Dostawcy usług chmurowych będą mieć nowe obowiązki, do których trzeba się przygotować

Podmiot świadczący usługi z wykorzystaniem udostępniania danych każdorazowo będzie musiał weryfikować, czy te z jego portfolio zaliczają się do usług przetwarzania danych w rozumieniu unijnego aktu w sprawie danych. Bez znaczenia będzie skala prowadzonej działalności

Stanie się tak za sprawą unijnego rozporządzenia 2023/2854 w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania ‒ aktu w sprawie danych (z ang. Data Act; dalej: ASD). I choć formalnie weszło ono w życie 11 stycznia 2024 r., to w polskim prawie zacznie być stosowane dopiero od 12 września 2025 r. W tym czasie dostawcy usług przetwarzania danych (czyli – w uproszczeniu – firmy oferujące infrastrukturę lub aplikacje biznesowe w chmurze) muszą dostosować swoje umowy i regulaminy do nowej rzeczywistości prawnej. Opieszałość może oznaczać dla nich kary. Jaka będzie ich wysokość? Jeszcze nie wiadomo, bo tego unijne rozporządzenie nie precyzuje. Będzie to leżało w gestii naszego ustawodawcy.

Kluczowe obowiązki

Rozporządzenie ASD wprowadza skonkretyzowane regulacje dotyczące m.in. obowiązkowych postanowień umownych, obowiązków informacyjnych, kwestii interoperacyjności, wysokości opłat czy choćby konieczności wsparcia klienta w procesie zmiany dostawcy usług. W związku z tym prawa klienta i obowiązki wyjściowego dostawcy usługi przetwarzania danych (a więc tego, od którego usługa będzie przenoszona) muszą być jasno określone w pisemnej umowie, udostępnionej klientowi jeszcze przed jej podpisaniem. A na podstawie jej postanowień: