Data Act wymusza inne podejście do przetwarzania danych

Rozporządzenie Data Act będzie działać bezpośrednio

Data Act to rozporządzenie, a nie dyrektywa. Nie trzeba więc wprowadzać do polskiego porządku prawnego żadnej dodatkowej ustawy, żeby unijne regulacje zaczęły obowiązywać – działają one wprost w wersji zapisanej w Brukseli. W praktyce: 12 września rozporządzenie to musi respektować każda firma (wyjątki wymieniamy niżej), która przetwarza dane użytkowników, klientów czy partnerów.

Doprecyzowanie przepisów

Ważne jest to, że nie będzie okresu przejściowego dotyczącego wdrożenia przepisów. I choć Polska może (i powinna) wprowadzić regulacje doprecyzowujące, np. to, kto ma nakładać kary, to obecnie nikt nad nimi nie pracuje. Rada Ministrów zapowiedziała przygotowanie projektu ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu, który ma zostać przyjęty w IV kwartale bieżącego roku. Jego główne cele to wyrównanie dostępu do danych dla użytkowników urządzeń IoT oraz małych i średnich przedsiębiorstw, zwiększenie interoperacyjności oraz ułatwienie przenoszenia danych w chmurze, a także wyznaczenie kompetentnego organu nadzorującego.

Kto musi stosować?

Rozporządzenie obejmuje swoim zakresem szerokie spektrum uczestników rynku cyfrowego, w szczególności tych, którzy oferują produkty i usługi oparte na danych.

Ważne! Nowe regulacje adresowane są zarówno do producentów sprzętu, jak i dostawców usług cyfrowych, operatorów chmury obliczeniowej i pośredników w sprzedaży rozwiązań technologicznych.

Do głównych kategorii zobowiązanych podmiotów należą:

• producenci urządzeń podłączonych do sieci (IoT) – chodzi o urządzenia generujące dane w trakcie eksploatacji, takie jak maszyny przemysłowe, pojazdy, sprzęt AGD czy inne inteligentne produkty. Producent musi zapewnić użytkownikowi możliwość uzyskania dostępu do danych generowanych przez urządzenie, jak również ich przekazania wybranemu przez użytkownika podmiotowi trzeciemu – w tym również serwisowi niezależnemu od producenta. Obowiązkiem jest także zapewnienie środków technicznych i organizacyjnych chroniących dane przed nieautoryzowanym dostępem;
• sprzedawcy i pośrednicy – podmioty zajmujące się sprzedażą, leasingiem lub wynajmem urządzeń objętych zakresem rozporządzenia również ponoszą odpowiedzialność za spełnienie określonych obowiązków informacyjnych. W niektórych sytuacjach mogą przejąć część zobowiązań producenta, szczególnie jeśli działają w jego imieniu lub oferują urządzenia jako część własnego portfolio;
• dostawcy usług przetwarzania danych (SaaS, PaaS, IaaS) – firmy oferujące rozwiązania chmurowe muszą zapewnić użytkownikom możliwość przenoszenia danych do innego dostawcy usług (tzw. data portability). Zobowiązane są również do stosowania zasad interoperacyjności, przejrzystości w zakresie przetwarzania danych oraz zabezpieczenia ich przed nieuprawnionym dostępem.

Data Act wyraźnie zmierza do ograniczenia zjawiska „vendor lock-in” i zwiększenia swobody wyboru usług przez użytkowników.

Istotnym elementem regulacji są również relacje typu B2G (business-to-government). W określonych sytuacjach, takich jak kryzysy zdrowotne, klęski żywiołowe czy działania ratunkowe, przedsiębiorcy będą zobowiązani udostępnić dane organom administracji publicznej na żądanie.

Wyjątki dla małych i mikroprzedsiębiorstw

Data Act przewiduje pewne wyjątki dla mikro, małych oraz wybranych średnich przedsiębiorstw, jeśli nie są one powiązane kapitałowo z większymi podmiotami. Zwolnienia te dotyczą przede wszystkim obowiązku udostępniania danych generowanych przez urządzenia. A więc mają zastosowanie głównie do producentów sprzętu. Taka konstrukcja ma odciążyć mniejsze firmy z obowiązków, które mogłyby przekraczać ich możliwości techniczne i finansowe.

