Del 2
Gjeldende rett og nye krav

4 Gjeldende nasjonal rett

4.1 Innledning

I dette kapittelet redegjør utvalget for gjeldende rett om innsyn i og viderebruk av offentlig informasjon (data). Først beskrives innsynsretten (kapittel 4.1), deretter går vi nærmere inn på bestemmelsene om viderebruk (kapittel 4.3). Til slutt belyser vi hvilke føringer og krav Digitaliseringsrundskrivet har om tilgjengeliggjøring av offentlige data til viderebruk (kapittel 4.4).

4.2 Offentlighetsprinsippet og innsynsretten

4.2.1 Offentlighetsprinsippet

Prinsippet om allmennhetens rett til innsyn i forvaltningens saksdokumenter er i dag grunnfestet i norsk lovgivning og praksis, og regnes som et grunnleggende demokratisk prinsipp. Før ikrafttredelsen av lov 19 juni 1970 nr. 69 om offentlighet i forvaltningen hadde ikke allmennheten noen lovfestet rett til innsyn i saksdokumentene i forvaltningen, jf. Ot.prp. nr. 102 (2004–2005), pkt. 2.1. Enkelte lover eller forskrifter fastsatte en større eller mindre grad av offentlighet, mens det for øvrig i vid utstrekning var overlatt til forvaltningen å avgjøre hvilke dokumenter eller opplysninger som pressen eller offentligheten skulle gjøres kjent med.1 Et generelt offentlighetsprinsipp ble imidlertid innført med offentlighetsloven av 1970. Prinsippet er videreført i offentleglova av 2006.

Det er i dag ingen uenighet om at det skal gjelde et offentlighetsprinsipp for forvaltningens saksdokumenter. Spørsmålet er hvilke virksomheter som bør være omfattet av prinsippet, og hvor langt unntaksadgangen bør gå som et ledd i avveiningen av de kryssende hensyn. Hensynene for og mot offentlighet i forvaltningen og offentlighetsprinsippet er drøftet i NOU 2003: 30 Ny offentlighetslov.2

I NOU 2022: 9 understreker Ytringsfrihetskommisjonen at:

«En åpen og opplyst offentlig samtale forutsetter ikke bare frihet til å ytre seg og til å motta ytringer, den krever også at folk har tilgang til informasjon.

Innsyn og offentlighet er en sentral del av ytringsfriheten og en grunnleggende forutsetning for at den er reell. Informasjon er nødvendig for å få ny kunnskap, forstå en sak, utvikle meninger og begrunne synspunkter.»3

Offentlighetsprinsippet har også rettslig utgangspunkt i de sentrale konvensjonene om menneskerettigheter, slik som artikkel 10 i Den europeiske menneskerettskonvensjonen (EMK) og FN-konvensjonen om sivile og politiske rettigheter (SP) artikkel 19 nr. 2. Tidligere ble konvensjonene tolket dithen at de beskyttet mot sensur og ikke som en positiv forpliktelse for staten til å gi ut informasjon. Her har rettstilstanden gradvis utviklet seg siden 2006. Det er i dag bred enighet om at begge disse konvensjonene også gir en individuell rett til tilgang til informasjon hos det offentlige, slik at alle skal få hjelp til å danne oss en mening om spørsmål av allmenn interesse.4

I 2020 trådte Europarådets konvensjon om innsyn i offentlige dokumenter («Tromsøkonvensjonen») i kraft, som den første bindende internasjonale konvensjonen som anerkjenner en allmenn rett til innsyn i offentlig virksomhet.5 Konvensjonen skal sikre en alminnelig rett til dokumentinnsyn hos myndighetene. Unntak skal følge av lov og ivareta nærmere angitte hensyn.

4.2.2 Innsyn etter offentleglova

4.2.2.1 Offentleglovas virkeområde

Offentleglova gjelder for staten, fylkeskommunene og kommunene, jf. offentleglova § 2 første ledd bokstav a. Loven gjelder videre for andre rettssubjekter i saker der de fatter enkeltvedtak eller gir forskrifter, samt for selvstendige rettssubjekter som kontrolleres av offentlige organer, men ikke driver næring i direkte konkurranse med og på samme vilkår som private (jf. § 2 bokstav b, c og d, jf. andre punktum). Eksempler på selvstendige rettssubjekter er aksjeselskap eller stiftelser. Offentleglova § 2 andre ledd åpner for at Kongen kan gi forskrift som utvider eller innskrenker lovens virkeområde for visse rettssubjekt er eller visse dokumenter hos slike rettssubjekt er. Slik forskrift er gitt. I offentlegforskrifta § 1 er nærmere bestemte rettssubjekter og dokumenter unntatt fra offentleglovas virkeområde, og i § 2 av forskriften er virkeområdet til loven utvidet.6 Regler om offentleglovas virkeområde kan også finnes i andre lover, se for eksempel pasientskadeloven § 14 som slår fast at Norsk Pasientskadeerstatning er omfattet av offentleglova, og konkurranseloven § 26 som unntar visse saker og dokumenter hos konkurransemyndighetene fra offentleglovas anvendelsesområde.

Offentleglova gjelder ikke for Stortinget, Riksrevisjonen, Sivilombudet og andre organer for Stortinget, jf. § 2 tredje ledd. Videre er gjøremål som domstolene og andre organer har etter regler om rettspleie, politiets og påtalemaktens oppgaver etter straffeprosessloven og en del andre liknende organ og oppgaver også unntatt, jf. § 2 fjerde ledd. For disse organene finnes det imidlertid særskilte regelverk som gir allmennheten innsynsrett, se nærmere om dette under punkt 4.2.4 nedenfor.

Når det gjelder virkeområdet for bestemmelser om tilgjengeliggjøring for viderebruk av offentlig informasjon, er det gjort tilpasninger slik at disse samsvarer med virkeområdet for PSI-direktivet (Public Sector Information Directive),7 se offentleglova § 2 syvende ledd. Viderebruksbestemmelsene i offentleglova er nærmere omtalt i kapittel 4.3.

4.2.2.2 Retten til innsyn i offentlige dokumenter

Hovedregelen etter offentleglova er at alle saksdokumenter i offentlig virksomhet er åpne for innsyn. Dette fremgår av § 3 som slår fast at:

«Saksdokument, journalar og liknande register for organet er opne for innsyn dersom ikkje anna følgjer av lov eller forskrift med heimel i lov. Alle kan krevje innsyn i saksdokument, journalar og liknande register til organet hos vedkommande organ.»

Unntak fra denne hovedregelen krever grunnlag i lov, enten i offentleglova eller andre bestemmelser i lov eller forskrift. Dersom et dokument ikke er omfattet av et slikt lovforankret unntak, kan det ikke nektes innsyn i det.

Innsynsretten etter offentleglova gjelder i utgangspunktet for organets saksdokumenter. I tillegg kan det etter § 9 kreves innsyn i en sammenstilling av opplysninger som er elektronisk lagret i databasene til organet dersom sammenstillingen kan gjøres med enkle framgangsmåter.

Med saksdokument menes dokument som gjelder ansvarsområdet eller virksomheten til organet, og som organet selv har opprettet, eller som er kommet inn til organet eller er lagt fram for et annet organ, jf. § 4. Begrepet dokument er definert på samme måte i offentleglova som i arkivlova og forvaltningsloven. Et dokument er en logisk avgrenset informasjonsmengde som er lagret på et medium for senere lesing, lytting, framsyning, overføring eller liknende. Informasjonen kan være i digital eller analog form, og knyttet til alle typer lagringsmedia (lydopptak, bildeopptak, papirdokumenter osv.).

Forskningsdata og andre dokumenter knyttet til forskningsvirksomhet er også omfattet av innsynsretten etter offentleglova, forutsatt at dataene befinner seg hos en virksomhet som er omfattet av loven.8

4.2.2.3 Alle kan kreve innsyn anonymt

Alle kan kreve innsyn i saksdokument, journaler og lignende register hos offentlige organer og selvstendige rettssubjekter som er omfattet av offentleglova, se offentleglova § 3 andre punktum. Alle betyr hvem som helst, enten det gjelder journalister, enkeltpersoner, selskap eller organisasjoner, norske statsborgere eller utlendinger – uavhengig av om de krever innsyn på egne eller andres vegne. Alle omfatter med andre ord både fysiske or juridiske personer. Hensikten bak innsynskravet har ingen betydning for retten til innsyn.

Innsynskravet kan settes fram skriftlig eller muntlig, jf. offentleglova § 28 første ledd. Og, innsynskravet kan fremsettes anonymt. Det er altså ikke et vilkår for å kreve innsyn at man oppgir egen identitet eller registrerer seg. Det kan ikke kreves flere opplysninger enn det som er nødvendig for å gjennomføre innsynsretten, for eksempel en e-postadresse dersom en ønsker elektronisk kopi av dokumentene. Retten til å kreve innsyn anonymt er imidlertid ikke til hinder for at forvaltningsorganet kan føre kontroll med besøkende. Dersom den som krever innsyn ønsker å se originaldokumentene hos organet, kan organet kreve at de vanlige kontrollrutinene blir fulgt, for eksempel at legitimering blir påkrevd ved fysisk oppmøte og besøk.

Gjeldende norsk rett går lenger enn Tromsø-konvensjonen på dette punktet, ved at det er full adgang til å fremsette anonyme krav om innsyn og viderebruk.

4.2.2.4 Offentlige virksomheter er ikke pålagt å offentligjøre dokumenter av eget tiltak

Offentleglova pålegger som hovedregel ikke offentlige virksomheter å offentliggjøre dokument av eget tiltak. Med andre ord er det ikke et krav om «aktiv tilgjengeliggjøring» av offentlige dokumenter. Loven gir alle som ønsker det et rettskrav på å få gjøre seg kjent med dokumentene, og den som vil bruke denne retten må selv ta initiativet ved å rette et krav om innsyn til den offentlige virksomheten som har dokumentet. Kun unntaksvis er offentlige virksomheter pålagt å offentliggjøre dokumenter eller opplysninger av eget tiltak. Ett eksempel på dette finnes i offentlegforskrifta § 6 (ikke trådt i kraft). En rekke statlige organer pålegges her å gjøre elektronisk postjournal tilgjengelig for allmenheten på internett. Andre eksempler på at offentlige virksomheter er pålagt å offentliggjøre dokumenter gitt i kapittel 14.3.1.

4.2.2.5 Unntak fra innsynsretten etter offentleglova

Et forvaltningsorgan kan bare nekte innsyn i et dokument dersom det er hjemmel i lov eller forskrift gitt i medhold av lov. I offentleglova kapittel tre er det gjort en rekke unntak fra innsynsretten. Opplysninger som er unntatt fra innsyn, faller utenfor reglene i PSI-direktivet om viderebruk, se kapittel 4.3.

Det er i hovedsak to typer unntak fra hovedregelen om at saksdokumenter skal være offentlige. Disse er:

1. Unntakene i offentleglova §§ 14-26 som gir forvaltningen rett, ikke en plikt, til å nekte innsyn i bestemte opplysninger eller dokumenter («kan-unntak»). For denne typen informasjon har forvaltningen en plikt til å vurdere om det likevel helt eller delvis skal gis innsyn, jf. plikten til å vurdere merinnsyn etter offentleglova § 11.

2. Unntaksbestemmelsen i offentleglova § 13 første ledd som slår fast at forvaltningen skal nekte innsyn i opplysninger som er underlagt taushetsplikt i lov eller i medhold av lov («skal-unntak»). Bestemmelsen om merinnsyn gjelder ikke for denne typen opplysninger.

Når det gjelder «kan-unntakene» i offentleglova §§ 14-26, framgår det av den enkelte bestemmelsen om retten til å nekte innsyn gjelder hele eller bare deler av dokumentet, eller særskilte opplysninger i dokumentet. Det veksles mellom å stå at det kan gjøres unntak for «dokument», «del av dokument» og «opplysninger» i de ulike paragrafene. Når loven sier at det kan gjøres unntak for «dokument» betyr det at hele dokumentet kan unntas fra innsyn. Sier loven at det kan gjøres unntak for «opplysninger» eller «deler av dokument», vil det bare være mulighet for å gjøre unntak for de opplysningene eller delene av dokumentet som oppfyller unntaksvilkårene i den aktuelle paragrafen. Offentleglova § 12 inneholder hjemler til å nekte innsyn i resten av dokumentet, det vil si i de delene av dokumentet som ikke oppfyller unntaksvilkårene.

Unntakene ivaretar ulike hensyn og har ulike vilkår. Paragraf 14 gjelder innsyn i dokumenter utarbeidet for egen saksforberedelse (organinterne dokumenter) og § 15 gjelder dokumenter innhentet utenfra for den interne saksforberedelsen. I § 17 gjøres det unntak for visse dokumenter som gjelder Det Kongelige Hoff, og i § 19 for dokumenter som utveksles under konsultasjoner med Sametinget. Rettssaksdokumenter kan unntas etter § 18. Paragrafene 20, 21 og 23 gjør unntak av hensyn til hhv. utenrikspolitiske interesser, nasjonale forsvars- og sikkerhetsinteresser, og forhandlingsposisjonen til det offentliges. Dokumenter i visse budsjettsaker kan det unntas etter § 22. I § 24 finnes unntak for kontroll- og reguleringstiltak, dokumenter om lovbrudd og opplysninger som kan lette gjennomføringen av lovbrudd. Det kan gjøres unntak for ansettelsessaker, lønnsoppgaver mv, samt eksamensdokumenter, og fødselsnummer mv etter hhv. §§ 25 og 26.

Det eksisterte tidligere et unntak fra innsyn i dokumenter som gjaldt «det offentliges forskningsvirksomhet» (punkt V nr. 1 i forskrift til den tidligere offentlighetsloven). Da offentleglova av 2006 ble utformet, valgte en ikke å videreføre dette unntaket, men i stedet holde seg til hovedregelen om innsyn og de generelle, innholdsbaserte unntakene i loven.9 Av offentleglova § 26 fjerde ledd følger det imidlertid at det kan gjøres unntak fra innsyn for opplysninger om forskingsideer og forskingsprosjekter i saker som gjelder økonomisk støtte eller rådgivning fra det offentlige i forbindelse med forskingsprosjekter.

Offentleglova § 27 gir hjemmel til å fastsette visse unntak i forskrift. Offentlegforskrifta § 9 inneholder unntak for visse dokumenter og journaler.

«Skal-unntaket» i offentleglova § 13 fastsetter ikke selv hvilke opplysninger det skal nektes innsyn i, men viser til regler om taushetsplikt i lov eller i medhold av lov. Det er viktig å merke seg at bestemmelsen bare gjelder lovbestemt taushetsplikt, ikke taushetsplikt fastsatt i avtale. Den praktisk viktigste taushetspliktsbestemmelsen i denne sammenhengen er forvaltningsloven § 13. I henhold til denne bestemmelsen er personlige forhold10 og visse næringsopplysninger taushetsbelagt. Merk imidlertid at EMK artikkel 10 kan tilsi at taushetsplikten må vike for et krav om innsyn, se kapittel 4.2.3.

4.2.2.6 Plikten til å vurdere merinnsyn

Det følger av offentleglova § 11 at merinnsyn skal vurderes. Det betyr at alle organer som er omfattet av offentleglova har en plikt til å vurdere om et dokument som kan unntas fra innsyn likevel bør gjøres offentlig helt eller delvis. Bakgrunnen for dette er at alle unntaksreglene i offentleglova, med unntak av § 13 om taushetsbelagte opplysninger, er såkalte «kan-regler». Det betyr at de bare gir adgang til, ingen plikt til, å gjøre unntak fra innsyn for dokumenter eller opplysninger. Det følger av § 11 andre punktum at organet bør gi innsyn dersom hensynet til offentlig innsyn veier tyngre enn behovet for unntak.

Det er viktig å presisere at plikten til å vurdere merinnsyn i utgangspunktet bare gjelder når det er anledning til å gjøre unntak fra innsynsretten. Regelen om merinnsyn etter offentleglova gir likevel uttrykk for et mer generelt prinsipp. Plikten til å vurdere merinnsyn gjelder tilsvarende ved spørsmål om innsyn utenfor lovens ramme, det vil si for andre offentlige organer enn det som følger av offentleglova § 2, og for dokumenter som ikke omfattes av offentleglova § 3, jf. § 4.11 Plikten til å vurdere merinnsyn gjelder imidlertid ikke for taushetsbelagte opplysninger, med unntak av situasjoner som vil bli drøftet i kapittel 4.2.3.

Opplysninger det gis merinnsyn i blir også tilgjengelig for viderebruk dersom ikke annen lovgivning eller retten til en tredjeperson er til hinder for dette, se kapittel 4.3.

4.2.2.7 Forholdet til åndsverkloven og personvernforordningen

Etter personvernforordningen artikkel 86 kan personopplysninger utleveres etter nasjonale regler om allmennoffentlighet, og det er tilstrekkelig at utleveringen er «i samsvar med» de nasjonale reglene. Dette innebærer at innsynsretten etter offentleglova etter omstendighetene kan gå foran hensynet til personvernet. Forholdet mellom personvernforordningen og allmennhetens innsynsrett er omtalt av departementet i Prop. 56 LS (2017–2018), pkt. 15 og i Prop. 158 L (2020–2021), pkt. 4.1. Forholdet er også omtalt i kapittel 17 av denne utredningen. Videre vil også saksdokumenter i forvaltningen som en hovedregel være offentlige, selv om de etter sitt innhold ellers er åndsverk med opphavsrettslig vern, jf. åndsverkloven § 33 første ledd. Det fremgår her at vernet etter loven ikke er til hinder for innsyn etter offentleglova eller annen lovgivning. Noe annet er at immaterialretten setter grenser for adgangen til viderebruk, se kapittel 4.3.2 om dette. Dette gjelder imidlertid ikke for en rekke kategorier dokumenter som lover, forskrifter, rettsavgjørelser og andre vedtak av offentlig myndighet mv., som er unntatt vern etter åndsverkloven § 14.12

4.2.3 Innsyn etter EMK artikkel 10

Den europeiske menneskerettskonvensjonen («EMK») artikkel 10 slår fast at enhver har rett til ytringsfrihet. Retten omfatter «frihet til å ha meninger og til å motta og meddele opplysninger og ideer uten inngrep av offentlig myndighet og uten hensyn til grenser». Medienes frihet er en integrert del av retten til ytringsfrihet. Lovbestemmelser om ansvar for ytringer i mediene må utformes og tolkes i lys av både Grunnloven § 100 og de forpliktelsene som den europeiske menneskerettsdomstolen (EMD) har utledet av EMK artikkel 10. Ved motstrid mellom norsk rett og konvensjonen, har EMK forrang, jf. menneskerettsloven § 3. Høyesterett har slått fast at det må foreligge praksis av et visst omfang eller klarhet, og helst en storkammer- eller plenumsavgjørelse som viser at EMDs rettsoppfatning er fast og etablert, for at praksis fra EMD skal gi grunnlag for å sette norsk rett til side.13 Særlig gjelder dette når domstolens praksis bygger på en utvidende tolkning av konvensjonen eller går lenger enn tidligere praksis.

I EMDs storkammerdom i saken Magyar Helsinki Bizottság mot Ungarn, ble det slått fast at EMK artikkel 10 om ytringsfrihet også innebærer en rett til å få innsyn i offentlige dokumenter, på nærmere angitte vilkår.14 Oppsummert er vilkårene for innsyn disse:

• At formålet med det aktuelle innsynskravet er at den som ber om innsyn skal kunne bli i stand til å viderebringe informasjon til andre – med andre ord at innsyn er avgjørende eller nødvendig for å kunne utøve ytringsfriheten/retten til å viderebringe informasjon til andre,

• at den aktuelle informasjonen har allmenn interesse,

• at den som krever innsyn gjør det i egenskap av å ha en offentlig «vaktbikkje-funksjon», og

• at den aktuelle informasjonen er lett tilgjengelig for myndighetene.

Dersom disse kumulative vilkårene er oppfylt kan innsynskrav bare avslås dersom vilkårene for inngrep i ytringsfriheten etter EMK artikkel 10 andre ledd er oppfylt. Det innebærer at avslaget må ha hjemmel i lov (for eksempel i offentleglova), at det må ivareta et av de legitime formålene som fremgår av artikkel 10 andre ledd og at avslaget er nødvendig i et demokratisk samfunn for å ivareta det anførte legitime formålet. Merk at retten til innsyn etter EMK artikkel 10 kan tilsi at det må gis innsyn også i taushetsbelagte opplysninger.15

Det er også flere norske Høyesterettsdommer om innsynsrett etter EMK artikkel 10, men disse gjelder alle straffesaksdokumenter. En av disse sakene gjaldt pressens krav om tilgang til lydbåndopptak fra straffesaken mot Arne Treholt.16 En annen sak gjaldt pressens krav om innsyn i opptak fra en hendelse ved Oslo legevakt, der en mann døde under pågripelse.17 En tredje sak gjaldt pressens krav om innsyn i straffesaksdokumenter knyttet til etterforskning av en politileders håndtering av innleverte våpen.18

4.2.4 Allmenn innsynsrett etter andre bestemmelser

Bestemmelser om alminnelig innsynsrett finnes ikke bare i offentleglova. Det finnes også en rekke bestemmelser i særlovgivningen som gir en allmenn innsynsrett hos det offentlige.19

Stortinget, Riksrevisjonen, Stortingets ombud for kontroll med forvaltningen og andre organer for Stortinget er ikke omfattet av offentleglova, jf. § 2 tredje ledd. Det er fastsatt egne regler om innsynsrett hos disse organene.20 Regler om innsyn hos Stortingets kontrollutvalg for etterretnings, overvåkings- og sikkerhetstjeneste (EOS-utvalget) er gitt i EOS-kontrolloven § 16. Regler om innsyn hos Stortingets ombudsnemnd for Forsvaret er gitt i Lov om Stortingets ombudsnemnd for Forsvaret § 14, og regler om innsyn hos Norsk institusjon for menneskerettigheter (NIM) er gitt i NIM-loven § 11.

Offentleglova gjelder heller ikke for gjøremål domstolene har etter rettsstellovene, se offentleglova § 2 fjerde ledd. Dette innebærer at loven ikke gjelder for dokumenter hos domstolene som gjelder saker som reguleres av de nevnte lovene. Dokumenter i sivile saker og straffesaker er unntatt fra offentleglovas anvendelsesområde. Det samme gjelder dokumenter i saker om tvangsfullbyrdelse, konkurs og gjeldsordninger. Innsyn i slike dokumenter reguleres imidlertid av reglene i tvisteloven kapittel 14 og straffeprosessloven, politiregisterloven og politiregisterforskriften.

Allmennheten er i miljøinformasjonsloven gitt en generell innsynsrett i miljøinformasjon. Miljøinformasjon er definert som faktiske opplysninger og vurderinger om miljøet, om faktorer som påvirker eller kan påvirke miljøet, eller – på nærmere bestemte vilkår – opplysninger og vurderinger om menneskers helse, sikkerhet og levevilkår, se lovens § 2. Miljøinformasjonsloven gjelder ved siden av offentleglovas regler, jf. lovens § 3 første ledd. Også miljøinformasjonsloven bygger på et offentlighetsprinsipp: Enhver har rett til miljøinformasjon fra offentlige organer, med mindre loven gjør unntak fra informasjonsretten, jf. § 10.

Av andre bestemmelser om allmenn innsynsrett kan nevnes straffeprosessloven § 28 tredje ledd om innsyn i dommer og visse kjennelser, tvisteloven § 14-2 første ledd om innsyn i sivilrettslige avgjørelser, produktkontrolloven § 9 som gir rett til innsyn hos offentlige organer i informasjon om produkter som medfører eller kan medføre helseskade eller miljøforstyrrelse, matrikkellova § 20 om innsyn i matrikkelen, forurensningsloven § 14 som gir rett til innsyn i konsekvensanalyser og patentloven § 52 bokstav b som gir rett til innsyn i konsekvensutredninger. Mange av registerlovene inneholder også regler om allmenn innsynsrett, se for eksempel foretaksregisterloven § 8-1, enhetsregisterloven § 22 andre ledd, frivillighetsregisterloven § 16 og lov om reelle rettighetshavere § 11.

Det finnes også en rekke andre bestemmelser i lovverket om innsyn, og som ikke gir en generell eller allmenn innsynsrett, men bare en innsynsrett i spesielle situasjoner, i en spesiell type informasjon eller for spesielle grupper personer. Reglene om partsinnsyn i forvaltningsloven § 18 er et eksempel på dette. Det samme er reglene om innsyn for den enkelte i personopplysninger om seg selv etter personvernforordningen artikkel 15 og pressens rett til innsyn i tiltalebeslutninger etter forskrift om offentlighet i rettspleien § 7 og påtaleinstruksen § 22-7 første ledd, i fullstendige skattelister etter skatteforvaltningsloven § 9-7 syvende ledd.

4.3 Retten til viderebruk av offentlig informasjon (data)

4.3.1 PSI-direktivet er implementert i norsk lov gjennom offentleglova

Retten til viderebruk var tidligere praktisert som en del av offentlighetsprinsippet, og ble da omtalt som «referatoffentlighet» eller «referatadgang». Det inkluderte retten til å spre videre de mottatte opplysningene, eller bruke opplysningene i egen interesse i eller utenfor næring. Også før offentleglova begynte å gjelde i 2009 var derfor utgangspunktet at dokumenter en fikk tilgang til kunne brukes til hva som helst så lenge ikke annet regelverk var til hinder for det.

