23 lutego 2022 KE opublikowała projekt Aktu w sprawie danych (Data Act). Rozporządzenie ustanawia przepisy regulujące kto i w jaki sposób może uzyskać dostęp do danych nieosobowych generowanych na terenie UE. Nowa regulacja ma przyczynić się do szerszego wykorzystania danych na rzecz wspólnego dobrobytu, pobudzić rynek produktów i usług opartych na danych, a także otworzyć pole dla innowacji. Akt w sprawie danych stanowi realizację Europejskiej strategii danych, ogłoszonej w 2020r. Strategia zapowiadała przyjęcie dwóch aktów prawnych: Aktu w sprawie danych i Aktu w sprawie zarządzania danymi, który został zatwierdzony 23 maja 2022 r.
Kontekst regulacji – Europejska strategia danych z 2020r.
W lutym 2020 r. KE opublikowała Europejską strategię danych (ang. European Data Strategy), która wytyczała kierunki rozwoju europejskiej gospodarki opartej na danych, a także przedstawiała kolejne kroki i kluczowe działania. Celem dokumentu było uczynienie UE liderem w społeczeństwie opartym na danych. Dane zostały zidentyfikowane jako siła napędowa rozwoju gospodarczego. Jest to zasób ekonomiczny, który, w przeciwieństwie do innych zasobów, może być używany i replikowany wielokrotnie przy jednoczesnym zerowym lub bardzo niewielkim koszcie. Europejska strategia danych wprowadziła 5-letni plan działania, który miał przyczynić się do utworzenia jednolitej, europejskiej przestrzeni danych, opartej o jasne zasady:
Strategia opierała się na 4 filarach:
- swobodny przepływ danych w ramach UE i poza UE, także pomiędzy sektorami,
- pełne poszanowanie dla europejskich praw, zasad i wartości, w szczególności ochrona danych osobowych, ochrona konsumentów, prawo konkurencji,
- uczciwe zasady dostępu do danych i godne zaufania mechanizmy zarządzania danymi.
(Więcej na temat Europejskiej strategii danych można przeczytać TUTAJ).
Wśród zapowiadanych w Strategii aktów prawnych znalazły się:
- I filar – zarządzanie danymi,
- II filar – rozwój gospodarki opartej na danych,
- III filar – decyzyjność obywateli, kompetencje i wsparcie MŚP,
- IV filar – wspólne europejskie przestrzenie danych.
Akt w sprawie danych
Akt w sprawie danych to rozporządzenie w sprawie zharmonizowanych zasad uczciwego dostępu do danych i korzystania z nich. Dane są podstawowym zasobem gospodarki cyfrowej, niezbędnym do zabezpieczenia cyfrowej i zielonej transformacji (zarówno Europejski Zielony Ład i Europa na miarę cyfrową to fundamentalne kwestie, mocno podkreślane w planach prac KE na 2022 r.)
Zdaniem KE, aktualnie potencjał danych wciąż jest zbyt mało wykorzystywany. Używamy danych w niewielkim stopniu, a dostęp do nich mają jedynie niektóre, duże firmy. Przyczyną takiego stanu rzeczy jest niski poziom zaufania, sprzeczne bodźce ekonomiczne, a także utrudnienia technologiczne i brak spójnych regulacji. Dlatego kluczowe jest, aby znieść bariery i odblokować potencjał wykorzystania danych w sposób zgodny z europejskimi zasadami i wartościami. Szczególnie, że ilość danych, pochodzących z urządzeń Internetu Rzeczy (IoT) zwiększa się. W 2025 r. świat będzie generował 175 zetabajtów danych (33 zetabajty w 2018 r. ) rocznie, a globalna wartość internetu rzeczy i usług pokrewnych szacowana jest na 5-11 bln euro do 2030 r. KE szacuje, że dodatkowa wartość PKB w krajach UE do 2028 r. zwiększy się o 270 mld euro dzięki wprowadzeniu przepisów dotyczących danych. Natomiast analiza danych w czasie rzeczywistym już teraz generuje oszczędności w przedziale od 10% do 20% w takich sektorach jak transport, budownictwo, czy przemysł[1]. Dlatego też KE intensywnie pracuje nad wprowadzeniem regulacji, które przyczynią się do większego wykorzystania potencjału, jaki leży w danych.
