Оновлені поширені запитання про дані ЄС: Що змінилося у версії 1.3 | ТООР Orrick, Herrington & Sutcliffe

Цей істотний посібник є частиною серії Cybersecurity & Compass Orrick. Компас з кібербезпеки та конфіденційності – це ваш глобальний посібник з розвиваючого ландшафту кібербезпеки та регулювання конфіденційності.

Європейська комісія опублікувала неодмінні поширені запитання, щоб надати детальну інформацію про те, як слід інтерпретувати та реалізувати Закон про дані. У цьому оновленні Essentials ми підсумовуємо те, що нове в Законі про дані Європейської Комісії (версія 1.3, 12 вересня 2025 р.) У порівнянні з версією 1.2 (3 лютого 2025 р.), Зосереджуючись на практичних роз'ясненнях для постачальників підключених пристроїв та програмного забезпечення, а також послуг з обробки даних (хмара та SAAS) та їхніх клієнтів.

Ключові винос

• Поширені запитання у вересні 2025 року вводять цілий ряд нових підпитків та розширюють існуючі, забезпечуючи більш нюансовані та практичні вказівки для зацікавлених сторін у таких питаннях, як обробка краю, відповідність GDPR, SaaS/Cloud Cwatching та обсяг несправедливих умов контракту.
• Оновлена ​​версія забезпечує більш чіткі та явніші технічні очікування щодо доступу до даних, включаючи вимоги до формату даних, своєчасності, затримки, зручності використання та безпеки, тим самим допомагаючи власникам даних та користувачам краще зрозуміти, що потрібно для дотримання.
• Посилання в різних поширених запитань були оновлені, щоб відобразити останні розробки впровадження, включаючи прийняття європейської рамки довірених даних та публікацію остаточного звіту експертної групи про модельні договірні умови. Ці оновлення надають зацікавленим сторонам актуальну інформацію про наявні ресурси та наступні кроки.

Що нового у версії 1.3

Відповідні доповнення та уточнення з версії 1.2 включають:

1. Обробка краю:

   • У питанні 5А нова версія стосується того, як Закон про дані застосовується до даних IoT, оброблених на краю. Він уточнює, що якщо дані обробляються виключно локально, без зберігання, витягування або передачі зовні в будь-який час, зобов’язання, викладені в главі II, щодо обміну даними щодо споживачів та бізнесу до бізнесу не спрацьовують.

2. Анонімізація та зв'язок даних:

   • Питання 13а нової версії стосується використання технологій підвищення конфіденційності (домашніх тварин) та анонімізації, підкреслюючи, що ці інструменти не повинні використовуватися для уникнення зобов'язань щодо обміну даними. Користувачам необхідно надати розумну можливість отримати доступ до відповідних даних до будь -якої анонімізації або розірвання зв’язку між даними та підключеним продуктом.

3. Технічні та практичні вимоги:

   • У питанні 22а, нові поширені запитання надають більш детальну розбиття того, що очікується від власників даних, як правило, виробників підключених продуктів (пристроїв IoT), при наданні доступу до даних. Це включає чіткі вимоги щодо формату, якості, своєчасності, затримки, зручності, зручності використання та безпеки даних, пропонуючи конкретні вказівки для забезпечення дотримання Закону про дані.

4. Юридичні основи GDPR та підзвітність:

   • Запитання 25а запитує, на які юридичні бази GDPR може покладатися власник даних, відповідаючи на запит даних. У такій ситуації слід відрізнити різні сценарії. Якщо користувач є суб'єктом даних, їх запит на доступ до їх даних або їх дані, що мають бути портативними відповідно до Закону про дані, схожий на запит на тему даних GDPR (статті 15 та 20). Однак якщо користувач не є суб'єктом даних, Закон про дані не дає юридичної основи для обміну персональними даними. У цьому випадку власник даних повинен або оцінити відповідні юридичні підстави, або надавати анонімізовані дані.
   • Питання 25b запитує, чи повинен власник даних перевірити, чи користувач чи третя сторона має дійсну юридичну основу в рамках GDPR перед передачею даних. Не дуже дивно, що FAQ уточнює, що кожен контролер даних повинен забезпечити, щоб вони мали дійсну юридичну основу в рамках GDPR перед передачею даних, і що вони здатні продемонструвати відповідність. Контролери повинні співпрацювати між собою та ділитися лише інформацією, суворо необхідною для підтримки дотримання.

