Już 12 września 2025 r. zacznie obowiązywać Data Act, czyli unijny akt dotyczący danych. Nakłada on nowe prawa i obowiązki dla przedsiębiorstw, a także zmienia zasady dostępu do danych w całej Europie. Co więcej, wprowadzenie Data Act może wywołać potrzebę przygotowania się do prowadzenia potencjalnych sporów związanych z udostępnianiem i wykorzystywaniem danych.
Kiedy zacznie obowiązywać i kogo dotyczy Data Act?
Rozporządzenie Data Act zostało przyjęte w listopadzie 2023 r. i zacznie obowiązywać 12 września 2025 r. Nowe przepisy dotyczą szerokiego kręgu podmiotów zaangażowanych w tworzenie, udostępnianie i wykorzystywanie danych. Szczegółowe omówienie znajdziesz w artykule poniżej.
Producenci i dostawcy usług powiązanych
Adresatami rozporządzenia są w szczególności producenci produktów skomunikowanych wprowadzanych do obrotu w Unii oraz dostawcy usług powiązanych – i to niezależnie od miejsca ich siedziby.
Produkt skomunikowany to rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej używania lub otoczenia oraz potrafi komunikować te dane za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu. Podstawową funkcją takiego produktu nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu innej strony niż użytkownik. Przykładami produktów skomunikowanych są: inteligentne pralki, smartwatche lub telewizory typu smart.
Usługa powiązana to usługa cyfrowa (w tym oprogramowanie, z wyłączeniem usług łączności elektronicznej), która przy zakupie, najmie, dzierżawie lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi wykonywanie co najmniej jednej funkcji, albo jest do niego dołączana później przez producenta lub osobę trzecią, aby dodać, uaktualnić lub zmodyfikować funkcje (np. aplikacja mobilna do uruchamiania pralki).
Użytkownicy produktów i usług
Regulacja obejmuje także użytkowników znajdujących się w Unii. Użytkownik to osoba fizyczna lub prawna, która jest właścicielem produktu skomunikowanego, ma tymczasowe prawa do jego używania na podstawie umowy lub korzysta z usług powiązanych.
Posiadacze danych i odbiorcy danych
Adresatami są posiadacze danych, którzy udostępniają dane odbiorcom w Unii, niezależnie od swojej siedziby. Posiadacz danych to osoba fizyczna lub prawna mająca prawo lub obowiązek – na mocy Data Act, prawa unijnego lub krajowego – wykorzystywać i udostępniać dane, w tym, jeśli przewidziano to umową, dane z produktu lub z usługi powiązanej pobrane lub wygenerowane podczas świadczenia usługi.
Po stronie popytu występują odbiorcy danych w Unii, którym dane są udostępniane. Odbiorca danych to osoba fizyczna lub prawna działająca w celach związanych z działalnością handlową, gospodarczą, rzemieślniczą lub zawodową – inna niż użytkownik produktu lub usługi powiązanej – której posiadacz danych udostępnia dane, w tym osoba trzecia na wniosek użytkownika albo na podstawie obowiązku prawnego wynikającego z prawa Unii lub krajowego.
Organy sektora publicznego i instytucje UE
Uprawnienia do pozyskiwania danych mają również organy sektora publicznego, Komisja Europejska, Europejski Bank Centralny oraz inne organy Unii. Mogą one na wniosek i w celu realizacji zadania w interesie publicznym uzyskać niezbędne dane.
Dostawcy usług przetwarzania danych (cloud/edge)
Data Act obejmuje dostawców usług przetwarzania danych świadczących takie usługi klientom w Unii, bez względu na siedzibę dostawcy. Usługa przetwarzania danych to usługa cyfrowa umożliwiająca wszechobecny, sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych (scentralizowanych, rozproszonych lub wysoce rozproszonych), które można szybko przydzielać i zwalniać przy minimalnym wysiłku zarządczym lub interakcji z dostawcą.
Uczestnicy przestrzeni danych i inteligentne umowy
Regulacja dotyczy również uczestników przestrzeni danych oraz sprzedawców aplikacji korzystających z inteligentnych umów, a także podmiotów wdrażających takie umowy w ramach wykonywania umów. Inteligentna umowa to program komputerowy używany do automatycznego wykonywania umowy lub jej części, posługujący się sekwencją elektronicznych rekordów danych i zapewniający integralność oraz dokładność ich chronologicznego uporządkowania.
