Unia Europejska od lat buduje system regulacji cyfrowych, którego celem jest wzmocnienie pozycji użytkowników, rozwój gospodarki danych i zwiększenie konkurencyjności rynku cyfrowego. Po Data Governance Act kolejnym kamieniem milowym jest Data Act – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828. Akt ten wszedł w życie 11 stycznia 2024 r., jednak zgodnie z art. 50 będzie stosowany dopiero od 12 września 2025 r. (część postanowień wejdzie w życie w latach 2026 i 2027).
Głównym celem Data Act jest zapewnienie realnego dostępu do danych, m.in. użytkownikom rozwiązań IoT[1]. Rozporządzenie przyznaje pełne prawo do generowanych danych oraz możliwość udostępnienia ich wskazanym podmiotom – także konkurentom producenta urządzeń. Przewidziano również wzmocnienie pozycji użytkowników narzędzi chmurowych, w szczególności dla ograniczenia zjawiska vendor lock-in (faktycznego uzależnienia od jednego dostawcy). Przepisy Data Act obejmują przy tym zarówno dane osobowe jak i nieosobowe – przy czym w przypadku danych osobowych wciąż pierwszeństwo ma RODO.
Data Act wprowadza szereg postanowień regulujących dostęp do danych i ich wykorzystania, najważniejszymi z nich są:
- Prawo użytkownika produktu lub usługi IoT do dostępu do danych generowanych przez to urządzenie lub usługę;
- Obowiązek udostępniania danych innym podmiotom, w tym konkurentom producenta czy dostawcy usług – na żądanie użytkownika;
- Ochrona poufności i tajemnicy przedsiębiorstwa – możliwość odmowy udostępnienia danych w uzasadnionych przypadkach np. gdy istnieje wysokie ryzyko poważnych strat gospodarczych;
- Wykaz niedopuszczalnych postanowień umownych dotyczących dostępu do danych i ich wykorzystywania;
- Ułatwienie zmiany dostawcy usług przetwarzania danych – wprowadzenie standardów interoperacyjności i ograniczenia opłat za migrację;
- Dostęp sektora publicznego do danych prywatnych – w czasie klęsk żywiołowych, zagrożeń zdrowotnych czy kryzysów bezpieczeństwa publicznego, udostępniane zgodnie z określonymi procedurami przy zachowaniu zasad poufności i bezpieczeństwa informacji;
- Zasady rekompensaty – użytkownicy otrzymują dane bez opłat, inni odbiorcy mogą być obciążeni uzasadnionymi kosztami udostępnienia;
- Modernizacja systemów IT w celu zapewnienia dostępu i wymiany danych, dostosowanie procedur bezpieczeństwa i ochrony danych oraz wprowadzenie nowych klauzul dotyczących danych.
Co to oznacza dla przedsiębiorców?
Data Act wprowadza nowe ramy prawne dotyczące gromadzenia, przechowywania i udostępniania danych. Przedsiębiorstwa będą zobowiązane do dostosowania swojej działalności do wymogów regulacyjnych, w tym w zakresie bezpieczeństwa, interoperacyjności i udostępniania danych uprawnionym podmiotom. Regulacja obejmuje przedsiębiorstwa działające w obszarze urządzeń podłączonych do sieci, usług przetwarzania danych w chmurze oraz podmioty tworzące i wykorzystujące produkty cyfrowe generujące informacje. Oznacza to, że podlegają jej zarówno producenci sprzętu elektronicznego, jak i dostawcy aplikacji oraz operatorzy infrastruktury danych. Spełnienie wymogów wynikających z Rozporządzenia będzie zatem wiązać się z koniecznością modernizacji systemów IT, wprowadzenia nowych klauzul umownych, procedur bezpieczeństwa i raportowania.
Regulacja może też prowadzić do sporów o zakres danych podlegających obowiązkowi udostępniania, zwiększyć ryzyko niezamierzonego ujawnienia wrażliwych informacji, czy narzucić wysokie koszty wdrożenia, szczególnie dla MŚP[2]. Z tego też powodu Rozporządzenie przewiduje dla takich podmiotów istotne wyłączenia w zakresie dzielenia się danymi.
Jednak Data Act to nie tylko wyzwania, lecz także szanse. Zmiana przepisów otwiera dostęp do nowych wcześniej niedostępnych danych. W założeniu powinno się to przełożyć na rozwój nowych usług, zwiększenie konkurencji i ułatwienie pozyskiwania nowych użytkowników na rynku chmurowym.
Podsumowując Data Act to unijne rozporządzenie regulujące zasady dostępu do danych generowanych przez urządzenia i usługi cyfrowe. Użytkownicy zyskują prawo do wglądu i przekazywania danych, a przedsiębiorcy będą musieli dostosować infrastrukturę IT, procedury bezpieczeństwa i umowy do nowych wymogów. Wdrożenie Rozporządzenia będzie się wiązało z dodatkowymi kosztami, ale Data Act tworzy również bardziej konkurencyjny rynek danych w Unii Europejskiej.
[1] Ang. internet of things, czyli sieci połączonych ze sobą urządzeń wyposażonych w czujniki, oprogramowanie i inne technologie, które umożliwiają im gromadzenie i wymianę danych przez internet, bez ingerencji człowieka.
[2] Małe i średnie przedsiębiorstwa.
