Az Európai Bizottság 2022. február 23-án közzétette a méltányos adathozzáférésre és adatfelhasználásra vonatkozó harmonizált szabályokról szóló Európai Parlament és Tanácsi Rendelet („Data Act”, magyarul „Adatmegosztási jogszabály”) tervezetét.
A Data Act az Európai Bizottság 2020-ban elfogadott Munkaterve részeként lefektetett uniós Adatstratégia keretén belül az Adatkormányzási rendelettervezet („Data Governance Act”, „DGA”) „testvérrendelete”.
A Data Act elfogadása felé vezető úton a Bizottság általi publikáció az első lépés, így a Data Act elfogadására legkorábban várhatóan 2023-ban kerül sor. A Data Act hatályba lépése után 12 hónapos felkészülési időt követően válna alkalmazandóvá.
A Data Act legfontosabb rendelkezéseit két részben mutatjuk be.
Mik a Data Act megalkotásának fő céljai?
A Bizottság Data Act-tel kapcsolatos alapgondolata, hogy a jelenleg nagy arányban (az adatok körülbelül 80 %-a) kihasználatlan személyes és nem-személyes, ún. ipari adatok (az egyes iparágakkal, például a kiskereskedelemmel, az ingatlanokkal, energiatermeléssel- és felhasználással, közlekedéssel kapcsolatos információ, gépek által generált adatok, gyártási és ellátási láncok működését leíró adatok stb.) kiaknázatlan potenciált jelentenek. Az adatmegosztás ösztönzése közvetlen gazdasági értékteremtéssel jár, például az értékesítés utáni utópiaci szolgáltatók személyre szabottabb szolgáltatásokat tudnak majd kínálni, és a gyártók által kínált hasonló szolgáltatásokkal azonos feltételek mellett versenyezhetnek, sőt, az adatok összekapcsolása révén akár teljesen új digitális szolgáltatásokat is kifejleszthetnek.
A Bizottság értékelése szerint a tervezett szabályozás új, innovatív szolgáltatásokat, és az értékesítés utáni szolgáltatások terén versenyképesebb árakat fog eredményezni. Másfelől, a közszféra irányába történő vállalati adatmegosztás lehetővé tenné a gyorsabb, gazdasági szereplők igényeire és valós piaci folyamatokra reflektáló szabályozást.
A Data Act fő céljai:
- az adatok könnyebb hozzáférhetővé tétele a termékek felhasználói a versenyszféra és a közszférabeli szervezetek részére B2C, B2B, B2G adatmegosztások szabályozásával,
- az adatgazdaság szereplői között a méltányosság biztosítása,
- az adatokra épülő versenypiac[1] ösztönzése, és
- az adatvezérelt innováció támogatása.
A Data Act továbbá szervesen kapcsolódik a digitális egységes piac ernyője alatt kialakított jogszabályrendszerhez, így a 2016/679(EU) általános adatvédelmi rendelet („GDPR”), a digitális tartalom szolgáltatására és digitális szolgáltatások nyújtására irányuló szerződések egyes vonatkozásairól szóló 2019/770(EU) irányelv, és a digitális piacokról szóló rendelettervezet („Digital Markets Act”, „DMA”) rendelkezéseihez.
A Data Act az EU területén egységes szabályokat állapít meg a termékek, és termékekhez kapcsolódó digitális szolgáltatások igénybevétele során keletkezett adatok i) vállalkozások közötti (B2B), ii) vállalkozások és fogyasztók közötti (B2C), iii) vállalkozások és kormányok közötti (B2G), valamint iv) felhőszolgáltatások szolgáltatói és felhasználói közötti megosztásával kapcsolatban.
Mik a Data Act hatálya alá tartozó „termékek” és „kiegészítő szolgáltatások”?
A Data Act 2. cikk (2) pontja által meghatározott termék olyan „ingóság – beleértve az ingatlan javakba beépített tárgyakat is –, amely a felhasználására vagy a környezetére vonatkozó adatokat szerez meg, generál vagy gyűjt, és amely nyilvánosan elérhető elektronikus hírközlési szolgáltatáson keresztül képes adatokat közölni, és amelynek elsődleges funkciója nem az adatok tárolása és feldolgozása”. A termék-definíció kiterjed a Dolgok Internete („Internet of Things” – „IoT”) eszközökre, így járművekre, okos háztartási eszközökre orvosi vagy egészségügyi eszközökre, továbbá mezőgazdasági és ipari gépekre. Az ingatlanra utalással a Data Act az okosotthonok alkatrészeként beépített eszközökre (pl. okosmérők) is alkalmazandó.
