Jak zakłada Data Act [dalej: DA], uczciwszemu dostępowi do danych i ich skuteczniejszemu wykorzystaniu sprzyjać ma przede wszystkim „uwolnienie” danych wygenerowanych w trakcie korzystania z produktów należących do tzw. internetu rzeczy [internet of things, IoT] („produkty skomunikowane”) i usług, które z tymi produktami są połączone („usługi powiązane”). Przykładem tych pierwszych są – coraz popularniejsze – inteligentne sprzęty AGD czy czujniki, czyli urządzenia, które potrafią komunikować swoje dane za pośrednictwem internetu innym systemom. Usługa powiązana charakteryzuje się z kolei tym, że umożliwia ona produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji; będzie nią, przykładowo, oprogramowanie w postaci aplikacji zdrowotnej zainstalowane na smartwatchu, monitorujące aktywność fizyczną czy jakość snu.

Do wspomnianego „uwolnienia” danych ma przy tym dochodzić co najmniej dwiema drogami.

  1. Pierwsza z nich, przewidziana w art. 3 DA, zakłada, że dane z produktu i usługi powiązanej mają być łatwo, bezpiecznie oraz – w miarę możliwości – również bezpośrednio dostępne dla użytkownika, jako efekt właściwego zaprojektowania samego produktu IoT czy usługi.
  2. W przypadku braku możliwości zapewnienia takiego bezpośredniego dostępu, zastosowanie znajdzie mechanizm z art. 4 DA. Uprawnia on użytkownika do zwrócenia się z wnioskiem do posiadacza danych (którym może być także sam producent czy dostawca) o udostępnienie mu tzw. danych łatwo dostępnych.

Zarówno w przypadku art. 3, jak i art. 4, dane mają zostać przekazane w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie. Posiadacz danych powinien dodatkowo zadbać, by cechowały się one taką samą jakością, jaka jest dostępna dla niego samego, a ponadto – o ile to technicznie wykonalne – by były dostępne w sposób ciągły i w czasie rzeczywistym.

Zobacz wzory dokumentów w LEX:

 

Czytaj także: Komisja od AI - będzie, ale w wersji odchudzonej

 

Skorzystają też organy i osoby trzecie

Beneficjentem aktu w sprawie danych będą jednak nie tylko sami użytkownicy, ale także pewne organy sektora publicznego czy wskazane przez użytkowników osoby trzecie. W przypadku udostępnienia danych organom (art. 14-15 DA), znaczenie będzie miało wystąpienie tzw. wyjątkowej potrzeby wykorzystania danych, czyli sytuacji, gdy interes publiczny, wynikający z wykorzystania danych, będzie nadrzędny względem interesów posiadacza danych związanych ze swobodnym dysponowaniem tymi danymi, takiej jak stan zagrożenia zdrowia publicznego, klęski żywiołowe czy poważne cyberincydenty.

Jeżeli zaś chodzi o przekazanie danych osobom trzecim, o czym mówi art. 5 DA, to warto podkreślić, że ten aspekt regulacji może mieć kluczowe znaczenie dla deklarowanego przez unijnego prawodawcę celu w postaci „pobudzania innowacji na rynkach posprzedażowych” czy „opracowywania zupełnie nowatorskich usług z wykorzystaniem określonych danych, w tym na podstawie danych z różnorodnych produktów skomunikowanych lub usług powiązanych” (motyw 32 DA). Posiłkując się przykładem, chodzi zatem chociażby o to, by w przypadku awarii inteligentnej lodówki mieć możliwość naprawy jej w lokalnym punkcie serwisowym, który będzie mógł zaoferować bardziej konkurencyjną cenę niż producent, który dotychczas jako jedyny miał wgląd w dane z urządzenia.

Na takiej osobie trzeciej będą przy tym spoczywały także określone obowiązki, o których mowa w art. 6 DA. Przede wszystkim będzie mogła korzystać z danych wyłącznie do celu i na warunkach uzgodnionych z samym użytkownikiem i zasadniczo nie będzie uprawniona do dalszego udostępniania ich innym osobom trzecim. Zakazane jest także używanie przez nią otrzymanych danych do negatywnego wpływania na bezpieczeństwo produktu skomunikowanego lub usługi, czy opracowania produktu konkurującego z produktem skomunikowanym, z którego pochodzą dane.

