Mára egyértelműen az adat vált a legértékesebb erőforrássá, amellyel a vállalatok viszonylag szabadon rendelkeztek – eddig. Három nap múlva, 2025. szeptember 12-én azonban véget ér az aranykor: onnantól az EU Data Act előírásai szabályozzák az adatkezelést.

A törvény, melyet 2023-ban fogadtak el, 20 hónapot biztosított a felkészülésre. A türelmi idő azonban pénteken lejár, onnantól minden olyan EU-ban működő vállalatnak be kell tartania a törvény előírásait, amely adatokat dolgoz fel. Mindegy, hogy a kezelt információ személyes adat vagy sem, ahogy az sem számít, hogy az adatot az érintett szervezet maga generálta vagy külső forrásokból, például ügyfelektől gyűjtötte.

A Data Act hatálya alá eső szervezetekre öt főszabály vonatkozik:

● Az ilyen szervezeteket adatmegosztási kötelezettség terheli, azaz hozzáférést kell adniuk a felhasználóknak és az általuk megjelölt harmadik feleknek a generált adatokhoz.

● Meg kell felelniük az interoperabilitás követelményeinek, és biztosítaniuk kell az általuk kezelt adatok hordozhatóságát. Például a felhőszolgáltatóknak lehetővé kell tenniük, hogy ügyfeleik zökkenőmentesen költözhessenek másik szolgáltatóhoz.

● A törvény kategorikusan tiltja, hogy a szervezetek az adatfelhasználásra vonatkozóan tisztességtelen szerződési feltételeket kössenek ki.

● Válsághelyzetben biztosítani kell, hogy a hatóságok hozzáférjenek az adatokhoz.

● Transzparenssé kell tenni a felhasználók, ügyfelek számára, hogy adott szervezet milyen adatokat gyűjt, és milyen módon.

Kiket érint?

A Data Act jellegéből adódóan gyakorlatilag minden ágazatot érint, ha nem is azonos súllyal. A technológiai iparban például a különböző online (platform-, szoftver- stb.) szolgáltatások, az ipar és a gyártás szektor elsősorban az IoT-eszközök és a gyártási automatizálás miatt kellett felkészülni rá.

Szintén érintettek a szállítmányozás és logisztika területén dolgozó cégek, az energiatikai és infrastruktúra vállalatok, az energiaszolgáltatók, a smart gridek üzemeltetői, a pénzügyi és biztosítási területen működő cégek, az offline és online kiskereskedelemi cégek és az egészségügyi szektorban működő szervezetek is.

Mit kell tenni a megfeleléshez?

A törvény a legtöbb érintett céget arra kényszeríti, hogy optimalizálja a folyamatait, javítsa szolgáltatásai minőségét, sőt az alkalmazottakat is fel kell készíteni az adatkezelés új irányelveivel kapcsolatban (jó esetben múlt időben: azaz a felkészülés 20 hónapja alatt elvégezték a feladatok zömét). A konkrét teendők:

● Az első lépés egy átfogó adatvagyon-leltár készítése: milyen adatokat tárol, generál a szervezet, azokat hol tárolja, milyen az adatok minősége.

● Az adatvagyon milyensége határozza meg, hogy mit kell(ett) módosítani az IT-infrastruktúrában, hogy az biztosítsa az interoperabilitást.

● A meglévő szerződéseket összhangba kell hozni a Data Act irányelveinek.

Az EU büntetésekkel riogat

A Data Act irányelveinek megsértése hasonló súlyú vétség, mint az általános adatvédelmi törvény (GDPR) be nem tartása. A kiszabható büntetési tételek is hasonlóak: a bírság elérheti a 20 millió eurót vagy a cég globális éves forgalmának 4 százalékát.