Data Act - (nie)łatwy przepływ danych w UE

97
13.06.2022

Zaproponowany przez Komisję Europejską Akt w sprawie danych (Data Act, DA) ma zapobiec rosnącej asymetrii między firmami w dostępie do danych. Dzięki nowym przepisom nie tylko producenci, ale także użytkownicy i inne firmy (zwłaszcza MŚP) mogliby wykorzystywać dane wytwarzane podczas korzystania z niektórych urządzeń, zwłaszcza generowane przez tzw. inteligentne urządzenia (podłączone do sieci i komunikujące się ze sobą, m.in. samochody i sprzęt AGD), lub przechowywane w chmurze. Proponowane rozwiązania budzą jednak wątpliwości dotyczące kwestii ochrony danych osobowych, tajemnicy przedsiębiorstw czy konkurencji na unijnym rynku.

JOHANNA GERON/ Reuters/ FORUM

23 lutego br. Komisja (KE) przedstawiła projekt rozporządzenia Data Act, głównego filaru Europejskiej Strategii Danych obok zeszłorocznego Data Governance Act. DA stanowi odpowiedź na wyzwania gospodarki cyfrowej związane z wykładniczym tempem wzrostu ilości generowanych danych przy jednoczesnej koncentracji zysków z ich wykorzystania w nielicznych firmach (często pozaeuropejskich). Celem DA jest wzrost konkurencyjności w UE w tym obszarze i otwarcie możliwości rozwoju dla małych i średnich firm (MŚP), a także poprawa jakości usług dla konsumentów.

Założenia Data Act

 DA ma ułatwić przepływ danych dzięki określeniu warunków ich transferu w sektorze prywatnym oraz między firmami a sektorem publicznym, by stworzyć w UE faktyczny jednolity rynek danych.

DA nakłada szereg obowiązków na producentów urządzeń podłączonych do internetu (Internet of Things, IoT), zapewniając użytkownikom dostęp do danych generowanych podczas ich pracy, m.in. w celu udostępnienia ich innym podmiotom. Oznacza to m.in, że asystentka głosowa firmy Amazon – Alexa – będzie mogła zamawiać produkty dla użytkowników innych platform. Właściciel inteligentnej pralki będzie miał wybór innego – niż związany z producentem – serwisanta urządzenia, który w celu wykonania usługi uzyska dostęp do niezbędnych informacji. Podobnie miałby funkcjonować rynek usług posprzedażowych sektora przemysłu motoryzacyjnego (w tym autonomicznych pojazdów). Nałożony na producenta obowiązek udostępniania danych nie dotyczy najmniejszych przedsiębiorstw. Z dostępu do informacji nie będą korzystały firmy sklasyfikowane jako „strażnik dostępu” (największe platformy internetowe zdefiniowane w Akcie o Rynkach Cyfrowych). Oba ograniczenia mają zapobiec pogłębianiu asymetrii w dostępie do danych między globalnymi firmami technologicznymi a pozostałymi. KE prognozuje, że do 2030 r. usługi i produkty powiązane z IoT mogą osiągnąć globalną wartość na poziomie ok. 5,5–12,6 bln dol.

DA przewiduje też łatwiejszą i bezkosztową zmianę dostawców usług w chmurze i podobnych usług przetwarzania danych. Dostawcy będą musieli zapewnić techniczne i prawne możliwości przenoszenia danych użytkowników do innych podmiotów. Według obliczeń KE ponad 500 tys. przedsiębiorstw z UE odczuło spadek obrotów lub zysków ze swojej działalności wskutek obowiązujacych niekorzystnych umów z dostawcami rozwiązań chmurowych. 

Komisja proponuje też ochronę mikroprzedsiębiorstw i MŚP przed jednostronnym narzucaniem niekorzystnych rozwiązań przez firmy o przewadze konkurencyjnej (np. w zakresie korzystania z danych i odpowiedzialności). Wprowadza kryteria uznania klauzul umownych za nieuczciwe i tym samym – niewiążące. DA zakłada również dostęp organów publicznych państw członkowskich do danych sektora prywatnego, w tym możliwość ich wykorzystania w wyjątkowych okolicznościach, np. w przypadku klęsk żywiołowych lub konfliktów zbrojnych.

Wyzwania dla wprowadzenia DA

 Praktyczna realizacja propozycji DA w obecnym kształcie może okazać się problematyczna, ponieważ jest trudna do pogodzenia z założeniami innych aktów prawnych obowiązujących w UE.

W pierwszej kolejności zwraca uwagę potencjalna kolizja DA z założeniami RODO. Unijne rozporządzenie o ochronie danych osobowych zmierza do ograniczenia ich przetwarzania, podczas gdy DA zakłada kierunek przeciwny. Choć treść propozycji wielokrotnie podkreśla jej zgodność z rozporządzeniem, same odniesienia do RODO w propozycji KE nie rozwiążą wszystkich trudności, jakie mogą pojawić się w praktyce, m.in. wyznaczenia granicy między danymi osobowymi i nieosobowymi. Tekst DA wyróżnia te dwie kategorie, ale ze względu na tendencje do rozszerzania ochrony danych osobowych, ich rozdzielenie może okazać się problematyczne, zwłaszcza że nie wszystkie dane da się zanonimizować lub spseudonimizować (ukryć w sposób odwracalny) na potrzeby świadczonych usług. Przykładowo, nieosobowe dane z nawigacji samochodu w połączeniu z przetwarzanymi przez serwisanta danymi osobowymi jego właściciela mogą dostarczyć szerokiej wiedzy o jego nawykach, miejscu zamieszkania itd. Innym wyzwaniem dla przedsiębiorców może być też dostosowanie do nowych realiów dokumentacji o przetwarzaniu danych osobowych, którą przyjęto w związku z RODO.

