Dyskusja tocząca się wokół europejskich regulacji poświęconych przetwarzaniu danych skupia się przede wszystkim na ochronie danych osobowych. Większość z nas jest świadoma ograniczeń w zakresie przetwarzania danych dotyczących zidentyfikowanych bądź możliwych do zidentyfikowania osób fizycznych, wynikających przede wszystkim z Rozporządzenia Parlamentu Europejskiego i Rady nr 2016/679 (tj. popularnego RODO). Dyskutowany jest również akt o usługach cyfrowych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2022/2065 (z angielskiego Digital Services Act, czyli DSA), którego głównym celem jest ochrona fundamentalnych praw użytkowników platform internetowych, w tym przed wykorzystaniem ich danych do profilowania wyświetlanych treści, czy przez ograniczenie rozpowszechniania dezinformacji i treści szkodliwych.
Równolegle z legislacją skupioną na ochronie fundamentalnych praw obywateli przez ograniczenie przetwarzania dotyczących ich danych, UE realizuje strategię akceleracji przepływu danych nieosobowych. Prezentuje tu zgoła odmienne podejście, zachęcając, a niekiedy i zmuszając, do udostępniania danych przez podmioty, które obecnie czynią to niechętnie. Nie należy wobec tego zapominać również o tych rozporządzeniach, które mają na celu wsparcie działalności gospodarczej i ułatwienie mniejszym podmiotom funkcjonowania na rynku, który często zdominowany jest przez posiadaczy największych baz danych. Tego typu dane wykorzystywane są w coraz większej liczbie gałęzi gospodarki, począwszy od usług platform cyfrowych, przez tworzenie modeli językowych, kończąc na rozwiązaniach przemysłu 4.0. Rzecz jasna to, co jest ułatwieniem dla MŚP, stanowi w tym przypadku obciążenie dla podmiotów dominujących na rynku.
Spis treści
Nie tylko dane osobowe
Ramy normatywne dla łatwiejszego i bezpiecznego dzielenia się danymi nieosobwymi zostały ustanowione przez Akt o zarządzaniu danymi, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2022/868 (Data Governance Act, czyli DGA). Dokument zaczął obowiązywać niedawno, bo we wrześniu 2023 r. Wprowadza on infrastrukturę pozwalającą na ponowne wykorzystanie danych różnego rodzaju (zarówno osobowych, jak i nieosobowych), poprzez ich udostępnianie zarówno ze zbiorów publicznych, jak i prywatnych. Celem regulacji jest zwiększenie innowacyjności gospodarki europejskiej i akceleracja jej wzrostu dzięki większej dostępności danych potrzebnych do prowadzenia działalności gospodarczej.
Na infrastrukturze wprowadzonej przez DGA bazować ma rozporządzenie w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Aktu w sprawie danych, po angielsku Data Act). Zgodnie z art. 1 ust. 1 projektu Data Act, regulacja ma dotyczyć „udostępniania danych, generowanych w wyniku korzystania z produktu lub powiązanej usługi„.
Udostępnianie objęte regulacją dotyczyć ma pięciu kategorii podmiotów, wymienionych w art. 1 ust. 2, tj.:
- producentów produktów wprowadzanych do obrotu w Unii;
- dostawców usług powiązanych z produktami wprowadzanymi do obrotu w Unii;
- użytkowników takich produktów lub usług;
- posiadaczy danych, którzy udostępniają dane odbiorcom danych w Unii;
- odbiorców danych w Unii, którym dane są udostępniane;
- organów sektora publicznego oraz podmiotów, w związku z realizacją zadania w interesie publicznym (oraz posiadaczy, którzy realizują wniosek tych podmiotów);
- dostawców usług przetwarzania danych oferujących je klientom w Unii.
Jak widać, zarówno zakres podmiotowy jak i zakres przedmiotowy Rozporządzenia mają być szerokie i obejmować wszelkie dane generowane przez produkty i usługi oraz w zasadzie wszelkie podmioty, które biorą udział w tworzeniu i przepływie tych danych. Wobec tak szerokiego zakresu obowiązywania, dane nieosobowe będą stanowiły zdecydowaną większość zbiorów regulowanych przez dokument. Co więcej, skupienie na regulacji danych generowanych przez produkty i powiązanie usługi, skutkuje tym, że rozporządzenie będzie szczególnie istotne dla sieci wzajemnie powiązanych, komunikujących się ze sobą urządzeń.
Internet Rzeczy
Siecią, o której mowa powyżej, jest tzw. Internet Rzeczy (Internet of Things, IoT). Pojęcie to jest bardzo ogólne i nieraz odmiennie stosowane w różnych kontekstach. Motyw 14 projektu pozwala lepiej określić rozumienie, które przyjęli twórcy dokumentu. Internet Rzeczy został w nim opisany jako „produkty fizyczne, które zdobywają, generują, lub gromadzą, przy użyciu swoich elementów, dane dotyczące ich działania, użycia lub środowiska oraz które są w stanie komunikować te dane za pośrednictwem publicznie dostępnych usług komunikacyjnych”.
