Podmiot świadczący usługi z wykorzystaniem udostępniania danych każdorazowo będzie musiał weryfikować, czy te z jego portfolio zaliczają się do usług przetwarzania danych w rozumieniu unijnego aktu w sprawie danych. Bez znaczenia będzie skala prowadzonej działalności.

Stanie się tak za sprawą unijnego rozporządzenia 2023/2854 w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania ‒ aktu w sprawie danych (z ang. Data Act; dalej: ASD). I choć formalnie weszło ono w życie 11 stycznia 2024 r., to w polskim prawie zacznie być stosowane dopiero od 12 września 2025 r. W tym czasie dostawcy usług przetwarzania danych (czyli – w uproszczeniu – firmy oferujące infrastrukturę lub aplikacje biznesowe w chmurze) muszą dostosować swoje umowy i regulaminy do nowej rzeczywistości prawnej. Opieszałość może oznaczać dla nich kary. Jaka będzie ich wysokość? Jeszcze nie wiadomo, bo tego unijne rozporządzenie nie precyzuje. Będzie to leżało w gestii naszego ustawodawcy.

Kluczowe obowiązki

Rozporządzenie ASD wprowadza skonkretyzowane regulacje dotyczące m.in. obowiązkowych postanowień umownych, obowiązków informacyjnych, kwestii interoperacyjności, wysokości opłat czy choćby konieczności wsparcia klienta w procesie zmiany dostawcy usług. W związku z tym prawa klienta i obowiązki wyjściowego dostawcy usługi przetwarzania danych (a więc tego, od którego usługa będzie przenoszona) muszą być jasno określone w pisemnej umowie, udostępnionej klientowi jeszcze przed jej podpisaniem. A na podstawie jej postanowień:

  • maksymalny okres wypowiedzenia nie powinien przekraczać dwóch miesięcy;
  • klient powinien mieć możliwość zmiany dostawcy nie później niż po upływie 30-dniowego okresu przejściowego (rozpoczynającego się po upływie okresu wypowiedzenia);
  • okres, w którym klient może pobrać dane, ma wynosić co najmniej 30 dni (i rozpocząć się po zakończeniu okresu przejściowego);
  • dostawca ma całkowicie usunąć wszystkie dane klienta po upływie okresu pobierania;
  • klient ma zostać poinformowany o rozwiązaniu umowy w przypadku pomyślnego zakończenia procesu zmiany dostawcy lub po zakończeniu maksymalnego okresu wypowiedzenia;
  • klient ma mieć świadomość opłat związanych ze zmianą dostawcy.

Dostawcy usług przetwarzania danych będą również zobowiązani do wsparcia strategii odejścia klienta. Nowe przepisy nie precyzują, jak takie wsparcie miałoby wyglądać. Wskazują jedynie, że za zapewnienie wsparcia klientowi można uznać przedstawienie mu odpowiednich informacji, dokumentacji, udostępnienie wsparcia technicznego lub, w stosownych przypadkach, niezbędnych narzędzi.

Jeżeli zmiana dostawcy w czasie 30-dniowego okresu przejściowego będzie technicznie niewykonalna dla dostawcy wyjściowego, dostawca będzie mógł wydłużyć ten okres – maksymalnie do siedmiu miesięcy. Prawo do przedłużenia 30-dniowego okresu przejściowego będzie przysługiwało również klientowi, który będzie mógł zdecydować o długości takiego jednokrotnego przedłużenia (okres przedłużenia powinien odpowiadać celowi, który ma zostać osiągnięty przez klienta).

Polska bez obrony cywilnej. Co mówi raport NIK o zagrożeniach hybrydowych?
Polska bez obrony cywilnej. Co mówi raport NIK o zagrożeniach hybrydowych?

Zobacz również

Konieczność informowania

Dostawcy usług przetwarzania danych otrzymali na mocy ASD także stosunkowo rozległe obowiązki dotyczące informowania klientów o zasadach związanych z procesem zmiany dostawcy usług oraz o samych warunkach świadczenia usług. Część z tych informacji będzie musiała zostać przekazana przyszłemu klientowi jeszcze przez zawarciem umowy, część będzie musiała zostać wpisana wprost do umowy, a część będzie musiała zostać umieszczona na stronie internetowej dostawcy usług. Ponadto unijne rozporządzenie zobowiązuje dostawców usług do udostępniania swoim klientom informacji dotyczących:

