Żyjemy w epoce danych, których wartość staje się niekiedy ważniejsza niż człowieku, którego te dane dotyczące. Są one lepszej lub gorszej jakości, bardziej lub mniej dostępne, lepiej lub gorzej wykorzystane, ale jedno jest pewne – towarzyszą nam każdego dnia. Coraz więcej urządzeń, które są obok nas lub wręcz z nami, pobiera ze świata zewnętrznego za pomocą specjalnych sensorów dane, które pozwalają sztucznej inteligencji na swoiste modelowanie rzeczywistości. Przykład pieluchy z sensorami badającymi wiele czynników wcale nie jest science fiction, a to tylko jeden z przykładów. Sensory mogą zbierać informacje na temat naszego stanu zdrowia, zachowań czy nawet stanu emocjonalnego, a następnie przekazywać je do zaawansowanych algorytmów, które „podejmują” decyzje co do dalszych działań. Zostawiając na boku, przynajmniej na chwilę, kwestie dotyczące prywatności, etyki i ochrony danych osobowych, warto uświadomić sobie, że takie dane pochodzące z szeroko rozumianego internetu rzeczy (IoT) mogą mieć realną wartość zarówno dla ich posiadacza, jak i użytkownika danego produktu.

Ważny europrojekt

W pierwszej połowie listopada Parlament Europejski przyjął na sesji plenarnej ważny projekt aktu w sprawie danych (Data Act), który ma uporządkować wiele spraw związanych z możliwością przenoszenia i udostępniania danych pochodzących z pewnej kategorii produktów (np. urządzeń typu inteligentne domy, samochody częściowo autonomiczne) oraz powiązanych z nimi usług. Rozporządzenie, aby stało się obowiązującym prawem, wymaga jeszcze akceptacji Rady (UE), ale wydaje się to raczej formalnością, więc możemy oczekiwać publikacji aktu w najbliższych tygodniach i choć do jego obowiązywania pozostanie co najmniej kilkanaście miesięcy, to warto zrozumieć, jakie niesie ze sobą konsekwencje.

Jednym z ograniczeń dla rozwoju rynku opartego na danych jest kwestia ich dostępności i swobody przenoszenia pomiędzy różnymi urządzeniami i dostawcami. Data Act ma te kwestie „załatwić” w taki sposób, aby zgoda użytkownika, np. asystenta głosowego, wystarczyła do zapewnienia, że dane te zostaną udostępnione przez posiadacza danych odbiorcy. Zapewnić ma on także większą swobodę w zakresie zmiany operatora rozwiązań w zakresie przetwarzania danych, w tym ich przechowywania, a więc przykładowo dostawców rozwiązań chmurowych. Ponieważ często większe podmioty dysponują znaczną przewagą względem swojej „mniejszej” konkurencji, Unia Europejska zapewnić ma, że określone postanowienia umowne nie znajdą się w umowach zawieranych pomiędzy stronami. Akt przewiduje też stopniowe wprowadzanie standaryzacji w zakresie danych, co z jednej strony jest bardzo pożądane, a z drugiej stanowić będzie spore wyzwanie. Data Act porusza też kwestię dostępu do niektórych danych przez organy oraz instytucje publiczne, co od początku budziło pewne kontrowersje.

Istotne dla biznesu

Skupmy się jednak na obszarze stricte biznesowym, który wybrzmiewa wyraźnie w tym akcie. Nie będę się dzisiaj rozwodził nad definicjami, które również wprowadza, ale warto podkreślić, że zrozumienie „słowniczka” będzie nam niezbędne, jeżeli chcemy zrozumieć, co właściwie będzie można po wejściu w życie Data Act. Kluczowe jest określenie, czym jest „połączony produkt” oraz „powiązana usługa”, bowiem stanowić będzie to punkt wyjścia do oceny dopuszczalności udostępnienia danych, które tutaj rozumiane są dość szeroko jako cyfrowe odwzorowanie działań, faktów lub informacji, jak również kompilacja tych aktów, faktów lub informacji, włączając w to dźwięk, obraz czy nagrania audiowizualne. Same produkty to nic innego jak jakieś przedmioty (coś fizycznego), które pozyskują, generują lub zbierają dane dotyczące użycia produktu w określonym środowisku, i które łączą się w określony sposób za pomocą kanałów elektronicznych – ot, definicja IoT. Kluczowe jest też to, że zasadniczą funkcją takiego urządzenia nie powinno być przechowywanie, przetwarzanie lub transmisja danych w imieniu podmiotu innego niż użytkownik, ale jakieś konkretne działanie na rzecz użytkownika tego przedmiotu. Pojęcie to nieco uprościłem, a schodząc o jeszcze jeden poziom niżej, można stwierdzić, że są to wszystkie urządzenia, które komunikują się ze światem zewnętrznym za pomocą sensorów (lub w inny sposób) i które dzięki temu gromadzą określone informacje. Z kolei powiązane usługi to w zasadzie te rozwiązania, które są niezbędne do działania danego produktu. Pojęć w Data Act jest znacznie więcej i nie powinniśmy ich ignorować, jednak dzisiaj skupmy się na tym, co jest fundamentem projektu rozporządzenia, czyli dzieleniem się danymi.

