Dane mają być dostępne dla użytkownika (i nie tylko)

Choć ilość danych rośnie niebotycznie, dostęp do nich wciąż bywa znacznie ograniczony. Odpowiedzią na to ma być unijna regulacja – akt w sprawie danych.

Już w 2018 r. ludzkość wygenerowała 33 zettabajty, czyli 33 x 10²¹ bajtów danych. To tyle, ile pomieściłyby tablety o pojemności 512 GB ułożone jeden na drugim po osiągnięciu przez taką wieżę wysokości równej odległości Ziemi od Słońca. Gdyby chcieć ustawić taką wieżę z danych, jakie mają zostać wygenerowane w 2025 r., musiałaby być pięciokrotnie wyższa i rosłaby o 1260 tabletów na sekundę.

Akt w sprawie danych, a dokładniej rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (w skrócie: DA od angielskiej nazwy „Data Act”) zajmuje się kwestią danych i dostępności do nich na kilka sposobów: przewidując uprawnienia użytkowników do uzyskania danych z produktów skomunikowanych (czyli urządzeń należących do internetu rzeczy), regulując minimalne wymogi stosowane w procesie zmiany dostawcy usług przetwarzania danych czy określając zasadnicze wymagania w zakresie interoperacyjności danych.

Udostępnianie danych użytkownikowi

Zacząć trzeba od tego, czemu w akcie w sprawie danych poświęcono najwięcej miejsca – zagadnieniu dostępu do danych pochodzących z urządzeń IoT (Internet of Things). Artykuł 3 DA ustanawia bowiem adresowany do producentów produktów skomunikowanych i dostawców usług powiązanych obowiązek takiego projektowania i takiej produkcji produktów skomunikowanych czy świadczenia usług powiązanych, aby dane z produktu i usługi były łatwo dostępne dla użytkownika. Dostęp ten powinien być bezpieczny i bezpłatny, a dane przekazywane w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie. Dodatkowo, ilekroć jest to stosowne i technicznie możliwe, mają być dostępne bezpośrednio, czyli bez udziału innych podmiotów, a jedynie dzięki konstrukcji połączonego produktu (przykładowo przez interfejs pozwalający kontrolować mechanizm dostępu do danych i je pozyskiwać).

Akt w sprawie danych nie nakazuje zatem, by w każdym przypadku technicznej możliwości dostęp do danych miał charakter bezpośredni, a jedynie, gdy jest to „stosowne”. Wzmacnia to swobodę producenta, który do pewnego stopnia będzie mógł samodzielnie zdecydować o bezpośrednim dostępie do danych z urządzenia IoT, biorąc pod uwagę takie czynniki jak: koszt modyfikacji technicznej niezbędnej do zapewnienia bezpośredniego dostępu, trudności w ochronie tajemnicy przedsiębiorstwa czy bezpieczeństwo połączonego produktu. Co ważne, producent nie ma obowiązku podjęcia decyzji o jednym sposobie udostępnienia w odniesieniu do wszystkich danych z produktu, dlatego gdyby do bezpośredniego udostępnienia nadawałaby się tylko część danych, nie ma przeszkód, by pozostałe były dostępne w inny sposób.

W takiej sytuacji, zgodnie z art. 4 DA, to na posiadaczu danych spoczywać będzie obowiązek ich udostępnienia w sposób łatwy i bezpieczny oraz nieodpłatny dla użytkownika. Akt precyzuje, że w takim przypadku dane powinny cechować się taką samą jakością, jaka jest dostępna dla ich posiadacza, i zostać przekazane w określonym formacie (całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego), a jeżeli jest to możliwe i stosowne, to w sposób ciągły i w czasie rzeczywistym.

O zamiarze uzyskania dostępu do danych posiadacz ma się dowiedzieć z wniosku złożonego przez użytkownika. Data Act nie uściśla wymogów dotyczących takiego wniosku, wskazując jedynie, że chodzi o zwykły wniosek złożony drogą elektroniczną, o ile to technicznie możliwe. Regulacja wyposaża przy tym posiadacza danych w uprawnienie do weryfikacji danej osoby jako potencjalnego użytkownika. Zgodnie z motywami rozporządzenia powinna ona zasadniczo odbywać się za pośrednictwem konta użytkownika.

