Data Act – nadzieja czy beznadzieja?

Im więcej wiem, tym wiem, że nic nie wiem.

Sokrates, Ateny, ok. 420 p.n.e.

Na jednej ze ścian w Koszycach znajduje się napis: „Zasnąłem ze starym joystickiem w ręku…”. Uwielbiam takie zaszyfrowane informacje, które artyści street artu umieszczają w swoich rysunkach, grafikach czy ezoterycznych napisach. We wczesnych latach 90., były wszechobecne i pojawiały się bez końca w ilościach „przemysłowych” w autobusach w postaci „wlepek”. Mowa chociażby o słynnym dzisiaj tajemniczym artyście Banksym, czy naszym krajowym (w mojej ocenie równie zjawiskowym) artyście o pseudonimie Dżepetto.

Fotografuję takie grafiki i napisy, a potem w zaciszu domowym doszukuję się zawsze drugiego dna, aluzji, metafory, bo one tam na pewno są, tyle tylko, że sprytnie zakamuflowane. Ich piękno polega na tym, że jest w pełni zrozumiała jedynie dla autora danego napisu czy grafiki, a dla samego obserwatora zostaje czymś intrygującym, czymś, co warto odkryć, bo tego też często oczekuje sam autor, pozostawiając to do własnej interpretacji.

O ile mówimy o sztuce dawnej czy współczesnej w jakiejkolwiek formie, to jest to zrozumiałe. Gorzej, kiedy taka „zaszyfrowana informacja” pojawia się w przestrzeni publicznej jako regulacja, rozporządzenie, akt prawny czy nowa dyrektywa, która nie jest w pełni zrozumiała, a oczekiwania, które za nią stoją, są niemalże jak u Kanta: „aby stało się powszechnym prawem”.

Takie sytuacje wśród moich znajomych reprezentujących sektor finansowy dość często wywołują niepokój emocjonalny, a ten nowy „napis na ścianie”, który będziemy dziś omawiać, zwą Data Act.

Data Act – początki

2 lata temu napisałem artykuł o regulacji DORA i z perspektywy czasu mogę powiedzieć w odniesieniu do powyższego, że DORA była bardzo przejrzystą regulacją. Być może była „opasła” w ilości tekstu, klauzul, wymogów prawnych, może też i przesadna w niektórych obszarach, ale stanowiła dość zrozumiałe rozporządzenie, a już szczególnie na późniejszym etapie. Większość organizacji podeszła do jej wdrażania z dużym zaangażowaniem i poważnie się do tego przygotowały, a same kancelarie tonęły w ilościach pracy.

Data Act to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania. Ma na celu zmianę podejścia oraz przekształcenie metod współdzielenia, udostępniania, eksploatacji oraz użycia danych, głównie jako obowiązek w odniesieniu do dostawców usług chmury/produktów oraz software pod IoT. Oficjalnie wszedł w życie dosłownie miesiąc temu – 12 września 2025 i wprowadza szereg zmian i wymagań.

Data Act – co oznacza w praktyce?

Nie zwykłem nazywać czegoś problemem, ale sama interpretacja owego aktu prawnego to niezłe wyzwanie, czego z perspektywy czasu nie można powiedzieć o interpretacji regulacji DORA.

Co ciekawe, i obym znów nie było królewną trojańską przepowiadającą przyszłość, chyba nie wszyscy w pełni zdają sobie sprawę, że Data Act nie dotyka jedynie tematu chmury publicznej. Przedmiotowa zmiana ma charakter fundamentalny i pociąga za sobą zarówno liczne korzyści, jak i wyzwania dla konsumentów, podmiotów gospodarczych oraz dla samego sektora publicznego.

Podmioty świadczące usługi w zakresie przetwarzania danych zobowiązane są do dostosowania swojej działalności do wymogów rozporządzenia Data Act (który już wszedł w życie).

Interpretacja aktu może być naprawdę rozległa, niemniej skupię się jedynie na samym aspekcie prawnym w obrębie chmury publicznej. Zacznijmy od początku, czyli w jaki sposób ten akt prawny dotyka chmurę publiczną.