Omawiany akt wprowadza bardzo konkretne wymogi dla producentów tych urządzeń, w tym nakładać będzie obowiązek takiego ich projektowania, aby łatwe było uzyskanie danych przez użytkownika. Oczywiście sam sposób ich pozyskania przez tego użytkownika, jak i ich forma też będą musiały spełnić określone standardy. Dodatkowo na podmioty, które mogą te urządzenia udostępniać na zasadach komercyjnych, ciążyć będzie obowiązek informowania użytkownika o samych danych, jak i procesach związanych z ich udostępnianiem „dalej”. Zakres tych informacji jest dość szeroki i musi być dostarczony w taki sposób, aby można było się łatwo z nimi zapoznać (może to być także link do strony internetowej), a sama ich treść była zrozumiała.

Sama procedura „przekazywania” danych do kolejnego podmiotu lub samego użytkownika została obwarowana licznymi obostrzeniami i choć strony mogą się umówić na pewne ograniczenia (np. w zakresie udostępniania danych mogących zagrażać bezpieczeństwu produktu), to jednak zasady są dość restrykcyjne. Ograniczenia nakładane będą także w zakresie przechowywania niektórych danych przez producenta. Warto podkreślić, że istotnym elementem Data Act będą zapewnienia dotyczące ochrony informacji stanowiących tajemnicę przedsiębiorstwa. Ta kwestia stanowiła zresztą od początku punkt sporny, bowiem nikt nie chce, aby jego algorytmy czy sposoby „obchodzenia się” z danymi były udostępniane potencjalnym konkurentom. Konkurencja zresztą jest tutaj także uregulowana, bowiem tworzenie produktów i usług mogących stanowić analogiczne rozwiązanie do tego, z którego pochodzą dane, ma być co do zasady ograniczone.

Udostępnienie danych tylko za zgodą

Samo udostępnienie danych użytkownikowi to jednak za mało, a więc w ramach Data Act możliwe będzie – za zgodą użytkownika – przekazanie stronom trzecim, co ma na celu umożliwienie tworzenia bardziej atrakcyjnych produktów i usług, np. ubezpieczeniowych czy z zakresu ochrony danych. Skoro jednak te dane przekazywane są od innego podmiotu, to i na tych stronach trzecich będą ciążyły pewne obowiązki, także w zakresie poszanowania zasady minimalizacji danych, o czym traktuje rozporządzenie 2016/679 (RODO), czy obowiązku usunięcia ich, gdy odpadł cel przetwarzania. Data Act będzie określał też wspomniane już zasady dotyczące przenoszenia danych z różnych infrastruktur, w tym chmurowych, na „konkurencyjne”, ale także z powrotem do środowiska lokalnego (on-premise), jeżeli zajdzie taka potrzeba. Ma to odbywać się w sposób możliwie jak najprostszy i bez zbędnych ograniczeń. W przyszłości mają powstać konkretne standardy w zakresie struktury czy formatu danych, które mają ułatwić realizację tych „usług” czy obowiązków.

W dużym skrócie to tyle, choć oczywiście nie poruszyliśmy dzisiaj wątków dotyczących chociażby konieczności udostępniania danych na żądanie organów oraz instytucji publicznych, co również będzie stanowiło pewne wyzwanie. Należy też mieć świadomość, że „diabeł tkwi w szczegółach”, a zrozumienie Data Act wymaga zrozumienia sposobu działania urządzeń IoT, a także typów danych, które mogą one przechowywać i przetwarzać, bowiem nie każdy ich rodzaj podlegać będzie obowiązkowemu udostępnieniu. Z pewnością nie jest to nasze ostatnie spotkanie z aktem w sprawie danych.

Autor jest radcą prawnym Counsel w Rymarz Zdort Maruta, współzałożycielem i CEO w GovernedAI