newtech.law - prawne aspekty nowych technologii

Jedną z głównych nowych instytucji wprowadzonych przez Data Act jest prawo użytkownika do dostępu do danych (w tym stosownych metadanych niezbędnych do ich interpretacji i wykorzystania) pochodzących z używanego produktu skomunikowanego lub usługi powiązanej z produktem skomunikowanym.

Dane, do których użytkownik może uzyskać dostęp, mogą mieć istotną wartość handlową dla posiadacza danych (np. producenta produktu skomunikowanego). Dlatego kluczowe z punktu widzenia posiadacza danych może być to, aby dane te pozostały nieujawnione lub aby korzystanie z takich danych było ograniczone.

Branża IoT i usług powiązanych jest jednym z głównych adresatów przepisów Data Act. Przedsiębiorcy z tej branży mogą być zmuszeni do podjęcia działań operacyjnych, aby dostosować swoją działalność do nowych wymogów. W artykule przybliżamy kluczowe obowiązki wynikające z Data Act dla przedsiębiorców z branży IoT oraz ich operacyjne implikacje.

Przedumowne obowiązki informacyjne

Czego dotyczą nowe obowiązki?

Podmioty, które sprzedają, oddają w najem, dzierżawę lub leasing produkt skomunikowany, jeszcze przed zawarciem umowy z użytkownikami mają obowiązek przedstawić im co najmniej następujące informacje:

• jakie dane może wygenerować produkt skomunikowany (rodzaj, format i szacunkowa ilość danych),
• czy produkt skomunikowany może generować dane w sposób ciągły i w czasie rzeczywistym,
• czy produkt skomunikowany może przechowywać dane na urządzeniu lub na zdalnym serwerze, a w stosownym przypadku – jaki jest zamierzony okres zatrzymywania danych,
• w jaki sposób użytkownik może uzyskać dostęp do tych danych, pobrać je lub w stosownym przypadku usunąć, jakie środki techniczne są stosowane w tym celu, a także jakie są warunki ich wykorzystywania i jakość usługi.

12 września 2025 r. był pierwszym dniem stosowania Data Act (czyli rozporządzenia (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828). Na co powinni zwrócić uwagę przedsiębiorcy?

Charakter i cel Data Act

Data Act jest rozporządzeniem unijnym i jako takie jest bezpośrednio stosowany w Polsce i wszystkich innych państwach członkowskich UE. Na poziomie krajowym Data Act będzie wprawdzie uzupełniony przez przepisy lokalne – będą one jednak zasadniczo regulować kwestie formalne (np. dotyczące postępowań w sprawie naruszenia Data Act), a nie materialne. Innymi słowy w całej UE Data Act będzie obowiązywał w tej samej treści.

Proponuję, dla zachowania niezbędnej równowagi, spojrzeć niekiedy z boku na ogarniającą nas coraz częściej technologiczną ekstazę. Szybko zrozumiemy wtedy, że to nie inwestowanie bezprecedensowych sum w rozwój AI i innych technologii cyfrowych jest aktualnie naszą najpilniejszą potrzebą.

Od jakiegoś czasu nie daje mi spokoju tzw. paradoks Solowa. To zaobserwowana w latach 80. XX wieku zupełnie nieintuicyjna zależność pomiędzy rozwojem cyfrowych technologii a produktywnością. Dane ekonomiczne za ostatnie 40 lat pokazują, że w gospodarkach najbardziej rozwiniętych wcale nie doszło do znaczącego wzrostu produktywności, pomimo rozpowszechnienia internetu, komputerów oraz różnych cyfrowych narzędzi. Co ciekawe, wskaźniki produktywności są w tym okresie wyraźnie niższe niż w okresach poprzedzających cyfrową rewolucję.

Na poziomie deklaracji i intencji Akt w sprawie sztucznej inteligencji jednoznacznie postuluje zapewnienie nadzoru nad systemami AI przez człowieka. Na poziomie niższym, w szczególności przy określaniu szczegółowych obowiązków podmiotów stosujących systemy AI, przepisy Aktu nie są już tak jednoznaczne. W tekście staram się zarysować najważniejsze wyzwania, z którymi w tym kontekście będą musieli zmierzyć się dostawcy systemów AI oraz podmioty stosujące te systemy.

Na pierwszym tegorocznym spotkaniu będziemy rozmawiać o wytworach generowanych przez AI lub z pomocą AI oraz o tym, jak deepfake może wpłynąć na procedury KYC.