Jön a GDPR nagytestvére, a Data Act

Az Európai Unió Bizottsága 2022. február 23-án fogadta el a Data Act tervezetét, vagyis az Adattörvényt, ami a GDPR-hoz hasonlóan példamutató szeretne lenni a világ felé az adatmegosztás területén. Ahhoz, hogy ebből a különböző nemzeti törvényhozásban érvényes szabályozás legyen, előbb el kell fogadnia az Európai Parlamentnek, majd a tagállamoknak is.
Az európai elképzelés szerint az adat gazdasági értékét szeretnék maximálisan kiaknázni azzal, hogy sokkal több adat elérhető különböző innovatív felhasználásra, miközben az érdekelt felek sokkal szélesebb körben ellenőrizhetik saját adataikat. Persze mindezt úgy gondolják elérni, hogy az adatokat eddig is előállító nagy szereplők érdekeltek maradnak az adatok gyártásába fektetni.

A Data Act egyik fő célkitűzése megkönnyíteni a vállalkozások számára az adatokhoz való hozzáférést, valamint azok felhasználását azáltal, hogy ösztönzi a köztük zajló szabad adatáramlást. 

Az adatokból származtatható teljes értéket az európai gazdaság ma azért nem tudja megteremteni, mert sok akadály mindezt meggátolja. Például nem tiszta, hogy az okos eszközök által generált adatokhoz ki férhet hozzá és ki használhatja. Az adatok felett a nagy technológiai szereplők rendelkeznek, miközben a mikro-, kis- és közepes vállalkozások nincsenek olyan helyzetben, hogy számukra előnyös adatmegosztási szerződéseket kössenek.
Az adattörvény lehetővé teszi majd például azt, hogy az autó vagy az ipari gép tulajdonosa harmadik féllel, például a biztosítóval is megoszthassa a keletkező adatokat, így kedvezőbb biztosítási díjhoz jut a fogyasztó. A biztosító viszont a több autófelhasználótól összegyűjtött adatok alapján más digitális szolgáltatásokat tud fejleszteni, például olyan útvonalat kínáló app-ra fizetnek elő az emberek, ahol kevés baleset történik.

Miért van szükség a Data Act-ra?

Az alkotók szándéka szerint az új elképzelés mindenki számára elérhetővé teszi az adatokat, legyenek azok közintézmények vagy magánszervezetek. Eközben ösztönözi a vállalatokat arra, hogy továbbra is fektessenek pénzt adatok generálásába azzal, hogy az adat alkotójának kiegyensúlyozott 
ellenőrzése lesz az adatok felett.

Az EU elképzelése szerint az elkövetkező időszakban az innováció fő területe a hálózatba csatolt tárgyak, az IoT területe lesz. A szabályozás a csatolt tárgyak által generált adatok értékét szabadítja fel. Az új szabályok szerint a fogyasztók és a vállalatok döntik el közösen, hogy mit csináljanak az általuk birtokolt csatlakoztatott tárgyak által generált adatokkal.

Ébredjünk korán Data Act témakörben!

Noha még az EU maga is elején van az adatkezelés átfogó szabályozásának, a Data Act, vagyis Adattörvény megalkotásával azt már most is lehet látni, hogy az egész világnak példát mutató, komplex és átfogó keretrendszerről van szó – mondták a Menedzser Praxisnak nyilatkozó adatvédelmi szakértők.
A jogszabály célja a GDPR adatkörén (személyes adatok) túli adatok felhasználásának szabályozása,  beleértve a üzleti adatokat, felhőszolgáltatást, dolgok internetét,  az adatok szabad áramlását,  tárolását és megfelelő kezelését. A szabályozás a fogyasztó-vállalkozó kapcsolatban, vállalkozások közti relációban is rendezi az egyes felek jogait és könnyíti meg a fogyasztók adatokhoz való hozzáférését. A vállalkozások számára adattovábbítási kötelezettségeket ír elő a közszféra felé, ami a helyzettől függően akár ingyenes is lehet. Például egy vészhelyzet esetén a mobiltelefonok adatai alapján figyelhetik a hatóságok a lakosság mozgását, ehhez a mobilszolgáltatóktól kérhetnek adatokat.
A tervezet előírja továbbá az adatok interoperabilitását, ami a különböző rendszerek, különböző szereplők (fogyasztók, vállalkozások, államigazgatási szervek) közötti adatmozgást és adatfelhasználást könnyíti meg. – A szakértők szerint a GDPR-re sokan későn ébredtek, de a Data Act hatásaira – például szabad adatáramlásra – fel kell készülnie minden vállalkozásnak, mert csak így tudják a majdani üzleti előnyöket kihasználni.