Udostępnianie danych osobie trzeciej

Użytkownik będzie mógł nie tylko wnosić o dostęp dla siebie, lecz także dzielić się nimi z wybraną osobą trzecią, o czym mówi art. 5 DA.

Podobnie jak art. 3 i 4, również art. 5 dookreśla, że chodzi o udostępnienie łatwe i bezpieczne oraz o przekazanie danych w odpowiednim formacie. Osoba trzecia będzie mogła przetwarzać udostępnione dane wyłącznie do celów i na warunkach uzgodnionych z użytkownikiem, pozostając zobowiązaną do ich usunięcia w momencie, gdy przestają być niezbędne do uzgodnionego celu (dłuższy czas przechowywania jest możliwy wyłącznie w odniesieniu do danych nieosobowych). Osoba trzecia nie będzie mogła opracowywać konkurencyjnych produktów na podstawie otrzymanych danych ani udostępniać ich w tym celu innym osobom, jak również wykorzystywać danych z zamiarem wpłynięcia na bezpieczeństwo produktu lub usługi.

Zakres udostępnianych danych

Powstaje pytanie o kategorie danych, którymi będzie musiał dzielić się producent czy posiadacz danych. Jak się okazuje, nie wszystkie będą podlegały udostępnieniu.

Po pierwsze, motyw 15 aktu wyjaśnia, że rozporządzenie dotyczy danych surowych oraz danych wstępnie przetworzonych, a poza jego zakresem znajdą się dane stanowiące informacje wywiedzione lub wywnioskowane z takich danych, będące wynikiem dodatkowych inwestycji w przypisywanie wartości do danych lub pozyskiwanie z nich wiedzy. Na uwagę (i równocześnie krytykę) zasługuje fakt, że rozróżnienie to nie zostało przeniesione ściśle do tekstu samego rozporządzenia. Istotne wątpliwości pojawiają się także w stosunku do samego mechanizmu, który w przyjętym kształcie może zachęcać przedsiębiorców do bardziej zaawansowanego przetwarzania danych, a tym samym do opracowywania dla siebie furtki umożliwiającej wyjście spod obowiązków przewidzianych rozporządzeniem (zob. np. B. Widła, „The Data Act and the balance of interests between device purchases and manufacturers” w: „Proportionality in EU digital law : balancing conflicting rights and interests”).

Dalsze ograniczenia nakłada dotyczący dostępu bezpośredniego art. 3 DA, który posługuje się wyłącznie określeniami „dane z produktu” i „dane z usługi powiązanej”. Te pierwsze stanowią dane wygenerowane w wyniku korzystania z produktu skomunikowanego zaprojektowanego przez producenta tak, by mogły być pobierane przez użytkownika, posiadacza danych lub osobę trzecią. Dane z usługi powiązanej są z kolei cyfrowym odwzorowaniem czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym. Mogą one być utrwalane celowo lub generowane jako produkt uboczny czynności urządzenia IoT, podczas świadczenia usługi powiązanej przez dostawcę.

Co więcej, jeżeli chodzi o przypadki udostępnienia, o których mowa w art. 4 (na wniosek skierowany do posiadacza danych) czy art. 5 DA (udostępnienie osobie trzeciej), to dotyczy on już wyłącznie danych łatwo dostępnych, a więc takich, które posiadacz danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z usługi powiązanej bez nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność. Podobnie jak w przypadku sformułowania użytego w motywie 15 DA, także tutaj powstaje wątpliwość, czy nie sprowokuje ono producentów do „projektowania danych tak, aby były one «dostępne tylko w sposób pracochłonny», przy jednoczesnym zachowaniu technicznych możliwości dostępu do nich, a tym samym do obchodzenia zakresu nowego rozporządzenia” – wskazuje Bohdan Widła.

W konsekwencji przedstawionych ograniczeń rzeczywiste znaczenie aktu w sprawie danych może być mniejsze, niż pierwotnie zakładano. Wąskie ujęcie danych podlegających udostępnieniu utrudnia także realizację jednego z podstawowych celów Data Act, czyli pobudzanie innowacji na rynkach posprzedażowych. Założeniem unijnego prawodawcy było bowiem umożliwienie użytkownikowi korzystania z usług posprzedażowych, w tym napraw, świadczonych niekoniecznie przez producenta urządzenia IoT, ale przede wszystkim przez niezależnych od niego usługodawców serwisujących taki sprzęt, co jednak nie będzie osiągalne wobec braku udostępnienia potrzebnych do tego danych. W tym kontekście ważny może okazać się motyw 20 rozporządzenia przewidujący możliwość ustanowienia przez organy unijne lub krajowe przepisów w celu doprecyzowania danych, jakie mają być dostępne z uwagi na ich nieodzowność do skutecznej obsługi, naprawy lub konserwacji produktów skomunikowanych lub usług powiązanych.