I dag er retten til viderebruk av offentlig informasjon uttalt i offentleglova § 1 andre punktum. Reglene om viderebruk ble tatt inn i offentleglova som ledd i nasjonal gjennomføring av EUs direktiv om viderebruk av offentlig informasjon (PSI-direktivet, Public Sector Information directive) fra 2003, senere endret i 2013.21 Se boks 4.2 om tidslinjen til PSI-direktivet. Offentlige data (informasjon) som det har blitt gitt tilgang til, kan fritt viderebrukes, med mindre det er knyttes begrensninger til dem (eks. taushetsplikt, personvern, immaterielle rettigheter etc.).

Offentleglova § 2 sjuende ledd utvider virkeområdet for bestemmelser om tilgjengeliggjøring for viderebruk, slik at virkeområdet for disse bestemmelsene samsvarer med virkeområdet for PSI-direktivet. Dette er gjort ved å henvise til EØS-avtalen på følgende måte:

«Føresegnene i § 6, § 7 andre ledd, § 8 tredje ledd andre punktum og fjerde og femte ledd og § 30 første ledd tredje punktum og andre ledd gjeld uavhengig av føresegnene i paragrafen her for alle verksemder som er omfatta av EØS-avtalen vedlegg XI nr. 5k (direktiv 2003/98/EF som endra ved direktiv 2013/37/EU) om vidarebruk av informasjon frå offentleg sektor.»

PSI-direktivet etablerer minimumsregler og for å fremme viderebruk av eksisterende dokumenter som besittes av offentlige myndigheter (offentlige organer).22 Med viderebruk menes i direktivet fysiske eller juridiske personers bruk av dokumenter som er i offentlige myndigheters besittelse, for andre kommersielle eller ikke-kommersielle formål enn det opprinnelige formålet i forbindelse med den offentlige oppgaven som dokumentene ble produsert for. Utveksling av dokumenter mellom offentlige myndigheter som utelukkende skjer i forbindelse med deres offentlige oppgaver, anses ikke som viderebruk.

4.3.2 Prinsippet om fri rett til viderebruk av offentlig informasjon (data) og forbudet mot forskjellsbehandling når det gis innsyn

Prinsippet om fri rett til viderebruk av offentlig informasjon det er gitt innsyn i, er forankret i offentleglova § 7. Der står det at informasjon som det er gitt tilgang til, «kan brukast til eitkvart formål dersom ikkje anna lovgivning eller retten til ein tredjeperson er til hinder for det». Retten til viderebruk gjelder når det er gitt innsyn etter offentleglova eller annen lovgivning som gir allmennheten rett til innsyn i offentlig virksomhet.

Retten til å viderebruke data gjelder bare så lenge ikke annen lovgivning eller retten til en tredjepart er til hinder for dette. Er det for eksempel gitt innsyn i et fotografi, vil ikke fotografiet nødvendigvis kunne viderebrukes til andre formål på grunn av fotografens rettigheter etter åndsverkloven. Det samme gjelder for personopplysningsloven ved innsamling og viderebruk eller viderebehandling av personopplysninger innhentet gjennom innsyn. I den grad viderebehandling av personopplysninger innhentet gjennom innsyn omfattes av personopplysningslovens virkeområde, må bruken skje i samsvar med reglene i personopplysningsloven og personvernforordningen, herunder reglene om gyldig behandlingsgrunnlag.23 Personvernregelverket tillater i seg selv noen former for viderebruk. Reglene gjør for eksempel flere unntak fra kravene til personverntiltak når behandlingen skjer for journalistiske formål, jf. personopplysningsloven § 5 og personvernforordningen artikkel 86.

I offentleglova § 6 første ledd er det et forbud mot forskjellsbehandling i sammenlignbare tilfeller når det blir gitt tilgang til offentlig informasjon (data) etter offentleglova og i andre tilfeller hvor det gis tilgang til informasjon.24 Bestemmelsen gjennomfører artikkel 10 og 11 i viderebruksdirektivet (PSI-direktivet).25 En slik bestemmelse fantes ikke i offentlighetsloven 1970, men det eksisterte allerede den gangen et ulovfestet prinsipp om at merinnsyn ikke kunne praktiseres ulikt overfor ulike aktører, i tillegg til at innsyn bare kunne nektes dersom det var en hjemmel for det i lov. I realiteten innebar derfor ikke innføringen av forbudet mot forskjellsbehandling i offentleglova § 6 noen stor endring i rettstilstanden.26

Bestemmelsen om forbud mot forskjellsbehandling har imidlertid et noe annet virkeområde enn reglene ellers i offentleglova. Bestemmelsen gjelder kun for virksomheter som er omfattet av PSI-direktivet, med mindre Kongen fastsetter noe annet i forskrift, jf. § 6 tredje ledd. Det betyr blant annet at bestemmelsen ikke gjelder for dokumenter hos NRK eller utdannings-, forsknings- og kulturinstitusjoner, selv om disse dokumentene er omfattet av offentleglova. I praksis har ikke dette stor betydning, da forbud mot forskjellsbehandling uansett vil følge av allmenne forvaltningsrettslige prinsipper.27 På den andre siden vil PSI-direktivet i andre sammenhenger gjelde for virksomheter som ikke er omfattet av offentleglova, jf. offentleglova § 2 syvende ledd.

I bestemmelsen i offentleglova § 6 brukes begrepet «informasjon» i stedet for «dokument» som ellers i offentleglova. Bakgrunnen for dette er at dokumentbegrepet i direktivet på noen områder går lenger enn dokumentbegrepet etter offentleglova §§ 3 og 4. Bestemmelsen vil derfor også gjelde der det blir gitt ut informasjon som ikke faller inn under definisjonen av «saksdokument» i §§ 3 og 4, men som er omfattet av definisjonen av «dokument» i direktivet.

Forbudet mot forskjellsbehandling er også til hinder for ulik behandling av sammenlignbare innsynskrav når det gjelder eventuelle vilkår for innsyn og hvordan det blir gitt innsyn. Når aktører får innsyn på en bestemt måte eller i en bestemt form, betyr det at andre har krav på innsyn på sam forme måte og i samme form så lenge innsynskravene er sammenlignbare. Krav til hvordan offentlig informasjon skal gjøres tilgjengelig etter gjeldende rett beskrives i kapittel 4.3.3.

Det følger videre av offentlegelova § 6 første ledd at det ikke er adgang til å gi noen en enerett til tilgang til offentlig informasjon. Etter § 6 andre ledd første punktum er imidlertid ikke forbudet mot enerettsavtaler i første ledd til hinder for at det gjøres slike avtaler dersom dette er nødvendig for å levere en tjeneste i allmenhetens interesse. Dette kan blant annet være tilfelle der det ikke vil være regningssvarende å utvikle tjenester med basis i informasjonen dersom det er konkurranse, slik at det uten enerett ikke vil være noen aktører som vil tilby tjenester med basis i informasjonen.28 Dersom det inngås slike enerettsavtaler skal avtalen være offentlig og vurderes på nytt etter tre år, jf. offentleglova § 6 andre ledd andre og tredje punktum.

I fjerde punktum er det presisert at det ikke i noe tilfelle kan gjøres avtaler om enerett til informasjon som allmennheten har rettskrav på innsyn i etter lov eller forskrift. Avtaler om enerett vil altså ikke kunne avgrense den innsynsretten andre har etter offentleglova eller annet regelverk.29

4.3.3 Krav til hvordan informasjon skal gjøres tilgjengelig for viderebruk

Etter gjeldende rett er det et krav om at standardlisenser om bruk av offentlig informasjon skal være tilgjengelig i digitalt format og kunne behandles elektronisk. Dette følger av offentleglova § 7 andre ledd som er en gjennomføring av PSI-direktivet artikkel 7 og artikkel 8 nr. 2. Bestemmelsen innebærer ikke at forvaltningen har en plikt til å utarbeide slike standardlisenser – den fastsetter bare hva som skal gjøres dersom slike lisenser eksisterer.30 Offentleglova § 7 andre ledd andre punktum åpner for at det i forskrift kan fastsettes at dette også skal gjelde for virksomheter som ikke er omfattet av virkeområdet til PSI-direktivet. Slik forskrift er ikke gitt.

I offentlegforskrifta § 7 presiseres det at organer omfattet av offentleglova kan gjøre dokumenter åpent tilgjengelig for alle på internett. Dersom man velger å gjøre dette skal det opplyses om hvilke kriterier som ligger til grunn for utvalget av dokumenter som legges åpent ut, jf. § 7 tredje ledd. Det er likevel gjort unntak for bestemte typer opplysninger og dokumenter, for eksempel fødselsnummer og personnummer. Det er også gjort unntak for materiale som en tredjepart har immaterielle rettigheter til. Slikt materiale skal som utgangspunkt ikke publiseres på internett, med mindre rettighetshaveren samtykker til at materialet blir gjort tilgjengelig.

I offentleglova § 30 er det stilt krav til hvordan organer skal gi innsyn og gjøre dokumenter tilgjengelig for viderebruk. Bestemmelsen gjennomfører PSI-direktivets bestemmelser i artikkel 4. nr. 3 annet punktum og artikkel 5 nr. 1. Hovedregelen er at den som krever innsyn kan kreve papirkopi og elektronisk kopi av dokumentet, jf. første ledd andre punktum. Ut over dette har organet frihet til å fastsette hvordan det skal gis innsyn ut fra hensynet til forsvarlig saksbehandling.

Retten til kopi gjelder alle eksisterende formater og språkversjoner, jf. offentleglova § 30 første ledd. Retten gjelder likevel ikke for versjoner som er offentlig tilgjengelig. Denne bestemmelsen gjelder bare for virksomheter som er omfattet av PSI-direktivet. Virkeområdet kan imidlertid utvides med forskrift. Dette er ikke gjort. Det kan også gis forskrift om at retten til elektronisk kopi ikke skal gjelde for dokument som en tredjeperson har immaterielle rettigheter til eller der det er påkrevd av arkivtekniske hensyn. Slike bestemmelser er fastsatt i offentlegforskrifta § 5.

Gis det innsyn i dokumenter som en tredjepart har immaterielle rettigheter til, skal det offentlige organet opplyse om hvem som er innehaver av rettighetene og eventuelt hvilken lisenshaver (om noen) organet har fått informasjonen fra, jf. offentleglova § 30 annet ledd. Plikten gjelder i utgangspunktet bare for organer omfattet av PSI-direktivet, men virkeområdet kan utvides i forskrift. Dette er ikke gjort.

Når dokumenter med tilhørende metadata gjøres allment tilgjengelig skal det skje i alle eksisterende maskinlesbare formater og språkversjoner, jf. offentleglova § 30 tredje ledd. Bestemmelsen gjelder foreliggende formater og innebærer ingen plikt til å gjøre om dokumenter til andre formater eller språkversjoner enn det som allerede foreligger.31 Bestemmelsen gjelder ikke eventuelle formater som kun brukes til intern lagring eller bruk eller som av andre grunner er uegnet for tilgjengeliggjøring.

4.3.4 Gratisprinsippet og vilkår for når det offentlige kan ta betalt

Hovedregelen etter offentleglova § 8 er at innsyn i offentlig informasjon (data) skal være gratis. Reglene om betaling for innsyn omfatter også betaling for viderebruk av data i tråd med PSI-direktivet.

Det følger av § 8 tredje ledd at:

«Kongen kan gi forskrift om at det kan krevjast betaling for dokument dersom særlege tilhøve ved arten til dokumenta eller verksemda gjer det rimeleg. Betalingssatsane skal fastsetjast slik at dei samla inntektene ikkje blir større enn dei faktiske kostnadene ved innsamling, produksjon, reproduksjon og formidling av informasjonen, med tillegg av ei rimeleg avkastning av investeringane.»

De nærmere reglene for hva det kan tas betalt for fremgår av § 4 i offentlegforskrifta. De mest relevante forskriftsbestemmelsene i relasjon til endringer som følger av åpne data-direktivet er offentlegforskrifta § 4 fjerde til sjette ledd som sier at:

«Det kan krevjast betaling for informasjon som blir produsert eller tilarbeidd utelukkande for å dekkje eit behov hos eksterne aktørar. Betalingssatsane skal ikkje overstige kostnadene ved innsamling, produksjon, reproduksjon og formidling av informasjonen, med tillegg av ei rimeleg avkastning av investeringane.

Det kan krevjast betaling for geodata (kart mv.) og eigedomsinformasjon. Betalingssatsane skal vere slik at inntektene ikkje overstig dei faktiske kostnadene ved innsamling, produksjon, reproduksjon og formidling av informasjon. Organ som har utarbeiding og utlevering av geodata eller eigedomsinformasjon som ei hovudoppgåve i si verksemd, kan likevel krevje betaling for informasjon etter fyrste punktum etter slik betalingssats at inntektene tilsvarar dei faktiske kostnadene ved innsamling, produksjon, reproduksjon og formidling av informasjon, med tillegg av ei rimeleg avkastning av investeringane.

Organ som skal drivast på kommersiell basis, eller som heilt eller dels skal vere sjølvfinansierande, kan ta betaling for informasjon, så langt det er fastsett at betaling for informasjon skal vere ein del av inntektsgrunnlaget til organet. Reglane om betalingssatsar i femte ledd tredje punktum gjeld tilsvarande.»

Når det gjelder gebyrer, skiller ikke offentleglova mellom offentlige organer eller selvstendige rettssubjekter kontrollert av offentlige organer.

Etter offentleglova § 8 femte ledd, jf. § 2 sjuende ledd, skal virksomheter som er omfattet av viderebruksdirektivet, offentliggjøre betalingssatsene i elektronisk form dersom det er mulig og formålstjenlig. Dette kan eksempelvis gjøres på hjemmesiden til virksomheten. Grunnlaget for utregningen av betalingssatsene, og eventuelt hvilke faktorer som vil bli lagt til grunn i særlige tilfeller, skal være tilgjengelig på forespørsel.

4.4 Digitaliseringsrundskrivet om viderebruk av offentlig informasjon (data)

Digitaliseringsrundskrivet er en sammenstilling av pålegg, anbefalinger og veiledning om digitalisering i offentlig sektor. Gjeldende rundskriv ble utgitt av Digitaliserings- og forvaltningsdepartementet 9. februar 202432, og gjelder fram til det blir publisert et nytt.

Digitaliseringsrundskrivet gjelder for departementene, statens ordinære forvaltningsorganer, forvaltningsorganer med særskilte fullmakter og forvaltningsbedrifter. Rundskrivet gjelder ikke for kommunale og fylkeskommunale organer, eller for offentlige selskaper og foretak.

Digitaliseringsrundskrivet inneholder blant annet krav og anbefalinger om å tilgjengeliggjøre data for viderebruk. Rundskrivet pålegger virksomheter som etablerer nye, eller oppgraderer eksisterende fagsystemer eller digitale tjenester, offentlig å registrere datasett på data.norge.no. Rundskrivet fastslår at data skal gjøres tilgjengelige i tråd med viderebruksbestemmelsene i offentleglova og regjeringens Retningslinjer ved tilgjengeliggjøring av offentlige data.33Rundskrivet anbefaler videre å sørge for at data gjøres tilgjengelig i et langtidsperspektiv, med opprettholdt integritet, autentisitet, anvendbarhet og pålitelighet. Krav og føringer gitt i rundskrivet skal følges opp i den ordinære styringsdialogen. I hvilken grad det prioriteres, og eventuelt hvordan det gjøres, varierer på tvers av sektorene.

I en utredning utført av Advokatfirmaet Kluge34 på oppdrag fra Kommunal- og moderniseringsdepartementet, ble det påpekt at rundskrivet i dag ikke oppfattes som særlig forpliktende, at rettskildestatusen er lav, og at det ikke foreligger sanksjoneringsmuligheter. Kluge anbefaler derfor at det vurderes om deler av rundskrivet bør tas inn i et eventuelt nytt regelverk om viderebruk av offentlig informasjon.

For kommunene eksisterer det ingen spesielle føringer vedrørende tilrettelegging for viderebruk av data, utover bestemmelsene i offentleglova og geodataloven. Det er med andre ord ingen krav til at kommunene på generelt grunnlag legger til rette for deling av data. Det er også frivillig for kommunene å følge regjeringens retningslinjer ved tilgjengeliggjøring av offentlige data. Dersom det kreves innsyn i en sammenstilling av informasjon som er elektronisk lagret i en datadatabase, er imidlertid kommunen pålagt å tilgjengeliggjøre eller dele en slik sammenstilling så lenge dette kan håndteres med enkle framgangsmåter, jf. offentleglova § 9.

Videre pålegger digitaliseringsrundskrivet virksomhetene å følge den til enhver tid gjeldende versjon av de overordnede arkitekturprinsippene for digitalisering av offentlig sektor. De skal legges til grunn ved etablering av nye IT-løsninger og ved vesentlige endringer i eksisterende IT-løsninger, og gjelder både ved egenutvikling og ved anskaffelser. Når det gjelder deling av data, er prinsippene tydelige: «Virksomheter skal legge til rette for deling og gjenbruk av data.» Arkitekturprinsippene er anbefalt for kommunesektoren.

Språkdata og språkressurser i det offentlige er gitt en særlig omtale i digitaliseringsrundskrivet for å øke bevisstheten om slike data i offentlig sektor. Rundskrivet viser til at språkdata som brukes som grunnlag for språkteknologi, ikke bare omfatter oversettelser og begrepslister, men også tekst, som for eksempel nettsider, rapporter og saksdokumenter. De språklige strukturene i tekst produsert av det offentlige, utgjør verdifulle data for språkteknologisk forskning og utvikling. Det er derfor viktig å legge til rette for viderebruk av innholdet i tekstene til denne typen formål. Terminologi og begrepslister bør leveres til Felles begrepskatalog. Ved kjøp av oversettelsestjenester, bør avtalene inneholde krav om levering av oversettelsesminner sammen med det ferdige resultatet.35 Oversettelsesminnene bør leveres til Nasjonalbibliotekets språkbank.36

Digitaliseringsrundskrivet inneholder krav og anbefalinger til arkiveringsfunksjoner for offentlige organer. Det er et krav at arkivpliktig digital informasjon skal behandles i samsvar med arkivloven med tilhørende forskrifter. For all arkivpliktig digital informasjon, også informasjon som ikke er journalføringspliktig, skal offentlige virksomheter ha rutiner som sikrer arkivering og vedlikehold av informasjonsinnholdet og rutiner som bl.a. sikrer mot ikke-autoriserte endringer og slettinger. Dette gjelder både for informasjon i fagsystemer og i saksbehandlingssystemer.

Videre er det anbefalt at når den offentlige virksomheten utformer eller oppdaterer sine prosesser, bør virksomheten samtidig lage en oversikt over hvilke data som inngår og behandles i tilhørende systemer og hva som er arkivpliktig informasjon etter arkivlov med forskrifter. Hvis flere virksomheter benytter samme systemer, bør oversikten utarbeides i samarbeid mellom disse. Ved anskaffelse eller egenutvikling av systemer for behandling av arkivpliktig informasjon, bør arkivfunksjoner inngå i systemene fra starten av slik at arkiveringen kan skje mest mulig automatisert.

5 Endringer med åpne data-direktivet

5.1 Innledning

I dette kapitlet redegjør utvalget for endringene i EU-retten som følger av direktiv (EU) 2019/1024 om åpne data og viderebruk av offentlig informasjon (åpne data-direktivet).37 Direktivet er i hovedsak en omarbeidelse av det tidligere PSI-direktivet. EU-kommisjonen har imidlertid valgt å endre navnet fra «direktiv…om viderebruk av informasjon fra offentlig sektor» til «direktiv…om åpne data og viderebruk av offentlig informasjon». Det omarbeidete direktivet blir uformelt referert til som «Open Data Directive» eller «ODD». Denne omdøpingen har ført til at direktivet ofte kan oppfattes som innføringen av noe nytt, og ikke det som i realiteten er en videreutvikling av over 20 år med etablert politikk og regulering av viderebruk av offentlig informasjon (data).38

På bakgrunn av dette, understreker utvalget at flere av reglene i det nye direktivet allerede følger av offentleglova med forskrift – enten som ledd i gjennomføringen av PSI-direktivet39 eller som følge av alminnelige forvaltningsrettslige prinsipper, se kapittel 4.3.1 og boks 4.3 for mer informasjon om PSI-direktivet. Enkelte deler av det nye direktivet innfører imidlertid regler som går utover PSI-direktivet. Utvalget velger derfor å bruke dette kapittelet til å beskrive de mest sentrale endringene i åpne data-direktivet sammenlignet med PSI-direktivet, samt klargjøre hvorvidt dette vil kreve endringer i gjeldende norsk rett.

Åpne data-direktivet ble sendt på høring av Kommunal- og distriktsdepartementet 7. april 2022 med høringsfrist 5. juli 2022.40 Utvalget bruker høringsnotatet fra denne høringen og den engelske teksten i direktivet som underlag for dette kapittelet.

I dette kapittelet beskrives det overordnede formålet og konteksten til direktivet først (kapittel 5.2), så redegjøres det for utvidelsen av virkeområdet (kapittel 5.3). Deretter følger en nærmere redegjørelse for bestemmelsene om dynamiske data, enerettsavtaler og transparens, gebyrer, og forholdet til databasedirektivet som medfører endringer i norsk lov (kapittel 5.4). Til slutt redegjøres det for særreglene for datasett med høy verdi (kapittel 5.5).

5.2 Åpne data-direktivet, formål og kontekst

Formålet med åpne data-direktivet er å fremme bruken av offentlige data, fjerne markedsbarrierer og å stimulere til innovasjon av produkter og tjenester. Direktivet fastsetter derfor, i likhet med sin forgjenger PSI-direktivet, et sett med minimumsregler for viderebruk av offentlige dokumenter og ordninger for å fremme viderebruk for kommersielle og ikke-kommersielle formål.

I likhet med PSI-direktivet, regulerer åpne data-direktivet hvordan offentlige dokumenter skal gjøres tilgjengelig (åpnes) for viderebruk. Reglene gjelder både for dokumenter det er innsynsrett i etter nasjonal lovgivning, og for dokumenter som uoppfordret har blitt gjort tilgjengelig for allmennheten av offentlige organer og enkelte typer offentlige foretak. Virkeområdet til åpne data-direktivet er utvidet til også å gjelde offentlig finansiert forskningsdata som har blitt offentliggjort av forskere, forskningsutøvende- og forskningsfinansierende organisasjoner selv når de ikke er offentlige organer eller andre rettssubjekter omfattet av offentleglova. Sammenlignet med gjeldende rett, er dette en ny regel og en utvidelse.

I likhet med PSI-direktivet, gjelder ikke åpne data-direktivet for dokumenter som er taushetsbelagt, dokumenter som skal hemmeligholdes av hensyn til nasjonal sikkerhet eller dokumenter som skal beskyttes av hensyn til legitime kommersielle interesser. Direktivet vil heller ikke gjelde for dokumenter der tredjeparter har immaterialrettigheter. Direktivets avgrensning mot dokumenter som inneholder denne typen opplysninger, følger av artikkel 1 nr. 2, nr. 4 og nr. 5.

Et annet viktig punkt kommer i ordlyden til artikkel 11 nr. 1:

«Any applicable conditions for the re-use of documents shall be non-discriminatory for comparable categories of re-use, including for cross-border re-use.»41

Her presiseres det at vilkår for viderebruk skal være likt for alle brukere, inkludert der det involverer viderebruk av grensekryssende aktører. Dette er bare en språklig presisering fra EU og ikke en endring av rettstilstanden, men det illustrerer intensjonen og konteksten bak regelverket som er hjemlet i artikkel 114 av traktaten om Den europeiske unions virkemåte (TEUV).42 Det er for eksempel ikke tillatt å begrense retten til å viderebruke norske offentlige dokumenter til kun norske virksomheter, eller kreve bruk av nasjonale løsninger for å få tilgang til dokumentene som borgere eller virksomheter utenfor Norge ikke har mulighet til å benytte.43

En annen endring fra gjeldende rett, er åpne data-direktivet artikkel 5 nr. 2 som lyder:

«Member States shall encourage public sector bodies and public undertakings to produce and make available documents falling within the scope of this Directive in accordance with the principle of ‘open by design and by default’».

Den eksplisitte henvisningen til prinsippet om «innebygd åpenhet og åpenhet som standardinnstilling» skiller seg fra PSI-direktivet hvor prinsippet ikke ble nevnt. For mer om hva utvalget legger i sin tolkning av dette prinsippet se kapittel 11.3 og kapittel 18.44

5.3 Virkeområdet i direktivet i forhold til gjeldende norsk rett

5.3.1 Offentlige foretak45

Åpne data-direktivet innebærer at regler som i det tidligere PSI-direktivet kun gjaldt for offentlige organer, nå er utvidet til å også å gjelde for enkelte typer offentlige foretak. Åpne data-direktivet definerer offentlige foretak i artikkel 2 nr. 3 som:

«[…] any undertaking active in the areas set out in point (b) of Article 1(1) over which the public sector bodies may exercise directly or indirectly a dominant influence by virtue of their ownership of it, their financial participation therein, or the rules which govern it. A dominant influence on the part of the public sector bodies shall be presumed in any of the following cases in which those bodies, directly or indirectly:

(a) hold the majority of the undertaking’s subscribed capital;

(b) control the majority of the votes attaching to shares issued by the undertaking;

(b) can appoint more than half of the undertaking’s administrative, management or supervisory body;»

Direktivet gjelder med andre ord for offentlige foretak der stat, fylkeskommune eller kommune direkte eller indirekte har styrende innflytelse («dominerende innflytelse» er ordlyden i direktivet) på grunn av eierskap i foretaket, økonomisk deltakelse i selskapet eller de reglene som gjelder for foretaket, jf. bokstav a, eller kontrollerer et flertall av aksjestemmene utstedt i foretaket, jf. bokstav b, eller kan utnevne mer enn halvparten av medlemmene i foretakets ledelse, jf. bokstav c.

