Data Act: co się zmieni dla producentów urządzeń i dostawców usług cyfrowych

Rozporządzenie Parlamentu Europejskiego i Rady UE 2023/2854, nazywane Aktem w sprawie danych (u nas z ang.: Data Act), stanowi element strategii Unii Europejskiej, której celem jest uregulowanie rozwijającej się gospodarki cyfrowej. Wpływ jego regulacji będzie odczuwalny zarówno dla przedsiębiorców, jak i konsumentów.

W praktyce oznacza to:

• większą kontrolę użytkowników nad danymi z urządzeń Internetu Rzeczy (IoT) – jeśli korzystają ze smart lodówki, inteligentnego licznika czy innych urządzeń IoT, będą mieli łatwiejszy dostęp do generowanych przez nie danych,
• obowiązkową wymianę danych między firmami – w określonych sytuacjach unijne przepisy mogą zobowiązać przedsiębiorstwa do udostępniania danych innym podmiotom, [przykład 1]

• koniec z nieuczciwymi umowami – nowe regulacje mają chronić firmy przed niekorzystnymi zapisami dotyczącymi dostępu do danych i ich wykorzystania,
• większy dostęp sektora publicznego do danych prywatnych firm – ale tylko w wyjątkowych przypadkach, np. podczas kryzysów czy klęsk żywiołowych,
• łatwiejszą zmianę dostawców chmury – migracja danych między usługami cloudowymi stanie się mniej skomplikowana, a interoperacyjność systemów będzie lepiej uregulowana.

• Czym są produkty skomunikowane i usługi powiązane?

Jednym z kluczowych pojęć wprowadzonych przez Data Act jest kategoria „produktów skomunikowanych” (connected products) oraz „usług powiązanych” (related services). To właśnie wokół nich koncentrują się nowe regulacje dotyczące dostępu do danych, ich dalszego udostępniania oraz komercyjnego wykorzystania. Brzmi technicznie? Spokojnie – chodzi o urządzenia i usługi, które na co dzień wykorzystujemy, często nawet nie zdając sobie z tego sprawy, że to o nie chodzi.

Produkty skomunikowane to wszelkie inteligentne urządzenia, które potrafią zbierać i przekazywać dane o swoim działaniu i otoczeniu – zazwyczaj przez internet lub inną formę połączenia cyfrowego. Mogą to być np.: maszyny przemysłowe, sprzęt medyczny, smartfony, telewizory, inteligentne lodówki czy liczniki energii. Jeśli urządzenie jest podłączone do internetu i komunikuje się z innymi systemami – wpisuje się w tę definicję.

Usługi powiązane to z kolei oprogramowanie, które współpracuje z tymi urządzeniami, umożliwiając sterowanie nimi, analizę zbieranych danych, ich wizualizację lub przesyłanie ich do innych systemów. Zgodnie z rozporządzeniem, aby uznać usługę za „powiązaną”, muszą być spełnione dwa warunki:

• dwukierunkowa wymiana danych – urządzenie i usługa cyfrowa muszą się ze sobą komunikować. Przykładem jest aplikacja mobilna do sterowania inteligentnym oświetleniem – wysyła ona komendy do żarówek o zmianie natężenia światła, a jednocześnie otrzymuje informacje o ich aktualnym stanie i zużyciu energii,
• realny wpływ na działanie urządzenia – usługa nie tylko zbiera dane, ale także kontroluje funkcje sprzętu. Świetnym przykładem jest aplikacja do zarządzania klimatyzacją, która pozwala użytkownikowi zmieniać temperaturę na odległość, a sprzęt odpowiada, informując o warunkach chłodzenia.

W praktyce Data Act porządkuje zasady dostępu do danych z takich produktów i usług, zwiększając prawa użytkowników i eliminując nieuczciwe praktyki biznesowe. To ważny krok w stronę bardziej otwartego i konkurencyjnego rynku cyfrowego.

• Kogo dotyczy rozporządzenie i w jakich sytuacjach?

Nowe unijne regulacje dotyczące danych obejmują szerokie grono firm i instytucji. Data Act nie jest skierowany wyłącznie do gigantów technologicznych – swoim zasięgiem obejmuje zarówno duże korporacje, jak i mniejsze przedsiębiorstwa. Największe znaczenie mają dwa kryteria: podmiotowe (kogo dotyczą przepisy) oraz terytorialne (gdzie obowiązują).

Adresatami Data Act są przede wszystkim:

• producenci i dostawcy usług związanych z urządzeniami IoT oraz ich użytkownicy,
• odbiorcy, czyli podmioty, którym użytkownicy takich urządzeń mogą udostępniać informacje,
• organy sektora publicznego i instytucje Unii Europejskiej, które w określonych sytuacjach mogą występować o dostęp do danych z sektora prywatnego, przykładowo: podczas powodzi zagrażającej dużemu obszarowi miejskiemu organ zarządzania kryzysowego występuje o dane lokalizacyjne z sieci komórkowej w czasie rzeczywistym, aby śledzić przemieszczanie się ludności i koordynować ewakuację,
• dostawcy usług chmurowych.

Ważne! Choć rozporządzenie Data Act dotyczy zarówno małych i średnich przedsiębiorstw (MŚP), jak i dużych korporacji, to skala obowiązków nie jest jednakowa dla wszystkich. O ile samo stosowanie przepisów nie zależy od wielkości firmy, o tyle większe przedsiębiorstwa będą musiały sprostać bardziej rygorystycznym wymaganiom – zwłaszcza w zakresie udostępniania i ochrony danych.

A zatem MŚP oraz organizacje badawcze, które nie są powiązane z większymi firmami, korzystają ze specjalnego ograniczenia w zakresie rekompensaty za dostęp do danych. [przykład 2] Oznacza to, że jeśli takie podmioty ubiegają się o dane od ich posiadacza, maksymalna opłata, jaką mogą ponieść, ogranicza się wyłącznie do rzeczywistych kosztów ich udostępnienia – bez dodatkowej marży. Tym samym, jeśli duży producent maszyn budowlanych musi ponieść koszt 500 euro na przygotowanie i przekazanie danych dla MŚP, to nie może naliczyć wyższej opłaty. Taka zasada ma na celu wspieranie innowacji oraz zapewnienie mniejszym firmom i instytucjom naukowym dostępu do danych na uczciwych zasadach.

przykład 1

przykład 2

Lokalizacja siedziby firmy nie ma znaczenia

Co istotne, Data Act nie ogranicza się wyłącznie do firm mających siedzibę w Unii – obejmuje wszystkie produkty skomunikowane, które zostały wprowadzone na rynek UE, niezależnie od kraju pochodzenia producenta. To oznacza, że przykładowo amerykańska firma oferująca inteligentne urządzenia w Europie również będzie musiała dostosować się do nowego prawodawstwa.

Dodatkowo przepisy obowiązują nawet wtedy, gdy produkt kupiony w UE jest następnie używany poza jej granicami – w takim przypadku dane generowane przez urządzenie nadal powinny być udostępniane użytkownikowi zgodnie z zasadami Data Act.