Obrazowo upraszczając ten opis, można powiedzieć, że należące do IoT urządzenia „rozmawiają ze sobą” bez udziału użytkownika i wykorzystują w swoim działaniu dane, które uzyskały od innych urządzeń należących do sieci. Sieci IoT tworzą urządzenia najróżniejszego rodzaju, zaś ich podstawową charakterystyką jest wymiana oraz wykorzystanie danych między nimi bez udziału człowieka. Urządzenia takie nazywane są zbiorczo „urządzeniami skomunikowanymi”. Zależności między nimi dobrze ilustruje chociażby sposób funkcjonowania inteligentnego domu (smart house). Sprzęty instalowane w budynkach tego typu tworzą system, którego celem jest ułatwianie codziennego funkcjonowania mieszkańców. Urządzenia wysyłają sobie wzajemnie informacje na temat warunków środowiskowych, planu dnia mieszkańców, czy wręcz ich samopoczucia. Dane te wykorzystywane są do automatyzacji funkcjonowania domu w czasie rzeczywistym: dostosowania temperatury panującej w pomieszczeniach, zamawiania brakujących produktów spożywczych, otwierania i zamykania okien, czy dobrania adekwatnego do okoliczności oświetlenia. Danymi w takim domu wymieniają się elementy instalacji elektrycznej, grzewczej, sprzęty kuchenne, odkurzacze, czy pralki. Są one w stanie funkcjonować autonomicznie względem mieszkańców, bez aktywnego wydawania komend przez tych ostatnich.
Uprzyjemnianie życia codziennego to oczywiście tylko jeden z przykładów zastosowania urządzeń skomunikowanych. Innymi mogą być choćby sieci stosowane w nowoczesnym przemyśle (np. do uprzedzającego wykrywania awarii), czy autonomicznych samochodach (sczytujących dane o aktualnych warunkach na drodze). Tak złożone systemy generują w toku swojego funkcjonowania ogromną ilość danych dotyczących najróżniejszych aspektów funkcjonowania składających się na nie urządzeń.
Nietrudno sobie wyobrazić, że w wyniku działania tych systemów powstają bogate treściowo zbiory, niosące ze sobą dużo informacji potencjalnie wartościowych dla różnych podmiotów wymienionych w projekcie dokumentu. W przypadku chociażby inteligentnych domów, powstające zbiory danych pozwalają zrekonstruować warunki życia osób zajmujących daną przestrzeń, przez co zyskują wartość dla wielu innych zastosowań, chociażby celów analitycznych zmierzających do określenia standardu życia w tego typu budynkach.
Podstawowe założenia i rozwiązania projektu Data Act
Zauważywszy potencjał ekonomiczny drzemiący w danych generowanych przez urządzenia skomunikowane, Unia Europejska dąży do jego uwolnienia przez usprawnienie przepływu danych między poszczególnymi podmiotami.
Cele regulacji
W związku z powyższym, Data Act ma służyć uregulowaniu zasad i sposobów wykorzystywania danych generowanych w szczególności przez systemy IoT. Projektowane rozporządzenie ma zwiększyć pewność co do zakresu uprawnień poszczególnych podmiotów z katalogu do danych objętych regulacją. Ustawodawca unijny zauważa, że często użytkownicy oczekują, że mają prawo do danych generowanych przez urządzenia, z których korzystają. Nie zawsze spotyka się to jednak z podobnym stanowiskiem producentów tych urządzeń, którzy nie umożliwiają użytkownikom dostępu do danych. Wobec tego, regulacja ma na celu zwiększyć dostępność danych dla użytkowników: zarówno profesjonalistów, jak i konsumentów.
Większa dostępność oznaczać ma akcelerację procesów rynkowych, gdyż dane miałyby być łatwiej dostępne dla użytkowników profesjonalnych, którzy dzięki temu posiądą dokładniejszy wgląd w procesy zachodzące w ich przedsiębiorstwie. Co więcej, dane takie staną się również bardziej dostępne dla konkurentów producenta, jak na przykład w sytuacji, gdy w danej sieci znajdują się urządzenia wytworzone przez dwa różne podmioty.
Warto zauważyć, że mimo, iż w centrum zainteresowania regulacji znajdują się nieosobowe dane dotyczące funkcjonowania urządzeń, to projekt przewiduje też możliwość dostępu do danych osobowych przez użytkownika będącego osobą fizyczną.
Rozwiązania proponowane w projekcie
1/ Darmowy dostęp do danych dla użytkowników, rozsądne wynagrodzenie przy przekazywaniu danych odbiorcom
Rozporządzenie ma zapewnić darmowy dostęp do danych dla użytkowników. Posiadacz danych będzie mógł jednak określić wynagrodzenie za dostęp do danych względem odbiorcy danych. Dostęp ma być bezpieczny i bezpośredni. W braku takiej możliwości, dane powinny zostać udostępnione na wniosek.