  • możliwości zmiany dostawcy usług po upływie maksymalnego okresu wypowiedzenia;
  • jurysdykcji, której podlega infrastruktura używana do przetwarzania danych;
  • istniejących procedur zmiany dostawcy i przeniesienia usługi;
  • wykorzystywanych technologii w zakresie interoperacyjności (które umożliwiają wymianę danych pomiędzy różnymi systemami);
  • przyjętych środków technicznych, organizacyjnych i umownych, aby zapobiec nielegalnemu między narodowemu przesyłaniu danych nieosobowych;
  • zasad wynikających z rozporządzenia, które nie będą miały zastosowania do oferowanych usług;
  • standardowych opłat za usługę, kar za wcześniejsze rozwiązanie umowy, a także opłat z tytułu zmiany dostawcy;
  • usług, które wiążą się z wysoce złożoną lub kosztowną zmianą dostawcy lub niemożnością zmiany dostawcy bez znacznej ingerencji w dane, aktywa cyfrowe lub architekturę usługi;
  • specyfikacji wszystkich kategorii danych i aktywów cyfrowych, które można (i których nie można) przenieść w procesie zmiany dostawcy.

To nie wszystko. Na wyjściowych dostawców usług (od których usługa będzie przenoszona) zostanie również nałożony obowiązek nieodpłatnego udostępnienia technicznych interfejsów, które umożliwią komunikację pomiędzy usługami różnych dostawców. W tym zakresie dostawcy będą również musieli zapewnić zgodność swoich usług ze specyfikacjami lub normami, które zostaną wydane przez Komisję Europejską. Ma to zagwarantować usunięcie barier technologicznych, które na poziomie praktycznym utrudniają przeprowadzenie procesu zmiany dostawcy.

Koniec z opłatami

Zgodnie z dotychczasową praktyką rynkową niektórzy dostawcy usług przetwarzania danych obciążają swoich klientów kosztami związanymi z migracją danych od jednego dostawcy usług do drugiego, a także kosztami konkretnych działań wspierających podczas procesu zmiany dostawcy. ASD ma to zmienić. Od 12 stycznia 2027 r. wyjściowi dostawcy usług przetwarzania danych nie będą mogli nakładać na klientów opłat związanych z procesem zmiany dostawcy. Oznacza to, że pobieranie innych opłat niż standardowe opłaty za usługę lub kary za wcześniejsze rozwiązanie umowy będzie bezprawne. Dostawcy również nie będą mogli nakładać opłat za przekazanie danych do innego dostawcy usług lub do infrastruktury lokalnej zarządzanej bezpośrednio przez klienta.

WAŻNE Dzięki ASD klienci korzystający z usług przetwarzania danych zyskają możliwość zmiany (bez większych przeszkód) wykorzystywanej usługi na: taką samą świadczoną przez innego dostawcę, infrastrukturę lokalną zarządzaną bezpośrednio przez klienta lub usługę świadczoną jednocześnie przez kilku dostawców. Przepisy rozporządzenia mogą być istotne zarówno dla dużych przedsiębiorstw, które np. korzystają z systemów HR lub księgowych działających w chmurze obliczeniowej, jak i dla osób fizycznych, które przechowują swoje prywatne zdjęcia w chmurze któregoś z dostawców usług przetwarzania danych.

Inaczej jednak będzie w sytuacji, gdy to klient wystąpi do dostawcy z wnioskiem o świadczenie dodatkowych usług wykraczających poza obowiązki tego ostatniego wynikające z ASD. Wówczas dostawca będzie mógł pobierać opłatę za ich realizację. Jej wysokość powinna zostać z góry ustalona z klientem.

Uwaga! Do 12 stycznia 2027 r. będzie obowiązywał okres przejściowy, podczas którego dostawcy usług będą mogli nakładać jedynie obniżone opłaty z tytułu zmiany dostawcy. Ich wysokość jednak nie będzie mogła przekraczać poniesionych przez dostawcę kosztów, które będą bezpośrednio związane z procesem zmiany. Warto zwrócić uwagę, że teoretycznie zasady dotyczące możliwości nakładania obniżonych opłat powinny obowiązywać już od 11 stycznia 2024 r. (wynika to wprost z art. 29 ust. 2 ASD). Jednocześnie rozporządzenie zacznie być stosowane dopiero od 12 września 2025 r. (co wynika z art. 50 ASD) – i nie ma w nim odrębnej regulacji dla okresu rozpoczęcia stosowania przepisu dotyczącego możliwości nakładania obniżonych opłat z tytułu zmiany dostawcy. Tym samym wydaje się, że egzekwowanie tego obowiązku do czasu rozpoczęcia stosowania ASD może być problematyczne.