Ikke alle offentlige foretak er omfattet. Direktivet gjelder bare for offentlige foretak som opererer i forsynings- og transportsektoren. Denne avgrensningen følger av artikkel 1 nr. 1 bokstav b som avgrenser direktivet til å omfatte offentlige foretak som:46

• er aktive på de områdene som er definert i forsyningsdirektivet,47 dvs. sektorene for vann, energi, transport og posttjenester

• fungerer som yter av offentlige tjenesteoperatører innen offentlig persontransport med jernbane og bil48

• fungerer som luftfartsselskaper som oppfyller forpliktelsene til å yte offentlige tjenester49 eller

• fungerer som europeiske skipsredere som oppfyller forpliktelsene til å yte offentlige tjenester50

Disse foretakene er omfattet av offentleglovas virkeområde. Offentleglova gjelder for staten, fylkeskommunene og kommunene, samt andre rettssubjekter i saker hvor de fatter enkeltvedtak eller utferdiger forskrifter, jf. offentleglova § 2 første ledd bokstav a og b. Loven gjelder imidlertid også for enkelte selvstendige rettssubjekter. Hvilke dette er, er definert i § 2 første ledd første punktum bokstav c og d og andre punktum:

«c. sjølvstendige rettssubjekt der stat, fylkeskommune eller kommune direkte eller indirekte har ein eigardel som gir meir enn halvparten av røystene i det øvste organet i rettsubjektet, og

d. sjølvstendige rettsubjekt der stat, fylkeskommune eller kommune direkte eller indirekte har rett til å velje meir enn halvparten av medlemmene med røysterett i det øvste organet i rettssubjektet.

Bokstavane c og d gjeld ikkje rettsubjekt som hovudsakleg driv næring i direkte konkurranse med og på samme vilkår som private.»

Som det fremgår av ordlyden i offentleglova § 2, gjelder det ingen begrensninger med hensyn til hvilket område eller bransje rettssubjektene driver sin virksomhet innenfor. Med andre ord inkluderer begrepet «selvstendig rettssubjekt» i offentleglova § 2 første ledd mer enn begrepet «offentlig foretak» i artikkel 2 nr. 3 av direktivet.

Det følger også av artikkel 1 nr. 2 bokstav b at direktivet ikke gjelder for dokumenter fra offentlige foretak som er produsert utenfor formålet om levering av tjenester i allmenn interesse som definert i lov eller andre bindende regler. Videre avgrenser direktivet mot aktiviteter i offentlige foretak som er direkte utsatt for konkurranse, og derfor unntatt fra innkjøpslovgivningen.51 Disse unntakene er i dag ivaretatt av offentleglova § 2 andre punktum.

Det har imidlertid blitt gjort noen unntak fra offentleglovas virkeområde for enkelte rettssubjekter i offentlegforskrifta § 1 første ledd. Et eksempel på dette er bokstav g som unntar Statkraft SF fra virkeområdet til offentleglova. Det er også noen unntak for visse typer dokumenter hos andre utpekte selvstendige rettssubjekter, jf. offentlegforskrifta § 1 tredje ledd. Et eksempel på dette er bestemmelsen bokstav f, som unntar «dokument knytte til forvaltning av statens interesser i CO₂ -handteringsprosjekt hos Gassanova SF».

De offentlige foretakene skal med forbehold om direktivets kapittel V om datasett med høy verdi følge reglene om tilgjengelige formater, jf. artikkel 5 nr. 1. Men på samme måte som offentlige organer, er heller ikke offentlige foretak forpliktet til å følge kravene etter artikkel 5 nr. 1 dersom det krever uforholdsmessig stor innsats for å fremstille eller tilpasse dokumenter eller fremlegge utdrag, jf. artikkel 5 nr. 3.

Alle virksomheter som defineres som offentlige foretak i direktivet er omfattet av offentleglova. Etter direktivet er det et vilkår for at et foretak skal være omfattet at et offentlig organ kan utøve en «dominerende innflytelse» over foretaket som følge av eierskap, økonomisk deltakelse eller de reglene som gjelder for foretaket, jf. artikkel 2 nr. 3 bokstav a til c. Bokstav a gjelder dominerende innflytelse gjennom kapitalinnskudd. Dette skiller seg fra offentleglova § 2 første ledd bokstav c og d, som ikke nevner kapitalinnskudd som en måte å ha kontroll (dominerende innflytelse) over rettssubjektet. Dominerende innflytelse gjennom kapitalinnskudd i direktivets forstand, kan likevel ansees som ivaretatt av offentleglova § 2 siste ledd som er tatt inn for å sikre full implementering av PSI-direktivet uavhengig av offentleglovas virkeområde. Et offentlig foretak (innenfor rammene satt i artikkel 1 nr. 1 bokstav b) omfattes av direktivet dersom kun ett vilkår fra artikkel 2 nr. 3 bokstav a, b eller c er oppfylt. Det vil si at kapitalinnskudd ikke er et nødvendig krav for å bli omfattet av definisjonen om offentlige foretak etter direktivet. For mer om utvalgets drøfting av virkeområdet og offentlige foretak, se kapittel 9.3.2.

5.3.2 Offentlig finansierte forskningsdata

Sammenlignet med gjeldende rett og PSI-direktivet, utvider åpne data-direktivet virkeområdet til å gjelde for offentlig finansierte forskningsdata, jf. artikkel 1 nr. 1 bokstav c, i tråd med vilkårene fastsatt i artikkel 10 av direktivet. Forskningsdata er definert i artikkel 2 nr. 9 og omfatter:

«[…] documents in a digital form, other than scientific publications, which are collected or produced in the course of scientific research activities and are used as evidence in the research process, or are commonly accepted in the research community as necessary to validate research findings and results;»

Eksempler på forskningsdata kan etter åpne data-direktivet fortalepunkt 27 eksempelvis være statistikk, forsøksresultater, målinger, observasjoner fra feltarbeid, undersøkelsesresultater, mv. Det kan også inkludere metadata, spesifikasjoner og andre digitale objekter. Det klargjøres videre i fortalepunkt 26 at forskningsdata er noen annet enn vitenskapelige artikler som rapporterer og kommenterer funn fra vitenskapelig forskning. Denne typen artikler er dessuten ofte underlagt immaterialrettigheter og vil derfor ikke kunne viderebrukes etter reglene i direktivet.

Hovedregelen om viderebruk av forskningsdata finnes i artikkel 10 nr. 2 av direktivet, som lyder:

«Without prejudice to point (c) of Article 1(2), research data shall be re-usable for commercial or non-commercial purposes in accordance with Chapters III and IV, insofar as they are publicly funded and researchers, research performing organisations or research funding organisations have already made them publicly available through an institutional or subject-based repository. In that context, legitimate commercial interests, knowledge transfer activities and pre-existing intellectual property rights shall be taken into account.»52

Bestemmelsen retter seg mot utdanningsinstitusjoner, forskere, forskningsutøvende organisasjoner og forskningsfinansierende organisasjoner. Det er ikke et krav at de må være offentlige virksomheter. Slike organisasjoner kan imidlertid også være organisert som offentlige organer eller offentlige foretak, men da vil direktivet gjelde, fordi organisasjonen er et offentlig organ eller et offentlig foretak.

Utvalget presiserer at utdanningsinstitusjoner, forskere, forskningsutøvende organisasjoner og forskningsfinansierende organisasjoner, ikke er forpliktet til å følge reglene i direktivet artikkel 4 om behandling av krav om viderebruk, jf. artikkel 4 nr. 6 og fortalepunkt 31.

Om gebyrer fremgår det av artikkel 6 nr. 6 bokstav b at forskningsdata for viderebruk alltid skal være gratis. Begrunnelsen for dette er at artikkel 10 nr. 2 inneholder noen kvalifiserende vilkår for at forskningsdata i det hele tatt skal omfattes av direktivet. For det første må det være offentlig finansierte forskningsdata, og de må allerede ha blitt offentligjort gjennom et sentralt datalager i institusjonen eller et emnebasert datalager (repository), og det må være forskere, forskningsutøvende organisasjoner eller forskningsfinansierende organisasjoner som har offentliggjort dataene. Innføringen av bestemmelsen om gebyrer for forskningsdata krever presisering i loven som gjennomfører denne delen av åpne data-direktivet. For mer om gebyrreglene, se kapittel 5.4.4 nedenfor, og kapittel 12 for utvalgets vurderinger av gebyrreglene i lovutkastet.

Det er viktig å presisere at kravet i direktivet om at forskingsdataene skal være tilgjengelige for viderebruk først slår inn etter at forskere, forskningsutøvende organisasjoner eller forskningsfinansierende organisasjoner allerede har offentliggjort forskningsdataene gjennom et sentralt datalager (repository) i institusjonen eller et emnebasert datalager (repository) enten i eller utenfor institusjonen. I vurderingen til forskere, utdanningsinstitusjoner, forskningsutøvende- og forskningsfinansierende organisasjoner om hvorvidt forskningsdata skal tilgjengeliggjøres skal det tas hensyn til legitime forretningsinteresser, kunnskapsoverføring og allerede eksisterende immaterialrettigheter, jf. artikkel 10 nr. 2, siste punktum. Det er viktig å være klar over at dette er data som ikke nødvendigvis omfattes av norsk innsynslovgivning. Utvalget drøfter forskningsdata nærmere i kapittel 9.3.7 om begreper og kapittel 11.7 om krav til hvordan gjøre offentlige data tilgjengelig for viderebruk.

Artikkel 10 nr. 1 av direktivet stiller også krav til medlemslandene om å støtte tilgjengeligheten av forskningsdata ved å vedta politikk og relevante tiltak som tar sikte på å gjøre forskningsdata åpent tilgjengelig (åpen tilgangspolitikk) i tråd med FAIR-prinsippene.53 Tilnærmingen er basert på prinsippet om «innebygd åpenhet og åpenhet som standardinnstilling», jf. fortalepunkt 16 og artikkel 5 nr. 2.

5.4 Særregler om viderebruk i åpne data-direktivet

5.4.1 Nye regler om dynamiske data

Åpne data-direktivet introduserer begrepet «dynamiske data» og særregler for tilgjengeliggjøring av slike data. Utvalget vil presisere at direktivet ikke setter noen krav om at dynamiske data skal gjøres tilgjengelig for viderebruk, men hvordan dynamiske data skal gjøres tilgjengelig. Denne forskjellen er ikke bare av stor praktisk betydning for virksomhetene som omfattes av direktivet, men også av pedagogisk betydning gitt hvordan bestemmelsene om dynamiske data kan leses som et absolutt krav.

Dynamiske data er, i artikkel 2 nr. 8, definert som

«documents in a digital form, subject to frequent or real-time updates, in particular because of their volatility or rapid obsolescence [...]»

Sensorgenererte data ansees vanligvis å være dynamiske data. Miljødata, meteorologiske data, trafikkdata og satellitt data er andre eksempler på data som kan være dynamiske data. Den økonomiske verdien av dynamiske data avhenger ofte av umiddelbar tilgang.54

Direktivet innfører, i artikkel 5 nr. 5, særregler om tilgjengeliggjøring av dynamiske data. Offentlige organer pålegges å gjøre dynamiske data tilgjengelig for viderebruk umiddelbart etter innsamling, enten via API-er (programmeringsgrensesnitt) eller dersom relevant gjennom massenedlasting (bulknedlasting). Et av direktivets formål ved å øke bruken av API-er er å sørge for en mer proaktiv publisering av dynamiske data på nett, noe som vil redusere de administrative byrdene gjennom færre forespørsler om viderebruk og også færre klager.55

Etter direktivet gjelder reglene om tilgjengeliggjøring av dynamiske data fra offentlige foretak først når dataene er tilgjengeliggjort for viderebruk av det enkelte offentlige foretaket, jf. artikkel 5 nr. 7. Både bestemmelsen om dynamiske data og utvidelsen til offentlige foretak er nytt i åpne-data direktivet sammenlignet med PSI-direktivet. Innføringen av det nye direktivet innebærer ingen rettslig endring i praksis i Norge, da selvstendige rettssubjekter allerede er omfattet av offentleglova § 2 første ledd første punktum bokstav c og d.

Dynamiske datasett som oppdateres manuelt, skal bli gjort tilgjengelig umiddelbart etter endringen i datasettet, jf. fortalepunkt 31. Oppdateringene skal gjøres tilgjengelige via et API. Kravet er begrunnet i at man skal lette utviklingen av internett- og mobilapplikasjoner og skybaserte applikasjoner basert på slike data. Fortalepunkt 32 uttrykker at API-ene også bør støttes av tydelig teknisk dokumentasjon som er fullstendig og tilgjengelig på internett, og videre at dersom det er mulig, så bør det brukes åpne API-er.

Det følger av artikkel 5 nr. 6 at dersom det å gi umiddelbar tilgang til dynamiske data vil overskride det offentlige organet eller foretakets tekniske eller økonomiske kapasitet, og dermed kreve en uforholdsmessig stor innsats for organet eller foretaket, så skal dataene gjøres tilgjengelig innen en frist eller med midlertidige tekniske begrensninger som gjør det mulig å utnytte dataenes økonomiske og sosiale potensial fullt ut. Vurderingen skal sees i forhold til organets eller foretakets størrelse og driftsbudsjett. Ved bruk av lisens kan det inngå i lisensvilkårene at dokumentene skal være tilgjengelige innen en viss frist, jf. fortalepunkt 31.

Der kontroll av data er vesentlig sett i lys av begrunnede hensyn til allmennhetens interesse, særlig med hensyn til folkehelse og offentlig sikkerhet, bør dynamiske data tilgjengeliggjøres umiddelbart etter kontroll, jf. fortalepunkt 31. Det presiseres at slike kontroller ikke bør påvirke oppdateringshyppigheten.

Forstørr bilde

Kilde: Vegvesen trafikk

5.4.2 Forholdet mellom direktivets regler om dynamiske data og gjeldende norsk rett

Offentleglova bruker både begrepet «dokument» og «informasjon». Informasjon er ikke definert, men begrepet brukes i stedet for dokumentbegrepet i de bestemmelsene som har direkte kobling til virkeområdet til PSI-direktivet, jf. offentleglova § 2 siste ledd.56 Denne bestemmelsen ble vedtatt for å sørge for korrekt implementering av det tidligere PSI-direktivet, som nå blir erstattet av åpne data-direktivet.

Dokumentbegrepet i offentleglova er definert i § 4 første ledd som:

«… ei logisk avgrensa informasjonsmengd som er lagra på eit medium for seinare lesing, lytting, framsyning, overføring eller liknande»

Definisjonen av dokument i åpne data-direktivet artikkel 2 nr. 6 omfatter ethvert innhold, mens dokumentbegrepet i offentleglova inneholder et krav om at det skal være en «logisk avgrenset informasjonsmengde».

I høringen i 2022 om gjennomføringen av åpne data-direktivet, presiserer departementet at dynamiske data i direktivets forstand også er dokumenter, men det nye er at det etableres enkelte særregler for slike dynamiske data. Departementet skriver videre at dette reiser spørsmålet om hvorvidt dokumentbegrepet i offentleglova også omfatter datastrømmer og dynamiske data.57 Departementet reiser også spørsmål om definisjonen i direktivet av dynamiske data omfattes av dokumentbegrepet i offentleglova, da dette forutsetter lagring på et medium. Departementet konkluderer her med at ordlyden i artikkel 5 nr. 5 skiller mellom innsamling og tilgjengeliggjøring, noe som kan tyde på at departementet legger til grunn at det her kan være en innebygd forsinkelse. På bakgrunn av dette anbefaler departementet å ta inn et nytt ledd i offentleglova § 4 som presiserer at dynamiske data omfattes av dokumentbegrepet.

Offentleglova § 30 regulerer hvordan offentlige organer skal gi innsyn i dokumenter og hvordan de skal tilgjengeliggjøres. Det kan blant annet kreves elektronisk kopi og da i alle tilgjengelige formater, som er ment å dekke ulike fil- eller tekstformat. Av tredje ledd andre punktum fremgår det at plikten omfatter maskinleselige format. Tilgjengeliggjøring gjennom API-er eller massenedlasting er ikke nevnt i offentleglova eller offentlegforskrifta. Departementet foreslår derfor i høringen at det tas inn et nytt presiserende ledd i offentleglova § 30 om dynamiske data.58

En annen viktig presisering fra departementet i høringen er at det legges til grunn at «sosiale potensial» i direktivets artikkel 5. nr. 6 sikter til at dokumentene gjelder befolkningens sosiale behov.

Utvalgets drøfting av dokumentbegrepet framgår av kapittel 9.3.1, og kapittel 9.3.6 om dynamiske data, jf. utvalgets vurdering av gjennomføringen av bestemmelsene om dynamiske data i kapittel 11.6.

5.4.3 Strengere regler om enerettsavtaler og transparens

Åpne data-direktivet utvider kravene til transparens og gjennomgang av eksisterende enerettsavtaler sammenlignet med gjeldende regler fra PSI-direktivet gjennomført i offentleglova § 6 andre ledd, jf. artikkel 12 av åpne data-direktivet. Formålet er å hindre innlåsningseffekter («data lock-in») hvor enkelte brukere får konkurransefortrinn over andre brukere når det blir for kostbart å bytte mellom leverandører eller løsninger. Utgangspunktet er at avtaler om tilgang til offentlige dokumenter ikke skal medføre enerett. Det er viktig å presisere at forbudet mot enerettsavtaler gjelder på tvers av landegrensene. Det betyr at utenlandske aktører skal likebehandles med norske aktører når det gjelder tilgang til data fra norske offentlige organer.

Som før er det fortsatt adgang til å inngå enerettsavtaler der det er nødvendig for å levere en tjeneste i allmennhetens interesse. Utvidelsen av åpne data-direktivets virkeområde, gjør at bestemmelsen nå knytter seg til både offentlige organer og offentlige foretak. Det er viktig å presisere at det først er etter at dokumentene er gjort tilgjengelig for viderebruk at de offentlige foretakene pålegges å overholde reglene om vilkår for viderebruk fastsatt i kapittel IV artikkel 11 og 12 av direktivet, jf. fortalepunkt 26.

En annen innstramming er at juridiske eller praktiske ordninger som ikke uttrykkelig gir enerett, men som har som formål eller som med rimelighet kan forventes å føre til begrenset tilgjengelighet for viderebruk, må offentliggjøres på internett og gjennomgås jevnlig, jf. artikkel 12 nr. 4. Slike ordninger, jf. artikkel 12 nr. 2 andre punktum, og enerettsavtaler med begrunnelse i allmennhetens interesse etablert etter 16. juli 2019, jf. artikkel 12 nr. 4, skal gjøres tilgjengelig på internett minst 2 måneder før de trer i kraft. Det listes ellers opp flere frister i forbindelse med enerettsavtaler i direktivet, men disse er ivaretatt av offentleglova § 6 og alminnelige forvaltningsrettslige prinsipper.

Utvalgets vurderinger om reglene rundt enerettsavtaler framgår av kapittel 13.4.

5.4.4 Strengere gebyrregler for offentlige dokumenter

Åpne data-direktivet artikkel 6 nr. 1 fastsetter prinsippet om at viderebruk av offentlige dokumenter som utgangspunkt skal være gratis. Begrunnelsen er at gebyrer for viderebruk av dokumenter kan utgjøre markedsbarrierer eller en hindring for markedsadgang for nyetablerte foretak og små og mellomstore bedrifter.

Det følger imidlertid av artikkel 6 nr. 1 andre ledd at offentlige organer kan ta gebyrer som dekker marginalkostnaden for tilgjengeliggjøringen. Marginalkostnad omfatter kostnader som påløper ved reproduksjon, utlevering og formidling av dokumenter, anonymisering av personopplysninger og tiltak som treffes for å beskytte kommersielt fortrolige opplysninger, jf. artikkel 6 nr. 1 andre ledd. En endring i forhold til PSI-direktivet er at kostnader ved anonymisering av personopplysninger og tiltak som treffes for å beskytte kommersielt fortrolige opplysninger, kan medregnes som del av marginalkostnaden.

Artikkel 6 nr. 2 bokstav a viderefører unntaket om at offentlige organer kan ta betalt utover grensen for marginalkostnadene for formidling dersom de er forpliktet til å generere inntekter for å dekke en betydelig del av driftskostnadene (inntjeningskrav). Unntaket gjelder også der et offentlig organ har gjort dokumenter tilgjengelige som åpne data, men er forpliktet til å generere inntekter for å dekke en betydelig del av kostnadene knyttet til utføring av andre offentlige oppgaver.59 I sammenheng med at virkeområdet til direktivet utvides til offentlige foretak, innføres det et unntak for offentlige foretak, jf. artikkel 6 nr. 2 bokstav c.

Åpne data-direktivet viderefører ikke det tidligere unntaket i PSI-direktivet artikkel 6 nr. 2 bokstav b, som tillot gebyrer ut over marginalkostnadene for spesifikke dokumenter, selv om det ikke forelå noen forpliktelse til å støtte et offentlig organs (totale) driftsbudsjett.60 Unntaket gjaldt dokumenter hvis innsamling, produksjon, reproduksjon og spredning medførte en forpliktelse hos det offentlige organet til å generere «tilstrekkelige inntekter for å dekke en betydelig del av kostnadene knyttet til dette», jf. det tidligere PSI-direktivet artikkel 6 nr. 2 bokstav b.

Et nytt krav i åpne data-direktivet er at landene må publisere en fullstendig liste på internett over offentlige organer med inntjeningskrav som kan kreve betaling utover marginalkostnaden, jf. artikkel 6 nr. 3. Dette kravet gjelder ikke for offentlige foretak. Kravet vil gjelde i tillegg til de gjeldende transparensforpliktelsene som følger av artikkel 7, som nå også vil gjelde for offentlige foretak.

Utvalgets vurderinger om adgangen til å kreve gebyr framgår av kapittel 12.

5.4.5 Forholdet mellom åpne data-direktivet og databasevernet

Artikkel 1 nr. 6 i åpne data-direktivet regulerer forholdet til databasedirektivet (96/9/EF), og lyder:

«The right for the maker of a database provided for in Article 7(1) of Directive 96/9/EC shall not be exercised by public sector bodies in order to prevent the re-use of documents or to restrict re-use beyond the limits set by this Directive.»

Formuleringen må sees som en klargjøring av det tidligere PSI-direktivet vedrørende forholdet til databasedirektivet, og medfører derfor ikke noen endring av rettstilstanden. Utvalget merker seg likevel konsultasjonsprosessen som ble gjennomført i forkant av at åpne data-direktivet ble vedtatt, og at EU-kommisjonen har anbefalt medlemsstatene at artikkel 1 nr. 6 gjennomføres uttrykkelig i nasjonal lovgivning. Kommisjonen baserer dette behovet på det som oppleves som fragmentering i reguleringen i de forskjellige landene, og ønske om at de harmoniserte reglene i direktivet kommer tydeligere frem i lovgivningen i medlemslandene.61

For utvalgets vurderinger av forholdet mellom viderebruk og databasevernet, se kapittel 17.5.

5.5 Datasett med høy verdi

5.5.1 Innledning

Åpne data-direktivet introduserer et nytt begrep og en mekanisme om såkalte «datasett med høy verdi» (High Value Datasets, HVD). Datasett med høy verdi er i artikkel 2 nr. 10 definert som dokumenter der viderebruk vil være forbundet med viktige fordeler for samfunnet, miljøet og økonomien. Denne typen data er underlagt et særskilt sett med regler i kapittel V av direktivet.

Direktivets vedlegg 1 nevner følgende seks tematiske områder for datasett med høy verdi:

• Geografiske data

• Jordobservasjonsdata og miljødata

• Meteorologiske data

• Statistikk

• Selskapsregister og eierskapsregister

• Mobilitetsdata (transportdata)

Listen over de tematiske områdene som angitt i vedlegg 1, kan utvides. Artikkel 13 nr. 2 gir EU-kommisjonen myndighet til å definere eventuelle nye tematiske områder for datasett med høy verdi gjennom en delegert rettsakt (gjennomføringsrettsakt). Fremgangsmåten for å definere nye tematiske områder følger av artikkel 15 om utøvelse av den delegerte myndigheten. Formålet med å kunne utvide de tematiske områdene er å sikre at regelverket reflekterer teknologisk og markedsmessig utvikling.

5.5.2 Lovmekanisme for utpeking av konkrete datasett med høy verdi

Kriteriene for utvelgelse av konkrete datasett med høy verdi, følger av artikkel 14. Bestemmelsen omhandler også tiltak og ordninger for publisering og viderebruk av de konkrete datasettene. Det følger av artikkel 14 at utvelgelsen av konkrete datasett skal skje ved gjennomføringsrettsakter. Videre skal datasettene som velges ut være:

• gratis tilgjengelig og underlagt reglene i direktivet artikkel 14 nr. 3 til 5,

• maskinlesbare, og

• levert via programmeringsgrensesnitt for applikasjoner (API-er), og når relevant, som massenedlasting (bulknedlasting).

Fortalepunkt 69 presiserer at kravet om at datasett med høy verdi skal være gratis, ikke skal utelukke at offentlige organer kan pålegge gebyrer for tjenester de yter i forbindelse med datasett med høy verdi når de utøver sin myndighet, særlig for å bekrefte at dokumenter er ekte eller riktige.

