Що таке Data Act?

Що таке Data Act?

Regulation of the European Parliament and of the Council on harmonised rules on fair access to and use of data (далі – Data Act) – новий Регламент, що активно обговорюється в Європарламенті. Data Act пропонує встановити регулювання використання даних, які генерують мережеві пристрої під час передачі даних про свою роботу в рамках концепції інтернету речей (IoT).

Цей Регламент ухвалюється в рамках зусиль зі створення єдиного ринку даних. Основна ідея в тому, що дані можна не тільки збирати і зберігати (сфера GDPR), а й продавати та використовувати в різних економічних відносинах. Тобто дані повинні вільно переміщатися і використовуватися на благо бізнесу і суспільства. Дані не повинні лежати мертвим вантажем і накопичуватися на сервері у володільця даних (того, хто виготовив і обслуговує мережеві пристрої). За допомогою положень, запропонованих у Регламенті, встановлюються правові рамки для руху і використання даних по всьому ринку.

Останніми роками спостерігався бум генерації та використання біг-дати, коли генеруються величезні масиви даних за допомогою мільйонів мережевих пристроїв ( наприклад, робот пилосос або розумний холодильник). За належного опрацювання цих даних (дата майнінгу) ці дані можуть відкривати нові можливості для бізнесу та пересічних користувачів. Водночас виникла необхідність регулювання передачі та використання таких даних.

Звертаємо увагу, що оскільки Регламент все ще на стадії узгодження, мета статті – дати загальне розуміння предмета регулювання, а також мети і діючих суб’єктів. Багато деталей і конкретних положень можуть зміниться до моменту остаточного прийняття Регламенту.

Що регулює Data Act? 

Важливо зазначити, що цей Регламент матиме дуже чіткі предметні рамки. Для простоти уявімо схему дійових осіб і як відбувається обмін даними між ними. 

У концепції інтернету речей є величезна кількість пристроїв, які обмінюються між собою даними. Назвемо їх мережевими пристроями. Уявімо що це ваш холодильник або пилосос. Ви є власником так званого мережевого пристрою, а по відношенню до даних, які він збирає – користувачем цих даних. Ваш пристрій передає дані, які збираються на сервері виробника цього пристрою. Виробник у цій схемі іменується володільцем даних. 

Ці дані “складуються” у нього на серверах і найчастіше ніяк далі не використовуються за межами його бізнесу. Завдання Регламенту якраз створити правові рамки і можливості для того, щоб ці дані могли бути передані вам як власнику мережевого пристрою і користувачеві (B2C схема), іншому бізнесу (B2B схема) або навіть уряду (B2G схема).

Який взаємозв’язок між Data Act та GDPR?

Хоча Data Act регулює, зокрема, використання персональних даних, що генеруються в процесі використання мережевих пристроїв, загальні рамки та правила поводження з персональними даними встановлені в General Data Protection Regulation (скорочено – GDPR) – Регламенті, який регулює поводження з персональними даними. 

Дані, зібрані з мережевих пристроїв, це дані про діяльність цих пристроїв, зібрані за допомогою сенсорів, датчиків і будь-яких інших механізмів. Відповідно, предмет регулювання у двох Регламентів різний.

У процесі використання мережевих пристроїв можуть генеруватися, зокрема, й персональні дані. Будь-яке опрацювання персональних даних має відповідати правилам, встановленим у Регламенті. 

Business-to-Consumers (B2C) 

Уявімо що ви купили розумний холодильник. Усередині холодильника є датчики та сенсори, які збирають інформацію про його функціонування. Ці дані передаються виробнику і він використовує їх для поліпшення власного продукту або ж у ситуації, якщо ваш холодильник зламався. У такому разі використовуючи дані з датчиків можна зрозуміти причину поломки й усунути її.

Припустимо, сервіс, який ремонтує вам холодильник, занадто дорогий і ви хочете змінити його. У такому разі вам знадобитися передати зібрані з датчиків дані іншому сервісу, для того щоб він міг оцінити причину поломки. Тут і набувають чинності правила Data Act.

По-перше, мережеві пристрої (в нашому випадку холодильник) повинні бути зроблені так, щоб з них можна було збирати дані і передавати їх у зручному форматі.

По-друге, передаватися ці дані повинні вам безкоштовно. Тобто, на виході ми отримуємо схему, за якою ви можете безоплатно запитувати й отримувати дані про ваші пристрої для подальшого використання, зокрема й продажу. 

Business-to-Business (B2B) 

Найцікавішими є нововведення для бізнесу. Бізнес використовує величезну кількість техніки та обладнання, які самі по собі збирають інформацію через сенсори і датчики. У цій ситуації власник даних може вже продавати зібрані дані для подальшого комерційного використання. 

Є дві категорії бізнесу, яким власник даних може продавати дані: малий і середній бізнес (далі – МСБ) і великий бізнес.

МСБ мають оборот не більше 50 млн євро на рік. Для підтримки конкуренції продавати дані МСБ можна лише за “собівартістю” цих даних. Тобто у вартість можна включати лише витрати на збір і зберігання цих даних, без маржі. 

І навпаки, з великих компаній можливо стягувати маржу. Це зроблено для того щоб для власників даних був стимул збирати і зберігати ці дані.

Також, встановлені обмеження, що стосуються конкуренції між бізнесом. Звісно, якщо дані купує компанія, яка є конкурентом власника даних, вона може використовувати ці дані для отримання конкурентної переваги. Прикладом може бути дві компанії, що виробляють один і той самий тип товару (розумні холодильники). Бізнес не може використовувати куплені дані для створення конкуруючого продукту. Це прямо заборонено в Регламенті. Бізнес може використовувати їх для створення допоміжних інформаційних продуктів.

Більше того, під час обговорення у бізнес-спільноти виникали певні побоювання щодо передання та використання комерційної таємниці. Це питання ми розкриємо докладніше в наступних розділах.

Business-to-Government (B2G) 

Останнім із трьох напрямів передачі даних є примусове передання даних уряду у виняткових випадках.

Які випадки можуть бути винятковими:  

  • природні катастрофи;
  • пандемії;
  • кібератаки;
  • надзвичайні стани і т.д. 

У разі настання виняткових обставин власники даних будуть зобов’язані передати такі дані уряду для боротьби з наслідками надзвичайних подій. 

Регламентом встановлено умови отримання таких даних: 1) особа, яка запитує, не може отримати ці дані будь-яким іншим способом у необхідний строк; 2) дані, що запитуються, не повинні бути надмірними, тобто мають бути обґрунтовано необхідними для розв’язання проблеми.

Комерційна таємниця

Як ми згадували вище, окремі побоювання висуваються щодо передачі комерційної таємниці. В останній редакції, прийнятій Європарламентом, було приділено додаткову увагу питанням захисту комерційної таємниці. 

По-перше, власник повинен повідомляти користувача даних про комерційну таємницю в переданих даних. По-друге, мають бути вжиті належні заходи з охорони таких даних: прийняті стандартні договірні положення, встановлені технічні заходи збереження комерційної таємниці, протоколи доступу до неї, а також положення щодо поводження з комерційною таємницею.

У разі порушення будь-яких із договірних умов використання таємниці власник може зупинити передачу таких даних, а також заборонити використовувати вже отримані.  

Cloud switching

Окремим і дуже цікавим для пересічних користувачів нововведенням є обов’язок хмарних провайдерів забезпечити взаємозамінність і доступність хмарних платформ. Тобто мають бути запроваджені єдині стандарти для легкого переміщення даних між хмарами. 

Уявімо ситуацію, коли ви хочете перемістити всі свої дані, що зберігаються в одній хмарі, в іншу. Наприклад, вам не зручно користуватися Microsoft Azure або вам не підходить вартість їхніх послуг і ви хочете перейти на Amazon Web Services. На даному етапі це зробити досить складно, оскільки застосовуються різні стандарти для зберігання і обробки даних. Регламент встановлює вимогу, за якою ви як користувач можете без перешкод і додаткових витрат змінювати провайдера хмарних послуг або ж використовувати їх паралельно. 

Висновок

Цей Регламент є продовженням зусиль ЄС зі створення єдиного ринку даних. Дані повинні не тільки збиратися і зберігатися належним чином, а й передаватися, використовуватися бізнесом для поліпшення якості вироблених товарів і послуг. Користувачі мають самі обирати, де зберігати свої дані і для чого їх використовувати. Дані мають перетворитися на такий самий товар як і власне самі мережеві пристрої. Не повинно бути технічних перешкод для переміщення цих даних.

Разом з цим Data Act встановлює захисні заходи для того, щоб використовувані дані не можна було використовувати для здобуття конкурентної переваги. Головним нововведенням для бізнесу є можливість придбання даних на відкритому ринку для поліпшення власних сервісів, а для пересічного користувача – можливість безоплатно отримувати всі дані зі своїх пристроїв і використовувати їх на свій розсуд. Data Act наразі перебуває на розгляді Європейського парламенту. Ухвалення і набуття чинності очікується у 2023 або 2024 році залежно від швидкості проходження всіх необхідних узгоджувальних процедур і остаточного голосування.

Ще публікації

UA
+380443793128

ПН-ПТ 10:00 -19:00

Україна

вул. Кониського 55А, Київ, Україна, 04053

EST
+3726028480

ПН-ПТ 10:00 -19:00

Естонія

Harju maakond, Tallinn, Kesklinna linnaosa, Tuukri tn 19-315, 10152

USA
+13478979183

ПН-ПТ 10:00 -19:00

Сполучені Штати

228 Park Ave S PMB 516920 New York, New York 10003-1502 US