Data Act: nowe obowiązki dla dostawców usług przetwarzania danych
Po prawie dwóch latach prac nad projektem, 22 grudnia 2023 r. w Dzienniku Urzędowym UE opublikowano Akt w sprawie danych (Data Act)[1]. Obok wielu obowiązków dotyczących dostępu do danych i możliwości ich ponownego wykorzystania, Data Act wprowadza także szczególne regulacje dla dostawców usług przetwarzania danych.
Tło regulacyjne
Mimo że ogólne rozporządzenie o ochronie danych osobowych (RODO) obowiązuje w Unii Europejskiej już od maja 2018 r., to do tej pory nie doczekaliśmy się przepisów, które w podobny sposób harmonizowałoby podejście do danych nieosobowych. Dopiero w lutym 2022 r. Komisja zaprezentowała projekt rozporządzenia w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Akt w sprawie danych – Data Act)[2] – a więc przepisów, które mają stanowić dla danych nieosobowych takie samo znacznie, jak RODO ma dla danych osobowych. Z uwagi na charakter regulacji – tj. formę rozporządzenia – będzie ona obowiązywać bezpośrednio, bez konieczności implementacji do krajowych porządków prawnych.
Jak wskazano w nowo przyjętym rozporządzeniu, ma ono na celu m.in. zapewnienie użytkownikom możliwości: uzyskania dostępu do danych generowanych w rezultacie korzystania z danego produktu lub powiązanej usługi, wykorzystywania tych danych, a także udostępniania ich wybranym osobom trzecim. Udostępnianie danych będzie musiało odbywać się na sprawiedliwych, rozsądnych i niedyskryminujących warunkach oraz w przejrzysty sposób.
Tym samym jedną z podstawowych grup podmiotów, na które Data Act wywrze znaczący wpływ, będą dostawcy chmury obliczeniowej, nazywani w rozporządzeniu dostawcami „usług przetwarzania danych”. Zgodnie z art. 2 ust. 8 Data Act „usługa przetwarzania danych” oznacza świadczoną na rzecz klienta usługę cyfrową umożliwiającą wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług.
Jak natomiast będą się kształtowały obowiązki nakładane na takie podmioty?
Kluczowe obowiązki dostawców usług
Na podstawie art. 23 Data Act wyjściowi dostawcy usług przetwarzania danych będą zobowiązani do stosowania środków, które umożliwią ich klientom zmianę usługi przetwarzania danych na: usługę tego samego typu świadczoną przez innego dostawcę, infrastrukturę lokalną (on-premises) lub korzystanie z usług kilku dostawców. W podstawowym zakresie oznacza to, że dostawcy usług przetwarzania danych nie będą mogli stawiać przeszkód przedkomercyjnych, handlowych, technicznych, umownych i organizacyjnych, które utrudniają:
- rozwiązanie umowy o świadczenie usługi po upływie maksymalnego okresu wypowiedzenia;
- pomyślną finalizację procesu zmiany dostawcy;
- zawarcie nowych umów z innym dostawcą usług;
- przeniesienie danych do innego dostawcy usług lub do infrastruktury lokalnej;
- uzyskanie równoważności funkcjonalnej w ramach korzystania z nowej usługi;
- oddzielenie usług przetwarzania danych (skalowalnych i elastycznych zasobów obliczeniowych ograniczonych do elementów infrastruktury) od innych usług przetwarzania danych – o ile jest to technicznie możliwe.
Sposób realizacji tych obowiązków został natomiast doprecyzowany w kolejnych przepisach Data Act. Jednocześnie na wszystkie strony zaangażowane w proces zmiany dostawcy usług (w tym na docelowego dostawcę) nałożony został obowiązek współpracy ze sobą w dobrej wierze, aby zapewnić skuteczność procesu zmiany, umożliwić terminowe przekazanie danych oraz utrzymać ciągłość usługi przetwarzania danych (art. 27 Data Act).
