Data Act, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (Akt w sprawie danych), jest aktem prawa unijnego, który ma na celu zwiększenie konkurencyjności na rynku danych oraz możliwości dostępu do danych oraz ich legalnego wykorzystywania przez różnych uczestników rynku, zapewnienie użytkownikom większej kontroli nad danymi, które tworzą, a także stymulowanie innowacji i rozwoju gospodarki cyfrowej.

Od kiedy?

Rozporządzenie zasadniczo wszedł w życie od 11 stycznia 2024 r., ale zgodnie z art. 50, jego przepisy będą stosowane dopiero od 12 września 2025 r., za wyjątkiem części obowiązków (określonych w art. 3 Data Act), które będą stosowane dopiero od 12 września 2026 r.

Kogo dotyczy Data Act?

Oddziaływanie Data Act ma charakter horyzontalny i obejmuje wszystkie sektory gospodarki, tj. zarówno wymianę danych miedzy przedsiębiorstwami (B2B), między przedsiębiorstwami a konsumentami (B2C), jak też między przedsiębiorstwami a administracją publiczną (B2G). Rozporządzenie dotyczy zarówno danych osobowych i danych nieosobowych.

Adresatami Data Act są przede wszystkim:

• producenci i dostawcy usług związanych z urządzeniami IoT oraz ich użytkownicy;
• odbiorcy, czyli podmioty, którym użytkownicy takich urządzeń mogą udostępniać informacje;
• organy sektora publicznego i instytucje Unii Europejskiej, które w określonych sytuacjach mogą występować o dostęp do danych z sektora prywatnego, przykładowo: podczas powodzi zagrażającej dużemu obszarowi miejskiemu organ zarządzania kryzysowego występuje o dane lokalizacyjne z sieci komórkowej w czasie rzeczywistym, aby śledzić przemieszczanie się ludności i koordynować ewakuację,
• dostawcy usług chmurowych.

Jakie zmiany wprowadza?

Wzmocnienia uprawnień użytkowników w zakresie dostępu i wykorzystania danych generowanych przez urządzenia tzw. IoT (Internet of Things/Internetu Rzeczy).

Internet Rzeczy to sieć fizycznych obiektów wyposażonych w czujniki, oprogramowanie i inne technologie, które umożliwiają im łączenie się, a także wymianę danych z innymi urządzeniami i systemami za pośrednictwem Internetu. Czyli sieć połączonych ze sobą urządzeń, które komunikują się i wymieniają informacje, ułatwiając codzienne życie i usprawniając procesy w różnych branżach.

Data Act zwiększa kontrolę jaką mają użytkownicy nad danymi generowanymi przez produkty, które posiadają. Ułatwiono użytkownikom możliwość przenoszenia swoich danych między usługodawcami, a także przyznano możliwość decydowania, kto może mieć do nich dostęp.

Dotychczas często dostęp do takich danych mieli wyłącznie producenci urządzeń. To uniemożliwiało użytkownikom korzystanie z konkurencyjnych usług posprzedażowych lub naprawczych. Data Act wymaga, aby inteligentne urządzenia były projektowane i wytwarzane w taki sposób, aby dane generowane w wyniku korzystania z nich były domyślnie łatwo, bezpiecznie oraz, w razie potrzeby, bezpośrednio z poziomu urządzenia dostępne dla użytkownika oraz dla innych podmiotów przez niego wskazanych.

Akt w sprawie danych wprowadza również ułatwienia przy zmianie dostawcy usług chmurowych. Należy przy tym podkreślić, że dotyczy to również dostawców spoza UE, o ile świadczą usługi klientom na terytorium Unii Europejskiej. Przepisy te dotyczą również sytuacji zmiany usługi chmury na lokalną infrastrukturę ICT. Prawa klienta i obowiązki dostawcy usługi przetwarzania danych w odniesieniu do zmiany dostawcy takich usług lub do przeniesienia do lokalnej infrastruktury ICT mają zostać jasno określone w umowie zawartej na piśmie, a dostawca usług przetwarzania danych udostępnia taką umowę klientowi przed jej podpisaniem. Proces przełączania usługi i przekazania danych do nowego dostawcy ma przebiegać szybciej i sprawniej, a wprowadzone w tym zakresie obowiązki mają zmniejszyć uzależnienie klientów od jednego dostawcy usług chmurowych. Od wejścia w życie Aktu w sprawie danych obniżeniu uległy koszty zmiany dostawcy, a od 12 stycznia 2027 r. opłaty te mają być nienakładane. W rozporządzeniu wprowadzono również standardy interoperacyjności danych i usług przetwarzania danych.

Podsumowując, Data Act wprowadza:

• prawo dostępu i wykorzystania danych generowanych przez urządzenia tzw. Internetu rzeczy przez ich użytkowników;
• horyzontalne przepisy regulujących przypadki obowiązkowej wymiany danych między przedsiębiorcami w sytuacjach, kiedy obowiązek udostępnienia danych wynika z prawa unijnego;
• mechanizmy przeciwdziałania nieuczciwym postanowieniom umownym między przedsiębiorstwami w zakresie dostępu do danych i ich wykorzystywania;
• zasady umożliwiających organom sektora publicznego dostęp i wykorzystanie danych, którymi dysponuje sektor prywatny i które są niezbędne w wyjątkowych okolicznościach;
• środki prawne, które ułatwiając zmianę dostawców usług przetwarzania danych w chmurze;
• standardy interoperacyjności danych i usług przetwarzania danych.

Wprowadzono również regulację, która umożliwia organom sektora publicznego dostęp i wykorzystanie danych, którymi dysponuje sektor prywatny. Uzyskanie dostępu do danych prywatnych będzie możliwe tylko w nadzwyczajnych przypadkach, np. kiedy dane są niezbędne, aby skutecznie reagować na skutki klęsk żywiołowych, a potrzebnych danych nie da się na czas pozyskać w inny sposób