Data Act: Musí ho váš SaaS řešit?

Proč máme nové nařízení?

Hlavním důvodem pro přijetí nařízení o datech byla snaha Evropské unie narovnat přístup uživatelů k datům. Data z chytrých zařízení nebo online služeb často zůstávala uzamčená u výrobců nebo poskytovatelů, což omezovalo konkurenci i možnost změnit poskytovatele služby snadno a s minimálními náklady.

Hlavním smyslem Data Actu je dát B2C i B2B uživatelům větší kontrolu nad daty a usnadnit změnu poskytovatele služeb tím, že se odstraní bariéry při sdílení dat mezi jednotlivými poskytovateli.

Jako uživatelé CRM nástrojů nebo chytrých hodinek novou úpravu vítáme, protože každý z nás, kdo zažil přechod na jinou službu (zvlášť pokud se snažil plynule navázat), ví, že to může být z pohledu uživatele strašidelný zážitek Pro výrobce a poskytovatele je to ale další povinnost navíc. 

Koho se nařízení Data Act týká?

Data Act se vztahuje na dvě kategorie byznysů:

• výrobce chytrých a IoT zařízení jako jsou sportovní hodinky, chytré domácí přístroje a další produkty, které sbírají nebo generují data o jejich používání – na tuto kategorii se podíváme v příštím článku,
• poskytovatele služeb, které pro zákazníka zpracovávají data – ohledně této kategorie se hojně píše, že do ní spadnou poskytovatelé veškerých SaaS nebo PaaS řešení, z našeho pohledu ale není situace tak černobílá.

Data Act dopadá na provozovatele „služeb zpracování dat“, které umožňují zákazníkovi přístup k úložišti výpočetních zdrojů odkudkoliv. A toto úložiště popisuje Data Act jako sdílené, konfigurovatelné, rozšiřitelné a přizpůsobitelné s centralizovanou nebo distribuovanou povahou. To jsou úplně typicky cloudová řešení nebo datové platformy, do kterých zákazník nalije velké množství svých dat a následně je tam zpracovává. Půjde tedy o cloudové úložiště typu Google Drive, CRM nástroj jako Raynet nebo různé business intelligence a další firemní nástroje, kde zpracováváte data zaměstnanců nebo zákazníků.

Problém ale je, že Data Act ve své preambuli zmiňuje, že pojem „služba zpracování dat“ zahrnuje obecně i modely poskytování služeb jako je SaaS, PaaS nebo IaaS.

Jako software as a service se ale někdy označuje jakýkoliv model poskytování software uživatelům formou předplatného. Tedy jakákoliv aplikace, kde třeba ani úložiště není jednou z hlavních funkcí. Prakticky každá aplikace sice má nějaké úložiště na data, ale to rozhodně nemusí být konfigurovatelné, rozšiřitelné a přizpůsobitelné. 

Příklad: Když si předplatíte Duolingo, máte zájem o poskytnutí konkrétní služby. Chcete se naučit jazyk. Duolingo jde označit za SaaS, ale kloníme se k tomu, že nemá konfigurovatelné, rozšiřitelné a přizpůsobitelné úložiště, a proto se na něj Data Act nevztáhne.

Pokud si někdo vykládá termín SaaS hodně široce, může za SaaS považovat jakoukoliv aplikaci nebo platformu zpoplatněnou za konkrétní období. A to může být kámen úrazu.

Pro posouzení, jestli na konkrétní službu Data Act dopadne nebo ne, je totiž klíčová práce s daty dané služby a možnost využívání a konfigurace jejího úložiště a ne její byznysový model a to, jestli se platí poplatek za užívání služby po jednotlivých obdobích nebo ne. Články, které říkají "Data Act dopadne na všechny SaaS“, tedy mohou vést ke zkratkovitému výkladu a zbytečným úpravám podmínek a smluv provozovatelů aplikací, které sice poskytují svůj software jako službu (třeba za měsíční poplatek), ale s daty ve smyslu Data Act nepracují, konfiguraci úložiště neumožňují a nařízení na ně tedy nedopadne.

