EU Data Act dáva používateľom kontrolu nad dátami, ktoré sami generujú pri používaní prepojených produktov a služieb, od entít, ktoré tieto dáta bežne zhromažďujú (vlastníkov dát). Nie je to však o neobmedzenom zdieľaní akýchkoľvek dát medzi akýmikoľvek entitami. Ide o poskytnutie väčšej kontroly používateľov nad svojimi dátami z prepojených produktov (nielen automobilov, ale ďalšieho širokého spektra - smart home, zdravotnícke zariadenia, priemyselné stroje atď.). Podporiť výmenu a využitie dát, najmä priemyselných.
Podľa EU Data Act, používateľ (v kontexte užívateľa prepojeného produktu/služby) môže požiadať o zdieľanie dát od vlastníka dát (Data Holder). V definícii Data Act, ide o entitu, ktorá má prístup k dátam generovaných prepojením produktov/služieb. V praxi to najčastejšie býva výrobca (OEM) alebo poskytovateľ súvisiacich služieb.
Kto je Používateľ (v kontexte EU Data Act):
Fyzická alebo právnická osoba: Môže ísť o jednotlivca (napríklad majiteľ vozidla, spotrebiteľ inteligentných domácich zariadení) alebo organizáciu (napríklad spoločnosť používajúca priemyselné stroje, fleetový operátor).
Používa prepojený produkt alebo súvisiacu službu: Ide o osobu, ktorá aktívne využíva produkt alebo službu, ktorá je pripojená na internet alebo inak schopná generovať a prenášať dáta. Príkladmi sú vozidlá, inteligentné domáce spotrebiče, zdravotnícke zariadenia, priemyselné stroje, fitness trackery, atď.
Generuje dáta používaním: Používaním produktu alebo služby aktívne vytvára dáta, ktoré sú predmetom zákona. Tieto dáta môžu byť rôzneho charakteru, napríklad dáta o výkone, používaní, prostredí, atď.
Má práva vyplývajúce z Data Act: Používateľ je subjekt, ktorému Data Act priznáva právo na prístup k dátam, prenosnosť dát a kontrolu nad dátami generovanými používaním prepojeného produktu alebo služby.
Majiteľ vozidla, nájomca (B2C/B2B): Používateľ automobilu, ktorý generuje dáta o jeho používaní.
Fleetový operátor (B2B): Spoločnosť, ktorá prevádzkuje flotilu vozidiel a používa dáta z týchto vozidiel pre svoje operácie.
Zákazník banky financujúci vozidlo (B2B): Banka, ktorá financuje nákup vozidla, môže byť považovaná za používateľa v kontexte B2B, ak má záujem o dáta z vozidla (napríklad pre riadenie rizík).
Používateľ aplikácie poskytovateľa (B2T): Používateľ, ktorý si vyžiada prenos dát tretej strane, napríklad poskytovateľovi aplikácie, ktorá využíva dáta z prepojeného produktu.
Zdieľanie dát
Používateľ má právo na prístup k dátam, ktoré generoval on sám prostredníctvom používania konkrétneho prepojeného produktu/služby. Nejde ale o prístup k dátam iných používateľov alebo k celkovým dátovým sadám vlastníka dát.
V kontexte EU Data Act treba aj definovať surové dáta a predspracované dáta:
1. Surové dáta (Raw Data)
Surové dáta sú primárne, neupravené dáta, ktoré sú získané priamo zo senzorov, zariadení alebo systémov, bez akejkoľvek alebo len s minimálnou úpravou či spracovaním. Sú to najzákladnejšie formy dát, ktoré sú zaznamenané.
Charakteristika:
Neupravené a neformátované: Sú často v surovej, technickej forme, ktorá nie je priamo zrozumiteľná pre bežného používateľa alebo aplikáciu bez ďalšieho spracovania.
Nízka úroveň abstrakcie: Sú najbližšie k pôvodnému zdroju dát (senzoru, meraniu).
Vyžadujú interpretáciu: Surové dáta samy o sebe nemusia poskytovať okamžitý zmysel. Je potrebné ich interpretovať, spracovať a analyzovať, aby sa z nich dali vyvodiť relevantné informácie.
