Unia Europejska od lat buduje system regulacji cyfrowych, którego celem jest wzmocnienie pozycji użytkowników, rozwój gospodarki danych i zwiększenie konkurencyjności rynku cyfrowego, po Data Governance Act kolejnym kamieniem milowym jest Data Act – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828. Akt ten wszedł w życie 11 stycznia 2024 r., jednak zgodnie z art. 50 będzie stosowany dopiero od 12 września 2025 r. (z pewnymi wyjątkami przewidzianymi na lata 2026 i 2027).
Głównym celem Data Act jest zapewnienie sprawiedliwego i niedyskryminacyjnego dostępu do danych. Oznacza to, że użytkownik IoT (ang. internet of things), czyli sieci połączonych ze sobą urządzeń wyposażonych w czujniki, oprogramowanie i inne technologie, które umożliwiają im gromadzenie i wymianę danych przez internet bez ingerencji człowieka, będzie miał pełne prawo do danych generowanych przez to narzędzie oraz możliwość udostępnienia ich wskazanym podmiotom – także konkurentom producenta. Rozporządzenie przewiduje również wzmocnienie pozycji użytkowników poprzez nadanie im realnej kontroli nad własnymi danymi, ograniczenie zjawiska vendor lock-in (uzależnienia od jednego dostawcy usług chmurowych) i stworzenie ram prawnych dla udostępniania danych organom publicznym w sytuacjach wyjątkowych. Nie można zapominać, że przepisy obejmują zarówno dane osobowe, jak i nieosobowe – przy czym w przypadku danych osobowych wciąż pierwszeństwo ma RODO.
Data Act wprowadza szereg zasad regulujących dostęp do danych i ich wykorzystania, najważniejszymi z nich są:
- Prawo użytkownika do danych – użytkownik produktu lub usługi IoT otrzymuje prawo do pełnego dostępu do danych generowanych przez to urządzenie lub usługę.
- Obowiązek udostępniania danych innym podmiotom – na żądanie użytkownika, w tym przedsiębiorstwom konkurencyjnym wobec producenta czy dostawcy usług.
- Ochrona poufności i tajemnicy przedsiębiorstwa – możliwość odmowy udostępnienia danych w uzasadnionych przypadkach np. gdy istnieje wysokie ryzyko poważnych strat gospodarczych.
- Ułatwienie zmiany dostawcy usług przetwarzania danych – wprowadzenie standardów interoperacyjności i ograniczenia opłat za migrację.
- Dostęp sektora publicznego do danych prywatnych – w czasie klęsk żywiołowych, zagrożeń zdrowotnych czy kryzysów bezpieczeństwa publicznego, udostępniane zgodnie z określonymi procedurami przy zachowaniu zasad poufności i bezpieczeństwa informacji.
- Zasady rekompensaty – użytkownicy otrzymują dane bez opłat, odbiorcy mogą być obciążeni uzasadnionymi kosztami udostępnienia.
- Modernizacja systemów IT w celu zapewnienia dostępu i wymiany danych, dostosowanie procedur bezpieczeństwa i ochrony danych oraz wprowadzenie nowych klauzul dotyczących danych.
Co to oznacza dla przedsiębiorstw? Konieczność modernizacji systemów IT, wprowadzenia nowych klauzul umownych, procedur bezpieczeństwa i raportowania. Choć wiąże się to z kosztami inwestycyjnymi, równocześnie otwiera dostęp do danych wcześniej niedostępnych – zwłaszcza tych generowanych automatycznie przez IoT i przechowywanych wyłącznie u producentów. Może to przynieść rozwój nowych usług, zwiększyć konkurencję i poprawić mobilność użytkowników na rynku chmurowym.
Jednak Data Act to nie tylko szanse, lecz także wyzwania. Regulacja może prowadzić do sporów o zakres danych podlegających obowiązkowi udostępniania, zwiększyć ryzyko niezamierzonego ujawnienia wrażliwych informacji, czy narzucić wysokie koszty wdrożenia szczególnie dla MŚP. Niezwykle istotne jest także pogodzenie wymogów Data Act i RODO – każdorazowe udostępnienie danych osobowych musi być zgodne z przepisami o ochronie prywatności. Wreszcie, w przypadku naruszenia obowiązków przewidziane są kary: państwa członkowskie będą ustalać ich wysokość, a jeśli naruszenie dotyczy danych osobowych, zastosowanie znajdą sankcje z RODO – nawet do 20 mln euro lub 4% rocznego obrotu.
Data Act wprowadza nowe ramy prawne dotyczące gromadzenia, przechowywania i udostępniania danych. Przedsiębiorstwa będą zobowiązane do dostosowania swojej działalności do wymogów regulacyjnych, w tym w zakresie bezpieczeństwa, interoperacyjności i udostępniania danych uprawnionym podmiotom. Regulacja obejmuje przedsiębiorstwa działające w obszarze urządzeń podłączonych do sieci, usług przetwarzania danych w chmurze oraz podmioty tworzące i wykorzystujące produkty cyfrowe generujące informacje. Oznacza to, że podlegają jej zarówno producenci sprzętu elektronicznego, jak i dostawcy aplikacji oraz operatorzy infrastruktury danych.
Podsumowując Data Act to unijne rozporządzenie regulujące zasady dostępu do danych generowanych przez urządzenia i usługi cyfrowe. Jego celem jest wzmocnienie pozycji użytkowników, zwiększenie konkurencji i ograniczenie zjawiska vendor lock-in w usługach chmurowych. Użytkownicy zyskują prawo do wglądu i przekazywania danych, a przedsiębiorstwa muszą dostosować infrastrukturę IT, procedury bezpieczeństwa i umowy do nowych wymogów. Regulacja przewiduje także ochronę poufności, zasady rekompensaty oraz możliwość udostępniania danych organom publicznym w sytuacjach wyjątkowych. Mimo że wdrożenie wiąże się z kosztami i ryzykiem, Data Act otwiera drogę do rozwoju innowacyjnych usług i tworzy bardziej konkurencyjny rynek danych w Unii Europejskiej.