Co reguluje Data Act?

Data Act ma wpływ na:

• Posiadaczy danych – dostawców IoT, oprogramowania IoT oraz ma zastosowanie do wszelkich danych sektora prywatnego podlegających ustawowym obowiązkom w zakresie dzielenia się danymi.
• Dostawców usług przetwarzania danych CSP (Cloud Services Provider) oraz klienta dostawcy usługi przetwarzania danych.

W obu wymienionych przypadkach należy przyjąć, że instytucje powinny:

• O ile dane można wymieniać, to należy to umożliwić i ułatwić.
• Jeśli usługę/dostawcę klient chce zmienić na taką samą, przenosząc wszystkie dane, to trzeba to umożliwić.

W praktyce rozporządzenie Data Act znajdzie zastosowanie między innymi w odniesieniu do:

• danych generowanych przez urządzenia Internetu Rzeczy (IoT),
• usług powiązanych,
• rozwiązań chmurowych,
• posiadaczy danych.

Oznacza to, że zarówno podmioty gospodarcze, jak i konsumenci uzyskają nowe uprawnienia w zakresie dostępu do danych, które dotychczas były niedostępne lub których wykorzystanie było ograniczone postanowieniami umownymi.

Data Act w bankowości i usługach finansowych

Banki oraz instytucje finansowe nie będą podlegać aktowi (w kontekście rozwiązań chmurowych), o ile:

• Nie dostarczają urządzeń IOT lub oprogramowania, które nim steruje.
• Nie świadczą usług chmurowych.

Data Act swoimi wymaganiami wspiera wprost MultiCloud oraz strategie wyjścia (ang. vendor switching). Mówimy o zamianie chmury na chmurę, tak więc regulacja kładzie nacisk na takich dostawców jak np.: Azure, AWS, Google oraz standaryzację danych czy interoperacyjność. Jednym słowem narzuca i wymusza przenoszalność danych.

Z punktu widzenia banku to idealny wariant. Tym samym można by w tym momencie zakończyć felieton, tyle tylko, że dochodzimy właśnie do sedna sprawy.

Dotknijmy tego napisu na ścianie i tego niepokoju emocjonalnego związanego z wieloraką możliwością interpretacji.

Data Act w bankowości i usługach finansowych – interpretacje

Co jeśli bank będzie oferował usługę, urządzenia klasy IoT, których celem jest zbieranie danych o użytkownikach – np.: hiperpersonalizacji. Czy wtedy oni sami nie będą podlegać owej regulacji? No właśnie i tutaj mamy pierwszy wielki znak zapytania…

Jeśli instytucja finansowa zaczyna oferować urządzenia klasy IoT oraz aplikacje mobilne rozwijane w ramach struktury bankowej, to w niedalekiej przyszłości mogą one zostać objęte zakresem regulacji wynikających z Data Act.

Dodatkowo, w kontekście hiperpersonalizacji – jeśli aplikacja mobilna będzie gromadzić i analizować dane dotyczące klienta, takie jak lokalizacja, aktywność czy preferencje zakupowe – pojawia się pytanie, czy bank będzie właścicielem tych danych i również będzie podlegał przepisom Data Act.

Starałem się zweryfikować te informacje i zdaniem wielu osób obecnie zakres jest cały czas otwarty.

A teraz fakty:

1. Bank nie może świadczyć usług innych niż finansowe, bo tak jest regulowany, czyli nie świadczy chmury i IoT. Wniosek – nie podlega ustawie.
2. Usługi finansowe w Q&A regulatora wyłączone są z grupy usług powiązanych (mowa chociażby o aplikacji na telefonie). Wniosek – również nie podlegają.

Idąc dalej:

3. Bank obowiązuje „tajemnica bankowa”. A co w sytuacji, gdy instytucja posiada dane z oferowanego przez siebie urządzania, które pod nią nie podlegają, chociaż urządzenie może być część banku? Pytań jest trochę i powstaje wielorakość możliwości…

Definicje zawarte w Data Act są na tyle szerokie i płynne, że można je interpretować na różne sposoby – i uznać, że bank jest dostawcą usług IoT.

