Den 12 september 2025 började dataförordningen (Data Act), Regulation (EU) 2023/2854, att tillämpas i hela EU. Förordningen antogs den 13 december 2023 och är direkt tillämplig i Sverige utan att behöva omvandlas till svensk lag. För många svenska bolag är det här den mest underskattade regleringen på flera år: den rör inte bara personuppgifter (som GDPR), utan all data som genereras av uppkopplade produkter och relaterade tjänster samt villkoren för att byta molnleverantör.

Den här guiden går igenom vad förordningen faktiskt kräver, vilka datum som gäller, och vad svenska tillverkare, SaaS-bolag och IoT-leverantörer behöver göra nu.

Vad är dataförordningen, kort?

Data Act är en horisontell förordning. Den gäller alltså tvärs över branscher och kompletterar GDPR i stället för att ersätta den. Syftet är att frigöra värdet i den enorma mängd data som industriella maskiner, fordon, smarta produkter och molntjänster genererar, och att fördela det värdet rättvisare mellan tillverkare, användare och tredje part.

I praktiken handlar förordningen om fyra saker:

  • Rätt till data från uppkopplade produkter, för användaren.
  • Datadelning mellan företag (B2B) och i undantagsfall till offentlig sektor (B2G).
  • Molnbyte (switching) mellan databehandlingstjänster, utan inlåsning.
  • Skäliga avtalsvillkor som skydd mot ensidigt påtvingade orättvisa klausuler.

De viktiga datumen du måste hålla reda på

Förordningen rullas in stegvis. Enligt artikel 50 gäller följande:

  • 12 september 2025 – förordningen tillämpas som huvudregel.
  • 12 september 2026 – kravet i artikel 3.1 (att produkter ska vara designade så att data är direkt tillgänglig) gäller uppkopplade produkter och relaterade tjänster som släpps ut på marknaden efter detta datum. Det är alltså ett krav på inbyggd dataåtkomst (access by design) för nya produkter.
  • 12 januari 2027 – molnleverantörer får inte längre ta ut några avgifter för byte av tjänst (switching charges). Fram till dess får endast reducerade avgifter tas ut (artikel 29).
  • 12 september 2027 – reglerna om oskäliga avtalsvillkor (kapitel IV) börjar gälla även för avtal som ingåtts senast den 12 september 2025, förutsatt att de löper på obestämd tid eller löper ut minst tio år efter den 11 januari 2024.

För avtal som ingås efter 12 september 2025 gäller villkorsreglerna omedelbart.

Rätt till data från uppkopplade produkter

Detta är förordningens kärna och berör varje svensk tillverkare av uppkopplade produkter, från industriell utrustning och sensorer till fordon, jordbruksmaskiner och smarta hemprodukter.

Användaren av en uppkopplad produkt har rätt att få tillgång till den data som produkten genererar vid användning, ofta direkt från enheten. Användaren kan dessutom begära att datainnehavaren delar data med en tredje part som användaren själv väljer, till exempel en oberoende reparatör, en konkurrerande tjänsteleverantör eller en analyspartner.

Det förändrar marknadslogiken. Tillverkare har länge byggt eftermarknadsaffärer på att vara ensam ägare av maskindata. Den modellen utmanas nu på flera sätt:

  • Du måste kunna lämna ut data enkelt, säkert och i ett vanligt, maskinläsbart format, gratis för användaren.
  • Du får inte använda din position som datainnehavare för att konkurrera ut den tredje part som användaren valt.
  • Förordningen skyddar samtidigt affärshemligheter: dessa måste fortfarande lämnas ut under vissa förutsättningar, men med möjlighet till skyddsåtgärder, och i undantagsfall kan delning vägras om allvarlig ekonomisk skada är sannolik.

Notera gränsdragningen mot GDPR: gäller datan en fysisk person krävs fortfarande en rättslig grund enligt dataskyddsförordningen. Data Act skapar i sig ingen ny grund för att samla in personuppgifter, den styr bara tillgången till data som redan genereras.

Molnbyte: slutet på inlåsningen

Kapitel VI riktar sig mot leverantörer av databehandlingstjänster, i praktiken moln (IaaS, PaaS, SaaS). Om du driver en SaaS-produkt är det här det område som med största sannolikhet kräver konkret arbete.

