Żyjemy w czasach, gdy wartość danych i informacji porównywana jest do złota. Są one czynnikami kształtującymi zarówno gospodarkę, jak i codzienne życie. Posiadanie odpowiednich informacji i danych stanowi o przewadze konkurencyjnej, możliwości oddziaływania na opinię publiczną, a nawet bezpieczeństwie. W związku z tym konieczne jest zapewnienie bezpieczeństwa danych oraz ich transferów, a także kontrola nad sposobem w jaki są one wykorzystywane.
Jednolite podejście do danych osobowych zostało przyjęte w Unii Europejskiej w ramach RODO. Pozostała kwestia danych nieosobowych, którymi Unia Europejska zdecydowała się zająć przyjmując w 2022 r. rozporządzenie Data Governance Act, a w ostatnim czasie także rozporządzenie Data Act.
Nie tylko dostęp do danych
Celem Data Act jest stworzenie bardziej zrównoważonej i sprawiedliwej gospodarki danych w UE, zwiększając kontrolę użytkowników nad danymi generowanymi m.in. przez urządzenia IoT (Internet Rzeczy). Rozporządzenie umożliwia użytkownikom nie tylko dostęp do danych, ale także ich wykorzystanie i udostępnianie wybranym podmiotom trzecim, co z założenia powinno korzystnie wpłynąć na cały rynek przetwarzania danych. Przyjęcie rozporządzania jest odpowiedzią na rosnącą potrzebę regulacji w zakresie danych generowanych przez urządzenia IoT, takie jak inteligentne urządzenia domowe czy maszyny przemysłowe.
Data Act obejmuje swoim zakresem szereg różnorodnych podmiotów, odzwierciedlając tym samym złożoność i wszechobecność danych w nowoczesnym świecie. Wśród tych podmiotów szczególną rolę odgrywają producenci i dostawcy usług związanych z produktami wykorzystującymi Internet Rzeczy (IoT). Są to na przykład firmy tworzące urządzenia IoT oraz dostarczające niezbędne do ich działania oprogramowanie czy usługi cyfrowe, które są konieczne do pełnego funkcjonowania tych urządzeń. Drugą istotną grupą są użytkownicy tych produktów, którzy w codziennym życiu polegają na urządzeniach IoT i generują przy ich użyciu dane. Rozporządzenie dotyczy również podmiotów, którym użytkownicy mogą udostępniać zebrane dane, co otwiera drogę do nowych modeli biznesowych i możliwości wykorzystania danych. Ostatnią kluczową grupą są organy administracji publicznej, które odgrywają rolę zarówno w regulowaniu przepływu danych, jak i w wykorzystywaniu ich w celu poprawy usług publicznych i realizacji celów społecznych. W kontekście Data Act mówimy o wymianie na trzech poziomach: między przedsiębiorcami, między przedsiębiorcą a konsumentem oraz między przedsiębiorcą a administracją publiczną.
Nowe uprawnienia konsumentów
Rozporządzenie adresuje prawa osób fizycznych, zwłaszcza w relacji z dostawcami usług cyfrowych. Jednym z celów regulacji jest zapewnienie użytkownikom produktu lub powiązanej usługi możliwości skutecznego i szybkiego uzyskania dostępu do danych generowanych w rezultacie korzystania z danego produktu lub usługi. Co to oznacza w praktyce? Uzyskamy możliwość dostępu do danych, które do tej pory pozostawały wyłącznie w rękach producentów oraz dostawców. Mowa przykładowo o urządzeniach Internetu Rzeczy (IoT), takich jak: inteligentne gadżety, oprogramowanie smart dom, smart AGD, czujniki IoT wykorzystywane w rolnictwie precyzyjnym, inteligentne samochody, etc., które dzięki połączeniu z Internetem generują oraz przetwarzają duże ilości danych. Posiadając ww. dane i udostępniając je innym podmiotom, konsumenci zyskają możliwość skorzystania z szerszej oferty konkurencyjnych usług - chociażby w aspektach takich jak konieczność naprawy czy serwisowania sprzętu.