Nowe regulacje zmieniają sposób, w jaki firmy zarządzają danymi, zapewniając większą przejrzystość i kontrolę dla użytkowników. Wprowadzenie Data Act to krok w stronę bardziej otwartego i sprawiedliwego rynku cyfrowego, który wpłynie na funkcjonowanie przedsiębiorstw nie tylko w Europie, lecz także na całym świecie.

• Dlaczego Data Act jest ważny dla konsumentów?

Nowe przepisy wprowadzają istotne zmiany, które przełożą się na realne korzyści dla konsumentów. Przede wszystkim użytkownicy urządzeń IoT zyskają prawo dostępu do danych generowanych przez swoje sprzęty, co do tej pory było zarezerwowane głównie dla producentów i dostawców. Dzięki temu właściciele inteligentnych urządzeń (np. samochodów, pralek czy systemów ogrzewania) będą mogli swobodnie wybierać serwis lub naprawę bez konieczności korzystania z usług producenta. Otwiera to drogę do tańszych i bardziej konkurencyjnych usług serwisowych, ponieważ konsumenci będą mogli skorzystać z ofert niezależnych podmiotów, którzy wcześniej nie mieli dostępu do podstawowych danych urządzenia.

Istotna jest również ułatwiona możliwość zmiany dostawcy usług cyfrowych. Dzięki nowym regulacjom użytkownik będzie mógł zażądać przeniesienia swoich danych do innego dostawcy, co sprawi, że wybór usług stanie się bardziej elastyczny i dostosowany do jego potrzeb.

Podsumowując, Data Act zapewni konsumentom:

• większą kontrolę nad danymi – użytkownicy będą mieli dostęp do informacji generowanych przez swoje urządzenia i będą mogli swobodnie przekazywać je innym podmiotom,
• lepszą jakość usług i produktów – otwarty dostęp do danych pozwoli na rozwój nowych, bardziej zaawansowanych rozwiązań technologicznych,
• zwiększoną konkurencję na rynku – większa liczba firm będzie mogła świadczyć usługi serwisowe i cyfrowe, co przełoży się na niższe ceny i bogatszą ofertę dla konsumentów.

W efekcie nowe przepisy wzmocnią pozycję użytkowników, dając im większą swobodę wyboru, np. serwisu i kontrolę nad danymi, które generują ich urządzenia.

• Jakie obowiązki nakładają na przedsiębiorców unijne przepisy?

Głównym celem Data Act jest zapewnienie uczciwego, przejrzystego i konkurencyjnego rynku, w którym dane mogą być udostępniane i wykorzystywane z poszanowaniem interesów wszystkich stron.

Jednym z głównych wyzwań jest dostosowanie infrastruktury IT do nowych wymogów, w szczególności związanych z bezpiecznym przechowywaniem, udostępnianiem i przesyłaniem danych. Firmy będą musiały m.in.:

• zainwestować w technologie, które umożliwią im łatwą wymianę danych pomiędzy różnymi systemami, a także zapewnią kompatybilność z nowymi standardami interoperacyjności, szczególnie w kontekście usług chmurowych,
• wprowadzić procedury monitorowania i zapewnienia zgodności z nowymi regulacjami, zarówno w zakresie udostępniania danych, jak i ustalania rekompensat,
• przeanalizować procesy wewnętrzne, aby uniknąć naruszenia wymogów dotyczących transparentności i zasadności rekompensaty za udostępnienie danych,
• dostosować modele biznesowe.

Zgodnie z Data Act, MŚP zyskają równy dostęp do danych, co wcześniej było zarezerwowane dla dużych firm. W rezultacie, większe przedsiębiorstwa będą musiały dostosować swoje umowy i procedury wymiany danych, by zapewnić równe szanse wszystkim uczestnikom rynku, niezależnie od ich wielkości. Z kolei małe i średnie przedsiębiorstwa, które będą mogły korzystać z dostępu do nowych źródeł danych, muszą być gotowe na zmiany w organizacji swojej działalności, w tym wdrożenie nowych technologii analitycznych, co wiąże się z dodatkowymi kosztami.

Mimo tych wyzwań, Data Act przynosi przedsiębiorcom liczne korzyści. Przede wszystkim, dostęp do nowych źródeł danych, które wcześniej były zastrzeżone dla dużych korporacji, pozwala firmom na rozwój innowacyjnych usług i produktów. Dzięki temu przedsiębiorcy zyskają nowe możliwości biznesowe i szanse na stworzenie produktów, które lepiej odpowiadają na potrzeby rynku.

Kolejną korzyścią jest uregulowanie zasad wymiany danych, co zapewnia większą przewidywalność w zakresie dostępu do informacji i ich komercyjnego wykorzystania. Firmy będą mogły planować swoje strategie biznesowe w oparciu o stabilne i transparentne zasady, co przyczyni się do wzrostu efektywności i konkurencyjności rynku.

Dodatkowo Data Act wprowadza zrównanie dostępu do danych dla przedsiębiorstw z różnych sektorów, w tym MŚP, co otwiera przed mniejszymi firmami możliwość konkurowania na równych warunkach z dużymi graczami rynkowymi. Ostatecznie te zmiany mogą się przyczynić do stworzenia bardziej otwartego i dynamicznego rynku cyfrowego, sprzyjającego zarówno większym, jak i mniejszym przedsiębiorstwom.

WAŻNE! Przedsiębiorca nie może uzależniać realizacji prawa użytkownika do danych od spełnienia skomplikowanych procedur czy skorzystania z płatnych usług. ©℗

W gospodarce cyfrowej dane to zasób strategiczny – ale tylko wtedy, gdy można z nich łatwo korzystać, przesyłać je i przetwarzać w różnych systemach. Dlatego jednym z fundamentów Data Act jest wymóg interoperacyjności, czyli zdolność aplikacji mobilnych, systemów IT czy platform cyfrowych do pełnej, bezproblemowej współpracy i wymiany danych między sobą, mająca na celu stworzenie spójnego i efektywnego środowiska cyfrowego.

Nowe rozporządzenie zmienia filozofię projektowania usług cyfrowych: z zamkniętych, nieprzenośnych ekosystemów – na otwarte środowiska, w których dane i aplikacje mogą „wędrować” razem z użytkownikiem. Interoperacyjność nie jest już tylko zaletą technologiczną – staje się prawnym obowiązkiem.

• W jaki sposób interoperacyjność dotyczy każdego użytkownika?

Jednym z podstawowych celów Data Act jest wprowadzenie regulacji na poziomie unijnym, które zapewnią zwiększenie wspomnianej interoperacyjności danych, w tym również z korzyścią dla użytkowników rozwiązań IT. W ramach nowych przepisów przewidziano więc mechanizmy ułatwiające zmianę dostawców usług przetwarzania danych oraz zwiększenie wspomnianej interoperacyjności między różnymi usługami.

