Data Act – nowe unijne zasady dostępu do danych

6 godzin temu

Data Act:

  • harmonizuje zasady dostępu do danych i eliminuje rozbieżności w prawie krajowym;
  • wprowadza nowe prawa użytkowników urządzeń IoT i obowiązki producentów;
  • przewiduje istotne zmiany dla sektora chmurowego, w tym zniesienie opłat za zmianę dostawcy od 2027 r.

Cele i zakres Data Act

Rozporządzenie stanowi część unijnej strategii na rzecz danych, której celem jest stworzenie jednolitego rynku danych w UE. Dotychczasowe przepisy koncentrowały się na danych osobowych, jak np. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 2016 Nr 119, s. 1; dalej: RODO), oraz na określonych sektorach (np. telekomunikacja, transport). Brakowało jednak ram obejmujących dane nieosobowe i zasady ich udostępniania.

Data Act ma wypełnić tę lukę, zapewniając:

  • sprawiedliwy podział wartości płynącej z danych pomiędzy użytkowników, producentów i usługodawców,
  • większą przejrzystość i kontrolę nad danymi generowanymi przez urządzenia i usługi,
  • wsparcie dla innowacyjnych modeli biznesowych, opartych na ponownym wykorzystaniu danych,
  • eliminację barier technicznych i kontraktowych ograniczających konkurencję.

Nowe prawa użytkowników produktów i usług cyfrowych

Poprzedni stan prawny

Do tej pory dostęp użytkowników do danych generowanych przez produkty podłączone do sieci (IoT) nie był uregulowany. Producenci mogli dowolnie kształtować warunki, często ograniczając lub całkowicie uniemożliwiając użytkownikom dostęp. Konsument nie miał również pewności, jakie dane są gromadzone, i w jakim celu.

Nowe przepisy

Od 12.9.2025 r. użytkownicy zyskają prawo do uzyskiwania danych wytwarzanych przez produkt lub usługę cyfrową w sposób bezpośredni, nieodpłatny i w powszechnie używanym formacie. Dane mają być dostępne w czasie rzeczywistym, o ile jest to technicznie możliwe. Producenci będą musieli już na etapie sprzedaży informować o rodzaju, zakresie i częstotliwości generowanych danych.

Dodatkowo, rok później (od 12.9.2026 r.), wszystkie nowe produkty wprowadzane na rynek UE będą musiały być projektowane w sposób umożliwiający użytkownikowi bezpośredni dostęp do danych (design for access).

Udostępnianie danych pomiędzy przedsiębiorstwami (B2B)

Stan poprzedni

W relacjach B2B dostęp do danych był wyłącznie przedmiotem umów cywilnoprawnych. Strona silniejsza mogła narzucać warunki, a brak regulacji ustawowych sprzyjał praktykom blokowania dostępu lub zawierania umów wyłączności.

Nowe przepisy

Data Act wprowadza obowiązek udostępniania danych innym przedsiębiorstwom na zasadach uczciwych, rozsądnych i niedyskryminujących (FRAND). właściciel danych może żądać rekompensaty finansowej, jednak wobec MŚP i organizacji non-profit opłata nie może przekroczyć kosztów bezpośrednich związanych z udostępnieniem.

Nowe zasady mają zwiększyć dostępność danych dla start-upów i mniejszych firm, które dotychczas były pozbawione realnych możliwości konkurowania z dużymi producentami i dostawcami usług.

Ochrona przed nieuczciwymi warunkami umownymi

Stan poprzedni

Małe i średnie przedsiębiorstwa były szczególnie narażone na narzucanie im niekorzystnych warunków umownych dotyczących danych, w tym klauzul ograniczających odpowiedzialność czy jednostronnie przyznających prawo do zmiany zasad współpracy.

Nowe przepisy

Rozdział IV Data Act wprowadza mechanizm ochronny. Zawiera listę klauzul zawsze nieuczciwych („czarna lista”), np. całkowite wyłączenie odpowiedzialności za umyślne naruszenia, oraz listę klauzul domyślnie nieuczciwych („szara lista”), np. jednostronna możliwość zmiany warunków przez jedną stronę. Ciężar dowodu, iż klauzula nie jest nieuczciwa, spoczywa na stronie silniejszej.

W zakresie czasowym przepisy będą stosowane:

  • do umów zawieranych od 12.9.2025 r.,
  • do umów bezterminowych lub długoterminowych zawartych wcześniej – od 12.9.2027 r.

Wykorzystanie danych przez administrację publiczną (B2G)

Stan poprzedni

Dotychczas brak było ogólnych ram umożliwiających organom administracji dostęp do danych w sytuacjach kryzysowych. Dostęp opierał się na przepisach sektorowych, np. w transporcie czy telekomunikacji.

Nowe przepisy

Data Act przewiduje możliwość żądania przez organy publiczne udostępnienia danych w przypadku „wyjątkowej potrzeby”.

Rozróżnia się dwie sytuacje:

  • Nagła potrzeba (public emergency) – w razie klęski żywiołowej czy zagrożenia zdrowia publicznego organy mogą niezwłocznie żądać danych, a udostępnienie co do zasady powinno być nieodpłatne.
  • Brak nagłej potrzeby – organy mogą zwrócić się o dane nieosobowe niezbędne do realizacji zadania publicznego, o ile brak jest innych środków dostępu. Dostęp do danych osobowych jest dopuszczalny tylko w razie konieczności i przy zastosowaniu mechanizmów anonimizacji lub pseudonimizacji.

Żądania muszą być proporcjonalne, ograniczone co do celu i zakresu oraz nie mogą prowadzić do ujawnienia tajemnicy przedsiębiorstwa w stopniu szkodzącym konkurencyjności.