Uwaga! Dostawcy usług cyfrowych (w tym SaaS) nie korzystają z tego zwolnienia, nawet jeśli są mikro lub małymi przedsiębiorstwami.

Zgodnie z rozporządzeniem usługi przetwarzania danych są traktowane jako odrębna, w pełni uregulowana kategoria działalności – niezależnie od skali podmiotu. W praktyce oznacza to, że każdy dostawca SaaS musi spełniać wymogi w zakresie interoperacyjności, transparentności, transferu danych oraz eliminacji barier technicznych.

Przykładowo:

• producent małego urządzenia IoT może być zwolniony z obowiązków udostępnienia danych generowanych przez nie, jeżeli spełnia warunki określone w art. 7 Data Act (czyli nie ma powiązań z większymi podmiotami),
• dostawca oprogramowania w modelu SaaS – niezależnie od wielkości – zobowiązany jest do pełnej implementacji regulacji Data Act.

To rozróżnienie ma fundamentalne znaczenie przy ocenie, czy i w jakim zakresie firma podlega obowiązkom wynikającym z rozporządzenia. Każdy podmiot powinien więc indywidualnie przeanalizować swoją sytuację – zarówno w kontekście charakteru oferowanych usług, jak i potencjalnych powiązań z innymi firmami.

Działania na już

Gdy firma ustali, że jest zobligowana do wdrożenia Data Act, nie powinna zwlekać z dalszymi krokami. Mimo że wiele szczegółów dotyczących stosowania Data Act pozostaje niewiadomą, z podstawowej treści aktu, a także dodatkowych dokumentów (np. standardowych klauzul umownych opracowanych przez Komisję Europejską) można wyczytać wiele.

Poniżej przedstawiam pięć podstawowych działań, które powinien podjąć każdy przedsiębiorca, aby zminimalizować ryzyko naruszeń i zabezpieczyć interesy swojej organizacji.

1. Przeanalizuj treść rozporządzenia.

Należy zapoznać się z brzmieniem Data Act, a przynajmniej z jego kluczowymi rozdziałami – w szczególności dotyczącymi udostępniania danych, zasad interoperacyjności oraz obowiązków względem użytkowników. Zrozumienie struktury i celów rozporządzenia jest warunkiem koniecznym do skutecznego wdrożenia jego postanowień.

2. Sporządź mapę przepływu danych w organizacji.

Warto zidentyfikować, jakie dane są przetwarzane w firmie, skąd pochodzą, kto ma do nich dostęp, w jakim celu są wykorzystywane, gdzie są przechowywane oraz komu i na jakich zasadach są udostępniane. Taka mapa danych będzie punktem wyjścia do dalszych działań zgodnych z rozporządzeniem.

3. Zrewiduj i dostosuj umowy.

Należy przeanalizować obowiązujące umowy z klientami, kontrahentami i dostawcami technologii pod kątem zgodności z nowymi wymogami – zwłaszcza w zakresie przejrzystości warunków udostępniania danych, zasad korzystania z usług opartych na danych oraz możliwości ich przenoszenia. W wielu przypadkach konieczna może być aktualizacja klauzul umownych.

4. Przygotuj organizację operacyjnie.

Wdrożenie Data Act wymaga nie tylko zmian formalnych, ale również organizacyjnych. Warto opracować lub zaktualizować wewnętrzne procedury, polityki zarządzania danymi oraz zapewnić odpowiednie szkolenia dla personelu odpowiedzialnego za ich przetwarzanie. Kluczowe jest, aby pracownicy rozumieli, jakie obowiązki nakłada rozporządzenie i jakie są konsekwencje ich niedopełnienia.

5. Monitoruj krajowe prace legislacyjne

Choć Data Act obowiązuje bezpośrednio, państwa członkowskie – w tym Polska – zobowiązane są do ustanowienia przepisów wykonawczych, m.in. w zakresie egzekwowania przepisów i nakładania sankcji. Warto na bieżąco śledzić działania krajowego ustawodawcy oraz komunikaty instytucji odpowiedzialnych za nadzór nad stosowaniem rozporządzenia. Im wcześniej przedsiębiorstwo pozyska informacje o potencjalnych obowiązkach krajowych, tym łatwiej będzie dostosować się do nowego porządku prawnego.