Vysoká úroveň detailov: Obsahujú maximálne množstvo detailov z pôvodného merania, vrátane potenciálneho šumu, odchýlok a nepresností.
Príklady surových dát z inteligentného vozidla:
GPS dáta: Presné súradnice zemepisnej šírky a dĺžky zaznamenávané GPS modulom vozidla v určitých časových intervaloch. Napríklad: [48.1486, 17.1077], [48.1487, 17.1078], [48.1488, 17.1079]... Tieto dáta samy o sebe nie sú hneď zrozumiteľné ako "trasa jazdy".
Dáta z akcelerometra: Hodnoty zrýchlenia v osiach X, Y, Z zaznamenané akcelerometrom vozidla v milisekundových intervaloch. Napríklad: [0.23, -0.15, 9.8], [0.25, -0.14, 9.82], [0.22, -0.16, 9.79]... Tieto dáta samy o sebe nehovoria o "prudkom brzdení" alebo "zatáčaní".
Napätie batérie (elektromobil): Hodnoty napätia batérie v milivoltoch, zaznamenané priamo z batériového senzora. Napríklad: [4050mV, 4048mV, 4045mV]... Tieto dáta samy o sebe nehovoria o "percentuálnom stave nabitia batérie".
Surové obrazové dáta z kamier: Pixely obrazu zaznamenané kamerami asistenčných systémov, bez rozpoznávania objektov, cestných značiek alebo iných objektov.
2. Predspracované dáta (Pre-processed Data)
Predspracované dáta sú dáta, ktoré boli upravené, transformované, filtrované alebo organizované zo surových dát, aby boli zrozumiteľnejšie, užitočnejšie a ľahšie analyzovateľné. Predspracovanie zvyšuje úroveň abstrakcie a pridáva hodnotu k surovým dátam.
Charakteristika:
Upravené a formátované: Sú prevedené do formátu, ktorý je ľahšie čitateľný pre ľudí alebo pre aplikácie.
Vyššia úroveň abstrakcie: Zhrňujú alebo agregujú surové dáta do zmysluplnejších celkov.
Zrozumiteľnejšie a užitočnejšie: Predspracované dáta poskytujú okamžitejší zmysel a sú priamo použiteľné pre analýzu, reportovanie alebo aplikácie.
Strata detailov (potenciálna): Predspracovaním sa môže stratiť časť detailov z pôvodných surových dát v prospech prehľadnosti a užitočnosti.
Príklady predspracovaných dát z inteligentného vozidla (odvodené zo surových dát):
Trasa jazdy: Mapa trasy vykreslená na základe spracovaných GPS dát, zobrazujúca cestu, ktorú vozidlo prešlo. Získané zo surových GPS súradníc, ktoré boli spojené, filtrované a zobrazené graficky.
Rýchlosť jazdy: Hodnoty rýchlosti vozidla v km/h, vypočítané z GPS dát a časových intervalov. Napríklad: [50 km/h, 52 km/h, 48 km/h]... Získané zo surových GPS súradníc a časových značiek, prepočítané na zmysluplnú metriku.
Detekcia prudkého brzdenia: Informácia o tom, že došlo k prudkému brzdeniu, detekovaná na základe analýzy dát z akcelerometra. Napríklad: [Čas: 10:30:45, Udalosť: Prudké brzdenie]. Získané zo surových dát z akcelerometra, identifikované na základe definovaných prahových hodnôt a algoritmov.
Percentuálny stav nabitia batérie (elektromobil): Percentuálny stav nabitia batérie vypočítaný z napätia batérie a kalibračných kriviek. Napríklad: [95%, 94%, 93%]... Získané zo surových hodnôt napätia, prevedené na percentuálnu hodnotu, ktorá je pre používateľa zrozumiteľnejšia.
Rozpoznané objekty kamerou: Zoznam rozpoznaných objektov (napr. autá, chodci, dopravné značky) v zornom poli kamery, identifikovaných pomocou algoritmickej analýzy obrazových dát.
Kľúčový rozdiel:
Surové dáta sú základné stavebné kamene, ktoré sú neupravené. Vyžadujú interpretáciu. Naopak predspracované dáta sú zostavené a upravené stavebné bloky, kroté sú zrozumiteľnejšie, užitočnejšie, ale s potenciálnou stratou detailov.