Rzadziej poruszaną, choć niemniej ważną kwestią pozostaje wpływ DA na konkurencję na rynku wewnętrznym UE. Z jednej strony propozycja powinna być zgodna z unijnymi regułami ochrony konkurencji, DA ogranicza bowiem możliwość nadużywania przez przedsiębiorstwa pozycji dominującej, zmuszając je do dzielenia się informacjami. Wzajemne przekazywanie danych trudno też uznać za zakazaną w unijnym prawie praktykę uzgodnioną, zakłócającą konkurencję na wspólnym rynku (np. ustalanie cen, ograniczanie lub kontrolowanie produkcji lub rozwoju technicznego) – tak długo, jak przyczynia się do polepszenia dystrybucji produktów, wspiera postęp techniczny i gospodarczy, a także nie prowadzi do eliminowania konkurencji. Z drugiej strony problemem może być niechęć przedsiębiorstw do ujawniania danych zawierających ich tajemnice biznesowe i know-how, ponieważ wiąże się to z ryzykiem utraty przewagi konkurencyjnej. Udostępnianie danych w związku ze stosowaniem DA może też powodować konieczność masowej weryfikacji i dostosowania wcześniej zawartych umów o zachowaniu poufności (np. z producentami elementów wykorzystywanych przy produkcji danego urządzenia).

Szeroko dyskutowane będzie też zapewne proponowane „rozsądne wynagrodzenie” podmiotów gromadzących dane za udostępnianie ich na żądanie użytkownika, tak by nie przerodziło się – wbrew intencjom Komisji – w stałą opłatę za przekazywanie danych, a stanowiło jedynie pokrycie kosztów ich odtworzenia lub dostawy.

Wnioski i rekomendacje

 Uwolnienie potencjału danych europejskiego sektora prywatnego wymaga uwzględnienia w procesie negocjacyjnym szeregu wyzwań praktycznych. Dla unijnych konsumentów DA może przynieść korzyści, ale będzie też wymagało pewnych ustępstw, przede wszystkim zgody na szersze przetwarzanie ich danych osobowych. Większy wybór serwisantów może się dla nich wiązać z korzyściami, m.in. w postaci szybszego rozwiązywania problemów ze sprzętem w bardziej dogodnej lokalizacji, ale DA nie będzie przeciwdziałało utracie gwarancji producenta w przypadku skorzystania z usług innego dostawcy.

Kompromis wokół DA mógłby zapewniać dobrowolność i ekonomiczną opłacalność dzielenia się danymi, zwłaszcza w obszarach o strategicznym znaczeniu dla europejskiego przemysłu zaawansowanych technologii (m.in. motoryzacja, AGD, inteligentne rozwiązania dla domów i miast). Wymagałoby to, poza stworzeniem ogólnej regulacji, nakreślenia sektorowych zasad dzielenia się danymi. Możliwe byłoby wówczas pogłębienie współpracy i uzupełnienie istniejących już inicjatyw, takich jak np. Catena-X (przestrzeń danych stworzona przez kilka niemieckich firm motoryzacyjnych), która została oparta na wytycznych opracowanych przez Międzynarodowe Stowarzyszenie Przestrzeni Danych.

Duże europejskie firmy, które produkują IoT (urządzenia AGD i RTV, ale też przemysł motoryzacyjny), będą krytyczne wobec ryzyka ujawnienia tajemnicy handlowej i utraty przewagi konkurencyjnej, np. w przypadku, kiedy klienci będą masowo przekazywać dane jednego producenta – jego konkurentowi. Państwa (m.in. Niemcy, Francja, Włochy), w których znajdują się najwięksi europejscy producenci IoT, mogą dążyć do zmniejszenia obowiązków tych firm.

Jednymi z największych beneficjentów DA będą europejskie mikroprzedsiębiorstwa i MŚP, ponieważ DA otworzy dla nich rynek danych. Jednolite przepisy dotyczące dzielenia się informacjami i zabezpieczenia przed nadużyciami ze strony silniejszych podmiotów pozytywnie przełożą się na perspektywy ich rozwoju. Dla Polski oznaczałoby to poprawę warunków funkcjonowania firm oferujących rozwiązania IoT, m.in. w sektorze AGD (ok. 35% europejskiej produkcji pochodzi z Polski). Perspektywiczny jest też obszar zwiększenia konkurencyjności europejskiego rynku chmurowego, na którym do niedawna trzy amerykańskie firmy (Google, Amazon, Microsoft) posiadały 70% udziałów.