Wdrożenie RODO to za mało

Wbrew pozorom posiadanie dobrze funkcjonujących procedur zgodnych z RODO nie oznacza, że firma jest automatycznie przygotowana na wymogi Data Act. Oba akty prawne dotyczą bowiem zupełnie różnych aspektów przetwarzania danych i służą odmiennym celom.

RODO (czyli rozporządzenie o ochronie danych osobowych) koncentruje się na ochronie prywatności osób fizycznych oraz zapewnieniu im kontroli nad własnymi danymi. Zakres jego stosowania ogranicza się wyłącznie do danych osobowych. Przepisy te określają m.in. zasady zbierania, przechowywania, przetwarzania i udostępniania danych oraz przyznają osobom fizycznym wiele praw (do informacji, dostępu, sprostowania, bycia zapomnianym itd.).

Z kolei Data Act tworzy ramy prawne dla swobodnego i bezpiecznego dostępu do danych – zarówno osobowych, jak i nieosobowych – by wspierać innowacje, konkurencję i współpracę na rynku cyfrowym. Reguluje m.in. kwestię udostępniania danych między podmiotami prywatnymi, firmami a administracją publiczną oraz zasady ich przenoszenia między usługodawcami. Jego celem nie jest ochrona prywatności, lecz zwiększenie wartości danych jako zasobu gospodarczego.

To oznacza, że:

• Data Act nie zastępuje RODO, ale działa obok niego i uzupełnia rozporządzenie o ochronie danych osobowych;
• przetwarzanie danych osobowych w ramach Data Act nadal musi się odbywać zgodnie z przepisami RODO;
• RODO nie reguluje udostępniania danych nieosobowych, interoperacyjności systemów czy warunków transferu danych pomiędzy np. dostawcą chmury a użytkownikiem – to domena Data Act;
• wdrożenie RODO nie zwalnia z obowiązku wdrożenia Data Act – są to dwa osobne procesy compliance, wymagające odrębnych analiz i działań dostosowawczych.

Ważne! Komplementarność RODO i Data Act tworzy spójny system regulacyjny, który łączy ochronę danych z ich ekonomicznym wykorzystaniem.

Kiedy producent może odmówić dostępu do danych?

Dane to nowa ropa. Dlatego wiele podmiotów zobligowanych do wdrożenia Data Act nie chce się dzielić nimi za darmo. Choć zasada otwartego dostępu do danych stanowi fundament unijnego rozporządzenia, nie oznacza to, że producenci pozbawieni są możliwości ochrony swoich uzasadnionych interesów. Rozporządzenie przewiduje określone sytuacje, w których producent ma prawo odmówić udostępnienia danych. Przy czym każda odmowa musi być odpowiednio uzasadniona i nie może prowadzić do nadużyć.

Najważniejsze przesłanki odmowy udostępnienia danych to:

• ochrona tajemnicy przedsiębiorstwa: jeśli ujawnienie danych mogłoby skutkować naruszeniem tajemnicy handlowej lub poważną szkodą gospodarczą dla producenta, możliwe jest ograniczenie dostępu lub postawienie dodatkowych warunków, np. obowiązku zachowania poufności po stronie odbiorcy danych (odmowa musi być proporcjonalna i uzasadniona konkretnym ryzykiem);
• ochrona zdrowia, życia lub bezpieczeństwa użytkowników: producent może odmówić udostępnienia danych, jeżeli ich ujawnienie zagrażałoby bezpieczeństwu produktu, zdrowiu lub życiu ludzi (np. ujawnienie danych diagnostycznych dotyczących działania systemów krytycznych mogłoby narazić użytkowników na ryzyko awarii);
• obowiązki wynikające z prawa krajowego lub unijnego: jeżeli przepisy prawa – zarówno unijnego, jak i krajowego – nakładają ograniczenia w zakresie udostępniania określonych danych (np. z uwagi na bezpieczeństwo publiczne, tajemnicę państwową lub przepisy sektorowe), producent ma obowiązek ich przestrzegać, nawet jeśli wniosek o dane pochodzi od uprawnionego użytkownika.

Szczególna sytuacja dostawców usług cyfrowych

W przeciwieństwie do producentów sprzętu, dostawcy usług cyfrowych – zwłaszcza działający w modelach chmurowych – nie mają swobody odmowy dostępu do danych na podstawie takich przesłanek jak ochrona tajemnicy handlowej. Wynika to z podstawowych celów Data Act, który promuje pełną interoperacyjność i możliwość przenoszenia danych, przeciwdziała tzw. vendor lock-in, chroni konkurencyjność rynku usług cyfrowych.