V kontexte EU Data Act je dôležité, že používateľ má právo na prístup k obidvom typom dát - surovým aj predspracovaným. To mu dáva maximálnu flexibilitu v tom, ako chce dáta využiť. Môže chcieť pracovať priamo so surovými dátami pre hĺbkovú analýzu, alebo použiť predspracované dáta pre rýchly prehľad a bežné použitie.
Čo EU Data Act určite neznamená:
Data Act nevytvára všeobecné právo na prístup ku všetkým dátam – neumožňuje používateľom prístup k dátam iných používateľov a nevzťahuje sa na komplexné analytické alebo odvodené informácie. Zameriava sa predovšetkým na surové a predspracované dáta, vrátane relevantných metadát.
Kľúčová práva a povinnosti:
Medzi kľúčové práva a povinnosti patrí:
Právo používateľa na prístup k dátam: Používatelia majú právo prístupu k surovým a predspracovaným dátam, ktoré generujú prepojené produkty a služby, ktoré používajú. Môžu tiež požiadať o prenos týchto dát tretej strane.
Data portability: Zabezpečuje prenosnosť dát na požiadanie používateľa.
Data access by design: Od roku 2026 musia byť prepojené produkty a služby navrhnuté tak, aby používatelia mali priamy prístup k svojim dátam.
Spravodlivé B2B dátové zmluvy: Zákon sa zameriava na predchádzanie nekalým podmienkam v zmluvách medzi podnikmi týkajúcich sa dát.
Poskytovanie dát verejnému sektoru (B2G): Za výnimočných okolností (napr. verejná núdza) môžu verejné orgány požadovať dáta potrebné na plnenie svojich zákonných povinností vo verejnom záujme.
Pre-kontraktuálne informácie: Pred uzavretím zmluvy o prepojených produktoch musia byť používatelia informovaní o rozsahu dát, ktoré budú generované a prístupné.
Časový rámec:
September 2025: Hlavný termín implementácie, kedy sa zákon stáva priamo uplatniteľným v celej EÚ (okrem niektorých aspektov, napr. data access by design).
September 2026: Hodnotenie OEM/poskytovateľov služieb s cieľom zabezpečiť priamy prístup používateľov k dátam pri návrhu produktov a služieb.
Súvislosť s ISMS ISO 27001:
ISO 27001 nie je priamo vyžadované Data Act, ale poskytuje robustný rámec a nástroje, ktoré organizáciám pomôžu implementovať technické a organizačné opatrenia potrebné na splnenie požiadaviek Data Act, najmä v oblasti bezpečnosti dát, prístupu k dátam a riadenia procesov súvisiacich s dátami.
Kľúčové súvislosti:
Zabezpečiť bezpečnosť dát: ISO 27001 sa zameriava na ochranu dôvernosti, integrity a dostupnosti informácií. V kontexte Data Act je bezpečnosť dát kľúčová pre ochranu dát používateľov a splnenie požiadaviek na prístup a prenos dát.
Manažovať prístup k dátam: ISO 27001 vyžaduje implementáciu kontrol prístupu, čo je relevantné pre zabezpečenie, že používatelia majú prístup k dátam, na ktoré majú právo podľa Data Act, a zároveň chráni dáta pred neoprávneným prístupom.
Riadiť procesy súvisiace s dátami: ISO 27001 poskytuje štruktúrovaný rámec pre riadenie informačných aktív, čo zahŕňa aj procesy spojené s dátami generovanými prepojenými produktmi, ako sú napríklad žiadosti o prístup k dátam, prenos dát a spracovanie dát.
Preukázať súlad: Certifikácia ISO 27001 môže preukázať záväzok organizácie k informačnej bezpečnosti a poskytnúť dôkaz o zavedených kontrolách, čo môže byť užitočné pri preukazovaní súladu s Data Act.