Akt zobowiązuje przedsiębiorców do przestrzegania określonych wymagań dotyczących interoperacyjności, które mają na celu ułatwienie wymiany danych między dostawcami. Wymogi z rozporządzenia mogą być spełnione poprzez dostosowanie się do ustalonych standardów lub domniemanie zgodności dzięki przestrzeganiu zharmonizowanych norm albo wspólnych specyfikacji. Oprócz umożliwienia płynnej migracji danych, rozporządzenie promuje równoczesne korzystanie z wielu uzupełniających się usług przetwarzania danych od różnych dostawców. Takie podejście pozwala użytkownikom na integrację różnych funkcji w ramach własnych systemów, co jest istotne z perspektywy wdrażania m.in. strategii wielochmurowych, które zmniejszają zależność od pojedynczych dostawców i zwiększają odporność operacyjną infrastruktury cyfrowej.

• Jakie konkretne korzyści zapewni interoperacyjność usług cyfrowych?

Odgrywa ona podstawową rolę w zapewnieniu użytkownikom pełnej kontroli nad posiadanymi przez nich danymi, umożliwiając swobodne przenoszenie informacji pomiędzy różnymi usługami i platformami. Z chwilą rozpoczęcia stosowania nowych przepisów każdy użytkownik – niezależnie od tego, czy korzysta z aplikacji zdrowotnej, usługi chmurowej czy smart home – zyska pewność, że dane, które gromadzi w ramach korzystania z m.in. aplikacji lub platform internetowych, będą mogły być ponownie wykorzystane i przeniesione do innej usługi.

Przykładowo, użytkownik platformy do przechowywania zdjęć będzie mógł bez obaw przenieść swoje archiwum – łącznie z datami, tagami, opisami i metadanymi – do konkurencyjnej usługi, jeżeli ta zaoferuje lepsze warunki. Wszystko to bez konieczności ręcznego pobierania i wgrywania plików. Dzięki temu nie będzie już uzależniony od jednego dostawcy i będzie mógł wybierać rozwiązania najlepiej dopasowane do swoich potrzeb, a ryzyko wystąpienia tzw. zjawiska vendor lock-in („uwięzienia” danych), polegające na uzależnieniu użytkowników od jednego dostawcy i niemożności łatwego opuszczenia jego ekosystemu, zostanie znacznie ograniczone.

Z drugiej strony równie istotne w kontekście interoperacyjności jest przyczynianie się do zwiększenia konkurencyjności na rynku usług cyfrowych. W efekcie zapewnienie interoperacyjności prowadzi więc do poprawy jakości usług oraz stymuluje powstawanie innowacyjnych rozwiązań dostępnych dla konsumentów. Data Act kładzie duży nacisk na interoperacyjność między różnymi ekosystemami danych, tak aby użytkownicy nie byli zamknięci w jednym środowisku, co w praktyce dodatkowo sprzyja zarówno konkurencyjności, jak i innowacjom na unijnym rynku danych.

Dla mniejszych firm technologicznych interoperacyjność może oznaczać koniec dominacji dużych platform, które do tej pory mogły sztucznie ograniczać współpracę. Przykładowo lokalni przedsiębiorcy dostarczający np. systemy CRM czy ERP będą mogli w łatwy sposób integrować wspomniane systemy z popularnymi narzędziami już funkcjonującymi u ich klientów. To przełomowa zmiana, która może się przyczynić do wyrównania szans mniejszych dostawców, a dla firm korzystających z tych usług oznacza większy wybór i niższe koszty wdrażania nowych rozwiązań.

WAŻNE! Interoperacyjność dotyczy nie tylko usług cyfrowych skierowanych do konsumentów (np. aplikacji mobilnych), lecz także infrastruktury B2B, usług przemysłowych, systemów zarządzania flotą, systemów ERP, CRM, a także usług chmurowych.

• Czy znikną wszystkie opłaty za zmianę dostawcy?

Data Act wprowadza nowe zasady dotyczące opłat związanych ze zmianą dostawcy usług przetwarzania danych, w tym usług chmurowych. Przepisy przede wszystkim ograniczają zakres opłat i precyzują, w których sytuacjach mogą być uzasadnione. W praktyce dla dostawców nie będzie to jednak oznaczać całkowitego zakazu stosowania opłat.

Z punktu widzenia interoperacyjności, najważniejszym elementem jest, że opłaty nie mogą być narzędziem blokowania konkurencji czy tworzenia sztucznych barier dla użytkowników planujących zmienić dostawcę. Przepisy wprost zakazują stosowania nieproporcjonalnych, niejasnych czy celowo zawyżonych opłat, które w praktyce zniechęcałyby klientów do korzystania z prawa do migracji danych. Interoperacyjność – rozumiana jako zdolność systemów i platform do płynnej współpracy – staje się nie tylko standardem technicznym, ale też prawnym obowiązkiem, który uniemożliwia czerpanie zysków z ograniczania swobody migracji.

Nowe przepisy wprowadzają mechanizm stopniowej eliminacji opłat za migrację. W okresie przejściowym, który wynosi do trzech lat od momentu wejścia w życie Data Act (tj. do 12 stycznia 2027 r.), dostawcy będą mogli pobierać opłaty, ale wyłącznie za rzeczywiste, uzasadnione koszty techniczne związane z migracją, np. koszty infrastruktury, pracy specjalistów IT czy zapewnienia kompatybilności formatów danych. Regulacje dotyczą zarówno dostawców chmurowych (IaaS, PaaS, SaaS), jak i innych podmiotów oferujących usługi przetwarzania danych, które będą zobowiązane do zapewnienia maksymalnej interoperacyjności i ułatwienia migracji poprzez standardowe formaty oraz otwarte interfejsy.

Do momentu upływu wspomnianego okresu przejściowego nie nastąpi więc całkowita eliminacja opłat za zmianę dostawcy, ale kwestia ta zostanie poddana ścisłej kontroli. Unijny ustawodawca, celowo wprowadzając okres przejściowy, umożliwił sektorowi IT dostosowanie swoich procesów technicznych, operacyjnych i biznesowych do nowych zasad wspierających konkurencję. Już w tym okresie jednak ograniczona będzie możliwość stosowania wygórowanych czy nieproporcjonalnych opłat, które stałyby w sprzeczności z głównym celem Data Act – stworzeniem otwartego, dynamicznego i sprzyjającego innowacjom rynku danych w Unii Europejskiej. Celem jest wyeliminowanie wszelkich opłat za migrację danych jako bariery dla rozwoju otwartego i konkurencyjnego rynku danych w Unii Europejskiej.

• Jakie opłaty będą zakazane po okresie przejściowym?

Data Act przewiduje, że po upływie okresu przejściowego dostawcy usług nie będą mogli:

• pobierać opłat za transfer danych do innego usługodawcy,
• żądać opłat za samo umożliwienie migracji danych (np. za eksport plików, odblokowanie API),
• nakładać opłat blokujących konkurencję, które miałyby zniechęcać do zmiany dostawcy.

