Data Act: що потрібно знати ІТ-бізнесу?

Нові правила гри на ринку даних

Data Act (Regulation 2023/2854) — це новий регламент ЄС, який з 12 вересня 2025 року змінить правила доступу до даних і їх використання.

Його головна мета — забезпечити чесний і прозорий розподіл цінності даних у європейській економіці, що особливо важливо в умовах швидкого зростання Інтернету речей (IoT). Відтепер підключені пристрої мають проєктуватися так, щоб користувачі — як бізнес, так і споживачі — могли легко та безпечно отримувати згенеровані дані, використовувати їх і ділитися з третіми сторонами. Це відкриває нові можливості для компаній, але водночас встановлює чіткі вимоги, яких доведеться дотримуватися.

Що саме зміниться та як ІТ-бізнесу підготуватися до нових правил — розглянемо у цій статті.

 Чи підпадаєте ви під дію Data Act?

Data Act має надзвичайно широкий обсяг застосування. 

Регламент охоплює як персональні, так і неперсональні дані, причому конкретні вимоги залежать від змісту окремої глави. 

Наприклад, положення глави II стосуються лише даних про продуктивність, використання та умови функціонування підключених продуктів (наприклад, медичні та фітнес-пристрої) і пов’язаних послуг (наприклад, додаток для регулювання температури холодильника). Натомість глава V охоплює «будь-які дані приватного сектору», з особливим акцентом на неперсональні дані.

Окрім цього, дія Data Act розповсюджується на широкий спектр учасників ринку. Зокрема, під його регулювання підпадають:

• виробники підключених продуктів, які розміщуються на ринку ЄС, та постачальники пов’язаних послуг — незалежно від місця їхньої реєстрації;
• користувачі таких продуктів або послуг, які знаходяться на території ЄС;
• власники даних, незалежно від юрисдикції їх реєстрації, якщо вони роблять дані доступними для отримувачів у ЄС;
• отримувачі даних у ЄС, яким ці дані надаються;
• державні органи ЄС, які можуть отримувати дані у випадку виняткової потреби, а також власники даних, які їх надають у відповідь;

Інакше кажучи, Data Act зачіпає більшість компаній, які працюють з цифровими продуктами, сервісами чи даними в Європейському Союзі.

Читайте більше: MiCA та DORA compliance: ваш ключ до європейського фінансового ринку

Ключові новації

Новий погляд на старі права користувачів 

Data Act надає знайомим з GDPR правам користувачів новий зміст та практичне наповнення. Якщо раніше доступ до даних часто був формальністю або залежав від волі виробника, то тепер він перетворюється на чітко врегульоване право з конкретними обов’язками для власників даних.

1. Новий transparency обов’язок

Стаття 3 покладає на продавців, орендодавців та лізингодавців (які часто одночасно є виробниками підключених продуктів) обов’язок ще до укладення відповідного договору надати користувачеві чітку та зрозумілу інформацію, зокрема:

• тип, формат та приблизний обсяг даних, які здатен генерувати продукт;
• чи збір даних відбувається безперервно та в режимі реального часу;
• місце зберігання та термін зберігання даних;
• порядок доступу, копіювання або видалення даних користувачем (включно з технічними засобами для цього);
• умови використання даних і якість обслуговування.

Аналогічний обов’язок діє і для постачальників пов’язаних послуг, але перелік інформації, яку вони мають надати, є ширшим.

2. Право на доступ

Якщо користувач не має прямого доступу до даних, власник даних зобов’язаний надати йому такий доступ без невиправданих затримок, у тому числі разом із релевантними метаданими. Це має здійснюватися у простій та безпечній формі, у структурованому, загальновживаному та машиночитаному форматі, безкоштовно та за можливості — у режимі реального часу.

Для отримання даних користувачу достатньо подати звичайний запит. Подібно до GDPR, власник даних може перевіряти особу запитувача перед виконанням запиту.