Zakres aktu w sprawie danych
Akt w sprawie danych ustanawia zharmonizowane przepisy dotyczące udostępniania danych wygenerowanych w wyniku korzystania z produktu lub powiązanej usługi. Dane mogą być udostępnione użytkownikowi danego produktu lub usługi, a także innym odbiorcom oraz organom sektora publicznego lub instytucjom, agencjom lub organom Unii, gdy istnieje wyjątkowa potrzeba wykonania zadania realizowanego w interesie publicznym. Rozporządzenie jest skierowane do:
- producentów produktów i usług, które wytwarzają dane,
- posiadaczy danych,
- odbiorców danych w UE,
- organów sektora publicznego, instytucji, agencji lub organów UE, które zwracają się o udostępnienie danych,
- dostawców usług przetwarzania danych w UE.
Warto podkreślić, że akt w sprawie danych odnosi się do głównie do danych nieosobowych[2], które reguluje także rozporządzenie Parlamentu Europejskiego i Rady (EU) 2018/1807 z dnia 14 listopada 2018 r. w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej[3]. Akt w sprawie danych stanowi uzupełnienie niniejszego rozporządzenia i wprowadza ramy prawne w miejsce, które wcześniej objęte było samoregulacją. Kwestię ochrony danych osobowych reguluje rozporządzenie (UE) 2016/679 (RODO) i dyrektywa 2002/58/WE.
Dane jako zasób wielokrotnego użytku
Dane są zasobem, który może być wielokrotnie wykorzystywany na rzecz wspólnego dobrobytu. W tym celu muszą spełniać konkretne kryteria, które umożliwią ich swobodne odnajdowanie, przesyłanie, przetwarzanie i wykorzystywanie. Operatorzy danych są zobowiązani przestrzegać zasad dotyczących:
- zawartości zbioru danych, ograniczeń użytkowania, licencji, metodyki gromadzenia, jakości,
- struktury, formatów, schematów klasyfikacji i taksonomii, a także list kodowych (dostępnych publicznie, opisanych w spójny i jasny sposób),
- technicznych środków dostępu do danych, tj. interfejsów programowania aplikacji, warunków użytkowania, jakości usług, tak, aby dane mogły być odczytywane maszynowo,
- wspólnych środków umożliwiających interoperacyjność inteligentnych kontraktów – zawieranych za pomocą programów komputerowych (patrz poniżej).
Powyższe wymagania mogą mieć charakter ogólny albo dotyczyć konkretnych sektorów, z uwzględnieniem unijnych lub krajowych przepisów prawa. Doprecyzowanie tych wymagań może odbyć się za pośrednictwem KE, która określi je w ramach kolejnych aktów delegowanych. Możliwe jest również opracowanie standardów za pośrednictwem instytucji certyfikujących. KE opracuje również wytyczne określające oddzielne specyfikacje dla wspólnych, europejskich przestrzeni danych.
Podobne wymagania dotyczą usług związanych z przetwarzaniem danych. Powinny one być:
- zorientowane na jak największą wydajność i możliwość przetwarzania danych pomiędzy różnymi usługami,
- zwiększać możliwość przenoszenia zasobów cyfrowych pomiędzy różnymi usługami,
- gwarantować, o ile jest to wykonalne technicznie, funkcjonalną równoważność pomiędzy różnymi usługami przetwarzania danych.
Wytyczne i standardy dla usług mają dotyczyć aspektów przetwarzania danych zarówno w ramach chmury, jak i różnych aplikacji.
Zasady przetwarzania danych mogą być regulowane w ramach inteligentnych kontraktów, czyli takich, które są zawierane za pośrednictwem programów komputerowych. Operatorzy, którzy posługują się inteligentnymi kontraktami mają obowiązek zapewnić, aby były one solidne i wykazywały wysoki stopień odporności na ingerencję osób trzecich, aby umożliwiały bezpieczne wypowiedzenie i przerwanie obowiązywania kontraktu, aby gwarantowały archiwizację danych i ciągłość działania, a także dawały kontrolę dostępu osobom uprawnionym.
Udostępnianie danych B2C i B2B
Zgodnie z założeniami aktu w sprawie danych, każdy produkt lub usługa powinny być wytworzone lub świadczone w taki sposób, by użytkownik mógł mieć dostęp do generowanych danych w sposób łatwy i bezpieczny. Użytkownik przed dokonaniem zakupu ma prawo otrzymać informacje o:
- rodzaju i ilości danych, które będą przez niego wytwarzane,
- czy dane będą wytwarzane ciągle, w czasie rzeczywistym,
- w jaki sposób może uzyskać dostęp do danych,
- czy sprzedawca będzie wykorzystywał te dane do własnych celów lub udostępniał je osobom trzecim i w jakim celu,
- jaka jest tożsamość i adres podmiotu, który będzie wykorzystywał dane,
- w jaki sposób można skontaktować się ze sprzedawcą w sprawie wykorzystywania danych,
- w jaki sposób użytkownik może zażądać udostępnienia danych podmiotowi trzeciemu,
- w jaki sposób może wnieść skargę na naruszenie przepisów związanych z wykorzystaniem danych.
Użytkownik ma prawo dostępu do danych, które wygenerował za pomocą produktu lub usługi i producent musi mu taki dostęp zapewnić, jeżeli nie jest on przyznany automatycznie. Może również udostępniać wytworzone przez siebie dane podmiotom trzecim, również w sposób ciągły i w czasie rzeczywistym. Przy czym podmioty trzecie mają prawo do użytkowania danych tylko w celu, który został uzgodniony z użytkownikiem. Potem podmioty te są zobligowane do usunięcia danych. Jednocześnie nie mogą w żaden sposób manipulować zgodą udzieloną przez użytkownika, oszukiwać go lub przymuszać do udostępnienia danych. Nie wolno im również wykorzystywać danych do profilowania osób fizycznych, udostępniać danych dalszym podmiotom, wykorzystywać do stworzenia produktu konkurencyjnego z tym, z którego dane pochodzą, a także uniemożliwiać użytkownikowi udostępnienia danych innym stronom.
Obowiązki posiadaczy danych
Posiadaczem danych może być zarówno osoba fizyczna jak i prawna, która ma prawo lub obowiązek udostępnienia niektórych danych. Posiadacz udostępnia dane odbiorcom na uzgodnionych warunkach. Nie dyskryminuje i nie wyróżnia żadnych odbiorców. Jeżeli przepisy prawa nie stanowią inaczej, nie ma obowiązku ujawniania danych, które stanowią tajemnicę handlową.
Posiadacz może żądać opłaty za udostępnienie danych, jednak gdy odbiorcą jest mikro, małe lub średnie przedsiębiorstwo, opłata ta nie może wynosić więcej niż koszty bezpośrednio związane z udostępnieniem danych.
Posiadacze danych mogą wdrożyć odpowiednie środki techniczne, które służą ochronie danych i zapobieganiu nieuprawnionemu dostępowi. Jednak środki te nie mogą być wykorzystywanie do utrudnienia uprawnionemu użytkownikowi dostępu do danych lub przekazania ich podmiotom trzecim.
Rozstrzyganie sporów
Przejrzysty sposób udostępniania danych, a także ustalenie sprawiedliwych, rozsądnych i niedyskryminujących warunków leży w kompetencji organów rozstrzygających spory. Państwa członkowskie wyznaczają takie organy i informują o tym KE. Organy te spełniają następujące kryteria:
- są bezstronne, niezależne i podejmują decyzje zgodnie z przejrzystymi i uczciwymi procedurami
- posiadają niezbędną fachową wiedzę w zakresie określania uczciwych i niedyskryminujących warunków udostępniania danych,
- są dostępne za pośrednictwem komunikacji elektronicznej,
- mogą w szybki, skuteczny sposób wydawać decyzję (w ciągu 90 dni od złożenia wniosku).