Po 12 stycznia 2027 r. dostawcy będą jednak mogli:

• pobierać opłaty za standardowe usługi związane z codziennym korzystaniem z ich infrastruktury i zasobów – chodzi przede wszystkim o elementy standardowej oferty handlowej, niezwiązane bezpośrednio z procesem migracji danych,
• świadczyć na rzecz swoich klientów fakultatywne usługi doradcze lub konsultingowe związane z migracją, które mogą dotyczyć np. wsparcia technicznego przy przenoszeniu wyjątkowo złożonych systemów lub konwersji danych do niestandardowych formatów wymaganych przez nowego dostawcę lub samego użytkownika. Co ważne, opłaty takie nie mogą dotyczyć wsparcia realizowanego przy podstawowej procedurze zmiany dostawcy. Istotne jest ponadto to, że usługi dodatkowe mogą być świadczone wyłącznie na wyraźne życzenie klienta, nie mogą być obligatoryjne i muszą być oferowane w oparciu o przejrzysty, z góry określony cennik. Warunkiem jest także, by usługi dodatkowe były zgodne z zasadą niedyskryminacji – każdy użytkownik, niezależnie od swojej wielkości czy pozycji negocjacyjnej, powinien mieć dostęp do takich samych warunków.

Szczególną kategorię stanowią koszty wynikające z zastosowania niestandardowych technologii lub formatów danych, czyli sytuacje, w których użytkownik zażyczy sobie migracji danych w nietypowym formacie lub przy użyciu technologii wymagającej dodatkowej konwersji lub specjalistycznej integracji. W takich przypadkach dostawca będzie mógł naliczyć opłatę za te dodatkowe działania, o ile faktycznie wynikają one z obiektywnych trudności technicznych, a nie z celowego ograniczania interoperacyjności po stronie samego dostawcy.

Przy rozważaniu kwestii granicy zasadności naliczanych opłat podstawową zasadą pozostaje jednak pełna interoperacyjność i eliminacja wszelkich sztucznych barier technicznych. Oznacza to, że jeśli dane są przechowywane w standardowym, powszechnie przyjętym formacie, a infrastruktura dostawcy jest zgodna z obowiązującymi standardami interoperacyjności, migracja takich danych do innego dostawcy nie może wiązać się z żadnymi dodatkowymi opłatami. Data Act wprowadza więc wyraźne rozróżnienie pomiędzy kosztami wynikającymi z normalnego korzystania z usług (przepustowość, moc obliczeniowa, przestrzeń dyskowa), kosztami opcjonalnych usług dodatkowych, a bezpłatnym, gwarantowanym prawem użytkownika do przeniesienia swoich danych w sposób bezpieczny i nieobarczony opłatami za samą migrację. [przykład 3]

przykład 3

• 1500 zł za „pakiet migracyjny”,
• 500 zł za wygenerowanie raportu CSV z danymi,
• 3-tygodniowego okresu wypowiedzenia z pełną opłatą abonamentową.

• wszystkie te opłaty będą musiały być ograniczone do rzeczywistych kosztów (np. utrzymania chmury),
• nie będzie można stosować opłat jako „kary za odejście”,
• firma X będzie mogła przenieść dane do konkurencji łatwo, szybko i bez sztucznego utrudniania procesu. ©℗

Redefinicja zarządzania danymi w środowisku cyfrowym

Przepisy Data Act:

• eliminują bariery techniczne i finansowe, które dotychczas ograniczały płynność migracji, jednocześnie nakładając na dostawców obowiązek stosowania otwartych standardów i zapewnienia pełnej interoperacyjności swoich usług. Z perspektywy użytkowników, zarówno indywidualnych, jak i biznesowych, oznacza to większą elastyczność w wyborze rozwiązań najlepiej odpowiadających ich potrzebom, przy zachowaniu pełnej kontroli nad własnymi danymi;
• oprócz wzmacniania pozycji użytkowników sprzyjają także budowaniu bardziej otwartego i konkurencyjnego rynku usług cyfrowych w Unii Europejskiej;
• przez stopniowe wyeliminowanie opłat migracyjnych oraz zakaz stosowania klauzul umownych ograniczających swobodę zmiany dostawcy tworzą przestrzeń, w której mniejsi dostawcy mogą konkurować na równych zasadach z ugruntowanymi podmiotami. W efekcie Data Act nie tylko harmonizuje zasady dotyczące zarządzania danymi, lecz także przyczynia się do zwiększenia innowacyjności i odporności całego ekosystemu cyfrowego, co w dłuższej perspektywie wzmacnia unijną gospodarkę opartą na danych. ©℗

Rozwój gospodarki cyfrowej oraz produktów i usług, w których podstawowym zasobem są dane, nieuchronnie prowadzi do pytań i wątpliwości w zakresie ochrony i bezpieczeństwa takich danych oraz ram prawnych mających chronić naszą prywatność.

Data Act to akt prawny, który nie tylko promuje otwarty dostęp do danych i interoperacyjność systemów, lecz także wzmacnia prawa użytkowników w zakresie zarządzania danymi – zarówno osobowymi, jak i nieosobowymi. Nowe przepisy mają na celu zapewnienie większej kontroli nad tym, jak dane są gromadzone, przetwarzane, udostępniane i wykorzystywane – przy jednoczesnym poszanowaniu prywatności i ochrony informacji.

• Jak Data Act wpływa na ochronę prywatności?

Data Act to kolejny krok ustawodawcy unijnego w kierunku transformacji cyfrowej. Celem tych przepisów jest ułatwienie dostępu, wykorzystania i udostępniania danych generowanych przez urządzenia połączone z Internetem Rzeczy (IoT) oraz usługi cyfrowe, przy jednoczesnym zapewnieniu ich bezpieczeństwa i ochrony. Data Act w centrum stawia użytkownika, który dotychczas w wielu przypadkach miał bardzo ograniczony dostęp (i kontrolę) do danych generowanych przez swoje urządzenia lub nie miał go wcale.

W kontekście ochrony prywatności Data Act reguluje kilka istotnych aspektów:

• rozszerzenie ram ochrony danych – obowiązujące dotychczas w Unii Europejskiej regulacje koncentrowały się na ochronie danych osobowych. Data Act rozszerza zasady ustanowione przez RODO, wprowadzając dodatkowe przepisy dotyczące danych nieosobowych. Użytkownicy zyskują większą kontrolę nad takimi danymi generowanymi przez ich urządzenia IoT, w tym możliwość decydowania o ich udostępnianiu wybranym podmiotom trzecim. Przy czym, w zakresie, w jakim generowane dane stanowią dane osobowe, nadal w pełni obowiązują wymogi RODO;
• bezpieczeństwo danych – przepisy Data Act mają zapewnić bezpieczeństwo danych w trakcie ich przechowywania i przesyłania. Wymagane jest także stosowanie środków mających na celu zapobieżenie międzynarodowemu dostępowi do danych nieosobowych przechowywanych na terenie Unii lub ich przekazania administracji rządowej spoza UE;
• transparentność – analogicznie jak RODO wymaga spełnienia obowiązku informacyjnego wobec podmiotów danych osobowych, tak i Data Act wprowadza zasady dotyczące transparentności w przetwarzaniu danych nieosobowych, w tym obowiązek informowania użytkowników m.in. o rodzaju i szacowanej ilości generowanych danych czy sposobie realizacji prawa dostępu do danych;
• wzmocnienie praw użytkowników – oprócz praw, jakie w przypadku przetwarzania danych osobowych przysługują zgodnie z treścią rozdziału III RODO, Data Act przyznaje użytkownikom prawa w zakresie danych nieosobowych, w szczególności prawo dostępu, wykorzystania i przenoszenia danych.

