Z projektu nowych przepisów niezadowoleni są na razie zarówno konsumenci, którzy będą z danych korzystać, jak i mające je udostępniać firmy.
Szwedzka prezydencja ma już otwartą drogę do unijnego trilogu na temat rozporządzenia w sprawie sprawiedliwego dostępu do danych i korzystania z nich, zwanego Data Act (akt w sprawie danych). W piątek Komitet Stałych Przedstawicieli (Coreper) krajów członkowskich przyjął wspólne stanowisko dotyczące aktu, umożliwiające Radzie UE podjęcie trójstronnych negocjacji z europarlamentem i Komisją.
Wcześniej w tym miesiącu projekt rozporządzenia zaaprobowali europosłowie.
– Akt w sprawie danych będzie absolutnym przełomem, zapewniając dostęp do niemal nieskończonej ilości wysokiej jakości danych przemysłowych – stwierdziła przy tej okazji Pilar del Castillo Vera, sprawozdawczyni projektu. Jak deklaruje KE, rozporządzenie „usunie bariery” w tej sferze, „zapewni sprawiedliwość w środowisku cyfrowym, pobudzi konkurencyjny rynek danych, otworzy możliwości dla innowacji” wykorzystujących ich potencjał.
Dostęp łatwy, ale...
Maciej Jankowski, partner w Kancelarii Prawnej Media, adwokat specjalizujący się w prawie telekomunikacyjnym i prawie ochrony danych osobowych, wymienia trzy kluczowe cele Data Act.
– Po pierwsze, zapewnienie użytkownikom łatwego dostępu do danych generowanych przez podłączone do sieci urządzenia IoT (internet rzeczy – red.), np. inteligentne urządzenia AGD, nowoczesne samochody itp. Po drugie, usunięcie barier w zakresie przenoszenia danych przy przełączaniu się użytkowników pomiędzy konkurencyjnymi usługami chmurowymi. I po trzecie, zapewnienie jak najszerszego dostępu do danych IoT (za zgodą użytkownika) różnym przedsiębiorcom, którzy mogliby np. dostarczać usługi uzupełniające (dodatkowe funkcje) lub konkurencyjne – wylicza.
– Zakresem rozporządzenia mają nie być objęte m.in. smartfony i komputery. Rozporządzenie Data Act nie zmienia też zasad związanych z ochroną danych osobowych – dodaje Maciej Jankowski.
Regulacja nałoży na firmy nowe obowiązki.
– Wpłynie na producentów urządzeń IoT i dostawców oprogramowania do tych urządzeń – wskazuje prawnik. Ich produkty będą musiały być tak projektowane, aby generowane przy używaniu dane były łatwo dostępne. Z kolei sprzedawcy takich urządzeń będą musieli dostarczyć klientom dodatkowe informacje, m.in. jakie i ile danych będzie zbierało urządzenie, jak można uzyskać do nich dostęp, kto będzie odbiorcą danych.
Bruksela zaznacza, że beneficjentami rozporządzenia będą konsumenci. Kupując „tradycyjny” produkt, otrzymujemy bowiem jego wszystkie komponenty. Natomiast w przypadku przedmiotu podłączonego do internetu (np. inteligentnej lodówki) często nie wiemy, kto i do jakich celów może wykorzystać dane generowane przez nasze urządzenie. Projektowany akt to zmieni.
– Bezpośrednio i wprost klienci uzyskają konkretne uprawnienia (np. prawo dostępu do danych gromadzonych przez ich urządzenia IoT, prawo żądania udostępnienia tych danych innemu dostawcy) oraz przepisy ułatwiające zmianę dostawcy usług chmurowych. Docelowo korzyścią z rozporządzenia ma być szerszy dostęp do alternatywnych usług dla urządzeń IoT oraz rozwój konkurencji w sektorze cyfrowym – wyjaśnia Maciej Jankowski.
Europejska Organizacja Konsumentów (BEUC) obawia się jednak, że PE pozostawił firmom mającym dane za dużą swobodę, aby konsumenci mogli w pełni skorzystać z nowych regulacji. W przegłosowanym przez europosłów projekcie pojawił się bowiem zapis pozwalający odmówić dostępu do danych, jeśli ich posiadacz stwierdzi, że zostały one przetworzone przez zastrzeżone algorytmy albo ich udostępnienie naruszyłoby bezpieczeństwo produktu.
– To podważa istotę przepisów, które mają dać konsumentom większe uprawnienia do decydowania, co dzieje się z danymi, które pomogli wygenerować – uważa Maryant Fernández Pérez, starsza specjalistka ds. polityki cyfrowej w BEUC. Wskazuje też na ryzyko nakładania przez firmy dodatkowych opłat na pokrycie kosztów udostępniania danych.
Co z tą chmurą
Maciej Jankowski zauważa, że Data Act może być szansą na rozwój start-upów i małych przedsiębiorców z sektora IoT oraz sektora usług chmurowych.
– Dostawcy usług chmurowych i aplikacji będą musieli z jednej strony wprowadzić zmiany w swoich umowach ułatwiające użytkownikowi przejście na konkurencyjną usługę (np. krótki okres wypowiedzenia), a z drugiej strony usunąć techniczne bariery przenoszenia danych do konkurencyjnych usług – stwierdza prawnik.
Projekt zapisów dotyczących chmury niepokoi europejski oddział Stowarzyszenia Przemysłu Komputerowego i Komunikacyjnego (CCIA). Uważa ono, że akt w sprawie danych stworzy możliwość wykluczenia z rynku europejskiego świadczących usługi chmurowe firm spoza UE.
– W obecnym kształcie akt grozi zerwaniem cyfrowych powiązań Europy ze światową gospodarką – ostrzega Alexandre Roure, dyrektor ds. polityki publicznej CCIA.
Chodzi o art. 27, który m.in. zobowiązuje dostawców usług przetwarzania danych do zapobiegania ich międzynarodowemu przekazywaniu lub dostępowi władz państwa trzeciego, jeśli naruszałyby to prawo unijne lub krajowe. Według CCIA to „otwarte zaproszenie” do dyskryminacji firm zagranicznych.
Obawy w tej dziedzinie znalazły się też w sformułowanym na początku lutego stanowisku 30 innych europejskich organizacji zrzeszających firmy z różnych branż (m.in. IoT, motoryzacyjnej, producentów półprzewodników, elektroniki itd.). Obawiają się oni, aby akt „nie stwarzał nowych przeszkód dla międzynarodowych przepływów danych, które mają kluczowe znaczenie dla funkcjonowania europejskich przedsiębiorstw i rozwoju na rynkach zagranicznych”.
Czy rzeczywiście istnieje takie ryzyko?
– Wydaje się, że takie obawy mogą być jednak nieco przesadzone – odpowiada Maciej Jankowski.
– Artykuł 27 projektu dotyczy tylko danych nieosobowych i nie zakazuje całkowicie przekazywania ich poza UE, a jedynie nakazuje zapewnić, że nie będzie to naruszać prawa UE, np. poprzez ujawnienie tajemnic handlowych – wyjaśnia.
– Co istotne, w odniesieniu do danych osobowych już obowiązują dalece bardziej restrykcyjne regulacje RODO. Mimo tego przedsiębiorcy z UE masowo przekazują posiadane dane osobowe amerykańskim firmom. Praktyka taka ma miejsce, mimo że w teorii trudniej powinno być wykazać jej legalność niż w przypadku korzystania z analogicznych usług dostawców europejskich – podsumowuje.©℗