Data Act: użytkownik sam zdecyduje
Pojawiły się unijne regulacje, które w zamierzeniach ustawodawców mają ułatwić dostęp do danych i obrót nimi na rynku europejskim. Nakładają one nowe obowiązki na producentów sprzętu cyfrowego, dostawców usług przetwarzania danych i pośredników w obrocie danymi.
Posiadacze danych będą mieli obowiązek ich udostępnienia organom UE.
Odbiorcy biznesowi i podmioty publiczne
Użytkownik ma prawo podzielić się otrzymanymi danymi z osobami trzecimi, bez względu na to czy są to osoby prywatne, czy też przedsiębiorstwa. Może to zrobić bezpośrednio sam, za pośrednictwem producenta urządzenia lub korzystając z usług pośrednictwa danych, których świadczenie jest regulowane przez Data Governance Act. Na wniosek użytkownika posiadacz danych będzie miał obowiązek udostępnienia bez zbędnej zwłoki danych wskazanym podmiotom. W tym przypadku może jednak żądać od odbiorcy danych (ale nie od użytkownika) rekompensaty za udostępnienie danych. Wysokość rekompensaty jest uzgadniana między posiadaczem a odbiorcą danych według zasad rozporządzenia.
Osoba trzecia może korzystać z udostępnionych danych tylko w zakresie i na warunkach uzgodnionych z użytkownikiem, który zadecydował o przekazaniu jej odpowiednich danych. Nie może też używać otrzymanych danych do działań na szkodę producenta urządzenia skomunikowanego, na przykład w celu stworzenia konkurencyjnego produktu.
W razie wyjątkowej potrzeby posiadacze danych będą mieli obowiązek udostępnienia danych również organom administracji publicznej, Komisji Europejskiej, Europejskiemu Bankowi Centralnemu lub innym organom Unii Europejskiej. Potrzeba ta musi być dobrze uzasadniona w przedłożonym posiadaczowi danych wniosku. Może się ona wiązać tylko z zadaniami realizowanymi w interesie publicznym lub wynikającymi z potrzeby reagowania na zagrożenie bezpieczeństwa publicznego.
Do ponownego wykorzystania
Z kolei Data Governance Act dopuszcza możliwość wykorzystywania przez osoby fizyczne lub prawne danych znajdujących się w posiadaniu podmiotów sektora publicznego. Dane te mogą być użyte zarówno do celów komercyjnych, jak i niekomercyjnych, innych niż ich pierwotne przeznaczenie w ramach zadań publicznych, do realizacji których te dane zostały wytworzone. Podmioty, które zezwalają na ponowne wykorzystywanie będących w ich gestii danych, mogą pobierać opłaty za takie zezwolenie.
Organy publiczne muszą udostępniać publicznie warunki, które powinny zostać spełnione w celu uzyskania zezwolenia na ponowne wykorzystywanie danych. Z drugiej strony, w celu zapewnienia zachowania integralności ochrony danych, mają prawo weryfikacji zastosowanego procesu i środków przetwarzania danych oraz kontroli wszelkich wyników przetwarzania udostępnionych danych przez ich ponownego użytkownika. Mogą przy tym zakazać wykorzystywania wyników, które zawierają informacje zagrażające prawom i interesom osób trzecich.
Poszczególne państwa członkowskie Unii Europejskiej muszą zadbać o to, aby wszystkie istotne informacje dotyczące ponownego przetwarzania wskazanych danych były łatwo dostępne za pośrednictwem pojedynczego punktu informacyjnego. Mogą w tym celu powołać nowy, osobny podmiot lub wyznaczyć do tego celu organ już istniejący. Taki punkt informacyjny może utworzyć odrębny kanał informacyjny dla MŚP i startupów.
Jak podkreślają twórcy unijnych regulacji, ani Data Act, ani Data Governance Act nie znoszą w żadnym przypadku obowiązków wynikających z unijnego lub krajowego prawa w zakresie ochrony danych osobowych. Ich stosowanie nie powinno przynosić uszczerbku dla ochrony prywatności i ochrony danych osobowych. W przypadku ewentualnej kolizji między jednymi a drugimi przepisami, pierwszeństwo mają zawsze przepisy dotyczące ochrony danych osobowych.
Stosowanie rozporządzeń dotyczących udostępniania danych nie może też powodować uszczerbku w zakresie obowiązującego prawa ochrony konkurencji. W praktyce oznacza to, na przykład, że obowiązek udostępniania danych generowanych przez urządzenia nie może być realizowany w sposób skutkujący ujawnieniem tajemnicy przedsiębiorstwa będącego producentem urządzenia. Posiadacz danych może żądać od odbiorcy danych zastosowania odpowiednich środków i rozwiązań służących zachowaniu poufności danych.
Podobne artykuły
Akt w sprawie AI w kontekście RODO: 10 kluczowych informacji
Ochrona danych osobowych jest jednym z dwóch, oprócz prawa autorskiego, obszarów wywołujących największe kontrowersje prawne, jeśli chodzi o stosowanie sztucznej inteligencji.
Rozporządzenie DORA: nowe wytyczne dla ICT
Rosnące ryzyko cyberataków skłoniło unijnych urzędników do publikacji kolejnego, po RODO, aktu dotyczącego ochrony danych.
Bez klasyfikacji nie ma ochrony
Trzy rzeczy są kluczowe dla skutecznej ochrony danych poufnych w firmie – świadomość ich istnienia, a następnie identyfikacja oraz wskazanie procesów, w których są przetwarzane. To podstawa do wyboru odpowiednich rozwiązań informatycznych, zresztą bez względu na to, czy rzecz dzieje się w okresie pandemii, czy też w każdym innym czasie.