Dostawcy usług cyfrowych i użytkownicy w kontekście DATA ACT

W dobie cyfryzacji i rosnącej zależności od technologii, kwestie związane z zarządzaniem danymi, dostępem do nich oraz współpracą między podmiotami gospodarczymi stają się kluczowe dla rozwoju rynku cyfrowego. W tym kontekście Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (akt w sprawie danych) dalej również „Data Act” –– ma na celu uregulowanie tych obszarów, zapewniając większą transparentność, sprawiedliwość i konkurencyjność.

Data Act to najnowszy krok w kierunku realizacji kompleksowej strategii Unii Europejskiej w zakresie zarządzania danymi. Stanowi on kontynuację polityki, której podstawy wyznaczyły wcześniejsze akty prawne, takie jak Dyrektywa w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (Dyrektywa PSI[1]) oraz Rozporządzenie o zarządzaniu danymi (Data Governance Act, DGA[2]).

Wprowadzony w 2024 r. Data Act wzmacnia fundamenty europejskiej gospodarki opartej na danych, uzupełniając dotychczasowe regulacje o bardziej zaawansowane mechanizmy sprawiedliwego dostępu do danych i ich wykorzystania. Jego głównym celem jest stworzenie ram prawnych umożliwiających efektywne i zgodne z prawem udostępnianie danych między różnymi sektorami, co przyczynia się do promowania innowacji i rozwoju technologicznego.

Dzięki Data Act Unia Europejska kontynuuje swoje starania o stworzenie wspólnego rynku danych, zapewniającego równy dostęp zarówno dla dużych korporacji, jak i małych i średnich przedsiębiorstw, a także wspierającego rozwój nowych produktów i usług. Regulacja ta wpisuje się w nadrzędne wartości UE, takie jak ochrona prywatności, bezpieczeństwo oraz etyczne wykorzystanie danych, umacniając pozycję Europy jako globalnego lidera w zarządzaniu danymi.

Kiedy Data Act wejdzie w życie?

Data Act wszedł w życie 11 stycznia 2024 r., jednak jego przepisy będą stosowane stopniowo:

• 12 września 2025 r. – zaczną obowiązywać ogólne zasady udostępniania danych między firmami, konsumentami i administracją publiczną oraz przepisy dotyczące zmiany dostawców usług przetwarzania danych (np. usług chmurowych);
• 12 września 2026 r. – wejdą w życie przepisy zobowiązujące producentów do zapewnienia użytkownikom łatwego dostępu do danych generowanych przez urządzenia IoT oraz świadczenia powiązanych usług tak, aby dane były łatwo dostępne dla użytkowników;
• 12 września 2027 r. – regulacje dotyczące eliminacji nieuczciwych postanowień umownych zaczną obowiązywać w przypadku umów zawartych przed 12 września 2025 roku, pod warunkiem że są to umowy na czas nieokreślony lub wygasają co najmniej 10 lat po 11 stycznia 2024 r.

IoT i dostęp do danych dla użytkownika

Czym jest IoT i jakie generuje dane? Zgodnie z motywem 14 preambuły Data Act Internet Rzeczy (IoT) to „produkty skomunikowane, które za pomocą elementów składowych lub systemów operacyjnych pozyskują, generują lub zbierają dane dotyczące swojego działania, wykorzystywania lub środowiska, i które mogą komunikować te dane za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu, z wyjątkiem prototypów”.

Inaczej mówiąc, IoT to sieć połączonych urządzeń, maszyn i systemów, które wymieniają dane w czasie rzeczywistym. Obejmuje on m.in. inteligentne domy, miasta, przemysłowe systemy produkcyjne oraz opiekę zdrowotną. IoT generuje ogromne ilości danych, które mogą być użyteczne dla użytkowników, przedsiębiorstw i instytucji publicznych.

Obecnie dane te często pozostają w rękach producentów urządzeń lub dostawców usług, co ogranicza ich wykorzystanie przez użytkowników końcowych. Data Act zmienia tę sytuację, zapewniając użytkownikom prawo do dostępu i kontroli nad danymi generowanymi przez ich urządzenia.

