Evropská unie utahuje pravidla pro nakládání s osobními daty. Již tento pátek 12. září začne být na území unijních států vymahatelné evropské Nařízení o datech, takzvaný Data Act, který vstoupil v platnost přesně před rokem.
Nenápadně pojmenovaná direktiva s krkolomným názvem Nařízení 2023/2854 Evropského parlamentu a Rady o harmonizovaných pravidlech pro spravedlivý přístup k datům a jejich využívání, zásadně mění způsob, jakým mohou obyvatelé sedmadvacítky nakládat s daty, a dotkne se prakticky všech, nejvíce ovšem těch, kteří data sbírají a mají na nich postavený svůj byznys.
Do české legislativy by měla evropské nařízení překlopit novela zákona o digitální ekonomice, kterou předkládá ministerstvo průmyslu a obchodu. Ta se ale prozatím zasekla ve druhém čtení v Poslanecké sněmovně.
Jaký je záměr samotného evropského nařízení a jaké budou jeho skutečné dopady?
Hlavním smyslem nařízení bylo zajistit lepší ochranu digitálních dat v rámci starého kontinentu a umožnit tak férovější nakládání s nimi. Autoři regulace navíc tvrdí, že „spravedlivé sdílení a využívání dat povede k oživení evropského hospodářského růstu a více inovacím.“
Co se tedy přesně mění?
Asi nejviditelnějším pozitivním dopadem bude, že spotřebitelé získají mnohem lepší kontrolu nad daty, která o nás shromažďují digitální zařízení, počínaje laptopy a mobilními telefony přes nositelnou elektroniku, jako jsou nejrůznější chytré hodinky a fitness trackery, až po robotické sekačky a vysavače, automobily či autonomní IoT přístroje a senzory.
Že jste někde na devět set stran dlouhém dokumentu smluvních podmínek přehlédli, že se data o vašem zdravotním stavu ukládají a posílají do Číny nebo na druhou stranu Atlantiku či jsou přeprodávána třetí straně? Teď se z toho výrobci už tak snadno nevykroutí.
Podle nových pravidel například získáme možnost sami rozhodovat, s kým chceme data sbíraná našimi zařízeními sdílet.
Na straně výrobců a provozovatelů zařízení přibude několik nových povinností. Část z nich jde vyloženě proti dosavadním byznys modelům některých společností, u kterých podobný sběr dat tvořil významnou část jejich příjmů.
Ti tak například budou nově muset začít zveřejňovat informace o tom, co za data jimi distribuovaná zařízení shromažďují, jak data dále využívají a – což je pro spotřebitele nejzajímavější, jak se k těmto datům můžeme znovu dostat nebo do nich nahlížet.
To by mělo kromě jiného znamenat, že už nebude tak těžké odejít bez smluvních pokut z jedné cloudové „vendor lock-in“ služby ke konkurenci, případně by to mohlo zlevnit i některé opravy. Proč?
Výrobci připojených zařízení totiž mají nově povinnost je navrhovat tak, aby data z výrobků samotných, ale i souvisejících služeb šla jednoduše a bezplatně extrahovat, a to v běžně používaném a strojově čitelném formátu.
Naopak uživatelům samotným žádné nové povinnosti nevznikají. Na druhé straně, k našim datům nově získají přístup také orgány veřejné správy a složky integrovaného záchranného systému. A nejen oni, přístup k datům si podle nové direktivy může vyžádat i samotná Evropská komise, Evropská centrální banka a některé další unijní subjekty.
Data Act nicméně vyjmenovává specifické scénáře, kdy může k takové situaci dojít, a vždy jde o přístup časově omezený. Typicky se jedná třeba o přírodní katastrofy, teroristické útoky a další případy obecného ohrožení.
Pokud jde o průmysl, podniky a instituce, které s daty nakládají, tam je však situace jiná. Asi nejvíce dopadne direktiva na takzvaný Internet věcí (IoT), a to hlavně v případě, kdy se jedná o přístup k datům generovaným připojenými výrobky, která zařízení vytvářejí v průběhu svého užívání.
Samotné právo výrobců a dalších, slovy regulace držitelů dat, na přístup a využívání dat zůstane sice zachováno, ale pouze za podmínek, které odsouhlasil uživatel. Navíc ztrácejí k datům exkluzivní přístup.
Pokud k tomu uživatel dá souhlas, musejí držitelé dat chtě nechtě zpřístupnit data třetím stranám, mezi ty patří například poskytovatelé navázaných poprodejních služeb. Výjimku představují osobní údaje, které se řídí vlastní regulací (GDRP), a je také zachována takzvaná proporcionalita, to znamená, že nařízení dopadne tvrději na velké společnosti a naopak relativně lacino z toho vyklouznou malé a střední podniky.
