Data Act, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (Akt w sprawie danych), jest aktem prawa unijnego, który ma na celu zwiększenie konkurencyjności na rynku danych oraz możliwości dostępu do danych oraz ich legalnego wykorzystywania przez różnych uczestników rynku, zapewnienie użytkownikom większej kontroli nad danymi, które tworzą, a także stymulowanie innowacji i rozwoju gospodarki cyfrowej.

Nowe obowiązki dla dostawców usług internetowych

Art. 23 Data Act zobowiązuje dostawców usług przetwarzania danych do wprowadzenia środków, które umożliwią ich klientom: zmianę usługi przetwarzania danych na usługę tego samego typu świadczoną przez innego dostawcę; przeniesienie usługi na infrastrukturę lokalną (on-premises), lub na korzystanie z usług kilku dostawców. To oznacza, że dostawcy usług przetwarzania danych nie będą mogli stawiać jakichkolwiek przeszkód przedkomercyjnych, handlowych, technicznych, umownych i organizacyjnych, które utrudnią klientom:

1. Rozwiązanie umowy o świadczenie usługi po upływie maksymalnego okresu wypowiedzenia;
2. Pomyślną finalizację procesu zmiany dostawcy;
3. Zawarcie nowych umów z innym dostawcą usług;
4. Przeniesienie danych do innego dostawcy usług lub do infrastruktury lokalnej;
5. Uzyskanie równoważności funkcjonalnej w ramach korzystania z nowej usługi;
6. Oddzielenie usług przetwarzania danych (skalowalnych i elastycznych zasobów obliczeniowych ograniczonych do elementów infrastruktury) od innych usług przetwarzania danych – o ile jest to technicznie możliwe.

Sposób realizacji tych obowiązków doprecyzowano w kolejnych przepisach Data Act. Wszystkie strony zaangażowane w proces zmiany dostawcy usług (w tym na docelowego dostawcę) nałożony został obowiązek współpracy ze sobą w dobrej wierze, aby zapewnić skuteczność procesu zmiany, umożliwić terminowe przekazanie danych oraz utrzymać ciągłość usługi przetwarzania danych (art. 27 Data Act).

Obligatoryjne postanowienia umowne

Prawa klienta i obowiązki wyjściowego dostawcy usługi przetwarzania danych w odniesieniu do zmiany dostawcy usług będą musiały być jasno określone w pisemnej umowie, udostępnionej klientowi przed jej podpisaniem. Rozporządzenie wprowadza konkretne wymogi co do postanowień, które muszą znaleźć w takiej umowie. Dotyczą one:

• umożliwienia klientowi zmiany dostawcy usług nie później niż po upływie maksymalnego okresu przejściowego, wynoszącego 30 dni kalendarzowych (rozpoczynającym się upływie maksymalnego okresu wypowiedzenia);
• zobowiązania dostawcy usług do wsparcia strategii odejścia klienta;
• wskazania, że umowa zostaje uznana za rozwiązaną, a klient zostaje poinformowany o jej rozwiązaniu w przypadku pomyślnego zakończenia procesu zmiany dostawcy lub po zakończeniu maksymalnego okresu wypowiedzenia;
• wskazania, że maksymalny okres wypowiedzenia nie może przekraczać dwóch miesięcy;
• zawarcia szczegółowej specyfikacji wszystkich kategorii danych i aktywów cyfrowych, które można przenieść w trakcie procesu zmiany dostawcy, a także tych, które są wyłączone spośród danych eksportowalnych;
• wskazania minimalnego okresu, w którym można pobrać dane, wynoszącego co najmniej 30 dni kalendarzowych (rozpoczynającego się po zakończeniu okresu przejściowego);
• zagwarantowania całkowitego usunięcia wszystkich danych wygenerowanych bezpośrednio przez klienta lub bezpośrednio dotyczących klienta po upływie okresu pobierania;
• opłat z tytułu zmiany dostawcy – opisanych w dalszej części artykułu;
• powiadomienia klienta o możliwości zmiany dostawcy usług po upływie maksymalnego okresu wypowiedzenia;
• odniesienie do stron internetowych, na których dostawca udostępnia informacje o jurysdykcji, której podlega infrastruktura ICT używana do przetwarzania danych.

W przypadku gdy z przyczyn technicznych nie będzie możliwe zachowanie obowiązkowego maksymalnego okresu przejściowego, dostawca usług ma obowiązek powiadomić o tym klienta, a także wydłużyć ten okres – maksymalnie do siedmiu miesięcy. Jednocześnie klientowi będzie przysługiwało prawo do jednokrotnego przedłużenia okresu przejściowego o okres, który uzna za właściwy z uwagi na własne cele (art. 25 Data Act).

Obowiązki informacyjne dostawców usług przetwarzania danych

Dostawcy usług przetwarzania danych muszą przedstawić klientowi informacje o istniejących procedurach zmiany dostawcy i przeniesienia usługi. Muszą także wskazać internetowy rejestr zawierający szczegółowe informacje o wszelkich strukturach i formatach danych oraz o stosownych normach i otwartych specyfikacjach w zakresie interoperacyjności (art. 26 Data Act).

Dostawcy usług musza także udostępniać na swoich stronach internetowych informacje o jurysdykcji, której podlega ich infrastruktura ICT używana do przetwarzania danych, a także ogólny opis przyjętych środków technicznych, organizacyjnych i umownych w celu zapobieżenia międzynarodowemu dostępowi do danych nieosobowych (art. 28 Data Act).

Wprowadzono także obowiązek nieodpłatnego udostępnienia swoim klientom i zainteresowanym docelowym dostawcom usług otwartych interfejsów, które umożliwiają opracowanie oprogramowania do komunikacji z tymi usługami do celów przenoszenia i interoperacyjności danych. Komisja Europejska wyda akty wykonawcze, które ustanowią normy zharmonizowane w zakresie interoperacyjności usług przetwarzania. Dostawcy usług mają obowiązek zapewnienia zgodności ze wspólnymi specyfikacjami opartymi na otwartych specyfikacjach w zakresie interoperacyjności lub zharmonizowanych normach w zakresie interoperacyjności co najmniej 12 miesięcy po ich publikacji (art. 30 Data Act).

Przed zawarciem umowy o świadczenie usług przetwarzania danych, dostawcy usług będą także zobowiązani do poinformowania przyszłego klienta o obowiązkach przewidzianych w Data Act, które nie będą miały zastosowania do tych usług (art. 31 ust. 3 Data Act).