A DATA ACT CÉLJA
Az Európai Bizottság az európai adatstratégia megvalósításának részeként dolgozta ki az adatmegosztási rendelet (Data Act) tervezetét.
A rendelet lehetővé teszi az EU piacán az IoT eszközök és a kapcsolódó szolgáltatások használata során keletkezett nem személyes adatok ágazatok közötti megosztását és újra felhasználását, mely sok kiaknázatlan lehetőséget rejthet magában.
A Data Act többek között olyan intézkedéseket vezet be, amelyek biztosítják, hogy az összekapcsolt eszközök felhasználói hozzáférjenek a saját maguk által előállított adatokhoz. Ezen adatokat jelenleg általában kizárólag a gyártók gyűjtik, illetve kizárólag ők férnek hozzá. A rendelet célja, hogy a jövőben az így keletkezett adatok harmadik felekkel, értékesítés utáni vagy más adatközpontú innovatív szolgáltatások nyújtása céljából is megosztásra kerüljenek. Ennek érdekében az adatok tulajdonosai (pl. gyártók), illetve a kapcsolódó szolgáltatást nyújtók számára meghatározott feltételek esetén kötelezővé teszi az adatmegosztást a felhasználók, illetve harmadik felek számára.
Az adatok különböző ágazatok közötti megosztásával az értékesítés után a szolgáltatók a meglévő termékeket fejleszthetik, vagy javíthatják, az adatok kombinálásával pedig új innovatív digitális termékeket hozhatnak létre, továbbá az adatok elemzésével jobb gazdasági döntések születhetnek.
A rendelet többek között az alábbi szabályokat foglalja magában.
IoT ESZKÖZÖKKEL KELETKEZETT ADATOK FELHASZNÁLÁSA
A rendelet az IoT eszközök (Internet of Things, azaz eszközök internetes hálózata) és ahhoz kapcsolódó szolgáltatások használata során keletkezett adatok megosztását szabályozza. Ilyen eszközök elsősorban a járművek, az okos háztartási gépek, az okos mezőgazdasági és ipari gépek, valamint az okos orvostechnikai és egészségügyi eszközök, azonban az IoT technológia már a gazdaság bármely területén fejlesztett termékre alkalmazható. Ezzel szemben a Data Act nem vonatkozik az olyan termékekre, amelyeket elsősorban tartalmak megjelenítésére, lejátszására, rögzítésére és továbbítására terveztek pl. a személyi számítógépek, a szerverek, az okostelefonok, a kamerák.
A rendelet szerint az IoT eszközöket úgy kell megtervezni, gyártani, és a kapcsolódó szolgáltatásokat úgy kell nyújtani, hogy a használatuk révén generált adatok alapértelmezés szerint könnyen, biztonságosan és adott esetben a felhasználó – azaz a fogyasztó vagy a vállalkozás, aki az eszközt megvásárolta, bérli, vagy lízingbe veszi – számára közvetlenül hozzáférhetők legyenek pl. egy felhasználói fiókon vagy mobilalkalmazáson keresztül. Az adatokhoz való hozzáférés módjáról a felhasználót a szerződéskötés előtt részletesen tájékoztatni kell.
Ha az adatokhoz a közvetlen hozzáférés nem biztosított, a felhasználó kérelmére lehetővé kell tenni, hogy a felhasználó, egy harmadik fél üzleti partner, vagy ipari szereplő hozzáférjen az adatokhoz amennyiben a Data Act-ben meghatározott feltételek fennállnak.
Az adatok megosztása mellett, a rendelet az üzleti titok védelme érdekében is intézkedéseket vezet be. Ennek keretében megtiltja, hogy az adatok felhasználásával olyan terméket fejlesszenek ki, ami versenyben áll azzal a termékkel, amiből az adatok származnak.
KKV-K ÉS A START UP-OK POZÍCIÓJÁNAK ERŐSÍTÉSE
A rendelet a KKV-k és start up-ok pozícióját védő rendelkezéseket is bevezet. A Data Act rögzíti, hogy a nagyvállaltok által egyoldalúan kikényszerített adatmegosztásra vonatkozó szerződési feltételek nem kötelezők a KKV-kra és a start up-okra nézve, ha azok tisztességtelenek. A Data Act meghatározza azokat a szerződési feltéteket, melyek (i) tisztességtelenek, vagy (ii) vélelmezhetően tisztességtelenek.