A Data Act „kapcsolódó szolgáltatás” fogalma kiterjed „minden olyan digitális szolgáltatásra, beleértve a szoftvert is, amelyet oly módon építettek be egy termékbe vagy kapcsolnak össze azzal, hogy annak hiányában a termék nem tudná betölteni valamely funkcióját”. A virtuális asszisztensek eszerint abban az esetben tartoznak a Data Act alkalmazási körébe, amennyiben azokat valamely termékhez vagy kapcsolódó szolgáltatáshoz való hozzáférésre vagy annak irányítására használják (pl. okosotthon vezérlése).
Nem tartoznak ugyanakkor a Data Act hatálya alá azok az eszközök, amelyek célja elsősorban digitális tartalmak megjelenítése, lejátszása, felvétele és továbbítása, pl. okostelefonok, laptopok, táblagépek és webkamerák.
Milyen „adatok” tartoznak a Data Act alá?
A Data Act 2. cikk (1) bekezdése idáig egyedülálló módon definiálja a személyes és nem-személyes adatokat is magába foglaló „adat” fogalmát. E szerint az adat „aktusok, tények vagy információk bármilyen digitális megjelenítése, vagy az említett aktusok, tények és információk összeállításai, ideértve a hang-, kép- vagy audiovizuális felvétel formájában történő megjelenítést is”. A Data Act alkalmazásában tehát kizárólag a digitális formában létező információ számít adatnak, ugyanakkor a jogszabály mind a személyes, mind a nem-személyes adatokra kiterjed.
A termék vagy kapcsolódó szolgálatás igénybevétele során keletkezett adatok magukban foglalják i) a felhasználó által a használat során szándékosan generált adatokat (pl. keresési előzmények egy virtuális hangasszisztenssel, GPS-adatok és egyéni térképmintázatok navigációs rendszer használata során, egészségügyi adatok okos orvostechnikai eszköz, pl. okos inzulin-pumpa használata esetén), ii) a diagnosztikai adatokat, iii) az eszköz által készenléti („stand-by”) és kikapcsolt állapotban rögzített adatokat.
Nem tartoznak azonban a Data Act hatálya alá az ilyen adatokból származtatott adatokat kiszámító szoftverfolyamatból származó adatok, mivel az ilyen szoftverfolyamatokra szellemi tulajdonjogok lehetnek hatályban.
Mik a Data Act által szabályozni kívánt adatmegosztási szolgáltatások?
A Data Act 1. cikk (1) bekezdése a fenti termékek és kapcsolódó szolgáltatások használata során keletkezett adatok kötelező megosztásának három esetét határozza meg:
- a felhasználás során keletkezett adatoknak a termék és szolgáltatás felhasználója számára történő hozzáférhetővé tétele;
- az adatoknak az adattulajdonosok által az adatátvevők számára történő hozzáférhetővé tétele; és
- az adatoknak az adattulajdonosok által a közszférabeli szervezetek vagy az uniós intézmények, ügynökségek vagy szervek számára történő hozzáférhetővé tétele, amennyiben utóbbiaknak erre jogszabályban kifejezetten előírt konkrét közérdekű feladatuk elvégzése érdekében kifejezetten szükségük van.
Mi a Data Act személyi hatálya?