Obowiązkowe postanowienia umowne
Prawa klienta i obowiązki wyjściowego dostawcy usługi przetwarzania danych w odniesieniu do zmiany dostawcy usług będą musiały być jasno określone w pisemnej umowie, udostępnionej klientowi przed jej podpisaniem. Rozporządzenie wprowadzi również konkretne wymogi co do postanowień, które powinny się znaleźć w takiej umowie. Dotyczą one:
- umożliwienia klientowi zmiany dostawcy usług nie później niż po upływie maksymalnego okresu przejściowego, wynoszącego 30 dni kalendarzowych (rozpoczynającym się upływie maksymalnego okresu wypowiedzenia);
- zobowiązania dostawcy usług do wsparcia strategii odejścia klienta;
- wskazania, że umowa zostaje uznana za rozwiązaną, a klient zostaje poinformowany o jej rozwiązaniu w przypadku pomyślnego zakończenia procesu zmiany dostawcy lub po zakończeniu maksymalnego okresu wypowiedzenia;
- wskazania, że maksymalny okres wypowiedzenia nie może przekraczać dwóch miesięcy;
- zawarcia szczegółowej specyfikacji wszystkich kategorii danych i aktywów cyfrowych, które można przenieść w trakcie procesu zmiany dostawcy, a także tych, które są wyłączone spośród danych eksportowalnych;
- wskazania minimalnego okresu, w którym można pobrać dane, wynoszącego co najmniej 30 dni kalendarzowych (rozpoczynającego się po zakończeniu okresu przejściowego);
- zagwarantowania całkowitego usunięcia wszystkich danych wygenerowanych bezpośrednio przez klienta lub bezpośrednio dotyczących klienta po upływie okresu pobierania;
- opłat z tytułu zmiany dostawcy – opisanych w dalszej części artykułu;
- powiadomienia klienta o możliwości zmiany dostawcy usług po upływie maksymalnego okresu wypowiedzenia;
- odniesienie do stron internetowych, na których dostawca udostępnia informacje o jurysdykcji, której podlega infrastruktura ICT używana do przetwarzania danych.
Jeżeli obowiązkowy maksymalny okres przejściowy będzie technicznie niewykonalny, dostawca usług będzie musiał powiadomić o tym klienta oraz wydłużyć ten okres – maksymalnie do siedmiu miesięcy. Jednocześnie klientowi będzie przysługiwało prawo do jednokrotnego przedłużenia okresu przejściowego o okres, który uzna za właściwy z uwagi na własne cele (art. 25 Data Act).
Obowiązek informacyjny i interoperacyjność
W celu realizacji obowiązku informacyjnego, dostawcy usług przetwarzania danych będą zobowiązani do przedstawienia klientowi informacji o istniejących procedurach zmiany dostawcy i przeniesienia usługi. Do ich obowiązków będzie również należało wskazanie internetowego rejestru zawierającego szczegółowe informacje o wszelkich strukturach i formatach danych oraz o stosownych normach i otwartych specyfikacjach w zakresie interoperacyjności (art. 26 Data Act).
Jednocześnie dostawcy usług będą zobowiązani do udostępniania na swoich stronach internetowych informacji o jurysdykcji, której podlega ich infrastruktura ICT używana do przetwarzania danych, a także ogólnego opisu przyjętych środków technicznych, organizacyjnych i umownych w celu zapobieżenia międzynarodowemu dostępowi do danych nieosobowych (art. 28 Data Act).
Na wyjściowych dostawców usług zostanie również nałożony obowiązek nieodpłatnego udostępnienia swoim klientom i zainteresowanym docelowym dostawcom usług otwartych interfejsów, które umożliwiają opracowanie oprogramowania do komunikacji z tymi usługami do celów przenoszenia i interoperacyjności danych. W tym celu na Komisję Europejską został nałożony obowiązek wydania aktów wykonawczych, które ustanowią normy zharmonizowane w zakresie interoperacyjności usług przetwarzania. Dostawcy usług będą natomiast musieli zapewnić zgodność ze wspólnymi specyfikacjami opartymi na otwartych specyfikacjach w zakresie interoperacyjności lub zharmonizowanych normach w zakresie interoperacyjności co najmniej 12 miesięcy po ich publikacji (art. 30 Data Act).
Przed zawarciem umowy o świadczenie usług przetwarzania danych, dostawcy usług będą także zobowiązani do poinformowania przyszłego klienta o obowiązkach przewidzianych w Data Act, które nie będą miały zastosowania do tych usług (art. 31 ust. 3 Data Act).