Co więcej, Data Act podkreśla uprawnienie użytkownika, aby tak wygenerowane dane udostępnił wybranym przez siebie osobom trzecim. Może do tego również, w określonych okolicznościach, zobowiązać dotychczasowego dostawcę, który na jego żądanie przekaże dane bezpośrednio do innego podmiotu. Dzięki temu zyskamy możliwość sprawnego przenoszenia danych pomiędzy dostawcami usług, na wypadek potrzeby czy chęci zmiany ich dostawcy.
Obowiązki producentów na etapie projektowania urządzeń
W tym celu, wprowadzono obowiązki już na etapie tworzenia i produkcji urządzeń, aby zapewnić, że istniała będzie fizyczna możliwość egzekwowania uprawnień dostępowych w kontekście danych. Dlatego też, zgodnie z Data Act urządzenia muszą być projektowane i wytwarzane, a powiązane usługi świadczone w taki sposób, aby dane generowane w wyniku korzystania z nich były domyślnie łatwo, bezpiecznie oraz - w razie potrzeby i w stosownych przypadkach - bezpośrednio dostępne dla użytkownika.
Co istotne, Data Act nie kreuje nowej podstawy prawnej upoważniającej posiadacza danych do przechowywania danych, uzyskiwania do nich dostępu lub ich przetwarzania ani też nie przyznaje posiadaczowi danych jakichkolwiek nowych praw do wykorzystywania danych generowanych w wyniku korzystania z produktu lub powiązanej usługi. Podstawą prawną dla realizacji powyższych uprawnień pozostaną dotychczasowe przepisy, unijne oraz krajowe, takie jak chociażby uprawnienia przyznane przez RODO, jeśli w grę wchodzić będą dane osobowe.
Poprawa sytuacji MŚP
Data Act otwiera nowe możliwości także dla małych i średnich przedsiębiorstw (MŚP), które często nie mają dostępu do danych kontrolowanych przez większe korporacje. Dla firm, które generują duże ilości danych, może to oznaczać nowe możliwości biznesowe. Z drugiej strony dostęp do danych daje możliwość tworzenia nowych produktów i usług dopasowanych do potrzeb odbiorcy końcowego.
Data Act wprowadza też przepisy dotyczące przejrzystości w umowach oraz warunków, na jakich dane są udostępniane i wykorzystywane. Pozwoli to uchronić przedsiębiorców przed nieuczciwymi warunkami umownymi, co jest szczególnie istotne dla mniejszych firm, które w konfrontacji z dużymi korporacjami miały do tej pory ograniczoną pozycję negocjacyjną.
Zgodnie z Data Act, postanowienia umowne dotyczące dostępu do danych oraz ich wykorzystywania, które są narzucane jednostronnie przez jedno przedsiębiorstwo na inne, mogą zostać uznane za niewiążące, jeśli okażą się nieuczciwe. O nieuczciwości postanowienia decyduje jego rażące odbieganie od dobrych praktyk handlowych, a także sprzeczność z zasadami dobrej wiary i uczciwości w obrocie.
Rozporządzenie wskazuje na trzy konkretne sytuacje, w których postanowienie umowne może być uznane za nieuczciwe:
- Jeśli postanowienie wyłącza lub ogranicza odpowiedzialność strony, która je narzuciła, za działania umyślne lub rażące niedbalstwo.
- Jeśli postanowienie eliminuje dostępne środki ochrony prawnej dla strony, na którą zostało nałożone, w przypadku niewykonania zobowiązań umownych, lub wyłącza odpowiedzialność strony narzucającej postanowienie za naruszenie tych zobowiązań.
- Jeśli postanowienie przyznaje stronie, która je narzuciła, wyłączne prawo do decydowania o zgodności dostarczonych danych z umową, lub wyłączne prawo do interpretacji postanowień umownych.
