11 stycznia 2024 r. weszło w życie rozporządzenie Parlamentu Europejskiego i Rady w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (akt w sprawie danych) – tzw. Data Act[1]. Czy i jak postanowienia Data Act wpłyną na umowy chmurowe oraz obowiązki dostawców usług przetwarzania danych?

Aktualne poradniki i wytyczne dotyczące chmury obliczeniowej zawierają wymagania odnośnie do opracowania planu wyjścia z chmury obliczeniowej. Wspomniane poradniki i wytyczne nie mają jednak charakteru prawa powszechnie obowiązującego. Dostawców nie mogą spotkać żadne sankcje za brak stosowania tych zasad. Z kolei użytkownicy chmury nie mają obecnie żadnych narzędzi do tego, aby domagać się wprowadzenia odpowiednich postanowień do umów chmurowych, które zapewniają im np. możliwość przeniesienia danych do innego dostawcy. Czy proponowane przepisy Data Act zmienią sytuację dostawców?

Zgodnie z Data Act dostawcy usług przetwarzania danych mają obowiązek wprowadzić środki przewidziane w rozporządzeniu, aby zapewnić swoim klientom możliwość przejścia na inną usługę przetwarzania danych, która obejmuje ten sam rodzaj usług i jest świadczona przez innego dostawcę. Obowiązki przewidziane w Data Act będą obowiązywać dostawców bez względu na skalę ich działalności.

Data Act precyzuje, że prawa klienta i obowiązki dostawcy usług przetwarzania danych w odniesieniu do zmiany dostawcy takich usług muszą być jasno określone w pisemnej umowie. W umowie powinno więc znaleźć się przynajmniej określenie:

  1. maksymalnego okresu wypowiedzenia umowy,
  2. okresu, w którym klient może pobrać dane,
  3. opłat związanych ze zmianą dostawcy,
  4. zobowiązania dostawcy do wsparcia strategii odejścia klienta.

Aby zrealizować obowiązek informacyjny, również określony w Data Act, dostawcy usług przetwarzania danych będą zobowiązani do przedstawienia klientowi informacji o istniejących procedurach zmiany dostawcy i przeniesienia usługi. Do ich obowiązków będzie również należało wskazanie internetowego rejestru zawierającego szczegółowe informacje o wszelkich strukturach i formatach danych oraz o stosownych normach i otwartych specyfikacjach w zakresie interoperacyjności.

Jednocześnie dostawcy usług będą zobowiązani do udostępniania na swoich stronach internetowych informacji o jurysdykcji, której podlega ich infrastruktura ICT używana do przetwarzania danych, a także ogólnego opisu przyjętych środków technicznych, organizacyjnych i umownych w celu zapobieżenia międzynarodowemu dostępowi do danych nieosobowych (art. 28 Data Act).

Dostawcy usług przetwarzania danych mają czas maksymalnie do 12 września 2025 r. (moment rozpoczęcia stosowania Data Act) na przeprowadzenie „audytu” wykorzystywanych przez nich wzorów umów, a także procesów w organizacji, tak aby dostosować je do obowiązków wynikających z Data Act.


[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (Dz.U.UE z 2023 r. L. 2854)