Data Act w praktyce: jak przygotować się na nowe przepisy?

• Już 12 września bieżącego roku w życie wchodzi Data Act.
• Jest to rozporządzenie Parlamentu Europejskiego i Rady, a więc – podobnie jak RODO oraz DORA – będzie stosowane bezpośrednio na terenie całej UE.
• Data Act kojarzone jest głównie z IoT (Internet of Things), ale to w rzeczywistości o wiele głębsza regulacja, która ma stanowić swego rodzaju "konstytucję" obrotu danymi w UE.
• Rozporządzenie będzie bardzo ważnym elementem obszaru compliance IT.
• Wprowadzono kilka nowych kategorii podmiotów takich jak: użytkownik, posiadacz danych, odbiorca, dostawca usług przetwarzania danych.

Na co należy zwrócić szczególną uwagę?

1. Dane z Internet of Things. Data Act wprowadza przepisy dotyczące danych pochodzących z IoT (produkty skomunikowane i usługi powiązane), w tym nowe uprawnienia i obowiązki: 
   •    Użytkownik IoT ma prawo dostępu do danych, może je też sprzedawać. 
   •    Użytkownikiem może być również osoba prawna. 
   •    Podmiot, który te dane z IoT zbiera, musi się tymi danymi podzielić. 
   •    Posiadacz danych udostępnia dane użytkownikowi lub wskazanym przez niego podmiotom trzecim.
2. Dzielenie się danymi przez posiadaczy danych. Rozporządzenie określa zasady, na jakich posiadacz danych udostępnia dane, jeśli ma taki prawny obowiązek. 
   •    Wymóg dotyczy wszelkich danych sektora prywatnego, nie tylko IoT. 
   •    Posiadacz danych to szeroka kategoria, każda organizacja powinna zweryfikować, czy kwalifikuje się jako posiadacz danych.
3. Umowy dotyczące danych. Data Act określa jakie postanowienia uznaje się za niedozwolone w umowach B2B dotyczących dostępu do danych i ich wykorzystywania.
   •    Wymóg dotyczy wszelkich danych sektora prywatnego, nie tylko IoT. 
   •    Konieczny może się okazać przegląd i dostosowanie umów.
4. Udostępnianie danych organom publicznym. Data Act wprowadza nowe uprawnienia organów administracji unijnej oraz krajowej do żądania dostępu do danych.  
5. Zmiana dostawcy usług przetwarzania. Przewidziano nowe przepisy obejmujące przede wszystkim dostawców usług chmury obliczeniowej i ich klientów 
   •    Uregulowano, w jaki sposób dostawca ma obowiązek ułatwiać klientowi wyjście z usługi (zmianę dostawcy). 
   •    Przyznano nowe uprawnienia odbiorcom takich usług, m.in. w zakresie wypowiadania umów.
6. Dostęp administracji  spoza UE do danych. Uregulowano zasady na jakich dostawcy usług przetwarzania mogą udostępniać dane nieosobowe organom publicznym, zwłaszcza z USA.
7. Interoperacyjność danych. W chwili obecnej Data Act przewiduje wyłącznie ogólne wymogi, szczegółowa systematyka będzie wprowadzana aktami delegowanymi. 
   •    Wymogi m.in. dla multi-cloud oraz smart-contractów dotyczących obrotu danymi.
    

Co zrobić aby przygotować się na Data Act?

1. Przeanalizuj swój status użytkownika w rozumieniu Data Act. 
   •    Dowiedz się, do jakich danych masz prawa
   •    Poznaj swoje uprawnienia 
   •    Opracuj nowe modele biznesowe oparte o dane
2. Sprawdź, czy Data Act wprowadza dla Ciebie nowe obowiązki, zwłaszcza jeśli:  
   •    wytwarzasz urządzenia połączone z Internetem (np. produkty smart home)
   •    wytwarzasz lub dostarczasz aplikacje wspomagające funkcje takich urządzeń 
   •    przetwarzasz dane z takich urządzeń
3. Zweryfikuj, jak Data Act wpływa na stosowane przez Twoją organizację zasady udostępniania danych innym podmiotom oraz organom publicznym. To szczególnie istotne, jeśli masz lub będziesz miał taki prawny obowiązek.
4. Zweryfikuj, czy Twoje umowy w zakresie danych nie zawierają klauzul niedozwolonych.
5. Jeśli dostarczasz usługi przetwarzania danych (np. chmura obliczeniowa, hosting, data center), dostosuj swoje usługi do nowych wymogów w zakresie wspierania klientów w zmianie dostawcy oraz w zakresie interoperacyjności.