Gabriela Kocurek i Joanna Kik dla Rzeczpospolitej: „FinTech i dostawcy SaaS, PaaS i IaaS – co zmieni Data Act”

Data Act przeciwko vendor lock-in

Unijne rozporządzenie w sprawie danych obowiązuje od 12 września 2024 roku i ma na celu uregulowanie zasad dostępu do danych, ich wykorzystywania i przenoszenia w ramach UE. Głównym celem jest przeciwdziałanie zjawisku vendor lock-in, czyli uzależnieniu użytkowników od jednego dostawcy przez niemożliwe do pokonania bariery techniczne, prawne lub finansowe. Data Act skupia się na danych generowanych przez urządzenia i usługi cyfrowe – niezależnie od tego, czy zawierają dane osobowe, co stanowi istotną różnicę w stosunku do RODO. Adresatami nowych wymogów są nie tylko bezpośredni dostawcy chmury, ale także podmioty dostarczające swoje usługi przy wykorzystaniu chmury.

Szczegółowe wymogi dotyczące wyjścia z umowy

Data Act reguluje precyzyjnie, jak powinien wyglądać proces zakończenia współpracy z dostawcą przetwarzania danych. Umowa musi przewidywać maksymalny okres wypowiedzenia nieprzekraczający dwóch miesięcy. Po tym okresie klient ma 30 dni kalendarzowych (maksymalny okres przejściowy) na przeniesienie danych do nowego dostawcy lub lokalnej infrastruktury – z możliwością jednorazowego przedłużenia. Dostawca może wydłużyć ten okres do siedmiu miesięcy ze względów technicznych. Po zakończeniu okresu przejściowego rozpoczyna się kolejny, minimalny okres pobierania danych wynoszący co najmniej 30 dni. Wymogi te są bardziej szczegółowe niż te zawarte w DORA czy wytycznych EBA dotyczących outsourcingu i w tym zakresie nadpisują dotychczasowe obowiązki sektorowe.

Kontrowersje wokół opłat za zmianę dostawcy

Kluczową – i budzącą wątpliwości interpretacyjne – zmianą jest zakaz obciążania klientów opłatami za procedurę zmiany dostawcy, który w pełni zacznie obowiązywać od 12 stycznia 2027 roku. Do tego czasu dopuszczalne są obniżone opłaty nieprzekraczające faktycznie poniesionych kosztów bezpośrednio związanych z procedurą zmiany. Nie jest jednak jasne, czy zakaz dotyczy wszystkich opłat za wychodzący ruch danych, czy tylko opłat ponadstandardowych. Pojawia się także pytanie o granicę dopuszczalności naliczania pozostałych opłat za czynności realizowane w ramach planu wyjścia. Dlatego kluczowe jest szczegółowe uregulowanie w umowie, które czynności są wykonywane nieodpłatnie, włącznie z aspektami technicznymi standardowego exit planu.

Wpływ na sektor FinTech

Choć ryzyko związane z brakiem implementacji Data Act leży po stronie dostawców jako adresatów przepisów, podmioty finansowe również powinny zadbać o zgodność. Jako podmioty pod nadzorem regulacyjnym muszą dbać o zgodność z prawem, zwłaszcza że odpowiednie uregulowanie procesu wyjścia jest warunkiem spełnienia wymogów DORA. Widać tu wyraźny trend w przepisach unijnych dotyczących technologii – coraz bardziej przypominają one naczynia połączone. Bez wypełnienia wymogów jednego aktu nie można w pełni uznać zgodności z innym. Branża FinTech, mimo zapowiedzi deregulacji, po raz kolejny zostaje obciążona dodatkowymi obowiązkami.

Jakie konkretne obowiązki Data Act nakłada na dostawców usług chmurowych w sektorze FinTech? Jak będą wyglądać procedury wyjścia z umów z dostawcami po wejściu w życie Data Act? Czy od 2027 roku dozwolone będą jakiekolwiek opłaty za zmianę dostawcy usług przetwarzania danych?

Na te i wiele innych pytań w swoim tekście, który ukazał się w Rzeczpospolitej, odpowiadają Gabriela Kocurek i Joanna Kik.