• Jakie prawa przysługują użytkownikom na gruncie rozporządzenia?

W wielu przypadkach w katalogu danych generowanych przez urządzenia IoT i usługi cyfrowe znajdować się będą zarówno dane osobowe, jak i nieosobowe. Jednoznaczne rozdzielenie takich danych może być w praktyce utrudnione, a nawet technicznie i organizacyjnie niemożliwe, szczególnie w początkowym okresie obowiązywania Data Act. Wskazując zatem na prawa użytkowników w zakresie przetwarzania danych, należy zacząć od praw wynikających z RODO. Zgodnie z treścią rozdziału III RODO użytkownikowi przysługują: prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, prawo wniesienia sprzeciwu wobec przetwarzania danych, a także prawo cofnięcia zgody na przetwarzanie danych oraz prawo wniesienia skargi do organu nadzorczego.

Data Act wzmacnia powyższe prawa, zapewniając użytkownikom dalsze uprawnienia w odniesieniu do danych nieosobowych, w tym prawo łatwego dostępu do danych. W praktyce zatem użytkownik urządzeń IoT, np. urządzeń typu smart dom czy smart AGD, będzie miał prawo dostępu do wszystkich (nie tylko osobowych) danych generowanych przez takie urządzenia, które dotychczas często były dla niego niedostępne i zamknięte w systemach dostawcy takiego urządzenia.

Co więcej, użytkownikom przyznane zostaje także prawo do dzielenia się takimi danymi z osobami trzecimi. Posiadacz danych zobowiązany będzie bowiem, na wniosek użytkownika, aby takie dane przekazać wskazanemu przez niego podmiotowi trzeciemu. Praktyczny wymiar tego prawa będzie miał istotne znaczenie zarówno dla samych użytkowników, jak i konkurencyjności na rynku usług cyfrowych.

• Jakie obowiązki będą ciążyły na dostawcach w zakresie zabezpieczenia udostępnianych danych?

Wraz z przyznaniem użytkownikom praw związanych z dostępem i udostępnianiem danych Data Act nakłada na dostawców usług także wiele obowiązków związanych z zapewnieniem bezpieczeństwa takich danych i ich transferu. Obowiązki te pozostają komplementarne w szczególności z treścią art. 32 RODO, który wymaga wdrożenia środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Data Act nakazuje także zapewnienie bezpieczeństwa i przejrzystości w odniesieniu do międzynarodowego dostępu i przekazywania danych. Wprowadzony zostaje obowiązek stosowania i informowania na swojej stronie internetowej o środkach technicznych, organizacyjnych i umownych przyjętych przez dostawcę usług w celu ochrony danych przechowywanych w infrastrukturze chmurowej na terenie UE i zapobieżenia bezprawnemu dostępowi do danych ze strony rządów państw spoza Unii.

• Migracja danych: jakie zabezpieczenia są przewidziane w unijnym rozporządzeniu?

Wspieranie interoperacyjności usług przetwarzania danych ze szczególnym uwzględnieniem usług chmurowych, będące jednym z filarów Data Act, znajduje swoje odzwierciedlenie w przepisach. Zobowiązują one dostawców usług do zagwarantowania użytkownikom możliwości swobodnej zmiany dostawcy, a co za tym idzie – migracji należących do nich danych bez:

• ponoszenia przez użytkowników nadmiernych kosztów,
• nieuzasadnionych opóźnień i
• ryzyka pogorszenia jakości usług.

Ważne! Proces przenoszenia danych, aplikacji czy innych zasobów cyfrowych do konkurencyjnych usługodawców powinien odbywać się w sposób przejrzysty, bezpieczny, a tam, gdzie jest to technicznie możliwe – w pełni automatyczny.

Zabezpieczeniem sprawnej migracji danych przewidzianym w nowych przepisach jest również obowiązek zapewnienia przez dostawców odpowiednich narzędzi technicznych i procedur wspierających interoperacyjność. Obejmuje to nie tylko udostępnienie odpowiednich interfejsów API, lecz także gwarancję, że dane użytkowników będą przekazywane w formacie, który umożliwia ich dalsze wykorzystanie u innego dostawcy lub w zupełnie innym środowisku technologicznym.

Data Act wprowadza zasady „portability by design” i „accessibility by design”, które zobowiązują producentów i dostawców usług do projektowania swoich produktów i rozwiązań w taki sposób, by ułatwiać późniejsze przenoszenie danych oraz zapewniać ich dostępność w ustandaryzowanych, kompatybilnych formatach.

Ustawodawca unijny w rozporządzeniu nakłada również ograniczenia dotyczące praktyk umownych, które mogłyby sztucznie utrudniać migrację danych lub narzucać nieuczciwe warunki tego procesu. Klauzule umowne, które prowadzą do nierównego traktowania użytkowników lub ograniczają im prawo do zmiany dostawcy, w świetle nowych przepisów mogą zostać uznane za nieważne. Szczególny nacisk położono na przejrzystość, sprawiedliwość i niedyskryminujący charakter warunków migracji, zgodnie z zasadą FRAND (fair, reasonable and non-discriminatory).

Podsumowując, mechanizmy zabezpieczające migrację danych w ramach Data Act opierają się na kilku filarach:

• obowiązkowej interoperacyjności usług,
• przenośności danych wbudowanej już na etapie projektowania,
• zakazie nieuczciwych klauzul umownych ograniczających prawo do zmiany dostawcy,
• konkretnych wymaganiach technicznych, które dotyczą otwartych standardów i dostępnych interfejsów.

Całość nowych rozwiązań ma wzmocnić pozycję użytkowników, ułatwić tworzenie innowacyjnych usług bazujących na danych oraz ograniczyć ryzyko koncentracji zasobów danych w rękach kilku dominujących graczy.

• Co zrobić w przypadku naruszenia prywatności?

Zgodnie z Data Act każde z państw członkowskich UE, w tym Polska, zobowiązane jest do:

• ustanawiania przepisów dotyczących kar w przypadku naruszeń rozporządzenia oraz
• wyznaczenia organu nadzorczego odpowiedzialnego za jego stosowanie i egzekwowanie.

Jednak nawet w sytuacji gdyby takie regulacje nie zostały w Polsce na czas przyjęte, użytkownicy nie zostaną całkowicie pozbawieni ochrony. W przypadku naruszeń prywatności związanych z przetwarzaniem danych osobowych (np. nieautoryzowanym dostępem czy nieuprawnionym ujawnieniem danych użytkownika) możliwe będzie złożenie skargi do organu nadzorczego, którym w Polsce jest prezes Urzędu Ochrony Danych Osobowych.

