34 ответов
Что такое EU Data Act и что на практике меняется для моей компании?
Data Act (Регламент ЕС 2024/2854) — это европейский закон, который определяет, кто может получать доступ к данным, генерируемым подключёнными устройствами (станки, транспортные средства, умная бытовая техника, датчики IoT), и связанными с ними цифровыми сервисами, и кто может их использовать. На практике он даёт пользователю устройства право получать эти данные и передавать их третьим лицам по своему выбору.
Для МСП это означает две конкретные вещи: если вы используете подключённые станки или ПО, у вас появляется больше прав на данные, которые вы производите; если же вы их производите или предлагаете как услугу, у вас появляются новые обязанности по прозрачности и доступу. Кроме того, регламент упрощает и удешевляет смену облачного провайдера.
GiBSeS — Понять, по какую сторону стола вы находитесь — пользователь данных или их поставщик, — это первый шаг, который мы делаем вместе в ходе диагностики.
С какого момента действует Data Act? Нужно ли действовать прямо сейчас?
Data Act вступил в силу 11 января 2024 года, но большинство обязательств применяется с 12 сентября 2025 года. Некоторые сроки наступают позже: обязанность проектировать подключённые устройства так, чтобы данные были доступны «by default», касается устройств, выведенных на рынок после 12 сентября 2026 года, а полное обнуление платы за смену облачного провайдера предусмотрено к 12 января 2027 года.
Так что да, основная часть уже применяется: свою позицию стоит проверить сейчас, не дожидаясь более поздних сроков.
GiBSeS — Если вы не уверены, какие сроки реально касаются именно вас, сопоставить эти даты с вашей ситуацией — часть той стартовой точки, которую мы определяем вместе.
Касается ли Data Act и небольшой компании вроде моей?
Да, но по-разному в зависимости от роли. Регламент распространяется на производителей подключённых устройств, поставщиков сопутствующих услуг, пользователей таких устройств (компании и потребителей), поставщиков облачных услуг и получателей данных. Даже небольшая компания, которая просто использует подключённые станки или ПО, относится к защищаемым субъектам.
Однако есть важные исключения для микро- и малых предприятий, если именно они производят устройство или оказывают услугу: в этом случае многие обязательства по предоставлению данных не действуют. Статус МСП имеет значение, но позицию нужно оценивать в каждом случае отдельно.
GiBSeS — Определить, являетесь ли вы защищаемым субъектом, обязанным субъектом или и тем и другим одновременно, — именно тот вопрос, с которого мы начинаем.
О каких именно данных идёт речь? Это касается только устройств IoT?
Data Act касается данных, генерируемых при использовании подключённых устройств и связанных с ними услуг: речь идёт о промышленных станках, транспортных средствах, медицинских приборах, умной бытовой технике, датчиках, а также о ПО и приложениях, которые управляют их работой. Сюда относятся необработанные данные и данные, прошедшие предварительную обработку, которые устройство собирает, регистрирует или передаёт во время использования.
А вот сведения, которые поставщик получает путём сложного анализа и собственных инвестиций (так называемые «производные» или «выведенные» данные), сюда не входят и остаются вне обязательства по предоставлению доступа.
GiBSeS — Отличить необработанные данные, подлежащие предоставлению, от обработанных и защищённых — одна из технических оценок, в которых мы вас сопровождаем.
Могу ли я получить доступ к данным, которые генерируют мои станки или устройства?
Да. Если вы используете подключённое устройство или связанную с ним услугу, у вас есть право на доступ к данным, которые вы генерируете при его использовании, — легко, безопасно и бесплатно, а там, где это технически возможно, — напрямую и непрерывно. Если получить их напрямую с устройства нельзя, держатель данных (обычно производитель или поставщик) обязан предоставить их вам без необоснованных задержек.
Это ломает распространённую практику: ещё вчера данные вашего же собственного станка нередко оставались закрытыми внутри систем производителя.
GiBSeS — Вернуть себе данные собственного оборудования — это суть темы «суверенитета данных», над которой мы работаем с МСП.