A Data Act rendelkezései a Data Act 1. cikk (2) szerint az alábbi személyi körre terjednek ki:
- az Unióban forgalomba hozott termékek gyártói és a kapcsolódó szolgáltatások szolgáltatói és ezen termékek és szolgáltatások felhasználói, ez utóbbiak olyan „természetes vagy jogi személyek, akik egy terméket birtokolnak, bérelnek vagy lízingelnek, vagy szolgáltatást vesznek igénybe”;
- az adattulajdonosok, akik az adatokat az Unión belüli adatátvevők számára rendelkezésre bocsátják – amennyiben személyes adatok kezelésére kerül sor, az adattulajdonos a GDPR szerinti adatkezelő minőségben jár el;
- Unión belüli adatátvevők, akik „a termék vagy a kapcsolódó szolgáltatás felhasználójától eltérő olyan jogi vagy természetes személyek, akik kereskedelmi, üzleti, kézműipari vagy szakmai tevékenységükkel összefüggő célok érdekében járnak el, és akiknek az adattulajdonos adatokat bocsát rendelkezésre”;
- a közszférabeli szervezetek, amelyek az adattulajdonosoktól adatok rendelkezésre bocsátását kérik, amennyiben az adatokra közérdekű feladat ellátása céljából kifejezetten szükség van;
- Unión belüli ügyfelek[2] részére adatfeldolgozási szolgáltatásokat nyújtó szolgáltatók, azaz a Data Act 2. cikk (12) pontja szerint olyan „ügyfélnek nyújtott digitális szolgáltatást” nyújtó szolgáltatók, „amely igény szerinti adminisztrációt és általános távoli hozzáférést tesz lehetővé a központosított, elosztott vagy nagymértékben elosztott jellegű, megosztható számítástechnikai erőforrások méretezhető és rugalmas készletéhez” (ilyenek jellemzően a felhőszolgáltatások).
Fogyasztók és vállalkozások (B2C) közötti adatmegosztás – az adatok hozzáférhetősége
A Data Act kiemelt célja a termékek és kapcsolódó szolgáltatások által generált adatok szabad áramlásának és széleskörű felhasználásának elősegítése. Ezzel a céllal összhangban szabályozza a B2B és a B2C irányú adatmegosztást az uniós versenyképesség és innováció növelése, és a fenntartható gazdasági növekedés biztosítása érdekében – ugyanakkor az adatalapú gazdaság újszerűségéből adódóan az adatmegosztás valós gazdaságösztönző képességének tényleges mértékét csak a Data Act által hozott új szabályok gyakorlati alkalmazása igazolhatja majd.
A Data Act 3. cikk (1) bekezdése alapján a termékeket úgy kell megtervezni és gyártani, valamint a kapcsolódó szolgáltatásokat úgy kell nyújtani, hogy a használatuk során keletkező adatok alapértelmezés szerint könnyen, biztonságosan és – ahol szükséges és helyénvaló – közvetlenül hozzáférhetők legyenek a felhasználó számára. A (2) bekezdés pedig minimum tartalmi követelményeket tartalmaz a termék vagy kapcsolódó szolgáltatás megvásárlására, bérlésére vagy lízingelésére vonatkozó szerződés megkötése előtt a felhasználó rendelkezésére bocsátandó információkról, pl. generált adatok várható jellege és volumene, folyamatos és valós időben történő adatgenerálás valószínűsége, és az adathozzáférés módjai.
Amennyiben a felhasználó nem fér hozzá az adatokhoz közvetlenül a termékből, az adattulajdonos indokolatlan késedelem nélkül, díjmentesen és adott esetben folyamatosan és valós időben bocsátja a felhasználó rendelkezésére a termék vagy a kapcsolódó szolgáltatás használata során keletkezett adatokat. Az így megszerzett adatok különböző módokon és célokra használhatók fel, pl. gyári robot meghibásodása esetén gyártótól független, olcsóbb szerviz is igénybe vehető, ha nem csak a gyártó fér hozzá az adatokhoz, egyes vállalati eszközök, berendezések adatelemzése, okoseszközök javítása kiszervezhető a gyártótól különböző szolgáltatónak. Garanciális rendelkezés, hogy a felhasználó nem használhatja fel a kapott adatokat olyan termék kifejlesztésére, amely versenytársává válna annak a terméknek, amelyből az adatok származnak.
Továbbá az adattulajdonos indokolatlan késedelem nélkül, a felhasználó számára díjmentesen, harmadik fél (pl. másik vállalkozó vagy nonprofit szervezet) rendelkezésére bocsátja a termék vagy a kapcsolódó szolgáltatás használata során keletkezett adatokat ugyanolyan minőségben és adott esetben folyamatosan és valós időben, mint amilyen minőségben az adattulajdonos rendelkezésére áll. Garanciális rendelkezés, hogy a harmadik fél az adatokhoz való hozzáférés érdekében nem alkalmazhat kényszerítő eszközöket (pl. sötét megoldásokat (dark patterns), amelyekről korábban itt írtunk részletesen), és nem élhet vissza az adattulajdonos műszaki infrastruktúrájában az adatok védelmére kialakított nyilvánvaló hiányosságokkal. Harmadik felek joga az adatokhoz való hozzáféréshez nem érintheti hátrányosan mások adatvédelmi jogait, és az adatokhoz való hozzáférés önmagában nem teremt GDPR 6. cikke szerinti új adatkezelési jogalapot.
