Po co wprowadzono Data Act
Głównym celem Data Act jest przełamanie dotychczasowej nierównowagi w dostępie do danych generowanych przez produkty skomunikowane i związane z nimi usługi cyfrowe.
Dotąd to przede wszystkim producenci i dostawcy mieli pełną kontrolę nad tymi informacjami. Teraz ustawodawca unijny wyraźnie podkreśla, że dane „powstające u użytkownika” powinny być dostępne także dla niego. Nowe przepisy mają zwiększyć konkurencję, np. w usługach serwisowych i naprawach, ułatwić współdziałanie różnych systemów oraz pobudzić rozwój innowacji opartych na danych. Jednocześnie przepisy dbają o zachowanie równowagi – chronią tajemnice przedsiębiorstwa i zapewniają bezpieczeństwo technologiczne urządzeń.
Data Act wchodzi w życie – koniec okresu przejściowego i początek nowych obowiązków
Data Act wszedł w życie 11 stycznia 2024 r., a jego przepisy zaczęły być stosowane już od 12 września 2025 r. To oznacza, że ponad 20-miesięczny okres przejściowy właśnie dobiega końca, a przedsiębiorcy muszą być gotowi na pełne stosowanie nowych regulacji. Na tym etapie nie chodzi już o planowanie, lecz o realną zgodność – wdrożenie mechanizmów obsługi wniosków użytkowników, dostosowanie systemów technicznych i umów oraz zapewnienie zgodności procesów z zasadami Data Act i RODO. Brak przygotowania może skutkować sporami z użytkownikami, sankcjami nakładanymi przez organy nadzorcze, a także poważnymi ryzykami reputacyjnymi.
Kogo obejmuje Data Act
Zakres stosowania Data Act jest bardzo szeroki i obejmuje praktycznie każdy sektor, w którym wykorzystywane są urządzenia podłączone do sieci i generujące dane. W pierwszej kolejności mowa o branży AGD i RTV – od inteligentnych lodówek, pralek i robotów sprzątających po telewizory smart i systemy smart home. Podobnie jak w przypadku elektroniki mobilnej – smartfonów, tabletów, smartwatchy czy aplikacji fitness – dane o sposobie korzystania, lokalizacji lub stanie zdrowia użytkowników staną się dostępne także dla nich, a nie wyłącznie dla producentów i dostawców. W tym obszarze szczególnie istotne będzie pogodzenie wymogów Data Act z rygorami RODO.
Znaczącą zmianę odczują również branże motoryzacyjna i energetyczna. Współczesne samochody rejestrują ogromną ilość danych telemetrycznych, takich jak styl jazdy i spalania, lokalizacja czy stan techniczny pojazdu. Od września 2025 r. kierowcy będą mogli żądać udostępnienia tych informacji w czasie rzeczywistym. W energetyce natomiast kluczowe znaczenie zyskają inteligentne liczniki energii, gazu i wody. Dane o zużyciu mediów mają być łatwo dostępne dla użytkowników oraz – na ich wniosek – dla alternatywnych dostawców, co ma wspierać konkurencję i efektywność rynku.
Nie mniej istotne będą konsekwencje dla ochrony zdrowia, rolnictwa i przemysłu. Urządzenia medyczne online – jak pompy insulinowe, ciśnieniomierze czy systemy monitoringu pacjentów – generują wrażliwe dane, których przetwarzanie wymaga ścisłego pogodzenia Data Act z zasadami RODO. W rolnictwie i przemyśle nowe przepisy otworzą drogę do szerszego wykorzystania danych tworzonych przez maszyny rolnicze, czujniki środowiskowe czy systemy zarządzania produkcją, dając rolnikom i przedsiębiorcom przemysłowym większą kontrolę nad tym zasobem. Ostatecznie regulacja obejmie każdą branżę, w której dane mają znaczenie gospodarcze – a więc nie tylko globalnych producentów, lecz także mniejszych przedsiębiorców rozwijających innowacyjne rozwiązania cyfrowe.
Jakie dane podlegają udostępnianiu
Zakres Data Act obejmuje dane generowane zarówno przez sam produkt, jak i przez usługę z nim funkcjonalnie powiązaną. Chodzi przede wszystkim o informacje dotyczące działania urządzenia, jego sposobu użytkowania, odczytów z czujników, zdarzeń technicznych czy metadanych. Przepisy wymagają, aby dostęp do tych danych był zapewniany bez zbędnej zwłoki, w formacie ustrukturyzowanym i nadającym się do odczytu maszynowego. Co więcej, na żądanie użytkownika dane powinny być przekazywane nie tylko jemu, lecz także bezpośrednio do wskazanego przez niego podmiotu trzeciego.
