23 lutego 2022 r. Komisja Europejska opublikowała projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania, zwanego jako Data Act (Akt w sprawie danych). Regulacja, która ma stanowić jeden z elementów realizacji szerszej, tzw. Europejskiej Strategii w zakresie danych, zawiera propozycję licznych rozwiązań legislacyjnych, których wejście w życie będzie miało istotny wpływ na funkcjonowanie europejskiej gospodarki.

Akt w sprawie danych

Głównym celem proponowanego rozporządzenia, jak i całej Europejskiej Strategii w zakresie danych przyjętej przez Komisję Europejską w lutym 2020 r. jest zapewnienie rozwoju europejskiej gospodarce opartej na danych przede wszystkim przez budowę jednolitego rynku danych, gwarantującego swobodny przepływ i korzystanie z danych w granicach UE i między sektorami z korzyścią dla obywateli.

W celu realizacji tego założenia w ramach Aktu w sprawie danych zaproponowano wiele regulacji, które mają służyć przede wszystkim wykorzystaniu potencjału rosnącej ilości danych, generowanych w ramach gospodarek Unii Europejskiej, zwłaszcza poprzez zwiększenie dostępności tych danych dla różnych grup podmiotów, minimalizację barier dla przepływu czy wykorzystania tych danych, a przez to – pobudzanie innowacyjności i wspieranie budowy gospodarki opartej na danych.

Równolegle celem projektowanych przepisów jest zapewnienie „sprawiedliwego podziału wartości danych między podmiotami gospodarki opartej o dane”, zwiększenie dostępu do danych czy zwiększenie ochrony praw podstawowych osób fizycznych.

Kluczowe elementy proponowanej regulacji

Powyższe cele mają zostać osiągnięte dzięki wprowadzeniu szeregu przepisów, które będą miały daleko idące skutki w zasadzie dla wszystkich uczestników rynku.

Przede wszystkim w ramach proponowanego rozporządzenia wprowadzono siatkę pojęciową, zawierającą wiele fundamentalnych definicji, takich jak „dane” (wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego), „posiadacz danych”, „użytkownik” czy „interoperacyjność”.

Projekt rozporządzenia wprowadza również przepisy zwiększające dostęp do danych dla szerokiego kręgu podmiotów, w tym konkretne uprawnienia dla użytkowników urządzeń czy powiązanych usług generujących dane. Proponowane regulacje wprowadzają konkretne uprawnienia użytkowników do żądania wydania danych wygenerowanych przez produkty lub powiązane z nimi usługi czy prawo żądania przekazania tych danych osobom trzecim (np. na potrzeby świadczenia usług z pominięciem pierwotnego producenta produktu czy dostawcy usługi). Skuteczność powyższych uprawnień wzmocniona zostanie przez wprowadzenie wymogu projektowania produktów i świadczenia powiązanych z nimi usług w ten sposób, aby dane generowane w wyniku korzystania z nich były domyślnie łatwo, bezpiecznie oraz – w razie potrzeby i w stosownych przypadkach – bezpośrednio dostępne dla użytkownika oraz łatwo przenoszalne. Dodatkowo producenci produktów czy dostawcy powiązanych usług zostaną obciążeni obowiązkiem informacyjnym w stosunku do użytkowników, obejmującym informacje o samych danych oraz możliwości uzyskania dostępu do nich.

Na podstawie Aktu o danych dodatkowe uprawnienia do dostępu do danych generowanych i przetwarzanych w sektorze prywatnym mają uzyskać podmioty publiczne, w tym organy administracji krajowej czy europejskiej.

Ważnym elementem proponowanych regulacji są również przepisy dotyczące zapewnienia łatwości przenoszenia danych w celu ułatwienia zmiany dostawców usług przetwarzania danych w chmurze. Przede wszystkim dostawcy zostaną zobowiązani do usuwania wszelkich przeszkód technicznych, handlowych czy umownych, które mogłyby utrudniać ich klientom rozwiązywanie umów czy zawarcie nowych umów z innymi dostawcami, przenoszenia danych czy utrzymywanie równoważnych funkcjonalnie usług w środowiskach innych dostawców. W tym zakresie mają również zostać przez Komisję zaproponowane wzorcowe postanowienia umowne.

Oczywiście całość regulacji dopełniona jest systemem sankcji w modelu zbliżonym do rozwiązań znanych z regulacji w zakresie danych osobowych – zwłaszcza RODO oraz uprawnieniami do wnoszenia skarg do właściwych organów.

W związku ze zmianami proponowane są również zmiany w zakresie Dyrektywy 96/9/WE Parlamentu Europejskiego i Rady z dnia 11 marca 1996 r. w sprawie ochrony prawnej baz danych (w tym zmiany zakresu stosowania prawa sui generis do baz danych) w celu dostosowania tych przepisów do potrzeb wynikających z projektowanych przepisów Aktu w sprawie danych.

Co dalej?

Bez wątpienia proponowane przepisy Aktu w sprawie danych będą mieć znaczący wpływ na funkcjonowanie europejskiego rynku cyfrowego i wywrze bezpośrednie skutki w działalności podmiotów z wielu branż gospodarki, których działalność coraz częściej opiera się na generowaniu i przetwarzaniu danych: od przedsiębiorstw świadczących usługi przetwarzania danych w chmurze, przez podmioty wdrażające rozwiązania z zakresu tzw. internetu rzeczy (IoT), aż po producentów sprzętu AGD, który coraz częściej generuje znaczące ilości danych (nierzadko niezbędne do jego prawidłowego działania). Szeroki zakres nowych regulacji będzie wymagać od organizacji podjęcia istotnych działań w celu zapewnienia zgodności z nowymi przepisami. Z tego powodu mimo wczesnego etapu legislacyjnego proponowanego rozporządzenia (projekt będzie musiał przejść w dalszej kolejności standardową procedurę legislacyjną – w tym kolejne czytania i głosowania w Radzie Unii Europejskiej i Parlamencie Europejskim) oraz późniejszego vacatio legis (proponowany okres 12 miesięcy), uczestnicy rynku powinni jak najwcześniej zacząć proces dostosowania swojej działalności do nowych regulacji.