Wiadomości
Akt w sprawie danych
13 lutego 2024
Podpisane 13 grudnia 2023 r. unijne rozporządzenie w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (DA) weszło w życie 11 stycznia 2024 r. Przepisy tego aktu w sprawie danych mają być stosowane od 12 września 2025 r.
Jest to kolejny element budujący europejski system udostępniania i wymiany danych zapowiedziany w „Europejskiej
strategii w zakresie danych”. Akt w sprawie danych ma na celu ustanowienie zharmonizowanych przepisów dotyczących dostępu i wykorzystywania danych generowanych z szerokiej gamy produktów i usług, w tym przedmiotów podłączonych do Internetu („Internet rzeczy”), wyrobów medycznych lub zdrowotnych oraz wirtualnych asystentów. Ma on również służyć zwiększeniu praw osób, których dane dotyczą, do przenoszenia danych na podstawie art. 20 ogólnego rozporządzenia o ochronie danych (RODO).
Nowe rozporządzenie ułatwi wymianę danych w całej Unii Europejskiej oraz między różnymi sektorami gospodarki.
Celem aktu w sprawie danych jest zapewnienie sprawiedliwego dostępu do danych i ich wykorzystania między poszczególnymi uczestnikami rynku w gospodarce cyfrowej. Reguluje on wymianę danych między przedsiębiorstwami,
między przedsiębiorstwami a konsumentami oraz między przedsiębiorstwami a administracją publiczną.
Dzięki nowym mechanizmom użytkownicy urządzeń podłączonych do Internetu, takich jak sprzęty inteligentnego domu czy smart AGD, będą mieli dostęp do danych generowanych w wyniku korzystania z tych urządzeń oraz zyskają możliwość udostępnienia tych danych innym podmiotom, oferującym usługi na rynkach niższego szczebla, lub np. zaoferowania ich na cele altruizmu danych. Obecnie dostęp do takich danych mają często wyłącznie producenci urządzeń, co uniemożliwia użytkownikom korzystanie z konkurencyjnych usług posprzedażowych lub naprawczych. DA wymaga, by inteligentne urządzenia były projektowane i wytwarzane w taki sposób, aby dane generowane w wyniku korzystania z nich były domyślnie łatwo, bezpiecznie i, w razie potrzeby, bezpośrednio z poziomu urządzenia dostępne dla użytkownika oraz dla innych podmiotów przez niego wskazanych. Nowe wymogi mogą stanowić obciążenie dla producentów urządzeń Internetu rzeczy, dlatego będą oni mieli więcej czasu na dostosowanie się do nowej regulacji.
Przepisy aktu w sprawie danych ustanawiające nowe wymogi w zakresie projektowania i wytwarzania inteligentnych
urządzeń będą miały zastosowanie do produktów wprowadzonych na rynek dopiero po 12 września 2026 r.
W akcie w sprawie danych brakuje jednak restrykcji lub ograniczeń dotyczących wykorzystywania danych generowanych w wyniku korzystania z produktu czy usługi przez jakikolwiek podmiot inny niż osoby, których dane dotyczą, zwłaszcza gdy dane te mogą pozwolić na wyciągnięcie precyzyjnych wniosków dotyczących życia prywatnego osób, których dane dotyczą, lub w inny sposób wiązałyby się z wysokim ryzykiem naruszenia praw i wolności tych osób bądź narazić je na zagrożenia, w szczególności małoletnich. Brakuje wyraźnych ograniczeń dotyczących wykorzystywania danych do celów marketingu bezpośredniego czy reklamy, monitoringu pracowników, obliczania, modyfikowania składek ubezpieczeniowych, punktowej oceny kredytowej.