Gjennomføringsrettsaktene kan omfatte bestemmelser som presiserer ordningene for offentliggjøring og viderebruk av datasettene, men det forutsettes at reglene er i overensstemmelse med kravene til åpne standardlisenser, jf. artikkel 14 nr. 1 tredje ledd. Slike ordninger kan omfatte vilkår for viderebruk, formater for data og metadata og tekniske ordninger for formidling. Direktivet gjør det klart at landenes investeringer i utviklingen av strategier for åpne data, for eksempel i utvikling og innføring av standarder, skal hensyntas og veies opp mot potensielle fordeler ved at datasettene inkluderes i listen, jf. artikkel 14 nr. 1 fjerde ledd.

Identifikasjon av datasettene skal, jf. artikkel 14 nr. 2, baseres på potensialet for at datasettene kan generere sosio-økonomiske eller miljømessige fordeler og innovative tjenester, kan øke nytten for et stort antall brukere med et særlig fokus på små og mellomstore bedrifter, kan bidra til å generere inntekter, og kan kombineres med andre datasett.

EU-kommisjonen opprettet i 2019 en egen komite, åpne datakomiteen (Open Data Committee), som bistår EU-kommisjonen i arbeidet med utvelgelse av konkrete datasett med høy verdi.

5.5.3 HVD-forordningen

Etter konsultasjoner med representanter fra medlemslandene i åpne datakomiteen (med Norge som observatør), vedtok EU-kommisjonen, den 21. desember 2022 den første gjennomføringsrettsakten i henhold til artikkel 13 i direktivet (HVD-forordningen).62

Gjennomføringsrettsakten presiserer konkrete datasett som skal gjøres tilgjengelig for viderebruk i medlemslandene og nærmere regler om hvordan ordninger for offentliggjøring av disse datasettene skal skje. Plikten til å gjøre datasett med høy verdi tilgjengelig for viderebruk ligger hos det enkelte offentlige organet som besitter de konkrete datasettene, og gjelder etter HVD-forordningen ikke for offentlige foretak.

De nærmere materielle kravene og spesifikasjonene for de aktuelle datasettene framgår av et vedlegg til HVD-forordningen i form av en detaljert tabell med tekniske krav for hvert datasett. Kravene er knyttet opp mot en rekke spesifikke EU-rettsakter. Tabellene er inndelt i samsvar med de seks tematiske kategoriene nevnt i vedlegg 1 av åpne data-direktivet. Det er varslet flere slike gjennomføringsrettsakter i fremtiden.

Utvalgets vurdering av den lovtekniske løsningen for HVD-forordningen og etterfølgende gjennomføringsrettsakter om datasett med høy verdi, framgår av kapittel 8.6.5.

6 Endringer med dataforvaltningsforordningen

6.1 Innledning

6.1.1 Generelt om forordningen

Europaparlaments- og rådsforordning (EU) 2022/868 av 30. mai 2022 om europeisk dataforvaltning (dataforvaltningsforordningen) fastsetter regler som skal legge til rette for viderebruk av visse kategorier data fra offentlige organer som ikke kan deles åpent, og en del andre mekanismer for å øke tilliten til datadeling som involverer både private og offentlige aktører.

Dette er en forordning, som skal gjennomføres i norsk rett «som den er». Det skal således ikke gjøres nasjonale tilpasninger ut over det som forordningen selv gir anvisning på. Framstillingen i dette kapittelet tar sikte på å redegjøre for det nærmere innholdet i forordningen.

Dataforvaltningsforordningen regulerer fire ulike forhold, jf. artikkel 1 nr. 1:

• Vilkår for viderebruk av visse kategorier av beskyttede data som innehas av offentlige organer.

• En ramme for tilsyn med dataformidlingstjenester.

• En ramme for frivillig registrering av virksomheter eller andre som samler inn og behandler data som gjøres tilgjengelig for altruistiske formål.

• En ramme for etablering av et europeisk datainnovasjonsråd.

Forordningen innebærer ingen plikt for offentlige organer om å åpne for viderebruk av beskyttede data, og fritar heller ikke offentlige organer fra krav om konfidensialitet eller taushetsplikt (artikkel 1 nr. 2 første ledd). Det presiseres i andre ledd at forordningen viker for:

• Bestemmelser i EU- eller nasjonal lovgivning om tilgang til eller viderebruk av data.

• Plikter etter EU- eller nasjonal lovgivning om å tillate viderebruk eller annen behandling av data som ikke er personopplysninger.

Dataforvaltningsforordningen endrer ikke eventuelle tekniske, administrative eller organisatoriske krav som retter seg mot offentlige organer, dataformidlingstjenester eller anerkjente dataaltruismeorganisasjoner, som følger av sektorspesifikk EU- eller nasjonal lovgivning. Det inkluderer også eventuelle krav til autorisasjons- eller sertifiseringsordninger (artikkel 1 nr. 2 tredje ledd første punktum). Slike spesifikke krav vil komme i tillegg til kravene i dataforvaltningsforordningen. Alle slike tilleggskrav skal være ikke-diskriminerende, forholdsmessige og objektivt begrunnet (andre punktum).

EU- og nasjonale regler om beskyttelse av personopplysninger gjelder uavkortet for behandling av personopplysninger (artikkel 1 nr. 3). Det framgår av bestemmelsen at forordningen viker for europaparlaments- og rådsforordning (EU) 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger (generell personvernforordning, GDPR). Det framgår videre at forordningen også viker for følgende rettsakter: forordning (EU) 2018/1725 om en felles digital portal, direktiv 2002/58/EF (kommunikasjonsverndirektivet), og direktiv (EU) 2016/680 (personverndirektiv for politi og påtalemyndighet).

Den generelle konkurranselovgivningen går foran bestemmelsene i dataforvaltningsforordningen (artikkel 1 nr. 4).

Dataforvaltningsforordningen begrenser ikke den nasjonale kompetansen på områdene samfunnssikkerhet, forsvar og nasjonal sikkerhet (artikkel 1 nr. 5). Sikkerhetslovens krav til samfunnssikkerhet med videre går med andre ord foran kravene i forordningen.

Det foreligger ingen offisiell norsk tekst for forordningen. Utvalget har støttet seg på en tidligere uoffisiell oversettelse av et utkast til forordning, utarbeidet på initiativ av departementet, og på den engelske versjonen av den endelige forordningen.

6.1.2 Oppbyggingen av forordningen

Dataforvaltningsforordningen er delt inn i ni kapitler:

Kapittel I omfatter innledende bestemmelser om virkeområdet og definisjoner.

Kapittel II gjelder tilrettelegging for viderebruk av visse kategorier data fra offentlige organer, som i utgangspunktet er unntatt fra offentlighet (beskyttede data). Hver medlemsstat skal utpeke ett eller flere kompetente organ som skal bistå med tilgjengeliggjøringen. Hver medlemsstat skal utpeke ett felles informasjonspunkt med opplysninger om tilgang til beskyttede data.

Kapittel III fastsetter visse rammer for tilbydere av dataformidlingstjenester. Hver medlemsstat skal utpeke en eller flere tilsynsmyndigheter for dataformidlingstjenester.

Kapittel IV fastsetter visse rammer for de som ønsker å registrere seg som «anerkjent dataaltruismeorganisasjon», dvs. en registreringsordning for aktører som tilrettelegger for noen som på frivillig grunnlag ønsker å tillate deling av egne data (for eksempel egne personopplysninger) for formål av allmenn interesse (deling av data på altruistiske grunnlag). Hver medlemsstat skal utpeke en eller flere tilsynsmyndigheter for anerkjente dataaltruismeorganisasjoner.

Kapittel V fastsetter regler for organiseringen av tilsynsmyndigheter for dataformidlingstjenester og tilsynsmyndigheter for anerkjente dataaltruismeorganisasjoner. Kapittelet omfatter også saksbehandlingsregler for slike tilsynsmyndigheter.

Kapittel VI pålegger kommisjonen å etablere en europeisk ekspertgruppe for datainnovasjon (Data Innovation Board).

Kapittel VII fastsetter regler om deling av data som er omfattet av forordningen, med virksomheter i tredjeland (internasjonal datatilgang).

Kapittel VIII åpner for at kommisjonen kan fastsette delegerte rettsakter for å utfylle forordningen, blant annet nærmere regler om overføring av data til tredjeland utenfor EU/EØS.

Kapittel IX omfatter ulike sluttbestemmelser, inkludert krav om at medlemsstatene fastsetter sanksjonsbestemmelser ved brudd på reglene om registrering av dataformidlingstjenester og dataaltruismeorganisasjoner, og reglene om internasjonal datatilgang.

6.1.3 Definisjoner

Artikkel 2 fastsetter legaldefinisjoner som gjelder forordningen som helhet. Av sammenhengen framgår det at flere definisjoner likevel bare er relevante for deler av forordningen.

Med data (artikkel 2 nr. 1) menes enhver digital framstilling av handlinger, fakta eller informasjon og enhver sammenstilling av slike handlinger, fakta eller informasjon, blant annet i form av lyd- eller bildeopptak eller audiovisuelle opptak. Forordningen bruker ikke begrepet dokument.

Med viderebruk (artikkel 2 nr. 2) menes personers eller rettssubjekters bruk av data som innehas av offentlige organer, for andre kommersielle eller ikke-kommersielle formål enn det opprinnelige formålet dataene ble samlet inn eller produsert for av det offentlige organet. Viderebruk er ikke utveksling av data mellom offentlige organer som utelukkende skjer i forbindelse med deres offentlige oppgaver.

Definisjonen svarer til definisjonen i åpne datadirektivet, men i motsetning til direktivet omfatter ikke forordningsdefinisjonen data som innehas av offentlige foretak.

Begrepet personopplysninger (artikkel 2 nr. 3) er definert ved å vise til definisjonen i den generelle personvernforordningen (GDPR) artikkel 4 nr. 1, dvs.

«enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»)»

Definisjonen er den det samme som etter åpne data-direktivet.

Med andre data enn personopplysninger (artikkel 2 nr. 4) menes andre data enn personopplysninger, som omhandlet i europaparlaments- og rådsforordning (EU) 2018/1807 av 14. november 2018 om en ramme for fri flyt av andre opplysninger enn personopplysninger i Den europeiske union.

Begrepet samtykke fra den registrerte (artikkel 2 nr. 5) er definert ved å vise til definisjonen i GDPR artikkel 4 nr. 11, dvs.

«enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende»

Med tillatelse (artikkel 2 nr. 6) menes det å gi databrukere rett til å behandle andre data enn personopplysninger.

Begrepet den registrerte (artikkel 2 nr. 7) er definert ved å vise til definisjonen i GDPR artikkel 4 nr. 1, dvs.

«en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet»

Med datainnehaver (artikkel 2 nr. 8) menes en juridisk person, inkludert offentlige organ og internasjonale organisasjoner, eller en fysisk person som ikke er den registrerte med hensyn til de relevante angitte dataene, som i samsvar med gjeldende unionsrett eller nasjonal rett har rett til å gi tilgang til eller dele visse personopplysninger eller andre data enn personopplysninger.

Med databruker (artikkel 2 nr. 9) menes en fysisk eller juridisk person som har lovlig tilgang til visse personopplysninger eller andre data enn personopplysninger, som har rett til å bruke disse opplysningene og dataene til kommersielle eller ikke-kommersielle formål.

Med datadeling (artikkel 2 nr. 10) menes tilgjengeliggjøring av data for en databruker, av den registrerte eller datainnehaveren med henblikk på felles eller individuell bruk av dataene, på grunnlag av frivillige avtaler eller unionsrett eller nasjonal rett, direkte eller via en formidler, for eksempel under åpne eller kommersielle lisenser, gratis eller mot vederlag.

Med dataformidlingstjeneste (artikkel 2 nr. 11) menes en tjeneste som har som mål å opprette handelsforbindelser med sikte på datadeling mellom på den ene siden et ubestemt antall registrerte og datainnehavere, og på den andre siden databrukere, gjennom tekniske, juridiske eller andre midler, blant annet for utøvelse av de registrertes rettigheter i forbindelse med personopplysninger, men med unntak for blant annet følgende:

• Tjenester som henter inn data fra datainnehavere, og aggregerer, beriker eller omdanner dataene med sikte på å tilføre dem en betydelig verdi, og utsteder lisenser for bruk av de resulterende dataene til databrukere, uten å opprette en handelsforbindelse mellom datainnehaverne og databrukerne.

• Tjenester som fokuserer på formidling av opphavsrettsbeskyttet innhold.

• Tjenester som utelukkende brukes av én datainnehaver med det formål å muliggjøre bruk av data som vedkommende innehar, eller som brukes av flere rettssubjekter i en lukket gruppe, inkludert leverandør- eller kundeforhold eller avtalefestet samarbeid, særlig det som har som hovedformål å sikre at gjenstander og innretninger knyttet til tingenes internett fungerer slik de skal.

• Dataformidlingstjenester som tilbys av offentlige organer, uten å ha som mål å opprette handelsforbindelser.

Begrepet behandling (artikkel 2 nr. 12) er definert med noe ulik ordlyd for personopplysninger og for andre opplysninger enn personopplysninger. For personopplysninger er begrepet definert ved å vise til definisjonen i GDPR artikkel 4 nr. 2, dvs. som

«enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring»

For andre data enn personopplysninger er begrepet definert ved å vise til definisjonen i forordning (EU) 2018/1807 om en ramme for fri flyt av andre opplysninger enn personopplysninger, artikkel 3 nr. 2, dvs. som

«enhver operasjon eller serie av operasjoner som gjøres med data eller datasett i elektronisk format, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring»

Med tilgang (artikkel 2 nr. 13) menes bruk av data i samsvar med aktuelle tekniske, juridiske eller organisatoriske krav, uten at dette nødvendigvis innebærer overføring eller nedlasting av slike data.

Med hovedsete (artikkel 2 nr. 14) menes stedet der en juridisk person har sin hovedadministrasjon i Unionen.

Med tjenester fra datasamvirke (artikkel 2 nr. 15) menes dataformidlingstjenester som tilbys gjennom en organisasjonsstruktur som består av de registrerte, enkeltpersonforetak eller små og mellomstore bedrifter, og som har som hovedformål å støtte sine medlemmer i utøvelsen av deres rettigheter med hensyn til visse data, inkludert det å treffe velbegrunnede valg før de samtykker til databehandling, og utveksle synspunkter om formålene og vilkårene for databehandling som best ivaretar medlemmenes interesser med hensyn til deres data, eller ved å forhandle vilkår for databehandling på vegne av sine medlemmer før det gis tillatelse til behandling av andre data enn personopplysninger, eller før de gir samtykke til behandling av personopplysninger.

Med dataaltruisme (artikkel 2 nr. 16) menes frivillig deling av data basert på samtykke fra de registrerte til å behandle deres personopplysninger, eller tillatelser fra datainnehavere til å bruke deres andre data enn personopplysninger, uten å søke eller motta en belønning som overstiger kompensasjon for kostnader de pådrar seg ved å gjøre dataene tilgjengelig for formål av allmenn interesse, i samsvar med nasjonal rett når det er relevant, for eksempel helsetjenester, bekjempelse av klimaendringer, forbedre mobilitet, fremme utarbeidelsen av offisielle statistikker, forbedre offentlige tjenester, utforme offentlig politikk eller vitenskapelige forskningsformål av allmenn interesse.

Med offentlig organ (artikkel 2 nr. 17) menes staten, regionale eller lokale myndigheter, offentligrettslige organer eller sammenslutninger dannet av én eller flere slike myndigheter eller ett eller flere slike offentligrettslige organer. Definisjonen er den samme som etter åpne data-direktivet.

Med offentligrettslige organ (artikkel 2 nr. 18) menes organer som har alle følgende kjennetegn: a) De er opprettet for det bestemte formål å imøtekomme allmennhetens behov, ikke behov av industriell eller kommersiell art. b) De er rettssubjekter. c) De er i hovedsak finansiert av staten, regionale eller lokale myndigheter eller andre offentligrettslige organer, eller deres forvaltning er underlagt en av disse myndighetenes eller et av disse organenes tilsyn, eller de har et administrasjons-, ledelses- eller kontrollorgan der over halvparten av medlemmene er utpekt av staten regionale eller lokale myndigheter eller andre offentligrettslige organer. Definisjonen er den samme som etter åpne data-direktivet.

Med offentlige foretak (artikkel 2 nr. 19) menes ethvert foretak der offentlige organer kan utøve direkte eller indirekte dominerende innflytelse som følge av eierskap, økonomisk deltakelse eller de reglene som gjelder for foretaket. Offentlige organer skal forutsettes å ha dominerende innflytelse i alle tilfeller der disse organene direkte eller indirekte a) eier størstedelen av foretakets tegnede kapital, b) kontrollerer et flertall av stemmene som er knyttet til aksjer utstedt av foretaket, c) kan utnevne mer enn halvparten av medlemmene i foretakets administrasjons-, ledelses- eller kontrollorgan. Definisjonen er den samme som etter åpne data-direktivet, men uten noen avgrensning til bestemte virksomhetsområder.

Med sikkert behandlingsmiljø (artikkel 2 nr. 20) menes et fysisk eller virtuelt miljø, samt organisatoriske midler for å sikre samsvar med unionsretten så som forordning (EU) 2016/679 (GDPR), særlig de registrertes rettigheter, immaterielle rettigheter og kommersiell og statistisk fortrolighet, integritet og tilgjengelighet, og som skal gjøre enheten som tilveiebringer det sikre behandlingsmiljøet, i stand til å gi sikker behandling og fastsette og føre tilsyn med alle databehandlingstiltak, inkludert visning, lagring, nedlasting og eksport av dataene og beregning av avledede data ved hjelp av dataalgoritmer.

Med juridisk representant (artikkel 2 nr. 21) menes en fysisk eller juridisk person som er etablert i Unionen. Denne skal være uttrykkelig utpekt til å handle på vegne av en tilbyder av dataformidlingstjenester som ikke er etablert i Unionen, eller på vegne av en enhet som samler inn data for formål av allmenn interesse som fysiske eller juridiske personer har gjort tilgjengelig på grunnlag av dataaltruisme når enheten ikke er etablert i Unionen, og som en kompetent myndighet for dataformidlingstjenester eller for registrering av dataaltruismeorganisasjoner kan henvende seg til i tillegg til eller i stedet for tilbyderen av dataformidlingstjenester når det gjelder pliktene i henhold til denne forordningen, inkludert det å innlede en håndhevingsprosedyre mot en tilbyder av dataformidlingstjenester eller en enhet som ikke oppfyller kravene og som ikke er etablert i Unionen.

6.2 Tilrettelegging for viderebruk av beskyttede data (kapittel II)

6.2.1 Innledning og saklig virkeområde

Dataforvaltningsforordningen kapittel II gjelder tilrettelegging for viderebruk av beskyttede data som innehas av offentlige organ. Det omfatter bestemmelser om:

• forbud mot tildeling av eksklusive rettigheter (artikkel 4)

• vilkår for tilgjengeliggjøring (artikkel 5)

• vederlag for tilgang for viderebruk (artikkel 6)

• utpeking av kompetente organ som skal yte bistand og veiledning med å tillate eller nekte tilgang til slike data (artikkel 7)

• utpeking av et sentralt informasjonspunkt som skal ha oppdatert informasjon om tilgjengelige data, inkludert vilkår for viderebruk og betaling (artikkel 8)

• saksbehandling og klageadgang (artikkel 9)

Virkeområdet framgår av artikkel 3. Dataene som omfattes, er for enkelhet skyld benevnt av utvalget som «beskyttede data». Med det menes data som er beskyttet av hensyn til (artikkel 3 nr. 1):

• kommersiell fortrolighet, inkludert forretnings-, ervervs- og virksomhetshemmeligheter, og driftshemmeligheter

• statistisk fortrolighet

• tredjeparts immaterielle rettigheter

• personvernet i den grad dataene ikke omfattes av virkeområdet til åpne data-direktivet

Reglene om viderebruk etter dataforvaltningsforordningen gjelder ikke for data som (artikkel 3 nr. 2):

• innehas av offentlige foretak

• innehas av organer som utfører allmennkringkasteroppgaver

• innehas av kultur- og utdanningsinstitusjoner

• er beskyttet av hensyn til offentlig sikkerhet, forsvar eller nasjonal sikkerhet

• stilles til rådighet uten at dette omfattes av de berørte offentlige organenes offentlige oppgaver i henhold til lov eller andre bindende regler i den berørte medlemsstaten, eller i mangel av slike regler, som fastsatt i samsvar med vanlig forvaltningspraksis i den aktuelle medlemsstaten, forutsatt at de offentlige oppgavenes virkeområde er gjennomsiktig og kan tas opp til ny vurdering

Som eksempler på kulturinstitusjoner nevnes biblioteker, arkiver og museer, orkestre, operaer, balletter og teatre (fortalepunkt 12).

Bestemmelsene om viderebruk etter forordningen, berører ikke (artikkel 3 nr. 3):

• unionsretten, nasjonal rett eller internasjonale avtaler om vern av data

• unionsretten eller nasjonal rett om tilgang til dokumenter

Reglene i dataforvaltningsforordningen om viderebruk er komplementære til reglene i åpne data-direktivet ved at de to rettsaktene gjelder hver sine typer data. Direktivet gjelder data som er åpne og kan brukes til ethvert formål. Forordningen gjelder viderebruk av «beskyttede data» på vilkår som opprettholder nødvendig skjerming og beskyttelse når dataene viderebrukes.

Viderebruk av personopplysninger må ha nødvendig behandlingsgrunnlag i personopplysningsloven og den generelle personvernforordningen (GDPR). Det gjelder uavhengig om tilgang til opplysningene er gitt etter offentlighetsloven, åpne data-direktivet eller dataforvaltningsforordningen. I hvilken grad et sett persondata faller inn under reglene om viderebruk i direktivet eller forordningen, må vurderes konkret. Dersom det foreligger et lovlig behandlingsgrunnlag som gir grunnlag for åpent viderebruk, reguleres viderebruken etter direktivet. Sensitive personopplysninger vil som regel alltid være beskyttede data, og eventuell viderebruk må behandles etter reglene i forordningen. Anonymiserte personopplysninger er ikke personopplysninger etter GDPR, og faller i utgangspunktet inn under direktivet. Opplysninger som ikke er fullstendig anonymisert (pseudonymiserte data) vil fortsatt være personopplysninger og må ha et behandlingsgrunnlag i GDPR. Hverken direktivet eller forordningen gir i seg selv et rettslig grunnlag for å behandle personopplysninger.

Det framgår av fortalen punkt 9 at medlemsstatene bør oppmuntre offentlige organ til å generere og gjøre beskyttede data tilgjengelig i samsvar med prinsippet om «innebygd åpenhet og åpenhet som standardinnstilling».

6.2.2 Forbud mot tildeling av eksklusive rettigheter

Artikkel 4 setter forbud for offentlige organer mot å inngå enerettsavtaler. Bestemmelsen svarer til en tilsvarende bestemmelse i åpne data-direktivet artikkel 12.

Bestemmelsen (artikkel 4 nr. 1) setter forbud mot å inngå avtaler som uttrykkelig gir en eksklusiv rett til å viderebruke bestemte beskyttede data. Bestemmelsen inneholder også forbud mot avtaler som ikke uttrykkelig gir eksklusivitet, men som har eksklusivitet som formål eller som virkning.

Eksklusive avtaler kan være tillatt når det er berettiget og nødvendig for levering av en tjeneste eller et produkt i allmenn interesse (artikkel 4 nr. 2). Fortalepunkt 13 nevner at dette kan være tilfelle når dette er den eneste måten for å maksimere samfunnsnytten av de aktuelle dataene. Som eksempel nevnes tilfeller der det bare er én aktør som har spesialisert seg på å behandle et bestemt datasett, og som er i stand til å tilby den tjenesten eller levere det produktet som gjør at det aktuelle offentlige organet kan yte en tjeneste eller levere et produkt av allmenn interesse.

En eventuell enerett må gis gjennom et administrativt tiltak eller en avtaleregulert ordning i samsvar med gjeldende unionsrett eller nasjonal rett og i samsvar med prinsippene om transparens, likebehandling og ikke-diskriminering (artikkel 4 nr. 3). Eneretten skal ikke vare lengre enn 12 måneder. Når tildelingen skjer gjennom avtale, skal eneretten ha samme varighet som selve avtalen (artikkel 4 nr. 4). Det framgår av fortalepunkt 13 at enerettsavtaler bør være gjenstand for regelmessig vurdering basert på en markedsanalyse for å avklare om eksklusivitet fortsatt er nødvendig, og være i samsvar med de relevante statsstøttereglene.

Tildelingen av en enerett skal offentliggjøres på internett. Tildelingen skal være transparent, inkludere en begrunnelse for at det er nødvendig å tildele denne eneretten, og være i en form som er i samsvar med unionsretten om offentlige innkjøp (artikkel 4 nr. 5).

Avtaler eller annen praksis som omfattes av enerettsforbudet, og som ble inngått før 23. juni 2022, skal opphøre når kontrakten utløper, og under alle omstendigheter senest den 24. desember 2024 (artikkel 4 nr. 6). Andre datoer vil gjelde for Norge avhengig av når forordningen blir tatt inn i EØS-avtalen.

6.2.3 Vilkår for tilgjengeliggjøring

Artikkel 5 fastsetter vilkår for tilgjengeliggjøring for viderebruk av beskyttede data. Bestemmelsen åpner for å kunne etablere en trygg ramme for viderebruk av beskyttede data.

