

Standardavtalsklausuler för molntjänster (SCC:s):

SCC:s är avsedda att införas i molntjänstavtal mellan en leverantör och kunder inom EU. De utgör inte ett fullständigt avtal utan är standardvillkor som är tänkta att integreras i övergripande tjänsteavtal. De är avsedda att utgöra en sorts best practice för att implementera de rättigheter och skyldigheter som fastställs i Dataförordningen med avseende på molntjänster. Det är dock värt att notera att de i vissa delar, till exempel gällande ansvarsbegränsningar och uppsägning, innehåller regleringar som inte uttryckligen krävs av Dataförordningen.

SCC:s innefattar sju set med standardklausuler:

1. Allmänna bestämmelser – inklusive definitioner

2. Övergång och exit – innehåller beskrivning av processen för byte mellan leverantörer, liksom från molntjänst till lokal infrastruktur, inklusive tidsramarna för bytet, parternas ansvar, vilket stöd som ska tillhandahållas kunden, samt andra relaterade frågor som är obligatoriska enligt Dataförordningen.

3. Uppsägning

4. Säkerhet och kontinuitet i verksamheten

5. Ansvarsbegränsning

6. Transparenskrav (dvs. åtaganden att ge kunden samlad tillgång till relevant kontraktsdokumentation)

7. Förbud mot ensidiga ändringar

Vad bör företag göra nu?

Organisationer som träffas av Dataförordningen och som ännu inte påbörjat arbetet behöver nu sätta i gång med en konkret granskning av relevanta avtal och dokumentation inför att reglerna börjar gälla den 12 september 2025. MCT:er och SCC:er är viktiga verktyg för att uppnå efterlevnad, men behöver tillämpas med omdöme och anpassas till varje enskilt fall.

Om ni har frågor gällande MCT:s eller SCC:s eller vill ha hjälp med att anpassa era avtal och verksamhet till den kommande Dataförordningen är ni välkomna att kontakta oss.