Definicja „danych”
Na potrzeby Data Act dane to wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich treści, w tym zapisy dźwiękowe, wizualne i audiowizualne.
Kluczowa zasada stosowania
Obowiązki wynikające z Data Act dotyczą przedsiębiorców niezależnie od siedziby i skali działalności. O tym, czy rozporządzenie obejmie dany podmiot, decyduje przedmiot działalności. Regulacje w szczególności odnoszą się do danych generowanych przez urządzenia, aplikacje, systemy IoT oraz usługi cyfrowe.
Cele rozporządzenia Data Act i relacja z RODO
Data Act to część unijnej strategii na rzecz danych z 2020 r. Celem jest zapewnienie użytkownikom produktu skomunikowanego lub usługi powiązanej w Unii możliwości terminowego dostępu do danych generowanych podczas korzystania oraz ich wykorzystywania, w tym dzielenia się nimi z wybranymi osobami trzecimi (motyw 5). Jednocześnie rozporządzenie nie narusza prawa Unii i prawa krajowego dotyczących ochrony danych osobowych, prywatności i poufności komunikacji oraz integralności urządzeń końcowych, w szczególności RODO, rozporządzenia (UE) 2018/1725 i dyrektywy 2002/58/WE (art. 1 ust. 5).
Udostępnianie danych ma pobudzać konkurencyjność rynku. Analiza danych pozwoli wprowadzać nowe, innowacyjne produkty i usługi. Regulacje mają przeciwdziałać monopolizacji dostępu do danych i wzmacniać konkurencję.
W praktyce przedsiębiorstwa powinny weryfikować: jakie dane gromadzą, komu mogą je udostępniać oraz jakie prawa z tego wynikają dla kontrahentów i konsumentów. Ponadto, rozporządzenie uwzględnia bezpieczeństwo publiczne. Organy sektora publicznego, Komisja, EBC lub organy Unii, dysponując niezbędną wiedzą, mogą reagować na niebezpieczeństwa publiczne, zapobiegać im lub przywracać stan wyjściowy (motyw 70). W razie potrzeby podmioty te mogą udostępniać pozyskane dane osobom trzecim. Jeśli jest to niezbędne dla działań naukowych lub analitycznych.
Rozporządzenie nakłada na przedsiębiorców posiadających dane obowiązek udostępniania ich na sprawiedliwych, rozsądnych i niedyskryminujących zasadach oraz w sposób przejrzysty, co ma zrównoważyć interesy producentów, dostawców usług cyfrowych i użytkowników.
Nowe obowiązki ciążące na przedsiębiorcach
Data Act nakłada na przedsiębiorców obowiązek projektowania i produkowania produktów skomunikowanych oraz projektowania i świadczenia usług powiązanych. W taki sposób, aby dane i metadane niezbędne do interpretacji i wykorzystania danych były domyślnie łatwo, bezpiecznie i bezpłatnie dostępne. Dlatego dostęp ma być w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie. W stosownym przypadku i jeśli to technicznie możliwe, dane powinny być bezpośrednio dostępne dla użytkownika (art. 3 ust. 1). Producent lub dostawca zapewnia ten dostęp w sposób przejrzysty i nieodpłatny.
Dodatkowo, użytkownik może otrzymać, przedstawione jasno i zrozumiale, informacje: jaki rodzaj, format i szacunkową ilość danych generuje produkt, czy dane powstają w sposób ciągły i w czasie rzeczywistym, jak i gdzie się je przechowuje oraz w jaki sposób użytkownik uzyska do nich dostęp. Co więcej, katalog tych informacji ma charakter otwarty („co najmniej”). Analogicznie, dostawca przekazuje informacje przed zawarciem umowy o świadczenie usługi powiązanej.
Dla przedsiębiorstw w Polsce oznacza to konieczność analizy umów z klientami, dostawcami technologii i partnerami biznesowymi. Konieczne będzie także dostosowanie regulaminów świadczenia usług elektronicznych oraz polityk prywatności.
Ograniczenia w dostępie do danych
Rozporządzenie przewiduje zabezpieczenia. Strony mogą umownie ograniczyć lub zakazać dostępu do danych, ich wykorzystywania lub dalszego dzielenia się nimi. W szczególności, jeżeli przetwarzanie mogłoby zagrozić wymaganiom bezpieczeństwa produktu skomunikowanego określonym w prawie UE lub krajowym. Mogłoby też mieć poważny negatywny wpływ na zdrowie, bezpieczeństwo czy ochronę osób fizycznych. W takim przypadku posiadacz danych powiadamia właściwe organy.