Specifická pravidla pak Data Act zavádí pro sdílení dat mezi firmami navzájem a mezi firmami a veřejnou správou. Pokud o to uživatel požádá, musejí podniky zpřístupnit data jiné firmě za spravedlivých a nediskriminačních podmínek.
To znamená, že kompenzace za zpřístupnění dat minimálně v případě malých a středních podniků nesmí překročit náklady vynaložené na jejich poskytnutí.
Jako příklad se uvádí situace, kdy probíhá datová výměna mezi výrobcem vozidla a pojišťovnou, kdy chce pojišťovna (se souhlasem uživatele) získávat data o provozu, aby mohla nastavit uživateli férovější pojistku.
Nařízení také zneplatní na území Evropské unie všechna takzvaně nepřiměřená ujednání ve smlouvách firem s dalšími podniky. Nebude tak již možné například jednostranné vyloučení odpovědnosti, jednostranná změna smluvních podmínek, brání přístupu k vlastním datům nebo znemožnění ukončení smlouvy (bez patřičné sankce).
Tím by měly být chráněny zejména menší podniky před korporacemi, které mohou snadno zneužívat svého unikátního postavení. Jak to bude v praxi vypadat, si ale raději počkejme, až Evropská komise vydá svá vzorová smluvní ujednání přístupu k datům pro společnosti.
Foto Profimedia
A do třetice jsou zde třetí strany, tedy podniky a instituce, kterým byla data zpřístupněna se souhlasem uživatele. To, že se k datům najednou dostanou, neznamená, že s nimi mohou dělat cokoli. Podniky mohou takováto data používat pouze k účelu, na němž se s uživatelem předem dohodly, a navíc v okamžiku, kdy data pro daný účel již nejsou potřeba (například zastarala), musí je firma zase smazat.
Stejně tak podniky třetích stran nesmejí data zneužít k vývoji konkurenčních produktů, ohrožovat bezpečnost zařízení, manipulovat s jejich pomocí uživatele nebo data bez souhlasu uživatele dále sdílet.
Nařízení pro snazší pochopení úlohy v procesu sdílení dat zavádí tři nové kategorie – tou první je uživatel dat, může jít jak o skutečného fyzického uživatele nebo právnickou osobu, která používá (vlastní, pronajímá nebo si půjčuje) připojený výrobek či související služby.
Dalším v procesu je takzvaný držitel dat, to je ten, kdo data sbírá a disponuje s nimi, a měl by být tudíž schopen poskytnout k nim přístup, nejčastěji to bude výrobce zařízení.
Poslední v procesu je takzvaný příjemce dat, což je opět fyzická nebo právnická osoba, tentokrát taková, která obdrží data od držitele, a to na základě uživatelovy žádosti.
V neposlední řadě se Data Act věnuje tomu, jak lépe zajistit, že data jednou uložená v rámci Evropské unie budou území sedmadvacítky opouštět co nejméně. Pokud se například na poskytovatele služeb zpracování dat obrátí orgány států mimo samotnou Evropskou unii a budou chtít do dat nahlédnout, definuje nařízení podmínky, za kterých půjde takovým požadavkům vyhovět.
Obecně přitom platí, že jsou podobné žádosti odůvodněné pouze v případě existence mezinárodních dohod či za předpokladu, že soud žádající země může zohlednit legitimní námitky poskytovatele a má svoji žádost dostatečně odůvodněnou.
Nedostatky Data Actu
Data Act, podobně jako některé předchozí evropské regulace, trochu trpí tím, že některé body nejsou úplně jednoznačné. Již během vzniku direktivy část organizací na ochranu spotřebitelů varovala, že není zřejmé, jak budou uživatelé chráněni v případě, že svá data poskytnou dobrovolně.
Průmyslové asociace jako například německá VDMA zase prohlašují, že se jedná o masivní zásah do jejich svobod, který může vést až k tomu, že se obchodní tajemství dostanou do rukou konkurence, případně do rukou politických režimů pod sankcemi.
Podle některých insiderů dokonce hrozí, že podniky budou muset kvůli nařízení nastavit svoji datovou strategii mnohem restriktivněji, což povede k přesně opačnému efektu, než direktiva zamýšlela.
The post Dobré, zlé a to ostatní – co pro nakládání s daty přináší nové evropské nařízení appeared first on Forbes.
