Rada Unii Europejskiej przyjęła w listopadzie br. Rozporządzenie w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (dalej „Data Act”).
Główne cele wprowadzenia Data Act
Data Act stanowi element polityki UE związanej z rozwojem cyfryzacji oraz ma na celu wykorzystanie ekonomicznego potencjału wynikającego z generowania przez nowoczesne urządzenia coraz większej liczby danych.
Celem Data Act jest m.in. uregulowanie zasad wykorzystania danych wytwarzanych przez urządzenia skomunikowane (takie jak sprzęty użytku domowego, samochody, w tym pojazdy autonomiczne, maszyny rolnicze, inteligentne gadżety, itp.) tak, aby były one przekazywane szerszej grupie podmiotów, co ma zapewnić bardziej sprawiedliwy dostęp do informacji i wspomóc rozwój technologii. Dane, które potencjalnie mogą podlegać obowiązkowi przekazania, to przykładowo lokalizacja GPS samochodów, dane dotyczące ilości prądu pobieranego przez sprzęty użytku domowego czy warunków atmosferycznych, zbierane przez urządzenia rolnicze.
Data Act ma znieść bariery w przepływie danych, w związku z czym zobowiązuje posiadaczy danych (tj. podmioty które uzyskują dostęp do danych, np. producent urządzenia bądź dostawca usług) do ich udostępniania zarówno użytkownikom, odbiorcom danych (czyli innym przedsiębiorcom, w tym konkurentom posiadaczy urządzeń) jak i w niektórych przypadkach organom publicznym. Udostępnienie generowanych przez urządzenie danych osobowych może natomiast nastąpić wyłącznie na wniosek użytkownika.
Data Act a dane osobowe
Celem Data Act jest ułatwienie dostępu do danych, a zatem również do danych osobowych. W związku z powyższym, w projekcie przesądzono, że do przepływu w zakresie danych osobowych (np. dotyczących użytkownika urządzenia generującego dane podlegające obowiązkowi udostępnienia na podstawie Data Act), zastosowanie nadal znajdują w pierwszej kolejności przepisy RODO, a w przypadku kolizji zastosować należy przepisy unijne bądź krajowe regulujące kwestie przetwarzania danych osobowych.
Rekompensata za udostępnienie danych
Udostępnienie danych nie powinno podlegać opłatom, choć posiadacze danych mogą określić odpowiednią rekompensatę (wynagrodzenie), którym obciążą odbiorców danych (nigdy użytkowników) w związku z kosztami poniesionymi w procesie udostępniania danych. Zgodnie z Data Act, rekompensata za udostępnienie danych w relacjach między przedsiębiorcami powinna być niedyskryminacyjna, zasadna i może obejmować marżę.
Ochrona tajemnicy przedsiębiorstwa
Dotychczasowa krytyka projektu Data Act ze strony przedsiębiorców wiązała się z obawami o konieczność dzielenia się danymi, w tym w zakresie know-how przedsiębiorstwa (czyli danych wygenerowanych na koszt tego przedsiębiorstwa), co mogłoby skutkować naruszeniem tajemnicy przedsiębiorstwa oraz zmniejszeniem jego poziomu konkurencyjności w stosunku do podmiotów spoza UE, pomimo, że celem aktu było wzmocnienie pozycji rynkowej przedsiębiorstw. Obawy dotyczyły również obowiązku ujawnienia danych konkurentom z krajów trzecich.
Wychodząc naprzeciw powyższym wątpliwościom, w ostatecznej wersji Rozporządzenia przewidziano możliwość odmowy ujawnienia danych w indywidualnych sytuacjach, w sytuacji, gdy posiadacz danych wykaże, że prawdopodobieństwo poniesienia poważnych szkód gospodarczych w związku z ujawnieniem danych jest wysokie. Ujawnienie danych podmiotom sektora publicznego możliwe będzie wyłącznie w przypadku wyjątkowej potrzeby skorzystania z danych uregulowanej w rozporządzeniu i związanej z koniecznością dbania o bezpieczeństwo publiczne bądź interes publiczny. Organy publiczne zobowiązane są podjąć wszelkie środki niezbędne do zapewnienia poufności i bezpieczeństwa danych.
Łatwiejsza zmiana dostawcy usług przetwarzania danych
Kolejnym celem regulacji Data Act jest uproszczenie procesu zmiany dostawcy usług przetwarzania danych, tak aby nie doprowadzać do uzależnienia klientów od jednego dostawcy, co ma pozytywnie wpłynąć na konkurencję oraz - co za tym idzie - dalszy rozwój w tej dziedzinie. Do usług przetwarzania danych należą w szczególności usługi chmurowe oraz usługi brzegowe (ang. cloud and edge services).
Data Act – kary za nieprzestrzeganie
W przypadku nieprzestrzegania obowiązków wynikających z Data Act grozić będą kary pieniężne, których wysokość ma zostać ustanowiona przez Państwa członkowskie. Niezależnie, w razie naruszenia ochrony danych osobowych (np. nieuprawnione ujawnienie danych użytkownika urządzenia skomunikowanego), zastosowanie będą miały odpowiednie przepisy Ogólnego Rozporządzenia o Ochronie Danych nr 2016/679 (RODO), przewidujące możliwość nałożenia kary w wysokości sięgającej 20 mln EUR lub 4% obrotu osiągniętego przez przedsiębiorstwo w poprzednim roku obrotowym.
Jak możemy pomóc?
Kancelaria KPMG Law oferuje:
- analizy pod kątem zastosowania Data Act do potrzeb konkretnych przedsiębiorców;
- wsparcie w zakresie przygotowania i negocjacji porozumień o transferze danych i o zmianie dostawcy usług przetwarzania danych;
- opracowanie wewnętrznych regulacji dotyczących przestrzegania tajemnicy przedsiębiorstwa;
- przygotowanie warunków użytkowania urządzeń skomunikowanych, generujących dane;
- opracowanie treści obowiązkowych informacji o urządzeniach skomunikowanych dla ich użytkowników.
W przypadku pytań, zachęcamy do kontaktu.