Data Act a rynek IoT – jak nowe przepisy wpłyną na producentów urządzeń?

Unijny Akt o danych (Data Act) – to rewolucja dla firm tworzących urządzenia podłączone do Internetu (IoT). Przepisy te wprowadzają zupełnie nowe zasady dotyczące dostępu do danych generowanych przez urządzenia, które do tej pory były kontrolowane niemal wyłącznie przez producentów.

W praktyce oznacza to, że jako producent będziesz musieć:

• udostępniać dane użytkownikom swoich urządzeń,
• zadbać o nowe klauzule umowne,
• zapewnić zgodność z przepisami przy projektowaniu urządzeń i systemów.

WAŻNE: Ignorowanie nowych regulacji może skutkować poważnymi karami finansowymi i utratą zaufania klientów.

O szczegółach pisaliśmy w naszym artykule: Kary w DATA ACT – Orlik & Partners.

Najważniejsze zmiany dla producentów urządzeń IoT

Obowiązek udostępniania danych użytkownikowi

Producent urządzenia podłączonego do Internetu będzie musiał umożliwić użytkownikowi (osobie fizycznej lub firmie) nieodpłatny dostęp do danych wygenerowanych przez to urządzenie – w czasie zbliżonym do rzeczywistego. Dotyczy to m.in.:

• danych z czujników,
• systemów lokalizacji,
• liczników,
• urządzeń przemysłowych.

Dane muszą być udostępnione w formacie nadającym się do ponownego wykorzystania (interoperacyjnym) – np. JSON, XML, CSV.

Udostępnianie danych stronom trzecim

Użytkownik końcowy zyska prawo do przekazania danych wybranej stronie trzeciej – np.:

• konkurencyjnemu serwisowi,
• dostawcy usług analitycznych,
• integratorowi systemów.

Producent nie może tej transmisji blokować ani utrudniać, np. poprzez:

• wysokie opłaty,
• zamknięte formaty danych,
• długie terminy realizacji.

Przykład: użytkownik samochodu elektrycznego może zlecić przesył danych o zużyciu energii do firmy ubezpieczeniowej w celu uzyskania korzystniejszych warunków polisy.

Zakaz wykorzystywania danych w nieuczciwy sposób

Jeśli producent sam przetwarza dane użytkownika (np. do rozwoju własnych usług), nie może:

• prowadzić nieuczciwej konkurencji, np. kopiując funkcje serwisu zewnętrznego,
• tworzyć profili użytkowników bez ich wyraźnej zgody i uzasadnionej podstawy prawnej.

Nowe wymogi umowne i techniczne

Firmy będą musiały:

• przygotować nowe postanowienia umowne określające prawa użytkowników i stron trzecich do danych,
• w umowach wskazać, jakie dane są generowane i jak można się do nich dostać,
• zapewnić od strony technicznej:
  • interfejsy API lub inne narzędzia do bezpiecznego dostępu,
  • mechanizmy kontroli dostępu i logowania żądań.

Krótka checklista zgodności z Data Act dla producentów IoT

1. Czy wiesz, jakie dane generują Twoje urządzenia?
2. Czy masz techniczne możliwości udostępniania danych użytkownikowi i stronie trzeciej?
3. Czy Twoje umowy zawierają klauzule dotyczące praw do danych?
4. Czy Twoje interfejsy API są interoperacyjne i bezpieczne?
5. Czy posiadasz procedury reagowania na żądania dostępu do danych?
6. Czy weryfikujesz cel przetwarzania danych i czy nie naruszasz zakazu nieuczciwej konkurencji?

Jak możemy Ci pomóc?

Nasza kancelaria wspiera producentów urządzeń i dostawców usług IoT we wdrażaniu przepisów Data Act. Oferujemy m.in.:

• audyt umów z klientami i partnerami,

• przygotowanie wzorców umów i polityk udostępniania danych,

• doradztwo techniczno-prawne dot. udostępniania danych przez API,

• reprezentację w razie sporu lub kontroli regulatora.