6 min. czytania 8 wrz 2022

Akt w sprawie danych (Data Act) – kolejny krok na drodze do realizacji europejskiej strategii w zakresie danych

EY Polska
Autor EY Polska

Firma doradcza. Audyt, doradztwo podatkowe, consulting, strategia i transakcje.

Firma EY jest światowym liderem rynku usług profesjonalnych obejmujących usługi audytorskie, doradztwo podatkowe, consulting oraz doradztwo strategiczne i transakcyjne.

Współautorzy

Alicja Guzy
6 min. czytania 8 wrz 2022
Powiązane tematy Doradztwo prawne
Polub

Pokaż załączniki

The article is also available in English

Akt w sprawie danych reguluje kwestie związane z dostępem do danych oraz możliwością ich przekazywania w relacji pomiędzy przedsiębiorcami, jak również kwestie związane z uzyskaniem dostępu do danych przez organy sektora publicznego celem rozwiązania istotnych problemów społecznych i politycznych.

Na najbliższe lata Unia Europejska zaplanowała szereg działań zmierzających do zapewnienia możliwości pełnej realizacji potencjału rozwojowego gospodarki z wykorzystaniem danych i uczynienia UE liderem w społeczeństwie opartym na danych. Rozporządzenie Parlamentu Europejskiego i Rady w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (akt w sprawie danych; dalej „DA”)[1] stanowi kolejny z aktów przyjmowanych w ramach europejskiej strategii w sprawie danych, przedstawionej przez Komisję Europejską (dalej:KE) w lutym 2020 roku.

Akt w sprawie danych przewiduje nowe uprawnienia i obowiązki dla szerokiego kręgu podmiotów, w tym dla osób fizycznych, przedsiębiorców oraz sektora publicznego. Komisja dostrzegła problem dotyczący mikroprzedsiębiorców, małych oraz średnich przedsiębiorców, którzy niejednokrotnie mają utrudniony dostęp do istotnych dla rozwoju danych. W konsekwencji, w DA zaadresowane zostały kwestie związane z dostępem do danych oraz możliwością ich przekazywania w relacji pomiędzy przedsiębiorcami (w szczególności w zakresie danych generowanych przez produkty podłączonych do tzw. IOT[2]), jak również kwestie związane z uzyskaniem dostępu do danych przez organy sektora publicznego celem rozwiązania istotnych problemów społecznych i politycznych.

Projekt DA został opublikowany 23 lutego 2022 roku i obecnie oczekuje na dalsze kroki w procesie legislacyjnym. Zgodnie z założeniami projektu, DA ma być stosowane po upływie dwunastu miesięcy od dnia wejścia w życie.

Chcemy uwolnić ogromne korzyści, jakie odpowiedzialne korzystanie z danych i technologii cyfrowych może przynieść każdemu z nas. Jednocześnie chcemy bezpiecznego korzystania z danych i technologii. Wykorzystania, które działa na rzecz ludzi i respektuje nasze podstawowe prawa.
Margrethe Vestager
Wiceprzewodnicząca wykonawcza Komisji Europejskiej Bruksela, 23 luty 2022

Nowe obowiązki dla przedsiębiorców

Adresatem nowych obowiązków będą przede wszystkim producenci produktów i dostawcy powiązanych usług (tj. usług cyfrowych, w tym oprogramowania, które są zawarte w produkcie lub wzajemnie z nim połączone w taki sposób, że ich brak uniemożliwiłby produktowi wykonywanie jego funkcji) wprowadzanych do obrotu w UE (dalej „producenci IOT”). Szczególne kwestie, które producenci IOT będą musieli wziąć pod uwagę, to:

  • zapewnienie domyślnej łatwości oraz bezpieczeństwa dostępu użytkownika do danych generowanych w wyniku korzystania z produktu;
  • zapewnienie użytkownikowi bezpośredniej dostępności do danych wygenerowanych w wyniku korzystania przez niego z produktu lub powiązanej usługi, a w przypadku braku takiej możliwości – nieodpłatnego udostępnienia użytkownikowi danych na jego wniosek;
  • przekazanie użytkownikowi informacji w jasnym i zrozumiałym formacie obejmujących co najmniej informacje określone w DA;
  • ograniczenie możliwości przechowywania informacji na temat dostępu użytkownika poza tymi, które są niezbędne do należytego wykonania wniosku oraz do bezpieczeństwa i utrzymania infrastruktury danych.