Miért fontos a szabályozás az embereknek és a vállalkozásoknak?

Amikor egy hagyományos terméket vásárolunk, akkor minden része és kiegészítőjé birtokunkba kerül. Azonban amikor egy internethez csatlakoztatott terméket vásárolunk (például egy okos háztartási eszközt vagy egy okos ipari berendezést), mely adatokat generál, gyakran nem tiszta, hogy a keletkezett adattal ki mit tehet. Olyan is előfordulhat, hogy a szerződésben foglaltak szerint a generált adatokat csak a gyártó használhatja fel. 
Az adattörvény az egyéneknek és a vállalkozásoknak is több ellenőrzést biztosít adataik felett egy megerősített adathordozhatósági jog segítségével. Az okos tárgyak, gépek vagy eszközök segítségével generált adatok másolása vagy akár megosztása is könnyebb lesz, így más szolgáltatásokba is fel lehet azokat használni. Például egy okos autó vagy ipari berendezés tulajdonosa az általuk generált adatokat megoszthatja a saját biztosítójával.
A több felhasználótól összevont adatokat egyéb digitális szolgáltatások kifejlesztésére is használhatják, ami a forgalommal vagy a magas baleseti kockázattal rendelkező útvonalakkal függ össze. Mivel az adatokat könnyű lesz megosztani egymás között, sokkal több vállalat, főként kisvállalkozások is kedvet kaphatnak az adatgazdaságban részt venni.

Például:
Nemcsak a gyártó, hanem a harmadik félként fellépő szolgáltató is tud majd új szolgáltatásokat fejleszteni, és így tud versenyezni a gyártó által kínált szolgáltatásokkal. Így a kapcsolt termékek tulajdonosai (legyenek azok őstermelők, fogyasztók, építkezési cégek vagy épületek tulajdonosai) egy olcsóbb javítási és karbantartási szolgáltatót választhatnak, netán maguk is megjavíthatják az okos eszközt, tehát élvezhetik az alacsonyabb árak előnyeit. Mindezzel a kapcsolt termékek életciklusát is megnövelhetik, ami segíti a környezetvédelmi célok elérését.
Az ipari berendezések adatainak ismeretében a gyárak vagy építkezési cégek számára lehetővé teszi a tevékenységük hatékonyabbá tételét, a gyártási vonalak hatékonyabban működnek, és az ellátási lánc is jobban szerveződik. A precíziós mezőgazdaságban az IoT analitika és az eszközöktől származó adatok segítségével a gazdák valós időben tudják elemezni az időjárással, hőmérséklettel, páratartalommal vagy GPS jelekkel kapcsolatos adatokat, tippeket kaphatnak arra vonatkozóan, hogyan növeljék a termékhozamot, javítsák a tervezést és alaposabb döntéseket hozzanak a szükséges erőforrásokról. A megnövekedett hatékonyság pedig a pazarlás, energiafogyasztás, szén-dioxid kibocsátás csökkenését hozza magával.

Miért jó ez a kkv-knak?

A mikro-, kis- és középvállalkozások érdekeit az Európai Bizottság úgy igyekszik védeni, hogy a vállalkozások közötti adatmegosztási szerződésekre olyan feltételeket alkalmaz, amelyekben megakadályozza, hogy a szerződő felek valamelyike – tipikusan az adatkezelő – visszaélhessen erőfölényével, így megtiltva a tisztességtelen és egyoldalú rendelkezések használatát.  Kedvező továbbá, hogy a rendelettervezet a diszkriminatív feltételek tekintetében megfordítja a bizonyítási terhet azzal, hogy az adatkezelőt terheli annak alátámasztása, hogy nem történt megkülönböztetés.

Miért jó a kormányok számára?