Могу ли я передать свои данные стороннему поставщику, например независимой мастерской?
Да, и это одно из самых конкретных нововведений. По вашему запросу держатель данных обязан предоставить их выбранному вами третьему лицу — независимому специалисту по обслуживанию, другому поставщику услуг, разработчику решений. Это позволяет, например, поручить обслуживание или оптимизацию оборудования тому, кому вы хотите, не оставаясь привязанным к производителю.
Третье лицо обязано использовать данные только в целях, согласованных с вами, и не может, в свою очередь, передавать их дальше без вашего согласия. Из этого механизма исключены крупные гейткиперы, признанные таковыми согласно Digital Markets Act (DMA).
GiBSeS — Использовать это право, чтобы открыть конкуренцию на рынке послепродажного обслуживания, — это рычаг против vendor lock-in, который мы помогаем внедрить на практике.
Я произвожу подключённые устройства или станки: что мне нужно делать?
Как производитель вы несёте несколько ключевых обязательств. Вы должны чётко информировать покупателя ещё до продажи о том, какие данные генерирует устройство, как к ним получить доступ и с кем их можно передавать. Вы должны обеспечить доступ к данным пользователю, а по его запросу — указанным им третьим лицам. Для устройств, выведенных на рынок после 12 сентября 2026 года, действует также обязанность проектировать их так, чтобы данные были доступны «by design и by default».
Вы можете защищать свою коммерческую тайну соответствующими мерами, но не можете использовать её как предлог, чтобы полностью отказать в доступе.
GiBSeS — Пересмотреть договоры продажи, техническую документацию и архитектуру продукта с учётом Data Act — это работа, в которой мы поддерживаем вас от начала до конца.
Я пользователь подключённых устройств: что меняется в лучшую сторону для меня?
Вы получаете больше контроля и больше переговорных рычагов. Вы можете получить доступ к данным об использовании своих устройств, забрать их и передать сторонним поставщикам для обслуживания, анализа или новых услуг. Это снижает зависимость от единственного производителя и позволяет сравнивать предложения по обслуживанию на открытом рынке.
На практике вы можете извлечь ценность из данных, которые раньше оставались недоступными: энергоэффективность, износ оборудования, прогнозирование поломок, оптимизация процессов.
GiBSeS — Превратить эти права в экономию и более взвешенные решения — это та практическая часть, которая интересует нас больше всего.
Как Data Act соотносится с GDPR? Он его заменяет?
Нет, Data Act не заменяет и не ослабляет GDPR: оба регламента применяются параллельно. GDPR по-прежнему регулирует все персональные данные; Data Act добавляет права на доступ и переносимость данных, но в случае конфликта приоритет имеет защита персональных данных. Если данные, генерируемые устройством, включают персональную информацию, всё равно требуется законное основание для обработки и соблюдение принципов GDPR.
На практике многие наборы данных IoT являются смешанными (персональные и неперсональные данные переплетены): управлять ими нужно с учётом обоих регламентов одновременно.
GiBSeS — Распутать переплетение персональных и неперсональных данных, не нарушив ни один из двух регламентов, — типичный узел, который мы помогаем развязать.
Может ли поставщик навязать мне кабальные условия использования данных?
Data Act вводит защиту от недобросовестных договорных условий, касающихся доступа к данным и их использования, если такие условия одна компания в одностороннем порядке навязывает другой. Условие, признанное недобросовестным, не имеет обязательной силы: например, условие, которое явно несправедливо исключает или ограничивает средства правовой защиты в случае неисполнения обязательств, или даёт стороне, навязывающей его, одностороннее право решать, соответствуют ли предоставленные данные требованиям.
Эта защита создана прежде всего для того, чтобы уравновесить отношения, когда у контрагента значительно больше переговорной силы.
GiBSeS — Просеять договоры о данных в поисках условий, которые больше не имеют силы, — это быстрая проверка, но часто она даёт показательные результаты.
Есть ли специальные защитные меры или исключения для микро- и малых предприятий?