Podmiot otrzymujący dane zobowiązany będzie do ich przetwarzania wyłącznie do celów i na warunkach uzgodnionych z użytkownikiem oraz do ich usunięcia, gdy nie będą już niezbędne do uzgodnionego celu. Regulacje DA przewidują szczególne zasady dotyczące ujawniania informacji stanowiących tajemnicę przedsiębiorstwa wskazując, że taką ujawnia się wyłącznie pod warunkiem zastosowania wszelkich szczególnych środków niezbędnych do zachowania jej w poufności. 

Produktem jest materialna rzecz ruchoma (w tym zawarta w rzeczy nieruchomej), która pozyskuje, generuje lub gromadzi dane dotyczące jej wykorzystania lub środowiska, która jest w stanie przekazywać dane za pośrednictwem publicznie dostępnych usług łączności elektronicznej i której podstawową funkcją nie jest przechowywanie ani przetwarzanie danych.

Powiązana usługa to usługa cyfrowa, w tym oprogramowanie, która jest zawarta w produkcie lub wzajemnie z nim połączona w taki sposób, że jej brak uniemożliwiłby produktowi wykonywanie jednej z jego funkcji.

Nieuczciwe postanowienia w umowach pomiędzy przedsiębiorcami

Realizując postulaty KE w zakresie przejrzystości oraz uczciwości, DA wprowadzi szczegółowe rozwiązania regulujące zasady dostępu do danych i korzystania z nich, odpowiedzialności i środków ochrony danych, jak również wygaśnięcia zobowiązań dotyczących danych. Mikroprzedsiębiorcy, mali lub średni przedsiębiorcy będący stronami umów dotyczących danych zyskają ochronę w sytuacji, gdy postanowienia narzucane są na nich jednostronnie i mają nieuczciwy charakter. W sytuacji, gdy stroną umowy będzie takie mikro, małe lub średnie przedsiębiorstwo, nieuczciwe postanowienie nie będzie dla niego wiążące (konstrukcja podobna do regulacji w zakresie klauzul abuzywnych, które nie obowiązują konsumentów).

Ciężar dowodu jednostronności nałożenia postanowień spoczywać będzie na umawiającej się stronie, która zaproponowała dane postanowienie – należy spodziewać się, że w przeważającej części będzie to producent IOT, który proponuje umowę w oparciu o własny wzorzec (podobnie jak przedsiębiorcy w Internecie, którzy mierzą się z zarzutami abuzywności). DA zawierać będzie katalog postanowień, które uznaje się za nieuczciwe, uwzględniając ich cel lub skutek. 

Dane wskazują, że

42%

przedsiębiorców w UE korzystało z usług chmurowych w 2021 roku.

Udostępnianie danych w przypadku wyjątkowej potrzeby

W DA zostanie uregulowana kwestia możliwości skorzystania z danych przez organy sektora publicznego oraz instytucje, agencje lub organy Unii w wyjątkowej potrzebie, która w rozumieniu DA zaistnieje w okolicznościach:

  • gdy żądane dane są niezbędne do zareagowania na niebezpieczeństwo publiczne;
  • gdy wniosek o udostepnienie danych jest ograniczony w czasie i zakresie oraz niezbędny do zapobieżenia niebezpieczeństwu publicznemu lub do pomocy w przywracaniu stanu wyjściowego po wystąpieniu takiego niebezpieczeństwa;
  • gdy brak dostępnych danych uniemożliwia podmiotowi realizację konkretnego zadania leżącego w interesie publicznym i wyraźnie wskazanego w prawie, przy czym jedynie w sytuacjach, gdy podmiot nie był w stanie uzyskać takich danych za pomocą alternatywnych środków lub gdy uzyskanie danych zgodnie z procedurą przewidzianą w DA znacznie zmniejszyłoby obciążenie administracyjne posiadaczy danych lub innych przedsiębiorstw.

Posiadacz danych będzie zobowiązany bez zbędnej zwłoki udostępnić dane organowi, który wystąpił z wnioskiem. W przypadkach wyjątkowej potrzeby co do zasady dane udostępniane będą nieodpłatnie.

DA wprowadzi także restrykcje dla korzystania przez organy sektora publicznego z tak pozyskanych danych, wskazując na możliwość korzystania z danych jedynie zgodnie z celem, jaki został wskazany we wniosku o udostępnienie danych oraz konieczność ich niezwłocznego zniszczenia po ustaniu celu, w jakim zostały pozyskane.

Zmiana dostawcy usług przetwarzania

Zmierzając do umożliwienia klientom płynnego przejścia pomiędzy usługami tego samego rodzaju, dostawcy usług przetwarzania (tj. dostawcy usług chmurowych) będą zobowiązani do usunięcia przeszkód handlowych, technicznych, umownych oraz organizacyjnych, które szczególnie utrudniają klientom zmianę dostawcy. W konsekwencji, DA wprowadzi wymóg jasnego określenia praw klienta i obowiązków dostawcy w odniesieniu do jego zmiany w pisemnej umowie, z uwzględnieniem w takiej umowie co najmniej:

  • klauzul umożliwiających klientowi przejście na usługę przetwarzania danych oferowaną przez innego dostawcę lub przeniesienie wszystkich danych bezpośrednio lub pośrednio do systemu lokalnego (w szczególności klauzul umożliwiających ustanowienie obowiązkowego maksymalnego okresu przejściowego wynoszącego 30 dni kalendarzowych, podczas którego dostawca usług przetwarzania danych wspomaga proces zmiany dostawcy oraz zapewnia pełną ciągłość świadczenia usług);
  • szczegółowej specyfikacji wszystkich kategorii danych i aplikacji, które można eksportować w trakcie procesu zmiany dostawcy;
  • minimalnego okresu, w którym można odzyskać dane (co najmniej 30 dni kalendarzowych, rozpoczynające się po zakończeniu okresu przejściowego).

DA wprowadzi także proces stopniowego wycofywania opłat z tytułu zmiany dostawcy. Docelowo klient nie powinien ponosić żadnych opłat w takim procesie.

Interoperacyjność danych

DA zmierza do zapewnienia interoperacyjności, a więc zdolności wymiany i wykorzystywania danych w celu wykonywania swoich funkcji przez co najmniej dwie przestrzenie danych, sieci komunikacyjne, systemy, produkty, aplikacje lub komponenty. Aby to uczynić, operatorzy przestrzeni danych zobowiązani będą spełnić stawiane przez DA wymagania, polegające m.in. na dostatecznym opisywaniu zawartości zbioru danych czy technicznych środków dostępu do danych (takich jak interfejsy programowania aplikacji), jak również na obowiązku zapewnienia interoperacyjności inteligentnych umów w ramach usług i działań przez nich realizowanych.

O inteligentnych umowach DA stanowi znacznie szerzej, wskazując na zasadnicze wymagania dla takich umów w zakresie udostępniania danych. Dostawca aplikacji wykorzystującej inteligentne umowy (a w przypadku jego braku – podmiot prowadzący działalność, w ramach której świadczone są usługi wdrażania inteligentnych umów w kontekście umowy o udostępnienie danych) będzie musiał spełniać wymagania w zakresie odporności, bezpiecznego zakończenia i przerwania usługi, archiwizacji i ciągłości danych oraz kontroli dostępu.