Offentlige organer som i henhold til nasjonal rett har myndighet til å gi eller nekte tilgang til beskyttede data med henblikk på viderebruk, skal offentliggjøre vilkårene for å tillate slik viderebruk gjennom et sentralt informasjonspunkt. De kan i den forbindelsen bistås av et kompetent organ. Medlemsstatene skal sikre at offentlige myndigheter har tilstrekkelige ressurser til å utføre disse oppgavene (artikkel 5 nr. 1).

Vilkårene for viderebruk skal være ikke-diskriminerende, transparente, forholdsmessige og objektivt begrunnet med hensyn til kategorier av data, formål for viderebruk og arten av dataene som det er tillatt å viderebruke. Vilkårene skal ikke brukes til å begrense konkurransen (artikkel 5 nr. 2).

Det framgår av fortalepunkt 15 at vilkårene bør utformes slik at de fremmer tilgangen for små og mellomstore bedrifter og nystartede bedrifter. Vilkårene skal tjene brukernes interesser uten å føre til en uforholdsmessig belastning for de offentlige organene. Vilkårene bør begrenses til det som er nødvendig for å:

• Bevare tredjeparts rettigheter og interesser i dataene,

• beskytte integriteten til den enkelte datainnehaverens informasjonsteknologi og kommunikasjonssystem, og

• sikre effektive sikkerhetstiltak for å beskytte personlig informasjon.

Det framgår av det samme fortalepunktet at vilkårene bør utformes på en måte som fremmer vitenskapelig forskning. Slike begunstigelser skal i utgangspunktet anses å være ikke-diskriminerende.

Offentlige organer skal i samsvar med unionsretten og nasjonal rett sikre at dataene fortsatt blir vernet (artikkel 5 nr. 3). Det kan inkludere følgende krav:

• Tilgang til viderebruk av data skal bare gis når det offentlige organet, eller det kompetente organet etter anmodning, har sikret at

  • persondata er blitt anonymisert

  • kommersielt fortrolig informasjon, inkludert forretningshemmeligheter eller innhold som er beskyttet av immaterielle rettigheter, er blitt endret, aggregert eller behandlet ved hjelp av en annen metode for kontroll med tilgjengeliggjøringen.

• Tilgang til og viderebruk av data via fjerntilgang skal skje i et sikkert behandlingsmiljø stilt til rådighet eller kontrollert av det offentlige organet.

• Dersom fjerntilgang ikke kan tillates uten at tredjeparters rettigheter og interesser settes i fare, skal tilgang og viderebruk av data skje i de fysiske lokalene der det sikre behandlingsmiljøet befinner seg.

Det framgår av fortalepunkt 7 at persondata kan viderebrukes i sikre behandlingsmiljøer hvis datainnehaver i forkant har gjennomført en vurdering av personvernkonsekvenser (Data Protection Impact Assessment, DPIA) og avklart den i henhold til artikkel 35 og 36 i GDPR. Det forutsetter at risikoen for registrertes rettigheter og interesser er svært liten, etter at det er iverksatt foreslåtte tiltak for risikoreduksjon.

Viderebruk innenfor et sikkert behandlingsmiljø kan være en god ordning for viderebruk av pseudonymiserte data. Dataanalyser i slike behandlingsmiljøer bør overvåkes av datainnehaveren for å beskytte tredjeparters rettigheter og interesser (fortalepunkt 15 andre ledd).

Dersom viderebruk tillates, skal det offentlige organet fastsette vilkår som ivaretar integriteten til de tekniske systemenes funksjon i det sikre behandlingsmiljøet som brukes. Det offentlige organet skal ha rett til å kontrollere prosessen, metodene og eventuelle resultater av viderebrukerens behandling for å bevare dataenes integritet og beskyttelse, og ha rett til å forby bruk av resultater som inneholder informasjon som setter tredjeparters rettigheter og interesser i fare. Beslutningen om å forby viderebruk av resultatet skal være forståelig og transparent for viderebrukeren (artikkel 5 nr. 4).

Hva som er et sikkert behandlingsmiljø i henhold til forordningen, framgår av definisjonen i artikkel 2 nr. 20.

Det presiseres i fortalepunkt 15 andre ledd at personopplysninger ikke må overføres til en tredjepart for viderebruk uten at det finnes et grunnlag etter GDPR som tillater slik overføring, jf. GDPR artikkel 5, 6 og 9. Det framgår videre av fortalen samme sted at overføring av ikke-personlige data forutsetter at disse ikke skal kombineres på en måte som identifiserer personer. Dette gjelder også pseudonymiserte data. Det framgår videre at offentlige organer bør legge til rette for samtykke- og tillatelsesløsninger for tilgang til beskyttede data når det er hensiktsmessig. Dette kan gjøres ved å etablere tekniske mekanismer, som gjør det praktisk mulig for viderebrukere å sende forespørsler til rettighetshavere om samtykke eller tillatelse. Det understrekes i samme fortalepunkt at offentlige organ ikke bør gi kontaktinformasjon som gjør at viderebrukere kan kontakte registrerte personer eller rettighetshavere direkte. Det offentlige organet må sørge for at den registrerte eller datainnehaveren blir tydelig informert om muligheten for å nekte samtykke eller tillatelse.

Med mindre nasjonal rett fastsetter spesifikke krav til fortrolighet, skal det offentlige organet gjøre bruken av dataene betinget av at viderebrukeren overholder plikten til å beskytte dataene mot utlevering som setter tredjeparters rettigheter og interesser i fare. Det skal være forbudt for viderebrukere å gjenidentifisere de registrerte som dataene gjelder. Viderebrukerne skal treffe tekniske og operasjonelle tiltak for å hindre gjenidentifisering, og underrette det offentlige organet om brudd på datasikkerheten som kan føre til gjenidentifisering av de berørte registrerte. Viderebrukeren skal uten unødig opphold, eventuelt med bistand fra det offentlige organet, underrette de juridiske personene hvis rettigheter kan bli påvirket dersom det forekommer uautorisert viderebruk av andre data enn personopplysninger (artikkel 5 nr. 5).

Dersom viderebruk ikke kan tillates i samsvar med forpliktelsene fastsatt i nr. 3 og 4, og det ikke foreligger noe rettslig grunnlag for overføring av persondata i henhold til GDPR, skal det offentlige organet gjøre sitt beste, i den grad det er tillatt i unionsretten og nasjonal rett, for å bistå potensielle viderebrukere med å innhente samtykke fra de registrerte eller tillatelse fra datainnehaverne hvis rettigheter og interesser kan bli påvirket av slik viderebruk, når det er mulig uten uforholdsmessig store byrder for det offentlige organet (artikkel 5 nr. 6).

Det offentlige organet kan i forbindelse med denne oppgaven bistås av et kompetent organ nevnt i artikkel 7 nr. 1.

Viderebruk av data skal bare tillates i samsvar med immaterielle rettigheter. Retten til å utnytte databaser etter artikkel 7 nr. 1 i direktiv 96/9/EF (databasedirektivet), skal ikke utøves av offentlige organer for å hindre viderebruk av data eller begrense viderebruk utover de grensene som er fastsatt i denne forordningen (artikkel 5 nr. 7).63

Når dataene det anmodes om, anses som fortrolige i samsvar med unionsretten eller nasjonal rett om fortrolig behandling av kommersielle eller statistiske opplysninger, skal det offentlige organet sikre at den fortrolige informasjonen ikke utleveres som følge at viderebruk tillates, med mindre slik viderebruk er tillatt i samsvar med nr. 6 (artikkel 5 nr. 8).

Når en viderebruker har til hensikt å overføre andre data enn personopplysninger til et tredjeland, skal vedkommende underrette det offentlige organet om hensikten samt om formålet med overføringen. Ved viderebruk i samsvar med nr. 6 skal viderebrukeren, eventuelt med bistand fra det offentlige organet, underrette den juridiske personen hvis rettigheter og interesser kan bli påvirket, om formålet og egnede sikkerhetstiltak. Det offentlige organet skal ikke tillate viderebruken med mindre den juridiske personen tillater overføringen (artikkel 5 nr. 9).

Offentlige organer skal overføre andre fortrolige data enn personopplysninger eller data som er beskyttet av immaterielle rettigheter, til en viderebruker som har til hensikt å overføre dataene til et annet tredjeland enn det landet som er utpekt i samsvar med nr. 12, bare dersom viderebrukeren i avtale forplikter seg til å (artikkel 5 nr. 10):

• Overholde forpliktelsene pålagt i samsvar med nr. 7 og 8, også etter at dataene er overført til tredjelandet, og

• anerkjenne jurisdiksjonen til domstolene i det overførende offentlige organets medlemsstat med hensyn til eventuelle tvister om overholdelse av nr. 7 og 8.

Offentlige organer skal, når det er relevant og i den grad de har kapasitet til det, gi veiledning og støtte til viderebrukere i forbindelse med oppfyllelse av forpliktelsene nevnt i nr. 10. For å støtte offentlige organer og viderebrukere kan Kommisjonen vedta gjennomføringsrettsakter som fastsetter standard avtalevilkår for å oppfylle forpliktelsene nevnt i nr. 10. Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 33 nr. 3 (artikkel 5 nr.11).

Når det kan begrunnes ut fra et betydelig antall anmodninger fra hele Unionen om viderebruk av andre data enn personopplysninger i bestemte tredjeland, kan Kommisjonen vedta gjennomføringsrettsakter der det fastsettes at den rettslige rammen og rammene for tilsyn og håndheving i en tredjestat (artikkel 5 nr. 12):

• Sikrer vern av immaterielle rettigheter og forretningshemmeligheter på en måte som i all hovedsak svarer til det vernet som sikres i henhold til unionsretten,

• anvendes og håndheves på en effektiv måte, og

• omfatter effektive rettsmidler.

Disse gjennomføringsrettsaktene skal vedtas i samsvar med undersøkelsesprosedyren nevnt i artikkel 33 nr. 3.

Det framgår av fortalepunkt 21 at Kommisjonen bør vurdere behovet for å vedta slike gjennomføringsrettsakter på grunnlag av opplysningene framlagt av medlemsstatene gjennom den europeiske ekspertgruppen for datainnovasjon (Data Innovation Board). Slike gjennomføringsrettsakter vil forsikre offentlige organer om at viderebruk av data som innehas av offentligheten i det berørte tredjelandet, ikke vil utgjøre en fare for fortsatt vern av dataene. Når beskyttelsesnivået i tredjeland vurderes, bør det særlig tas hensyn til relevant lovgivning, både generell og sektorspesifikk, blant annet om offentlig sikkerhet, forsvar, nasjonal sikkerhet og strafferett, om tilgang til og vern av andre data enn personopplysninger, eventuell tilgang til dataene som overføres for offentlige myndigheter i det aktuelle tredjelandet. Videre, bør det vurderes hvorvidt det i tredjelandet finnes en eller flere effektivt fungerende uavhengige tilsynsmyndigheter med ansvar for å sikre og håndheve den rettslige ordningen som sikrer tilgang til slike data, eller tredjelandenes internasjonale forpliktelser med hensyn til vern av data som det berørte tredjelandet har inngått, eller andre forpliktelser som følge av rettslig bindende konvensjoner eller instrumenter, eller gjennom deltakelse i multilaterale eller regionale systemer. I forbindelse med overføring av andre data enn personopplysninger til et tredjeland er det viktig at det i det aktuelle tredjelandet finnes effektive rettsmidler for datainnehavere, offentlige organer eller tilbydere av dataformidlingstjenester. Beskyttelsestiltakene bør derfor omfatte tilgang til rettigheter og effektive rettsmidler som kan håndheves. Gjennomføringsrettsaktene skal ikke berøre eventuelle rettslige forpliktelser eller avtaleregulerte ordninger som en viderebruker allerede har inngått for å sikre fortsatt vern av andre data enn personopplysninger, særlig industridata, eller offentlige organers rett til å pålegge viderebrukere å overholde vilkårene for viderebruk i samsvar med denne forordningen.

Særlige unionsrettsakter vedtatt i samsvar med en regelverksprosedyre kan anse visse kategorier av andre data enn personopplysninger som innehas av offentlige organer, for å være svært sensitive med henblikk på denne artikkelen, når overføring av dem til tredjeland kan sette Unionens politiske mål, for eksempel sikkerhet og folkehelse, i fare, eller kan føre til risiko for gjenidentifisering av andre anonymiserte data enn personopplysninger. Dersom en slik rettsakt vedtas, skal Kommisjonen vedta delegerte rettsakter i samsvar med artikkel 32 som utfyller denne forordningen, ved å fastsette særlige vilkår som gjelder overføringene av slike data til tredjeland. Disse vilkårene skal baseres på arten av de kategoriene av andre data enn personopplysninger som angis i den bestemte unionsrettsakten, og årsakene til at de anses for å være svært sensitive, og de skal være ikke-diskriminerende og begrenset til det som er nødvendig for å oppnå de offentlige politiske målene angitt i unionsrettsakten, for eksempel sikkerhet og folkehelse, samt på risikoen for gjenidentifisering av anonymiserte data i samsvar med Unionens internasjonale forpliktelser. Unionsrettsakten kan omfatte vilkår for overføring eller tekniske ordninger i denne henseende begrensninger for viderebruk av data i tredjeland eller hvilke kategorier av personer som har rett til å overføre slike data til tredjeland, eller i særlige tilfeller begrensninger med hensyn til overføringer til tredjeland (artikkel 5 nr. 13).

Den som har fått tillatelse til å viderebruke andre data enn personopplysninger, kan i henhold til artikkel 5 nr 14 bare overføre dataene til tredjeland som oppfyller kravene angitt i artikkel 5 nr. 10, 12 og 13.

6.2.4 Vederlag for tilgang til data for viderebruk

Artikkel 6 har bestemmelser om vederlag for tilgang til beskyttede data.

Offentlige organer som tillater viderebruk av beskyttede data, kan kreve gebyr. Gebyrene skal være ikke-diskriminerende, forholdsmessige og objektivt begrunnede og skal ikke begrense konkurransen (artikkel 6 nr. 1 og 2). Gebyrene skal beregnes på grunnlag av kostnadene forbundet med å behandle anmodninger om viderebruk, og begrenses til de nødvendige kostnadene som påløper (artikkel 6 nr. 5) for:

• Reproduksjon, utlevering og formidling av data,

• klarering av rettigheter,

• anonymisering eller andre former for bearbeiding av personopplysninger og kommersielt fortrolige data, jf. artikkel 5 nr. 3,

• opprettholdelse av et sikkert behandlingsmiljø,

• erverv av retten til å tillate viderebruk fra tredjeparter utenfor den offentlige sektoren,

• bistand til viderebrukere med å innhente samtykke fra de registrerte og tillatelse fra datainnehavere hvis rettigheter og interesser kan bli påvirket av slik viderebruk.

Det framgår av bestemmelsen at:

• Det er opp til vedkommende offentlige organ å bestemme om det skal tas betaling eller ei.

• Betaling kan kreves etter arten av data, og kan kreves av et offentlig organ uavhengig av finansieringsgrunnlaget for organet.

• Eventuelle gebyr kan dekke alle kostnader forbundet med tilgjengeliggjøringen av dataene, både faste og variable kostnader.

• Eventuelle gebyrer kan ikke dekke kostnader med etablering og forvaltning av dataene.

Kriteriene og metoden for beregning av gebyrene skal fastsettes av medlemsstatene og offentliggjøres. Det offentlige organet skal offentliggjøre en beskrivelse av de viktigste kostnadskategoriene og reglene som er brukt til fordeling av kostnadene (artikkel 6 nr. 6).

Eventuelle gebyrer skal kunne betales på nettet via allment tilgjengelige betalingstjenester over landegrensene, uten forskjellsbehandling basert på hvor yteren av betalingstjenesten er etablert, hvor betalingsinstrumentet er utstedt eller hvor betalingskontoen befinner seg (artikkel 6 nr. 3).

Offentlige organer som krever gebyrer, skal treffe tiltak for å stimulere til viderebruk for ikke-kommersielle formål som vitenskapelig forskning, og for små og mellomstore bedrifter og nyetablerte foretak, i samsvar med reglene for statsstøtte. Offentlige organ kan i den forbindelse gjøre dataene tilgjengelige rabattert eller vederlagsfritt, særlig for små og mellomstore bedrifter og nyetablerte foretak, sivilsamfunnet og utdanningsinstitusjoner. Offentlige organ kan for dette formålet opprette en liste over kategorier av viderebrukere som data kan gjøres tilgjengelig for rabattert eller vederlagsfritt. Denne listen skal offentliggjøres sammen med kriteriene som er benyttet for å opprette den (artikkel 6 nr. 4).

Av fortalepunkt 25 framgår det at «vitenskapelige forskningsformål» i denne sammenheng omfatter alle typer forskningsrelaterte formål uavhengig av hvilken organisatorisk eller økonomiske struktur vedkommende forskningsinstitusjon har. Dette omfatter imidlertid ikke forskning som drives av en virksomhet med sikte på å utvikle, forbedre eller optimalisere produkter eller tjenester.

6.2.5 Nasjonale kompetente organer for deling av beskyttede data fra det offentlige

Artikkel 7 har bestemmelser om utpeking av kompetente organ som skal yte bistand og veiledning med å tillate eller nekte tilgang til beskyttede data.

Medlemsstatene skal utpeke ett eller flere slike kompetente organer som skal bistå offentlige organer som gir tilgang for viderebruk av beskyttede data. Medlemsstatene kan opprette nye organer som kan være sektorspesifikke, benytte eksisterende organer eller interne tjenester som oppfyller vilkårene i denne forordningen (artikkel 7 nr. 1).

Kompetente organer kan også få i oppgave å gi tilgang for viderebruk av beskyttede data i henhold til unionsretten eller nasjonal rett (artikkel 7 nr. 2 første punktum).

Når et organ gir eller nekter tilgang til beskyttede data, får artikkel 4, 5, 6 og 9 anvendelse (artikkel 7 nr. 2 andre punktum). Organet har med andre ord ingen myndighet til å fravike bestemmelsene om viderebruk som er fastsatt i dataforvaltningsforordningen.

Det kompetente organet skal ha tilstrekkelig juridiske, finansielle, tekniske og menneskelige ressurser til å utføre de oppgavene det har fått tildelt, inkludert nødvendige tekniske kunnskaper til å kunne overholde relevant unionsrett eller nasjonal rett om ordningene for tilgang til beskyttede data (artikkel 7 nr. 3).

Det kompetente organet skal ved behov (artikkel 7 nr. 4) gi offentlige organer:

• Teknisk støtte ved å stille til rådighet et sikkert behandlingsmiljø for tilgang til data med henblikk på viderebruk,

• veiledning og teknisk støtte om hvordan data best kan organiseres og lagres for å gjøre dem lett tilgjengelig,

• teknisk støtte til pseudonymisering og til å sikre at databehandling skjer på en måte som effektivt ivaretar personvernet, fortrolighet, integriteten og tilgjengeligheten til dataene, herunder mekanismer for anonymisering, generalisering, undertrykking og randomisering av personopplysninger, eller andre avanserte teknikker for å ivareta personvernet, og fjerning av kommersielt fortrolig informasjon, inkludert forretningshemmeligheter eller innhold som er beskyttet av immaterielle rettigheter,

• bistand slik at de kan støtte viderebrukere med å innhente samtykke fra registrerte eller tillatelse fra datainnehavere, inkludert om rettsgrunnlaget der databehandlingen etter planen skal finne sted,

• bistand med å innføre tekniske mekanismer som gjør det mulig å videresende anmodninger om samtykke fra viderebrukere når det er praktisk mulig,

• bistand med å vurdere om de tilsagnene en viderebruker har gitt, er tilstrekkelige i henhold til artikkel 5 nr. 10.

Medlemsstatene hadde frist 24. september 2023 om å underrette Kommisjonen om identiteten til de utpekte kompetente organene, og deretter om eventuelle endringer (artikkel 7 nr. 4). En annen dato vil gjelde for Norge avhengig av når forordningen blir tatt inn i EØS-avtalen.

6.2.6 Opprettelse av sentralt informasjonspunkt

Artikkel 8 har bestemmelser om utpeking av et sentralt informasjonspunkt for informasjon om tilgjengelige beskyttede data, inkludert vilkår for viderebruk og betaling.

Medlemsstatene skal sikre at all relevant informasjon om anvendelsen av artikkel 5 og 6 er tilgjengelig og lett å få tilgang til via et sentralt informasjonspunkt som kan være knyttet til sektorielle, regionale og lokale informasjonspunkter. Funksjonene til et sentralt informasjonspunkt kan være automatisert. Medlemsstatene kan enten opprette et nytt informasjonspunkt eller benytte eksisterende strukturer (artikkel 8 nr. 1).

Det sentrale informasjonspunktet skal ha kompetanse til å motta anmodninger om viderebruk av beskyttede data, og dersom det er mulig og hensiktsmessig med automatiserte måter, overføre dem til vedkommende offentlige organ eller kompetente organer (artikkel 7) alt etter hva som er relevant. Det sentrale informasjonspunktet skal publisere elektronisk en liste over informasjonskilder. Listen skal inneholde en oversikt over alle tilgjengelige dataressurser. Når det er relevant, skal listen omfatte de dataressursene som er tilgjengelige i sektorielle, regionale og lokale informasjonspunkter, med relevant informasjon som beskriver de tilgjengelige dataene, og i det minste dataformatet og datastørrelsen samt vilkårene for å kunne viderebruke dataene (artikkel 8 nr. 2).

Det framgår av fortalepunkt 26 at formålet med etableringen av et slikt sentralt informasjonspunkt, er å gi insentiver til viderebruk av beskyttede data som innehas av offentlige organer. Det sentrale informasjonspunktet skal fungere som kontaktpunkt for de som søker å viderebruke beskyttede data. Informasjonspunktet bør ha et sektorovergripende oppdrag, og kan om nødvendig utfylle ordninger på sektor- eller lokalt nivå.

Det sentrale informasjonspunktet kan opprette en separat, forenklet og godt dokumentert informasjonskanal for små og mellomstore bedrifter og nyetablerte selskaper, som ivaretar deres behov og kapasitet når disse ber om viderebruk av beskyttede data (artikkel 8 nr. 3).

Kommisjonen skal opprette et sentralt europeisk tilknytningspunkt som tilbyr et søkbart elektronisk dataregister som er tilgjengelig gjennom de nasjonale sentrale informasjonspunktene, samt ytterligere opplysninger om hvordan man ber om data gjennom disse sentrale informasjonspunktene (artikkel 8 nr. 4).

6.2.7 Saksbehandling og klageadgang

Artikkel 9 omfatter bestemmelser om saksbehandling og klage.

Det offentlige organet eller det kompetente organet skal ta stilling til anmodninger om viderebruk av beskyttede data innen to måneder etter datoen da anmodningen ble mottatt med mindre det er fastsatt kortere frister i samsvar med nasjonal rett. Ved særdeles omfattende og komplekse anmodninger kan denne perioden utvides med høyst 30 dager. I slike tilfeller skal søkeren underrettes så snart som mulig om at det kreves mer tid for å behandle anmodningen sammen med en begrunnelse for dette (artikkel 9 nr. 1).

Enhver som påvirkes direkte av en beslutning i samsvar med nr. 1, skal ha en effektiv klageadgang i den medlemsstaten der det relevante organet befinner seg. Klageretten skal være fastsatt i nasjonal rett og omfatte muligheten til prøving ved en upartisk klageinstans med nødvendig ekspertise, for eksempel nasjonal konkurransemyndighet, relevant myndighet for dokumenttilgang, tilsynsmyndigheten opprettet i samsvar med GDPR eller en nasjonal tvistemyndighet, hvis beslutninger er bindende for vedkommende organ (artikkel 9 nr. 2).

6.3 Dataformidlingstjenester (kapittel III)

6.3.1 Innledning og saklig virkeområde

Dataforvaltningsforordningen kapittel III har bestemmelser om dataformidlingstjenester. Det inkluderer bestemmelser om:

• En nærmere spesifisering av virkeområdet (artikkel 10 og 15).

• Meldeplikt for dataformidlingstjenester (artikkel 11).

• Vilkår for å tilby dataformidlingstjenester (artikkel 12).

• Tilsyn med dataformidlingstjenester (artikkel 13 og 14).

Dataformidlingstjenester er som nevnt tjenester som har til formål å etablere kommersiell utveksling av data mellom brukere av data på den ene siden, og på den andre siden et ubestemt antall datainnehavere eller fysiske personer som er registrert med personopplysninger («registrerte»). Blant annet omfattes ikke tjenester for dataformidling som tilbys av offentlige organer, som ikke har som mål å opprette handelsforbindelser.

Virkeområdet presiseres ytterligere (artikkel 10) ved at kravene gjelder følgende dataformidlingstjenester:

• a. formidlingstjenester mellom datainnehavere og potensielle databrukere, inkludert det å stille til rådighet tekniske eller andre midler for å muliggjøre slike tjenester. Slike tjenester kan omfatte bilateral eller multilateral utveksling av data eller opprettelse av plattformer eller databaser som muliggjør utveksling eller felles bruk av data, samt opprettelse av annen særlig infrastruktur for å kople sammen datainnehavere og databrukere

• b. formidlingstjenester mellom de registrerte som ønsker å gjøre sine personopplysninger tilgjengelig, eller fysiske personer som ønsker å gjøre andre data tilgjengelig, og potensielle databrukere, inkludert det å gjøre tilgjengelig tekniske eller andre midler for å muliggjøre slike tjenester, og særlig for å utøve de registrertes rettigheter fastsatt i GDPR

• c. tjenester fra datasamvirke.