Użytkownik może złożyć łatwy, bezpieczny i nieodpłatny wniosek o udostępnienie danych (wraz z niezbędnymi metadanymi) osobie trzeciej. Upoważniona osoba może działać w jego imieniu. Osoba trzecia przetwarza dane wyłącznie do uzgodnionych celów i, co do zasady, usuwa je, gdy przestają być potrzebne. Jednocześnie ciążą na niej szczegółowe obowiązki z art. 6 ust. 2.
Nieuczciwe postanowienia umowne (B2B)
Rozporządzenie reguluje także nieuczciwe postanowienia umowne między przedsiębiorstwami dotyczące dostępu do danych i ich wykorzystywania. Zgodnie z art. 13 ust. 1, postanowienie nałożone jednostronnie na inne przedsiębiorstwo nie wiąże go, jeżeli jest nieuczciwe. Postanowienie jest nieuczciwe, gdy jego stosowanie rażąco odbiega od dobrej praktyki handlowej w zakresie dostępu do danych i ich wykorzystywania. Dzieje się to wbrew zasadzie dobrej wiary i uczciwego obrotu (art. 13 ust. 3). Dodatkowo, art. 13 ust. 5 wprowadza szereg domniemań kluczowych dla interpretacji takich klauzul.
Dostęp organów sektora publicznego „w wyjątkowej potrzebie”
Organ sektora publicznego, Komisja, EBC lub organ Unii mogą uzyskać dane. Jest to możliwe, jeżeli wykażą wyjątkową potrzebę wykorzystania danych w celu wykonania ustawowych obowiązków realizowanych w interesie publicznym. Udostępnienie danych następuje na podstawie wniosku o podwyższonych wymogach formalnych. Jeżeli wniosek jest zasadny, posiadacz danych udostępnia je bez zbędnej zwłoki. Zakres obowiązków zależy od skali działalności. Jednak mikro- i małe przedsiębiorstwa nie muszą udostępniać danych z art. 15 ust. 1 lit. b.
Znaczący wpływ na dostawców chmury (cloud switching)
Rozporządzenie wprowadza istotne ograniczenia dla dostawców usług chmurowych. W rezultacie przenoszenie danych między dostawcami (cloud switching) ma być łatwiejsze i pozbawione nieuzasadnionych barier kontraktowych. Dostawcy usług przetwarzania danych stosują środki umożliwiające klientom zmianę usługi na usługę tego samego typu u innego dostawcy. Ponadto dane mogą być przenoszone do lokalnej infrastruktury ICT lub, w razie potrzeby, można korzystać równocześnie z usług kilku dostawców (art. 23).
Wszelkie prawa klienta oraz obowiązki dostawcy pojawią się w umowie stron. Katalog elementów umowy (art. 25 ust. 2 lit. a–i) obejmuje, m.in., postanowienia pozwalające klientowi na wniosek zmienić dostawcę lub przenieść wszystkie dane eksportowalne i aktywa cyfrowe do lokalnej infrastruktury ICT bez zbędnej zwłoki. Proces ten ma nastąpić najpóźniej w ciągu 30 dni kalendarzowych po maksymalnym okresie wypowiedzenia nieprzekraczającym 2 miesięcy.
Dostawca usług przetwarzania danych dodatkowo:
- zapewnia klientowi i upoważnionym osobom trzecim uzasadnioną pomoc w procesie zmiany,
- działa z należytą starannością, aby utrzymać ciągłość działalności,
- przedstawia jasne informacje o znanych zagrożeniach dla ciągłości świadczenia,
- utrzymuje wysoki poziom bezpieczeństwa w trakcie całego procesu, w szczególności podczas przekazywania danych i w okresie ich zatrzymania.
Ponadto dostawcy informują o procedurach zmiany i przeniesienia, dostępnych metodach i formatach oraz znanych limitach i ograniczeniach technicznych. Opłaty za zmianę dostawcy zostaną stopniowo wycofane. Od 12 stycznia 2027 r. dostawcy nie pobierają opłat za samą procedurę zmiany.
Dostawcy usług przetwarzania aktualizują również strony internetowe, w szczególności w zakresie jurysdykcji, której podlega infrastruktura ICT używana do przetwarzania danych, oraz udostępniają ogólny opis środków technicznych, organizacyjnych i umownych zapobiegających niezgodnemu z prawem międzynarodowemu dostępowi do danych nieosobowych przechowywanych w UE.