Súvislosť s GDPR:
EU Data Act a GDPR sú komplementárne nariadenia, ktoré sa dopĺňajú, ale neprekrývajú sa. GDPR (General Data Protection Regulation - Všeobecné nariadenie o ochrane údajov) sa zameriava na ochranu osobných údajov fyzických osôb. EU Data Act má širší rozsah a zameriava sa na dáta generované prepojenými produktmi, vrátane osobných aj neosobných údajov. Stručne povedané, GDPR a Data Act fungujú spoločne. GDPR chráni osobné údaje, zatiaľ čo Data Act rozširuje kontrolu používateľov nad dátami generovanými prepojenými produktmi, pričom rešpektuje a dopĺňa GDPR.
Kľúčové súvislosti:
GDPR stále platí: Data Act neruší a ani nenahrádza GDPR. Ak sú dáta generované prepojenými produktami a súvisia aj s osobnými údajmi (napr. údaje o polohe, údaje o používaní, ktoré identifikujú osobu), GDPR sa naďalej uplatňuje v plnom rozsahu.
Data Act rozširuje práva: Data Act rozširuje práva používateľov v kontexte dát generovaných prepojenými produktmi, nad rámec GDPR. Napríklad, právo na prístup k dátam podľa Data Act sa vzťahuje aj na neosobné dáta, zatiaľ čo GDPR sa zameriava primárne na osobné údaje.
Súlad s GDPR je predpoklad: Organizácie musia zabezpečiť súlad s GDPR pri spracovaní osobných údajov v kontexte Data Act. To zahŕňa právny základ pre spracovanie, transparentnosť, obmedzenie účelu, minimalizáciu údajov, presnosť, obmedzenie uchovávania a integritu a dôvernosť.
Prekrývanie v osobných údajoch: V prípadoch, keď prepojené produkty generujú osobné údaje, oba zákony sa môžu uplatňovať súčasne. Organizácie musia riešiť požiadavky oboch nariadení.
Súvislosť s AI:
EU Data Act má významný potenciál podporiť rozvoj a inováciu v oblasti umelej inteligencie (AI), najmä v priemyselnom sektore a to nasledujúcim spôsobom.
Viac dát pre AI: Data Act otvára prístup k väčšiemu množstvu dát, ktoré sú generované prepojenými produktmi. Tieto dáta môžu byť cenným zdrojom pre trénovanie a vývoj AI systémov.
Podpora inovácií v AI: Zvýšená dostupnosť dát môže urýchliť vývoj nových AI aplikácií v rôznych odvetviach, napríklad v automatizácii, prediktívnej údržbe, optimalizácii procesov a personalizovaných službách.
Kvalita dát pre AI: Data Act sa zameriava na prístup k surovým a predspracovaným dátam, čo sú dôležité vstupy pre trénovanie efektívnych AI modelov. Kvalitné a rozsiahle dáta sú základom pre spoľahlivú a dôveryhodnú AI.
Doplnenie k AI Act: Data Act a AI Act sú komplementárne. Data Act zabezpečuje prístup k dátam, ktoré sú potrebné pre vývoj AI, zatiaľ čo AI Act sa zameriava na etické a bezpečnostné aspekty AI systémov a reguláciu vysoko rizikových AI aplikácií.
Data Act teda poskytuje palivo pre AI inováciu tým, že zvyšuje dostupnosť dát, zatiaľ čo AI Act sa zameriava na zodpovedný a etický rozvoj a používanie AI. Spoločne môžu tieto nariadenia vytvoriť silný ekosystém pre AI v EÚ, ktorý je inovatívny, konkurencieschopný a zároveň rešpektuje práva a hodnoty občanov EÚ.
Príklad s prenájmom bytu:
Osoba si prenajíma inteligentný byt. Tento nájomník je v pozícii používateľa. Používa byt, jeho vybavenie (napr. inteligentné spotrebiče, vykurovanie, osvetlenie) a generuje dáta o jeho používaní (napr. spotreba elektriny, nastavenie teploty, používanie spotrebičov). Majiteľ bytu (prenajímateľ) je v pozícii vlastníka dát. Ako vlastník bytu má prístup k dátam generovaným systémami v byte (napr. cez inteligentné merače, systémy správy budovy). On je ten, kto má technickú infraštruktúru na zber týchto dát.
Podľa EU Data Act by používateľ (nájomník) mal právo:
Požiadať majiteľa bytu (vlastníka dát) o prístup k dátam o spotrebe energií v byte, kde býva.
