23 lutego 2022 r. Komisja Europejska opublikowała propozycję nowych przepisów dotyczących wykorzystywania danych osobowych generowanych w UE we wszystkich sektorach jej gospodarki. Proponowana treść aktu w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i korzystania z nich – znanego jako Data Act – jest kluczowym filarem europejskiej strategii na rzecz danych. Wniesie istotny wkład w realizację celu tzw. transformacji cyfrowej.
Głównym założeniem nowych przepisów jest zapewnienie uczciwości w środowisku cyfrowym poprzez umożliwienie wykorzystania większej ilości danych i ustanowienie zasad dla wszystkich sektorów gospodarki dotyczących tego, kto może uzyskiwać do nich dostęp i do jakich celów. Według Komisji nowe przepisy mają wytworzyć 270 mld euro dodatkowego PKB do 2028 r.
Uzupełniając Data Governance Act, którego celem było zwiększenie zaufania i ułatwienie wymiany danych w całej UE, głównym celem Data Act jest zapewnienie administratorom i podmiotom przetwarzającym większej równości pod względem dostępu do danych. Treśc dokumentu opiera się na wynikach otwartych konsultacji społecznych przeprowadzonych przez Komisję Europejską w 2021 r., które wykazały, że konieczne jest działanie UE w zakresie wymiany danych między przedsiębiorstwami (B2G) w interesie publicznym, zwłaszcza w sytuacjach nadzwyczajnych i w ramach zarządzania kryzysowego.
Użytkownicy systemów, aplikacji czy urządzeń generalnie uważają, że powinni mieć pełne prawa do generowanych przez siebie danych. Jednak prawa te są często niejasne. Ponadto producenci sprzętu i oprogramowania nie zawsze projektują swoje produkty w sposób umożliwiający użytkownikom, zarówno profesjonalistom, jak i zwykłym konsumentom, pełne wykorzystanie danych cyfrowych, które tworzą podczas użytkowania.
Ponadto Data Act ma na celu zapewnienie spójności między prawami dostępu do danych, które często są opracowywane dla konkretnych sytuacji i przy różnych określonych warunkach. Chociaż zapisy Data Act pozostają w zgodzie z aktualnie obowiązującymi zasadami w zakresie dostępu do danych, wszelkie przepisy, które pojawią się w przyszłości powinny być z nimi zgodne.
Proponowane przepisy nakładają wymogi dotyczące udostępniania danych, aby umożliwić udostępnianie danych między przedsiębiorstwami, organami publicznymi i użytkownikami. MŚP są zwolnione z tych obowiązków, ale ogólnie wymogi sugerują, że Komisja Europejska wybrała uniwersalne rozwiązanie, które zmusza wszystkie przedsiębiorstwa do dostosowania się do nich. Oto kilka z głównych elementów treści Data Act:
- Zapisy zapobiegające nadużywaniu nierównowagi umownej, która utrudnia uczciwe udostępnianie danych. MŚP będą chronione przed nieuczciwymi warunkami umownymi narzuconymi przez stronę o znacznie silniejszej pozycji rynkowej. Komisja opracuje również wzorcowe klauzule umowne, aby pomóc takim podmiotom w sporządzaniu i negocjowaniu uczciwych umów dotyczących udostępniania danych.
- Środki dla organów sektora publicznego pozwalające na dostęp do danych posiadanych przez sektor prywatny i korzystanie z nich do realizacji określonych celów interesu publicznego, np. w celu opracowania planu działań umożliwiających szybką i bezpieczną reakcję w sytuacji kryzysowej, przy jednoczesnym zminimalizowaniu obciążenia sektora prywatnego.
- Zapisy zwiększające pewność prawa dla przedsiębiorstw i konsumentów generujących dane dotyczące tego, kto może korzystać z jakich danych i na jakich warunkach, oraz zachęty dla producentów do dalszego inwestowania w generowanie wysokiej jakości danych. Środki te ułatwią przesyłanie danych między dostawcami usług i zachęcą więcej podmiotów, niezależnie od ich wielkości, do udziału w gospodarce opartej na danych.
- Nowe przepisy określające odpowiednie warunki umowne dla klientów, aby mogli skutecznie przełączać się między różnymi dostawcami usług przetwarzania danych w celu odblokowania unijnego rynku chmury. Przyczynią się one również do stworzenia ogólnych ram efektywnej interoperacyjności danych.
Co istotne, szczególną uwagę zwraca się na ryzyko uzyskania dostępu do danych przez kraje spoza UE. Data Act wykracza poza obecne ograniczenia dotyczące przekazywania danych osobowych poza UE, rozszerzając takie ograniczenia na dane nieosobowe. Nakazy sądowe z krajów trzecich będą respektowane tylko wtedy, gdy obowiązuje umowa międzynarodowa. Jest to istotne, mając na uwadze nieustające wysiłki USA i UE zmierzające do osiągnięcia takiego porozumienia.
Producenci lub usługodawcy, których produkty wykorzystują tzw. Internet Rzeczy (IoT) straciliby monopol na dane generowane przez użytkowników i musieliby zmierzyć się z silniejszą konkurencją. Zderzenie to ma szczególny oddźwięk w jednym z najważniejszych sektorów Europy – motoryzacji. Ilość danych generowanych przez pojazdy podłączone do sieci wzrosła wykładniczo w ostatnich latach i oczekuje się, że nadal będzie gwałtownie rosła.
Zapisy Data Act będą stanowiły poważne wyzwanie dla producentów urządzeń czy aplikacji oraz dostawców usług gromadzących dane, którzy będą musieli zaprojektować swoją ofertę tak, aby zapewnić dostęp do danych, wraz z zapewnieniem możliwości ich przenoszenia i interoperacyjności znacznie wykraczających poza obecny stan rzeczy. Obowiązki te będą pociągać za sobą opracowanie licznych nowych norm technicznych mających wartość prawną na mocy prawa UE w ramach nowego, bardziej proaktywnego podejścia Komisji do ustanawiania norm UE. Skuteczność Data Act (jeśli zostanie przyjęty) będzie w znacznym stopniu zależeć od wytycznych w sprawie ewoluującego podejścia do wymiany informacji, które Komisja przedstawi pod koniec tego roku.
Autor: Tomasz Cieślik