Co z tajemnicą przedsiębiorstwa?

Dzielenie się danymi, korzystne z perspektywy potencjalnych odbiorców danych (użytkowników, wskazanych przez niego podmiotów trzecich czy nieomówionych w artykule określonych organów publicznych), może także wzbudzać pewne wątpliwości u tych, na których ten wymóg ciąży, a którzy obawiają się, że na skutek omawianej regulacji zagrożone będą informacje objęte tajemnicą przedsiębiorstwa.

Próbując rozwiać te obawy, unijny prawodawca już w motywach podkreślił, że choć akt w sprawie danych wymaga ujawnienia pewnych danych, w tym kwalifikujących się jako tajemnica przedsiębiorstwa, to jednak samo rozporządzenie należy interpretować w taki sposób, aby zachować ochronę przewidzianą dla tajemnicy przedsiębiorstwa na podstawie dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 z 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem. Akt ma zatem równoważyć racje producentów i dostawców usług z interesami odbiorców danych dzięki wprowadzeniu określonej procedury ochrony takich danych. I tak, w pierwszej kolejności posiadacz danych (lub – jeżeli nie jest to ta sama osoba – posiadacz tajemnicy przedsiębiorstwa) musi zidentyfikować chronione dane i metadane jako tajemnicę przedsiębiorstwa i uzgodnić z użytkownikiem lub stroną trzecią proporcjonalne środki techniczne niezbędne do ochrony poufności (takie jak umowy o poufności czy określone normy techniczne). Przy braku uzgodnienia lub niewdrożenia przez użytkownika ustalonych zabezpieczeń, a także jeżeli zagraża on poufności tajemnicy przedsiębiorstwa, posiadacz danych może wstrzymać lub zawiesić dzielenie się danymi zidentyfikowanymi jako tajemnica przedsiębiorstwa.

Wreszcie – w wyjątkowych okolicznościach – posiadacz może także odrzucić wniosek o dostęp do konkretnych danych, o ile będzie w stanie wykazać, że mimo środków technicznych i organizacyjnych zastosowanych przez użytkownika, ujawnienie tajemnic handlowych z dużym prawdopodobieństwem poskutkuje poważną szkodą ekonomiczną. Co ważne, decyzje o wstrzymaniu, zawieszeniu czy odmowie udostępnienia danych muszą być podejmowane indywidualnie dla każdego przypadku, a informacje o nich przekazywane niezwłocznie właściwemu organowi państwa członkowskiego i uzasadniane użytkownikowi lub osobie trzeciej.

Istotnego zabezpieczenia interesów producentów produktów skomunikowanych i dostawców usług powiązanych można jednak dopatrzeć się nie tylko w przepisach wprost odnoszących się do tajemnicy przedsiębiorstwa, ale także w omówionym wyżej zakresie danych, jakie mają podlegać udostępnieniu.

Zmiana dostawcy usług przetwarzania

Kolejny obszar zagospodarowany przez DA obejmuje ułatwienia w zmianie dostawcy usług przetwarzania danych. W tym kontekście rozporządzenie odpowiada na zidentyfikowany przez Komisję Europejską problem „vendor lock-in”. To uzależnienie od dostawcy takich usług, wynikające z często nieprzypadkowej niekompatybilności technologii, którymi posługują się poszczególni przedsiębiorcy działający na rynku. Zmusza on do weryfikacji podjętego przez klienta zamiaru zmiany dostawcy usług przetwarzania danych przez pryzmat trudności wiążących się z planowaną ekstrakcją danych do środowiska nowego dostawcy. W praktyce ryzyko takich komplikacji można minimalizować, chociażby przez opracowywanie planów wycofywania się z chmury i zastrzeganie klauzul na korzyść klienta. Wspomniane działania, nie mając zakorzenienia w powszechnie obowiązujących przepisach, wymagają jednak aktywności ze strony samego klienta, a ich uwzględnienie zależy od podejścia dostawcy jako drugiej strony umowy.

