Czym jest Data Act?
Data Act to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania.
Podstawowe informacje na temat aktu znajdą Państwo w tym artykule.
Jakich podmiotów z branży MedTech dotyczą przepisy Data Act?
- producenci sprzętu pozyskującego i przesyłającego dane cyfrowe
- dostawcy aplikacji współpracujących z takim sprzętem
- dostawcy rozwiązań w chmurowych dla branży MedTech
- uczestnicy przestrzeni wymiany danych (interoperacyjność)
Jakie obowiązki Data Act przewiduje dla podmiotów z branży MedTech?
Producenci sprzętu pozyskującego i przesyłającego dane cyfrowe oraz dostawcy aplikacji współpracujących z takim sprzętem – to do podmiotów z tych dwóch kategorii adresowane jest najwięcej obowiązków Data Act. Pierwsza kategoria nazywana jest w Data Act producentami produktów skomunikowanych, a druga dostawcami usług powiązanych.
1 Projektowanie produktów i usług
Producenci produktów skomunikowanych i dostawcy usług powiązanych muszą zaprojektować produkty skomunikowane (sprzęt) i usługi powiązane (np. aplikacje) tak, aby wszystkie dane z produktu lub usługi były dla użytkownika domyślnie dostępne łatwo, bezpiecznie, bezpłatnie, w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie.
2 Obowiązki informacyjne przed zawarciem umowy
Przed zawarciem umowy sprzedaży produktu skomunikowanego producent musi przekazać kupującemu informacje dotyczące danych z produktu, w szczególności o rodzaju, formacie i szacunkowej ilości danych, które system jest w stanie wygenerować.
Podobnie dostawcy usług powiązanych muszą przekazywać informacje dotyczące danych, które dane będą przetwarzać w związku z usługą.
3 Mechanizm udostępniania danych użytkownikom
Jeżeli producenci sprzętu pozyskującego i przesyłającego dane zbierają te dane, są według Data Act posiadaczami danych. Do tej kategorii zaliczają się również dostawcy usług powiązanych, którzy z definicji zbierają dane od użytkownika.
Posiadacze danych muszą zapewnić mechanizm udostępniania danych na żądanie użytkownika. Gdy użytkownik nie może uzyskać bezpośredniego dostępu do danych, posiadacze danych muszą bez zbędnej zwłoki, łatwo i bezpiecznie, bezpłatnie udostępnić łatwo dostępne dane użytkownikowi.
Mechanizm musi obejmować także osoby trzecie.
4 Udostępnianie danych organom publicznym
W przypadku wyjątkowej potrzeby (reakcja na niebezpieczeństwo publiczne lub inne zadania w interesie publicznym) posiadacze danych będą zobowiązani udostępnić wskazane we wniosku i dostępne dane organom publicznym.
Dostawcy rozwiązań chmurowych
Data Act wprowadza nowe wymogi w zakresie tzw. switchtingu, czyli możliwości zmiany dostawcy usług przetwarzania danych.
Dotyczą one w pierwszej kolejności klasycznych dostawców infrastruktury chmurowej, jak AWS czy Google, jednak pojęcie dostawcy usług przetwarzania danych z Data Act jest na tyle szerokie, że obejmować będzie również niektóre podmioty z branży MedTech udostępniające zasoby w modelu PaaS, IaaS lub SaaS.
Obowiązki dotyczyć będą przede wszystkim platform chmurowych dla sektora zdrowia, które gromadzą, przechowują i analizują duże wolumeny danych.
Dostawcy usług przetwarzania danych będą zobowiązani umożliwić klientom zmianę usługi przetwarzania danych na usługę tego samego typu świadczoną przez innych dostawców lub przeniesienie jej na własną infrastrukturę. Obowiązki dostawców obejmować będą umożliwienie przenoszenia danych, w tym udogodnienia w wypowiadaniu umów, stosowanie środków standaryzacji i interoperacyjności oraz stopniową eliminację opłat za zmianę dostawcy do 2027 roku.
Uczestnicy przestrzeni wymiany danych
Data Act przewiduje również obowiązki dla uczestników przestrzeni danych, tj. podmiotów udostępniających dane lub usługi oparte na danych w ramach takich przestrzeni, jak np. EUCAIM. Uczestnicy muszą spełniać określone w Data Act kryteria ułatwiające interoperacyjność.
Lista europejskich przestrzeni danych w podziale na kategorie znajduje się tutaj.
Podsumowanie
Chociaż Data Act nie jest dedykowany branży MedTech, to wiele podmiotów z tej branży może podlegać jego wymogom. Dlatego podmioty te powinny przeanalizować, czy i które obowiązki z Data Act będą ich dotyczyć.
Zarówno producenci produktów skomunikowanych, jak i dostawcy współpracujących z nimi aplikacji oraz dostawcy rozwiązań chmurowych będą więc musieli podjąć zarówno działania operacyjne, jak i dostosować swoje warunki umów do wymogów Data Act.
Ponieważ Data Act wchodzi w życie 12 września 2025 r., nie pozostało wiele czasu na dostosowanie się do jego wymogów. Dlatego pomocne mogą okazać się wyłączenia dla mikro i małych przedsiębiorców.
Jeżeli Państwa firma znajduje się w gronie podmiotów, które muszą dostosować się do wymogów Data Act, chętnie pomożemy ustalić zakres obowiązków i przedstawimy plan wdrożenia odpowiednich środków.
Kontakt
Michał Pietrzyk – radca prawny, Senior Associate w zespole IP/IT, Digital Transformation and Automation Lead