2/ Możliwość prostszej zmiany dostawcy usług przetwarzania danych
Łatwiejsza zmiana dostawcy usług przetwarzania służyć ma zwiększeniu konkurencyjności. Ma to zmotywować dostawców do szukania rozwiązań jak najatrakcyjniejszych dla klientów, którzy nie będą w takim stopniu uzależnieni od produktów jednej marki.
3/ Ochrona przed bezprawnym przekazywaniem danych przed dostawców usług w chmurze
Rozporządzenie ma zagwarantować, że dostawcy usług wykorzystujących chmurę nie będą mieli możliwości przekazać danych podmiotom trzecim bez właściwej podstawy prawnej i powiadomienia. Rozporządzenie ma również ułatwić zmianę dostawców usług w chmurze, chociażby przez zastosowanie kodeksów postępowania. Minimalne wymogi nakładane na dostawców tego rodzaju usług zostały określone w rozdziale VI projektu.
4/ Dążenie do opracowania norm interoperacyjności
Interoperacyjność danych stanowić ma jeden z kluczowych elementów ich swobodnego przepływu. Dzięki niej generowane dane powinny być możliwe do odczytania i wykorzystania niezależnie od tego, kto wyprodukował dane urządzenie, bądź dostarcza daną usługę. Może to znacząco ułatwić ponowne wykorzystanie danych w innych kontekstach i znaleźć dla nich nowe, kreatywne zastosowania.
5/ Dostęp podmiotów publicznych do danych zgromadzonych przez podmioty prywatne
Dostęp ma być możliwy wyłącznie w przewidzianych prawem przypadkach, tj. w razie potrzeby ochrony bezpieczeństwa publicznego, bądź w celu realizacji zadania leżącego w interesie publicznym.
3/ Sankcje
Tak jak w przypadku innych rozporządzeń unijnych przygotowywanych w ramach Strategii Cyfrowej, za nieprzestrzeganie postanowień Data Act grozić będą sankcje finansowe, w wysokości określonej przez państwa członkowskie.
Szanse i zagrożenia
Na chwilę obecną trudno jest określić ostateczną treść aktu w sprawie danych. Projekt pozwala jednak określić wyzwania i możliwości, jakie powstaną, kiedy dokument już zacznie obowiązywać. Wydaje się, że najwięcej skorzystać mogą na jego obowiązywaniu podmioty prowadzące działalność gospodarczą, będące użytkownikami urządzeń skomunikowanych, które uzyskają dostęp do zbiorów, które dotychczas były dostępne przede wszystkim dla producentów urządzeń i dostawców usług. Dostęp do nowych zbiorów danych pozwoli na stworzenie bardziej zróżnicowanych baz analitycznych, pozwalających na wprowadzanie skuteczniejszych i atrakcyjniejszych produktów, usług, czy rozwiązań optymalizacyjnych.
Jednocześnie producenci i dostarczyciele usług, będą zmuszeni otworzyć Sezamy swoich baz danych w stosunku do konkurencji i użytkowników. Z jednej strony to oczywista konsekwencja dążenia do zwiększenia przepływu danych na jednolitym rynku cyfrowym, a z drugiej ryzyko wypłynięcia informacji stanowiących tajemnicę przedsiębiorstwa, chociażby przez ujawnienie samej struktury przyjętej do porządkowania danych. Na obecnym etapie projektu, zostały wprowadzone zabezpieczenia przed naruszeniem tajemnic przedsiębiorstwa, do ujawnienia których będzie mogło dojść tylko w przypadku zapewnienia szczególnych środków ostrożności.
Wejście Data Act w życie to co prawda dalsza przyszłość, jednak już teraz warto uwzględniać je w konstruowanych strategiach biznesowych. Podobna regulacja jest szczególną szansą dla małych i średnich przedsiębiorstw, dysponujących samodzielnie mniejszymi zbiorami danych, które często muszą polegać na zasobach podmiotów trzecich. Data Act może zwiększyć ich konkurencyjność i niezależność na rynku cyfrowym.
Pozostałe artykuły
DSA z nutą gamedevu. Obowiązki platform – interfejsy i reklamy
Dostawcy platform internetowych muszą mierzyć się z dostosowaniem swoich usług nie tylko do określonych standardów moderacji treści niedozwolonych (o czym…
DSA z nutą gamedevu. Obowiązki platform – moderacja treści
Platformy internetowe (których definicję przybliżyłem w tym wpisie) są usługami o kluczowym znaczeniu z punktu widzenia celów, które zrealizować ma…
DSA z nutą gamedevu. Obowiązki dostawców hostingu
Kontynuując wątek rozpoczęty w ubiegłym tygodniu, poniżej przedstawiam krótkie omówienie obowiązków, które akt o usługach cyfrowych (DSA) od 17 lutego…