A kormányok számára azért fontos az Adattörvény, mert biztosítja számukra az adatokhoz való hozzáférést különleges esetekben, mint például árvíz, háború vagy erdőtüzek. Jelenleg nincs vagy rosszul működnek azok a mechanizmusok, melyek lehetővé tennék a közintézmények számára, hogy vészhelyzetben adatokhoz hozzáférjenek. Az új szabályozás hatására a vállalkozások számára kötelező lesz az adatok biztosítása – sürgősségi vagy vészhelyzet esetében ingyen. Más esetben, például egy vészhelyzet megelőzésére vagy a törvény által előírt feladat ellátására az adattulajdonos kompenzációt kérhet az adatokért.

Az új szabályok hogyan változtatják a felhő-szolgáltatásokat?

Az Adattörvény az EU-n belül használható felhő-szolgáltatásokra is kiterjed. Például rendkívül fontos, hogy az adatokat és az alkalmazásokat ingyen lehet majd egyik felhő szolgáltatótól a másikhoz költöztetni. A jelenlegi javaslat új szerződéses feltételeket állapít meg a felhőszolgáltatók számára. Az adatok átvitele azért lesz egyszerű, mert új szabványosítási keretrendszert javasolnak az adat- és felhő interoperabilitás megvalósulása érdekében. Az adattörvény ebben a tekintetben az európai szabványosítási szervezetek és egyéb érdekelt felek segítségére számít.
Az EU-ban tárolt felhő infrastruktúra tekintetében kötelező biztosítékokat ír elő az adatvédelem területén, amivel megelőzik, hogy a nem európai kormányok hozzáférjenek az adatokhoz. Ezekkel az intézkedésekkel az európai felhőszolgáltatások elterjedésének kedvezne az EU, ami ezután a hatékony adatmegosztás kialakulását támogatja. 

A vállalatok elveszítik a termékeik által generált adatokat?

Nem. A vállalatok ezután is felhasználhatják azokat az adatokat, melyeket az általuk gyártott, de máshol kihelyezett vagy használt tárgyak termelnek. Emellett a felhasználó által választott harmadik félnek fizetnie kell az adatokhoz való hozzáférésért, az esetlegesen szükséges technikai fejlesztésekért. Továbbá a törvénybe biztosítékokat építenek be, mely megelőzi azokat a helyzeteket, amikor a harmadik fél úgy használja fel az adatokat, hogy az negatívan befolyásolja az adatot gyártó üzleti lehetőségeit. Ide tartozik például olyan termék vagy szolgáltatás fejlesztése, ami az eredeti adatgeneráló termékkel versenyezne, vagy amikor az adatokat megfelelő adatvédelem nélkül használják.

Hogyan alkalmazható a GDPR a hálózatba kapcsolt termékekre?

A Data Act teljesen konzisztens és épít a General Data Protection Regulation, vagyis a GDPR-ra. Ez főként az adatok hordozhatóságának jogára alkalmazható, ami lehetővé teszi, hogy az adattulajdonosok versenytárs szolgáltatók között költöztessék adataikat. A GDPR szerint mindez személyes adatokra vonatkozik és nyilván fontos, hogy technikailag megvalósítható legyen. A Data Act a hálózatba kapcsolt termékekre is kiterjeszti ezt a jogot, így a fogyasztók hozzáférhetnek és tovább vihetik a termék által generált adatokat, legyenek azok személyes vagy nem személyes adatok.

A Data Act kiemelt hatásai

Megteremti annak feltételeit, hogy a cégek hozzájuthassanak az általuk előállított adatokhoz, így az adatok elemzésével harmadik fél is foglalkozhat. Megtiltja a tisztességtelen és egyoldalú szerződéseket, így helyzetbe hozza a mikro-, kis- és közepes méretű vállalatokat. Adattovábbítási kötelezettséget ír elő a nagy adatgyártók számára kormányzati, állami szervezetek felé, így azok kezelhetik a vészhelyzeteket. Könnyebb lesz többletköltség nélkül átvinni az adatokat a felhőszolgáltatások között. Kötelező adatvédelmi előírások lesznek az EU-s felhős infrastruktúrában tárolt adatokra vonatkozóan, ami az EU-s felhő-szolgáltatásokat erősíti.