Med tjenester for datasamvirke menes dataformidlingstjenester som er organisert som et samvirke mellom individuelle rettighetshavere til data, og som har som hovedformål å støtte medlemmenes utøvelse av sine rettigheter, jf. den mer presise definisjonen i artikkel 2 nr. 15.

I tillegg presiseres det i artikkel 15 at kapittelet ikke får anvendelse på anerkjente dataaltruismeorganisasjoner med mindre disse har som mål å opprette handelsforbindelser mellom databrukere på den ene siden, og et ubestemt antall registrerte personer og datainnehavere på den andre siden. Tilsvarende gjelder for andre ideelle enheter i den grad deres aktiviteter består av å samle inn data for formål av allmenn interesse som gjøres tilgjengelig av fysiske eller juridiske personer på grunnlag av dataaltruisme.

Dette er omtalt på følgende måte i fortalepunktt 28:

«This Regulation should cover services which aim to establish commercial relationships for the purposes of data sharing between an undetermined number of data subjects and data holders on the one hand and data users on the other, through technical, legal or other means, including for the purpose of exercising the rights of data subjects in relation to personal data. Where undertakings or other entities offer multiple data-related services, only the activities which directly concern the provision of data intermediation services should be covered by this Regulation. The provision of cloud storage, analytics, data sharing software, web browsers, browser plug-ins or email services should not be considered to be data intermediation services within the meaning of this Regulation, provided that such services only provide technical tools for data subjects or data holders to share data with others, but the provision of such tools neither aims to establish a commercial relationship between data holders and data users nor allows the data intermediation services provider to acquire information on the establishment of commercial relationships for the purposes of data sharing. Examples of data intermediation services include data marketplaces on which undertakings could make data available to others, orchestrators of data sharing ecosystems that are open to all interested parties, for instance in the context of common European data spaces, as well as data pools established jointly by several legal or natural persons with the intention to license the use of such data pools to all interested parties in a manner that all participants that contribute to the data pools would receive a reward for their contribution.

This would exclude services that obtain data from data holders and aggregate, enrich or transform the data for the purpose of adding substantial value to it and license the use of the resulting data to data users, without establishing a commercial relationship between data holders and data users. This would also exclude services that are exclusively used by one data holder in order to enable the use of the data held by that data holder, or that are used by multiple legal persons in a closed group, including supplier or customer relationships or collaborations established by contract, in particular those that have as a main objective to ensure the functionalities of objects and devices connected to the Internet of Things.»

6.3.2 Meldeplikt for tilbydere av dataformidlingstjenester

Artikkel 11 har regler om meldeplikt for tilbydere av dataformidlingstjenester.

Enhver som har til hensikt å tilby dataformidlingstjenester som nevnt i artikkel 10, skal sende melding om dette til tilsynsmyndigheten for dataformidlingstjenester (artikkel 11 nr. 1). Tilbyderen kan starte virksomheten når meldingen er sendt (artikkel 11 nr. 4). Meldingen gir rett til å tilby dataformidlingstjenester i alle medlemsstater (artikkel 11 nr. 5).

Meldingen skal inneholde følgende opplysninger (artikkel 11 nr. 6):

• Navnet på tilbyderen,

• tilbyderens rettslige status og form, eierstruktur og relevante datterselskaper, samt registreringsnummer dersom tilbyderen er registrert i et handelsregister eller et annet lignende offentlig register,

• adressen til tilbyderens hovedvirksomhet i Unionen og eventuelle filialer i en annen medlemsstat, eller til den juridiske representanten utpekt i henhold til nr. 3,

• et nettsted der fullstendig og oppdatert informasjon om tilbyderen og aktivitetene finnes

• tilbyderens kontaktopplysninger,

• en beskrivelse av den tjenesten tilbyderen har til hensikt å tilby, og hvilke kategorier i henhold til artikkel 9 nr. 1 slike tjenester omfattes av,

• anslått dato for oppstart av virksomheten.

Tilbydere av dataformidlingstjenester skal underrette tilsynsmyndigheten om alle endringer i informasjonen innen 14 dager etter at endringen fant sted (artikkel 11 nr. 12). Dersom en tilbyder av dataformidlingstjenester innstiller sin virksomhet, skal den innen 15 dager underrette den relevante tilsynsmyndigheten (artikkel 11 nr. 13).

En tilbyder av dataformidlingstjenester som er etablert i flere enn én medlemsstat, anses å falle inn under jurisdiksjonen i den medlemsstaten der tilbyderen har sin hovedvirksomhet, uten at dette berører unionsretten som regulerer erstatningssøksmål over landegrensene og saksanlegg i den forbindelse (artikkel 11 nr. 2).

En tilbyder av dataformidlingstjenester som ikke er etablert i Unionen, skal utpeke en juridisk representant i en av medlemsstatene der disse tjenestene tilbys. For å sikre at forordningen overholdes, skal tilbyderen gi den juridiske representanten fullmakt til å være den som tilsynsmyndigheter, de registrerte og datainnehavere kan henvende seg til i alle spørsmål knyttet til dataformidlingstjenestene som leveres. Den juridiske representanten skal samarbeide med og på anmodning dokumentere for tilsynsmyndighetene hvilke tiltak som er truffet, og hvilke bestemmelser tilbyderen har innført for å sikre at forordningen overholdes. Tilbyderen skal anses å være underlagt jurisdiksjonen i den medlemsstaten der den juridiske representanten befinner seg. Når tilbyderen utpeker en representant, skal dette ikke berøre eventuelle rettslige skritt mot tilbyderen selv (artikkel 11 nr. 3).

Tilsynsmyndigheten for dataformidlingstjenester skal sikre at framgangsmåten for melding er ikke-diskriminerende og ikke vrir konkurransen (artikkel 11 nr. 7).

På anmodning fra tilbyderen av dataformidlingstjenester skal tilsynsmyndigheten innen en uke etter at meldingen er fullstendig utfylt, utstede en standardisert erklæring som bekrefter at tilbyderen av dataformidlingstjenester har sendt inn meldingen nevnt i henhold til kravene (artikkel 11 nr. 8).

På anmodning fra tilbyderen av dataformidlingstjenester skal tilsynsmyndigheten bekrefte at tilbyderen overholder artikkel 11 og 12. Etter at tilbyderen har mottatt bekreftelsen, kan tilbyderen i skriftlig og muntlig kommunikasjon benytte betegnelsen «leverandør av dataformidlingstjenester som er anerkjent i Unionen» og en felles logo (artikkel 11 nr. 9 første ledd).

Tilbydere av dataformidlingstjenester som er anerkjent i Unionen, skal på en tydelig måte vise den felles logoen på alle nettbaserte og andre publikasjoner om sine dataformidlingsaktiviteter (artikkel 11 nr. 9 andre ledd).

Kommisjonen skal i gjennomføringsrettsakter fastsette en design for en felles logo for å sikre at tilbydere av dataformidlingstjenester som er anerkjent i Unionen, lett kan identifiseres i hele Unionen (artikkel 11 nr. 9 andre og tredje ledd). Rettsaktene skal vedtas etter rådgivningsprosedyren, jf. artikkel 33 nr. 2. En slik rettsakt foreligger i form av Kommisjonens gjennomføringsrettsakt (EU) 2023/1622 av 9. august 2023 om utforming av felles logoer til identifikasjon av tilbyder av dataformidlingstjenester og av dataaltruismeorganisasjon som er anerkjent i Unionen.

Tilsynsmyndigheten for dataformidlingstjenester skal underrette Kommisjonen elektronisk om alle nye meldinger. Kommisjonen skal føre et offentlig register over alle tilbydere av dataformidlingstjenester som leverer tjenester i Unionen, med opplysninger om tjenestene tilbyderen har til hensikt å tilby (artikkel 9 nr. 10).

Tilsynsmyndigheten for dataformidlingstjenester kan kreve gebyrer for meldingen, som fastsatt i nasjonal rett. Slike gebyrer skal være forholdsmessige og objektive, og skal være basert på tilsynsmyndighetens kostnader knyttet til administrasjon, tilsyn med at kravene oppfylles og andre markedskontrollaktiviteter i forbindelse med meldinger om dataformidlingstjenester. Tilsynsmyndigheten kan la små og mellomstore bedrifter og nyetablerte foretak sende meldinger vederlagsfritt eller til rabattert pris (artikkel 9 nr. 11).

Tilsynsmyndigheten skal uten opphold underrette Kommisjonen elektronisk om alle endringsmeldinger etter nr. 12 og 13. Kommisjonen skal i samsvar med dette oppdatere registeret over dataformidlingstjenester i Unionen (artikkel 9 nr. 14).

6.3.3 Krav til tilbyder dataformidlingstjenester

Artikkel 12 inneholder krav til tilbydere av dataformidlingstjenester.

Følgende vilkår gjelder for å kunne tilby dataformidlingstjenester nevnt i artikkel 10 (artikkel 12 nr. 1):

• Tilbyderen av dataformidlingstjenester kan ikke bruke dataene som den tilbyr tjenester for, til andre formål enn å stille dem til rådighet for databrukere. Tilbyderen skal levere tjenestene gjennom en egen juridisk person (bokstav a).

• De kommersielle vilkårene for levering av dataformidlingstjenester til en datainnehaver eller databruker, inkludert prisfastsettelse, må ikke gjøres avhengig av om de bruker andre tjenester fra samme tilbyder eller en tilknyttet enhet, eller i hvilken utstrekning de bruker slike andre tjenester (bokstav b).

• Dataene som er samlet inn om en fysisk eller juridisk persons aktiviteter med henblikk på levering av en dataformidlingstjeneste, inkludert dato, klokkeslett og geolokaliseringsdata, aktivitetens varighet og tilknytninger til andre fysiske eller juridiske personer opprettet av personen som bruker tjenesten, kan bare brukes til utvikling av dataformidlingstjenesten. Dette kan inkludere bruk av data til å oppdage bedrageri eller brudd på cybersikkerheten, og skal på anmodning gjøres tilgjengelig for datainnehaverne (bokstav c).

• Tilbyderen av dataformidlingstjenester skal legge til rette for utveksling av data i det formatet de mottas fra en registrert eller en datainnehaver. Dataene kan bare konverteres til spesifikke formater for å øke samvirkningsevnen innenfor og på tvers av sektorer, hvis databrukeren ber om det, hvis det er påkrevd i henhold til EU-lovgivningen, eller for å sikre harmonisering med internasjonale eller europeiske datastandarder. Tilbyderen skal gi registrerte og dataeiere mulighet til å reservere seg mot slike konverteringer med mindre konverteringen er påkrevd i henhold til unionsretten (bokstav d).

• En dataformidlingstjeneste kan omfatte tilbud om flere spesifikke verktøy og tjenester til datainnehavere eller databrukere, særlig med henblikk på å lette utvekslingen av data, som for eksempel midlertidig lagring, organisering, konvertering, anonymisering og pseudonymisering. Disse verktøyene og tjenestene skal bare brukes etter godkjenning fra datainnehaveren eller den registrerte. Tredjepartsverktøy som tilbys i sammenheng med dette, skal ikke bruke dataene til andre formål (bokstav e).

• Tilbyderen av dataformidlingstjenesten skal sikre at framgangsmåten for tilgang til tjenesten er rettferdig, gjennomsiktig og ikke-diskriminerende for både de registrerte, datainnehavere og databrukere, også med hensyn til priser og tjenestevilkår (bokstav f).

• Tilbyderen av dataformidlingstjenesten skal etablere prosedyrer som forhindrer uredelig praksis og misbruk fra parter som benytter tjenestene (bokstav g).

• Tilbyderen av dataformidlingstjenester skal i tilfelle av insolvens sikre en rimelig kontinuitet i leveringen av tjenestene, og når tjenestene lagrer data, ha tilstrekkelige garantier på plass for å sikre at datainnehavere og databrukere kan få tilgang til, overført eller hentet sine data, og når tjenestene formidler data mellom registrerte og databrukere, sikre at de registrerte kan utøve sine rettigheter (bokstav h).

• Tilbyderen av dataformidlingstjenester skal treffe egnede tiltak for å sikre samvirkningsevne med andre dataformidlingstjenester, blant annet ved hjelp av alminnelig brukte åpne standarder i den sektoren der tilbyderne av dataformidlingstjenestene opererer (bokstav i).

• Tilbyderen av dataformidlingstjenester skal treffe egnede tekniske, rettslige og organisatoriske tiltak for å hindre overføring av eller tilgang til andre data enn personopplysninger som er ulovlig i henhold til unionsretten eller nasjonal rett i den aktuelle medlemsstaten (bokstav j).

• Tilbyderen av dataformidlingstjenester skal underrette datainnehaverne ved ulovlig overføring av, tilgang til eller bruk av andre data enn personopplysninger som denne har delt (bokstav k).

• Tilbyderen av dataformidlingstjenester skal treffe tiltak for å sikre et hensiktsmessig sikkerhetsnivå for lagring, behandling og overføring av andre data enn personopplysninger, og tilbyderen skal dessuten sørge for høyest mulig sikkerhetsnivå for lagring og overføring av konkurransemessig sensitiv informasjon (bokstav l).

• Tilbyder av dataformidlingstjenester som tilbyr tjenester til registrerte, skal handle i de registrertes beste interesse og gjøre det enkelt for dem å utøve sine rettigheter, særlig ved å informere dem og eventuelt gi dem råd på en kortfattet, transparent, forståelig og lett tilgjengelig måte om databrukernes tiltenkte bruk av dataene og om standardvilkårene for slik bruk, før de registrerte gir sitt samtykke (bokstav m).

• Dersom en tilbyder av dataformidlingstjenester stiller verktøy til rådighet for å innhente samtykke fra de registrerte eller tillatelse til å behandle data som datainnehavere har gjort tilgjengelig, skal tilbyderen, dersom det er relevant, angi i hvilken eller hvilke jurisdiksjoner utenfor Unionen det er planlagt at dataene skal brukes, og gi de registrerte verktøy både for å gi og trekke tilbake samtykke, og datainnehaverne verktøy både for å gi og trekke tilbake tillatelser til å behandle data (bokstav n).

• Tilbyderen av dataformidlingstjenester skal føre register over dataformidlingsaktiviteten (bokstav o).

6.3.4 Tilsyn med dataformidlingstjenester

Artikkel 13 og 14 har regler om tilsyn med tilbydere av dataformidlingstjenester.

Hver medlemsstat skal utpeke en eller flere kompetente myndigheter (tilsynsmyndigheter) som skal administrere meldeplikten for dataformidlingstjenester. Medlemsstaten skal underrette Kommisjonen om identiteten til disse myndighetene senest 24. september 2023. Medlemsstaten skal også underrette Kommisjonen om eventuelle endringer av identiteten til disse myndighetene (artikkel 13 nr. 1). En annen dato vil gjelde for Norge avhengig av når forordningen blir tatt inn i EØS-avtalen.

De utpekte tilsynsmyndighetene for dataformidlingstjenestene skal oppfylle kravene i artikkel 26 (artikkel 13 nr. 2).

De utpekte tilsynsmyndighetenes fullmakter skal ikke berøre fullmaktene til personvernmyndighetene, konkurransemyndighetene, myndighetene med ansvar for cybersikkerhet og andre relevante sektormyndigheter. Disse myndighetene skal i samsvar med sine respektive myndighetsområder i henhold til unionsretten og nasjonal rett, samarbeide og utveksle den informasjonen som er nødvendig for at de skal kunne utføre sine oppgaver opp mot tilbydere av dataformidlingstjenester, og etterstrebe konsistens i de beslutningene som fattes (artikkel 13 nr. 3).

Tilsynsmyndigheten for dataformidlingstjenester skal overvåke og føre tilsyn med at kravene i kapittel III oppfylles. Det kan også gjøres på anmodning fra fysiske eller juridiske personer (artikkel 14 nr. 1).

Tilsynsmyndigheten for dataformidlingstjenester kan kreve at tilbydere av dataformidlingstjenester eller deres juridiske representanter, utleverer all informasjon som er nødvendig for å kontrollere at kravene i dette kapittelet er oppfylt. Enhver anmodning om informasjon skal stå i et rimelig forhold til hva oppgaven krever, og den skal begrunnes (artikkel 14 nr. 2).

Dersom tilsynsmyndigheten for dataformidlingstjenester konstaterer at en tilbyder av dataformidlingstjenester ikke oppfyller ett eller flere av kravene i dette kapittelet, skal den underrette tilbyderen om dette og gi tilbyderen mulighet til å framsette sine synspunkter innen 30 dager (artikkel 14 nr. 3).

Tilsynsmyndigheten for dataformidlingstjenester skal ha myndighet til å kreve at overtredelser nevnt i nr. 3 skal opphøre enten innen en rimelig frist, eller umiddelbart ved alvorlige overtredelser, og skal treffe hensiktsmessige og rimelige tiltak for å sikre at kravene oppfylles. I denne forbindelsen skal tilsynsmyndigheten, dersom det er relevant, ha myndighet til (artikkel 14 nr. 4 første ledd):

• Å ilegge avskrekkende økonomiske sanksjoner gjennom administrative prosedyrer, som kan omfatte tvangsmulkter og sanksjoner med tilbakevirkende kraft, eller å innlede rettsforfølgelse med sikte på å ilegge bøter, eller begge deler,

• å kreve en utsettelse av starten eller innstilling av leveringen av dataformidlingstjenesten helt til vilkårene for tjenestene endres på anmodning fra tilsynsmyndigheten, eller

• å kreve at leveringen av dataformidlingstjenesten opphører dersom alvorlige eller gjentatte overtredelser ikke er blitt korrigert til tross for forhåndsmelding eller varsling i samsvar med nr. 3.

Tilsynsmyndigheten for dataformidlingstjenester skal be Kommisjonen om å fjerne tilbyderen av dataformidlingstjenester fra registeret over dataformidlingstjenester så snart myndigheten har pålagt at tjenesten skal opphøre. Tilsynsmyndigheten skal underrette Kommisjonen om alle meldinger fra tilbydere av dataformidlingstjenester som retter slike overtredelser (artikkel 14 nr. 4 andre og tredje ledd).

Dersom en tilbyder av dataformidlingstjenester som ikke er etablert i Unionen, unnlater å utpeke en juridisk representant, eller den juridiske representanten unnlater å gi tilsynsmyndigheten nødvendig informasjon som på en detaljert måte dokumenterer samsvar med denne forordningen, skal tilsynsmyndigheten ha mulighet til å kunne utsette eller innstille leveringen av dataformidlingstjenesten helt til den juridiske representanten er blitt utpekt eller den nødvendige informasjonen er gitt (artikkel 14 nr. 5).

Tilsynsmyndighetene for dataformidlingstjenester skal underrette den berørte tilbyderen av dataformidlingstjenester om tiltakene som er truffet i henhold til nr. 4 og 5, begrunnelsen for dem samt hvilke tiltak som må treffes for å rette opp de aktuelle manglene. Tilsynsmyndighetene skal gi tilbyderen en rimelig frist, som ikke må være lengre enn 30 dager, til å rette seg etter tiltakene (artikkel 14 nr. 6).

Dersom en tilbyder av dataformidlingstjenester har sin hovedvirksomhet eller juridiske representant i en medlemsstat, men tilbyr tjenester i en annen medlemsstat, skal tilsynsmyndigheten i medlemsstaten der hovedvirksomheten eller den juridiske representanten befinner seg, og tilsynsmyndighetene i de andre medlemsstatene samarbeide og bistå hverandre. Slik bistand og samarbeid kan omfatte utveksling av informasjon mellom de berørte tilsynsmyndighetene, og anmodninger om å treffe tiltak nevnt i denne artikkelen (artikkel 14 nr. 7 første ledd).

Dersom en tilsynsmyndighet for dataformidlingstjenester i en medlemsstat ber om bistand fra en annen medlemsstat, skal den framlegge en begrunnet anmodning. Den tilsynsmyndigheten for dataformidlingstjenester som anmodes om det, skal svare uten unødig opphold og innen en frist som står i forhold til hvor mye anmodningen haster. All informasjon som utveksles i forbindelse med slik bistand, skal bare benyttes i forbindelse med den saken som ligger til grunn for anmodningen (artikkel 14 nr. 7 andre ledd).

6.4 Dataaltruisme (kapittel IV)

6.4.1 Innledning

Dataforvaltningsforordningen åpner for at medlemsstater som ønsker det, kan fastsette regler om dataaltruisme.

Medlemsstatene kan ha organisatoriske eller tekniske ordninger for å fremme dataaltruisme. Til støtte for dette kan medlemsstatene fastsette nasjonale retningslinjer for dataaltruisme. Retningslinjene kan særlig støtte registrerte personer med å gjøre personopplysninger om dem som offentlige organer innehar, frivillig tilgjengelig for dataaltruisme, og fastsette nødvendig informasjon som skal gis til de registrerte om viderebruk i allmennhetens interesse av deres data (artikkel 16 første ledd).

Dersom en medlemsstat utarbeider slike nasjonale retningslinjer, skal den underrette Kommisjonen (artikkel 16 andre ledd).

Med dataaltruisme menes frivillig deling av data basert på samtykke fra registrerte personer eller tillatelser fra datainnehavere, se den nærmere definisjonen i artikkel 2 nr. 16.

Reglene skal være innenfor rammen fastsatt i forordningen. Vedkommende medlemsstat må i den forbindelse utpeke en eller flere kompetente myndigheter med ansvar for å føre ett offentlig register over anerkjente dataaltruismeorganisasjoner og for å føre tilsyn med disse organisasjonene. Disse myndighetene blir her benevnt «tilsynsmyndighet for anerkjent dataaltruisme».

Nærmere regler om rammen for registrering av anerkjente dataaltruismeorganisasjoner framgår av artikkel 17, 18, 19, 20 og 21. Nærmere regler om tilsyn med anerkjente dataaltruismeorganisasjoner framgår av artikkel 23 og 24.

Dataforvaltningsforordningen gir Kommisjonen hjemmel til å vedta gjennomføringsrettsakter med utfyllende regler om:

• Felles logo (artikkel 17 nr. 2).

• En regelbok for anerkjent dataaltruisme (artikkel 22).

• Europeisk skjema for samtykke til dataaltruisme (artikkel 25).

Bakgrunnen er omtalt på følgende måte i fortalepunkt 45:

«There is a strong potential for objectives of general interest in the use of data made available voluntarily by data subjects on the basis of their informed consent or, where it concerns non-personal data, made available by data holders. Such objectives would include healthcare, combating climate change, improving mobility, facilitating the development, production and dissemination of official statistics, improving the provision of public services, or public policy making. Support to scientific research should also be considered to be an objective of general interest. This Regulation should aim to contribute to the emergence of sufficiently-sized data pools made available on the basis of data altruism in order to enable data analytics and machine learning, including across the Union. In order to achieve that objective, Member States should be able to have in place organisational or technical arrangements, or both, which would facilitate data altruism. Such arrangements could include the availability of easily useable tools for data subjects or data holders for giving consent or permission for the altruistic use of their data, the organisation of awareness campaigns, or a structured exchange between competent authorities on how public policies, such as improving traffic, public health and combating climate change, benefit from data altruism. To that end, Member States should be able to establish national policies for data altruism. Data subjects should be able to receive compensation related only to the costs they incur when making their data available for objectives of general interest.»

6.4.2 Registreringsordning for anerkjente dataaltruismeorganisasjoner

Artikkel 17, 18 og 19 har bestemmelser om registreringsordninger for anerkjente dataaltruismeorganisasjoner.

Tilsynsmyndighetene for anerkjent dataaltruisme skal føre og regelmessig oppdatere et offentlig nasjonalt register over anerkjente dataaltruismeorganisasjoner (artikkel 17 nr. 1).

Kommisjonen skal i informasjonsøyemed føre et offentlig unionsregister over anerkjente dataaltruismeorganisasjoner. Kun enheter som er registrert i det nasjonale registeret over anerkjente dataaltruismeorganisasjoner i samsvar med artikkel 18, kan bruke betegnelsen «Dataaltruismeorganisasjon som er anerkjent i Unionen» i sin skriftlige og muntlige kommunikasjon, samt en felles logo (artikkel 17 nr. 2 første ledd).

For å sikre at anerkjente dataaltruismeorganisasjoner lett kan identifiseres i hele Unionen, skal Kommisjonen ved hjelp av gjennomføringsrettsakter fastsette en utforming av den felles logoen. Anerkjente dataaltruismeorganisasjoner skal tydelig vise den felles logoen på alle nettbaserte og ikke-nettbaserte publikasjoner som er tilknyttet deres dataaltruismeaktiviteter. Den felles logoen skal ledsages av en QR-kode med en lenke til unionsregisteret over dataaltruismeorganisasjoner som er anerkjent i Unionen (artikkel 17 nr. 2 andre ledd).

Disse gjennomføringsrettsaktene skal vedtas etter rådgivningsprosedyren nevnt i artikkel 33 nr. 2 (artikkel 17 nr. 2 tredje ledd).

En slik rettsakt foreligger i form av Kommisjonens gjennomføringsrettsakt (EU) 2023/1622 av 9. august 2023 om utforming av felles logoer til identifikasjon av tilbyder av dataformidlingstjenester og til dataaltruismeorganisasjon som er anerkjent i Unionen.

Forstørr bilde

Kommisjonens gjennomføringsrettsakt (EU) 2023/1622 fastsetter logoer som skal brukes av tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner. Figuren viser et eksempel på hvordan en dansk logo for dataformidlingstjenester og dataaltruismeorganisasjoner skal være utformet i henhold til denne gjennomføringsrettsakten.

For å kunne bli registrert i et nasjonalt register over anerkjente dataaltruismeorganisasjoner, skal vedkommende enhet (artikkel 18):

• Utføre aktiviteter forbundet med dataaltruisme.