Да. Микро- и малые предприятия пользуются существенными послаблениями: если именно они производят подключённое устройство или оказывают связанную с ним услугу, обязательства по предоставлению данных, предусмотренные главой II регламента, как правило, не применяются. Это позволяет не нагружать небольшие компании теми же обязанностями, что и транснациональные корпорации.
Однако будьте внимательны: исключение может утратить силу, если микро- или малое предприятие является связанным или партнёрским по отношению к более крупной компании. Статус МСП нужно проверять по критериям ЕС (численность сотрудников, оборот, структура собственности).
GiBSeS — Точно проверить, подпадаете ли вы под исключение — и не аннулирует ли его структура вашей компании, — стоит до того, как вкладывать средства в приведение бизнеса в соответствие.
Действительно ли Data Act помогает мне сменить облачного провайдера?
Да, это одна из центральных целей регламента. Он обязывает поставщиков услуг обработки данных (облачных и edge) устранять технические, договорные и коммерческие препятствия при смене провайдера. Они обязаны обеспечить процесс миграции с чёткими сроками, помочь клиенту перенести данные и приложения к другому провайдеру или на инфраструктуру on-premise, и не могут навязывать несоразмерные ограничения.
Это сделано именно для того, чтобы снизить vendor lock-in, из-за которого компании оказываются заложниками единственной платформы.
GiBSeS — Облачный vendor lock-in — один из рисков, которые мы оцениваем в первую очередь: Data Act наконец даёт конкретные инструменты, чтобы из него выйти.
Правда ли, что расходы на уход из облака будут обнулены?
Да. Data Act предусматривает постепенное снижение платы за смену провайдера (switching charges) и их полную отмену к 12 января 2027 года. В переходный период поставщики могут выставлять только сниженные расходы, связанные с реально понесёнными затратами на миграцию, а не штрафные санкции. При этом обычная плата за текущее использование сервиса по-прежнему может выставляться.
Это устраняет один из самых серьёзных экономических барьеров при смене провайдера — наряду с техническими.
GiBSeS — Оценить уже сегодня ваши реальные расходы на выход — и то, как они снизятся к 2027 году, — расчёт, который меняет ход переговоров с поставщиками.
Что Data Act говорит о совместимости систем?
Регламент устанавливает требования к совместимости, чтобы облегчить обмен данными и переход между сервисами. Поставщики облачных услуг обязаны предоставлять открытые интерфейсы и достаточную информацию, чтобы данные можно было перенести и повторно использовать в другом месте. Предусмотрены также спецификации для общих европейских пространств данных и возможность гармонизированных стандартов.
Цель в том, чтобы данные не оставались «пленниками» проприетарного формата или платформы.
GiBSeS — Спроектировать или выбрать системы, которые действительно совместимы, а не просто заявлены такими, — независимая техническая оценка, в которой мы можем быть полезны.
Если мне придётся делиться данными, не окажется ли под угрозой моя коммерческая тайна?
Data Act ищет баланс: обязательство предоставлять данные не отменяет защиту коммерческой тайны. Как держатель данных вы можете определить данные, охраняемые тайной, и согласовать с пользователем или третьим лицом соответствующие меры для сохранения конфиденциальности (соглашения, технические меры, условия использования). В исключительных случаях, если, несмотря на эти меры, сохраняется серьёзный и доказуемый риск ущерба, предоставление данных может быть приостановлено или отклонено.
Однако вы не можете использовать коммерческую тайну как универсальный предлог, чтобы вообще отказать в доступе: отказ должен быть обоснован и о нём нужно уведомить.
GiBSeS — Выстроить меры защиты ноу-хау, которые действительно работают, не превращаясь в неправомерный отказ, — деликатный момент, в котором мы вас сопровождаем.
Может ли третье лицо, которому я передаю данные, использовать их, чтобы конкурировать со мной?
Здесь есть чёткие ограничения. Третье лицо, получающее данные по запросу пользователя, может использовать их только в целях и на условиях, согласованных с самим пользователем, и не может применять их для разработки продукта, конкурирующего с тем, от которого получены данные. Оно также не может передавать данные другим без согласия.