Udostępnianie danych sektorowi publicznemu, gdy istnieje wyjątkowa potrzeba wykonania zadania realizowanego w interesie publicznym
Sektor publiczny może zażądać dostępu do danych jeżeli:
- dane są niezbędne do podjęcia działań w sytuacji kryzysowej,
- dostęp do określonych danych w konkretnym czasie może zapobiec sytuacji kryzysowej albo wesprzeć usuwanie skutków takiej sytuacji,
- brak dostępu do danych uniemożliwia organom administracji publicznej wykonanie zadania służącego interesowi publicznemu i organ ten nie ma możliwości uzyskać dostępu do danych w inny sposób (również w formie odpłatnej) albo uzyskanie danych przyczyni się do zmniejszenia obciążenia administracyjnego posiadaczy danych lub innych przedsiębiorstw.
Sytuacje, o których mowa powyżej nie odnoszą się do przestępstw kryminalnych i administracyjnych, dochodzeń w tej sprawie, a także dochodzeń administracji celnej lub podatkowej. Przepisy te nie odnoszą się również do mikro i małych przedsiębiorstw.
W przypadku żądania dostępu do danych, organ administracji publicznej informuje o tym, jakie dane są potrzebne, w jakim celu, na jaki czas, a także na jakich zasadach będą użytkowane. Informacja jest przekazywana w ramach publicznie dostępnego zgłoszenia. Uzyskane dane nie mogą być udostępniane dalszym stronom bez powiadomienia posiadacza danych. Posiadacz, który otrzyma powyższe żądanie ma obowiązek zastosować się do niego bez zbędnych opóźnień. Może również odrzucić lub zmodyfikować zgłoszenie jeżeli dane są niedostępne lub zgłoszenie nie spełnia wymagań określonych w przepisach. Czas na modyfikację lub odrzucenie zgłoszenia wynosi 5 lub 15 dni, w zależności od tego, czy dane mają posłużyć do zażegnania sytuacji kryzysowej, czy też nie. W przypadku, gdy żądanie dostępu do danych wymaga od posiadacza ujawnienia danych osobowych, dokonuje on wszelkich starań w celu anonimizacji danych (o ile nie narusza to żądania organu administracji publicznej).
Organ administracji publicznej, któremu udostępniono dane:
- nie będzie wykorzystywał ich do celów innych niż ustalono,
- w przypadku, gdy ma do czynienia z danymi osobowymi, wdroży rozwiązania, które będą miały na celu ochronę osób, których dane dotyczą,
- usunie dane po zakończeniu ich przetwarzania, a także poinformuje o tym posiadacza danych.
Ujawnienie tajemnic handlowych organowi administracji publicznej wymagane jest jedynie w zakresie niezbędnym do wypełnienia żądania. Jednocześnie organ administracji publicznej dochowuje wszelkich starań, aby zachować poufność powierzonych mu tajemnic handlowych.
Dane wykorzystywane do zażegnania sytuacji kryzysowej powinny być udostępnione nieodpłatnie. W przypadku pozostałych sytuacji, opłata powinna pokrywać koszty organizacyjne i techniczne przekazania danych i ich ewentualnej anonimizacji.
Dane udostępnione organowi administracji publicznej mogą być wykorzystane do badań naukowych lub analiz statystycznych (na zasadzie not-for-profit) zgodnych z celem, dla którego zostały przekazane. W takim przypadku należy poinformować posiadacza danych.
W przypadku zapotrzebowania na dane z innego kraju, organ sektora publicznego każdorazowo poinformuje odpowiednią administrację publiczną w tym kraju.
Korzystanie z różnych usług przetwarzania danych
Klienci mają prawo wybierać usługi przetwarzania danych oferowane przez różnych przedsiębiorców. Firmy te nie mogą korzystać z formatów plików, które uniemożliwiałyby później przeniesienie danych do innego usługodawcy. Mają również obowiązek usunąć wszelkie przeszkody (techniczne, umowne i organizacyjne), które mogłyby stanowić utrudnienie dla klientów chcących skorzystać z usług innej firmy. Proces zmiany dostawcy powinien być również bezpłatny (ewentualnie nie wyższy niż koszty jego przeprowadzenia). Prawa klienta i obowiązki usługodawcy w tym zakresie powinny zostać spisane w ramach umowy.