Разом з цим, дане право має ряд винятків та обмежень:

• якщо доступ до даних передбачає розкриття комерційної інформації, власник та користувач можуть домовитися про вжиття останнім заходів для її захисту. У випадку незгоди або невиконання — власник має право відмовити у доступі або призупинити його, повідомивши про це письмово користувача і компетентний орган;
• якщо, попри вжиті заходи, існує висока ймовірність серйозної економічної шкоди через розкриття комерційної таємниці, власник може відмовити у наданні даних, повідомивши користувача та компетентний орган;
• за умовами договору з користувачем, власник може обмежити чи заборонити доступ, якщо це може поставити під загрозу безпеку продукту.

Користувач не може використовувати отримані дані для створення конкуруючого підключеного продукту чи передавати їх третім сторонам із такою метою.

Важливо, що власник даних може використовувати дані, що не є персональними, лише на підставі договору з користувачем і не має права передавати їх третім особам, окрім як для його виконання. В таких випадках власники повинні відповідним чином зобов’язати треті сторони не передавати далі отримані від них дані.

3. Право на передачу даних іншим особам

На запит користувача або особи, що діє від його імені, власник даних зобов’язаний без зайвої затримки передати третій стороні запитувані дані разом із релевантними метаданими. 

Це право реалізується за тими ж правилами, що й право на доступ: дані мають надаватися без зайвої затримки, у структурованому, машиночитаному форматі, із можливістю перевірки особи та з дотриманням заходів для захисту комерційної інформації.

Відмінність полягає у тому, що дані надаються не самому користувачу, а безпосередньо обраній ним третій стороні. При цьому:

• третя сторона може використовувати дані лише для узгоджених з користувачем цілей;
• передавати їх далі заборонено, якщо це прямо не передбачено домовленістю;
• дані повинні бути видалені після досягнення мети обробки (якщо інше не погоджено з користувачем).

Підстави для відмови чи призупинення передачі даних такі ж, як і у випадку з правом на доступ (лише замість користувача третя особа).

Важливо зазначити, що обов’язок виконання зазначених прав не поширюється на мікропідприємства або малі та середні підприємства у випадку виконанням певних умов. 

Читайте більше: DPIA: privacy інструмент, який недооцінюють

Ділимось з іншими бізнесами правильно

Data Act встановлює комплексну систему регулювання передачі даних між підприємствами у випадках, коли власник даних має законне зобов’язання надавати їх іншим бізнесам (отримувачам даних). 

Така система базується на таких положеннях:

1. Міжкорпоративний обмін даними повинен ґрунтуватися на принципах справедливості, розумності, прозорості та недискримінації.
2. Власники даних зобов’язані узгоджувати з отримувачами конкретний порядок надання даних, забезпечуючи однакові умови для всіх категорій користувачів. У випадку підозри на дискримінаційні практики отримувач даних може подати обґрунтований запит, а власник має без зволікань надати докази відсутності порушень.
3. Регламент також захищає від недобросовісних договірних практик: несправедливі положення договору або ті, що необґрунтовано обмежують права користувачів, визнаються недійсними автоматично.
4. Діє принцип пропорційності щодо обсягу інформації: передавати потрібно лише мінімально необхідний набір даних для виконання договірних чи законодавчих вимог.
5. Власникам даних дозволяється отримувати відшкодування у вигляді “розумної компенсації”. Її розрахунок здійснюється з урахуванням обсягу, формату та характеру даних, фактичних витрат на їх надання (включно з форматуванням, передачею та зберіганням), а також інвестицій у збір і виробництво даних.
6. Для великих підприємств передбачено право додавати розумну націнку до базових витрат. Натомість для малих і середніх компаній, а також для некомерційних дослідницьких організацій діє пільговий режим: компенсація обмежується лише фактичними технічними витратами.

Кінець “take-it-or-leave-it” договорів

Data Act приділяє особливу увагу положенням договорів, які регулюють доступ до даних та їх використання. 

Так, якщо договірна умова була односторонньо нав’язана одним підприємством іншому, вона не є обов’язковою для другої сторони, якщо визнається несправедливою. 

При цьому умови вважаються односторонньо нав’язаними, якщо одна сторона фактично не мала реальної можливості вплинути на їхній зміст, навіть роблячи спроби домовитися. В такому випадку сторона, яка наполягла на включенні такої умови, повинна довести, що вона не була нав’язана.