Uwaga! Nawet mały dostawca SaaS nie może ograniczać użytkownikowi dostępu do danych, tłumacząc się interesem przedsiębiorstwa. W tym obszarze rozporządzenie narzuca wysoki poziom transparentności oraz obowiązek zapewnienia technicznych i prawnych środków umożliwiających swobodny transfer danych.

Czy można na tym zarobić?

Choć Data Act wprowadza istotne ograniczenia w zakresie komercjalizacji danych – zwłaszcza poprzez utrudnienie wyłączności i ograniczenie możliwości odmowy udostępnienia – rozporządzenie nie eliminuje potencjału biznesowego danych jako zasobu. Wręcz przeciwnie: w wielu przypadkach otwarty dostęp i interoperacyjność tworzą nowe przestrzenie do generowania wartości dodanej, zarówno w modelach B2B, jak i B2C.

Uwaga! Na danych nadal można zarabiać, ale model ten musi być zgodny z zasadami przejrzystości, równego traktowania i proporcjonalności. Data Act otwiera rynek na podmioty, które potrafią budować wartość wokół danych – nie poprzez ich blokowanie, ale przez rozwijanie usług, analityki, integracji systemów czy budowy zaufanych modeli współdzielenia danych (data sharing schemes).

Data Act jako szansa dla przedsiębiorców

Choć unijne rozporządzenie nakłada na przedsiębiorców nowe obowiązki regulacyjne, warto spojrzeć na ten akt nie tylko przez pryzmat compliance, ale również jako na realną szansę rozwoju – zwłaszcza w kontekście konkurencyjności i innowacyjności w gospodarce cyfrowej. Dlaczego?

Dotychczas dane generowane przez urządzenia były często zamknięte w ekosystemach dużych producentów. Data Act otwiera je dla użytkowników i podmiotów trzecich. Przedsiębiorstwa – w tym startupy i firmy z sektora MŚP – mogą uzyskać dostęp do danych, które wcześniej były dla nich niedostępne. To nowa przestrzeń dla rozwoju usług opartych na analizie danych, automatyzacji i personalizacji produktów.

Ponadto rozporządzenie nakłada obowiązek zapewnienia użytkownikowi możliwości przeniesienia danych między usługodawcami. Eliminuje to techniczne i handlowe bariery, które dotąd uniemożliwiały łatwą zmianę dostawcy usług chmurowych. Firmy mogą zatem szybciej reagować na zmieniające się warunki rynkowe, wybierać korzystniejsze oferty i unikać uzależnienia od jednego dostawcy.

Data Act promuje przejrzystość w relacjach kontraktowych. Umowy dotyczące dostępu do danych, ich przetwarzania czy przenoszenia muszą zawierać konkretne i zrozumiałe zapisy. To zabezpiecza przedsiębiorców przed niekorzystnymi warunkami narzucanymi przez większe podmioty oraz zwiększa przewidywalność prawną w relacjach B2B.

Test dojrzałości

Data Act to nie tylko zestaw obowiązków regulacyjnych, lecz także realna szansa dla firm na dostęp do danych, które dotąd były poza ich zasięgiem – a wraz z nimi na innowacje, nowe modele biznesowe i większą konkurencyjność.

Ale to szansa z wysoką ceną wejścia. Rozporządzenie wymusza pełną transparentność, interoperacyjność i możliwość swobodnego przenoszenia danych, co oznacza, że dostawcy usług cyfrowych będą musieli zrezygnować z wielu dotychczasowych praktyk – jak automatyczne przedłużanie subskrypcji czy kontrakty trudne do wypowiedzenia.

Nie jest to zatem tylko bajka o cyfrowej swobodzie i otwartym rynku danych. To również test dojrzałości biznesowej i gotowości do działania w otwartym, przejrzystym modelu. Firmy, które zignorują te zmiany, mogą znaleźć się w sytuacji, w której – tracąc klientów lub podlegając sankcjom – będą musiały nadrabiać z opóźnieniem to, co można było przewidzieć wcześniej. To poważne zmiany, które mogą zakłócić modele przychodów i wymagają przemyślanych inwestycji. Firmy, które nie zaczną działać teraz, mogą wkrótce obudzić się z tyłu – i z problemami. ©℗