Czym jest Data Act i jaki jest jego cel?
Data Act to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania.
Rozporządzenie ma na celu zapewnienie sprawiedliwej alokacji wartości generowanej z danych, przy jednoczesnej ochronie interesów tych, którzy w technologie generowania danych inwestują.
Zakres podmiotowy – kogo dotyczą przepisy Data Act?
Data Act (czyli akt w sprawie danych) ma zastosowanie do wielu różnych podmiotów:
- producentów produktów skomunikowanych i dostawców usług powiązanych;
- posiadaczy danych, tj. podmiotów, które posiadają dostęp do danych z produktów skomunikowanych lub usług powiązanych;
- stron umów o dostępie i wykorzystaniu danych;
- dostawców usług przetwarzania danych świadczących takie usługi klientom w Unii (w tym IaaS, PaaS, SaaS);
- uczestników przestrzeni danych oraz sprzedawców aplikacji korzystających z inteligentnych umów.
Dla określenia zakresu firm, których dotyczy akt w sprawie danych, konieczne jest zrozumienie podstawowych definicji. Oto kilka z nich:
Produkt skomunikowany
oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu. Do tej kategorii mogą zaliczać się inteligentne urządzenia domowe, elektronika użytkowa, maszyny przemysłowe, urządzenia medyczne, smartwatche i telewizory.
Usługa powiązana
oznacza usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej (tj. dostawa internetu, itp.), która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego. Dwa podstawowe warunki muszą być spełnione, aby usługa cyfrowa była uznana za usługę powiązaną:
- musi istnieć dwukierunkowa wymiana danych między produktem połączonym a dostawcą usługi;
- usługa musi wpływać na funkcje, zachowanie lub działanie produktu połączonego.
Posiadacz danych
oznacza osobę fizyczną lub prawną, która ma prawo lub obowiązek wykorzystywać i udostępniać dane, w tym dane z produktu skomunikowanego lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi.
Usługa przetwarzania danych
oznacza świadczoną na rzecz klienta usługę cyfrową umożliwiającą wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług. W tej kategorii znajdują się umowy na świadczenie usług w modelu PaaS, IaaS i SaaS.
Obowiązki nakładane przez rozporządzenie EU Data Act
1Obowiązki dla producentów produktów skomunikowanych i dostawców usług powiązanych dotyczące projektowania
Producenci i dostawcy usług powiązanych muszą zaprojektować produkty skomunikowane i usługi powiązane tak, aby wszystkie dane z produktu lub usługi były dla użytkownika domyślnie dostępne łatwo, bezpiecznie, bezpłatnie, w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie.
2Obowiązki informacyjne przed zawarciem umowy
Przed zawarciem umowy sprzedaży producent musi przekazać kupującemu informacje dotyczące danych z produktu, w szczególności o rodzaju, formacie i szacunkowej ilość danych, które system jest w stanie wygenerować.
Podobnie dostawcy usług powiązanych muszą przekazywać informacje dotyczące danych, które dane będą przetwarzać w związku z usługą.
3Mechanizm udostępniania danych użytkownikom
Posiadacze danych muszą zapewnić mechanizm udostępniania danych na żądanie użytkownika.
Gdy użytkownik nie może uzyskać bezpośredniego dostępu do danych, ich posiadacze muszą na jego wniosek bezpłatnie, bez zbędnej zwłoki, łatwo i bezpiecznie udostępnić mu dostępne dane.
Ponadto, posiadacz danych musi udostępnić w ten sam sposób dane wskazanej we wniosku użytkownika osobie trzeciej.
4Udostępnianie danych organom publicznym
W przypadku wyjątkowej potrzeby (reakcja na niebezpieczeństwo publiczne lub inne zadania w interesie publicznym) posiadacze danych będą zobowiązani udostępnić wskazane we wniosku i dostępne dane organom publicznym.
5Obowiązki dostawców usług przetwarzania danych
Dostawcy usług przetwarzania danych muszą stosować środki umożliwiające klientom zmianę usługi przetwarzania danych na usługę tego samego typu świadczoną przez innego dostawcę.
Data Act zawiera minimalne wymogi dotyczące treści umów o świadczenie usług w chmurze. Wymogi te obejmują gwarancje przenoszenia danych, środki standaryzacji i interoperacyjności oraz zabezpieczenia umowne w odniesieniu do procesu zmiany dostawcy oraz stopniową eliminację opłat za zmianę dostawcy do 2027 roku.
Od 11 stycznia 2024 r. do 12 stycznia 2027 r. mogą nakładać obniżone opłaty z tytułu zmiany dostawcy. Po tym okresie dostawcy usług przetwarzania danych nie mogą nakładać na klienta opłat z tytułu zmiany dostawcy.