Opłaty
Po upływie trzech lat od dnia wejścia rozporządzenia w życie (tj. od 12 stycznia 2027 r.), wyjściowi dostawcy usług przetwarzania danych nie będą mogli nakładać na klientów opłat za procedurę zmiany dostawcy.
Do tego czasu będzie obowiązywał okres przejściowy, podczas którego dostawcy usług będą mogli nakładać jedynie obniżone opłaty z tytułu zmiany dostawcy. Nie będą one jednak mogły przekraczać kosztów poniesionych przez dostawcę usług i bezpośrednio związanych z danym procesem zmiany.
Co więcej, przed zawarciem umowy z klientem, dostawca usług będzie musiał przedstawić mu jasne informacje o standardowych opłatach za usługę, karach za wcześniejsze rozwiązanie umowy, a także o obniżonych opłatach z tytułu zmiany dostawcy. Na dostawców usług zostanie również nałożony obowiązek przedstawienia klientowi informacji o usługach, które wiążą się z wysoce złożoną lub kosztowną zmianą dostawcy lub niemożnością zmiany dostawcy bez znacznej ingerencji w dane, aktywa cyfrowe lub architekturę usługi (art. 29 Data Act).
Pozostałe wymagania i wyłączenia
Wyjściowi dostawcy usług przetwarzania danych, które to usługi dotyczą skalowalnych i elastycznych zasobów obliczeniowych ograniczonych do elementów infrastruktury (np. serwerów, sieci i zasobów wirtualnych), ale nie zapewniają dostępu do usług operacyjnych, oprogramowania i aplikacji, które są przechowywane, w inny sposób przetwarzane lub wdrażane na tych elementach infrastruktury, będą zobowiązani stosować wszelkie uzasadnione środki, aby ułatwić klientowi osiągnięcie równoważności funkcjonalnej w ramach korzystania z docelowej usługi przetwarzania danych (art. 30 ust. 1 Data Act).
Co istotne, w rozporządzeniu wprost wskazano, że od wyjściowych dostawców usług nie wymaga się opracowania nowych technologii lub usług, ujawnienia lub przekazania zasobów cyfrowych, chronionych prawami własności intelektualnej lub stanowiących tajemnicę przedsiębiorstwa klientowi lub innemu dostawcy usług, ani stwarzania zagrożenia dla bezpieczeństwa i integralności usług klienta lub dostawcy (art. 30 ust. 6 Data Act).
Warto również zauważyć, że część obowiązków, wynikających z rozporządzenia, nie będzie miała zastosowania do usług przetwarzania danych, w przypadku których:
- większość głównych cech została opracowana na zamówienie, tak aby dostosować je do konkretnych potrzeb indywidualnego klienta;
- wszystkie komponenty zostały opracowane na potrzeby indywidualnego klienta, a usługi przetwarzania danych nie są oferowane komercyjnie na szeroką skalę;
- usługa przetwarzania danych jest świadczona przez ograniczony okres jako nieprzeznaczona do produkcji wersja do celów testowania i oceny (art. 31 Data Act).
Natomiast na Komisję Europejską został nałożony obowiązek opracowania niewiążących, modelowych postanowień umownych na potrzeby umów o przetwarzanie w chmurze (art. 41 Data Act).
Wejście w życie i kary
Data Act wejdzie w życie 11 stycznia 2024 r., a następnie zacznie być stosowany – z nieznacznymi wyjątkami – po upływie 20 miesięcy. Oznacza to, że dostawcy usług przetwarzania danych mają czas do 12 września 2025 r., aby dostosować swoje usługi, umowy i regulaminy do nowej rzeczywistości prawnej.
Natomiast niewdrożenie obowiązków wynikających z Data Act potencjalnie będzie mogło skutkować nałożeniem kary na dostawcę usług. O ile jednak rozporządzenie nakłada na państwa członkowskie ogólny obowiązek ustanowienia takich kar, to nie zdecydowano się na wskazanie katalogu karalnych naruszeń lub choćby wysokości „widełek” możliwych do nałożenia kar pieniężnych.
[1] https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=OJ:L_202302854
[2] https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:52022PC0068