W odpowiedzi na to art. 23 DA przewiduje nałożenie na dostawców usług przetwarzania danych określonych obowiązków mających na celu umożliwienie klientom zmianę usługi przetwarzania danych na usługę tego samego typu świadczoną przez innego dostawcę usług przetwarzania danych, lokalną infrastrukturę ICT lub w stosownym przypadku korzystanie z usług kilku dostawców usług przetwarzania danych równocześnie. Te obowiązki obejmują przede wszystkim:

zawarcie w umowie konkretnych postanowień regulujących prawa klienta i obowiązki dostawcy usług przetwarzania danych w odniesieniu do zmiany dostawcy usług lub w stosownym przypadku do przeniesienia do lokalnej infrastruktury ICT (art. 25 DA);
przekazanie klientowi określonych informacji dotyczących procedury zmiany i przeniesienia usługi (art. 26 DA);
stopniowe wycofywanie opłat z tytułu zmiany dostawcy (art. 29 DA);
stosowanie środków o charakterze technicznym ułatwiających klientowi osiągnięcie równoważności funkcjonalnej w ramach korzystania z docelowej usługi przetwarzania danych (art. 30 DA).

Sam klient, jak również docelowy dostawca usług przetwarzania danych, mają tymczasem obowiązek współpracy w dobrej wierze, aby proces zmiany dostawcy był skuteczny, dane zostały przekazane terminowo, a ciągłość usługi przetwarzania danych została utrzymana (art. 27 DA).

Akt w sprawie danych nakazuje, by umowa z dostawcą była zawierana „na piśmie”, co dopuszcza także formę dokumentową (określenie „na piśmie” nie jest bowiem równoznaczne z „w formie pisemnej”).

Umowa taka ma przede wszystkim zawierać postanowienie umożliwiające klientowi zmianę dostawcy usług przetwarzania danych lub przeniesienie wszystkich danych do lokalnej infrastruktury ICT, przy czym przeniesienie ma być możliwe bez zbędnej zwłoki i odbyć się nie później niż po upływie obowiązkowego maksymalnego okresu przejściowego. Okres przejściowy ma wynosić maksymalnie 30 dni kalendarzowych i rozpoczynać się po okresie wypowiedzenia, który, również określony w umowie, może wynosić maksymalnie dwa miesiące. Z uwagi na praktyczne trudności w zachowaniu 30-dniowego okresu przejściowego, rozporządzenie przewiduje możliwość wydłużenia okresu przejściowego. Z tą inicjatywą, pod pewnymi warunkami, może wyjść zarówno klient, jak i dostawca. Idąc dalej, umowa powinna gwarantować usunięcie, po zakończeniu okresu przejściowego (wynoszącego minimalnie 30 dni kalendarzowych), wszystkich danych eksportowalnych i aktywów cyfrowych wygenerowanych bezpośrednio przez klienta lub bezpośrednio go dotyczących, z tym, że warunkiem takiego usunięcia powinno być pomyślne ukończenie procesu zmiany dostawcy. Strony powinny zresztą zdefiniować w umowie, jakie dane i aktywa cyfrowe będą mogły zostać przeniesione w ramach procesu zmiany dostawcy, a jakie są specyficzne dla wewnętrznego funkcjonowania dostawcy i wyłączone spośród danych eksportowalnych, jeżeli zachodzi ryzyko naruszenia tajemnic przedsiębiorcy dostawcy (o ile takie wyłączenia nie utrudnią ani nie opóźnią procesu zmiany dostawcy).

W ramach obowiązków informacyjnych dostawca usług przetwarzania danych ma przedstawić klientowi informacje o istniejących procedurach zmiany dostawcy i przeniesienia usługi przetwarzania danych, w tym informacje o dostępnych metodach i formatach zmiany dostawcy i przeniesienia oraz limitach i ograniczeniach technicznych znanych dostawcy usług przetwarzania danych, a także zapewnić odniesienie do aktualnego rejestru prowadzonego przez dostawcę, zawierającego informacje o wszelkich strukturach i formatach danych oraz o stosownych normach i otwartych specyfikacjach w zakresie interoperacyjności.