Jakie prawa zyskuje użytkownik – dostęp, przenoszenie i kontrola celu wykorzystania danych
Data Act przyznaje użytkownikowi konkretne i praktyczne narzędzia: może on uzyskać dostęp do danych generowanych przez urządzenie, pobrać je w ustrukturyzowanej formie, a nawet zlecić ich bezpośrednie przekazanie wybranemu podmiotowi trzeciemu. To prawa realne, a nie teoretyczne, dlatego przedsiębiorcy muszą stworzyć sprawne procedury ich obsługi.
W praktyce oznacza to konieczność weryfikacji tożsamości wnioskującego, udostępniania bezpiecznych kanałów transferu, zapewnienia przejrzystego interfejsu (np. panelu klienta czy API) oraz prowadzenia rejestrów wszystkich złożonych żądań. Co istotne, użytkownik zyskuje także faktyczną kontrolę nad tym, w jakim celu podmiot trzeci może wykorzystywać udostępnione dane – bez jego zgody nie ma mowy o innym zastosowaniu.
Co z urządzeniami z rynku wtórnego
Data Act obejmuje również sytuacje, w których produkt skomunikowany trafia na rynek wtórny i zmienia właściciela. Nowy użytkownik zyskuje prawo do korzystania z danych generowanych przez urządzenie, jednak musi to następować z poszanowaniem prywatności poprzedniego posiadacza, integralności systemu oraz ochrony tajemnic przedsiębiorstwa. Oznacza to, że producenci i sprzedawcy powinni opracować jasne procedury przekazywania dostępu do danych przy zmianie właściciela, takie jak reset urządzenia, ponowne parowanie z aplikacją czy mechanizmy migracji uprawnień. Dzięki temu proces ten będzie zarówno bezpieczny, jak i zgodny z wymogami Data Act.
Jakie obowiązki mają producenci i posiadacze danych
Migracje, chmury, systemy.
RODO w IT.
Szczególne znaczenie mają także ograniczenia dotyczące podmiotów trzecich: mogą one wykorzystywać dane wyłącznie w uzgodnionym celu, bez prawa dalszego ich udostępniania ani wykorzystywania do tworzenia konkurencyjnych produktów. W relacjach biznesowych obowiązuje zasada uczciwości, rozsądności, przejrzystości i niedyskryminacji (FRAND), która dodatkowo chroni interesy mikro-, małych i średnich przedsiębiorstw. Całość uzupełnia obowiązek wdrożenia adekwatnych środków technicznych i organizacyjnych w zakresie bezpieczeństwa danych oraz stałego nadzoru nad partnerami i podwykonawcami uczestniczącymi w procesie ich przetwarzania.
Egzekwowanie i rozwiązywanie sporów
Za nadzór nad stosowaniem Data Act będą odpowiadać organy wyznaczone przez państwa członkowskie. To one otrzymają kompetencje do nakładania sankcji, które – zgodnie z Data Act – mają być skuteczne, proporcjonalne i jednocześnie wystarczająco odstraszające. Spory mogą pojawiać się na różnych etapach: od odmowy udostępnienia danych, przez format i jakość interfejsów, terminowość udostępnienia lub wysokość opłat, aż po ocenę, czy umowa rzeczywiście spełnia wymogi uczciwości (FRAND). Aby zminimalizować ryzyko, przedsiębiorcy powinni wdrożyć mechanizmy compliance obejmujące m.in. prowadzenie logów wszystkich udostępnień, rejestrowanie wniosków użytkowników, dokumentowanie równego traktowania odbiorców danych oraz okresowe audyty umów i procesów. Takie działania nie tylko ułatwią wykazanie zgodności w razie kontroli, lecz także pozwolą ograniczyć ryzyko sporów z kontrahentami i użytkownikami.
Jak Data Act współgra z innymi przepisami – punkt styku z prawem konkurencji, cyberbezpieczeństwem i przepisami sektorowymi
Data Act nie działa w próżni, lecz uzupełnia istniejące ramy prawne dotyczące danych. Z jednej strony wzmacnia zasady uczciwości, przejrzystości i niedyskryminacji w umowach B2B. Z drugiej – jego praktyczne wdrożenie często będzie powiązane z innymi obowiązkami, takimi jak wymogi cyberbezpieczeństwa wynikające z dyrektywy NIS2 czy regulacje sektorowe dotyczące infrastruktury krytycznej. Szczególne znaczenie ma jednak relacja z RODO, ponieważ znaczna część danych generowanych przez produkty i usługi cyfrowe to dane osobowe, które wciąż muszą być przetwarzane zgodnie z zasadami ogólnego rozporządzenia o ochronie danych.