Prawo do dostępu do danych

W dobie dynamicznego rozwoju technologii, zwłaszcza w obszarze Internetu Rzeczy (IoT), kwestia dostępu do danych generowanych przez urządzenia stała się kluczowym elementem dyskusji na temat praw użytkowników oraz ich autonomii w cyfrowym świecie. Wraz z rosnącą liczbą urządzeń IoT, które zbierają i przetwarzają ogromne ilości danych, często pozostających w rękach producentów lub dostawców usług, pojawiła się potrzeba uregulowania zasad dostępu i udostępniania tych danych. W odpowiedzi na te wyzwania, Data Act wprowadza szereg przepisów mających na celu zwiększenie kontroli użytkowników nad danymi generowanymi przez ich urządzenia oraz zapewnienie sprawiedliwego i przejrzystego dostępu do tych danych.

Zgodnie z motywem 5 Data Act, głównym celem jest umożliwienie użytkownikom terminowego dostępu do danych generowanych przez produkty skomunikowane lub usługi powiązane, a także ich wykorzystywanie i udostępnianie wybranym osobom trzecim. Rozporządzenie nakłada na posiadaczy danych obowiązek udostępniania ich na sprawiedliwych, rozsądnych i niedyskryminujących zasadach, co ma zapobiegać nadużywaniu braku równowagi kontraktowej. Ponadto, w przypadku wyjątkowej potrzeby, rozporządzenie przewiduje obowiązek udostępniania danych organom publicznym w interesie publicznym. Wprowadzone przepisy mają również na celu ułatwienie zmiany dostawcy usług przetwarzania danych, zwiększenie interoperacyjności oraz usprawnienie mechanizmów dzielenia się danymi w Unii Europejskiej.

Motyw 15 Data Act podkreśla, że dane stanowią cyfrowe odwzorowanie czynności i zdarzeń z udziałem użytkownika, dlatego powinny być dla niego dostępne. Kluczowe jest, aby udostępniane dane były użyteczne, co wymaga ich odpowiedniego opisu poprzez metadane, takie jak znacznik czasu czy kontekst. Jednocześnie rozporządzenie wyklucza z obowiązku udostępniania informacji wywnioskowanych lub wywiedzionych z danych, które są wynikiem dodatkowych inwestycji w zakresie ich przetwarzania, np. za pomocą złożonych algorytmów autorskich.

Eliminacja vendor lock-in – współpraca między podmiotami gospodarczymi

Vendor lock-in oznacza sytuację, w której użytkownik jest uzależniony od jednego dostawcy ze względu na bariery techniczne, prawne lub finansowe. Zjawisko to jest szczególnie powszechne w branży przetwarzania danych w chmurze, oprogramowania oraz IoT.

Obowiązkowa współpraca i ułatwienie zmiany dostawcy

Rozporządzenie Data Act wprowadza przepisy ograniczające vendor lock-in poprzez obowiązkową współpracę między podmiotami gospodarczymi. Ich celem jest zwiększenie przejrzystości, uczciwości i interoperacyjności w relacjach między dostawcami usług przetwarzania danych a użytkownikami, zwłaszcza w kontekście chmur obliczeniowych.

Usuwanie barier w zmianie dostawcy

Vendor lock-in wynika często z barier technicznych, handlowych i organizacyjnych. Artykuł 23 Data Act zobowiązuje dostawców usług do eliminacji przeszkód utrudniających klientom:

• rozwiązanie umowy z dotychczasowym dostawcą,
• podpisanie umowy z nowym dostawcą,
• przeniesienie danych i aktywów cyfrowych,
• osiągnięcie równoważności funkcjonalnej w nowym środowisku.

Dodatkowo, klienci powinni mieć możliwość korzystania z usług kilku dostawców jednocześnie.

Przejrzyste warunki umowne

Z kolei artykuł 25 Data Act określa minimalne standardy umowne, które mają ułatwić zmianę dostawcy. Wśród kluczowych zapisów znajdują się:

• maksymalny okres wypowiedzenia (2 miesiące),
• obowiązkowy okres przejściowy (30 dni) zapewniający ciągłość usług i wsparcie w migracji,
• specyfikacja eksportowalnych danych,
• gwarancja usunięcia danych po zakończeniu migracji.

Dostawcy muszą także jasno informować klientów o opłatach i ograniczeniach technicznych związanych ze zmianą dostawcy.

Interoperacyjność i równoważność funkcjonalna

Brak interoperacyjności jest kluczowym problemem w kontekście vendor lock-in. Artykuł 30 nakłada na dostawców obowiązek:

• udostępniania otwartych interfejsów (API) umożliwiających integrację,
• zapewnienia równoważności funkcjonalnej po migracji,
• dostarczania dokumentacji technicznej i narzędzi ułatwiających migrację,
• dostosowania usług do wspólnych standardów interoperacyjności.