Przekazywanie danych poza UE
Dostawcy usług przetwarzania danych podejmują wszelkie środki techniczne, prawne i organizacyjne w celu zabezpieczenia przekazywania danych nieosobowych, pochodzących z terytorium UE, do państw spoza UE, szczególnie wówczas, gdy takie dane powodowałyby konflikt z prawem UE. Transfer danych do państw trzecich może odbywać się jedynie według ściśle uzgodnionych warunków. Nad opracowaniem tych warunków pracuje KE, przy wsparciu Europejskiej Rady ds. Innowacji Danych, powołanej Aktem ds. zarządzania danymi (Digital Governance Act).
Wdrożenie i kary
Każde z państw członkowskich ma za zadanie wyznaczyć przynajmniej jeden organ odpowiedzialny za wdrożenie aktu w sprawie danych i zgłoszenie go KE. W przypadku wyznaczenia więcej niż jednego organu, państwo członkowskie ustala zakres kompetencji i współpracy pomiędzy nimi. Wyznaczenie kar za niedopełnienie postanowień niniejszego aktu leży w gestii państw członkowskich. Kary mają być skuteczne, proporcjonalne i odstraszające.
Projekt Aktu w sprawie danych został opublikowany 23 lutego 2022 r. 11 maja zakończyły się konsultacje, z których wnioski przekazano do Parlamentu Europejskiego i Rady. Aktualnie trwają prace legislacyjne, nie znamy jeszcze ostatecznego kształtu brzmienia regulacji.
Podsumowanie:
- Opublikowany 23 lutego projekt aktu w sprawie danych stanowi wypełnienie zobowiązań Europejskiej strategii danych z 2020 r. W ramach Strategii, KE zapowiedziała przyjęcie dwóch aktów prawnych: Aktu w sprawie zarządzania danymi (Data Governanace Act), który został zatwierdzony 25 maja 2022 r., a także Aktu w sprawie danych (Data Act).
- Akt w sprawie danych to rozporządzenie w sprawie zharmonizowanych zasad uczciwego dostępu do danych i korzystania z nich. Dotyczy producentów produktów i usług, które wytwarzają dane, posiadaczy danych, odbiorców danych w UE, organów sektora publicznego, instytucji, agencji lub organów UE, które zwracają się o udostępnienie danych, dostawców usług przetwarzania danych w UE.
- Dane mogą być zasobem wielokrotnego użytku o ile będą spełniały odpowiednie wymogi. KE określi szczegółowe wytyczne techniczne i organizacyjne dotyczące danych. Operatorzy zobowiązani będą do przestrzegania wytycznych zarówno w stosunku do samych danych, jak i usług ich przetwarzania.
- Zarówno użytkownicy, jak i posiadacze danych mogą wymieniać się nimi i przekazywać je na określonych warunkach. Akt reguluje również przekazywanie danych na żądanie sektora publicznego, w przypadku gdy istnieje wyjątkowa potrzeba wykonania zadania realizowanego w interesie publicznym.
- Każde z państw członkowskich powołuje organ odpowiedzialny za wdrożenie Aktu w sprawie danych. Nieprzestrzeganie przepisów Aktu grozi karą, której wysokość jest ustalana przez państwa członkowskie. Kary mają być skuteczne, proporcjonalne i odstraszające.
- Aktualnie trwają prace legislacyjne nad Aktem w sprawie danych, nie znamy jeszcze ostatecznego kształtu brzmienia regulacji i daty jej przyjęcia.
[1] Data Act – Factsheet: https://digital-strategy.ec.europa.eu/en/library/data-act-factsheet
[2] Dane, wg. definicji podanej w Akcie w sprawie danych, rozumiane są jako wszelkie cyfrowe przedstawienie działań, faktów lub informacji oraz wszelkie zestawienia takich działań, faktów lub informacji, w tym w formie nagrania dźwiękowego, wizualnego lub audiowizualnego.
[3] ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A52017PC0495