W zależności od rodzaju naruszenia wysokość kar pieniężnych sięga do 20 mln euro lub w przypadku przedsiębiorstwa do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Użytkownicy mogą także dochodzić odszkodowania na drodze sądowej. Na straży interesów użytkowników będących konsumentami stoi także prezes Urzędu Ochrony Konkurencji i Konsumentów, który identyfikuje i prowadzi postępowania w sprawach praktyk naruszających zbiorowe interesy konsumentów (w tym analizuje sygnały z rynku i zgłoszenia konsumentów). ©℗

W kontekście dynamicznego rozwoju Internetu Rzeczy (IoT) oraz wszechobecnych urządzeń gromadzących dane o użytkownikach, takich jak inteligentne głośniki (np. Alexa) czy samochody służbowe, nowe przepisy związane z dostępem do danych, Data Act, wprowadzają istotne zmiany w zakresie przekazywania danych. Jednak te zmiany nie mogą być rozpatrywane w oderwaniu od RODO, które nadal reguluje przetwarzanie danych osobowych.

RODO vs. Data Act: jak te regulacje oddziałują na siebie?

Podstawowym celem Data Act jest stworzenie ram prawnych umożliwiających dostęp do danych generowanych przez urządzenia IoT, które użytkownicy będą mogli wykorzystywać nie tylko do własnych celów, lecz także udostępniać innym podmiotom, w tym firmom trzecim. Data Act traktuje dostęp do danych jako prawo użytkownika, w tym w zakresie danych zarówno osobowych, jak i nieosobowych. Jednak jeśli dane zawierają informacje pozwalające na identyfikację osoby, muszą być przetwarzane zgodnie z przepisami RODO, a podstawą ich przekazania może być tylko zgoda osoby, której dane dotyczą, lub inna wyraźna podstawa prawna przewidziana w RODO (np. zawarcie umowy).

Ważne! Największą różnicą pomiędzy Data Act a RODO jest zakres ochrony. RODO określa ścisłe zasady ochrony danych osobowych, a Data Act poszerza dostępność danych, umożliwiając udostępnianie danych osobowych i nieosobowych, jednak zawsze pod warunkiem zgodności z RODO, jeśli chodzi o dane osobowe.

Przykładem inteligentnego systemu domowego jest popularna Alexa – usługa głosowa firmy Amazon. Może ona zbierać dane, łączyć się z innymi urządzeniami, a następnie – w wyniku analizy danych – tworzyć profile zachowań i preferencji użytkownika. Przetwarzanie danych osobowych w ramach tego systemu, w tym ich przekazywanie, podlega regulacji RODO. Niezbędne jest więc uzyskanie zgód użytkownika oraz spełnienie wobec niego obowiązków informacyjnych. Jeżeli przekazania danych domaga się inna osoba, musi mieć ona podstawę prawną do przetwarzania danych z art. 6 RODO. W zakresie przekazywania danych generowanych w ramach gospodarstwa domowego Data Act wskazuje, że przy wspólnym użytkowaniu produktu IoT przez członków gospodarstwa domowego (np. Alexy) użytkowników nie uznajemy za administratorów. Jak w praktyce uzyskać kontrolę nad wszystkimi osobami korzystającymi z urządzeń IoT i zapewnić zgodność zarówno z Data Act, jak i RODO? System, chociażby taki jak Alexa, może otrzymywać ogrom informacji i danych osobowych od wielu osób. Prawidłowe przekazywanie tych danych w zgodzie z Data Act jest wyzwaniem nie tylko dla ich użytkowników, ale przede wszystkim posiadaczy danych.

Z perspektywy RODO wymagane będzie spełnienie wszystkich obowiązków informacyjnych wobec użytkowników, czyli wyjaśnienie im:

• jak gromadzone są dane,
• w jakim celu,
• kto ma do nich dostęp i
• jak użytkownicy mogą nimi zarządzać.

Przykładem może być konieczność wyrażenia zgody na wykorzystanie danych Alexy do celów marketingowych czy analitycznych. W ramach Data Act posiadacze urządzenia IoT, tacy jak Amazon, muszą spełniać te same wymagania informacyjne, jednak z dodatkowym obowiązkiem umożliwienia użytkownikowi dostępu do danych oraz ich przenoszenia do innych usług.

Co z członkami personelu? Osoba korzystająca z urządzenia IoT nie zawsze jest jej właścicielem. Dodatkowo może podlegać szczególnym przepisom w zakresie przetwarzania danych osobowych, tak jak to jest w przypadku relacji pracownik–pracodawca. Przykładem może być też korzystanie przez pracowników z samochodów służbowych z systemami smart (np. GPS, kamerami, systemami rozpoznawania twarzy czy zdalnego sterowania funkcjami). Gromadzą one nie tylko dane o pojeździe, lecz także o jego użytkowniku. Zbierane dane w większości są danymi osobowymi pracownika. A to budzi obawy związane z naruszeniem prywatności pracowników, w szczególności w zakresie monitorowania ich zachowań.

Przy przetwarzaniu danych osobowych zatrudnionych należy mieć na uwadze przepisy szczególne zawarte w kodeksie pracy. Pracodawca powinien np. przeanalizować, czy monitoring pracownika z wykorzystaniem systemu smart w pojeździe służbowym jest zgodny z tymi regulacjami, a jeśli tak, spełniać wobec podwładnych obowiązek informacyjny w tym zakresie.

Systemy smart mogą też zbierać dane pracowników, które nie powinny być udostępniane pracodawcy lub których uzyskanie wiąże się z koniecznością uzyskania odrębnej zgody pracownika. Przykładem są dane biometryczne, których dopuszczalność przetwarzania jest znacznie ograniczona i możliwa jedynie po spełnieniu dodatkowych warunków. Obecnie, przed wejściem w życie Data Act, dostęp do danych zbieranych w ramach IoT posiadają niemal wyłącznie producenci. Od września br. prawa dostępu przyznane zostanie także użytkownikom oraz podmiotom trzecim. Użytkownik IoT może co do zasady wyeksportować dane z urządzenia w dowolnym celu. Jeśli samochód służbowy zbiera informacje dotyczące lokalizacji pracownika lub jego nawyków jazdy, to mogą być one wykorzystywane przez firmy zewnętrzne zaangażowane przez pracodawcę, np. do analizy stylu jazdy personelu w celu oceny ryzyka ubezpieczeniowego lub optymalizacji flot samochodowych.

Pojawia się tu wiele pytań. Jedno z nich dotyczy tego, czy pracodawca może przekazywać dane osobowe swojego pracownika z IoT np. do podmiotów świadczących usługi serwisowe lub wspomagające flotę pojazdów. Zasadniczo tak, ale tylko, jeśli wykaże właściwą podstawę prawną do przetwarzania tych danych. Co więcej, takie przetwarzanie może dotyczyć wyłącznie ograniczonego zakresu i rodzaju danych pracownika. Konieczna jest więc analiza konkretnego przypadku. Pracodawcy, korzystając z uprawnień w ramach Data Act, muszą zatem pamiętać o obowiązku respektowania właściwych przepisów RODO oraz kodeksu pracy w zakresie możliwości przetwarzania danych swojego pracownika.

