Az Európai Bizottság 2022. február 23-án közzétette a méltányos adathozzáférésre és adatfelhasználásra vonatkozó harmonizált szabályokról szóló Európai Parlament és Tanácsi Rendelet („Data Act”, magyarul „Adatmegosztási jogszabály”) tervezetét. Ez a cikk a Data Act rendelkezéseit bemutató cikksorozatunk második része, az első rész ITT érhető el.
A Data Act céljainak és általános szabályainak ismertetése után ebben a részben bemutatjuk a Data Act-nek az adatgazdaságban résztvevő szereplőkre vonatkozó egyes rendelkezéseit. Ide tartoznak különösen az adatfeldolgozási szolgáltatások nyújtóira, a mikro-, kis- és középvállalkozásokra, valamint a Data Act szabályozási körébe utalt egyes adatmegosztásra vonatkozó követelmények.
1. Kik azok az adatfeldolgozási szolgáltatók, és milyen szolgáltatásokat nyújtanak?
A Data Act hatálya kiterjed az Európai Unió területén tartózkodó ügyfeleknek adatfeldolgozási szolgáltatásokat nyújtó adatfeldolgozási szolgáltatók tevékenységére. A Data Act nem határozza meg az ügyfél fogalmát – a tervezet szövegét olvasva ugyanakkor kiderül, hogy a Data Act a digitális szolgáltatásokat igénybe vevő lakossági és üzleti előfizetőket, vásárlókat tekinti ügyfélnek.
A Data Act fogalomrendszerében adatfeldolgozási szolgáltatás az olyan „ügyfélnek nyújtott digitális szolgáltatás, amely igény szerinti adminisztrációt és általános távoli hozzáférést tesz lehetővé a központosított, elosztott vagy nagymértékben elosztott jellegű, megosztható számítástechnikai erőforrások méretezhető és rugalmas készletéhez”.
Az adatfeldolgozási szolgáltatás fenti definíciója erősen technikai, leíró jellegű meghatározás, amely alapvetően öt jellemző mentén írja le az adatfeldolgozási szolgáltatásokat:
- általános távoli hozzáférés: kiszolgáló felületek (pl. böngésző, mobil eszközök) segítségével hálózaton keresztül biztosított számítási kapacitás
- méretezhető: a kereslet ingadozásai függvényében, az erőforrásoknak a földrajzi elhelyezkedésüktől függetlenül történő rugalmas kiosztása
- rugalmas készlet: a rendelkezésre álló erőforrások igényekhez igazított gyors növelése vagy csökkentése
- megosztható: több közös hozzáféréssel rendelkező, de az adatok, fájlok, dokumentumok feldolgozását (például a felhőszolgáltatás segítségével) külön végző felhasználó számára ugyanazon elektronikus berendezések által nyújtott szolgáltatás
- elosztott vagy nagy mértékben elosztott: különböző hálózatba kötött, egymással üzenetközvetítéssel kommunikáló és koordináló számítógépek vagy eszközök.
Adatfeldolgozási szolgáltatásnak minősülnek többek között a felhőszolgáltatások (IaaS, PaaS és SaaS szolgáltatási szinten egyaránt) – függetlenül attól, hogy a felhőszolgáltatás nyilvános, magán- vagy hibridfelhőben üzemel. Ide tartoznak továbbá a peremszolgáltatások (más néven peremhálózati megoldások, „edge computing”), azaz olyan számítástechnikai szolgáltatások, amelyek a felhőalapú számítástechnikával ellentétben a hálózat „peremén” történő decentralizált adatfeldolgozáson alapulnak, és elosztott informatikai rendszert hoznak létre nagy számú kisebb méretű adatközpontot alkalmazva. A fenti fogalmi elemekkel leírva, a pereminformatika a nagy mértékben elosztott adatfeldolgozás egyik formája.
Bár a Data Act 7. preambulumbekezdése szerint a jogszabály kiegészíti az adatvédelemre és a magánélet védelmére vonatkozó uniós jogot, különösen GDPR-t, a Data Act rendelkezéseiből nem derül ki egyértelműen, hogy az adatfeldolgozási szolgáltatásokat nyújtó szolgáltatók hogyan illeszkednek a GDPR terminológiájába; adatkezelőnek, adatfeldolgozónak minősülnek-e, vagy egy sui generis fogalmat vezet-e be a Data Act. Hasonlóan nem egyértelmű, hogy a Data Act az adatfeldolgozás alatt a GDPR 4. cikk 2. pontja szerinti adatfeldolgozást érti, vagy bármely, személyes és nem személyes adatot érintő számítástechnikai feldolgozást. Ez a gyakorlatban különösen akkor lehet problémás, ha a Data Act alatti adatfeldolgozási szolgáltatást nyújtó szolgáltató egyedi esetekben az adatkezelés szempontjából a GDPR alatt, annak 4. cikk 7. pontja szerinti adatkezelőnek minősül, és az elhatárolási kérdés a kötelezettségek és a felelősségi körök egyértelmű megállapítását nehezíti.