Akt w sprawie danych przewiduje mechanizm umożliwiający administracji publicznej dostęp i wykorzystanie danych, którymi dysponuje sektor prywatny. Uzyskanie dostępu do danych prywatnych przez organ sektora publicznego, Komisję Europejską, Europejski Bank Centralny lub organ Unii będzie możliwe tylko w nadzwyczajnych przypadkach, np. kiedy dane są niezbędne, by skutecznie reagować na „niebezpieczeństwo publiczne” (np. skutki pandemii czy kataklizmu), a potrzebnych danych nie da się na czas pozyskać w inny sposób na równoważnych warunkach. Akt w sprawie danych odpowiada więc na problem niedostatecznie wykorzystanego potencjału danych pochodzących spoza sektora publicznego dla dobra wspólnego. Jednak w rozporządzeniu nie sprecyzowano sytuacji nadzwyczajnej
czy „wyjątkowej potrzeby” oraz tego, które organy sektora publicznego i instytucje UE powinny mieć możliwość zażądania danych. Tymczasem dostęp organów publicznych do danych powinien być zawsze odpowiednio określony
i ograniczony do tego, co jest bezwzględnie niezbędne i proporcjonalne. Wszelkie ograniczenia prawa do ochrony
danych osobowych wymagają odpowiednio dostępnej i przewidywalnej podstawy prawnej, określającej zakres i sposób wykonywania uprawnień przez właściwe organy, oraz towarzyszących jej zabezpieczeń chroniących osoby,
których dane dotyczą, przed arbitralną ingerencją.
Rozporządzenie przewiduje też ułatwienia przy zmianie dostawcy usług chmurowych. Proces przełączania usługi i transferu naszych danych do nowego operatora będzie teraz przebiegał sprawniej. Akt w sprawie danych zmniejsza
w ten sposób uzależnienie klientów od jednego dostawcy. Radykalnie zmniejsza też koszty zmiany dostawcy - od
12 stycznia 2027 r. zniknąć mają opłaty pobierane dotąd przez operatorów za procedurę przełączenia do nowego
usługodawcy.
Ponadto nowe rozporządzenie dotyczy interoperacyjności danych i usług chmurowych, wyłączenia zastosowania
prawa sui generis do baz danych zawierających dane uzyskane w wyniku korzystania z produktów podłączonych
do Internetu czy zabezpieczenia naszych danych nieosobowych przechowywanych w chmurze na terenie Unii przed bezprawnym dostępem ze strony administracji rządowej państw spoza Wspólnoty.
Nowe przepisy wyznaczają organy nadzorcze ds. ochrony danych jako właściwe organy odpowiedzialne za monitorowanie stosowania aktu w sprawie danych w zakresie ochrony danych osobowych.
Jest to kolejny element budujący europejski system udostępniania i wymiany danych zapowiedziany w „Europejskiej
strategii w zakresie danych”. Akt w sprawie danych ma na celu ustanowienie zharmonizowanych przepisów dotyczących dostępu i wykorzystywania danych generowanych z szerokiej gamy produktów i usług, w tym przedmiotów podłączonych do Internetu („Internet rzeczy”), wyrobów medycznych lub zdrowotnych oraz wirtualnych asystentów. Ma on również służyć zwiększeniu praw osób, których dane dotyczą, do przenoszenia danych na podstawie art. 20 ogólnego rozporządzenia o ochronie danych (RODO).
Nowe rozporządzenie ułatwi wymianę danych w całej Unii Europejskiej oraz między różnymi sektorami gospodarki.
Celem aktu w sprawie danych jest zapewnienie sprawiedliwego dostępu do danych i ich wykorzystania między poszczególnymi uczestnikami rynku w gospodarce cyfrowej. Reguluje on wymianę danych między przedsiębiorstwami,
między przedsiębiorstwami a konsumentami oraz między przedsiębiorstwami a administracją publiczną.
Dzięki nowym mechanizmom użytkownicy urządzeń podłączonych do Internetu, takich jak sprzęty inteligentnego domu czy smart AGD, będą mieli dostęp do danych generowanych w wyniku korzystania z tych urządzeń oraz zyskają możliwość udostępnienia tych danych innym podmiotom, oferującym usługi na rynkach niższego szczebla, lub np. zaoferowania ich na cele altruizmu danych. Obecnie dostęp do takich danych mają często wyłącznie producenci urządzeń, co uniemożliwia użytkownikom korzystanie z konkurencyjnych usług posprzedażowych lub naprawczych. DA wymaga, by inteligentne urządzenia były projektowane i wytwarzane w taki sposób, aby dane generowane w wyniku korzystania z nich były domyślnie łatwo, bezpiecznie i, w razie potrzeby, bezpośrednio z poziomu urządzenia dostępne dla użytkownika oraz dla innych podmiotów przez niego wskazanych. Nowe wymogi mogą stanowić obciążenie dla producentów urządzeń Internetu rzeczy, dlatego będą oni mieli więcej czasu na dostosowanie się do nowej regulacji.