Завжди несправедливими визнаються умови, які суттєво відступають від добросовісної комерційної практики та суперечать принципам справедливості й чесності, зокрема ті, що:

• звільняють від відповідальності за умисні дії чи грубу недбалість;
• обмежують засоби правового захисту у разі невиконання зобов’язань;
• надають одній стороні виключне право визначати, чи відповідають дані умовам договору. 

Припускаються несправедливими положення, які:

• необґрунтовано обмежують можливості сторони захищати свої інтереси;
• дозволяють доступ чи використання даних на шкоду своїм законним інтересам;
• перешкоджають користуванню власними даними або обмежують право отримати їх копію;
• унеможливлюють розірвання договору протягом розумного часу.

Важливо, що якщо ж несправедлива умова може бути відокремлена від решти договору, то інші його положення залишаються чинними.

Водночас Data Act забороняє сторонам виключати чи змінювати ці правила на власний розсуд. Виняток становлять лише положення, що визначають головний предмет договору або справедливість ціни за дані — вони не підпадають під регулювання.

Читайте більше: Data processing agreement: узгодження та менеджмент

Коли держава стукає у двері

Data Act встановлює прозорі правила, за якими державні органи можуть отримувати доступ до даних, що зберігаються у підприємств.

У разі офіційного запиту власник даних зобов’язаний передати їх без необґрунтованої затримки, забезпечивши належні технічні, організаційні та правові заходи захисту.

Власник даних має право відмовити у наданні інформації або запропонувати зміни до запиту, якщо:

• він не контролює запитані дані;
• запити дублюються від різних органів без повідомлення про видалення вже наданих даних;
• запит не відповідає формальним вимогам.

Надати або відмовити у надані даних необхідно протягом 30 робочих днів, а у випадку надзвичайних ситуацій – протягом 5. 

Якщо серед запитаних даних є персональна інформація, вона має бути анонімізована. Якщо виконання запиту потребує розкриття саме особистих даних — застосовується псевдонімізація.

Власники даних, окрім мікропідприємств та малих підприємств, зобов’язані надавати дані безкоштовно у надзвичайних ситуаціях. В інших випадках вони можуть отримати справедливу компенсацію, що покриває витрати на анонімізацію, псевдонімізацію, агрегування, технічну адаптацію і може включати розумну націнку.

Вільний шлях для ваших даних

Data Act вводить нові вимоги до постачальників послуг обробки даних, щоб клієнти могли легко переходити на інші сервіси або на власну ІТ-інфраструктуру. 

Так, постачальники повинні усувати всі комерційні, технічні, договірні та організаційні бар’єри, які можуть перешкоджати клієнтам завершити контракт, укласти нову угоду з іншим провайдером, перенести дані та цифрові активи, а також забезпечити функціональну еквівалентність у новому середовищі. 

Основні нововведення для постачальників також включають:

1. Укладення договору із клієнтом який має чітко визначати його право на перемикання та обов’язки постачальника щодо підтримки переходу. 
2. Забезпечення права клієнта перемикатися на інший сервіс або власну інфраструктуру без необґрунтованих затримок. Постачальник зобов’язаний також надавати розумну технічну підтримку, гарантувати безпеку та безперервність роботи, інформувати про потенційні ризики та допомагати розробити стратегію виходу.
3. Надання клієнту після завершення перехідного періоду мінімум 30 днів для отримання його даних, після чого постачальник зобов’язаний їх повністю видалити.
4. Обов’язкове надання детальної інформації про процедури перемикання, формати, обмеження, технічні аспекти, а також підтримання актуального онлайн-реєстру структур і форматів даних. 
5. Надання інформації клієнту про вартість перемикання на інший сервіс, яка має покривати  лише фактичні витрати на процес перемикання (з 2027 цей процес має бути безкоштовним).

Дані під міжнародним прицілом

Data Act встановлює суворі правила щодо доступу урядових органів третіх країн до неперсональних даних, що зберігаються у ЄС. 

Постачальники послуг обробки даних повинні вживати всі необхідні технічні, організаційні та правові заходи, включно з контрактними положеннями, щоб запобігти передачі даних або наданню доступу у випадках, коли це суперечить праву ЄС або національному законодавству держав-членів.

