9 listopada 2023 r. Parlament Europejski przyjął kompromisowy projektu Aktu w sprawie danych (Data Act)[1]. Nowe rozporządzenie musi zostać jeszcze oficjalnie przyjęte przez Radę UE, ale już teraz wiemy, co będzie zawierała przyszła unijna regulacja.

Data Act powstał, aby usunąć bariery w dostępie do danych dla podmiotów sektora prywatnego i publicznego. Jednocześnie zachowane zostały w nim zachęty do inwestowania w generowanie danych poprzez zapewnienie zrównoważonej kontroli nad danymi podmiotom generującym te dane.

W praktyce Data Act ma na celu zwiększenie dostępu do danych dla szerokiego kręgu podmiotów. W  związku z tym użytkownikom zostaną przyznane specjalne uprawnienia w zakresie dostępu do danych powiązanych z wykorzystywanymi przez nich produktami i usługami. Z kolei na dostawców tych produktów i usług zostaną nałożone skonkretyzowane obowiązki, które będą służyły realizacji tych uprawnień. Szczególne uprawnienia w zakresie dostępu do danych sektora prywatnego mają również uzyskać podmioty publiczne (w tym organy administracji krajowej czy europejskiej), a na dostawców produktów i usług zostaną nałożone dodatkowe obowiązki informacyjne.

Bardzo ważnym elementem Data Act będą przepisy regulujące przenoszenie danych w celu ułatwienia zmiany dostawców usług przetwarzania danych w chmurze. Zgodnie z nową regulacją:

  • dostawcy usług przetwarzania danych w chmurze będą musieli podejmować środki ułatwiające klientom zmianę dostawcy usług;
  • prawa i obowiązki stron w odniesieniu do zmiany dostawcy będą musiały być jasno określone w pisemnej umowie, udostępnionej klientowi przed jej zawarciem;
  • umowa z dostawcą usług będzie musiała spełniać szczegółowe wymagania, do których należy m.in. wskazanie maksymalnego okresu wypowiedzenia, zakresu przenoszonych danych czy zobowiązania do usunięcia danych po migracji;
  • na dostawców usług zostaną nałożone konkretne obowiązki z zakresu transparentności;
  • wprowadzony zostanie zakaz pobierania opłat za zmianę dostawcy usług (po upływie okresu przejściowego).

Co ważne, w stosunku do pierwotnego projektu rozporządzenia, istotnie rozszerzono ochronę tajemnicy przedsiębiorstwa. Jej wcześniejsze uregulowanie było szeroko krytykowane z uwagi na zbyt wąski zakres ochrony.

Data Act jest rozporządzeniem, a więc będzie jednolicie stosowany w całej Unii Europejskiej. Zacznie on obowiązywać po upływie 20 miesięcy od jego wejścia w życie. Nie wiadomo jeszcze, kiedy dokładnie to nastąpi. Ale jeżeli Data Act nie napotka na swojej drodze żadnych nieprzewidzianych okoliczności, jego stosowanie powinno zacząć się w okolicach trzeciego kwartału 2025 r.

[1] https://www.europarl.europa.eu/RegData/seance_pleniere/textes_adoptes/definitif/2023/11-09/0385/P9_TA(2023)0385_PL.pdf