Pokud si nejste jistí, jestli se na vás Data Act vztahuje nebo ne, dejte vědět a rádi se na to s vámi podíváme.

Co musíte splnit?

Uživatelé díky Data Actu získávají velkou kontrolu nad daty a možnost bez velkých bariér změnit poskytovatele služeb. A z toho pro vás coby poskytovatele služeb plyne řada povinností.

Zákazník má právo přenést svá data k jinému poskytovateli a vy jako původní poskytovatel služeb mu v tom musíte pomoci a data za přiměřených podmínek zpřístupnit třetí straně. Tomu se bohužel nevyhnete, ale abyste to nedělali zdarma a nepřicházeli o know-how, doporučujeme do obchodních podmínek služby přidat ustanovení, která:

• stanoví, pro jaký účel mohou být předaná data využita (třeba pro implementaci nové služby u zákazníka, ale už ne pro provádění analýz na vašich datech konkurencí);
• nastaví podmínky, za kterých data poskytnete – poskytnutí totiž může být zatím přiměřeně zpoplatněno a nemusíte předávat data, která by obsahovala vaše know-how;
• zajistí, že nebude tratit peníze vynaložené na onboarding přelétavých zákazníků – je totiž jasné, že většina služeb může na zákazníkovi začít vydělávat až po nějaké době. Pokud zákazník ukončí smlouvu dříve a chce data přenést, vy na něm můžete tratit. Nic vám však nebrání nastavit podmínky vracení (či nevracení) zaplaceného předplatného tak, abyste zákazníkovu přelétavost „nesponzorovali“ vy.

Změně podmínek se nevyhnete tak jako tak, protože podle Data Actu do nich musíte povinně zahrnout:

• jakým způsobem budete data poskytovat, jak si o ně mohou uživatelé zažádat a jak bude poskytnutí probíhat, včetně podrobné specifikace všech dat, která je možné přenést i která budou z exportovaných dat vyňata;
• jak bude fungovat přechod k jinému poskytovateli služby a informaci o tom, že máte coby poskytovatel služeb povinnost poskytnout zákazníkovi i novému poskytovateli přiměřenou pomoc při změně poskytovatele;
• že se smlouva o využívání služeb považuje za ukončenou až dokončením procesu změny poskytovatele nebo skončením výpovědní doby, pokud zákazník k žádnému novému poskytovateli nepřechází;
• maximální výpovědní lhůtu, která nesmí přesáhnout 2 měsíce;
• a další ustanovení.

Je třeba zkontrolovat i to, jestli obchodní podmínky neobsahují nějaké nepřiměřené ustanovení (a to i v B2B vztahu) týkající se přístupu k datům nebo odpovědnosti za ně. 

Zároveň myslete i na to, že od roku 2027 už nebude možné účtovat přímo poplatky za převedení dat a pomoc s tím spojenou. Doporučujeme tedy rovnou zvážit poskytování služby přenosu dat zdarma a náklady s ní spojené zohlednit v předplatném.

Kromě úpravy podmínek doporučujeme si interně definovat jasná pravidla pro to, kdy a jakým způsobem mohou být data třetím stranám poskytnuta. V odůvodněných případech vám může vzniknout i povinnost sdílet data se státními institucemi, nepůjde ale o časté případy.

Co hrozí, když povinnosti nesplníte?

Zatím jen poškození reputace a vzbuzení nedůvěry zákazníků. Sankce totiž určuje každý členský stát zvlášť a u nás zatím není jasné, jaký předpis je bude vůbec upravovat. 
S posouzením, jestli se na vaše podnikání Data Act vztahuje nebo ne a případně i s úpravou obchodních podmínek a zavedením odpovídajících procesů vám rádi pomůžeme. Stačí nás kontaktovat přes napistenam@elegal.cz.