Ma to na celu sprawne i bezpieczne przenoszenie danych bez nieuzasadnionych opóźnień.

Przejrzystość informacyjna

Aby ułatwić użytkownikom zmianę dostawcy, artykuł 26 zobowiązuje dostawców do informowania o:

• procedurach migracji,
• formatach danych,
• ewentualnych ograniczeniach technicznych.

Ponadto artykuł 28 wymaga informowania klientów o jurysdykcji przetwarzania ich danych oraz stosowanych środkach bezpieczeństwa.

Zasady udostępniania informacji użytkownikom

Cyfryzacja gospodarki, powoduje, że udostępnianie użytkownikom informacji jest kluczowe dla sprawiedliwego zarządzania danymi. Odpowiadając na wyzwania, przed którymi stawia nas wszechobecna digitalizacja, Data Act reguluje zasady dostępu, udostępniania i ponownego wykorzystania danych użytkowników.

Głównym celem powyższego jest przede wszystkim ułatwienie użytkownikowi dostępu do danych. W praktyce oznacza to wprowadzenie szeregu nowych praw oraz obowiązków dla producentów i  dostawców usług.

Nadrzędna zasada dostępności informacji dla użytkownika zawarta jest w art. 3 ust. 1 Data Act, w którym wskazano, że produkty skomunikowane są projektowane i produkowane, a usługi powiązane projektowane i świadczone w taki sposób, aby dane z produktu i z usługi powiązanej, w tym stosowne metadane niezbędne do interpretacji i wykorzystania danych, były domyślnie „łatwo, bezpiecznie, bezpłatnie, w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeśli jest to technicznie możliwe, bezpośrednio dostępne dla użytkownika”.

Najważniejszą cechą jest oczywiście bezpieczeństwo, gdyż coraz więcej danych w produktach i usługach objętych Data Act zawiera dane wrażliwe dla użytkownika. Ich wyciek mógłby spowodować wiele negatywnych konsekwencji dla odbiorców usługi albo użytkowników produktu. Prawodawca z drugiej strony stawia wysoko poprzeczkę wskazując na takie cechy jak łatwość i bezpośredniość w dostępie. Zgodnie z doświadczeniem życiowym można wskazać, że zazwyczaj konkretne dane są zaszyfrowane i „ukryte” między kodami opisanymi w konkretnym języku oprogramowania.

Legislator już na wczesnym etapie (przed zawarciem umowy) wymaga od producenta konkretnych rozwiązań prawnych i technologicznych. Przed nawiązaniem stosunku prawnego między producentem a użytkownikiem, producent jest obowiązany do wskazania, w jaki sposób użytkownik będzie mógł uzyskać dostęp do danych, pobrać je lub w stosownym przypadku usunąć. Powinien także wskazać środki techniczne stosowane w tym celu.

Prawo użytkownika jest korzystniejsze dla niego wtedy, kiedy nie może on uzyskać bezpośredniego dostępu do danych z produktu skomunikowanego lub z usługi powiązanej. W takim przypadku posiadacze danych bez zbędnej zwłoki, w sposób łatwy i bezpieczny, nieodpłatnie udostępniają użytkownikowi dane łatwo dostępne, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym.

Działania te muszą zostać podjęte przez producentów na podstawie zwykłego zgłoszenia elektronicznego wysłanego przez użytkownika. Najpewniej takie zgłoszenia będą przyjmowane bezpośrednio w aplikacji cyfrowej bądź przez dedykowany do tego adres e-mail.

Podsumowując – kluczowymi obowiązkami dostawców danych w zakresie regulowanym przez Data Act będą:

• obowiązek zapewnienia użytkownikom i osobom trzecim dostępu do danych w rozsądnym terminie i na uczciwych warunkach;
• obowiązek stworzenia praktyk, które pozwolą na swobodne przemieszczanie się danych do innego systemu na wniosek użytkownika;
• obowiązek zapewnienia bezpieczeństwa danych.

Ochrona tajemnicy handlowej w kontekście udostępniania informacji użytkownikom

Chociaż Data Act promuje większą dostępność danych dla użytkownika to jednak wprowadza pewne ograniczenia w zakresie przepływu danych zawierających tajemnice przedsiębiorstwa. Data Act posługuje się terminem tajemnica przedsiębiorstwa na podstawie dyrektywy (UE) 2016/943[3].

