Właściciel samochodu elektrycznego wyposażonego w system telematyczny, dzięki któremu ma dane o stylu jazdy, zużyciu energii, stanie technicznym pojazdu i lokalizacji, sam zdecyduje, który serwis samochodowy będzie miał do nich dostęp. Może wybrać ten, który zaproponuje mu najkorzystniejszą cenę za diagnostykę i serwisowanie pojazdu.
- Centralny element unijnych regulacji
- Nowe wytyczne dotyczące projektowania i produkcji
- Bezpośrednio lub przez sysytem
- Ochrona danych i bezpieczeństwo
- Czy wszyscy muszą wykonać nowe obowiązki
A to dzięki przepisom aktu w sprawie danych (z ang.: Data Act). Właściciel pojazdu, zamiast korzystać wyłącznie z autoryzowanego serwisu producenta, będzie mógł wskazać lokalny warsztat, który na podstawie danych o stanie akumulatora i systemów mechanicznych przeprowadzi naprawę lub wymianę części. Tym samym użytkownik zyska większą kontrolę nad swoimi danymi i możliwość wyboru usługodawcy.
Centralny element unijnych regulacji
Przypomnijmy, że Data Act to nowe unijne rozporządzenie, które zacznie obowiązywać 12 września przyszłego roku. Wprowadza przełomowe zmiany w gospodarce cyfrowej. Regulacja ustanawia nowe zasady dostępu, wymiany i zarządzania danymi generowanymi w związku z korzystaniem z urządzeń podłączonych do internetu, takich jak samochody, inteligentne sprzęty AGD czy inne urządzenia IoT, a także z usług powiązanych. Te przepisy mają wzmocnić pozycję użytkowników i stworzyć bardziej konkurencyjny rynek danych. Ich wdrożenie wymaga od producentów dostosowania produktów i procesów operacyjnych związanych z korzystaniem z danych do nowych wymagań prawnych, co może się wiązać z istotnymi zmianami w modelach biznesowych i strategiach technologicznych. Czasu na dostosowanie się do nowych wymogów jest coraz mniej.
Akt w sprawie danych kładzie szczególny nacisk na prawa użytkowników urządzeń podłączonych do internetu, dając im większą kontrolę nad danymi generowanymi przez te produkty. Zgodnie z nową regulacją, jak już wspomniałam wyżej, to użytkownik zdecyduje, kto i w jakim zakresie będzie mógł korzystać z łatwo dostępnych danych nieosobowych generowanych przez niego w związku z korzystaniem z produktu lub usługi powiązanej.
Nowe wytyczne dotyczące projektowania i produkcji
Data Act wprowadza również nowe wytyczne dotyczące projektowania i wytwarzania produktów skomunikowanych. Mają być one tworzone w taki sposób, by dane były dostępne dla użytkownika łatwo, bezpiecznie, bezpłatnie, w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie oraz – w stosownych przypadkach i jeśli jest to technicznie możliwe – bezpośrednio.
Co to oznacza w praktyce? Przykładowo producent inteligentnych pralek zgodnie z wymogami Data Act będzie musiał zaprojektować swoje urządzenia w taki sposób, aby użytkownik mógł łatwo uzyskać dostęp do generowanych przez urządzenie danych (m.in. takich jak: zużycie energii, wody, liczba cykli prania, a także informacje o ewentualnych usterkach). Powinny być one dostępne bezpośrednio… z pralki. Na gruncie nowych przepisów urządzenie może np. mieć cyfrowy interfejs, który pozwala użytkownikowi na zarządzanie nim i kontrolowanie mechanizmu dostępu. Ponadto producent będzie zobligowany zapewnić dostęp do danych w sposób bezpieczny, chroniony przed nieautoryzowanym ich odczytaniem, a także – bezpłatny, tzn. niewiążący się z dodatkowymi kosztami dla użytkownika.
Bezpośrednio lub przez sysytem
Unijne przepisy omawianego rozporządzenia pozwalają producentom na pewną elastyczność. Każdy przedsiębiorca będzie mógł zdecydować, czy dane będą dostępne dla użytkownika bezpośrednio z urządzenia, czy przez przeznaczone do tego systemy dostępu, tj. aplikacje chmurowe lub portale dla użytkowników i lekarzy. Przykładowo producent inteligentnych glukometrów zgodnie z wymogami Data Act musi zaprojektować swoje urządzenia w taki sposób, aby użytkownik mógł łatwo uzyskać dostęp do danych generowanych przez urządzenie. Takie dane jak: pomiary poziomu glukozy we krwi, historie wyników czy alerty dotyczące niepokojących odchyleń muszą być dostępne w czasie rzeczywistym dla użytkownika i jego lekarza w formacie ustrukturyzowanym i nadającym się do odczytu maszynowego, np. za pomocą specjalnej aplikacji lub w ramach bezpiecznej chmury. Nowe funkcjonalności mają się przełożyć na bardziej precyzyjne leczenie.
Ochrona danych i bezpieczeństwo
Nowe obowiązki producentów nie zwalniają ich z wcześniejszych. W związku z tym, dostosowując się do wymogów aktu w sprawie danych, należy uwzględnić wymogi dotyczące ochrony danych oraz bezpieczeństwa systemów informatycznych. Dane generowane przez urządzenia często obejmują wrażliwe informacje o użytkownikach, tj. lokalizację czy dane zdrowotne. Producenci muszą wdrożyć mechanizmy chroniące dane przed nieautoryzowanym dostępem i zapewnić zgodność z RODO.
