Urządzenia i maszyny elektroniczne zbierają mnóstwo danych, do których dostęp mają najczęściej tylko producenci takich produktów. Już niedługo ma się to zmienić – za sprawą Data Act. Unijne przepisy nałożą na przedsiębiorców nowe obowiązki. Najważniejsze z nich opisujemy poniżej.
Obowiązek udostępnienia danych użytkownikom produktów
Data Act przyznaje użytkownikom prawo dostępu do danych generowanych przez ich produkty. W praktyce wiąże się to z obowiązkiem takiego projektowania i produkowania urządzeń IoT, aby użytkownik miał bezpośredni, bezpieczny i łatwy dostęp do wszystkich danych, które takie urządzenie wytworzy.
Dodatkowo użytkownik będzie mógł udostępniać takie dane osobom trzecim. W tym celu będzie musiał zawnioskować do posiadacza danych (najczęściej producenta) o ich przekazanie innemu podmiotowi. W praktyce może wyglądać to tak, iż dane są udostępniane serwisowi w celu świadczenia usług posprzedażowych.
Użytkownicy nie powinni być obciążeni opłatami za udostępnienie danych. Posiadacze danych mogą jednak określić odpowiednie wynagrodzenie, które będą musieli zapłacić odbiorcy danych w związku z kosztami poniesionymi w procesie udostępniania. MŚP będzie chronione przed opłatami w nadmiernej wysokości. Jest to odzwierciedlone w postanowieniu, iż opłata ta nie będzie mogła wynosić więcej niż koszty bezpośrednio związane z udostępnieniem danych.
Kogo nie dotyczy?
Data Act wyłącza z obowiązku udostępniania danych najmniejsze przedsiębiorstwa. Co więcej, z prawa dostępu do informacji nie będą korzystały przedsiębiorstwa sklasyfikowane jako „strażnik dostępu”, czyli największe platformy internetowe zdefiniowane w Akcie o Rynkach Cyfrowych[1] (np. Google, Amazon czy Facebook). Oba ograniczenia mają zapobiec pogłębianiu nierówności w dostępie do danych między globalnymi gigantami technologicznymi a pozostałymi przedsiębiorstwami.
Zakaz stosowania nieuczciwych klauzul w umowach z MŚP
Data Act ustanawia katalog postanowień, które są nieuczciwe w umowach z mikro, małymi i średnimi przedsiębiorcami. jeżeli taki zapis znajdzie się w kontrakcie, nie będzie dla chronionej firmy wiążący. Ciężar udowodnienia, iż takie postanowienie nie było nałożony jednostronnie będzie spoczywać na stronie, która go zaproponowała.
Obowiązek udostępnienia danych organom publicznym państw członkowskich
Projektowane przepisy umożliwiają organom publicznym państw członkowskich dostęp do danych w celu rozwiązania istotnych problemów społecznych i politycznych, np. w związku z klęską żywiołową. Co ważne, będą mogły z nich korzystać wyłącznie zgodnie z celem, jaki został wcześniej wskazany we wniosku o udostępnienie danych. Po ustaniu celu, w jakim zostały pozyskane, będą musiały zostać usunięte.
Posiadacz będzie zobowiązany bez zbędnej zwłoki udostępnić dane organowi, który wystąpił z wnioskiem. W przypadkach wyjątkowej potrzeby dane udostępniane będą nieodpłatnie.
Konieczność umożliwienia zmiany dostawców usług w chmurze
W umowie z dostawcą usług w chmurze (cloud computing) lub usług brzegowych (edge computing) rekomendowanym działaniem jest opracowanie scenariusza wyjścia z umowy (exit plan). Są to postanowienia umowne, które mają służyć ograniczaniu ryzyka uzależnienia klienta od dostawcy (vendor lock-in). Ustanawiają one procedurę m.in. na wypadek zakończenia współpracy między stronami umowy o świadczenie usług przetwarzania danych lub zakończenia świadczenia usługi przez dostawcę.