Zobacz wzory dokumentów w LEX:

 

Nie wszystkie dane podlegają udostępnieniu

Czy jednak serwis, któremu przekażemy do naprawy naszą lodówkę, będzie dysponował wszystkimi danymi z urządzenia IoT, podobnie jak sam producent? Nie do końca. Jak wynika z motywu 15 DA, obowiązki narzucane przez akt w sprawie danych dotyczyć będą bowiem wyłącznie tzw. danych surowych (źródłowych, pierwotnych) oraz danych wstępnie przetworzonych (czyli zmodyfikowanych po to, by – zanim zostaną one poddane dalszemu przetwarzaniu – były zrozumiałe i użyteczne). Udostępnianiu nie będą podlegały natomiast informacje wywiedzione lub wywnioskowane z takich danych, stanowiące wynik dodatkowych inwestycji związanych z przypisywaniem wartości do danych czy pozyskiwaniem z nich wiedzy, w tym za pomocą złożonych algorytmów.

Zobacz też szkolenie online w LEX: Data Act a RODO – czy akt o danych tworzy równoległy do RODO system ochrony danych? >

Co więcej, zarówno art. 4 i 5 DA precyzują, że na posiadaczu danych będzie spoczywać obowiązek udostępnienia wyłącznie tzw. „danych łatwo dostępnych”, definiowanych jako te, które posiadacz danych pozyskuje lub może pozyskać zgodnie z prawem, bez nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność. W rozporządzeniu brak wskazówek, jak należałoby rozumieć „duży wysiłek” czy „prostą czynność”. W praktyce może to rodzić ryzyko celowego dążenia przez producentów czy dostawców do zwiększenia stopnia skomplikowania działań wymaganych do pozyskania konkretnych danych, a w konsekwencji przełożyć się na skuteczność realizacji zadań w obszarze usług posprzedażowych. Pewne nadzieje można jednak wiązać z deklaracją wskazaną w motywie 20. Uprawnia ona do tworzenia zarówno unijnych, jak i krajowych regulacji dookreślających zakres danych, jakie powinny być dostępne z produktów lub usług, „ponieważ takie dane mogą być nieodzowne do skutecznej obsługi, naprawy lub konserwacji tych produktów skomunikowanych lub usług powiązanych”.

 

Nowość
Rozporządzenie w sprawie europejskiego zarządzania danymi. Komentarz
-10%
Nowość
Rozporządzenie w sprawie europejskiego zarządzania danymi. Komentarz

Agnieszka Piskorz-Ryń, Marlena Sakowska-Baryła

Sprawdź  

Cena promocyjna: 242.1 zł

|

Cena regularna: 269 zł

|

Najniższa cena w ostatnich 30 dniach: 188.3 zł


Odmowa dzielenia się danymi

Obowiązek udostępnienia danych nie będzie miał charakteru absolutnego, co widać na przykładzie danych zidentyfikowanych jako tajemnica przedsiębiorcy. Posiadacze danych będą mogli bowiem podjąć decyzję o wstrzymaniu lub zawieszeniu dzielenia się takimi danymi, jeżeli nie uzgodniono środków niezbędnych do ochrony poufności danych lub gdy – mimo uzgodnienia – nie zostały one wdrożone. Co więcej, jeżeli posiadacz danych oceni, że nawet mimo stosowania środków technicznych, ujawnienie tajemnic handlowych będzie wiązać się z dużym prawdopodobieństwem poważnej szkody ekonomicznej, będzie mógł odrzucić wniosek o dostęp do tych konkretnych danych.

