Data Act: nowe obowiązki w zakresie udostępniania danych
9 listopada 2023 r. Parlament Europejski przyjął kompromisowy projektu Aktu w sprawie danych (Data Act)[1]. Nowe rozporządzenie musi zostać jeszcze oficjalnie przyjęte przez Radę UE, ale już teraz wiemy, co będzie zawierała przyszła unijna regulacja.
Data Act powstał, aby usunąć bariery w dostępie do danych dla podmiotów sektora prywatnego i publicznego. Jednocześnie zachowane zostały w nim zachęty do inwestowania w generowanie danych poprzez zapewnienie zrównoważonej kontroli nad danymi podmiotom generującym te dane.
W praktyce Data Act ma na celu zwiększenie dostępu do danych dla szerokiego kręgu podmiotów. W związku z tym użytkownikom zostaną przyznane specjalne uprawnienia w zakresie dostępu do danych powiązanych z wykorzystywanymi przez nich produktami i usługami. Z kolei na dostawców tych produktów i usług zostaną nałożone skonkretyzowane obowiązki, które będą służyły realizacji tych uprawnień. Szczególne uprawnienia w zakresie dostępu do danych sektora prywatnego mają również uzyskać podmioty publiczne (w tym organy administracji krajowej czy europejskiej), a na dostawców produktów i usług zostaną nałożone dodatkowe obowiązki informacyjne.
Bardzo ważnym elementem Data Act będą przepisy regulujące przenoszenie danych w celu ułatwienia zmiany dostawców usług przetwarzania danych w chmurze. Zgodnie z nową regulacją:
- dostawcy usług przetwarzania danych w chmurze będą musieli podejmować środki ułatwiające klientom zmianę dostawcy usług;
- prawa i obowiązki stron w odniesieniu do zmiany dostawcy będą musiały być jasno określone w pisemnej umowie, udostępnionej klientowi przed jej zawarciem;
- umowa z dostawcą usług będzie musiała spełniać szczegółowe wymagania, do których należy m.in. wskazanie maksymalnego okresu wypowiedzenia, zakresu przenoszonych danych czy zobowiązania do usunięcia danych po migracji;
- na dostawców usług zostaną nałożone konkretne obowiązki z zakresu transparentności;
- wprowadzony zostanie zakaz pobierania opłat za zmianę dostawcy usług (po upływie okresu przejściowego).
Co ważne, w stosunku do pierwotnego projektu rozporządzenia, istotnie rozszerzono ochronę tajemnicy przedsiębiorstwa. Jej wcześniejsze uregulowanie było szeroko krytykowane z uwagi na zbyt wąski zakres ochrony.
Data Act jest rozporządzeniem, a więc będzie jednolicie stosowany w całej Unii Europejskiej. Zacznie on obowiązywać po upływie 20 miesięcy od jego wejścia w życie. Nie wiadomo jeszcze, kiedy dokładnie to nastąpi. Ale jeżeli Data Act nie napotka na swojej drodze żadnych nieprzewidzianych okoliczności, jego stosowanie powinno zacząć się w okolicach trzeciego kwartału 2025 r.
[1] https://www.europarl.europa.eu/RegData/seance_pleniere/textes_adoptes/definitif/2023/11-09/0385/P9_TA(2023)0385_PL.pdf