Zmiana dostawcy usług w chmurze i interoperacyjność

Stan poprzedni

Zmiana dostawcy usług przetwarzania danych (np. chmury) była w praktyce utrudniona. Powszechne były wysokie opłaty za transfer danych (egress fees), brak interoperacyjności i zamknięte formaty plików.

Nowe przepisy

Rozdział VI Data Act ustanawia ramy ułatwiające zmianę dostawcy:

  • od 12.9.2025 r. dostawcy usług muszą usuwać bariery techniczne i organizacyjne utrudniające przenoszenie danych,
  • stopniowo ograniczane będą opłaty za transfer danych,
  • od 12.1.2027 r. stosowanie jakichkolwiek opłat za zmianę dostawcy będzie zakazane,
  • wprowadzono wymogi interoperacyjności, obejmujące otwarte formaty i standardy techniczne.

Nowe regulacje mają zwiększyć konkurencyjność na rynku usług chmurowych oraz ułatwić przedsiębiorcom kontrolę nad własnymi danymi.

Ochrona przed dostępem organów państw trzecich

Rozporządzenie chroni dane przechowywane w UE przed nieuprawnionym dostępem organów publicznych państw trzecich. Dane mogą być przekazywane poza Unię tylko wtedy, gdy żądanie jest zgodne z prawem UE i krajowym oraz spełnia kryteria proporcjonalności i konieczności. W przeciwnym razie dostawcy usług są zobowiązani odmówić udostępnienia.

Nadzór i egzekwowanie

Państwa członkowskie wyznaczą adekwatne organy odpowiedzialne za egzekwowanie Data Act, a w razie potrzeby także koordynatora danych jako centralny punkt kontaktowy. Komisja Europejska przygotuje wzorcowe klauzule umowne i przeprowadzi pierwszą ewaluację stosowania rozporządzenia w ciągu trzech lat od jego wejścia w życie.

Podsumowanie

Data Act wprowadza jednolite ramy dla dostępu i wymiany danych w UE, zastępując dotychczasowy fragmentaryczny stan prawny. W porównaniu z poprzednimi regulacjami oznacza to fundamentalną zmianę: z dobrowolnych ustaleń kontraktowych na rzecz obowiązkowych, harmonizowanych reguł.

Najważniejsze skutki praktyczne Data Act to:

  • Producenci urządzeń IoT będą musieli zapewnić użytkownikom bezpośredni i nieodpłatny dostęp do generowanych danych w czasie rzeczywistym, a od września 2026 r. projektować produkty zgodnie z zasadą design for access.
  • MŚP i start-upy zyskają realne możliwości korzystania z danych, ponieważ zasady ich udostępniania będą oparte na warunkach uczciwych i niedyskryminujących, a opłaty wobec tych podmiotów ograniczą się do kosztów bezpośrednich.
  • Podmioty gospodarcze uzyskają ochronę przed nieuczciwymi klauzulami umownymi, które zostaną objęte systemem czarnej i szarej listy oraz mechanizmem przerzucającym ciężar dowodu na stronę silniejszą.
  • Administracja publiczna otrzyma prawo żądania danych w sytuacjach wyjątkowych i kryzysowych, ale tylko na ściśle określonych warunkach, z pierwszeństwem dla danych nieosobowych i obowiązkami w zakresie anonimizacji danych osobowych.
  • Korzystający z usług chmurowych będą mogli swobodniej zmieniać dostawcę, ponieważ nowe przepisy stopniowo znoszą bariery techniczne i opłaty transferowe, a od stycznia 2027 r. całkowicie zakazują pobierania opłat za switching.
  • Wszystkie dane przechowywane w UE zostaną objęte mechanizmem ochrony przed nieuprawnionymi żądaniami organów państw trzecich, co zwiększy bezpieczeństwo i pewność prawną korzystania z usług cyfrowych.

Dla polskich przedsiębiorców oznacza to konieczność dostosowania modeli biznesowych, umów i infrastruktury technicznej do nowych wymagań w krótkim czasie – pierwsze regulacje zaczną obowiązywać już we wrześniu 2025 r.

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. Data Act – nowe unijne zasady dostępu do danych

Powiązane

Zgubiłeś telefon, masz problem. Grzywna się należy, bo RODO

Zgubiłeś telefon, masz problem. Grzywna się należy, bo RODO

2 godzin temu
Straciłeś telefon i dostaniesz za grzywnę. Tak działają przepisy

Straciłeś telefon i dostaniesz za grzywnę. Tak działają prze...

5 godzin temu
Ze zdjęciami dzieci trzeba uważać

Ze zdjęciami dzieci trzeba uważać

6 godzin temu
Jak można monitorować i dbać o bezpieczeństwo danych w firmie?

Jak można monitorować i dbać o bezpieczeństwo danych w firmi...

1 dzień temu
Gubisz telefon i masz problem z RODO

Gubisz telefon i masz problem z RODO

1 dzień temu
Prezes Sądu Dyscyplinarnego Izby Adwokackiej w Warszawie ogłasza nabór adwokatów na protokolantów SDIA w Warszawie

Prezes Sądu Dyscyplinarnego Izby Adwokackiej w Warszawie ogł...

1 dzień temu
RODO w samorządach: osiem typowych naruszeń ochrony danych osobowych

RODO w samorządach: osiem typowych naruszeń ochrony danych o...

1 dzień temu
Cyberataki a naruszenie ochrony danych osobowych. Co pokazują zawiadomienia?

Cyberataki a naruszenie ochrony danych osobowych. Co pokazuj...

1 dzień temu