Держатель данных, в свою очередь, тоже не может использовать неперсональные данные, генерируемые пользователем, чтобы получить сведения о его экономическом положении или стратегиях таким образом, что это нанесёт ущерб его коммерческой позиции.
GiBSeS — Составить соглашения о предоставлении данных так, чтобы эти запреты действительно работали, — часть договорной работы, которую мы ведём.
Я обязан предоставлять данные бесплатно или могу требовать вознаграждение?
Для пользователя устройства доступ к собственным данным бесплатен. Когда же данные предоставляются стороннему предприятию, держатель данных может потребовать разумную и недискриминационную компенсацию, основанную на расходах, понесённых для предоставления данных. Если получателем является МСП или исследовательская организация, компенсация не может превышать эти расходы, без дополнительной наценки.
В любом случае экономические условия должны быть справедливыми, прозрачными и не должны использоваться как скрытый барьер для доступа.
GiBSeS — Определить обоснованную компенсацию — не дарёную и не заградительную — это индивидуальная экономико-договорная оценка.
Какие предусмотрены санкции и кто следит за соблюдением Data Act?
Data Act не устанавливает единые для всего ЕС суммы штрафов: определение санкций отдано каждому государству-члену, при этом санкции должны быть эффективными, соразмерными и оказывающими сдерживающее воздействие. Каждое государство назначает один или несколько национальных надзорных органов; в части, касающейся персональных данных, компетенция остаётся за органами по защите данных (в Италии — Garante).
Суммы и процедуры, соответственно, зависят от национальных норм имплементации: для вашей конкретной ситуации нужно проверить, как компетентное государство внедрило этот регламент.
GiBSeS — Понять, какой орган осуществляет надзор за вами и с какими санкциями в вашей стране, — уточнение, которое избавляет от неприятных сюрпризов.
С чего конкретно начать, чтобы привести дела в соответствие?
Прагматичный путь начинается с четырёх шагов: 1) составить карту используемых или предлагаемых вами подключённых устройств и услуг и данных, которые они генерируют; 2) определить свою роль (пользователь, держатель данных, производитель, облачный провайдер) и вытекающие из неё обязательства или права; 3) пересмотреть договоры — на продажу, на услуги, облачные — в поисках условий, утративших силу, или расходов на выход, которые стоит пересмотреть; 4) привести в соответствие меры по персональным данным и коммерческой тайне.
Не нужно всё переворачивать с ног на голову: нужно понять, где вы уязвимы, а где, наоборот, регламент даёт вам рычаг в свою пользу.
GiBSeS — Именно эта карта из четырёх шагов и есть та первоначальная диагностика, с которой мы работаем с МСП.
Нужно ли переделывать уже подписанные B2B-договоры?
Не обязательно все, но их нужно перечитать. Новые механизмы защиты от недобросовестных условий и доступа к данным затрагивают и уже действующие отношения, и некоторые условия могут утратить обязательную силу. Для уже действующих бессрочных или долгосрочных договоров регламент предусматривает переходные периоды, но направление ясное: условия по данным должны быть приведены в соответствие.
Сейчас подходящий момент для точечного пересмотра договоров, касающихся данных, облака и подключённых услуг, не дожидаясь судебного спора.
GiBSeS — Договорный аудит, сфокусированный на пунктах, затронутых Data Act, — быстрое действие с конкретной отдачей.
В чём разница между Data Act, Data Governance Act и GDPR?
Это три взаимодополняющих элемента европейской стратегии в области данных. GDPR защищает персональные данные. Data Governance Act (Регламент ЕС 2022/868) создаёт правила и структуры для добровольного и надёжного обмена данными (посредники, альтруизм данных, повторное использование государственных данных). Data Act определяет, кто имеет право получать доступ к данным, генерируемым подключёнными устройствами, и использовать их, а также регулирует смену облачного провайдера и договорные условия.
Кратко: GDPR говорит, как защищать персональные данные, Data Governance Act — как обмениваться данными на доверительной основе, а Data Act — кто может их получать и использовать.
