Data Act[i] wprowadza nowe zasady w zakresie zmiany dostawcy usług przetwarzania danych, w tym usług chmurowych (tzw. cloud switching).
Ich celem jest ograniczenie praktyk, które miałyby na celu zablokowanie zmiany takiego dostawcy (vendor lock-in), takich jak m.in. wysokie opłaty wyjściowe (exit fees) i bariery techniczne oraz zapewnienie interoperacyjności usług chmurowych. Sprawdzamy i podpowiadamy, na co użytkownicy chmury powinni zwrócić szczególną uwagę.
Nie będziesz płacić za zmianę dostawcy chmurowego
Data Act przewiduje stopniowe zniesienie opłat związanych ze zmianą dostawcy usług chmurowych.
Przypomnijmy, że do 12 stycznia 2027 r. dopuszczalne są jeszcze opłaty ograniczone do rzeczywistych kosztów ponoszonych przez dostawcę w związku z procesem migracji (tzw. cost-based fees).
Po tym terminie pobieranie takich opłat będzie zakazane. W szczególności oznacza to zakaz naliczania kosztów wyprowadzenia danych oraz innych opłat związanych z procedurą migracyjną.
Już na etapie zawierania umowy dostawca usługi chmurowej ma obowiązek poinformować użytkownika o wszystkich potencjalnych kosztach związanych ze zmianą dostawcy w okresie przejściowym. Regulacja ta ma na celu zapewnienie przewidywalności warunków migracji, tak aby firmy mogły planować swoje strategie bez ryzyka nieoczekiwanych obciążeń finansowych.
Interoperacyjność i równoważność funkcjonalna
Data Act kładzie nacisk na techniczną możliwość migracji i zapewnienie ciągłości funkcjonalności usług.
Definiuje pojęcie równoważności funkcjonalnej (functional equivalence) jako zapewnienia w docelowej usłudze co najmniej minimalnego poziomu funkcjonalności odpowiadającego dotychczasowej, z której korzystał klient.
W praktyce oznacza to, że po migracji nowa usługa chmurowa powinna umożliwiać uzyskanie porównywalnych rezultatów przy wykonywaniu tych samych funkcji i operacji.
Obowiązki w zakresie równoważności dotyczą zwłaszcza dostawców IaaS (usług infrastrukturalnych). Muszą oni „podjąć wszelkie uzasadnione środki, jakie pozostają w ich mocy”, aby klient, po zmianie dostawcy, osiągnął równoważność funkcjonalną.
Innymi słowy, obecny dostawca powinien udostępnić narzędzia, dokumentację, wsparcie techniczne i wszelkie możliwości niezbędne do migracji danych i środowiska aplikacji.
Dostawcy usług innego typu, w tym PaaS i SaaS, zobowiązani są, bez dodatkowych opłat, udostępniać otwarte interfejsy (API) do komunikacji i migracji danych. Interfejsy te muszą zawierać wystarczającą informację o strukturze i formatach danych, aby umożliwić ich interoperacyjność.
Konsekwencje kontraktowe i technologiczne
Data Act wprowadza szereg nowych wymogów dotyczących treści umów o usługi chmurowe.
Taka umowa powinna wprost regulować procedury zmiany dostawcy i zawierać postanowienia, które umożliwią klientowi:
- Przeniesienie danych i funkcjonalności do nowego dostawcy lub do własnych zasobów (on-premises) „bez zbędnej zwłoki”, najpóźniej po 30-dniowym okresie migracji
- Wypowiedzenie umowy w okresie do 2 miesięcy
- Szczegółowy opis danych podlegających migracji oraz danych z niej wyłączonych ze względu na tajemnice prawnie chronione
- Otrzymanie gwarancji pobrania danych przez minimum 30 dni po migracji
- Zapewnienia pełnego usunięcia danych klienta przez dostawcę usługi po zakończeniu procesu migracji
- Otrzymać opis możliwych opłat związanych z migracją
Dodatkowo umowa może przewidywać, że klient po upływie okresu wypowiedzenia zdecyduje, czy zmienić dostawcę, przenieść dane lokalnie czy je usunąć.
Przed jej zawarciem dostawca musi także przekazać klientowi informacje o procedurach migracji oraz o strukturach i formatach danych, w tym specyfikacjach i normach technicznych.
Opisy tych procedur oraz informacje o jurysdykcji i zabezpieczeniach infrastruktury powinny znaleźć się na stronach internetowych dostawcy. Wreszcie, Data Act nakłada na wszystkie strony, obecnego i docelowego dostawcę oraz klienta, ogólny obowiązek współpracy w dobrej wierze, by migracja przebiegała sprawnie i zapewniała ciągłość usług.
Data Act – wyłączenia i ograniczenia
Ustawodawca przewidział wyłączenia od obowiązków dotyczących zmiany dostawcy, które na ogół ciążą na dostawcy usług przetwarzania danych, w tym dostawcy usług chmurowych. Przepisy te nie wymagają od dostawcy tworzenia nowych technologii ani ujawniania informacji chronionych (w szczególności tajemnicy przedsiębiorstwa czy treści chronionych prawem autorskim).
Ponadto nie stosuje się ich do zindywidualizowanych usług, tj. rozwiązań budowanych na zamówienie dla jednego klienta, nie oferowanych na szeroką skalę, lub wersji testowych/usług eksperymentalnych udostępnianych okresowo. Przed zawarciem umowy dostawca powinien wprost poinformować użytkownika, jeżeli dana usługa podlega takim wyłączeniom.
Podsumowanie
Data Act wymusza znaczną zmianę w podejściu do usług chmurowych. Firmy powinny przeanalizować swoje umowy i już teraz planować ich uaktualnienie. Kluczowe jest wprowadzenie odpowiednich postanowień migracyjnych, usunięcie lub renegocjacja opłat „wyjściowych” oraz przygotowanie infrastruktury pod względem technicznym i organizacyjnym na interoperacyjność i migrację zgodnie z nowymi regulacjami.
Masz pytania? Skontaktuj się z nami
[i] Rozporządzenie Parlamentu i Rady (UE) 2023/2854