W akcie prawnym przewidziano także różne domniemania dotyczące uznawania postanowień umownych za nieuczciwe, co ma na celu zapewnienie sprawiedliwszych warunków umownych i lepszej ochrony przedsiębiorstw przed nieuczciwymi praktykami. Należy jednak wskazać, że postanowienie nie będzie uznane za nieuczciwe, jeśli odzwierciedla ono przepisy prawa Unii Europejskiej, które miałyby zastosowanie w sytuacji braku takiego postanowienia.
Bezpieczeństwo informacji
Nowe przepisy dotyczące danych wprowadzają wymóg stosowania skutecznych zabezpieczeń w celu ochrony danych przechowywanych w chmurze obliczeniowej na terenie Unii Europejskiej. Celem tego działania jest zapobieganie nieautoryzowanemu dostępowi do danych przez rządy krajów spoza Unii Europejskiej i Europejskiego Obszaru Gospodarczego. Implementacja tych zabezpieczeń ma na celu wsparcie rozwoju technologii chmurowych w Europie. Oczekuje się, że takie działania przyczynią się do lepszej i bardziej efektywnej wymiany danych pomiędzy różnymi sektorami gospodarki, co z kolei przyniesie korzyści dla całego europejskiego rynku danych.
Wyzwania w zakresie zapewnienia tajemnicy przedsiębiorstwa
Szeroki zakres uprawnień przyznanych użytkownikom to z pewnością wyzwanie dla producentów i dostawców, którzy zobowiązani będą do wypełniania nowych obowiązków, dbając jednocześnie o własne interesy oraz chroniąc dane i know-how, które stanowić mogą tajemnice przedsiębiorstwa. Obawy w tym zakresie, wyrażane przez przedsiębiorców na etapie projektowania Rozporządzenia, zaadresowane zostały wprost poprzez wprowadzenie poprawek mających na celu wzmocnienie ochrony tajemnicy przedsiębiorstwa. Tym samym, przykładowo, wniosek o udostępnienie musi respektować prawnie uzasadnione cele posiadacza danych, biorąc pod uwagę ochronę tajemnic przedsiębiorstwa oraz koszty i działania wymagane do udostępnienia danych. Z pewnością jednak dopiero praktyka pokaże, jakie będzie optymalne podejście do realizacji obowiązków dostępowych, które z jednej strony pozwoli na swobodny przepływ danych, z drugiej zaś zagwarantuje ich bezpieczeństwo oraz nie będzie stanowić nadmiernej ingerencji w informacje firmy stanowiące jej istotny zasób.
Podsumowanie
Podsumowując, Data Act stanowi znaczący krok w kierunku zwiększenia elastyczności i przejrzystości rynku usług przetwarzania danych, a także stymulowania jego konkurencyjności i innowacji. Data Act wprowadza nowe standardy w branży przetwarzania danych, kładąc nacisk na większą kontrolę klientów nad ich danymi oraz na otwartość i konkurencyjność rynku. To rozporządzenie, mając na celu wspieranie innowacji i ochronę interesów użytkowników, przyczynia się do kształtowania bardziej zrównoważonego i dynamicznego ekosystemu cyfrowego. Wymiana danych na poziomie międzynarodowym, jeśli odbywać będzie się w sposób zapewniający danym bezpieczeństwo i integralność, stanowi ogromny potencjał w wymiarze gospodarczym, ale też społecznym.
Stosowanie rozporządzenia, z pewnymi wyjątkami, rozpocznie się 12 września 2025 roku. Jednak podmioty objęte jego zakresem już teraz powinny pracować nad dostosowaniem swoich produktów i usług. Należy opracowywać modele współpracy ze swoimi klientami i kontrahentami poprzez projektowanie odpowiednich postanowień umownych, które będą pozostawały w zgodzie z Data Act.
Natalia Kotłowska-Wochna – Partner w praktyce NewTech M&A kancelarii Kochański & Partners
Maciej Kuranc – prawnik w praktyce Nowych Technologii i Danych Osobowych kancelarii Kochański & Partners
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.