Artykuł pochodzi z wydania: Marzec 2024
Nowe rozporządzenie Unii Europejskiej zapewni użytkownikom dostęp do danych generowanych przez urządzenia skomunikowane, a organom sektora publicznego – do zasobów sektora prywatnego. Zmienią się też obowiązki dostawców usług chmurowych.
W dniu 13 grudnia 2023 r. po niespełna dwóch latach od opublikowania przez Komisję Europejską wniosku legislacyjnego Parlament Europejski i Rada przyjęły rozporządzenie 2023/2854 w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) (DzUrz UE L 2854 z 22.12.2023; dalej: DA, akt w sprawie danych). Jest to kolejny – po rozporządzeniu Parlamentu Europejskiego i Rady w sprawie europejskiego zarządzania danymi i zmieniającym rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (DzUrz UE L 152 z 3.06.2022 ze zm.; dalej: DGA, akt w sprawie zarządzania danymi) – instrument legislacyjny zapowiedziany w „Europejskiej strategii w zakresie danych” z 19 lutego 2020 r., który ma służyć realizacji jednolitego rynku danych na terytorium UE. Podczas gdy akt w sprawie zarządzania danymi reguluje mechanizmy ułatwiające udostępnianie danych i dzielenie się nimi przez przedsiębiorstwa, osoby fizyczne i sektor publiczny, akt w sprawie danych precyzuje, kto może tworzyć wartość na podstawie danych i na jakich warunkach. Sposoby dzielenia się danymi poprzez zaufanych dostawców (pośredników) przewidziane w DGA będą mogły być wykorzystywane również do wymiany danych według aktu w sprawie danych. Niemniej zakres regulacji DA jest znacznie szerszy i wykracza poza wymianę danych w różnych konfiguracjach.
Cele nowego rozporządzenia
Celem aktu w sprawie danych jest zapewnienie użytkownikom produktu skomunikowanego lub usługi powiązanej (urządzenia tzw. internetu rzeczy, dalej: sprzęt IoT) możliwości terminowego dostępu do danych generowanych w wyniku korzystania z takiego produktu oraz wykorzystywania tych zasobów informacyjnych – w tym dzielenia się nimi z wybranymi przez siebie osobami trzecimi. Nakłada on na posiadaczy danych (np. producentów inteligentnego sprzętu AGD) obowiązek udostępniania danych w określonych okolicznościach użytkownikom (np. konsumentom) i osobom trzecim wybranym przez użytkowników (np. serwisom). Innymi słowy DA ma zapewnić osobom fizycznym i przedsiębiorstwom większą kontrolę nad danymi, które sami wygenerowali w wyniku korzystania z produktów i usług podłączonych do internetu. Cel ten ma zostać osiągnięty dzięki wzmocnieniu prawa do przenoszenia danych, ułatwiającemu kopiowanie lub przesyłanie ich między dostawcami różnych usług, w przypadku gdy są generowane przez inteligentne przedmioty, maszyny i urządzenia. Nowe przepisy mają umocnić pozycję konsumentów i firm, którzy będą mieć wpływ na to, co można zrobić z danymi wygenerowanymi przez produkty skomunikowane.
Unijny prawodawca zadbał również o to, by posiadacze danych udostępniali zasoby odbiorcom danych w Unii na sprawiedliwych, rozsądnych i niedyskryminujących zasadach oraz w sposób przejrzysty. Kluczowe znaczenie w ramach dzielenia się danymi mają przepisy prawa prywatnego. Z tego względu w DA dostosowuje się przepisy prawa zobowiązań i zapobiega nadużywaniu braku równowagi kontraktowej, która utrudnia sprawiedliwy dostęp do danych i ich uczciwe wykorzystywanie przez wszystkich użytkowników rynku wymiany danych.
Akt ma zapewnić organom sektora publicznego, Komisji Europejskiej, Europejskiemu Bankowi Centralnemu i organom UE instrumenty dostępu do danych, którymi dysponuje sektor prywatny, i wykorzystywania ich w szczególnych warunkach. Chodzi o wyjątkowe okoliczności, w szczególności niebezpieczeństwo publiczne (takie jak klęski żywiołowe) lub przypadki, gdy informacje te są niezbędne do realizacji zadania leżącego w interesie publicznym.
Ponadto dzięki nowym przepisom konsumenci będą mogli łatwo zmienić dostawców usług w chmurze. Wprowadzono także zabezpieczenia przed niezgodnym z prawem przekazywaniem danych poza obszar Wspólnoty (do państw trzecich) oraz normy interoperacyjności w zakresie udostępniania i przetwarzania danych.
Zakres aktu
Aby realizacja tak ambitnego zadania była możliwa, unijny prawodawca zdecydował, że akt w sprawie danych będzie miał bardzo szeroki zakres. Reguluje on w zasadzie kilka niezależnych od siebie obszarów. Ich wspólnym mianownikiem jest obszerne pojęcie danych rozumianych jako wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów bądź informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego. Na marginesie można dodać, że tak ujęta definicja danych jest tożsama z DGA. W akcie uregulowano następujące zagadnienia:
Udostępnianie danych z produktu i z usługi powiązanej użytkownikowi produktu skomunikowanego lub usługi powiązanej (rozdział II)
Przepisy nadają użytkownikowi sprzętu IoT uprawnienie dostępu do danych generowanych w wyniku korzystania z urządzeń skomunikowanych oraz możliwości udostępniania takich danych wybranej przez siebie osobie trzeciej – niezależnie od charakteru danych. Użytkownikiem może być zarówno osoba fizyczna, jak i prawna, zatem mamy tutaj do czynienia z wymianą danych w relacjach zarówno B2C, jak i B2B. Akt w tym zakresie uzupełnia uprawnienia dostępu do danych i prawa do przenoszenia danych przewidziane w rozporządzeniu (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (DzUrz UE L 119 z 4.05.2016; dalej: rodo) o dane o charakterze nieosobowym, np. dane maszynowe.
Udostępnianie danych przez posiadaczy danych odbiorcom danych (rozdział III)
Przepisy będą miały zastosowanie do wymiany danych między przedsiębiorcami, a więc w relacji B2B, wówczas, gdy przepisy prawa zobowiązują posiadacza danych (np. producenta sprzętu IoT) do udostępniania danych odbiorcy (np. firmie oferującej serwis). Opierając akt na swobodzie kontraktowej, ustawodawca wprowadza minimalne zasady unikania nieuczciwych postanowień umownych, które mają sprawić, że dostęp do danych będzie sprawiedliwy, uzasadniony, niedyskryminacyjny i przejrzysty. Podstawą takiej wymiany danych pozostaną umowy, a posiadaczowi danych powinna przysługiwać zasadna rekompensata za udostępnienie danych, której nie należy jednak utożsamiać z zapłatą za dane. Reguły te nie będą mieć jednak zastosowania do dobrowolnego dzielenia się danymi między przedsiębiorcami.
[…]
Dominik Sybilski
Autor jest doktorem nauk prawnych, specjalizuje się w prawnych regulacjach w obszarze danych i nowoczesnych technologii.