Enligt artikel 23 ska leverantörer undanröja hinder för effektivt byte och vidta åtgärderna i artiklarna 25–30. Kunden ska kunna:

  • säga upp avtalet med rimlig uppsägningstid,
  • ingå avtal med en annan leverantör för samma tjänstetyp,
  • porta ut sin exporterbara data och sina digitala tillgångar till en annan leverantör eller till en egen on-prem-lösning,
  • uppnå funktionell likvärdighet där det är tillämpligt.

Och avgifterna: enligt artikel 29 får leverantörer från och med 12 januari 2027 inte ta ut några bytesavgifter alls. Det inkluderar de ökända egress-avgifterna för att flytta ut data. Fram till dess är endast reducerade, kostnadsbaserade avgifter tillåtna. För svenska SaaS-bolag betyder det att affärsmodeller som lutar sig mot inlåsning och dyr datautflyttning har ett utgångsdatum.

Skäliga avtalsvillkor i B2B

Kapitel IV inför ett skälighetstest för ensidigt påtvingade avtalsvillkor om dataåtkomst och dataanvändning mellan företag (artikel 13). Ett villkor som ensidigt tvingats på en motpart och som är grovt oskäligt är inte bindande. Förordningen listar villkor som presumeras vara oskäliga, exempelvis sådana som otillbörligt begränsar den ena partens rätt till data den själv genererat eller bidragit till.

För svenska bolag som skriver leverantörs- och plattformsavtal innebär det en konkret översyn: standardklausuler om datarättigheter, ansvar och uppsägning behöver granskas mot den nya skälighetsstandarden.

Hur ser tillsynen ut i Sverige?

I Sverige har regeringen pekat ut Post- och telestyrelsen (PTS) som behörig tillsynsmyndighet för dataförordningen. De kompletterande svenska reglerna har dock ännu inte trätt i kraft fullt ut: i december 2025 lämnades utredningsbetänkandet SOU 2025:118 om kompletterande bestämmelser till Data Act. Det innebär att den nationella verktygslådan för sanktioner fortfarande är under uppbyggnad.

Det är dock ingen anledning att invänta full tillsyn. Förordningen gäller redan och rättigheterna kan göras gällande mellan parter, bland annat civilrättsligt. När de kompletterande reglerna är på plats väntas PTS kunna besluta om sanktionsavgifter inom de ramar som föreslås i utredningen. För överträdelser som rör personuppgifter gäller dessutom GDPR:s sanktionsnivåer parallellt.

Checklista: vad du bör göra nu

  • Kartlägg din data. Vilken data genererar dina produkter och tjänster? Vem är användare, datainnehavare respektive tredje part?
  • Bygg dataåtkomst i produkten. Nya uppkopplade produkter från september 2026 måste vara designade för enkel dataåtkomst. Det är ett tekniskt krav, inte bara ett juridiskt.
  • Inför en exportväg. Säkra ett standardiserat, maskinläsbart format och API:er för att lämna ut data och porta ut den till en annan leverantör.
  • Granska molnavtalen. Ta bort eller fasa ut bytes- och egress-avgifter inför januari 2027 och beskriv bytesprocessen tydligt i avtalen.
  • Se över standardvillkoren. Kontrollera B2B-klausuler om datarättigheter mot skälighetstestet i kapitel IV.
  • Samordna med GDPR. Säkerställ rättslig grund och skyddsåtgärder när data innehåller personuppgifter eller affärshemligheter.

Så hjälper ZORC

Dataförordningen är lika mycket en teknisk fråga som en juridisk. Rätten till data, exportformat, API:er för datadelning och funktionell likvärdighet vid molnbyte måste byggas in i själva produkten och plattformen, inte bara skrivas in i ett avtal. Det är precis i skärningspunkten mellan juridik, arkitektur och utveckling som vi arbetar.

Vill du veta vad ett dataåtkomst- eller exportflöde skulle innebära för just din produkt? Beskriv ditt projekt i vår offertkalkylator, eller hör av dig via kontakt så tittar vi på din uppkopplade produkt eller SaaS-plattform tillsammans.