Data Act: użytkownik sam zdecyduje
Pojawiły się unijne regulacje, które w zamierzeniach ustawodawców mają ułatwić dostęp do danych i obrót nimi na rynku europejskim. Nakładają one nowe obowiązki na producentów sprzętu cyfrowego, dostawców usług przetwarzania danych i pośredników w obrocie danymi.
Posiadacze danych będą mieli obowiązek ich udostępnienia organom UE.
Jak można przeczytać w preambule do Rozporządzenia Parlamentu Europejskiego i Rady Unii Europejskiej w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (akt w sprawie danych – tzw. Data Act), celem tej regulacji jest usunięcie barier utrudniających dzielenie się danymi i ich wykorzystanie, zarówno w ramach pożytku społecznego, jak i dla rozwoju gospodarczego.
W tym przypadku chodzi konkretnie o dane pochodzące z tzw. produktów skomunikowanych i powiązanych z nimi usług. W praktyce oznacza to urządzenia podłączone do sieci, które generują dane dotyczące swojego działania i wykorzystania lub środowiska, w którym funkcjonują. W tej grupie znajdują się rozwiązania z zakresu Internetu Rzeczy, urządzenia smart home, tzw. inteligentne sprzęty gospodarstwa domowego, samochody, maszyny rolnicze, inteligentne gadżety itp. Regulacjami objęci są także wirtualni asystenci, którzy na przykład występują jako interfejs lub stanowią punkt dostępu do obsługi środowiska inteligentnego domu.
Rozporządzenie weszło w życie 11 stycznia br., a jego przepisy zaczną obowiązywać od 12 września 2025 r. Podmioty, których ono dotyczy, mają zatem 20 miesięcy na dostosowanie się do jego wymogów. Z kolei unijne rozporządzenie w sprawie europejskiego zarządzania danymi (akt w sprawie zarządzania danymi – tzw. Data Governance Act) obowiązuje już od 24 września 2023 r. Reguluje ono ponowne wykorzystanie niektórych kategorii danych, które są w posiadaniu podmiotów sektora publicznego. Stanowi swego rodzaju uzupełnienie dyrektywy o otwartych danych z 2019 r. w odniesieniu do nie ujętych w niej rodzajów danych. Chodzi tu o dane będące w gestii organów publicznych, ale objęte jednocześnie prawami innych podmiotów, jak na przykład dane osobowe, czy poufne dane handlowe. Rozporządzenie określa zasady ich powtórnego, bezpiecznego wykorzystania z zachowaniem ich chronionego charakteru. Reguluje też warunki świadczenia usług pośrednictwa danych, w tym zasady ich zgłaszania i nadzoru nad ich wykonywaniem.
Łatwy i prosty dostęp
Data Act nakłada na posiadaczy danych, czyli producentów urządzeń lub dostawców powiązanych z nimi usług, obowiązek udostępniania generowanych danych użytkownikom tychże urządzeń i usług. Wśród udostępnianych danych mają znajdować się również metadane, w tym znaczniki czasu, niezbędne do interpretacji i wykorzystania danych. Generalnie chodzi o dane stanowiące cyfrowe od wzorowanie czynności i zdarzeń z udziałem użytkownika, powstające w wyniku korzystania z urządzenia.
Użytkownik powinien mieć zapewniony łatwy, prosty i bezpieczny dostęp do danych dotyczących funkcjonowania wykorzystywanych przez niego urządzeń i wykonywanych w związku z ich użytkowaniem działań. Najlepiej żeby dostęp do tych danych mógł się odbywać w sposób ciągły. Jeśli natomiast takiej możliwości nie ma, to dane powinny być przekazywane przez ich posiadacza na wniosek użytkownika. Co ważne, dane powinny być udostępniane użytkownikowi bezpłatnie. Może on ich użyć na przykład w celu skorzystania z konkurencyjnych względem świadczonych przez producenta usług posprzedażowych, serwisowych, czy naprawczych. Nie może natomiast wykorzystać ich do stworzenia konkurencyjnego produktu.
Producenci i usługodawcy powinni docelowo projektować oraz wykonywać i świadczyć swoje produkty czy usługi w taki sposób, aby dane z produktu lub usługi były domyślnie łatwo i prosto dostępne w formacie powszechnie używanym i nadającym się do odczytu maszynowego. Obowiązki w tym zakresie będą dotyczyły produktów wprowadzanych na rynek europejski po 12 września 2026 r.
Zgodnie z przepisami Data Governance Act państwa unijne mogą wprowadzić własne polityki i rozwiązania, które będą sprzyjać tzw. altruizmowi danych. Pojęcie to oznacza dobrowolne, niekomercyjne dzielenie się danymi na podstawie zgody wyrażonej przez osoby, których dotyczą dane osobowe lub w wyniku udzielonego przez posiadaczy danych nieosobowych pozwolenia na ich przetwarzanie. Udostępnione w ten sposób dane mogą być wykorzystywane w ogólnie pojętym, publicznym interesie, na przykład w obszarze opieki zdrowotnej, tworzenia statystyk urzędowych, do celów badań naukowych, czy też poprawy świadczenia usług publicznych.
Każde państwo, które zdecyduje się na wprowadzenie takich rozwiązań, musi prowadzić publiczny, krajowy rejestr uznanych organizacji altruizmu danych. Mogą się w nim znaleźć jedynie takie organizacje, które prowadzą działalność o charakterze niekomercyjnym i są z punktu widzenia prawa niezależne od jakiegokolwiek podmiotu nastawionego na zysk. Organizacja taka musi spełniać określone w rozporządzeniu wymogi dotyczące przejrzystości prowadzonych działań. Za monitorowanie spełniania nałożonych wymogów odpowiadają organy właściwe do spraw rejestracji organizacji altruizmu danych.
Podobne artykuły
Akt w sprawie AI w kontekście RODO: 10 kluczowych informacji
Ochrona danych osobowych jest jednym z dwóch, oprócz prawa autorskiego, obszarów wywołujących największe kontrowersje prawne, jeśli chodzi o stosowanie sztucznej inteligencji.
Rozporządzenie DORA: nowe wytyczne dla ICT
Rosnące ryzyko cyberataków skłoniło unijnych urzędników do publikacji kolejnego, po RODO, aktu dotyczącego ochrony danych.
Bez klasyfikacji nie ma ochrony
Trzy rzeczy są kluczowe dla skutecznej ochrony danych poufnych w firmie – świadomość ich istnienia, a następnie identyfikacja oraz wskazanie procesów, w których są przetwarzane. To podstawa do wyboru odpowiednich rozwiązań informatycznych, zresztą bez względu na to, czy rzecz dzieje się w okresie pandemii, czy też w każdym innym czasie.