Przykładowo producent samochodów elektrycznych, który zbiera dane dotyczące lokalizacji, stylu jazdy czy zużycia baterii, musi zapewnić ochronę tych danych zgodnie z zasadami minimalizacji, domyślnej ochrony i ochrony danych w fazie projektowania. Oznacza to, że dane powinny być przetwarzane wyłącznie w zakresie niezbędnym do świadczenia konkretnej usługi, np. analizy stanu technicznego pojazdu lub optymalizacji zużycia energii.
Aby chronić prywatność kierowców, producent może zastosować np. pseudonimizację, dzięki której dane będą powiązane nie z konkretnym użytkownikiem, lecz z urządzeniem, albo szyfrowanie, które zabezpiecza dane przed nieautoryzowanym dostępem. Dodatkowo, zamiast przesyłać wszystkie surowe dane do zewnętrznych podmiotów, producent może wykorzystać technologię bring algorithm to the data, która umożliwia analizę danych bez konieczności ich przesyłania poza system pojazdu. Na przykład algorytm może analizować dane bezpośrednio w systemie pojazdu, generując jedynie zbiorcze raporty dla serwisu lub właściciela.
Czy wszyscy muszą wykonać nowe obowiązki
Nie wszyscy producenci będą zobligowani do dostosowania swojej działalności do wymogów wskazanych w Data Act. Z punktu widzenia rozporządzenia znaczenie ma bowiem to, czy dany podmiot jest posiadaczem danych, a więc czy ma prawo lub obowiązek wykorzystywać i udostępniać dane z produktu lub dane z usługi powiązanej, pobrane lub wygenerowane podczas jej świadczenia.
Chociaż producenci są zazwyczaj posiadaczami danych, to w niektórych przypadkach jest inaczej. Akt w sprawie danych pozwala podmiotowi na outsourcing roli posiadacza danych – przykładowo producent może zlecić innemu podmiotowi tę rolę dla wszystkich lub części swoich połączonych produktów. Ponadto posiadaczem danych, który nie jest producentem, może być firma, która świadczy powiązaną usługę, związaną z połączonym produktem. To oznacza, że to przedsiębiorstwo, które oferuje taką usługę, może być posiadaczem danych, a nie firma, która faktycznie wyprodukowała połączony produkt. Określenie, kto jest posiadaczem danych, nie zależy od tego, kto wyprodukował sprzęt lub oprogramowanie, ale od tego, kto kontroluje dostęp do łatwo dostępnych danych.
Kiedy rozpocząć weryfikację procesów biznesowych
Zapewnienie zgodności z Data Act wymaga przeprowadzenia audytu procesów biznesowych. Choć regulacja będzie stosowana dopiero we wrześniu 2025 r., warto już dziś zweryfikować, czy podmiot jest posiadaczem danych w rozumieniu aktu w sprawie danych. Prawidłowe zidentyfikowanie roli, procesów biznesowych, a także wszystkich typów danych generowanych przez produkty i usługi powiązane ma kluczowe znaczenie dla zgodności z przepisami prawnymi oraz ochrony interesów firmy i jej klientów.
Przede wszystkim wczesne ustalenie tej kwestii pozwala uniknąć potencjalnych sankcji prawnych i kar finansowych, które mogą wynikać z nieprzestrzegania przepisów dotyczących ochrony danych. Ponadto jasność co do roli posiadacza danych umożliwia lepsze zarządzanie nimi, co jest istotne dla zapewnienia ich bezpieczeństwa i prywatności.
Dodatkowo zrozumienie swojej roli na gruncie aktu w sprawie danych może pomóc w budowaniu zaufania wśród klientów, którzy coraz bardziej zwracają uwagę na to, jak ich dane są przetwarzane i chronione. Na przykład firma, która jasno komunikuje swoje obowiązki i odpowiedzialność w zakresie zarządzania danymi, może zyskać przewagę konkurencyjną na rynku. Wreszcie wczesne ustalenie tej kwestii pozwala na lepsze przygotowanie się do ewentualnych kontroli i audytów, co może zaoszczędzić czas i zasoby w przyszłości.
Sankcje za nieprzestrzeganie przepisów
Nie można przy tym zapomnieć, że nieprzestrzeganie wymogów Data Act może prowadzić do poważnych konsekwencji prawnych i finansowych. Mimo że jest to rozporządzenie unijne i jego przepisów nie trzeba implementować do polskiego porządku prawnego, to ustalenie konkretnych sankcji za ich nieprzestrzeganie leży w gestii poszczególnych państw członkowskich. Przy czym w rozporządzeniu są zapisane m.in. kary pieniężne, ostrzeżenia, nagany lub nakazy uzgodnienia praktyk biznesowych z obowiązkami nałożonymi w ramach Data Act. Kary ustanowione przez państwa członkowskie powinny być skuteczne, proporcjonalne i odstraszające. Należy przy ich ustalaniu uwzględniać zalecenia Europejskiej Rady ds. Innowacji w zakresie Danych, a tym samym przyczyniać się do jak największej spójności w ustanawianiu i stosowaniu kar.
Szanse i wyzwania dla producentów
Chociaż wdrożenie Data Act wiąże się z wyzwaniami, ta regulacja otwiera również nowe możliwości biznesowe. Producenci urządzeń mogą rozwijać dodatkowe usługi, takie jak: analityka danych, prognozowanie zużycia zasobów czy predykcyjna diagnostyka urządzeń.
Dane generowane przez urządzenia IoT mogą także wspierać rozwój innowacyjnych modeli biznesowych opartych na współpracy z innymi firmami, np. w branżach ubezpieczeniowej, energetycznej czy zdrowotnej. To może pomóc producentom w zdobyciu nowych rynków i zwiększeniu satysfakcji użytkowników. ©℗
Podstawa prawna
Podstawa prawna
• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (Dz.Urz. UE z 2023 r. L, 2854)