Konieczne umowy w kontekście Data Act i ochrony danych osobowych

Wszystkie kwestie dotyczące przetwarzania danych osobowych i nieosobowych użytkowników urządzeń IoT – zarówno w odniesieniu do osób prywatnych, jak i pracowników – wskazują na konieczność zawierania odpowiednich umów regulujących sposób korzystania z tych danych.

Umowy te są niezbędne, szczególnie w kontekście Data Act, ponieważ muszą szczegółowo określać, jak dane będą udostępniane i przetwarzane przez inne podmioty, np. przez firmy, które oferują dodatkowe usługi lub technologie związane z urządzeniem IoT. Kiedy mówimy o danych osobowych, obowiązki wynikające z RODO sprawiają, że kontraktualizacja staje się najważniejszym narzędziem umożliwiającym zgodne z prawem udostępnianie danych przy jednoczesnym zachowaniu pełnej ochrony prywatności osób, których te dane dotyczą.

Między producentem a użytkownikiem danych

Jednym z najistotniejszych aspektów kontraktualizacji w ramach Data Act jest precyzyjne określenie zasad korzystania z danych. W kontekście urządzeń IoT, takich jak inteligentne głośniki czy samochody z systemami GPS, producent produktu (np. Amazon w przypadku Alexy) może chcieć wykorzystywać dane użytkowników, ale tylko na podstawie umowy, która jasno określi, w jakich celach dane te będą przetwarzane. Mogą być one więc używane do poprawy funkcjonowania produktu, tworzenia nowych funkcji, a także do oferowania nowych usług. Jednak użytkownik musi wiedzieć, w jaki sposób jego dane będą wykorzystywane i mieć możliwość zgody na ich udostępnianie. Jeśli dane są udostępniane osobom trzecim, umowa pomiędzy producentem a użytkownikiem musi wyraźnie określać, że nie można identyfikować poszczególnych użytkowników na podstawie tych danych.

Ważne! Zgodnie z Data Act zmiany warunków umowy nie mogą być dokonywane jednostronnie przez producenta. Każda modyfikacja wymaga zgody użytkownika.

Producent może również wprowadzić dodatkowe zapisy, które ograniczą wykorzystanie niektórych danych, co daje użytkownikowi większą kontrolę nad swoimi danymi.

Umowy z osobami trzecimi

Z kolei, jeśli producent urządzenia IoT planuje udostępnić dane użytkownika firmom trzecim (np. firmom serwisowym, które będą zajmować się konserwacją urządzenia), musi na takie działanie uzyskać zgodę użytkownika oraz zawrzeć odpowiednią umowę z tymi podmiotami. Dokument powinien precyzować, jak dane będą udostępniane, w jakim celu i na jakich zasadach. Należy zwrócić uwagę, że w takich umowach obowiązują zasady sprawiedliwości, przejrzystości i niedyskryminacji. Przykładem może być sytuacja, w której firma wynajmująca samochody z systemem GPS udostępnia dane lokalizacyjne kierowcy firmie, która monitoruje trasę pojazdu – umowa musi określać, jakie dane są udostępniane i w jaki sposób będą one wykorzystywane. Ponadto, w przypadku, gdy dane mogą stanowić tajemnicę przedsiębiorstwa, muszą być wprowadzone odpowiednie zabezpieczenia umowne, które zapewnią ich ochronę.

Warto również zauważyć, że umowa musi przewidywać, czy dane będą udostępniane odpłatnie. Jeśli tak, w dokumencie tym należy określić zasady wynagradzania za dostęp do tych danych. Dodatkowo, producent urządzenia IoT może w umowie wskazać środki techniczne, które muszą zostać zastosowane, aby zapewnić odpowiednią ochronę danych.

Zgodnie z Data Act umowy nie mogą:

• zawierać klauzul, które są nieuczciwe lub niewłaściwe (np. nie mogą one ograniczać odpowiedzialności jednej ze stron za rażące niedbalstwo lub świadome naruszenie umowy),
• uniemożliwiać jednej stronie rozwiązania kontraktu w rozsądny sposób lub pozwalać silniejszej stronie na arbitralne decydowanie o zgodności działań drugiej strony z umową.

Jeśli dokument zawierałby takie nieuczciwe postanowienia, byłyby one uznane za niewiążące.

Obowiązki informacyjne

Posiadacze danych (np. producenci urządzeń IoT) mają również obowiązek dostarczenia użytkownikom jasnych informacji na temat tego, jakie dane są zbierane i w jakim celu. Data Act precyzuje, że użytkownicy muszą otrzymać informacje:

• o rodzaju, formacie i ilości danych generowanych przez urządzenie,
• czy dane są zbierane w czasie rzeczywistym,
• gdzie dane są przechowywane (na urządzeniu czy na zdalnym serwerze),
• jak użytkownik może uzyskać dostęp do danych, pobrać je lub je usunąć.

Aby ułatwić dostęp do tych informacji, Data Act wprowadza możliwość wykorzystania linków internetowych (np. poprzez URL lub kod QR) – użytkownicy mogą przed podpisaniem umowy zapoznać się z pełnymi informacjami dotyczącymi przetwarzania danych. Takie rozwiązanie pozwala na łatwiejsze zarządzanie informacjami i ich przechowywanie na przyszłość.

Różnice i wyzwania związane z przetwarzaniem danych osobowych i nieosobowych

Data Act daje użytkownikom urządzeń IoT prawo do dostępu do danych generowanych przez te urządzenia oraz umożliwia ich udostępnianie firmom trzecim. Jednak dane osobowe muszą być nadal przetwarzane zgodnie z RODO, co oznacza, że ich przekazywanie wymaga zgody użytkownika lub innej podstawy prawnej przewidzianej w RODO. Zaskakujące jest, że Data Act, który ma na celu wspieranie biznesu – szczególnie MŚP – kładzie tak duży nacisk na kontraktualizację, zwłaszcza w kontekście przetwarzania danych nieosobowych.

RODO, które również reguluje przetwarzanie danych, oferuje szerszy wachlarz podstaw prawnych, takich jak zgoda, umowa czy uzasadniony interes. To pozwala na większą elastyczność w zakresie przetwarzania danych bez konieczności zawierania skomplikowanych umów. ©℗

Wraz z wejściem w życie Data Act, producenci urządzeń połączonych muszą stawić czoła wielu nowym obowiązkom, które mają usprawnić dostęp do danych, zapewnić ich bezpieczeństwo oraz równoważyć interesy użytkowników i podmiotów zarządzających danymi. W praktyce oznacza to, że firmy wprowadzające na rynek inteligentne urządzenia – od domowych gadżetów po zaawansowane systemy przemysłowe – będą musiały dokładnie przemyśleć sposób gromadzenia, przetwarzania oraz udostępniania danych.