GiBSeS — Ориентироваться среди пересекающихся регламентов, не путаясь и не дублируя работу, — часть ценности независимого консультанта.
Почему Data Act важен стратегически, а не только с точки зрения комплаенса?
Потому что он смещает власть над данными в сторону того, кто их генерирует. Помимо законодательного обязательства, для МСП это означает возможность вернуть себе данные собственного оборудования, свободно выбирать технологических поставщиков и партнёров, снизить облачный vendor lock-in и сократить расходы на выход. Это практическая основа суверенитета данных: меньше зависеть от одного поставщика и сохранять контроль над собственной информацией.
В таком ракурсе комплаенс становится не просто формальной обязанностью, а поводом пересмотреть и улучшить свои технологические решения.
GiBSeS — Превратить Data Act из обязанности в рычаг против vendor lock-in и в инструмент технологической независимости — именно так мы подходим к этой теме вместе с вами.
Применяется ли Data Act к моей компании, даже если у меня нет офиса или представительства в Евросоюзе?
Да. Data Act (Регламент ЕС 2024/2854) использует рыночный критерий, а не критерий места учреждения: он применяется к тем, кто выводит на рынок ЕС подключённые устройства или предоставляет связанные с ними услуги и услуги обработки данных пользователям и клиентам в Союзе, независимо от того, где находится юридический адрес компании. То, что вы базируетесь в США, Великобритании, Швейцарии или Азии, не освобождает вас от обязательств.
На практике, если ваш станок, устройство IoT или облачный сервис попадает в руки европейского пользователя, вы оказываетесь в сфере действия регламента и обязаны соблюдать его так же, как компания из ЕС.
GiBSeS — GiBSeS помогает компаниям МСП вне ЕС с самого начала понять, затрагивает ли их Data Act и как именно, — прежде чем это станет препятствием для выхода на европейский рынок.
Что именно относится к «подключённым устройствам» и «сопутствующим услугам», если я экспортирую в Европу?
Подключённым устройством считается товар, который получает, генерирует или собирает данные о собственном использовании или об окружающей среде и способен передавать их через сервис электронной связи, физическое соединение или доступ к устройству: промышленные станки, транспортные средства, медицинские приборы, умная бытовая техника, датчики, сельскохозяйственное оборудование и в целом IoT. Сопутствующие услуги — это цифровые сервисы (приложения, платформы, облачные функции), без которых устройство не могло бы выполнять одну или несколько функций, или которые поставщик связывает с устройством.
Если вы продаёте оборудование, которое «общается» с вашим облаком или приложением, вы почти наверняка подпадаете под обе категории.
GiBSeS — GiBSeS составляет карту вашего продукта и его цифровой экосистемы, чтобы точно определить, какие обязательства Data Act возникают на рынке ЕС.
С какого момента я должен соответствовать Data Act, чтобы продолжать продавать в Европе?
Data Act действует с 11 января 2024 года, но в общем порядке применяется начиная с 12 сентября 2025 года. У некоторых положений собственные сроки: обязательства по проектированию устройств так, чтобы данные были доступны «by design», действуют для подключённых устройств, выведенных на рынок после 12 сентября 2026 года, а правила об отмене платы за смену облачного провайдера вступают в полную силу с 12 января 2027 года.
Если вы планируете вывод новых продуктов или их обновление для рынка ЕС, эти даты нужно учитывать уже на этапе проектирования, а не непосредственно перед продажей.
GiBSeS — GiBSeS выстраивает вместе с вами дорожную карту, согласованную с этими сроками, чтобы выход на рынок ЕС не тормозился доработками в последний момент.
Конкретно, что я должен разрешить европейским пользователям моих продуктов?
Пользователь из ЕС (это может быть компания или потребитель) имеет право на доступ к данным, которые он генерирует, используя ваше подключённое устройство или сопутствующую услугу, и на передачу их третьим лицам по своему выбору, например другому поставщику обслуживания или услуг. Как держатель данных (data holder) вы обязаны предоставлять эти данные легко, безопасно, бесплатно для пользователя и, где технически возможно, непрерывно и в реальном времени.