• Være en juridisk person som er etablert i henhold til nasjonal rett for å oppfylle formål av allmenn interesse, i samsvar med nasjonal rett når det er relevant.

• Drives på ideelt grunnlag og være juridisk uavhengig av enheter som drives på kommersielt grunnlag.

• Utføre aktivitetene som er forbundet med dataaltruisme, gjennom en struktur som er funksjonelt atskilt fra dens andre aktiviteter.

• Oppfylle regelboken som vedtatt i delegert rettsakt i samsvar med artikkel 22 nr. 1, senest 18 måneder etter ikraftsettelsesdatoen for rettsakten.

En enhet som oppfyller kravene i artikkel 18, kan be om å bli ført inn i det nasjonale registeret over anerkjente dataaltruismeorganisasjoner i medlemsstaten der enheten er etablert (artikkel 19 nr. 1).

En enhet som oppfyller kravene i artikkel 18 og har virksomheter i flere enn en medlemsstat, kan be om å bli ført inn i det nasjonale registeret over anerkjente dataaltruismeorganisasjoner i den medlemsstaten der den har sin hovedvirksomhet (artikkel 19 nr. 2).

En enhet som oppfyller kravene i artikkel 18, men som ikke er etablert i Unionen, skal utpeke en juridisk representant i en av medlemsstatene der disse tjenestene tilbys (artikkel 19 nr. 3 første ledd).

For å sikre at forordningen overholdes, skal enheten gi den juridiske representanten fullmakt til å være den som i tillegg til eller istedenfor enheten kan være den tilsynsmyndighetene for anerkjent dataaltruisme, de registrerte eller datainnehaverne kan henvende seg til når det gjelder ethvert spørsmål knyttet til vedkommende enhet. Den juridiske representanten skal samarbeide med, og på anmodning dokumentere for tilsynsmyndighetene for anerkjent dataaltruisme hvilke tiltak som er truffet for å sikre at forordningen overholdes (artikkel 19 nr. 3 andre ledd).

Enheten skal anses for å være underlagt jurisdiksjonen i den medlemsstaten der den juridiske representanten befinner seg. En slik enhet kan be om å bli registrert i det nasjonale registeret over anerkjente dataaltruismeorganisasjoner i denne medlemsstaten. Enhetens utpeking av en representant skal ikke berøre eventuelle rettslige skritt mot enheten selv (artikkel 19 nr. 3 tredje ledd).

Søknader om registrering skal inneholde følgende informasjon (artikkel 19 nr. 4):

• a. navnet på enheten

• b. enhetens rettslige status og form, samt registreringsnummer dersom enheten er registrert i et offentlig register

• c. enhetens vedtekter dersom det er relevant

• d. enhetens inntektskilder

• e. adressen til enhetens hovedvirksomhet i Unionen dersom denne finnes, og dersom det er relevant, eventuelle filialer i andre medlemsstater eller den juridiske representanten

• f. et offentlig nettsted der det finnes oppdatert informasjon om enheten og aktivitetene som minimum omfatter informasjon nevnt i bokstav a, b, c, d, e og h

• g. enhetens kontaktpersoner og kontaktopplysninger

• h. formålene av allmenn interesse som enheten har til hensikt å fremme i forbindelse med innsamlingen av data

• i. arten av de dataene den har til hensikt å kontrollere eller behandle, og når det gjelder personopplysninger, en angivelse av kategoriene av personopplysninger

• j. eventuelle andre dokumenter som viser at kravene i artikkel 18 er oppfylt.

Når enheten har framlagt all nødvendig informasjon i henhold til nr. 4, og etter at tilsynsmyndigheten har vurdert søknaden og konstatert at enheten oppfyller kravene i artikkel 18, skal myndigheten føre inn enheten i registeret over anerkjente dataaltruismeorganisasjoner senest tolv uker etter at søknaden ble mottatt. Registreringen skal være gyldig i alle medlemsstater (artikkel 19 nr. 5 første ledd).

Tilsynsmyndigheten for anerkjent dataaltruisme skal underrette Kommisjonen om alle slike registreringer. Kommisjonen skal inkludere registreringen i unionsregisteret over anerkjente dataaltruismeorganisasjoner (artikkel 19 nr. 5 andre ledd).

Informasjonen nevnt i nr. 4 bokstav a, b, f, g og h skal offentliggjøres i det offentlige nasjonale registeret over anerkjente dataaltruismeorganisasjoner (artikkel 19 nr. 6).

Anerkjente dataaltruismeorganisasjoner skal underrette tilsynsmyndigheten for anerkjent dataaltruisme om enhver endring i informasjonen som er framlagt i henhold til nr. 4, senest 14 dager etter den dagen da endringen fant sted. Tilsynsmyndigheten skal omgående og elektronisk underrette Kommisjonen om alle slike meldinger som på sin side skal oppdatere unionsregisteret over anerkjente dataaltruismeorganisasjoner (artikkel 19 nr. 7).

6.4.3 Krav om transparens

Artikkel 20 har bestemmelser om transparens for anerkjente dataaltruismeorganisasjoner.

Anerkjente dataaltruismeorganisasjoner skal føre fullstendige og nøyaktige opplysninger om (artikkel 20 nr. 1):

• Alle fysiske eller juridiske personer som har fått mulighet til å behandle data som innehas av vedkommende organisasjon, og deres kontaktopplysninger,

• datoen for eller varigheten av behandlingen av personopplysninger eller bruken av andre data enn personopplysninger,

• formålet med behandlingen,

• eventuelle gebyrer betalt av de fysiske eller juridiske personene som behandler dataene.

Anerkjente dataaltruismeorganisasjoner skal utarbeide en årlig rapport som minst skal inneholde følgende informasjon, og oversende den til den relevante tilsynsmyndigheten for dataaltruisme (artikkel 20 nr. 2):

• Informasjon om organisasjonens aktiviteter,

• en beskrivelse av hvordan formålene av allmenn interesse som dataene er blitt samlet inn for, er blitt fremmet i det aktuelle regnskapsåret,

• en liste over alle fysiske og juridiske personer som har fått tillatelse til å behandle dataene som organisasjonen innehar, herunder en kortfattet beskrivelse av formålene av allmenn interesse som databehandlingen er ment å oppfylle, og en beskrivelse av de tekniske midlene som er brukt, inkludert en beskrivelse av mekanismene som er brukt for å ivareta personvernet og datasikkerhet,

• et sammendrag av resultatene av databehandlingen som den anerkjente dataaltruismeorganisasjonen har gitt tillatelse til, dersom det er relevant,

• informasjon om inntektskildene til den anerkjente dataaltruismeorganisasjonen, særlig inntekter som genereres ved å gi tilgang til dataene, og om organisasjonens utgifter.

6.4.4 Sikring av interessene til registrerte og datainnehavere

Artikkel 21 har bestemmelser for å sikre interessene til registrerte og datainnehavere.

Anerkjente dataaltruismeorganisasjoner skal på en klar og lettfattelig måte underrette datainnehavere eller de registrerte før dataene deres behandles (artikkel 21 nr. 1):

• Om formålene av allmenn interesse som den tillater at en databruker behandler deres data for, inkludert dersom det er relevant, det angitte, uttrykkelige og berettigede formålet som personopplysninger behandles for,

• om plasseringen av eventuell behandling som skjer utenfor Unionen, og formålene av allmenn interesse for dette.

Den anerkjente dataaltruismeorganisasjonen skal ikke bruke dataene til andre formål enn de som er av allmenn interesse og som den registrerte eller datainnehaveren tillater behandling for. Organisasjonen skal ikke bruke villedende markedsføringspraksis til å anmode om utlevering av data (artikkel 21 nr. 2).

Den anerkjente dataaltruismeorganisasjonen skal stille verktøy til rådighet for å innhente samtykke fra de registrerte eller tillatelse til å behandle data som datainnehavere har gjort tilgjengelig. Den anerkjente dataaltruismeorganisasjonen skal stille verktøy til rådighet slik at dette samtykket eller denne tillatelsen, lett kan trekkes tilbake (artikkel 21 nr. 3).

Den anerkjente dataaltruismeorganisasjonen skal treffe tiltak for å sikre et passende sikkerhetsnivå for lagring og behandling av andre data enn personopplysninger som den har samlet inn basert på dataaltruisme (artikkel 21 nr. 4).

Den anerkjente dataaltruismeorganisasjonen skal uten opphold underrette datainnehaverne ved ulovlig overføring av, tilgang til eller bruk av andre data enn personopplysninger som den har delt (artikkel 21 nr. 5).

Dersom den anerkjente dataaltruismeorganisasjonen legger til rette for tredjeparters databehandling samt stiller verktøy til rådighet for å innhente samtykke fra de registrerte eller tillatelse til å behandle data som datainnehavere har gjort tilgjengelig, skal enheten når det er relevant, angi i hvilken eller hvilke jurisdiksjoner utenfor Unionen det er planlagt at dataene skal brukes (artikkel 21 nr. 6).

6.4.5 Regler om dataaltruisme

Artikkel 22 gir Kommisjonen hjemmel til å fastsette utfyllende regler om dataaltruisme.

Kommisjonen skal vedta delegerte rettsakter i samsvar med artikkel 32 som utfyller dataforvaltningsforordningen, ved å opprette et sett regler som skal omfatte (artikkel 22 nr. 1):

• Hensiktsmessige krav til informasjon for å sikre at datainnehavere og de registrerte, før det gis samtykke eller tillatelse til dataaltruisme, får tilstrekkelig detaljert, klar og transparent informasjon om bruken av data, om verktøy for å innhente eller trekke tilbake samtykke og tillatelse, og hvilke tiltak som er truffet for å unngå misbruk av dataene som deles med dataaltruismeorganisasjonen,

• hensiktsmessige tekniske krav og sikkerhetskrav for å sikre et passende sikkerhetsnivå for lagring og behandling av data, samt for verktøyene som brukes til å innhente og trekke tilbake samtykke og tillatelse,

• kommunikasjonskjøreplaner med en tverrfaglig tilnærming for å øke bevisstheten om dataaltruisme, om utpeking av en «anerkjent dataaltruismeorganisasjon i Unionen», og om regelboken for relevante berørte parter, særlig datainnehavere og registrerte som potensielt vil dele sine data,

• anbefalinger om relevante standarder for samvirkningsevne.

Reglene skal utarbeides i nært samarbeid med dataaltruismeorganisasjoner og relevante berørte parter (artikkel 22 nr. 2).

Kommisjonen arbeider med sikte på å vedta en forordning om et slikt regelsett i 2025, men noe utkast er så langt ikke publisert.64

6.4.6 Tilsynsmyndigheter for registrering av anerkjente dataaltruismeorganisasjoner

Artikkel 23 har regler om utpeking av tilsynsmyndighet for anerkjente dataaltruismeorganisasjoner. Artikkel 24 har nærmere regler om registreringen av anerkjente dataaltruismeorganisasjoner og tilsyn med slike organisasjoner.

Hver medlemsstat skal utpeke en eller flere kompetente myndigheter med ansvar for det offentlige nasjonale registeret over anerkjente dataaltruismeorganisasjoner, og for å overvåke at kravene i dette kapittelet i forordningen er oppfylt (her benevnt tilsynsmyndighet for anerkjente dataaltruismeorganisasjoner). De utpekte myndighetene skal oppfylle kravene i artikkel 26 (artikkel 23 nr. 1).

Hver medlemsstat skal underrette Kommisjonen innen 24. september 2023 om hvilke myndigheter som er utpekt, og deretter eventuelle endringer i hvilke organisasjoner som er utpekt (artikkel 23 nr. 2). En annen dato vil gjelde for Norge avhengig av når forordningen blir tatt inn i EØS-avtalen.

Tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner i en medlemsstat skal utføre sine oppgaver i samarbeid med den relevante personvernmyndigheten når oppgavene er knyttet til behandling av personopplysninger, og med relevante sektororganer i vedkommende medlemsstat (artikkel 23 nr. 3).

Tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner skal overvåke og føre tilsyn med at anerkjente dataaltruismeorganisasjoner oppfyller vilkårene fastsatt i dette kapittelet. Dette kan også gjøres på anmodning fra fysiske eller juridiske personer (artikkel 24 nr. 1).

Tilsynsmyndighetene skal ha myndighet til å anmode om informasjon som er nødvendig for å kontrollere at bestemmelsene i dette kapittelet overholdes, fra anerkjente dataaltruismeorganisasjoner. Enhver anmodning om informasjon skal stå i et rimelig forhold til hva oppgaven krever, og den skal begrunnes (artikkel 24 nr. 2).

Dersom tilsynsmyndigheten konstaterer at en anerkjent dataaltruismeorganisasjon ikke oppfyller ett eller flere av kravene i dette kapittelet, skal den underrette vedkommende organisasjon om dette og gi den mulighet til å framsette sine synspunkter innen 30 dager (artikkel 24 nr. 3).

Tilsynsmyndigheten skal ha myndighet til å kreve at overtredelsen nevnt i nr. 3 skal opphøre enten umiddelbart eller innen en rimelig frist, og skal treffe hensiktsmessige og rimelige tiltak for å sikre at kravene oppfylles (artikkel 24 nr. 4).

Dersom en anerkjent dataaltruismeorganisasjon ikke oppfyller ett eller flere av kravene i dette kapittelet, selv etter at tilsynsmyndigheten har underrettet den om dette i samsvar med nr. 3, skal organisasjonen (artikkel 24 nr. 5 første ledd):

• Miste retten til å kalle seg en «dataaltruismeorganisasjon som er anerkjent i Unionen» i all skriftlig og muntlig kommunikasjon, og

• fjernes fra det nasjonale registeret over anerkjente dataaltruismeorganisasjoner, og fra unionsregisteret over anerkjente dataaltruismeorganisasjoner.

Enhver beslutning om tilbaketrekking av retten til å bruke betegnelsen «dataaltruismeorganisasjon som er anerkjent i Unionen» skal offentliggjøres av tilsynsmyndigheten (artikkel 24 nr. 5 andre ledd).

Dersom en anerkjent dataaltruismeorganisasjon har sin hovedvirksomhet eller juridiske representant i en medlemsstat, men er aktiv i andre medlemsstater, skal tilsynsmyndigheten i medlemsstaten der hovedvirksomheten eller den juridiske representanten befinner seg, og tilsynsmyndighetene i de andre medlemsstatene samarbeide og bistå hverandre ved behov. En slik bistand og et slikt samarbeid kan omfatte utveksling av informasjon mellom tilsynsmyndighetene og begrunnede anmodninger om å treffe tiltakene nevnt i denne artikkelen (artikkel 24 nr. 6 første ledd).

Dersom en tilsynsmyndighet i en medlemsstat ber om bistand fra en tilsynsmyndighet i en annen medlemsstat, skal den framlegge en begrunnet anmodning. Tilsynsmyndigheten skal svare omgående og innen en frist som står i forhold til hvor mye anmodningen haster (artikkel 24 nr. 6 andre ledd).

All informasjon som utveksles i forbindelse med bistand som det anmodes om og som gis i henhold til dette nummeret, skal bare benyttes i forbindelse med den saken som ligger til grunn for anmodningen (artikkel 24 nr. 6 tredje ledd).

6.4.7 Europeisk skjema for samtykke til dataaltruisme

Artikkel 25 har bestemmelser om et europeisk skjema for samtykke til dataaltruisme. Av fortalepunkt 52 framgår at hensikten med dette er å øke tilliten og skape ytterligere rettssikkerhet og brukervennlighet i forbindelse med å gi, og å trekke tilbake, samtykke til bruk av persondata og tillatelse til bruk av andre beskyttede data på et altruistisk grunnlag særlig for statistikk og vitenskapelig forskning.

For å lette innsamlingen av data basert på dataaltruisme skal Kommisjonen vedta gjennomføringsrettsakter om et europeisk skjema for samtykke til dataaltruisme, etter samråd med Det europeiske personvernråd, samtidig som det tas hensyn til råd fra den europeiske ekspertgruppen for datainnovasjon (Data Innovation Board) og med involvering av berørte parter. Skjemaet skal gjøre det mulig å innhente samtykke eller tillatelse i alle medlemsstater i et ensartet format. Disse gjennomføringsrettsaktene skal vedtas etter rådgivningsprosedyren nevnt i artikkel 33 nr. 2 (artikkel 25 nr. 1).

Det europeiske skjemaet for samtykke til dataaltruisme skal være modulbasert, slik at det kan tilpasses spesifikke sektorer og forskjellige formål (artikkel 25 nr. 2).

For personopplysninger skal det europeiske skjemaet for samtykke til dataaltruisme, sikre at de registrerte kan gi og trekke tilbake sitt samtykke til en spesifikk databehandlingsprosess i samsvar med kravene i GDPR (artikkel 25 nr. 3).

Skjemaet skal foreligge i et format som kan skrives ut på papir og er lett forståelig, samt i et elektronisk maskinlesbart format (artikkel 25 nr. 4).

Kommisjonen arbeider med sikte på å vedta en gjennomføringsrettsakt om et slikt skjema i løpet av 2024, men noe utkast er så langt ikke publisert.65

6.5 Tilsynsmyndigheter (kapittel V)

Dataforvaltningsforordningen kapittel V har i artikkel 26 nærmere krav til tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner. Artikkel 27 har regler om klage, og artikkel 28 har regler om effektive rettsmidler.

Tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner skal være juridisk atskilt fra og funksjonelt uavhengige av alle tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner. Funksjonene til tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner kan utføres av den samme myndigheten. Medlemsstatene kan enten opprette én eller flere myndigheter eller benytte eksisterende strukturer (artikkel 26 nr. 1).

Tilsynsmyndighetene skal utføre sine oppgaver på en upartisk, gjennomsiktig, konsekvent, pålitelig og rettidig måte, og skal ved utførelsen av sine oppgaver sikre rettferdig konkurranse og ikke-diskriminering (artikkel 26 nr. 2).

Den øverste ledelsen og personalet som har ansvar for å utføre de relevante oppgavene hos tilsynsmyndighetene, kan ikke være utvikler, produsent, leverandør, installatør, kjøper, eier, bruker eller vedlikeholder av tjenestene de evaluerer, og de kan heller ikke være juridisk representant for noen av disse partene eller representere dem. Dette utelukker ikke bruk av evaluerte tjenester som er nødvendige for myndighetens aktiviteter, eller bruk av slike tjenester til personlige formål (artikkel 26 nr. 3).

Den øverste ledelsen og personalet hos tilsynsmyndighetene skal ikke delta i aktiviteter som kan påvirke deres objektivitet eller integritet i forbindelse med evalueringsaktiviteter de skal utføre (artikkel 26 nr. 4).

Tilsynsmyndighetene skal ha tilstrekkelige finansielle og menneskelige ressurser til å utføre oppgavene de er tildelt, herunder den nødvendige tekniske kunnskapen og de nødvendige tekniske ressursene (artikkel 26 nr. 5).

Tilsynsmyndighetene i en medlemsstat skal på begrunnet anmodning gi Kommisjonen og tilsynsmyndighetene i andre medlemsstater den informasjonen som er nødvendig for at disse skal kunne utføre sine oppgaver i henhold til forordningen. Dersom en tilsynsmyndighet anser informasjonen det anmodes om som fortrolig etter unionsregler eller nasjonale regler for forretningshemmeligheter og taushetsplikt, skal Kommisjonen og eventuelle andre berørte tilsynsmyndigheter sørge for samme fortrolighet (artikkel 26 nr. 6).

Fysiske og juridiske personer skal individuelt eller i fellesskap, ha rett til å fremme klage i ethvert spørsmål som omfattes av forordningen. Klage mot en tilbyder av dataformidlingstjenester rettes til den relevante tilsynsmyndigheten for dataformidlingstjenester. Klage mot en anerkjent dataaltruismeorganisasjon rettes til den relevante tilsynsmyndigheten for anerkjente dataaltruismeorganisasjoner (artikkel 27 nr. 1).

Tilsynsmyndigheten som klagen innleveres til (artikkel 27 nr. 2), skal underrette klageren om:

• saksforløpet og om beslutningen som er truffet

• rettsmidlene fastsatt etter artikkel 28

Uten hensyn til eventuelle administrative rettsmidler eller annen ikke-rettslig prøving skal berørte fysiske og juridiske personer ha rett til effektive rettsmidler med hensyn til rettslig bindende beslutninger etter artikkel 14 fattet av tilsynsmyndigheten for dataformidlingstjenester i forbindelse med forvaltning, kontroll og håndheving av meldingsordningen for tilbydere av dataformidlingstjenester. De skal videre ha rett til effektive rettsmidler med hensyn til rettslig bindende beslutninger etter artikkel 19 og 24 fattet av tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner i overvåkingen av anerkjente dataaltruismeorganisasjoner (artikkel 28 nr. 1).

Saker i henhold til denne artikkelen kan bringes inn for domstolene i medlemsstaten til de tilsynsmyndighetene som rettsmiddelet søkes brukt mot, av enkeltpersonen eller dersom det er relevant, av representantene for en eller flere fysiske eller juridiske personer (artikkel 28 nr. 2).

Når en tilsynsmyndighet unnlater å behandle en klage, skal enhver berørt fysisk eller juridisk person i samsvar med nasjonal rett enten ha rett til et effektivt rettsmiddel eller klageadgang til et upartisk organ med nødvendig ekspertise (artikkel 28 nr. 3).

6.6 Europeisk datainnovasjonsråd (kapittel VI)

Dataforvaltningsforordningen kapittel VI har i artikkel 29 og 30 bestemmelser om et europeisk datainnovasjonsråd.

Kommisjonen skal opprette et europeisk datainnovasjonsråd i form av en ekspertgruppe bestående av representanter for tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner i alle medlemsstatene, Det europeiske personvernråd, Det europeiske datatilsynet, ENISA, (Den europeiske unions kontor for cybersikkerhet), Kommisjonen, EUs representanter for små og mellomstore bedrift (SMB-representanter) eller en representant utpekt av nettverket av SMB-representanter, og andre representanter for relevante organer i spesifikke sektorer, samt organer med særlig ekspertise. Når Kommisjonen utpeker de enkelte ekspertene, skal den etterstrebe å oppnå en jevn geografisk fordeling og fordeling mellom kjønnene (artikkel 29 nr. 1).

Det europeiske datainnovasjonsrådet skal bestå av minst tre undergrupper (artikkel 29 nr. 2):

• En undergruppe bestående av tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner, med henblikk på å utføre oppgavene i henhold til artikkel 30 bokstav a, c, j og k.

• En undergruppe for tekniske drøftelser om standardisering, portabilitet og samvirkningsevne i samsvar med artikkel 30 bokstav f og g.

• En undergruppe for deltakelse av berørte parter bestående av relevante representanter fra næringslivet, forskning, akademia, sivilsamfunnet, standardiseringsorganisasjoner, relevante felles europeiske dataområder og andre berørte interessenter eller tredjeparter som gir råd til datainnovasjonsrådet om oppgaver etter artikkel 30 bokstav d, e, f, g og h.

Kommisjonen skal lede datainnovasjonsrådets møter (artikkel 29 nr. 3).

Datainnovasjonsrådet skal bistås av et sekretariat som stilles til rådighet av Kommisjonen (artikkel 29 nr. 4).

Datainnovasjonsrådet skal ha følgende oppgaver (artikkel 30):

• Gi råd til og bistå Kommisjonen med å utarbeide en konsekvent praksis for offentlige organer og vedkommende organer nevnt i artikkel 7 nr. 1 som behandler anmodninger om viderebruk av kategoriene av data nevnt i artikkel 3 nr. 1 (bokstav a).

• Gi råd til og bistå Kommisjonen med å utarbeide en konsekvent praksis for dataaltruisme i hele Unionen (bokstav b).

• Gi råd til og bistå Kommisjonen med å utarbeide konsekvent saksbehandling hos tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner (bokstav c).

• Gi råd til og bistå Kommisjonen med å utarbeide konsekvente retningslinjer for hvordan man innenfor rammen av forordningen best kan verne andre sensitive data enn personopplysninger, særlig forretningshemmeligheter, men også andre data enn personopplysninger med innhold som er beskyttet av immaterielle rettigheter, mot ulovlig tilgang som kan føre til tyveri av immaterielle rettigheter eller industrispionasje (bokstav d).

• Gi råd til og bistå Kommisjonen med å utarbeide konsekvente retningslinjer for cybersikkerhetskrav ved utveksling og lagring av data (bokstav e).

• Gi råd til Kommisjonen, særlig med hensyn til innspill fra standardiseringsorganisasjoner, om prioriteringen av tverrsektorielle standarder som skal brukes og utvikles for databruk, og tverrsektoriell datadeling mellom nye felles europeiske dataområder, og tverrsektoriell sammenligning og utveksling av beste praksis om sektorspesifikke krav til sikkerhet og tilgangsprosedyrer, idet det tas hensyn til sektorspesifikke standardiseringsaktiviteter, særlig for å klargjøre og skille mellom hvilke standarder og praksiser som er tverrsektorielle og hvilke som er sektorspesifikke (bokstav f).

• Bistå Kommisjonen, særlig med hensyn til innspill fra standardiseringsorganisasjoner, med å håndtere oppsplittingen av det indre marked og dataøkonomien i det indre marked ved å styrke datasamvirkningsevnen på tvers av landegrenser og sektorer samt datadelingstjenester mellom forskjellige sektorer og områder på grunnlag av eksisterende europeiske, internasjonale eller nasjonale standarder, blant annet for å oppmuntre til opprettelse av felles europeiske dataområder (bokstav g).