Przepisy aktu w sprawie danych ustanawiające nowe wymogi w zakresie projektowania i wytwarzania inteligentnych
urządzeń będą miały zastosowanie do produktów wprowadzonych na rynek dopiero po 12 września 2026 r.
W akcie w sprawie danych brakuje jednak restrykcji lub ograniczeń dotyczących wykorzystywania danych generowanych w wyniku korzystania z produktu czy usługi przez jakikolwiek podmiot inny niż osoby, których dane dotyczą, zwłaszcza gdy dane te mogą pozwolić na wyciągnięcie precyzyjnych wniosków dotyczących życia prywatnego osób, których dane dotyczą, lub w inny sposób wiązałyby się z wysokim ryzykiem naruszenia praw i wolności tych osób bądź narazić je na zagrożenia, w szczególności małoletnich. Brakuje wyraźnych ograniczeń dotyczących wykorzystywania danych do celów marketingu bezpośredniego czy reklamy, monitoringu pracowników, obliczania, modyfikowania składek ubezpieczeniowych, punktowej oceny kredytowej.
Akt w sprawie danych przewiduje mechanizm umożliwiający administracji publicznej dostęp i wykorzystanie danych, którymi dysponuje sektor prywatny. Uzyskanie dostępu do danych prywatnych przez organ sektora publicznego, Komisję Europejską, Europejski Bank Centralny lub organ Unii będzie możliwe tylko w nadzwyczajnych przypadkach, np. kiedy dane są niezbędne, by skutecznie reagować na „niebezpieczeństwo publiczne” (np. skutki pandemii czy kataklizmu), a potrzebnych danych nie da się na czas pozyskać w inny sposób na równoważnych warunkach. Akt w sprawie danych odpowiada więc na problem niedostatecznie wykorzystanego potencjału danych pochodzących spoza sektora publicznego dla dobra wspólnego. Jednak w rozporządzeniu nie sprecyzowano sytuacji nadzwyczajnej
czy „wyjątkowej potrzeby” oraz tego, które organy sektora publicznego i instytucje UE powinny mieć możliwość zażądania danych. Tymczasem dostęp organów publicznych do danych powinien być zawsze odpowiednio określony
i ograniczony do tego, co jest bezwzględnie niezbędne i proporcjonalne. Wszelkie ograniczenia prawa do ochrony
danych osobowych wymagają odpowiednio dostępnej i przewidywalnej podstawy prawnej, określającej zakres i sposób wykonywania uprawnień przez właściwe organy, oraz towarzyszących jej zabezpieczeń chroniących osoby,
których dane dotyczą, przed arbitralną ingerencją.
Rozporządzenie przewiduje też ułatwienia przy zmianie dostawcy usług chmurowych. Proces przełączania usługi i transferu naszych danych do nowego operatora będzie teraz przebiegał sprawniej. Akt w sprawie danych zmniejsza
w ten sposób uzależnienie klientów od jednego dostawcy. Radykalnie zmniejsza też koszty zmiany dostawcy - od
12 stycznia 2027 r. zniknąć mają opłaty pobierane dotąd przez operatorów za procedurę przełączenia do nowego
usługodawcy.
Ponadto nowe rozporządzenie dotyczy interoperacyjności danych i usług chmurowych, wyłączenia zastosowania
prawa sui generis do baz danych zawierających dane uzyskane w wyniku korzystania z produktów podłączonych
do Internetu czy zabezpieczenia naszych danych nieosobowych przechowywanych w chmurze na terenie Unii przed bezprawnym dostępem ze strony administracji rządowej państw spoza Wspólnoty.
Nowe przepisy wyznaczają organy nadzorcze ds. ochrony danych jako właściwe organy odpowiedzialne za monitorowanie stosowania aktu w sprawie danych w zakresie ochrony danych osobowych.