Вы больше не можете рассматривать данные об использовании продукта как исключительно свой актив: контроль частично переходит к европейскому клиенту.
GiBSeS — GiBSeS помогает пересмотреть потоки данных и договоры в соответствии с требованиями, не уступая больше, чем реально требует норма.
Нужно ли мне перепроектировать свои продукты, чтобы продавать их в ЕС?
Во многих случаях да, хотя бы частично. Data Act вводит принцип «доступа к данным by design and by default»: подключённые устройства и связанные с ними услуги должны проектироваться и создаваться так, чтобы пользователь мог легко, безопасно и (там, где возможно) напрямую получать доступ к генерируемым данным. Это может потребовать изменений в прошивке, интерфейсах, API и технической документации.
Обязанность проектирования применяется к устройствам, выведенным на рынок ЕС после 12 сентября 2026 года, так что у тех, кто сейчас разрабатывает новые версии, есть окно для адаптации.
GiBSeS — GiBSeS сопровождает ваши технические команды, помогая заложить доступность данных в продукт ещё на этапе проектирования, избегая дорогостоящих доработок в будущем.
Нужен ли мне представитель или контактное лицо в Европе для соблюдения Data Act?
Data Act не устанавливает общей обязанности назначать представителя в ЕС, аналогичного тому, что предусмотрен ст. 27 GDPR, для всех субъектов. Тем не менее вы всё равно должны быть доступны и управляемы с точки зрения соответствия на европейском рынке: чёткая информация для пользователя, каналы для ответа на запросы доступа к данным и способность взаимодействовать с компетентными органами.
Необходимость в контактном лице или структуре в ЕС зависит от вашей модели работы (прямые продажи, через импортёра, через дистрибьютора) и должна оцениваться в каждом случае отдельно, в том числе в сочетании с другими регламентами ЕС, которые, напротив, требуют назначения представителя.
GiBSeS — GiBSeS как независимый консультант помогает выстроить соразмерное присутствие в Европе для целей комплаенса, не привязывая вас к единственному поставщику или посреднику.
Кто отвечает за соответствие требованиям: я как иностранный производитель, импортёр или дистрибьютор в ЕС?
Data Act возлагает основные обязательства на «держателя данных» (data holder), то есть на субъект, который имеет право или обязан предоставлять данные: как правило, это производитель или поставщик сопутствующей услуги, контролирующий данные продукта, даже если он находится за пределами ЕС. У европейских импортёров и дистрибьюторов есть своя роль, но она автоматически не снимает с вас ответственности за проектирование и предоставление данных.
Ответственность нужно чётко зафиксировать в договорах вдоль всей цепочки поставок: нечёткое соглашение рискует оставить обязательство (и риск) на вас как на производителе.
GiBSeS — GiBSeS анализирует вашу цепочку дистрибуции в ЕС и помогает распределить роли и ответственность в договорах так, чтобы ни одно обязательство не осталось без покрытия.
Я облачный провайдер вне ЕС с европейскими клиентами: какие у меня обязательства по смене провайдера и совместимости?
Если вы предоставляете услуги обработки данных (облачные, edge и аналогичные) клиентам в Союзе, Data Act обязывает вас облегчать смену провайдера (switching): устранение договорных, коммерческих и технических препятствий, чёткие сроки миграции, переносимость данных и цифровых активов и требования к совместимости. Плата за смену провайдера должна постепенно снижаться, а с 12 января 2027 года она вообще не может взиматься (за исключением переходных случаев, основанных на реально понесённых расходах).
Это действует, даже если ваша инфраструктура находится вне ЕС, при условии что клиент является европейским.
GiBSeS — GiBSeS помогает провайдерам вне ЕС адаптировать договоры, плату за исходящий трафик (egress) и архитектуру переносимости данных, чтобы оставаться конкурентоспособными и соответствовать требованиям на европейском облачном рынке.
Ограничивает ли Data Act передачу за пределы ЕС неперсональных данных моих европейских клиентов?
Да, отчасти. Глава VII Data Act обязывает, в частности, поставщиков услуг обработки данных принимать меры для предотвращения доступа и международной передачи неперсональных данных, хранящихся в ЕС, если это противоречило бы праву Союза или государств-членов. Если правительство или орган третьей страны запрашивает такие данные, поставщик обязан соблюсти чёткие гарантии, прежде чем выполнить этот запрос.
Для компании, базирующейся, например, в США или Азии, это означает, что «внутренние» запросы на доступ к данным могут вступать в противоречие с обязательствами по праву ЕС: этот вопрос нужно решать, а не игнорировать.
GiBSeS — GiBSeS помогает выстроить систему управления данными и технические меры, которые выдержат двойное давление между вашей страной происхождения и правилами ЕС по данным.
Как соотносятся Data Act и GDPR, когда данные продукта включают персональные данные?
Data Act действует наряду с GDPR, а не заменяет его. Когда данные, генерируемые подключённым устройством, включают персональные данные, GDPR продолжает применяться в полном объёме: в случае конфликта приоритет имеет законодательство о защите персональных данных, и для любой обработки и передачи требуется законное основание. Data Act добавляет права на доступ и предоставление данных, но сам по себе не создаёт нового правового основания для обработки персональных данных.
Для тех, кто продаёт в ЕС, это означает необходимость одновременно управлять двумя уровнями: доступ/переносимость (Data Act) и законность обработки (GDPR).
GiBSeS — GiBSeS координирует соответствие Data Act и GDPR в единой системе, чтобы эти два регламента не вступали в противоречие в ваших продуктах и договорах.
Что конкретно мне грозит при несоблюдении требований: штрафы, блокировка товаров на таможне?
Санкции за нарушение Data Act устанавливаются отдельными государствами-членами и должны быть эффективными, соразмерными и оказывающими сдерживающее воздействие; если речь идёт о нарушении, затрагивающем персональные данные, могут дополнительно применяться санкции GDPR (до 20 миллионов евро или 4% годового мирового оборота). Помимо штрафов, несоответствие требованиям может обернуться договорными спорами с клиентами и партнёрами из ЕС и коммерческими трудностями при выходе на рынок.
Главный риск для компании вне ЕС — не столько автоматическая «таможенная блокировка», сколько потеря клиентов, тендеров и партнёрств в Европе из-за того, что продукт не соответствует требованиям, которые рынок уже считает само собой разумеющимися.
GiBSeS — GiBSeS переводит эти риски в конкретные приоритеты, помогая защитить доступ к рынку ЕС до того, как это станет коммерческой или юридической проблемой.
С чего практически начать, чтобы соответствовать Data Act и выйти на рынок ЕС?
Разумный путь начинается с трёх шагов: (1) составить карту ваших продуктов и услуг, чтобы понять, какие из них являются «подключёнными» или «сопутствующими» и какие данные они генерируют; (2) определить свою роль (держатель данных, поставщик облачных услуг и т. д.) и релевантные сроки; (3) проверить проектирование продукта, договоры с пользователями и партнёрами из ЕС и меры по международной передаче данных.
На этой основе составляется приоритизированный план приведения в соответствие, концентрируя усилия там, где рыночный и санкционный риск наиболее высок, не перегружая организацию ненужными процедурами.
GiBSeS — GiBSeS как независимый технологический консультант ведёт компании МСП вне ЕС по этому пути шаг за шагом, чтобы выход на европейский рынок оставался быстрым и не привязанным к единственному поставщику.
Этот материал носит информационный характер и не является юридической консультацией.
Разберёмся с вашими данными
Бесконечная юридическая консультация не нужна: достаточно определить вашу роль по отношению к Data Act и провести точечный анализ договоров, чтобы понять, где вы уязвимы, а где, наоборот, регламент даёт вам рычаг против vendor lock-in. Как независимый консультант мы говорим о том, что действительно важно для вашего МСП.
Записаться на первичную диагностику