Požiadať majiteľa bytu, aby preniesol dáta o spotrebe elektriny používateľa novému dodávateľovi energií, ak by používateľ chcel zmeniť dodávateľa.
V tomto príklade:
Používateľ = nájomník (využíva byt a generuje dáta)
Vlastník dát = prenajímateľ (má prístup k dátam z bytu)
Rozsah (Data Act): Týka sa všetkých prepojených produktov a súvisiacich služieb umiestnených na európskom trhu. Zameriava sa na dáta generované používaním týchto produktov, ktoré sú surové alebo len mierne spracované, a relevantné metadáta.
Príklad: Inteligentné vozidlo a personalizovaná poistka
Dotknutá osoba kúpila nové inteligentné vozidlo značky "AutoFuture". Toto vozidlo je plné senzorov a prepojené s internetom. Počas jazdy vozidlo nepretržite generuje rôzne dáta, ktoré sa prenášajú a ukladajú do systémov výrobcu, AutoFuture (vlastník dát).
Typy dát generované vozidlom:
1. Surové dáta:
GPS dáta: Presná poloha vozidla v reálnom čase, trasa jazdy, rýchlosť v každom bode trasy.
Dáta z akcelerometra a gyroskopu: Údaje o zrýchlení, brzdení, zatáčaní, identifikácia prudkého brzdenia alebo agresívneho zrýchlenia.
Dáta z senzorov vozidla: Teplota motora, tlak v pneumatikách, stav batérie (pre elektromobily), spotreba paliva/energie, otáčky motora, stav brzdových doštičiek, diagnostické kódy motora a prevodovky.
Dáta z kamier a radarov (ak sú aktívne): Surové dáta obrazu a radarové dáta z asistenčných systémov (napr. udržiavanie v jazdnom pruhu, adaptívny tempomat).
2. Predspracované dáta:
Štatistiky jázd: Priemerná rýchlosť, celková prejdená vzdialenosť, čas strávený jazdou, frekvencia prudkého brzdenia/zrýchlenia, priemerná spotreba paliva/energie na 100km.
Identifikované udalosti: Detekcia nehôd (na základe nárazov, prudkého brzdenia, aktivácie airbagov), prekročenie rýchlosti, jazda v noci, jazda v daždi.
Profil vodiča: Odhadovaný štýl jazdy (agresívny vs. defenzívny), typické trasy, časy jázd.
Práva Dotknutej osoby podľa EU Data Act:
Právo na prístup k dátam (Článok 4(1)): Dotknutá osoba má právo požiadať AutoFuture o prístup k dátam, ktoré jej vozidlo generuje. Môže požiadať o surové dáta (napr. GPS dáta) aj predspracované dáta (napr. štatistiky jázd) ktorá môže využiť pre vlastnú potrebu, napríklad pre pochopenie svojho štýlu jazdy, optimalizáciu spotreby paliva, alebo diagnostiku stavu vozidla. AutoFuture je povinný poskytnúť Dotknutej osobe tieto dáta v strojovo čitateľnom formáte a v primeranej lehote.
Právo na prenos dát tretej strane (Článok 5(1)): Dotknutá osoba chce získať personalizovanú ponuku poistenia od poisťovne "SafeDrive Insurance". SafeDrive ponúka poistenie založené na spôsobe jazdy (UBI - Usage-Based Insurance), kde sa poistné vypočítava na základe reálnych dát o jazde. Dotknutá osoba môže požiadať AutoFuture, aby preniesol jej dáta o jazde priamo do poisťovne SafeDrive a AutoFuture je povinný preniesť tieto dáta bezplatne a bez zbytočného odkladu priamo do poisťovne SafeDrive, ak to Dotknutá osoba požaduje. Prenos dát by sa mohol uskutočniť prostredníctvom zabezpečeného API (Application Programming Interface), kde AutoFuture sprístupní dáta SafeDrive po autorizácii od Dotknutej osoby.
Povinnosti AutoFuture (vlastníka dát):
Dizajn pre prístup k dátam (od 2026, Článok 3(1)): AutoFuture musí navrhovať nové vozidlá tak, aby dáta boli priamo prístupné používateľom. To by mohlo znamenať, že vozidlo bude mať vstavané rozhranie (napr. USB port, bezdrôtové rozhranie), cez ktoré si používateľ alebo autorizovaná tretia strana môže stiahnuť dáta priamo z vozidla.