Weźmy kolejny przykład pod rozwagę: jeśli bank dostarcza urządzenia IoT w pakiecie z usługą finansową, to co wówczas dominuje – technologia IoT czy usługa finansowa?

Komisja Europejska przygotowuje obecnie wytyczne zarówno dla dostawców usług chmurowych, jak i dla instytucji finansowych. Nie zmienia to jednak faktu, że temat ten budzi wiele niepokoju – również wśród osób zawodowo związanych z sektorem bankowym.

Z jednej strony, z perspektywy banku, można uznać Data Act za idealne rozwiązanie: ułatwienie przenoszenia i udostępniania danych, większa przejrzystość. Z drugiej strony, bardzo prawdopodobne jest, że instytucje finansowe będą musiały samodzielnie interpretować i stosować przepisy Data Act – jako pośredni dostawcy usług IoT oraz (nie bezpośrednio) dostawcą danych jako CSP.

Warto też pamiętać, że wraz z wejściem w życie regulacji DORA, pojawiła się zgoda na rozdzielenie usług bankowych od usług chmurowych (Q&A regulatora – usługi finansowe nie podlegają), a także na wyodrębnienie usług chmurowych od innych usług ICT, które dotychczas były traktowane jako jedna kategoria (zgodnie z listą usług w RTS). Można też wyciągnąć wniosek, że banki raczej nie będą oferować skalowalnych usług.

Z perspektywy instytucji finansowych Data Act może wydawać się rozwiązaniem korzystnym – otwierającym drogę do lepszej kontroli nad danymi, łatwiejszego przenoszenia usług i redukcji kosztów zmiany dostawcy. Niemniej, w przypadku oferowania produktów i usług wykraczających poza tradycyjne usługi finansowe, banki mogą zostać objęte zakresem nowej regulacji.

Poddam jeszcze jedną kwestię pod rozwagę: czy takie podejście będzie sprzyjać rozwojowi innowacyjnych usług cyfrowych? Być może tak, ale istnieje obawa, że doświadczeni gracze rynkowi, korzystając z mechanizmów Data Act, będą przejmować rozwiązania od młodych, „nieopierzonych” podmiotów – zgodnie z założeniami Data Act traktowanych ulgowo.

Epilog

Obawiam się, a raczej moja wypowiedź graniczy z pewnością, że powyższy opis to tylko czubek góry lodowej – kropla w morzu wyjaśnień. Niemniej stwierdziłem, że warto otworzyć dyskusję tym krótkim felietonem, bo sam temat na pewno będzie wracał jak bumerang.

Data Act wprowadza głębokie zmiany w obszarze przetwarzania danych, których znaczenie trudno przecenić. Choć jego intencją jest wyrównanie szans, zwiększenie przejrzystości i umożliwienie pełniejszego wykorzystania danych, to dla wielu organizacji – w tym instytucji finansowych – oznacza to również konieczność ponownego zdefiniowania zakresu działalności i stosowanych technologii.

Posłowie

Rozmawiam często z moimi przyjaciółmi, którzy na przełomie ostatnich kilkunastu lat „rozsypali się i zakotwiczyli” w różnych instytucjach finansowych – w bankach, firmach ubezpieczeniowych, windykacyjnych czy pożyczkowych. Szukając inspiracji do kolejnych felietonów, zasięgam często języka u nich samych, a oni, chętnie dzieląc się swoimi obserwacjami, stają się współautorami moich publikacji.

Wiedzą, że temat opiszę w felietonie – oczywiście w stylu zawoalowanym, a momentami nawet filuternym – gdyż chcę w ten sposób subtelnie poinformować czytelników o nadchodzących „regulacyjnych niespodziankach”. Podobnie jak w przypadku FiDA, inspiracją do podjęcia tego wątku był kolejny szacowny przedstawiciel instytucji bankowej, prywatnie mój serdeczny kolega, któremu niniejszym dziękuję. Jednocześnie pozwolę sobie zachować jego anonimowość.