W dniu 23 lutego 2022 r. został opublikowany projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (akt w sprawie danych) – tzw. Data Act[1].

Czy propozycje postanowień Data Act wpłyną na umowy chmurowe?

Plan wyjścia z chmury obliczeniowej (exit plan)

Jak wskazywaliśmy w newsletterze IT-Tech 1/2022, dobrze opracowany exit plan jest potężnym narzędziem w rękach zamawiającego chmurę obliczeniową. Pozwala uniknąć zjawiska vendor lock-in lub je zminimalizować, zadziałać szybko w sytuacji kryzysowej, a także ustalić zakres obowiązków wykonawcy na etapie, gdy stosunki między nim a zamawiającym są poprawne, a tym samym – kiedy jest to jeszcze możliwe.

Wskazywaliśmy również na poradniki i wytyczne dotyczące chmury, które zawierają wymagania odnośnie do opracowania planu wyjścia z chmury obliczeniowej. Zgodnie z poradnikami i wytycznymi podstawą zastosowania planu wyjścia powinny być odpowiednie klauzule umowne związane z rozwiązaniem umowy, które miałyby m.in.:

  1. zapewniać użytkownikowi możliwość rozwiązania umowy i przeniesienia danych w razie potrzeby;
  2. zobowiązywać dostawcę do współpracy podczas przenoszenia powierzonych mu danych, systemów lub aplikacji do innego dostawcy usług lub bezpośrednio do infrastruktury użytkownika.

Przedmiotowe poradniki i wytyczne nie mają jednak charakteru prawa powszechnie obowiązującego. Oczywiście dostawcy, którzy chcą się liczyć na rynku usług chmurowych, powinni spełniać wymagania płynące z publikowanych poradników i wytycznych, jednakże za brak stosowania powyższych zasad nie mogą go spotkać żadne sankcje, a także użytkownicy chmury nie mają obecnie żadnych narzędzi do tego, aby domagać się wprowadzenia odpowiednich postanowień do umów chmurowych.

Czy proponowane przepisy Data Act zmienią sytuację zamawiających i wykonawców?

Obowiązek zapewnienia przejścia na inne usługi przetwarzania danych?

Projekt Data Act zawiera propozycje postanowień gwarantujących możliwość przejścia na inne usługi przetwarzania danych. Co istotne, jeśli zaproponowany projekt regulacji zostanie przyjęty, to z uwagi na jego charakter – tj. formę rozporządzenia – będzie on, podobnie jak obecnie RODO, obowiązywać bezpośrednio, bez konieczności implementacji do krajowych porządków prawnych.

Zgodnie z projektem art. 23 Data Act dostawcy usług przetwarzania danych mają obowiązek wprowadzić środki przewidziane w art. 24–26 Data Act (tj. postanowienia umowne dotyczące zmiany usług przetwarzania danych, stopniowego wycofywania opłat z tytułu zmiany dostawcy oraz związane z aspektami technicznymi zmiany dostawcy), aby zapewnić klientom korzystającym z ich usług możliwość przejścia na inną usługę przetwarzania danych, obejmującą ten sam rodzaj usług, świadczoną przez innego dostawcę usług.

Dostawcy usług przetwarzania danych[2] w szczególności usuwają przeszkody handlowe, techniczne, umowne i organizacyjne, które utrudniają klientom:

  1. wypowiedzenie umowy o świadczenie usługi po upływie okresu wypowiedzenia wynoszącego maksymalnie 30 dni kalendarzowych;
  2. zawarcie nowych umów z innym dostawcą usług przetwarzania danych, obejmujących ten sam rodzaj usług;
  3. przenoszenie ich danych, aplikacji i innych aktywów cyfrowych do innego dostawcy usług przetwarzania danych;
  4. utrzymanie równoważności funkcjonalnej usługi w środowisku informatycznym innego dostawcy lub innych dostawców usług przetwarzania danych, obejmujących ten sam rodzaj usług, zgodnie z art. 26.

Umowa a zmiana dostawcy usług przetwarzania danych

Data Act precyzuje, że prawa klienta i obowiązki dostawcy usług przetwarzania danych w odniesieniu do zmiany dostawcy takich usług muszą być jasno określone w pisemnej umowie.