Mik az adatok rendelkezésére bocsátására jogilag kötelezett adattulajdonosok kötelezettségei?
Az adattulajdonosok az adatokat tisztességes, ésszerű és megkülönböztetéstől mentes feltételek mellett és átlátható módon kötelesek az adatot kérelmező adatátvevő részére rendelkezésre bocsátani. Ha az adatátvevő úgy véli, hogy az adatok rendelkezésre bocsátásának feltételei diszkriminatívak, az adattulajdonosnak kell bizonyítania, hogy nem történt diszkrimináció. Diszkriminatív a feltétel, ha az adattulajdonos objektív okokkal nem igazolható módon más szerződési feltételeket vagy más kompenzációt alkalmaz az adatátvevők egyes csoportjai között az adatok rendelkezésre bocsátásakor.
Az adattulajdonos és az adatátvevő között az adatok rendelkezésre bocsátásáért megállapított ellentételezésnek észszerűnek kell lennie.
Az adatokhoz való hozzáféréssel és felhasználással kapcsolatos tisztességtelen feltételek a vállalkozások között
A Data Act rögzíti a versenyképesség növelése érdekében bizonyos vállalkozások közötti tisztességtelen feltételek alkalmazásának tilalmát. A szerződési feltétel akkor tisztességtelen, ha olyan jellegű, hogy használata súlyosan eltér az adathozzáférés és -felhasználás jó kereskedelmi gyakorlatától, és ellentétes a jóhiszeműséggel és a tisztességes kereskedelemmel. Egy szerződési feltétel akkor tekinthető egyoldalúan előírtnak, ha azt az egyik szerződő fél nyújtotta, és a másik szerződő fél a tárgyalási kísérlet ellenére sem tudta befolyásolni annak tartalmát.
A Data Act 13. cikk (3) bekezdése tartalmazza a „feketelistás” szerződéses kikötéseket, melyek automatikusan tisztességtelennek minősülnek, a (4) bekezdés pedig a „szürkelistás” rendelkezéseket listázza, melyeket ellenkező bizonyításig tisztességtelennek kell tekinteni.
A Data Act-hez kapcsolódóan a Bizottság az adathozzáférésre és -felhasználásra vonatkozóan nem kötelező érvényű szerződésmintákat dolgoz ki a jövőben, hogy segítse a feleket a kiegyensúlyozott szerződéses jogokat és kötelezettségeket tartalmazó szerződések kidolgozásában és megtárgyalásában.
Adatoknak a közszférabeli szervezetek részére kivételes igény alapján történő hozzáférhetővé tétele (B2G)
Az adattulajdonos kérelem esetén köteles az adatokat egy közszférabeli szervezet rendelkezésére bocsátani i) veszélyhelyzet esetén, ii) amennyiben közveszélyhelyzet megelőzéséhez, vagy az abból való kilábaláshoz szükséges, vagy iii) az adathiány megakadályozza a közszférabeli szervezetet abban, hogy a jogszabályban kifejezetten előírt közérdekű feladatot teljesítse. A rendkívüli szükségletet a kérelmező szervnek kell igazolnia.
A Data Act tartalmazza a hozzáférhetővé tételre vonatkozó kérelem kötelező tartalmi elemeit, a kérelem elutasításának eseteit, az esetleges ellentételezés kiszámítására vonatkozó szabályokat, valamint az irányadó határidőket.
Folytatás: A cikk II. része ITT elolvasható.
________________________________________________________________________________
[1] A „versenypiac” fogalmát a Data Act nem definiálja, de a Bizottság többször hivatkozik az „adatok versenypiacára”. Ez valószínűleg a Data Act alapján létrejövő piaci alapú adatmegosztás piacát jelenti.
[2] „Ügyfélnek” az adatfeldolgozási szolgáltatásokat igénybe vevőket nevezi a Data Act, azonban nem definiálja pontosan a fogalmat.
