Újabb mérföldkőhöz érkezett tegnap az uniós "adatjogi" jogalkotás. Az Európai Parlament elfogadta az ún. adatmegosztási rendeletet (Data Act), amely a Tanács általi - a Parlement és a Tanács közötti korábbi politikai megállapodás révén borítékolható - elfogadást követően, kihirdetésre kerülhet az EU Hivatalos Lapjában, majd a kihirdetést követő 20. napon hatályba is léphet. (A Parlament által elfogadott szöveg angolul elérhető itt, magyarul pedig itt.)
A Data Act alkalmazására lesz idő felkészülni, mert a kihirdetést követően 20 hónap áll majd rendelkezésre a felkészüléshez (egyes kötelezettségek kapcsán még több idő áll majd rendelkezésre a felkészülésre). A kihirdetés pontos idejétől függően 2025. második felétől lesz tehát vélhetően alkalmazandó a jogszabály.
A szabályozással érintett főbb témák:
- B2C és B2B adatmegosztás: Az összekapcsolt termékeket és a kapcsolódó szolgáltatásokat úgy kell tervezni, hogy a használat során keletkező adatokat alapbeállítás szerint könnyen, biztonságosan és – ahol ez releváns – közvetlenül hozzáférhető módon elérhetővé lehessen tenni a felhasználóknak (user). A rendelet által ösztönözni kívánt adatmegosztás a mesterséges intelligencia fejlesztések kapcsán is fontos adatforrások hozzáférhetővé válását eredményezheti. (Az összekapcsolt termékekkel és a kapcsolódó szolgáltatások kapcsolatos adatmegosztási kötelezettségekre való felkészüléshez 32 hónapot biztosít majd a rendelet.)
- Adatbirtokosok adatmegosztással kapcsolatos kötelezettségei: A korlátozó, illetve diszkriminatív megállapodások elkerülése érdekében határoz meg követelményeket a Data Act, illetve az adatok hozzáférhetővé tétele érdekében fizetendő ellenszolgáltatás meghatározásának szempontjait is rendezi. Ebben a körben - különösen az eredeti javaslathoz képest - jóval nagyobb hangsúlyt kaptak az üzleti titok védelmével kapcsolatos rendelkezések annak megakadályozására is, hogy az adatmegosztási rendelet szabályait kiskapuként kihasználva a versenytársak a megszerezhető adatok révén lényegében "visszafejthessék" (reverse-engineer) a konkurrencia által kínált termékek és szolgáltatások jellemzőit.
- Vállalkozások közötti tisztességtelen feltételek: A Data Act meghatározza, hogy mely esetekben minősülnek tisztességtelennek a vállalkozások közötti adatmegosztásra vonatkozó egyoldalú szerződési feltételek, ha a szerződő fél, amellyel szemben alkalmazzák a kérdéses feltételeket mikrovállalkozás vagy KKV.
- B2G adatmegosztás: A különleges körülmények között (mint pl. egy egészségügy veszélyhelyzet) az adatok kormányzati szervek (uniós intézmények) részére történő hozzáférhetővé tételére is kötelezettséget hoz létre a rendelet. Az adatokat rendelkezésre bocsátása ingyenesen történik a veszélyhelyzet elhárításával összefüggésben. (Az ezen túlmutató esetekben pedig - főszabály szerint - költségalapú elszámolásra lesz lehetőség.)
- Adatkezelési szolgáltatások közötti váltás megkönnyítése: A szabályozás célja a „lock-in” helyzetek elkerülése. Ez pl. felhőszolgáltatások esetében lehet alkalmazható, de más adatkezelési szolgáltatások kapcsán is felmerülhet ezen rendelkezések alkalmazhatósága. A rendelet meghatároz interoperabilitásra és transzparenciára vonatkozó szabályokat is.
- Nem személyes adatok nemzetközi továbbítása: A jogszabály kitér a nem személyes adatok tekintetében a nemzetközi, EU-n kívüli adattovábbításra szabályozására is. Ezek a szabályok kevésbé kidolgozottak és részletesek, mint a GDPR, illetve az egyéb személyes adatokra vonatkozó uniós szabályozás esetében, de jelzik az adatszuverenitás iránti uniós igényt, amely az elmúlt években egyre erősebben jelenik meg a szabályozásban és a jogalkalmazásban is (pl. az EU-n kívüli országok általi kormányzati adathozzáférési lehetőségeinek korlátozása révén).
- Adatvédelmi hatósági jogkörök: Személyes adatok érintettsége esetén az adatmegosztási rendelet tekintetében történő adatkezelés vonatkozásában is felhatalmazást kapnak az adatvédelmi hatóságok ezen tevékenységek felügyeletére és eljárásra (uniós intézmények vonatkozásában pedig az európai adatvédelmi biztos kap jogosítványt erre).
- Európai Adatinnovációs Testület (EDIB): Az adatkormányzási rendelet alapján létrehozott Európai Adatinnovációs Testület a Data Act alapján is kap feladatokat, elsősorban a rendelet alkalmazásának egységesítése kapcsán, illetve tanácsadói szerepben.
Az adatmegosztási rendelet elfogadásával egy újabb, az uniós adatstratégiähoz kapcsolódó építőkocka kerülhet a helyére és a rendelet alkalmazására való felkészülés számos területen ad feladatokat az érintett szereplőknek az elkövetkező évekre.