2. Adatfeldolgozási szolgáltatók közötti váltás előmozdítása
A Data Act egyik célja lehetővé tenni az adatfeldolgozási szolgáltatásokat igénybe vevők számára a különböző adatfeldolgozási szolgáltatók közötti hatékony váltást azáltal, hogy az adatfeldolgozási szolgáltatást nyújtó szolgáltatók számára kötelezettségként írja elő az üzleti, technikai, szerződéses és szervezeti akadályok elhárítását. A Data Act a szolgáltatók közötti váltást elősegítő minimum szerződéses rendelkezéseket fogalmaz meg az adatfeldolgozási szolgáltatók részére.
Ilyen minimum szerződéses rendelkezés például:
- a szolgáltatóváltási folyamat során exportálható valamennyi adat- és alkalmazási kategória teljes körű meghatározása a szerződésben (kérdés, ez mennyiben fedheti majd le a szolgáltatás nyújtása során keletkező új adatkategóriákat);
- a kérelemre másik adatfeldolgozási szolgáltató szolgáltatására való váltás lehetősége;
- az adatátvitel lehetősége 30 napos átmeneti időszak biztosítása mellett, amely alatt a korábbi szolgáltató köteles a szolgáltatásnyújtás folytonosságát biztosítani, és az adatátvitelhez technikai segítséget nyújtani;
- a 30 napos átmeneti időszak leteltét követően a korábbi szolgáltató további legalább 30 napos adatvisszanyerési időszakot köteles biztosítani például az adatátvitel során történt adatvesztés visszaállítására.
Az adatfeldolgozási szolgáltatók közötti hatékony váltás elősegítése – a cikksorozatunk első részében bemutatott, a felhasználó által megadott, vagy a szolgáltatás során keletkezett adatokhoz (pl. diagnosztikai adatok) való hozzáféréshez és az adatok harmadik felekkel történő megosztásához fűződő felhasználói jogok mellett – a GDPR 20. cikke szerinti adathordozhatósághoz való jogot egészíti ki, annak gyakorlására teremt kiegészítő jogszabályi rendelkezéseket.
Az adatfeldolgozási szolgáltatók a Data Act hatálybalépésétől számított három éven át kötelesek lesznek csökkentett díjat felszámítani az ügyfélnek a váltási folyamatért, ennek letelte után az adatfeldolgozási szolgáltatók pedig egyáltalán nem számíthatnak majd fel díjat a váltási folyamatért. (A „csökkentett díj” kiszámításával kapcsolatos egyéb részleteket a Data Act nem tartalmaz, de feltehetőleg a tervezet a szolgáltató aktuális díjaihoz méri a csökkentett díjat.)
A fogyasztó és vállalkozás közötti digitális tartalom szolgáltatása és digitális szolgáltatások nyújtása körében alkalmazott szerződések kötelező tartalmi elemeire továbbra is irányadóak a 2019/770 (EU) irányelv és az azt átültető 373/2021. (VI. 30.) Korm. rendelet rendelkezései, melyekről itt írtunk korábban.
Az adatfeldolgozási szolgáltatásokat nyújtó szolgáltatóknak minden észszerű technikai, jogi és szervezési intézkedést meg kell tenniük, beleértve a szerződéses rendelkezéseket is, annak érdekében, hogy megakadályozzák az Unióban tárolt nem személyes adatok EU-n kívülre történő továbbítását vagy az azokhoz való kormányzati hozzáférést, amennyiben az ilyen továbbítás vagy hozzáférés az uniós joggal vagy az adattárolás helye szerint érintett tagállam nemzeti jogával ellentétes lenne.
3. Milyen speciális rendelkezéseket tartalmaz a Data Act a mikro-, kis- és középvállalkozások számára?
A Data Act a mikro- és kis- és középvállalkozások egyedi igényeire és korlátos erőforrásaira is tekintettel kíván lenni, mert esetükben gyakran hiányozhatnak az adatok gyűjtéséhez, elemzéséhez és felhasználásához szükséges digitális kapacitások – így bármely további kötelezettség előírása jelentős terhet jelentene számukra. Ezért a Data Act számos kedvezményt és garanciális rendelkezést biztosítana a mikro-, kis- és középvállalkozásoknak. Ilyen például:
- A B2C és B2B adatmegosztás körében foglalt kötelezettségek (például adatok felhasználó részére történő közvetlen hozzáférhetővé tétele, adatok harmadik fél részére történő rendelkezésre bocsátása, a felhasználó rendelkezésére bocsátandó információk) nem vonatkoznak azokra az adatokra, amelyek mikro- vagy kis vállalkozások által előállított termékek használata vagy az általuk nyújtott kapcsolódó szolgáltatások felhasználása során keletkeznek. Ennek feltétele, hogy e vállalkozásoknak nincsenek olyan partner- vagy kapcsolt vállalkozásai, amelyek nem minősülnek mikro- vagy kisvállalkozásnak.[1]
- A kkv-k szerződéses feltételek tárgyalása során tapasztalt jellemzően gyengébb alkupozíciójára tekintettel az adatok rendelkezésre bocsátására jogilag kötelezett adattulajdonosok (pl. gyártók, üzemeltetők) részéről az adatmegosztás tekintetében alkalmazott esetleges tisztességtelen szerződési feltételekkel szembeni védelem. Eszerint az ilyen, egyoldalúan kikényszerített, adathozzáférésre és adatfelhasználásra, az adatokkal kapcsolatos kötelezettségek megsértése vagy megszűnése esetén fennálló felelősségre és jogorvoslatra vonatkozó szerződési feltétel nem kötelező a kkv-ra nézve.
- Az adatok rendelkezésére bocsátására jogilag kötelezett adattulajdonosok által az adatátvevő mikro-, kis- és középvállalkozásokkal szemben az adatok rendelkezésre bocsátásáért megállapított ellentételezés nem haladhatja meg az adatok rendelkezésére bocsátásával közvetlenül összefüggő, a mikro-, kis- és középvállalkozások kérelmében foglalt adatkiadáshoz mérten észszerű költségeket.
A mikro-, kis- vagy középvállalkozások a fentiek tükrében a Data Act fő kedvezményezettjei közé tartoznak. Az új szabályok az eddigiekhez képest több adatforrást bocsátanának a rendelkezésükre, amely az adatok jelentette érték újraelosztása révén újfajta egyensúlyt teremthet a piaci szereplők között, és ez erősítheti a mikro-, kis- vagy középvállalkozások versenyképességét. A kétoldalú szerződéses kapcsolatok kiegyensúlyozatlanságának kezelése pedig szintén tovább növelheti a kkv-k nyereségét.[2]
4. Interoperabilitás
Az interoperabilitás, azaz technikai átjárhatóság a Data Act tervezete alapján „két vagy több adattér vagy kommunikációs hálózat, rendszer, termék, alkalmazás vagy alkotóelem képessége arra, hogy feladataik ellátása érdekében adatokat cseréljenek és használjanak fel”. A Data Act értelmében az adatterek szereplők vagy rendszerek hálózatai, amelyeket az adatok nyílt megosztása és cseréje céljából hoztak létre.[3] A Data Act az adatterek üzemeltetői részére az adatok, az adatmegosztási mechanizmusok és szolgáltatások interoperabilitásának megkönnyítése érdekében alapvető követelményeket ír elő. Ezeket az alapvető követelményeket a Bizottság felhatalmazáson alapuló végrehajtási aktusok formájában pontosíthatja a Data Act elfogadását követően. A Bizottságnak egységes előírásokat kell elfogadnia azokon a területeken, ahol nincsenek harmonizált szabványok, vagy ahol ezek nem elégségesek a közös európai adatterek, az alkalmazásprogramozási felületek, a felhőváltás és az intelligens szerződések interoperabilitásának javításához.
A közös szabványok hiánya az interoperabilitás területén komoly akadály az adatok hatékony hordozhatósága, valamint a felhő- és a peremszolgáltatások közötti váltás szempontjából, amely számos esetben lock-in-hez vezet, különösen az egyszerű tároláson túlmutató szolgáltatások (platformszolgáltatás, PaaS / szoftverszolgáltatás, SaaS) esetében.[4] .A Data Act lehetővé teszi a Bizottság számára, hogy felkérje az európai szabványügyi testületeket ilyen célból európai szabványok kidolgozására. Az így elfogadott szabványok célja, hogy javítsák a digitális eszközök hordozhatóságát az azonos szolgáltatástípust nyújtó különböző adatfeldolgozási szolgáltatás között, és ha technikailag megvalósítható, biztosítsák az azonos szolgáltatástípust nyújtó különböző adatfeldolgozási szolgáltatás funkcionális egyenértékűségét.
A kidolgozott európai szabványok több szempontot érinthetnek, így például a számítástechnikai felhővel kapcsolatos interoperabilitási szempontok közül a közlekedés interoperabilitásának, és az adatok szemantikus interoperabilitásának (azaz, hogy a felek között zajló adatcsere során a kicserélt adatok pontos jelentése végig érthető maradjon és nem vesszen el[5]) szempontjai.
5. Milyen jogalkotási, illetve végrehajtási hatáskörök maradnak tagállami hatáskörben?
A tagállamoknak az alábbi kérdéseket kell rendezni a Data Act alkalmazhatóságáig, a Data Act rendelkezéseinek való megfelelés ellenőrzése érdekében:
- Az elfogadott Data Act végrehajtásának felügyelete, és a rendeletben meghatározott további tagállami hatáskörbe utalt feladatok, úgy, mint szankcionálás, vizsgálatok lefolytatása, ellátása érdekében illetékes nemzeti hatóság kijelölése.
- Hatékony és arányos szankciók megállapítása a Data Act rendelkezéseinek megsértése esetére.
- Vitarendezési szerv létrehozása, amelynek feladata a tisztességes, észszerű és megkülönböztetéstől mentes szerződési feltételek meghatározása és az adatok rendelkezésre bocsátásának átlátható módjával kapcsolatos viták rendezése.
- A Data Act II. és III. fejezetében (B2C és B2B adatmegosztás, az adatok rendelkezésére bocsátására jogilag kötelezett adattulajdonosok kötelezettségei) foglaltak megsértése, valamint a V. fejezetének (az adatoknak a közszférabeli szervezetek részére kivételes igény alapján történő hozzáférhetővé tétele) körében felmerülő jogsértések esetén a GDPR szerinti tagállami felügyeleti szervek (Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság) a GDPR által meghatározott típusú és mértékű szankciók kiszabására jogosultak. A Data Act egyéb rendelkezéseinek megszegése esetén a tagállamok szabadon állapítják meg az alkalmazandó szankciós mechanizmusokat, a szankció típusát és mértékét.
6. Következő lépések
A Data Act jelenleg rendes jogalkotási eljárásban, első olvasatban tart, ahol az Európai Unió Tanácsának elnöksége (Csehország) 2022. július 14-én prezentálta az első kompromisszumos szövegjavaslatát. Ez a szövegjavaslat számos új és pontosító rendelkezést tartalmaz a Bizottság által bemutatott eredeti javaslathoz képest, például kiterjesztené a Data Act hatályát az ingó dolgokon kívül az adatokat gyűjtő egyes ingatlanokra is (pl. szélerőművek, okosmérők, ún. smart grid rendszerek), illetve további kedvezményeket adna a kkv-k adatszerzéséhez. A Tanács szövegjavaslatát az Európai Parlament várhatóan ősszel tűzi napirendre.
Jelen cikk első része ITT érhető el.
________________________________________________________________________________
[1] A 2003/361/EK ajánlás mellékletének 3. cikke határozza meg a partnervállalkozás és a kapcsolt vállalkozás fogalmát is. Amennyiben a vállalkozás részesedése egy másik vállalkozásban legalább 25%-os, de nem haladja meg az 50%-ot, a kapcsolat partnervállalkozásnak minősül; amennyiben pedig a részesedés más vállalkozásokban meghaladja az 50%-os küszöbértéket, akkor a vállalkozásokat kapcsolt vállalkozásnak kell tekinteni.
[2] Az Európai Bizottság Data Act-hez készített hatásvizsgálata, elérhető itt: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52022SC0035&from=EN.
[3] https://hirlevel.egov.hu/2021/11/13/finnorszag-aktiv-reszvetele-az-europai-adatgazdasag-kiepiteseben/.
[4] Az Európai Bizottság Data Act-hez készített hatásvizsgálata, elérhető itt: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52022SC0035&from=EN.
[5] A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak az Európai Gazdasági és Szociális Bizottságnak és a Régiók Bizottságának „Az európai közszolgáltatások interoperabilitása felé” címmel, 2010. 12. 16. elérhető itt: https://eur-lex.europa.eu/legal-content/HU/TXT/HTML/?uri=CELEX:52010DC0744&from=ES.