Prezydencja szwedzka narzuciła szybkie tempo procedowania rozporządzenia Data Act (minął trochę ponad rok od publikacji wyjściowej wersji projektu).
Przyjęte w połowie marca br. przez Radę UE tzw. podejście ogólne do projektu otwiera wprawdzie drogę do dalszych negocjacji jego treści z Komisją Europejską i Parlamentem Europejskim, ale już na obecnym etapie jest oczywistym, że przyjęta propozycja nie przekłada się na jakość przyszłej regulacji i rozczarowuje rynek.
Z perspektywy biznesu zaniepokojenie wzbudza brak odpowiednich gwarancji związanych z udostępnianiem przez producentów i dystrybutorów produktów, typu Internet Rzeczy, danych wytwarzanych w ramach korzystania z Internetu Rzeczy, konsumentom, biznesowi i administracji. Mimo pewnych zmian na plus, wciąż brakuje środków zapewniających ochronę przed wykorzystywaniem danych przez konkurencję bądź zapewniających odpowiednio wysokie standardy dostępu i użycia tych danych przez administrację publiczną.
Konfederacja Lewiatan dużo uwagi i działań, w ramach prac nad projektem, poświęciła zapisom Data Act, regulującym kwestie zmiany dostawcy usług przetwarzania danych, w tym dostawców usług chmurowych.
Rozumiejąc nadrzędny cel projektodawcy by wyjść naprzeciw problemowi tzw. vendor lock-in (uzależnieniu od jednego dostawcy), Lewiatan ma zastrzeżenia dotyczące sposobu realizacji tego celu, poprzez zbyt mocną ingerencję w standardy funkcjonowania rynku chmurowego. Podejście Rady UE przewiduje bowiem:
- niejasne użycie wymogu zapewnienia klientowi przez dotychczasowego dostawcę usług chmurowych tzw. równoważności funkcjonalnej usług po przeniesieniu danych do nowego dostawcy – rozwiązanie ogranicza innowacyjność tych usług;
- głębokie wkroczenie projektodawcy w sferę wolności kontraktowej, poprzez m.in. ograniczenie stosowania przez dostawców chmurowych umów terminowych i poprzez ustalanie z góry krótkich, często nierealistycznych, terminów na zakończenie usługi i przeniesienie zasobów do nowego dostawy – rozwiązanie ogranicza konkurencyjność usług na rynku;
- nałożenie na dostawców usług w chmurze trudnych do realizacji i kosztownych obowiązków zapobiegania międzynarodowym transferom lub dostępowi rządów do danych nieosobowych, które byłyby niezgodne z prawem unijnym lub krajowym. Rozwiązanie przewiduje bardziej restrykcyjne niż w przypadku RODO zasady transferu danych nieosobowych poza UE – rozwiązanie to jest nieproporcjonalne względem ryzyka związanego z przetwarzaniem takich danych;
Konfederacja Lewiatan będzie kontynuować działania na rzecz zmian projektu, w sposób zapewniający techniczną i organizacyjną możliwość realizacji przez firmy nowych obowiązków przewidzianych w projekcie.
Aleksandra Musielak, dyrektorka Departamentu Rynku Cyfrowego
Artykuł dla grudniowego wydania Brussels Headlines, newslettera europejskiego Konfederacji Lewiatan