Slutrapport från expertgruppen för B2B-datadelning och molntjänstavtal

Enligt artikel 41 i Dataförordningen (EU 2023/2854) ska Europeiska kommissionen rekommendera icke-bindande modellavtalsvillkor för datatillgång och -användning (MCT:s) samt standardavtalsklausuler för molntjänstavtal (SCC:s). För att bistå i detta arbete inrättade kommissionen 2022 en expertgrupp för B2B-datadelning och molntjänstavtal.

Den 2 april publicerade expertgruppen sin slutrapport med förslag till sådana modellvillkor och standardklausuler, vilken kan laddas ner HÄR. Rapporten kommer ligga till grund för kommissionens rekommenderade modellavtalsvillkor respektive standardavtalsklausuler, som förväntas publiceras före sommaren men senast den 12 september.

Syfte och tillämpning

Både MCT:s och SCC:s är icke-bindande och frivilliga, men avser att spegla de rättigheter och skyldigheter som fastställs i Dataförordningen. Modellerna är främst framtagna för affärsrelationer mellan företag (B2B), men de kan även användas i konsumentavtal, förutsatt att kompletterande bestämmelser inkluderas för att säkerställa efterlevnad av tvingande konsumentskyddsregler – till exempel konsumentens ångerrätt vid distansavtal.

Modellavtalsvillkor för datadelning (MCT:s)

Modellavtalsvillkoren för datadelning, MCT:s, är strukturerade som fullständiga avtal (som dock kan kompletteras eller ändras) och anpassade för följande scenarion:

Avtal mellan datahållare och användare av en uppkopplad produkt eller tillhörande tjänst, där datahållaren önskar använda data som genererats från produkten/tjänsten.
Avtal mellan användare och en tredje part, där användaren begär att datahållaren ska dela data med den tredje parten, i enlighet med artikel 5 i Dataförordningen.
Avtal mellan datahållare och en tredje part till vilken användaren instruerat datahållaren att dela data, enligt artikel 5.
Avtal mellan datadelare och datamottagare, där datadelning sker frivilligt utan koppling till en användarbegäran.

Standardavtalsklausuler för molntjänster (SCC:s):

SCC:s är avsedda att införas i molntjänstavtal mellan en leverantör och kunder inom EU. De utgör inte ett fullständigt avtal utan är standardvillkor som är tänkta att integreras i övergripande tjänsteavtal. De är avsedda att utgöra en sorts best practice för att implementera de rättigheter och skyldigheter som fastställs i Dataförordningen med avseende på molntjänster. Det är dock värt att notera att de i vissa delar, till exempel gällande ansvarsbegränsningar och uppsägning, innehåller regleringar som inte uttryckligen krävs av Dataförordningen.

SCC:s innefattar sju set med standardklausuler:

Allmänna bestämmelser – inklusive definitioner
Övergång och exit – innehåller beskrivning av processen för byte mellan leverantörer, liksom från molntjänst till lokal infrastruktur, inklusive tidsramarna för bytet, parternas ansvar, vilket stöd som ska tillhandahållas kunden, samt andra relaterade frågor som är obligatoriska enligt Dataförordningen.
Uppsägning
Säkerhet och kontinuitet i verksamheten
Ansvarsbegränsning
Transparenskrav (dvs. åtaganden att ge kunden samlad tillgång till relevant kontraktsdokumentation)
Förbud mot ensidiga ändringar

Vad bör företag göra nu?

Organisationer som träffas av Dataförordningen och som ännu inte påbörjat arbetet behöver nu sätta i gång med en konkret granskning av relevanta avtal och dokumentation inför att reglerna börjar gälla den 12 september 2025. MCT:er och SCC:er är viktiga verktyg för att uppnå efterlevnad, men behöver tillämpas med omdöme och anpassas till varje enskilt fall.

Om ni har frågor gällande MCT:s eller SCC:s eller vill ha hjälp med att anpassa era avtal och verksamhet till den kommande Dataförordningen är ni välkomna att kontakta oss.