Jak przygotować się do wejścia w życie Data Act?
Dostosowanie się do nowych przepisów wymaga systemowego podejścia. Proces przygotowania można podzielić na kilka etapów:
- Audyt danych i procesów. Należy zidentyfikować, jakie dane są gromadzone w przedsiębiorstwie. Trzeba ocenić ich źródła, charakter, sposób przetwarzania i przechowywania. Audyt powinien obejmować nie tylko dane osobowe, lecz także dane przemysłowe i dane z urządzeń IoT.
- Przegląd umów i regulaminów. Umowy z kontrahentami należy sprawdzić pod kątem zgodności z rozporządzeniem. Kluczowe znaczenie mają zapisy dotyczące praw dostępu do danych, odpowiedzialności za ich udostępnianie i ewentualnych ograniczeń. Ponadto regulaminy świadczenia usług elektronicznych trzeba zaktualizować.
- Wdrożenie procedur technicznych i organizacyjnych. Firmy powinny przygotować rozwiązania, które umożliwią użytkownikom łatwy dostęp do danych. Dlatego niekiedy wdrożenie API lub innych narzędzi do eksportu danych okaże się konieczne. Równie istotne jest wprowadzenie polityk bezpieczeństwa ograniczających ryzyko nieuprawnionego wykorzystania danych.
- Szkolenia i komunikacja. Pracowników mających kontakt z danymi i klientami należy przeszkolić. Ponadto komunikacja z klientami powinna jasno wyjaśniać, jakie prawa przysługują użytkownikom oraz w jaki sposób można je zrealizować.
Podsumowanie
Warto podkreślić, że Data Act stanowi element szerszej transformacji prawa cyfrowego w Unii Europejskiej. Podobnie jak rozporządzenie eIDAS 2.0 czy projektowane przepisy dotyczące sztucznej inteligencji (AI Act), nowe regulacje wpisują się w proces tworzenia jednolitego rynku danych.
Firmy w Polsce muszą zatem patrzeć na Data Act nie tylko jak na pojedynczy obowiązek. To element nowej rzeczywistości prawnej. Wdrożenie przepisów warto połączyć z długoterminową strategią zarządzania danymi i cyfryzacją procesów.
Wejście w życie Data Act oznacza dla polskich przedsiębiorstw konieczność dostosowania się do nowych reguł dostępu do danych. W konsekwencji obowiązki producentów, prawa użytkowników oraz ułatwienia w korzystaniu z usług chmurowych zmienią dotychczasowy model biznesowy wielu firm. Dlatego przygotowań nie należy odkładać. Każde przedsiębiorstwo, które gromadzi i przetwarza dane, powinno już teraz rozpocząć audyt, analizę umów i wdrażanie procedur technicznych. Brak działań może przynieść nie tylko sankcje, lecz również utratę konkurencyjności na rynku europejskim.
Kancelaria prawna ANSWER a Data Act – nowe wyzwania dla biznesu
Wspieramy firmy, które chcą przygotować się do wejścia w życie Data Act i zachować przewagę konkurencyjną na rynku unijnym. Dlatego pomagamy zidentyfikować ryzyka, wdrożyć obowiązki i bezpiecznie zarządzać danymi – zgodnie z nowymi przepisami i oczekiwaniami klientów.
Nasza kancelaria prawna:
- przeprowadza audyty danych i procesów przetwarzania,
- analizuje i aktualizuje umowy z dostawcami, partnerami i użytkownikami,
- dostosowuje regulaminy, polityki prywatności i modele usług cyfrowych,
- przygotowuje procedury realizacji praw użytkownika i polityki dostępu do danych,
- wspiera wdrożenia techniczne i organizacyjne – od API po zarządzanie dostępem,
- doradza w zakresie chmury, interoperacyjności i zgodności kontraktowej (cloud switching).
Przetwarzasz dane w aplikacjach, usługach online, urządzeniach lub środowisku chmurowym? Skontaktuj się z nami – kancelaria prawna wyspecjalizowana w prawie nowych technologii wskaże Ci praktyczne rozwiązania dostosowane do Data Act.
Obserwuj profil „Kancelaria prawna ANSWER” na LinkedIn – publikujemy analizy, interpretacje i checklisty dla firm wchodzących w nową erę regulacji danych