5. Історичні дані та стирання даних:

   • Питання 32 передбачає роз'яснення щодо прав користувачів щодо доступу до історичних даних. Користувачі можуть вимагати доступ до історичних даних, що зберігаються власником даних, включаючи дані попередніх користувачів. Однак важливо поважати права колишніх користувачів та “розумну політику утримання”, викладену в концерті 24 Закону про дані, а це означає, що доступ може бути обмежений у певних випадках.
   • Запитання 33 зосереджується на договірному характері неособистісного стирання даних, вводячи поняття “знімних даних користувача” та “залишкових даних” відповідно до майбутніх модельних договірних умов. Також було запропоновано, що Закон про дані не дає користувачам право вимагати видалення неособистісних даних до продажу товару. Договірні угоди щодо видалення даних можливі, хоча закони, що стосуються продукту, або інтереси майбутніх користувачів можуть вимагати збереження певних даних.

6. Договірні умови та несправедливість:

   • Запитання 42А та 42b розробляють обсяг несправедливості у статті 13 Закону про дані у договорах, уточнюючи, що він застосовується до будь-якого договірного терміну щодо доступу до даних, використання або відповідальності, пов'язаних з даними, навіть якщо дані не є основним предметом договору. Він також уточнює, що Закон про дані застосовується до всіх домовленостей, укладених після 12 вересня 2025 року, і для попередніх договорів, починаючи з 12 вересня 2027 року. Це дає сторонам час переговорити такі договори.

7. Хмарні служби та SaaS:

   • Питання 58а пояснює, що Закон про дані застосовується до всіх SAAS, які відповідають визначенню служби обробки даних. Закон про дані визначає “послуги з обробки даних” у статті (2) (8) широко, що охоплює моделі хмарних обчислень, такі як IAAS, PAAS та SAAS. SaaS підпадає під цей обсяг, якщо він дозволяє клієнтам отримати доступ до налаштованих, масштабованих та еластичних обчислювальних ресурсів на вимогу з мінімальними зусиллями управління та надається в рамках договірних відносин.
   • Запитання 58b пояснює, що постачальник джерел не несе відповідальності за надання допомоги замовнику у відновленні своєї послуги в екосистемі провайдера призначення. Їх зобов’язання обмежуються полегшенням перемикання у власному середовищному середовищі, наприклад, надання відкритих інтерфейсів, експортування даних у стандартних форматах та забезпечення сумісності з гармонізованими стандартами. Закон про дані явно не вимагає від постачальників джерел розробки або відновлення послуг в інфраструктурі інших постачальників.

8. Модельні договірні умови та стандартні пункти (питання 58, 74):

   • Оновлені поширені запитання посилаються на публікацію остаточного звіту експертної групи та передбачуваної рекомендації Комісії щодо стандартних договірних умов, надаючи зацікавленим сторонам актуальну інформацію про наявність та стан модельних умов та стандартні договірні положення. Однак поширені запитання не вказують на часові рамки, коли можна очікувати рекомендацій Європейської комісії.

9. Структурні та організаційні зміни

   • Версії 1.2 та 1.3 підтримують подібну загальну структуру, де розділи стосуються взаємодії з іншими законами ЄС, обсягом даних, зобов’язанням для користувачів та власників даних, захистом для комерційної таємниці, технічними вимогами, виконанням та наступними кроками. Однак оновлена ​​версія представляє кілька вдосконалень:
     • Нумерація та підпитки: Введення підпитів (наприклад, 5а, 13а, 22a, 25a, 25b, 34a, 42a, 42b, 58a, 58b), що вказує на більш нюансований та детальний підхід.
     • Оновлені посилання: Впровадження останніх подій, таких як прийняття європейської рамки довірених даних та публікація остаточного звіту експертної групи про модельні договірні умови.

Підсумок

Версія 1.3 FAQ Закону про дані є значним практичним вдосконаленням, що пропонує більш детальні та детальні вказівки для зацікавлених сторін. Нове видання надає більш чіткі технічні та юридичні пояснення таких тем, як обробка Edge, SaaS, Юридичні основи GDPR та несправедливі умови контракту, а також включення останніх посилань на впровадження, включаючи довірені рамки даних та результати з експертної групи. Важливо, що FAQ тепер переходять від планування, орієнтованого на майбутнє, до дієвого, конкретного напрямку для підприємств та інших зацікавлених сторін. Незважаючи на те, що поширені запитання надають розумні вказівки на практиці, залишаються без відповіді питання, включаючи те, як обчислити покарання дострокового припинення та як компанії повинні дотримуватися своїх інформаційних зобов’язань.

Хочете дізнатися більше про Закон про дані? Знайдіть подальші матеріали та статті нижче: