Data Act to unijne rozporządzenie, które zmienia zasady udostępniania danych gromadzonych przez firmy. Dzięki temu dostęp do nich ma być bardziej sprawiedliwy. Wraz z nowymi obowiązkami pojawiają się jednak dodatkowe wyzwania związane z zabezpieczeniem informacji przesyłanych do innych podmiotów i od nich otrzymywanych. Od kiedy Data Act obowiązuje w Polsce? Przepisy weszły w życie 11 stycznia 2024 roku, a termin obowiązywania w pełni dla dostawców usług przetwarzania danych to 12 września 2025 roku.
Data Act – co to jest i kogo dotyczy?
Data Act to rozporządzenie UE, które wprowadza nowe zasady dostępu do danych generowanych przez urządzenia połączone z siecią oraz usługi cyfrowe. Ma zapewnić równowagę między producentami, użytkownikami i podmiotami przetwarzającymi dane osobowe i nieosobowe. Użytkownicy zyskają wówczas większą kontrolę nad swoimi danymi, dzięki sprawiedliwemu dostępowi do produktów i usług, z których korzystają. Będą mieli również możliwość większego wyboru dostawców usług, a rynek stanie się bardziej konkurencyjny.
Data Act nakłada również wiele obowiązków na producentów i na inne podmioty przetwarzające dane. Muszą m.in.: umożliwić użytkownikom dostęp do wykorzystania danych generowanych przez urządzenia IoT, czy wyznaczyć podmioty odpowiedzialne za stosowanie i egzekwowanie przepisów Data Act.
Celem regulacji jest ujednolicenie podejścia do udostępniania danych, ich wykorzystywania i przenoszenia w obrębie Unii Europejskiej.
Data Act dotyczy wielu branż, takich jak technologia informacyjna, telekomunikacja, produkcja przemysłowa, zdrowie, transport, energetyka, rolnictwo oraz handel detaliczny. Są to m.in.
- producenci i dostawcy usług z sektora IoT – są zobowiązani do udostępniania danych generowanych przez dane urządzenia,
- producenci sprzętu – muszą dostosować swoje modele biznesowe do nowych zasad związanych głównie z przechowywaniem i udostępnianiem danych,
- dostawcy usług w chmurze – muszą udostępniać użytkownikom dane generowane przez ich usługi,
- operatorzy platform SaaS – są zobowiązani dostosować swoje usługi do wymagań Data Act,
- odbiorcy danych w UE– podmioty, które otrzymują dane zgodnie z Data Act, są zobowiązane postępować według zasad ich przetwarzania i wykorzystania,
- organy administracji publicznej i użytkownicy końcowi, którzy mogą żądać dostępu do danych w nadzwyczajnych okolicznościach.
Zapisy aktu w sprawie danych mają zastosowanie dla firm niezależnie od ich lokalizacji, o ile przetwarzają one dane użytkowników z UE lub oferują im swoje usługi. Przedsiębiorstwa działające na terenie UE podlegają również pod przepisy RODO – niezależnie od tego skąd pochodzi firma.
Wpływ Data Act na cyberbezpieczeństwo przedsiębiorstw
Wraz ze wzrostem ilości danych udostępnianych podmiotom trzecim rośnie ryzyko naruszenia ich integralności, poufności i dostępności. Oznacza to, że systemy firm, a także ich partnerzy przetwarzający dane, muszą spełniać wysokie standardy bezpieczeństwa. Punkt 43. preambuły rozporządzenia zakłada, że firmy wymieniające się danymi będą miały swobodę w ustalaniu warunków tej wymiany, także w przypadku danych związanych z bezpieczeństwem.
Dane objęte rozporządzeniem mogą ponadto pochodzić z systemów OT (Operational Technology), które do tej pory często były poza zakresem polityk bezpieczeństwa IT. Ich udostępnianie oznacza więc konieczność zabezpieczenia tych środowisk, które z natury są mniej odporne na współczesne zagrożenia cybernetyczne.
Nietrudno też wyobrazić sobie sytuację, w której cyberprzestępcy podszywają się pod istniejące podmioty w celu wyłudzenia danych, do których nie powinni mieć dostępu. Przeciwdziałanie takim sytuacjom będzie wymagało wdrożenia procedur kontrolnych oraz zwiększenia poziomu security awareness wśród pracowników.
W sytuacji, w której organy publiczne będą chciały skorzystać z udostępnionych przez firmę danych, muszą one zapewnić ich pełną poufność i bezpieczeństwo. Oznacza to konieczność wdrożenia przez nie rozwiązań z zakresu cyberbezpieczeństwa, takich jak zarządzanie dostępem czy szyfrowanie (w spoczynku i w ruchu), dzięki którym otrzymane dane będą w pełni chronione.