Zgodnie z powyższą dyrektywą: „tajemnica przedsiębiorstwa” oznacza informacje, które spełniają wszystkie następujące wymogi:

1. są poufne w tym sensie, że jako całość lub w szczególnym zestawie i zbiorze ich elementów nie są ogólnie znane lub łatwo dostępne dla osób z kręgów, które zwykle zajmują się tym rodzajem informacji;
2. mają wartość handlową dlatego, że są objęte tajemnicą;
3. poddane zostały przez osobę, która zgodnie z prawem sprawuje nad nimi kontrolę, rozsądnym, w danych okolicznościach, działaniom dla utrzymania ich w tajemnicy.

Kluczowym w interpretowaniu Data Act jest punkt 31 preambuły, który podkreśla, że pozyskiwanie, wykorzystywanie lub ujawnianie tajemnicy przedsiębiorstwa uznaje się za zgodne z prawem m.in wtedy, gdy takiego pozyskiwania, wykorzystywania lub ujawniania wymagają prawo Unii lub prawo krajowe, lub gdy na nie zezwalają. Choć niniejsze rozporządzenie wymaga od posiadaczy danych ujawniania pewnych danych użytkownikom lub wybranym przez użytkownika osobom trzecim, nawet jeżeli dane te kwalifikują się do ochrony jako tajemnice przedsiębiorstwa, rozporządzenie to należy interpretować w taki sposób, aby zachować ochronę przewidzianą dla tajemnic przedsiębiorstwa na podstawie dyrektywy (UE) 2016/943. W tym kontekście posiadacze danych powinni móc wymagać od użytkowników lub wybranych przez użytkownika osób trzecich zachowania poufności danych uznawanych za tajemnice przedsiębiorstwa. W tym celu posiadacze danych powinni zidentyfikować tajemnice przedsiębiorstwa przed ujawnieniem danych i powinni móc uzgodnić z użytkownikami lub wybranymi przez użytkownika osobami trzecimi niezbędne środki służące zachowaniu poufności, w tym przez zastosowanie modelowych postanowień umownych, umów o poufności, rygorystycznych protokołów dostępu, norm technicznych oraz kodeksów postępowania.

Zgodnie z powyższym, najważniejszą formą zabezpieczenia będą oczywiście umowy o poufność tzw. (NDA), które w swoich postanowieniach będą zawierały specyficzne obowiązki, które zapobiegną ujawnianiu tajemnicy handlowej.  Kolejnym sposobem na uniknięcie ujawnienia tajemnicy przedsiębiorstwa jest udostępnianie danych w formie zagregowanej. Forma ta nie pozwoli udostępnić kluczowych procesów biznesowych producenta.

W wyjątkowych okolicznościach, w przypadku gdy posiadacz danych będący posiadaczem tajemnicy przedsiębiorstwa może wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez użytkownika, ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną, posiadacz danych może w tym konkretnym przypadku odrzucić wniosek o dostęp do tych konkretnych danych.

Przedmiotowa regulacja ogranicza dostęp do danych. Wymogiem jest jednak uzasadnienie dlaczego posiadacz wniosek odrzuca. Posiadacz danych nie może  zatem według swojego uznania ograniczać dostępu. Musi mieć do tego ważny powód, który musi przedstawić wnioskodawcy.

W sytuacjach spornych dotyczących ochrony tajemnicy handlowej a dostępu do danych przez użytkownika, Data Act przewiduje mechanizmy rozstrzygania sporów. Celem takich mechanizmów jest przede wszystkim znalezienia tzw. złotego środka pomiędzy zapewnieniem użytkownikowi dostępu do danych, a z drugiej strony ochrony przedsiębiorstwa przed ujawnieniem kluczowych informacji powodujących utratę przewagi konkurencyjnej.

aplikant radcowski Łukasz Hirsch, młodszy prawnik w Orlik & Partners

aplikant radcowski Karol Czekaj, młodszy prawnik w Orlik & Partners

---

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1024 z dnia 20 czerwca 2019 r. w sprawie otwartych danych i ponownego wykorzystywania informacji sektora publicznego (Dz. U. UE. L. z 2019 r. Nr 172, str. 56).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/868 z dnia 30 maja 2022 r. w sprawie europejskiego zarządzania danymi i zmieniające rozporządzenie (UE) 2018/1724 (akt w sprawie zarządzania danymi) (Dz. U. UE. L. z 2022 r. Nr 152, str. 1 ze zm.).

[3] DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem