Bezpośredni dostęp do danych to kluczowe pojęcie w kontekście rozporządzenia Data Act (DA). Zgodnie z jego założeniami, użytkownik powinien mieć możliwość uzyskania danych w sposób samodzielny, bez angażowania pośredników, a więc np. poprzez pobranie, strumieniowanie lub odczytanie danych bez udziału posiadacza danych. W praktyce oznacza to konieczność projektowania systemów informatycznych w taki sposób, aby oferowały mechanizmy umożliwiające użytkownikowi swobodną interakcję z danymi.
Czym jest bezpośredni dostęp do danych?
W rozumieniu DA, bezpośredni dostęp do danych oznacza, że użytkownik posiada środki techniczne do samodzielnego pozyskiwania danych. Może to odbywać się np. przez:
- aplikację mobilną lub webową,
- portal internetowy,
- interfejs API,
- dedykowane oprogramowanie umożliwiające eksport danych.
Kluczowe jest to, aby użytkownik nie musiał każdorazowo zwracać się do posiadacza danych (np. producenta urządzenia) o udostępnienie konkretnych informacji.
Wymagania techniczne
Aby zagwarantować bezpośredni dostęp do danych, systemy muszą zostać odpowiednio zaprojektowane. W szczególności należy uwzględnić:
- bezpieczeństwo danych – szyfrowanie transmisji, kontrola dostępu, autoryzacja użytkownika,
- monitorowanie – mechanizmy rejestrujące próby nieautoryzowanego dostępu,
- elastyczność – możliwość wyboru różnych kanałów pozyskiwania danych (API, aplikacje, portale).
Producenci mogą zdecydować, czy dane będą udostępniane w formie pośredniej czy bezpośredniej. Zapis „jeśli jest to technicznie możliwe” daje im dużą swobodę w doborze rozwiązań, pozwalając jednocześnie na uwzględnienie ochrony tajemnicy przedsiębiorstwa czy kosztów wdrożenia.
Problemy praktyczne i brak standardów
Choć założenia DA są jasne, praktyka pokazuje, że definicja bezpośredniego dostępu jest nieprecyzyjna. Nie wiadomo jednoznacznie, czy:
- interfejs API wystarczy, aby mówić o bezpośrednim dostępie,
- dostęp przez platformę producenta (z koniecznością logowania i akceptowania wniosków) mieści się w tej definicji,
- wymagany jest fizyczny port (np. USB) czy dedykowana aplikacja.
Brak standardów technicznych powoduje ryzyko, że producenci będą wdrażać jedynie symboliczny dostęp, spełniający minimalne wymogi formalne, ale mało użyteczny dla użytkownika.
Przykład praktyczny
Firma TechCar Sp. z o.o. produkuje nowoczesne samochody elektryczne. Użytkownik Jan Nowicki chciałby pobierać dane o zużyciu energii i stylu jazdy. Producent udostępnia jedynie portal online, gdzie Jan może pobrać plik CSV raz w miesiącu. Formalnie jest to „bezpośredni dostęp”, jednak w praktyce nie pozwala na bieżące monitorowanie danych ani integrację z aplikacjami analitycznymi. Taki dostęp jest więc ograniczony i nie w pełni realizuje cele DA.
„Jeśli jest to technicznie możliwe” – furtka dla producentów
Sformułowanie to daje producentom prawo do ograniczenia dostępu, jeśli mogą powołać się np. na:
- bezpieczeństwo systemu,
- konieczność ochrony tajemnicy przedsiębiorstwa,
- wysokie koszty wdrożenia alternatywnych rozwiązań.
Problem polega na tym, że brak jasnych kryteriów uniemożliwia skuteczną kontrolę zasadności takich ograniczeń. W konsekwencji użytkownicy mogą mieć niewielkie możliwości egzekwowania prawa do realnego dostępu do danych.
Podsumowanie
Bezpośredni dostęp do danych w rozumieniu DA to koncepcja mająca ułatwić użytkownikom korzystanie z danych generowanych przez urządzenia i systemy. Jednak brak precyzyjnych standardów technicznych sprawia, że producenci mogą ograniczać zakres tego dostępu, co osłabia skuteczność regulacji.
Podstawa prawna
- art. 3 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonijnych zasad dostępu do danych i ich wykorzystywania (Data Act).
Tematy porad zawarte w poradniku
- bezpośredni dostęp do danych w Data Act,
- wymagania techniczne dostępu do danych,
- prawa użytkownika do danych w UE,
- ochrona tajemnicy przedsiębiorstwa a dostęp do danych.