Data Act a inne regulacje
Data Act w Polsce nie funkcjonuje w oderwaniu od dotychczasowych ram prawnych. Jego wdrożenie nakłada się na obowiązujące już regulacje, takie jak RODO, NIS2 czy DGA (Data Governance Act). Każda z nich reguluje inne obszary przetwarzania i udostępniania danych.
Data Act a RODO
W kontekście Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) Data Act wprowadza dodatkowy poziom odpowiedzialności za dane osobowe. Choć rozporządzenie obejmuje również dane nieosobowe, to w praktyce często będą one przetwarzane razem. Stąd potrzeba, aby administratorzy danych zapewnili dostęp udzielany zgodnie z Data Act, nie naruszając przy tym przepisów wynikających z RODO.
Podczas przekazywania danych osobowych może jednak dojść do kolizji z chroniącymi je przepisami. Rozporządzenie zakłada, że wówczas pierwszeństwo mają regulacje obejmujące zasady przetwarzania danych osobowych.
W sytuacji, gdy dojdzie do bezprawnego naruszenia danych osobowych, np. w wyniku cyberataku, na firmę może zostać nałożona kara zgodnie z przepisami RODO, w wysokości do 20 mln euro lub 4% obrotu osiągniętego w poprzednim roku.
Data Act a NIS2
W relacji do NIS2 różnice mają charakter operacyjny i sektorowy. Data Act nie rozróżnia branż, ale koncentruje się na charakterze danych i obowiązku ich udostępniania. Firmy objęte NIS2 muszą więc dopilnować, żeby procesy wymiany danych zgodne z tym rozporządzeniem były odporne na zagrożenia i spełniały kryteria dotyczące ciągłości działania, ochrony integralności oraz niezawodności systemów.
Data Act a DGA
Podczas gdy DGA tworzy ramy instytucjonalne i mechanizmy pośrednictwa w dostępie do danych, Data Act ustanawia zasady samego ich udostępniania między podmiotami prywatnymi oraz publicznymi. Wspólnym mianownikiem jest konieczność ochrony danych przed nieautoryzowanym dostępem, manipulacją i utratą.
Praktyczne kroki dla firm w kontekście Data Act i cyberbezpieczeństwa
Dostosowanie się do nowych zasad udostępniania danych oznacza dla firm wyzwanie związane z koniecznością utrzymania zgodności z regulacjami przy jednoczesnym realnym zabezpieczeniu procesów i infrastruktury.
Co mogą zrobić firmy?
- Audyt i klasyfikacja danych – identyfikacja zasobów objętych obowiązkiem udostępniania i przypisanie im odpowiednich poziomów bezpieczeństwa, a także analiza mechanizmów ich udostępniania.
- Wdrożenie mechanizmów bezpiecznego udostępniania danych – zapewnienie technicznych i organizacyjnych możliwości bezpiecznego przesyłania, odbierania i gromadzenia danych objętych regulacjami, np. poprzez zabezpieczenie sieci firewallem nowej generacji.
- Monitoring i detekcja zagrożeń – analiza ruchu sieciowego realizowana przez wyspecjalizowane Security Operations Center pozwala na wykrywanie zagrożeń w czasie rzeczywistym i podejmowanie stosownych działań.
- Szyfrowanie danych w ruchu – wdrożenie bezpiecznych kanałów wymiany danych między partnerami biznesowymi z użyciem rozwiązań VPN i szyfrowania end-to-end zwiększa ich bezpieczeństwo.
- Ochrona otrzymanych danych – wdrożenie usługi klasy Managed UTM kompleksowo zwiększa bezpieczeństwo danych otrzymanych od innych podmiotów, redukując niebezpieczeństwo ich wycieku.
W UE jest coraz więcej wymagań prawnych, dlatego firmy muszą się do nich na bieżąco dostosowywać – dotyczy to również ochrony danych klientów. Wdrożenie wskazanych rozwiązań pozwala firmom sprostać wymaganiom regulacyjnym, bez narażania się na nowe zagrożenia wynikające z obowiązku udostępniania danych.
Formularz kontaktowy
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Formularz kontaktowy
Zostaw swoje dane kontaktowe, a nasz przedstawiciel handlowy
wkrótce skontaktuje się z Tobą
Inne formy kontaktu
-
Infolinia dla nowych klientów
(Codziennie 8:00 - 18:00) +48 22 35 81 550 -
Obsługa klienta i wsparcie techniczne
(Dostępne 24/7) 801 801 999
biznes@netia.pl -
Adres korespondencyjny Netia S.A.
skr. pocztowa nr 597
40-950 Katowice S105