Het voorstel voor de Data Act (DA, Data verordening) is gepubliceerd op 23-02-2022. In de zomer van 2021 vond een voorbereidende publieke consultatie plaats voor de Data Act. In juli 2023 werd overeenkomst bereikt tussen de Raad en het Parlement over hun respectievelijke versies. In november is de uiteindelijke versie door zowel de Lidstaten als het Parlement aanvaard, waarna deze op 23 december 2023 is vastgesteld en op 11 januari 2024 is gepubliceerd en van kracht werd op 31 januari 2024. De bepalingen in de wet treden grotendeels op 12 september 2025 in werking, d.w.z. er geldt een verschoningstijd van 20 maanden. De Data Act is bedoeld om meer data, in handen van bedrijven of gegenereerd door producten of diensten, onder eerlijke en uniforme regels beschikbaar te krijgen voor (her)gebruik.
De DA stelt EU-brede geharmoniseerde regels met betrekking tot:
- data gegenereerd door het gebruik van een product of service toegankelijk maken voor de gebruiker van een product of service
- data beschikbaar stellen door (private) datahouders aan datagebruikers
- data van private datahouders beschikbaar stellen aan overheden in geval van buitengewone noodzaak in het algemeen belang
De DA bevat regels met betrekking tot
- producenten van producten en verleners van diensten, die in de EU worden vermarkt
- de gebruikers van die producten en diensten
- datahouders die data beschikbaar stellen aan gebruikers in de EU
- datagebruikers aan wie data beschikbaar wordt gesteld
- overheden
- verleners van dataverwerkingsdiensten aan klanten in de EU
Producten en gerelateerde diensten moeten zo worden gemaakt en aangeboden dat gegevens die door het gebruik ervan ontstaan direct toegankelijk zijn voor gebruikers van die producten en diensten. (B2C is business-to-consumer datadelen, B2B is business-to-business datadelen.) Bij aanschaf, huur of lease van zo'n product of gerelateerde dienst moet de overeenkomst in gaan op hoe het precies zit met dataverzameling, toegang, gebruik, houderschap en verstrekking.
Als directe toegang door gebruiker niet rechtstreeks mogelijk is moet de datahouder (producent) zorgen dat de gebruiker de gegevens kan opvragen.
De gebruiker kan ook vragen / toestemming geven dat een andere derde partij de data mag gebruiken. Dit mag alleen niet een gatekeeper zijn zoals bedoeld in de DMA. Dit gebruik door derden is enigszins te vergelijken met de Payment Service Directive richtlijn (PSD2) die het mogelijk maakt voor bankrekeninghouders hun bankgegevens direct te laten gebruiken door app bouwers en boekhoudpakketten bijvoorbeeld. De DA regelt in die zin 'PSD2 voor alles en iedereen'. Voor zo'n derde partij gelden een reeks voorwaarden en verboden t.a.v. hoe de data gebruikt kan worden (bijvoorbeeld niet in directe concurrentie met de producent van de data). Micro-ondernemingen en kleinbedrijf hoeven niet te voldoen aan het beschikbaar stellen van gegevens uit producten of diensten.
Datadelen zoals hierboven moet plaatsvinden op basis van eerlijke niet-exclusieve en niet discriminerende voorwaarden. Contracten mogen verplichtingen tot data delen niet contractueel inperken of wegnemen. Datahouders zijn weliswaar verplicht adequate technische gegevensbescherming te regelen, maar mogen die technische bescherming niet gebruiken om de rechtmatige toegang tot gegevens moeilijker te maken. Redelijke vergoedingen voor data delen zijn toegestaan onder voorwaarden. Voor kleine gebruikers mogen de kosten niet meer dan de marginale kosten van levering zijn en de kostenberekeningen ter verklaring van eventuele vergoedingen moeten vooraf transparant zijn gemaakt.
Contractuele afspraken mogen geen onevenwichtige eisen van grote datahouders aan micro-ondernemingen en kleine bedrijven bevatten, en altijd in lijn zijn met gangbare commerciële praktijken in een sector. Bijvoorbeeld mogen aansprakelijkheden van de datahouder, en klachten en bezwaarmogelijkheden niet worden ingeperkt in een contract, en mag een datahouder zich geen exclusieve rechten bijv t.a.v. de beoordeling van de correctheid van datalevering toekennen. Streven is altijd evenwichtige contractafspraken m.b.t. data delen af te dwingen.
De overheid kan om data verzoeken bij de bedrijven, m.u.v. micro-ondernemingen en kleinbedrijf. (B2G is business-to-government datadelen.) Het moet dan wel gaan om een uitzonderlijke behoefte voor het gebruik van de gevraagde data. Zo'n uitzonderlijke behoefte kan zijn het verkomen van, reageren op, en herstel na een noodsituatie. Of, waar het gebrek aan data een overheid hindert in het uitvoeren van een publieke taak in het algemeen belang die expliciet bij wet is beschreven, en die data niet langs andere weg kan worden verkregen, of die data de administratieve lasten van datahouders substantieel verkleint. Het verandert niet andere bestaande verplichtingen of regelingen t.a.v. het opvragen van gegevens door de overheid bij bedrijven (zoals bijvoorbeeld het CBS).
De opgevraagde data mag alleen voor het tevoren geformuleerde doel worden gebruikt, niet voor opsporingsdoeleinden. Dataverstrekking door bedrijven is in beginsel gratis, en hooguit tegen marginale kosten plus een redelijke marge mits dit tevoren o.b.v. kostenberekeningen transparant is gemaakt. Opgevraagde gegevens mogen voor statistiekdoeleinden en voor non-profit onderzoek worden doorgeleverd door de overheid. De datahouder wordt hierover geïnformeerd.
Overheden mogen data opvragen bij organisaties in eigen land en in andere landen, zij het in samenwerking met de overheden van zo'n ander land.
Dataverwerkers moeten dataportabiliteit naar vergelijkbare diensten mogelijk maken, en dat moet contractueel met de klant zijn vastgelegd. Zulke dataportabiliteit moet gratis zijn voor de klant, al mogen in de eerste 3 jaren van de inwerkingtreding van de DA hooguit marginale kosten in rekening worden gebracht.
Het overbrengen van niet-persoonsgegevens naar buiten de EU, of toegang tot dergelijke gegevens door overheden moet door dataverwerkende diensten technisch, juridisch, organisatorisch en contractueel worden voorkomen, waar dat leidt tot conflicten met EU wetgeving of wetgeving van Lidstaten. Juridische eisen van een derde land aan dataverwerkers mogen alleen worden opgevolgd indien gebaseerd op een internationale overeenkomst tussen het derde land en de EU, of de betreffende Lidstaat. Is zo'n overeenkomst er niet, zijn er omstandigheden waaronder een dataverwerker alsnog mee mag werken aan een verzoek van een derde land, ter beoordeling van de Europese Data Innovation Board.
De DA geeft een reeks essentiële vereisten om interoperabiliteit mogelijk te maken tussen data spaces en data verwerkende diensten. Zo moeten data inhoud, structuur, licenties, verzamelmethode, kwaliteit en onzekerheden gedocumenteerd zijn, evenals data structuren, formaten, classificaties, API beschrijvingen etc. De EC kan verdere regels stellen t.a.v. interoperabiliteit, ook voor bepaalde sectoren. De EC kan standaarden vereisen, en (internationale) standaarden adopteren en verplicht stellen, niet alleen t.a.v. data maar ook bijvoorbeeld t.a.v. architectuur, technische standaarden en federatie van clouddiensten t.b.v. de Europese dataspace(s). De regels streven interoperabiliteit en portabiliteit na op zowel transport, syntactisch, semantisch, beleid en gedragsniveau. (Dit sluit aan op de Europese standaardisatiestrategie die niet alleen over digitale zaken gaat.)
In iedere Lidstaat wordt een bevoegde autoriteit aangewezen en belast met de handhaving van de DA. Deze kan administratieve boetes opleggen, en iedereen kan een klacht of verzoek indienen. De Autoriteit Persoonsgegevens heeft een rol voorzover persoonsgegevens aan de orde zijn, en ook sectorale autoriteiten behouden hun zeggenschap. De boetes kunnen door de Lidstaat zelf worden opgesteld, voor sommige gevallen verplicht in lijn met de sanctieregels in de AVG. (Dit wijkt af van hoe handhaving in de AVG, DMA, DSA, en AI verordeningen is geregeld waar de regels t.a.v. sancties veel centraler zijn vastgesteld.)
De DA geeft een zeer belangrijke verduidelijking van wanneer een datahouder databankenrechten krijgt toegekend. Databankenrechten ontstaan in principe wanneer een datahouder substantieel investeert in het in een databank onderbrengen van gegevens. De DA verduidelijkt dat databanken waarin data verkregen uit, of gegenereerd door, het gebruik van een product of gerelateerde dienst geen databankenrechten toegekend kunnen krijgen.