Ustawodawca unijny szczególną uwagę poświęcił danym generowanym przez użytkowników urządzeń tzw. internetu rzeczy (internet of things, IoT). Choć na razie jest to jedynie projekt rozporządzenia, już dziś warto wiedzieć jakie uprawnienia przyznano użytkownikom urządzeń IoT w odniesieniu do danych, a jakie obowiązki nałożono na producentów takich urządzeń.
Czym jest internet of things?
Internetem rzeczy są połączone z internetem urządzenia, które pozwalają generować, przetwarzać oraz gromadzić dane. Coraz częściej z urządzeniami IoT można spotkać się w gospodarstwach domowych. Są to np. sprzątające roboty, zdalnie sterowane sprzęty AGD czy opaski, pozwalające monitorować różne funkcje życiowe (np. sen, puls). Jak dotąd urządzenia te nie były objęte specjalną regulacją prawną. Ma to zmienić zaproponowane rozporządzenie Data Act.
Zgodnie z treścią rozporządzenia, produktem IoT jest materialna, ruchoma rzecz, w tym rzecz wbudowana w nieruchomość, która uzyskuje, generuje lub gromadzi dane dotyczące jej używania lub otoczenia, która może przekazywać dane za pośrednictwem publicznie dostępnych usług łączności elektronicznej i której podstawową funkcją nie jest przechowywanie i przetwarzanie danych.
Ustawodawca unijny definiuje również usługę powiązaną czyli usługę cyfrową, która jest wbudowana w produkt lub wzajemnie z nim połączona w taki sposób, że jej brak uniemożliwiłby produktowi wykonywanie jednej z jego funkcji.
Jednocześnie, rozporządzenie nie obejmuje produktów, które są przeznaczone głównie do wyświetlania, odtwarzania, nagrywania lub przekazywania treści, m.in. w celu korzystania z usług online. Chodzi między innymi o komputery, tablety, smartfony czy aparaty fotograficzne.
Obowiązki producentów
Jednym z głównym obowiązków producenta urządzeń IoT będzie przekazanie użytkownikom szeregu informacji o danych np. o charakterze i ilości danych wygenerowanych przez urządzenie IoT, w jaki sposób użytkownik może uzyskać dostęp do swoich danych lub czy producent dostarczający produkt lub usługodawca świadczący usługę powiązaną zamierza sam wykorzystywać dane lub zezwolić osobie trzeciej na wykorzystywanie danych.
Na producencie ciąży również obowiązek zaprojektowania urządzeń IoT w taki sposób, aby dane powstałe w wyniku ich użytkowania były domyślnie łatwo, bezpiecznie oraz, w stosownych przypadkach, bezpośrednio dostępne dla użytkownika. To samo dotyczy również podmioty świadczące usługi powiązane.
Czytaj więcej:
Uprawnienia użytkownika
Co istotne, Data Act przyznaje użytkownikom prawo dostępu i korzystania z danych wygenerowanych w wyniku korzystania z produktów lub usług powiązanych. Użytkownik będzie mógł żądać od posiadacza danych udostępnienia mu danych wygenerowanych w wyniku korzystania przez niego z produktu lub usługi powiązanej bez zbędnej zwłoki, bezpłatnie oraz, w stosownych przypadkach, w sposób ciągły i w czasie rzeczywistym. Natomiast, aby chronić również interes producentów i usługodawców, w rozporządzeniu zastrzeżono, że użytkownik nie będzie mógł wykorzystywać danych uzyskanych od posiadacza danych, do opracowania produktu konkurencyjnego w stosunku do produktu, z którego pochodzą dane.
Rozporządzenie zakłada też, że wykorzystywanie danych nieosobowych przez posiadacza danych może opierać się wyłącznie na podstawie umowy zawartej z użytkownikiem. Posiadacz danych nie będzie mógł wykorzystywać danych wygenerowanych w wyniku korzystania z produktu lub usługi powiązanej. Zakaz ten będzie się aktualizował, jeśli posiadacz danych będzie chciał uzyskać wiedzę na temat sytuacji ekonomicznej czy korzystania z produktu lub usługi przez użytkownika które to dane mogłyby osłabić pozycję handlową użytkownika na rynku, na którym jest aktywny.