Wyłączenia dla MŚP
Mikroprzedsiębiorstwa i małe przedsiębiorstwa są zwolnione z obowiązków w zakresie udostępniania danych, pod warunkiem że:
- posiadają status mikro lub małego przedsiębiorcy;
- nie mają przedsiębiorstwa partnerskiego ani przedsiębiorstwa powiązanego, które nie kwalifikuje się jako mikroprzedsiębiorca lub mały przedsiębiorca;
- nie są podwykonawcą, któremu zlecono wyprodukowanie lub zaprojektowanie produktu.
Średnie przedsiębiorstwa mogą liczyć na roczny okres przejściowy, w którym nie muszą spełniać niektórych obowiązków.
Terminy wejścia w życie i okresy dostosowawcze
Rozporządzenie Data Act z pewnymi wyjątkami stosuje się od 12 września 2025 r.
Obowiązki wynikające z art. 3 ust. 1 (projektowanie produktów) mają zastosowanie do produktów skomunikowanych i usług z nimi powiązanych wprowadzonych na rynek po dniu 12 września 2026 r.
Rozdział IV Data Act dotyczący umów w zakresie udostępniania i korzystania z danych ma zastosowanie do umów zawartych po 12 września 2025 r. Ponadto, Rozdział IV ma zastosowanie od 12 września 2027 r. do umów zawartych do 12 września 2025 r. włącznie, pod warunkiem że zostały zawarte na czas nieokreślony lub wygasają co najmniej 10 lat po 11 stycznia 2024 r.
Konsekwencje i sankcje za nieprzestrzeganie przepisów
System kar i sankcji
Państwa członkowskie UE mają ustanowić przepisy dotyczące kar mających zastosowanie w przypadku naruszeń rozporządzenia i podjąć wszelkie niezbędne środki w celu zapewnienia ich wykonywania. Przewidziane kary mają być skuteczne, proporcjonalne i odstraszające.
Do 12 września 2025 r. państwa członkowskie mają powiadomić Komisję o tych przepisach i środkach.
Państwa członkowskie powinny uwzględnić następujące kryteria nakładania kar: charakter, waga, skala i czas trwania naruszenia; wszelkie działania podjęte przez stronę naruszającą w celu złagodzenia skutków; wszelkie wcześniejsze naruszenia; korzyści finansowe uzyskane lub straty uniknięte; inne czynniki obciążające lub łagodzące; roczny obrót strony naruszającej w Unii.
Polska dotychczas nie wprowadziła odpowiednich przepisów.
Kary RODO
Data Act dotyczy danych nieosobowych, jednak za naruszenia obowiązków ustanowionych w rozdziałach II, III i V Data Act organy nadzorcze odpowiedzialne za monitorowanie stosowania RODO mogą nakładać administracyjne kary pieniężne zgodnie z art. 83 RODO.
Procedury odwoławcze
Osoby fizyczne i prawne mają prawo wnieść skargę do stosownego właściwego organu w państwie członkowskim, w którym mają miejsce zwykłego pobytu, miejsce pracy lub siedzibę, jeżeli sądzą, że ich prawa wynikające z rozporządzenia zostały naruszone.
Każda osoba ma prawo do skutecznego sądowego środka ochrony prawnej przeciwko prawnie wiążącej decyzji właściwych organów oraz w przypadku gdy właściwy organ nie podejmie działań w odpowiedzi na skargę.
Jak przygotować organizację do wdrożenia przepisów?
1Audyt i mapowanie danych
Określenie dostępnych w produktach danych – określenie, jakie dane będą dostępne z produktów, np. w dokumentacji projektowej i podjęcie decyzji projektowej, które dane powinny być udostępniane. Można uwzględniać przy tym ochronę tajemnic przedsiębiorstwa i bezpieczeństwo produktu.
2Przygotowanie informacji dla klientów
Zgromadzenie informacji wymaganych przez akt w sprawie danych i umieszczenie ich w materiałach udostępnianych potencjalnym klientom, w tym dystrybutorom przed zawarciem umowy.
3Opracowanie mechanizmów technicznych
Opracowanie mechanizmu udostępniania zbieranych danych użytkownikom produktów i upoważnionym przez nich osobom trzecim.
4Przygotowanie podstawy umownej
Aby móc wykorzystywać dane pozyskane z produktów, organizacja musi zawierać w tym zakresie umowy z użytkownikami.
5Dostosowanie regulaminów świadczenia usług do wymogów Data Act
Dostawcy świadczący usługi przetwarzania danych powinni przeanalizować swoje regulaminy świadczenia usług i dostosować je do nowych wymogów.
Podsumowanie i rekomendacje końcowe
Data Act stanowi przełomową regulację, która fundamentalnie zmieni sposób, w jaki organizacje zarządzają danymi z produktów skomunikowanych. Sukces wdrożenia zależy od systematycznego podejścia do przygotowań, które powinny rozpocząć się już teraz.
Kontakt
Michał Pietrzyk – radca prawny, Senior Associate w zespole IP/IT, Digital Transformation and Automation Lead