Bakgrunnen for FFD-forordningen er at dagens regelverk ikke anses tilstrekkelig for å kunne skape et velfungerende digitalt indre marked. En viktig grunn til dette er at mange EU-land har nasjonale regler som begrenser muligheten til å lagre og behandle data utenfor landets grenser. Den norske bokføringsloven krever blant annet at regnskapsdata skal lagres innad i Norge.

Hva medfører FFD for virksomheter i Norge?

FFD vil sikre at lagring og behandling av slike data ikke må begrenses til ett EU/EØS-land. Det kan derfor ikke være forbudt eller bli begrenset av nasjonale regler å behandle eller lagre data utenfor landets grenser.  Unntaket er de tilfeller hvor myndighetene har fastsatt nasjonale begrensninger grunnet i offentlig sikkerhet. Virksomheter vil derfor få mulighet til å samle inn, lagre, bruke, overføre eller administrere slike data for eksempel ved å bruke skytjenester hvor som helst innenfor EU.

Virksomheter må imidlertid etterkomme myndighetenes legitime forespørsler om tilgang til data. Dette gjelder selv om data er lagret i et annet EU/EØS-land.

Hvilke opplysninger omfattes av FFD?

FFD regulerer fri flyt av andre opplysninger enn personopplysninger. Med personopplysninger menes enhver opplysning om en identifisert eller identifiserbar fysisk person. Slike personopplysninger reguleres av GDPR.

FFD vil gjelde opplysninger som ikke er personopplysninger slik som: data om trafikkforhold, selskaper eller anonymiserte data, som ikke kan knyttes til en identifisert eller identifiserbar fysisk person.

Noen datasett inneholder både personopplysninger og andre opplysninger, for eksempel data fra et forsikringsselskap som inneholder både kundeopplysninger og opplysninger om eventuelle skadeutbetalinger. I dette tilfellet vil FFD gjelde utbetalingsopplysningene, og GDPR de øvrige personopplysningene. I noen tilfeller kan imidlertid personopplysninger og andre opplysninger være uløselig knyttet sammen. Med dette forstås at det ikke er praktisk eller teknisk mulig, eller økonomisk lønnsomt, å skille data fra hverandre. I et slikt tilfelle vil GDPR gjelde for hele datasettet. Det er derfor viktig å ha kontroll på når FFD kommer til anvendelse og når det er GDPR som gjelder.

Rettigheter til data kan sikres gjennom avtale

Veksten i digitale tjenestetilbud bidrar til økt fokus på verdien av data. I kombinasjon med innføringen av FFD, som potensielt medfører økt flyt av data over landegrensene, blir det nå viktig at virksomheter gjennomgår både hvilke rettigheter man har til å bruke viktige data samt hvordan man har sikret at egne data kun brukes til de formål virksomheten ønsker, når andre får tilgang til dataene.

I noen tilfeller er det lovregulert hvem som har rettigheter til data. Data med kommersiell verdi som holdes hemmelig vil for eksempel være sikret gjennom forretningshemmelighetsloven. Andre data kan ha vern etter databasedirektivet eller etter regler om opphavsrett. Det vil likevel være enklere for en virksomhet å sikre seg rettigheter til sentrale data gjennom avtale. For eksempel hvis virksomheten har en underleverandør, så kan en gjennom avtale regulere at underleverandøren kun kan benytte virksomhetens data for å produsere selve tjenesten.

Rettigheter til data vil derfor best kunne sikres gjennom inngåelse av avtaler hvor slike rettigheter blir nærmere regulert.

Hør podkastepisode med samme tema i Brækhus’ podkast Lovlytt.