Poskytovanie dát na požiadanie (Článok 4 a 5): AutoFuture musí poskytnúť dáta Dotknutej osobe a preniesť ich tretej strane na jej požiadanie, v súlade s podmienkami Data Act.
Predkontraktuálne informácie (Článok 3(2) a 3(3)): Pred predajom vozidla musí AutoFuture informovať Dotknutú osobu o typoch dát, ktoré vozidlo generuje, ako sa s nimi bude nakladať, a o jej právach na prístup k dátam a ich prenos.
Zmluvný súhlas pre neosobné dáta (Článok 4(13/14)): Ak by AutoFuture chcel využiť neosobné dáta z vozidla Dotknutej osoby pre svoje vlastné účely (napr. zlepšenie dizajnu vozidiel, vývoj nových služieb), musí získať zmluvný súhlas od Dotknutej osoby.
Pre osobné dáta platia pravidlá GDPR, kde je potrebný právny základ pre spracovanie, najčastejšie súhlas, výslovný súhlas alebo oprávnený záujem.
Výhody pre Dotknutú osobu a SafeDrive:
Pre Dotknutú osobu:
Kontrola nad dátami: Získava kontrolu nad dátami, ktoré jej vozidlo generuje.
Personalizované služby: Môže využiť dáta pre získanie personalizovaných služieb, ako je výhodnejšie poistenie.
Väčšia transparentnosť: Vie, aké dáta sa o nej zbierajú a ako sa využívajú.
Pre SafeDrive Insurance:
Presnejšie posúdenie rizika: Môže presnejšie posúdiť riziko vodiča na základe reálnych dát o jeho jazde, nie len na základe štatistických modelov.
Personalizované poistné: Môže ponúknuť personalizované poistné, ktoré je spravodlivejšie a môže byť vodiča výhodnejšie, ak jazdí bezpečne.
Inovatívne produkty: Môže vyvíjať inovatívne poistné produkty založené na reálnych dátach.
Dôležité nuansy a limity:
Právo na prístup k dátam sa vzťahuje len na „readily available data“, teda voľne dostupné údaje, ktoré sú ľahko prístupné a pripravené na okamžité použitie a ku ktorým má vlastník dát legálny prístup. Nejde teda o právo na prístup ku všetkým možným dátam, ktoré by spoločnosť AutoFuture teoreticky mohla získať, ale iba k tým, ktoré bežne zhromažďuje a spracúva v rámci svojich bežných operácií.
Ak dáta obsahujú osobné údaje – ako napríklad GPS dáta, profil vodiča a jeho jazdné správanie – AutoFuture je povinná dodržiavať pravidlá GDPR. Znamená to, že spracovanie takýchto údajov musí byť postavené na právnom základe, musí byť transparentné a vodič má aj ďalšie práva podľa GDPR, ako napríklad právo na obmedzenie spracovania alebo právo na výmaz.
Zároveň musí byť zabezpečený bezpečný prenos dát, a to tak, aby boli chránené pred neoprávneným prístupom. Obe strany – AutoFuture aj SafeDrive – musia implementovať adekvátne bezpečnostné opatrenia na ochranu týchto dát.
Napokon, spoločnosť SafeDrive môže použiť údaje od AutoFuture výlučne na účely, na ktoré jej ich poskytla Dotknutá osoba, napríklad na výpočet poistného. Na iné účely ich bez výslovného súhlasu tejto osoby použiť nemôže, a ak ide o osobné údaje, musí taktiež plne dodržiavať ustanovenia GDPR.
Záver:
EU Data Act je prelomové nariadenie, ktoré predefinuje prístup k dátam generovaným prepojenými produktmi. Pre organizácie je kľúčové pochopiť a implementovať požiadavky tohto zákona, aby zabezpečili súlad, využili nové príležitosti v dátovej ekonomike a podporili inovačný potenciál AI. Integrácia princípov ISMS ISO 27001 a zabezpečenie súladu s GDPR sú nevyhnutné pre efektívnu implementáciu Data Act.