Основне правило: будь-яке рішення органів третьої країни щодо доступу до неперсональних даних може виконуватися лише на підставі міжнародної угоди, наприклад договору про взаємну правову допомогу між цією країною та ЄС або державою-членом.

Якщо такої угоди немає, доступ можливий лише за дотриманням наступних умов:

• рішення має бути обґрунтованим і пропорційним, з чітким посиланням на підозрюваних осіб чи конкретні правопорушення;
• у третій країні повинна бути можливість оскарження або спростування рішення незалежним наглядовим органом;
• компетентний суд або орган третьої країни має враховувати законні інтереси постачальника даних, захищені законодавством ЄС або національним правом.

Постачальник, який отримує запит, може звернутися до національного органу з міжнародного співробітництва для перевірки законності запиту, особливо якщо він стосується комерційно чутливої інформації, комерційної таємниці чи об’єктів інтелектуальної власності. 

У випадку, якщо протягом одного місяця відповіді не надійшло або підтверджено порушення умов, постачальник має право відмовитися від виконання запиту.

Навіть якщо всі умови дотримані, доступ допускається лише в мінімально необхідному обсязі. Постачальник повинен керуватися розумною інтерпретацією запиту самостійно або у співпраці з національним органом. Крім того, він зобов’язаний повідомити клієнта про існування запиту на його дані до моменту виконання, за винятком випадків, коли йдеться про правоохоронні заходи і попереднє повідомлення могло б зашкодити їхній ефективності.

Обов’язки ІТ-бізнесу: що робити, щоб бути в комплаєнсі?

Data Act створює комплексну систему вимог, які вимагають серйозної підготовки від ІТ-компаній. Залежно від вашої бізнес-моделі та специфіки діяльності, вам необхідно буде виконати частину або всі з наступних обов’язків:

• організувати надання користувачеві інформації визначеної статтею 3 Data Act перед укладенням договору з ним;
• створити технічну можливість для прямого доступу користувача до згенерованої інформації АБО механізм швидкого надання даних у відповідь на запити;
• створити систему передачі даних користувача третім особам на виконання його запиту з належними заходами контролю та безпеки;
• переглянути договірні практики: усунути дискримінаційні, несправедливі та нав’язані умови, встановити справедливе ціноутворення;
• організувати механізм отримання та виконання офіційних запитів у встановлені строки;
• провести комплексний аудит поточних процесів обробки та зберігання даних;
• навчити персонал новим вимогам та процедурам;
• оновити внутрішні політики та технічну інфраструктуру відповідно до стандартів Data Act;
• та вжити безліч інших необхідних заходів. 

Контроль і відповідальність за Data Act

Для ефективного впровадження Data Act держави-члени призначатимуть один або кілька компетентних органів. Якщо таких органів буде кілька, один із них виконуватиме роль “data coordinator” — «єдиного вікна» для всіх питань, пов’язаних із застосуванням регламенту на національному рівні. 

Крім того, держави-члени можуть створювати сертифіковані органи з вирішення спорів. Вони стануть інструментом для сторін, які не можуть домовитися щодо справедливих, розумних та недискримінаційних умов надання даних. 

Однак Data Act не обмежується лише наглядовими механізмами. 

За недотримання обов’язків із глав II, III та V можуть застосовуватися адміністративні штрафи на рівні GDPR. Це означає, що компанії ризикують отримати санкції від органів захисту персональних даних у розмірі до 20 млн євро або 4% від річного світового обороту — залежно від того, яка сума більша. Аналогічно, Європейський наглядовий орган із захисту даних (EDPS) матиме право накладати значні штрафи у межах своєї компетенції.

Хто може допомогти з комплаєнсом з Data Act?

Лігал Айті Груп (Legal IT Group) допомагають бізнесу підготуватися до вимог Data Act та інтегрувати їх у внутрішні процеси управління даними й комплаєнсу. Legal IT Group формують повний пакет документації для роботи з даними, переглядають договори, політики та технічні процедури, щоб вони відповідали новим правилам. Legal IT Group проводять gap assessment, аудит поточних процесів і розробляють Data Act Compliance Program, що враховує також GDPR та інші регламенти ЄС.