Inteligentne umowy -  to programy komputerowe zapisywane w rejestrach elektronicznych, w ramach których realizuje się i rozlicza transakcje na podstawie wcześniej ustalonych warunków. Mogą one potencjalnie zagwarantować posiadaczom i odbiorcom danych przestrzeganie warunków dotyczących udostępniania danych. 

Wdrożenie i egzekwowanie aktu w sprawie danych

Każde z państw członkowskich będzie miało za zadanie wybrać lub ustanowić właściwy organ odpowiedzialny za wdrożenie oraz stosowanie DA. Wśród zadań organu znajdą się między innymi obowiązki związane z propagowaniem wiedzy na temat praw i obowiązków wynikających z DA, ale też prowadzenie postępowań w sprawach dotyczących stosowania DA oraz nakładanie kar pieniężnych w przypadku stwierdzenia naruszeń. Osoby fizyczne oraz osoby prawne zyskają prawo do wniesienia skargi do odpowiedniego właściwego organu w państwie członkowskim, jeśli stwierdzą, że ich prawa wynikające z DA zostały naruszone.

Bezpośrednio na maila

Bądź na bieżąco i subskrybuj newsletter EY

Subskrybuj

Podsumowanie

Choć proces legislacyjny dotyczący aktu w sprawie danych nadal trwa, pojawia się sporo głosów krytycznych zarówno ze strony biznesu, jak i sektora publicznego. W maju 2022 roku EROD[3] oraz EIOD[4] wydały wspólną opinię do opublikowanego projektu, w którym wyraziły swoje obawy w zakresie niedostatecznego sprecyzowania relacji DA oraz RODO[5], zwracając szczególną uwagę na zawarte w DA odniesienia zarówno do danych nieosobowych, jak i do danych osobowych. Twórcy aktu muszą zmierzyć się jeszcze z wieloma wyzwaniami, nie tylko z obszaru prywatności, dlatego nie jest pewne, kiedy zostanie on przyjęty.

Akt w sprawie danych ma być aktem neutralnym sektorowo, więc jego postanowienia dotkną szeroki krąg podmiotów – warto śledzić jego losy, aby odpowiednio wcześniej przygotować swoją działalność do nowych zasad.

 

  • Pokaż przypisy

    1. Wniosek Rozporządzenie Parlamentu Europejskiego i Rady w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (akt w sprawie danych) – w języku angielskim: Proposal for a Regulation of the European Parliament and of the Council on harmonised rules on fair access to and use of data (Data Act), COM/2022/68 final.
    2. IOT / Internet rzeczy (w języku angielskim: Internet of Things) – pojęcie, przez które należy rozumieć grupę urządzeń połączonych z siecią (np. Internet), komunikujących się ze sobą, gromadzących i udostępniających sobie dane.
    3. Europejska Rada Ochrony Danych – w języku angielskim: European Data Protection Board (EDPB).
    4. Europejski Inspektor Ochrony Danych – w języku angielskim: European Data Protection Supervisor (EDPS).
    5. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – w języku angielskim: Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27th 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.

Jak EY może pomóc

Ochrona danych osobowych

Kancelaria EY Law świadczy kompleksowe usługi prawne z zakresu ochrony danych osobowych.

Czytaj więcej
Prawo pracy

Kancelaria EY Law doradza przy złożonych projektach z zakresu prawa pracy.

Czytaj więcej

Kontakt

Chcesz dowiedziec sie wiecej? Skontaktuj sie z nami.

LinkedIn Twitter

Informacje

EY Polska
Autor EY Polska

Firma doradcza. Audyt, doradztwo podatkowe, consulting, strategia i transakcje.

Firma EY jest światowym liderem rynku usług profesjonalnych obejmujących usługi audytorskie, doradztwo podatkowe, consulting oraz doradztwo strategiczne i transakcyjne.

Współautorzy

Alicja Guzy
Powiązane tematy Doradztwo prawne
  • Facebook
  • LinkedIn
  • X (formerly Twitter)
  • Link został skopiowany
Polub