Użytkownik będzie też uprawniony do zażądania udostępnienia jego danych podmiotom trzecim. Jednocześnie przepisy Data Act wskazują, że niektóre podmioty (na razie nie jest dokładnie sprecyzowane jakie to podmioty) nie będą mogły być uznane za podmioty trzecie, uprawione do uzyskania danych. Takie podmioty nie będą mogły podejmować szeregu działań jak chociażby nakłaniać lub komercyjnie zachęcać użytkownika do złożenia wniosku o udostępnienie danych.
Osoba trzecia będzie mogła przetwarzać dane jej udostępnione wyłącznie w celach i na warunkach uzgodnionych z użytkownikiem oraz z zastrzeżeniem praw osoby, której dane dotyczą, w zakresie dotyczącym danych osobowych, a także będzie zobligowana usuwać te dane, gdy nie będą już potrzebne do osiągnięcia uzgodnionego celu. Ponadto, podmiot trzeci nie będzie mógł np. wymuszać danych od użytkownika oraz manipulować nim w jakikolwiek sposób, wykorzystywać otrzymanych danych do profilowania osób fizycznych w rozumieniu RODO (chyba że będzie to niezbędne do świadczenia usługi zamówionej przez użytkownika) ani też wykorzystywać otrzymanych danych do opracowywania produktu konkurencyjnego w stosunku do produktu, z którego pochodzą udostępnione dane, lub udostępniania tych danych w tym celu innej osobie trzeciej.
Jak zapewnić zgodność z Data Act?
Komisja Europejska przedstawiła na razie jedynie propozycję rozporządzenia. Warto jednak aby producenci urządzeń IoT przygotowali się już teraz, ponieważ wdrożenie niektórych z wymogów Data Act będzie wymagało dłuższego czasu (jak choćby zaprojektowanie urządzeń w sposób zapewniający użytkownikom łatwy dostęp do wygenerowanych danych). Producenci będą musieli również opracować regulaminy korzystania przez użytkowników z urządzeń IoT (zawierających informacje wskazane w rozporządzeniu), a także opracować wewnętrzne procedury dotyczące udostępniania danych użytkownikom i wskazanym przez nich podmiotom trzecim.
Co jeszcze zawiera Data Act?
Głównym celem Data Act jest stworzenie wewnętrznego rynku danych, który umożliwi dzielenie się danymi i wykorzystywanie ich w różnych sektorach. Ma przy tym pomóc średnim i małym przedsiębiorcom w byciu bardziej konkurencyjnymi w stosunku do największych podmiotów, a także zapewnić konsumentom większą kontrolę nad ich danymi. Co ciekawe, Data Act zakłada również możliwość korzystania przez administrację publiczną, w wyjątkowych sytuacjach, z danych posiadanych przez przedsiębiorców prywatnych. Rozporządzenie porusza wiele zagadnień, takich jak np. smart contracty czy korzystanie z usług chmurowych.
Autorzy będą donosić o postępach prac nad Data Act i innych szczegółowych implikacjach tego rozporządzenia.
Katarzyna Szczudlik - adwokatka, partnerka SSW Pragmatic Solutions
Jakub Kubalski – adwokat, partner SSW Pragmatic Solutions
Karolina Pikuła – aplikantka adwokacka, associate, SSW Pragmatic Solutions
W cyklu „Prawo nowych technologii” opublikowaliśmy:
20 sierpnia – „Tokeny jako nowa forma ochrony praw podmiotowych w środowisku cyfrowym”,
3 września – „Co dalej z odpowiedzialnością dostawców usług udostępniania treści online?”,
17 września – „Sprawa DABUS. Czy sztuczna inteligencja może być wynalazcą?”
1 października – „Sztuczna inteligencja, FinTech i RegTech – jak wpływają na usługi finansowe?”,
15 października – „Jak dyrektywa o treściach cyfrowych wpłynie na producentów gier wideo?”,
19 października – „Programy pomysłów pracowniczych – dlaczego warto je wdrożyć?”,
12 listopada – „Wydawanie i obrót niezamienialnymi tokenami (NFT) – jakie ryzyka?”,
17 grudnia – „Tłumaczenie kodu a poprawianie błędów programu komputerowego”,
14 stycznia – „Próba poskromienia sztucznej inteligencji”,
18 lutego – „Metaverse” – nowa rzeczywistość w przestrzeni cyfrowej.