Zabezpieczenie interesu dostawców

Zostaje jeszcze kwestia zabezpieczenia interesów dostawców usług przetwarzania danych. Otóż ASD nie będzie wymagać od nich opracowywania żadnych nowych technologii lub usług na potrzeby procesu zmiany dostawcy usług. Co więcej, sam proces zmiany nie będzie zobowiązywał dostawców do ujawniania jakichkolwiek zasobów chronionych prawami własności intelektualnej lub stanowiących tajemnicę przedsiębiorstwa. W praktyce oznacza to, że dostawcy usług przetwarzania danych nie powinni się obawiać obowiązku ujawnienia np. kodu źródłowego dostarczanej usługi przetwarzania danych lub know-how stojącego za świadczoną usługą przetwarzania danych, które stanowią tajemnicę przedsiębiorstwa.

Co więcej, część obowiązków wynikających z nowego rozporządzenia nie będzie miała zastosowania do usług przetwarzania danych, w przypadku których:

  • większość głównych cech została opracowana na zamówienie, tak aby dostosować je do konkretnych potrzeb indywidualnego klienta;
  • wszystkie komponenty zostały opracowane na potrzeby indywidualnego klienta, a usługi przetwarzania danych nie są oferowane komercyjnie na szeroką skalę;
  • usługa przetwarzania danych jest świadczona przez ograniczony okres jako nieprzeznaczona do produkcji wersja do celów testowania i oceny.

Warto również pamiętać, że o ile niektóre obowiązki wynikające z ASD są nakładane na wszystkich dostawców usług przetwarzania danych, o tyle część z nich będzie dotyczyć wyłącznie wyjściowych dostawców usług. ©℗

Praktyczne wskazówki

Weryfikacja i aktualizacja umów. Przygotowania do wdrożenia ASD powinny się rozpocząć od weryfikacji wzorów umów o świadczenie usług przetwarzania danych, które obowiązują u dostawcy. Dostawca powinien zweryfikować, czy jego warunki świadczenia usług są zgodne z wymogami stawianymi przez rozporządzenie, np. w zakresie maksymalnego okresu wypowiedzenia, długości okresu przejściowego czy zobowiązania do usunięcia danych. Jeżeli nie, to konieczna będzie aktualizacja tych umów (a co za tym idzie – warunków świadczenia usług).

Dostępność informacji. Dostawca usług przetwarzania danych powinien zweryfikować, czy w należyty sposób realizuje obowiązki informacyjne wobec klientów, np. informując o możliwości zmiany dostawcy, wykorzystywanych strukturach i formatach danych czy też karach za wcześniejsze rozwiązanie umowy. W tym przypadku należy jednak szczegółowo rozróżnić, które informacje powinny:

• być przedstawione jeszcze przed zawarciem umowy,

• znaleźć się wprost w tym dokumencie,

• być publicznie dostępne na stronie internetowej dostawcy.

Wsparcie klienta i rozwiązania techniczne. Realizacja obowiązków wynikających z ASD wiąże się z koniecznością wdrożenia wielu nowych procesów. Dostawcy usług przetwarzania danych będą bowiem musieli m.in. wspierać strategię odejścia klienta, przechowywać dane klienta podczas trwania okresu przejściowego, udostępnić otwarte interfejsy do komunikacji z innymi usługami, a także zapewnić zgodność ze wspólnymi specyfikacjami wydanymi przez Komisję Europejską.

Dodatkowe koszty. Dostawcy usług przetwarzania danych będą musieli ponieść koszt wdrożenia określonych interfejsów czy specyfikacji, przechowywania danych klienta podczas trwania okresu przejściowego, przekazywania danych do innego dostawcy usług lub do infrastruktury lokalnej czy też zapewnienia personelu, który będzie wspierał klienta w procesie zmiany dostawcy. W styczniu 2027 r. skończy się także możliwość obciążania klientów kosztami przemieszczania danych lub podejmowania konkretnych działań wspierających proces zmiany.

Wytyczne. Aby wesprzeć dostawców usług przetwarzania danych, KE została zobowiązana do opracowania niewiążących, modelowych postanowień umownych na potrzeby umów o przetwarzanie w chmurze. ©℗

Podstawa prawna

Podstawa prawna

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (Dz.Urz. UE L 2023/2854 z 22.12.2023 r.)