Jeżeli zaś chodzi o wymóg stopniowego wycofywania się z opłat z tytułu zmiany dostawcy, to intencją unijnego prawodawcy jest, by opłaty nie mogły być nakładane na klientów już od 12 stycznia 2027 r. (do tego czasu opłaty mogą być nakładane w niższej kwocie, nieprzekraczającej kosztów poniesionych przez dostawcę i bezpośrednio związanych z konkretnym procesem zmiany dostawcy). Omawiany wymóg nie będzie dotyczył każdej sytuacji rezygnacji przez klienta z usług przetwarzania danych, a rozporządzenie dookreśla, że nie ma on zastosowania chociażby do usług, w przypadku których większość głównych cech została opracowana na zamówienie – tak, by dostosować je do konkretnych potrzeb indywidualnego klienta (tj. usług „customizowanych”).

Interoperacyjność danych

Kolejne zagadnienie poruszane przez Data Act, poniekąd związane z procesem zmiany dostawcy usług przetwarzania danych, to wymagania w zakresie interoperacyjności danych. Regulacja precyzuje, że uczestnicy przestrzeni danych oferujący innym uczestnikom dane lub usługi na nich oparte są zobowiązani spełniać zasadnicze wymagania w celu ułatwienia interoperacyjności danych, mechanizmów i usług dzielenia się danymi, w tym zapewniają, że:

dostatecznie są opisane: zawartość zestawu danych, ograniczenia wykorzystania, licencje czy metody zbierania danych;
w ogólnodostępny i spójny sposób są opisane: struktury danych, formaty, słowniki, systemy klasyfikacji i wykazy kodów;
dostatecznie są opisane techniczne środki dostępu do danych (API) oraz warunki korzystania z tych środków i jakość usługi, aby umożliwić automatyczny dostęp do danych i ich przesyłanie między stronami;
w stosownym przypadku są zapewnione środki umożliwiające interoperacyjność narzędzi automatycznego wykonywania umów w sprawie dzielenia się danymi.

Obowiązywanie rozporządzenia

Akt w sprawie danych został przyjęty z końcem 2023 r. i wszedł w życie 11 stycznia 2024 r. Większość przepisów ma jednak być stosowana dopiero od 12 września 2025 r., przy czym art. 3 (dotyczący projektowania produktów skomunikowanych i usług powiązanych tak, by dane były dostępne bezpośrednio) będzie miał zastosowanie do produktów i usług wprowadzonych na rynek dopiero po 12 września 2026 r. Daje to producentom i dostawcom usług możliwość przygotowania się na nową regulację i dokonania ewentualnych modyfikacji technicznych celem umożliwienia użytkownikowi bezpośredniego dostępu do danych.

Decyzje o wstrzymaniu, zawieszeniu czy odmowie udostępnienia danych muszą być podejmowane indywidualnie dla każdego przypadku, a informacje o nich przekazywane niezwłocznie właściwemu organowi państwa członkowskiego i uzasadniane użytkownikowi lub osobie trzeciej

Pewne wysiłki związane z rozpoczęciem stosowania aktu w sprawie danych czekają także polskiego ustawodawcę. Mimo że akt w sprawie danych ma charakter rozporządzenia i obowiązuje bezpośrednio, bez potrzeby przyjęcia ustawy implementującej go do polskiego porządku (jak ma to miejsce w przypadku dyrektyw), to jednak na państwach członkowskich, w tym Polsce, ciąży obowiązek chociażby wyznaczenia właściwego organu odpowiedzialnego za stosowanie i egzekwowanie rozporządzenia, a tym samym konieczne jest podjęcie prac nad ustawą, która taki organ by wyznaczała. Na dzień zakończenia prac nad artykułem dostępny jest wyłącznie komunikat Ministerstwa Cyfryzacji o rozpoczęciu prac nad implementacją rozporządzenia i zaproszenia do udziału w prekonsultacjach, pochodzący z początku kwietnia 2024 r. To, że prace nad ustawą są jeszcze na wczesnym etapie, potwierdzono także w korespondencji e-mailowej z Ministerstwem Cyfryzacji. Oznacza to, że na więcej szczegółów będziemy musieli jeszcze poczekać. ©℗

Artykuł przygotowany w ramach projektu IP Student – cyklu warsztatów z prawa własności intelektualnej i nowych technologii adresowanego do studentów prawa, nad którym tygodnik Prawnik objął patronat