A Bizottság szerződésmintákat dolgoz ki a közeljövőben a méltányos adatmegosztás feltételeinek rögzítésére, amelyek használatát ajánlottá teszi az érintett szereplők számára.
A KKV-k és a start up-ok helyzetét továbbá azzal könnyíti meg a nagyvállalatokhoz képest, hogy rájuk nem vonatkoznak az adatmegosztási kötelezettségek, amennyiben e vállalkozások az eszközök gyártói vagy a kapcsolódó szolgáltatások nyújtói.
ADATFELDOLGOZÁSI SZOLGÁLTATÓK KÖZÖTTI ÁTJÁRHATÓSÁG
Egy kompetitívebb piac kialakulásához kulcsfontosságú, hogy az adatfeldolgozási szolgáltatások – pl. a felhő- és peremszolgáltatások – között az ügyfelek könnyen válthassanak. Ennek keretében a rendelet lehetővé teszi, hogy az ügyfél az összes digitális eszközét – beleértve az adatokat is – más szolgáltatókhoz könnyen átvihesse, és az új környezetben továbbra is használja azokat úgy, hogy a részére nyújtott szolgáltatás funkciói megőrzésre kerüljenek. Ehhez az adatfeldolgozási szolgáltatóknak fel kell számolniuk az üzleti, technikai, szerződéses és szervezeti akadályokat. Ezeket a kötelezettségeket és az ügyfél jogait szerződésben rögzíteni kell, a szolgáltatóváltási folyamatért felszámított díjat pedig fokozatosan meg kell szüntetni.
HATÓSÁG ÉS SZANKCIÓK
A Data Act szabályainak való megfelelés ellenőrzésére a tagállamoknak hatóság(oka)t kell kijelölniük a hatálybalépést követően. A szabályok megsértése esetén alkalmazandó szankciókat a tagállami hatóság fogja szintén megállapítani.
Ugyanakkor az adatmegosztásra vonatkozó szabályok megsértése esetén, ha az személyes adatokat is érint, a NAIH fog eljárni és a GDPR szerinti legfeljebb 20 000 000 euró vagy az éves világpiaci forgalom legfeljebb 4%-ig terjedő összegű bírságot szabhatja ki az adatkezelőre. E tekintetben adatkezelőnek minősülhet mind az adat tulajdonosa, a felhasználó mind pedig az adatot átvevő harmadik fél is.
A rendelet előírja továbbá, hogy ha a harmadik fél a Data Act rendelkezéseinek megsértésével használta fel az adatokat, köteles az adatokat, és az adatok felhasználásával kifejlesztett terméket, árut, illetve szolgáltatást megsemmisíteni, kivéve, ha ez utóbbi nem okozott jelentős kárt az adat tulajdonosának, vagy ennek teljesítése az adattulajdonos érdekeihez képest aránytalan lenne.
A DATA ACT ÉS A DATA GOVERNANCE ACT KAPCSOLATA
Az EU adatstratégiájának megvalósítására kidolgozott jogszabálycsomag másik rendelete a már hatályba lépett adatkormányzási rendelet (Data Governance Act), mely 2023. szeptember 24-től alkalmazandó. A rendelet célja szintén az adatok megosztása az EU piaci szereplői között az adatközpontú innováció elősegítése érdekében. A DGA létrehozza az adatmegosztási szolgáltatók intézményét, aki közvetítő szolgáltatóként jár el az adattulajdonos és a felhasználó között és technikai feltételeket biztosítja az adatmegosztáshoz. Ezen szolgáltatóknak a DGA III. fejezetben foglalt kötelezettségeknek 2025. szeptember 24-ig kell eleget tenniük.
A két rendelet együtt alkalmazandó, ezért a DGA szabályait is figyelembe kell venni a Data Act-re való felkészülés során.
FELKÉSZÜLÉS
A Data Act jelenleg a jogalkotási folyamatban bizottsági döntések meghozatala előtt áll. A rendelet hamarosan hatályba lép és a vállalatoknak meg kell kezdeniük a felkészülést. Ez azt jelenti, hogy az új IoT eszközök tervezése és gyártása során figyelembe kell venni az adatmegosztási követelményeket, valamint a meglévő IoT eszközök fejlesztése is szükségessé válik. Emellett az érintett szereplőknek felül kell vizsgálniuk az ÁSZF-üket, és adatvédelmi dokumentációt kell elkészíteniük az adatmegosztás tekintetében (pl. tájékoztatók, hozzájáruló nyilatkozatok, közös adatkezelési megállapodások).