W umowie powinny być określone co najmniej następujące elementy:

  1. Klauzule umożliwiające klientowi, na jego wniosek, przejście na usługę przetwarzania danych oferowaną przez innego dostawcę usług przetwarzania danych lub przeniesienie wszystkich danych, aplikacji i aktywów cyfrowych wygenerowanych bezpośrednio lub pośrednio przez klienta do systemu lokalnego:
  2. w szczególności klauzule umożliwiające ustanowienie obowiązkowego maksymalnego okresu przejściowego wynoszącego 30 dni kalendarzowych, podczas którego dostawca usług przetwarzania danych:
  3. wspomaga i – jeżeli jest to technicznie wykonalne – kończy proces zmiany dostawcy;
  4. zapewnia pełną ciągłość świadczenia odpowiednich funkcji lub usług.
  5. Wyczerpująca specyfikacja wszystkich kategorii danych i aplikacji, które można eksportować w trakcie procesu zmiany dostawcy, w tym co najmniej:
  6. wszystkich danych importowanych przez klienta w momencie zawarcia umowy o świadczenie usług oraz
  7. wszystkich danych i metadanych utworzonych przez klienta w wyniku korzystania z usługi w okresie jej świadczenia, w tym m.in. parametrów konfiguracji, ustawień zabezpieczeń, praw dostępu i rejestrów dostępu do usługi.
  8. Minimalny okres, w którym można odzyskać dane, wynoszący co najmniej 30 dni kalendarzowych, rozpoczynający się po zakończeniu okresu przejściowego uzgodnionego między klientem a dostawcą usług, tj. maksymalnego okresu przejściowego wynoszącego 30 dni kalendarzowych.

Aspekty techniczne zmiany dostawcy

Propozycje przepisów Data Act ustanawiają również obowiązki w zakresie aspektów technicznych zmiany dostawcy.

Dostawcy usług przetwarzania danych, które to usługi dotyczą skalowalnych i elastycznych zasobów obliczeniowych ograniczonych do elementów infrastruktury, takich jak serwery, sieci i zasoby wirtualne niezbędne do obsługi infrastruktury, ale nie zapewniają dostępu do usług operacyjnych, oprogramowania ani aplikacji, które są przechowywane, przetwarzane w inny sposób lub wdrażane na tych elementach infrastruktury, muszą zapewnić klientowi po przejściu na usługę obejmującą ten sam rodzaj usługi, oferowaną przez innego dostawcę usług przetwarzania danych, równoważność funkcjonalną w korzystaniu z nowej usługi.

W przypadku usług innych niż usługi dotyczące skalowalnych i elastycznych zasobów obliczeniowych ograniczonych do elementów infrastruktury dostawcy muszą:

  1. publicznie i bezpłatnie udostępnić otwarte interfejsy;
  2. zapewnić zgodność z otwartymi specyfikacjami interoperacyjności lub europejskimi normami interoperacyjności określonymi zgodnie z art. 29 ust. 5 Data Act.

Jeżeli takie standardy nie istnieją, dostawca, na wniosek klienta, eksportuje wszystkie wygenerowane lub współwygenerowane dane (w tym formaty i struktury danych) do ustrukturyzowanego, powszechnego i nadającego się do odczytu maszynowego formatu.

W art. 28 Data Act wskazano też wymagania, które muszą zostać spełnione przez operatorów przestrzeni danych w celu ułatwienia interoperacyjności danych oraz mechanizmów i usług udostępniania danych.

Podsumowanie

Zaproponowana regulacja jest dobrym krokiem w kierunku „twardego” uregulowania pozycji zamawiającego w kontekście przejścia na usługi innego dostawy. Charakter regulacji w formie rozporządzenia powoduje, że niezależnie od woli dostawców będą oni musieli spełnić wymagania określone obecnie w projekcie Data Act. Pozwoli to na uniknięcie vendor lock-in i umożliwi przeniesienie danych, aplikacji i innych aktywów cyfrowych zamawiających do innego dostawcy usług przetwarzania danych.

Pamiętać należy przy tym, że analizowana treść Data Act jest jednak projektem rozporządzenia – będziemy obserwować, w jaki sposób zostaną ostatecznie ukształtowane przepisy dotyczące obowiązku zapewnienia przejścia na inne usługi przetwarzania danych.