• Foreslå retningslinjer for felles europeiske dataområder, dvs. formåls- eller sektorspesifikke eller tverrsektorielle samvirkende rammer for felles standarder og praksis med hensyn til deling eller felles behandling av data til eksempelvis utvikling av nye produkter og tjenester, vitenskapelig forskning eller sivilsamfunnsinitiativer, i det slike felles standarder og praksiser tar hensyn til eksisterende standarder, overholder konkurransereglene og sikrer ikke-diskriminerende adgang for alle deltakerne, letter datadeling i Unionen og utnytter potensialet i eksisterende og framtidige dataområder, som blant annet omhandler (bokstav h):

  • Tverrsektorielle standarder som skal brukes og utvikles for databruk og tverrsektoriell datadeling, og tverrsektoriell sammenligning og utveksling av beste praksis med hensyn til sektorspesifikke krav til sikkerhet og tilgangsprosedyrer, idet det tas hensyn til sektorspesifikke standardiseringsaktiviteter, særlig for å klargjøre og skille mellom hvilke standarder og praksiser som er tverrsektorielle og hvilke som er sektorspesifikke.

  • Krav for å motvirke hindre for tilgang til markedet og unngå fastlåsing, for å sikre rettferdig konkurranse og samvirkningsevne.

  • Tilstrekkelig vern av lovlige overføringer av data utenfor Unionen, inkludert beskyttelsestiltak mot alle overføringer som er forbudt i henhold til unionsretten.

  • En hensiktsmessig og ikke-diskriminerende representasjon av relevante parter i styringen av felles europeiske dataområder.

  • Overholdelse av cybersikkerhetskrav i samsvar med unionsretten.

• Fremme samarbeidet mellom medlemsstatene med hensyn til fastsettelse av harmoniserte vilkår som gjør det mulig å viderebruke data nevnt i artikkel 3 nr. 1 som innehas av offentlige organer på tvers av det indre markedet (bokstav i).

• Fremme samarbeidet mellom tilsynsmyndighetene for dataformidlingstjenester og tilsynsmyndighetene for anerkjente dataaltruismeorganisasjoner gjennom kapasitetsoppbygging og utveksling av informasjon, særlig ved å utarbeide metoder for effektiv utveksling av informasjon i forbindelse med innmelding av tilbydere av dataformidlingstjenester, og registrering og tilsyn med anerkjente dataaltruismeorganisasjoner, inkludert samordning med hensyn til fastsettelse av gebyrer eller sanksjoner, samt fremme samarbeidet mellom tilsynsmyndighetene om internasjonal tilgang til og overføring av data (bokstav j).

• Gi råd til og bistå Kommisjonen med å vurdere om det skal vedtas gjennomføringsrettsakter etter artikkel 5 nr. 11 og 12 (bokstav k).

• Gi råd til og bistå Kommisjonen med å utvikle et europeiske skjema for samtykke i dataaltruisme i samsvar med artikkel 25 nr. 1 (bokstav l).

• Gi råd til Kommisjonen om forbedring av de internasjonale regulatoriske rammene for andre data enn personopplysninger, inkludert standardisering (bokstav m).

6.7 Internasjonal deling av data (kapittel VII)

Kapittel VII har i artikkel 31 regler om internasjonal tilgang til og overføring av beskyttede data.

Det offentlige organet eller den fysiske eller juridiske personen som har fått rett til å viderebruke data i henhold til kapittel II, tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen, alt etter hva som er relevant, skal treffe alle rimelige tekniske, rettslige og organisatoriske tiltak, inkludert avtaleregulerte ordninger, for å hindre internasjonal overføring av eller statlig tilgang til andre data enn personopplysninger som er lagret i Unionen, dersom en slik overføring eller statlig tilgang er i strid med unionsretten eller nasjonal rett i den relevante medlemsstaten, uten at dette berører bestemmelsene i etterfølgende nr. 2 eller 3 (artikkel 31 nr. 1).

Enhver dom avsagt av en domstol eller rett, og enhver beslutning truffet av en forvaltningsmyndighet i et tredjeland som krever at et offentlig organ, en fysisk eller juridisk person som har fått rett til å viderebruke data i henhold til kapittel II, en tilbyder av dataformidlingstjenester eller en anerkjent dataaltruismeorganisasjon skal overføre andre data enn personopplysninger som omfattes av denne forordningens virkeområde, fra Unionen eller gi tilgang til slike data i Unionen, kan bare anerkjennes eller håndheves dersom den bygger på en internasjonal avtale, for eksempel en traktat om gjensidig juridisk bistand mellom det anmodende tredjelandet og Unionen eller en avtale mellom det anmodende tredjelandet og en medlemsstat (artikkel 31 nr. 2).

Ved fravær av en slik internasjonal avtale, dersom et offentlig organ, en fysisk eller juridisk person som har fått rett til å viderebruke data i henhold til kapittel II, en tilbyder av dataformidlingstjenester eller en anerkjent dataaltruismeorganisasjon er adressat for en beslutning truffet av en domstol eller en forvaltningsmyndighet i et tredjeland om å overføre andre data enn personopplysninger som omfattes av denne forordningens virkeområde, og som er lagret i Unionen, fra Unionen, eller gi tilgang til slike data i Unionen, og dersom overholdelsen av en slik beslutning risikerer å medføre at adressaten handler i strid med unionsretten eller nasjonal rett i den relevante medlemsstaten, skal overføring av slike data til det aktuelle tredjelandets myndighet eller dennes tilgang til disse dataene bare finne sted (artikkel 31 nr. 3) dersom:

• Tredjelandets system krever at årsakene til beslutningen og beslutningens forholdsmessighet skal fastsettes, og det kreves at rettskjennelsen eller beslutningen, alt etter hva som er relevant, er av en spesifikk art, for eksempel ved å fastslå en tilstrekkelig sterk kopling til visse mistenkte personer eller overtredelser,

• adressatens begrunnede innsigelse kan prøves ved en domstol i tredjelandet, og

• domstolen som utsteder kjennelsen eller prøver en beslutning fra en forvaltningsmyndighet, i henhold til det aktuelle tredjelandets rett, har myndighet til å ta behørig hensyn til de relevante rettslige interessene til leverandøren av dataene som vernes av unionsretten eller nasjonal rett i den relevante medlemsstaten.

Dersom vilkårene i nr. 2 eller 3 er oppfylt, skal det offentlige organet, den fysiske eller juridiske personen som har fått rett til å viderebruke data i henhold til kapittel II, tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen, alt etter hva som er relevant, gjøre tilgjengelig den minste mengden data som er tillatt som svar på en anmodning, på grunnlag av en rimelig fortolkning av anmodningen (artikkel 31 nr. 4).

Det offentlige organet eller den fysiske eller juridiske personen som har fått rett til å viderebruke data i henhold til kapittel II, tilbyderen av dataformidlingstjenester og den anerkjente dataaltruismeorganisasjonen, skal underrette datainnehaveren om at det foreligger en anmodning fra en forvaltningsmyndighet i et tredjeland om å få tilgang til vedkommendes data før de oppfyller denne anmodningen, unntatt i tilfeller der anmodningen tjener rettshåndhevingsformål som er nødvendig for å sikre at rettshåndhevingsaktiviteten er effektiv (artikkel 31 nr. 5).

6.8 Delegert myndighet til å vedta utfyllende rettsakter (kapittel VIII)

Kapittel VIII har i artikkel 32 og 33 bestemmelser om Kommisjonens hjemmel til å gi utfyllende rettsakter.

Kommisjonen gis myndighet til å vedta delegerte rettsakter nevnt i artikkel 5 nr. 13 og artikkel 22 nr. 1 for en ubegrenset periode fra 23. juni 2022 (artikkel 32 nr. 1 og 2).

Den delegerte myndigheten nevnt i artikkel 5 nr. 13 og artikkel 22 nr. 1 kan når som helst tilbakekalles av Europaparlamentet eller Rådet. En beslutning om tilbakekalling innebærer at den delegerte myndigheten som angis i beslutningen, opphører å gjelde, og trer i kraft dagen etter at den er kunngjort i Den europeiske unions tidende eller på et senere tidspunkt angitt i beslutningen. Beslutningen berører ikke gyldigheten av delegerte rettsakter som allerede er trådt i kraft (artikkel 32 nr. 3).

Før Kommisjonen vedtar en delegert rettsakt, skal den rådspørre sakkyndige utpekt av hver medlemsstat i samsvar med prinsippene i den tverrinstitusjonelle avtalen av 13. april 2016 om bedre regelverksutforming (artikkel 32 nr. 4).

Så snart Kommisjonen vedtar en delegert rettsakt, skal den underrette Europaparlamentet og Rådet (artikkel 32 nr. 5).

En delegert rettsakt vedtatt i henhold til artikkel 5 nr. 13 eller artikkel 22 nr. 1 skal bare tre i kraft dersom verken Europaparlamentet eller Rådet har gjort innsigelse mot rettsakten innen tre måneder etter at rettsakten ble meddelt Europaparlamentet eller Rådet, eller dersom Europaparlamentet og Rådet innen fristen har underrettet Kommisjonen om at de ikke kommer til å gjøre innsigelse. Fristen forlenges med tre måneder på Europaparlamentets eller Rådets initiativ (artikkel 32 nr. 6).

Kommisjonen skal bistås av en komité som definert i forordning (EU) nr. 182/2011 om generelle regler for hvordan medlemsstatene kontrollerer Kommisjonens hjemmel til å gi gjennomføringsrettsakter (artikkel 33):

• Når det vises til artikkel 33 nr. 2, får artikkel 4 om rådgivningsprosedyren i nevnte forordning anvendelse. Dette innebærer at komitéen skal avgi en uttalelse. Dersom det er nødvendig med avstemning skjer vedtak med alminnelig flertall blant komitéens medlemmer. Kommisjonen skal deretter fatte vedtak om rettsakten som i størst mulig grad tar hensyn til konklusjonene fra komitéens drøftinger og uttalelser.

• Når det vises til artikkel 33 nr. 3, får artikkel 5 om undersøkelsesprosedyren i nevnte forordning anvendelse. Dette innebærer at komiteen iverksetter en undersøkelsesprosedyre, som hvis den ender med positivt vedtak eller ikke noe vedtak, innebærer at Kommisjonen kan vedta rettsakten. Hvis den derimot ender med negativt vedtak, skal rettsakten ikke iverksettes, og det igangsettes en omfattende prosess for avklaring og eventuell vedtakelse av en endret rettsakt.

Komiteen har fått navnet «Data policy committee» (C124400) og hadde sitt første møte 12. juni 2023.66 Norge møter som observatør i komiteen.

6.9 Avslutnings- og overgangs-bestemmelser (kapittel IX)

6.9.1 Innledning

Kapittel IX omfatter forskjellige bestemmelser.

Artikkel 34 pålegger medlemslandene å fastsette sanksjonsbestemmelser ved brudd på reglene om dataformidlingstjenester og dataaltruismeorganisasjoner og reglene om internasjonal datatilgang.

Artikkel 35 omfatter bestemmelser om evaluering og revisjon av forordningen.

Artikkel 36 omfatter noen mindre endringer i forordning (EU) 2018/1724 av 2. oktober 2018 om opprettelse av en felles digital portal for å gi tilgang til opplysninger, prosedyrer og støtte- og problemløsingstjenester.

Artikkel 37 omfatter en overgangsbestemmelse, og artikkel 38 en bestemmelse om ikraftsetting av forordningen.

6.9.2 Fastsetting av nasjonale sanksjonsbestemmelser

Medlemsstatene skal fastsette regler for sanksjoner som får anvendelse ved overtredelse av forpliktelsene vedrørende overføring av andre data enn personopplysninger til tredjeland i samsvar med artikkel 5 nr. 14 og artikkel 31, plikten tilbydere av dataformidlingstjenester har til å levere melding i samsvar med artikkel 11, vilkårene for å levere tjenester i samsvar med artikkel 12, vilkår for registrering som en anerkjent dataaltruismeorganisasjon i samsvar med artikkel 18, 20, 21 og 22, og treffe alle nødvendige tiltak for å sikre at de gjennomføres. Sanksjonene skal være virkningsfulle, stå i forhold til overtredelsen og virke avskrekkende (artikkel 34. nr. 1 første og andre punktum).

Medlemsstatene skal i sine regler for sanksjoner ta hensyn til anbefalingene fra Det europeiske datainnovasjonsråd. Medlemsstatene skal innen 24. september 2023 underrette Kommisjonen om disse bestemmelsene og tiltakene, og deretter om eventuelle senere endringer (artikkel 34 nr. 1 tredje punktum). En annen dato vil gjelde for Norge avhengig av når forordningen blir tatt inn i EØS-avtalen.

Medlemsstatene skal ved overtredelse av forordningen ta hensyn til følgende ikke-uttømmende og veiledende kriterier for ilegging av sanksjoner mot tilbydere av dataformidlingstjenester og anerkjente dataaltruismeorganisasjoner (artikkel 34 nr. 2):

• Overtredelsens art, alvorlighetsgrad, omfang og varighet.

• Eventuelle tiltak truffet av tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen for å begrense eller avhjelpe skaden som overtredelsen har forårsaket.

• Eventuelle tidligere overtredelser begått av tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen.

• De økonomiske fordelene som tilbyderen av dataformidlingstjenester eller den anerkjente dataaltruismeorganisasjonen har oppnådd, eller tapet som er unngått, som følge av overtredelsen, i den grad slike fordeler eller tap kan fastslås på pålitelig vis.

• Eventuelle andre skjerpende eller formildende omstendigheter i saken.

Kommisjonen skal senest 24. september 2025 foreta en evaluering av denne forordningen og framlegge en rapport om de viktigste resultatene for Europaparlamentet og Rådet, og for Den europeiske økonomiske og sosiale komité. Rapporten skal ved behov følges opp med lovforslag (artikkel 35 første ledd).

Evalueringen skal særlig vurdere (artikkel 35 andre ledd):

• Anvendelsen av og virkemåten til reglene for sanksjoner fastsatt av medlemsstatene i henhold til artikkel 34.

• I hvilken grad de juridiske representantene for tilbydere av dataformidlingstjenester og dataaltruismeorganisasjoner som ikke er etablert i Unionen, overholder denne forordningen, og i hvilken grad disse tilbyderne og organisasjonene håndhever disse sanksjonene.

• Typen dataaltruismeorganisasjoner som er registrert i henhold til kapittel IV, og oversikt over hvilke formål av allmenn interesse det deles data for, med henblikk på å fastsette klare kriterier for dette.

Medlemsstatene skal gi Kommisjonen alle opplysningene som er nødvendig for å utarbeide denne rapporten (artikkel 35 tredje ledd).

6.9.3 Endringer i forordning (EU) 2018/1724

Endringer i forordning (EU) 2018/1724 om en felles digital portal for å gi tilgang til opplysninger, prosedyrer og støtte- og problemløsing, er avgrenset til modelleringen av en av sju livshendelser som denne forordningen standardiserer, nærmere bestemt det å starte, drive og avslutte en forretning. Endringene er en tilpasning til innføringen av reglene i forordningen om tilbydere av dataformidlingstjenester (artikkel 36).

Kommunal- og distriktsdepartementet sendte forslag til nasjonal gjennomføring av forordning (EU) 2018/1724 på høring 7. desember 2023 med høringsfrist 13. mars 2024.67 I høringen ble det foreslått å gjennomføre forordningen med en egen forskrift om en europeisk dataportal. Forskriften ble foreslått gitt med hjemmel i forvaltningsloven § 15 a.

6.9.4 Avsluttende bestemmelser

Enheter som 23. juni 2022 tilbyr dataformidlingstjenester som er omfattet av artikkel 10, skal oppfylle kravene fastsatt i kapittel III innen 24. september 2025 (artikkel 37).

Forordningen er bindende i alle enkeltheter og gjelder umiddelbart i alle medlemsstatene. Den trådte i kraft 23. juni 2022 med effekt fra 24. september 2023 (artikkel 38).

Andre datoer vil gjelde for Norge avhengig av når forordningen blir tatt inn i EØS-avtalen.

7 Rettstilstanden i andre land

7.1 Innledning

Lovgivningen i andre land kan vise alternative løsninger som kan brukes som inspirasjon i Norge.

I kapittel 7 gir utvalget en kortfattet fremstilling av lovgivningen som gjennomfører åpne data-direktivet og dataforvaltningsforordningen i de andre nordiske landene. Utvalget kommer også nærmere inn på hvordan disse landene har løst konkrete spørsmål av særlig interesse for utvalget, for eksempel databegrepet og forholdet mellom offentlighetsprinsippet og bestemmelser om viderebruk.

7.2 Sverige

Sverige gjennomførte åpne data-direktivet med «lag (2022:818) om den offentliga sektorns tillgängliggörande av data» (öppna data-lagen). Loven trådte i kraft 1. august 2022. Loven erstattet den loven som tidligere gjennomførte PSI-direktivet.68

Loven regulerer hvordan tilgjengeliggjøring av offentlig sektors data skal skje. Loven definerer data som «informasjon i digitalt format uavhengig av medium» jf. lovens § 4. Utvalget observerer her at den svenske loven kun gjelder for digitale data, noe som er i samsvar med datadefinisjonen i dataforvaltningsforordningen artikkel 2 nr. 1. Loven ble endret for å harmonisere databegrepet i åpne dataloven med dataforvaltningsforordningen sommeren 2023 etter anbefaling fra den svenske utredningen om dataforvaltningsforordningen. Svenske myndigheter vurderte det som unødvendig å la loven som gjennomfører åpne data-direktivet regulere retten til viderebruk av informasjon i papirformat, da dette er ivaretatt av kapittel 2 av tryckfrihetsförordning (1949:105).69 For utvalgets vurderinger av databegrepet, se kapittel 9.3.1.

Sammen med ikraftsettingen av åpne data-loven ble Myndigheten för digital förvaltning (Digg) gitt ansvar for å fremme åpen og datadreven innovasjon, tilgang til og viderebruk av åpne data fra offentlig forvaltning.70 Digg er et direktorat underlagt Finansdepartementet i Sverige, med nasjonalt ansvar på digitaliseringsområdet.

En utredning med forslag til svensk oppfølging av dataforvaltningsforordningen ble avlevert juli 2023.71 I utredningen blir det foreslått en ny lov med kompletterende bestemmelser til forordningen i tillegg til enkelte endringer i den svenske dataloven (öppna data-lagen). De kompletterende bestemmelsene peker ut nasjonale organer for roller etter dataforvaltningsforordningen. I utredningen blir det foreslått at Post- och telestyrelsen får rollen som både tilsynsorgan for dataformidlingstjenester og tilsynsorgan for registrering av dataaltruisme organisasjoner. Som kompetent organ for bistand i forbindelse med tilgang til beskyttede data i sikkert behandlingsmiljø, jf. dataforvaltningsforordningen artikkel 7, blir Digg i samarbeid med Statistiska centralbyrån foreslått som kandidater. Digg blir også foreslått som sentralt informasjonspunkt for opplysninger om vilkår og gebyrer for viderebruk av beskyttede data, jf. dataforvaltningsforordningen artikkel 8.

I kompletteringsforslaget til utredningen blir det foreslått å utvide den svenske dataloven til også å gjelde beskyttede data. Regjeringen i Sverige har sendt lovproposisjon om kompletteringsforslaget til behandling hos Sveriges riksdag. Forslaget blir behandlet i løpet av våren 2024.

7.3 Danmark

Danmark gjennomførte åpne data-direktivet med endringer i den gjeldende «lov om videreanvendelse af den offentlige sektors informationer», som før dette gjennomførte PSI-direktivet. Endringene trådte i kraft 1. juli 2021. Loven omtales fortsatt som «PSI-loven».

Loven fastsetter generelle rammebetingelser for å fremme viderebruk av offentlig informasjon på transparente og ikke-diskriminerende vilkår. Loven gjelder når en offentlig myndighet på eget initiativ gir tilgang til informasjon, og når tilgangen gis på grunnlag av et krav om å kunne viderebruke informasjonen. Loven endrer ikke ordningene for dokumenttilgang slik disse er fastsatt i offentlighetsloven og forvaltningsloven i Danmark.

I forbindelse med gjennomføringen av dataforvaltningsforordningen, ble det tatt inn en bestemmelse i PSI-loven som slår fast at loven ikke omfatter dokumenter og datasamlinger hvor tilgang er unntatt fra dokumentinnsyn etter forvaltningsloven eller offentlighetsloven, eller for å beskytte sensitive opplysninger om kritisk infrastruktur. Endringen trådte i kraft 24. september 2023. Utvalget er ikke kjent med noen utredninger om oppfølging av andre sider ved forordningen.

PSI-loven bruker grunnbegrepet «dokumenter og datasamlinger» for å referere til «dokument» etter artikkel 2 nr. 6 i åpne data-direktivet. Dette begrepet brukes for å dekke alle typer data beskrevet i åpne data-direktivet artikkel 2 nr. 6, men også for å harmonisere med dansk administrativ praksis. Utvalget merker seg at Danmark opererer med forskjellige databegreper mellom PSI-loven (basert på gjennomføringen av åpne data-direktivet) og dataforvaltningsforordningen.

Den danske offentlighetsloven § 12 har en bestemmelse om allmennhetens rett til innsyn i databeskrivelser om hvilke data en database inneholder, om kriterier for innsamling og registrering av dataene, kilder, innsamlingstidspunkt og oppdateringsfrekvens samt opplysninger om hvilke formater en database benytter seg av.

7.4 Finland

Finland har basert sin gjennomføring av åpne data-direktivet ved å henvise til allerede eksisterende lovgivning om offentlig informasjonsforvaltning (informasjonsforvaltningsloven)72 og lov om offentlighet i forvaltningen (offentlighetsloven)73. Dette er en videreføring av den tidligere måten PSI-direktivet ble gjennomført. Ved gjennomføringen av åpne data-direktivet ble det vedtatt noen endringer i de to lovene, blant annet ble det tatt inn bestemmelser om dynamiske data og datasett med høy verdi i informasjonsforvaltningsloven § 24 bokstav a og b. I tillegg ble det føyd til to nye spesiallover, en lov om viderebruk av data som innehas av foretak som produserer allmennyttige tjenester,74 og en lov om viderebruk av forskningsdata som produseres med offentlige midler.75 Endringene og de to nye lovene trådte i kraft 17. juli 2021.

Hovedformålet med den finske informasjonsforvaltningsloven er å fremme god håndtering av informasjon i offentlig virksomhet, sikker og effektiv bruk av informasjonen og god samspill mellom informasjonssystemer og databaser. Loven har bestemmelser om digitalisering, forvaltning, tilgang til og overføring av informasjon.

Den finske informasjonsforvaltningsloven § 28 krever at offentlige virksomheter som forvalter data, skal utarbeide beskrivelser for databaser og sakregistre. Beskrivelsene skal blant annet redegjøre for hvilke myndigheter som står for utleveringen av dataene, hvilke data som inngår, hvilke søkeord som kan benyttes og om det er åpen tilgang til dataene via elektroniske grensesnitt. Beskrivelsene skal publiseres så langt disse ikke er taushetsbelagte. I likhet med bestemmelsen i den danske offentlighetsloven § 12, merker utvalget seg denne bestemmelsen som inspirasjon til forslag til lov om datadeling.

Den finske offentlighetsloven skal sikre åpenhet om offentlig virksomhet. Loven gjelder i hovedsak innsyn i saksdokumenter. Det finnes ingen generelle bestemmelser om viderebruk av offentlig informasjon i loven. Det er tatt inn en bestemmelse om at datasett med høy verdi skal være gratis i offentlighetsloven som del av gjennomføringen av åpne data-direktivet.

Transport og kommunikasjonsmyndigheten fungerer som tilsyn for dataformidlingstjenester og registrering av anerkjente dataaltruismeorganisasjoner. Myndigheten rapporterer at enkelte organisasjoner har meldt seg for mulig registrering.

7.5 Island

Island gjennomførte PSI-direktivet (2003/98/EF) i sin offentlighetslov i 2006. I 2018 i forbindelse med gjennomføringen av endringsdirektivet til PSI (2013/37/EU), ble viderebruksbestemmelsene tatt ut av offentlighetsloven og flyttet til en ny og egen lov om viderebruk av offentlig sektors informasjon. Gjennomføringen av åpne data-direktivet er foreslått videreført i den samme loven. En lovproposisjon om dette skal behandles av Alltinget i løpet av våren 2024.76

Island rapporterer at flyttingen av bestemmelsene ut av offentlighetsloven kan ha ført til redusert kunnskap om- og bruk av viderebruksbestemmelsene. Det kan antas at bakgrunnen for dette er at offentlighetsloven er en allment kjent lov som regulerer noe allmennheten har interesse i å vite om, mens «viderebruk» oppleves som et mer spesialisert tema, men dette har ikke blitt utredet nærmere så langt utvalget er kjent.

Island har en egen bestemmelse i sin viderebrukslov som krever navngivelse hver gang informasjon fra offentlig sektor blir brukt til nye formål, noe som hindrer muligheten for bruk av CC0 lisenser. Island utforsker for tiden mulighetene for å endre denne bestemmelsen i forbindelse med gjennomføringen av åpne data-direktivet.

Det islandske sivilombudet (Umboðsmaður Alþingis) har uttalt at selskapsdata fra det offentlige bør være gratis.77 Dette har betydning for gjennomføringen av HVD-forordningen da det tidligere har eksistert praksis med å ta brukerbetalt for selskapsdata, som kan være i strid med forordningens krav om at konkrete typer datasett om selskaper skal være gratis.