 

Pozostałe obszary regulowane przez DA

Rozporządzenie nie ogranicza się wyłącznie do problematyki udostępniania danych z produktów skomunikowanych czy usług powiązanych. W treści Data Act znajdziemy bowiem także chociażby katalog nieuczciwych postanowień umownych dotyczących dostępu do danych i ich wykorzystywania (art. 13), mający na celu ograniczanie potencjalnych nierówności pomiędzy stronami znajdującymi się w silniejszej i słabszej pozycji negocjacyjnej.

Na uwagę zasługują również przepisy rozdziału VI, dotyczące procedury zmiany dostawcy usług przetwarzania danych. Mają one stanowić odpowiedź na zjawisko uzależniania się przez klientów od jednego dostawcy (tzw. vendor lock-in). Na tym polu rozporządzenie ustanawia wymogi dotyczące między innymi:

  • uwzględniania w umowach z klientami postanowień w zakresie zmiany dostawcy (art. 25)
  • informowania klienta w zakresie procedury zmiany dostawcy i przeniesienia usługi przetwarzania danych (art. 26)
  • technicznych aspektów, w tym stosowania przez dostawcę środków technicznych umożliwiających klientowi przywrócenie minimalnego poziomu funkcjonalności w środowisku nowej usługi (art. 30)
  • stopniowego wycofywania opłat z tytułu zmiany dostawcy (art. 29).

Akt w sprawie danych dotyka także zagadnienia interoperacyjności danych, ustanawiając w rozdziale VIII przepisy służące docelowo płynniejszemu wykorzystywania danych w różnych systemach.

Czytaj też w LEX: Obowiązki informacyjne w Data Act >

 

Wyznaczenie właściwego organu

Za stosowanie i egzekwowanie przepisów Data Act w danym kraju członkowskim ma być odpowiedzialny właściwy organ wyznaczony przez państwo. Dzięki publikacji informacji w wykazie prac RM, wiadomo jest już, że zadania te mają zostać powierzone prezesowi Urzędu Komunikacji Elektronicznej. Zajmie się on zatem m.in. rozpatrywaniem skarg wynikających z naruszeń DA i prowadzeniem postępowań w sprawach dotyczących rozporządzenia, a także nakładaniem administracyjnych kar pieniężnych. Prezes UKE będzie musiał być także informowany każdym przypadku odmowy, wstrzymania czy zawieszenia dzielenia się danymi z użytkownikiem czy osobami trzecimi.

Czytaj też w LEX: Prawo użytkownika do dzielenia się danymi z osobami trzecimi na gruncie Data Act >

 

Stosowanie aktu w sprawie danych a polska ustawa

Akt w sprawie danych wszedł w życie z początkiem 2024 roku i co do zasady zacznie być stosowany już wkrótce – bo od 12 września 2025 r. Od tej reguły przewidziano jednak pewne wyjątki. Obejmują one m.in. przepisy rozdziału IV DA („Nieuczciwe postanowienia umowne między przedsiębiorstwami dotyczące dostępu do danych i ich wykorzystywania”). W tym przypadku rozporządzenie będzie miało zastosowanie do umów zawartych po 12 września 2025 r. Umowy zawarte wcześniej – o ile zostały zawarte na czas nieokreślony lub wygasają po 11 stycznia 2034 r. – zostaną objęte przepisami dopiero od 12 września 2027 r. Innym wyjątkiem jest obowiązek wynikający z art. 3 DA, który obejmie produkty skomunikowane i usługi powiązane wprowadzane na rynek po 12 września 2026 r.

Na tym tle istotna staje się kwestia krajowych przepisów wdrażających. Jak wynika z komunikatu, planowany termin przyjęcia przez Radę Ministrów projektu ustawy to dopiero IV kwartał 2025 roku. Oznacza to, że rozpoczęcie stosowania Data Act w jego zasadniczej części nastąpi wcześniej, niż przyjęcie przez ustawodawcę stosownych regulacji krajowych.

Autorka: Hanna Groborz, radczyni prawna, prawniczka w kancelarii Barta & Partners sp. k.

Czytaj też w LEX:

Wymagania dostawców usług chmurowych wynikające z Data Act >

Dostęp bezpośredni i pośredni do danych (na gruncie Data Act) >

 

 

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.