W aktualnym stanie prawnym ustanowienie w umowie scenariusza wyjścia najczęściej nie jest obowiązkiem, ale uprawnieniem wynikającym z woli stron. Celem Data Act w tym zakresie jest uproszczenie procesu zmiany dostawcy usług przetwarzania danych tak, aby nie doprowadzać do uzależnienia klientów od jednego dostawcy. Ma to wpłynąć pozytywnie na konkurencję oraz, co za tym idzie, dalszy rozwój na rynku urządzeń IoT.
Dostawcy usług w chmurze będą musieli zapewnić techniczne i prawne możliwości przenoszenia danych użytkowników do innych podmiotów. Data Act precyzuje, iż prawa klienta i obowiązki dostawcy usług przetwarzania danych, w odniesieniu do zmiany dostawcy takich usług, muszą być jasno określone w pisemnej umowie.
W przypadku zmiany dostawcy usług przetwarzania danych nowy dostawca usługi będzie musiał zapewnić klientowi taką samą funkcjonalność.
W początkowym okresie obowiązywania Data Act będzie dopuszczał opłatę za przeprowadzenie procesu zmiany dostawcy. Wprowadzi jednocześnie mechanizm jej stopniowego zmniejszania. Docelowo klient nie powinien ponosić żadnych opłat w takim procesie.
Obowiązki informacyjne
Na polskich przedsiębiorców nałożone są obowiązki informacyjne wynikające m.in. z ustawy o prawach konsumenta[2].
Data Act zwiększy zakres tych, które muszą być spełnione przed zawarciem umowy dotyczącej zakupu, najmu lub leasingu produktu z konsumentem. Od momentu wejścia w życie unijnych przepisów każdy użytkownik będzie musiał być poinformowany m.in o:
- charakterze i ilości danych generowanych przez produkt lub powiązaną usługę;
- wysokości prawdopodobieństwa generowania danych przez produkt w sposób ciągły i w czasie rzeczywistym;
- sposobie uzyskania dostępu do danych wytworzonych przez produkt;
- podmiocie, który będzie wykorzystywał wygenerowane dane oraz sposobie ich wykorzystania;
- tożsamości posiadacza danych;
- potencjalnych środkach komunikacji użytkownika z właścicielem danych;
- sposobie zgłoszenia żądania przez użytkownika o udostępnienie danych osobie trzeciej;
- prawie użytkownika do skargi do adekwatnego organu.
Takie informacje będą musiały być dołączone np. do urządzeń AGD np. na stronie internetowej sklepu, w instrukcji czy opisie parametrów produktu.
Wymagania dotyczące interoperacyjności danych i inteligentnych kontraktów
Data Act reguluje wymagania w zakresie interoperacyjności dla operatorów przestrzeni danych i dostawców usług przetwarzania danych. Określa również wymagania dotyczące inteligentnych umów (smart contracts), których przedmiotem jest udostępnienie danych.
Data Act, w celu ułatwienia interoperacyjności danych, nakłada na operatorów przestrzeni danych obowiązek ich dostatecznego opisywania. Zbiory danych muszą być natomiast opisane w sposób ogólnodostępny i spójny.
Inteligentne umowy stosowane przez dostawcę aplikacji lub podmiot wdrażający inteligentne umowy muszą spełniać wymagania określone w rozporządzeniu. Wytyczne te obejmują:
- odporność na błędy funkcjonalne i manipulacje ze strony osób trzecich,
- możliwość bezpiecznego zakończenia i przerwania wykonywania inteligentnej umowy,
- archiwizację i zachowanie ciągłości danych,
- wymagania w zakresie kontroli dostępu.
***
Jak widać, zmian będzie dużo. Z tego względu przygotowania do wejścia w życie Data Act warto rozpocząć jak najwcześniej. jeżeli potrzebują Państwa wsparcia w tym zakresie, zachęcamy do kontaktu z autorami.
[1] Wniosek – Rozporządzenie Parlamentu Europejskiego i Rady w sprawie kontestowalnych i uczciwych rynków w sektorze cyfrowym (akt o rynkach cyfrowych) https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX%3A52020PC0842 [dostęp 01.09.2023].
[2] Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (t.j. Dz. U. z 2020 r. poz. 287 z późn. zm.).