Przykłady zastosowania nowych regulacji można znaleźć w różnych sektorach gospodarki. W branży motoryzacyjnej producenci samochodów elektrycznych będą musieli umożliwić użytkownikom dostęp do danych dotyczących stanu akumulatora, przebiegu oraz efektywności energetycznej pojazdu, co pozwoli na lepsze monitorowanie i optymalizację użytkowania pojazdu. W sektorze medycznym urządzenia takie jak inteligentne aparaty do pomiaru ciśnienia czy glukometry muszą być zaprojektowane tak, aby dane pacjentów były chronione, ale jednocześnie łatwo dostępne dla uprawnionych służb medycznych, co może poprawić diagnostykę oraz skuteczność terapii. Nawet w inteligentnych systemach zarządzania domem użytkownicy będą mogli kontrolować i przenosić dane dotyczące zużycia energii, ustawień urządzeń czy warunków środowiskowych w swoim domu, co przyczyni się do zwiększenia efektywności energetycznej oraz komfortu życia.

• Czy dane będą dostępne bezpośrednio ze wszystkich produktów smart?

Pobieżna lektura wymogów Data Akt w sprawie danych może prowadzić do błędnego wniosku, że każdy producent ma obowiązek dostosowania swoich produktów w taki sposób, by dane były bezpośrednio dostępne z urządzeń.

Na gruncie Data Act producenci nie mają obowiązku projektowania lub przebudowywania swoich urządzeń tak, aby umożliwiały użytkownikom bezpośredni dostęp do danych we wszystkich przypadkach. Zgodnie z przepisami dane powinny być „bezpośrednio dostępne” tylko w sytuacjach, gdy jest to zarówno istotne, jak i technicznie wykonalne.

W praktyce producenci muszą więc wypracować rozwiązania technologiczne i organizacyjne, które umożliwią im spełnienie wymogów EU Data Act. Dotyczy to zarówno nowych produktów, które trafią na rynek od 12 września 2025 r., jak i tych już istniejących, które – zgodnie z regulacjami – również muszą być dostosowane do nowych standardów w określonym terminie. Producenci będą musieli:

• zapewnić użytkownikom bezpośredni dostęp do danych lub
• umożliwić ten dostęp pośrednio, np. za pośrednictwem zdalnych serwerów i interfejsów API.

Decyzja ta powinna być oparta na ocenie technicznej wykonalności, kosztów modyfikacji oraz ryzyka związanego z ochroną tajemnic przedsiębiorstwa. Na przykład firma produkująca inteligentne urządzenia medyczne, takie jak aparaty do pomiaru ciśnienia krwi, może zdecydować się na pośredni dostęp do danych, co pozwoli na lepszą kontrolę nad informacjami dotyczącymi pacjentów oraz zabezpieczenie technologii, która stanowi kluczowy element konkurencyjności firmy.

Hamulec rozwoju technologii?

Kolejnym aspektem, który budzi szczególne zainteresowanie, jest kwestia ochrony tajemnic przedsiębiorstwa i danych chronionych przepisami prawa. Data Act przewiduje mechanizm tzw. hamulca tajemnic przedsiębiorstwa (trade secrets handbrake), który pozwala podmiotom zarządzającym danymi na wstrzymanie lub ograniczenie dostępu do danych, które mogą stanowić tajemnicę przedsiębiorstwa.

Dzięki niemu możliwe będzie negocjowanie odpowiednich warunków przed udostępnieniem danych (chodzi tu o podpisanie umów o zachowaniu poufności, wdrożenie określonych procedur bezpieczeństwa czy zastosowanie standardów technicznych, które zabezpieczą informacje przed nieuprawnionym wykorzystaniem). Przykładowo producent zaawansowanych systemów monitoringu w pojazdach autonomicznych może zdecydować, że szczegółowe dane dotyczące algorytmów sterujących pojazdem będą udostępniane tylko po spełnieniu określonych warunków przez użytkownika lub partnera technologicznego.

Co z nieuczciwą konkurencją?

Interesującym aspektem Data Act jest także kwestia zastosowania klauzuli zakazu konkurencji, która ogranicza możliwość tworzenia usług konkurencyjnych przez innych producentów urządzeń połączonych. Użytkownicy i firmy korzystające z takich danych mogą w ten sposób wybierać najkorzystniejsze rozwiązania, co przyczyni się do obniżenia kosztów zmiany dostawcy usług oraz pobudzenia innowacyjności.

Ważne! Data Act wprowadza rozróżnienie między rynkiem urządzeń a rynkiem usług powiązanych. O ile ochrona przed tworzeniem konkurencyjnych urządzeń jest dopuszczalna, o tyle blokowanie rozwoju usług bazujących na danych zostało uznane za praktykę antykonkurencyjną.

Przepisy te uzupełniają istniejące już regulacje antymonopolowe, takie jak Digital Markets Act (DMA) czy Digital Services Act (DSA), tworząc spójny ekosystem prawny wspierający konkurencyjność cyfrowego rynku w UE.

Nie zapomnijmy o bezpiecznym transferze danych!

Obowiązek zapewnienia dostępu do danych wiąże się nie tylko z udostępnianiem surowych informacji, lecz także z koniecznością umożliwienia transferu tych danych do osób trzecich na żądanie użytkownika. W praktyce oznacza to, że użytkownik, posiadając np. inteligentny termostat lub samochód elektryczny, powinien mieć możliwość przeniesienia swoich danych do innego dostawcy usług – bez względu na to, czy dostęp do nich odbywa się bezpośrednio, czy pośrednio.

W związku z tym nie bez znaczenia pozostaje również kwestia bezpieczeństwa danych. Data Act nakłada na producentów obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, które zabezpieczą dane przed atakami cybernetycznymi, kradzieżą lub przypadkową utratą. Producenci powinni więc zainteresować się systemami szyfrowania, autoryzacji oraz monitoringu, aby zapewnić, że dane użytkowników są bezpiecznie przechowywane, zarówno w urządzeniu, jak i podczas przesyłania do serwerów zewnętrznych.

Bezpieczeństwo i ochrona danych przede wszystkim

Warto również zwrócić uwagę na przepisy dotyczące bezpieczeństwa i ochrony użytkowników. Data Act przewiduje tzw. hamulec bezpieczeństwa (safety and security handbrake), który pozwala na ograniczenie lub całkowite zablokowanie dostępu do danych w sytuacjach, gdy ich udostępnienie mogłoby zagrozić zdrowiu, bezpieczeństwu lub życiu ludzi. Jeśli na przykład producent systemu monitoringu zdrowia podejrzewa, że udostępnienie określonych danych mogłoby skutkować poważnymi konsekwencjami dla pacjentów, to w takiej sytuacji (po wdrożeniu Data Act) będzie miał prawo wstrzymać ich transfer do innych podmiotów.

Taki mechanizm jest niezbędny, aby z jednej strony umożliwić użytkownikom korzystanie z nowoczesnych technologii, a z drugiej – chronić ich przed ewentualnymi negatywnymi skutkami wynikającymi z niewłaściwego przetwarzania danych. ©℗