Data Act a RODO – dwa równoległe reżimy, jedna spójna architektura zgodności
Data Act nie tworzy nowej podstawy przetwarzania danych osobowych ani nie modyfikuje RODO. Jeżeli dane z produktu lub usługi mają charakter danych osobowych, przetwarzanie musi opierać się na jednej z podstaw wskazanych w art. 6 RODO (z wyjątkiem danych szczególnych kategorii, których podstawę przetwarzania możemy oprzeć na jednej z przesłanek wskazanych w art. 9 ust. 2 RODO), z zachowaniem zasad legalności, minimalizacji i przejrzystości oraz z pełnym wykonaniem obowiązków informacyjnych.
Kluczowy element zgodności z Data Act – prawidłowa klauzula informacyjna dla użytkownika
Jednym z najważniejszych obowiązków wynikających z Data Act jest zapewnienie, aby użytkownik jeszcze przed zawarciem umowy sprzedaży, najmu, dzierżawy czy leasingu produktu skomunikowanego otrzymał jasną i wyczerpującą informację o danych generowanych przez ten produkt. Regulacja nakłada na sprzedawcę, leasingodawcę czy wydzierżawiającego – niezależnie od tego, czy jest on producentem – obowiązek przekazania użytkownikowi w sposób zrozumiały informacji o rodzaju i formacie danych generowanych przez produkt oraz o ich szacunkowej ilości.
Przepisy wymagają również wskazania, czy produkt generuje dane w sposób ciągły i w czasie rzeczywistym, czy też wyłącznie okresowo. Ważnym elementem jest określenie miejsca i okresu przechowywania danych – czy są one zapisywane lokalnie na urządzeniu, czy trafiają na zewnętrzny serwer, a jeśli tak, to na jak długo. Użytkownik musi też wiedzieć, w jaki sposób będzie mógł uzyskać do nich dostęp, pobrać je albo – tam, gdzie jest to możliwe – usunąć, a także jakie środki techniczne zostały przewidziane do realizacji tych operacji, np. aplikacja mobilna, interfejs API czy panel użytkownika. Uzupełnieniem obowiązku informacyjnego jest wyjaśnienie, czy i w jakim zakresie użytkownik będzie mógł dalej wykorzystywać dane oraz jakiej jakości usług wspierających – takich jak częstotliwość aktualizacji czy dostępność systemu – może oczekiwać. Dopiero dysponując pełnym zakresem takich informacji, użytkownik jest w stanie świadomie ocenić, czy produkt odpowiada jego potrzebom w obszarze korzystania z danych.
Analogiczne obowiązki ciążą na dostawcach usług powiązanych, takich jak aplikacje, usługi chmurowe czy serwisowe. W tym przypadku przedsiębiorca zobowiązany jest poinformować o charakterze i częstotliwości zbierania danych z produktu oraz o tym, jakie dane sam będzie pozyskiwał jako przyszły posiadacz danych. Należy także wyjaśnić, jakie dodatkowe dane będzie generować sama usługa i na jakich zasadach użytkownik będzie mógł się z nimi zapoznać, pobrać je lub usunąć. Szczególne znaczenie ma wskazanie celu, w jakim dane będą wykorzystywane, a także tego, czy posiadacz danych planuje udostępniać je osobom trzecim i na jakich warunkach. Obowiązkowe jest również ujawnienie swojej tożsamości – nazwy firmy, adresu siedziby, danych identyfikacyjnych – oraz, jeśli to konieczne, tożsamości innych podmiotów przetwarzających dane w jego imieniu. Dostawca powinien zagwarantować skuteczne kanały komunikacji, umożliwiające użytkownikowi szybki kontakt, a także wyjaśnić, w jaki sposób użytkownik może wystąpić z wnioskiem o udostępnienie danych osobie trzeciej oraz jak może zakończyć taki proces. Klauzula musi również obejmować informację o prawie wniesienia skargi do organu nadzorczego wyznaczonego na podstawie Data Act, o ewentualnym występowaniu tajemnic przedsiębiorstwa w danych i ich właścicielu, a także o czasie trwania umowy i zasadach jej rozwiązania.
Z perspektywy praktycznej najlepszym rozwiązaniem jest przygotowanie spójnej karty informacyjnej, która będzie towarzyszyła produktowi lub usłudze niezależnie od kanału sprzedaży. Może ona przyjąć formę papierową w sklepie stacjonarnym, linku lub kodu QR w sprzedaży online, a także być dostępna w aplikacji powiązanej z urządzeniem. Kluczowe jest, aby producenci i dostawcy zobowiązali swoich partnerów handlowych do stosowania jednolitej treści takiej karty, co zapewni przejrzystość oraz zgodność z wymogami Data Act.
Podsumowanie
Data Act to nie tylko kolejna regulacja w prawie unijnym, ale prawdziwy punkt zwrotny w podejściu do danych. Zamiast traktować je wyłącznie jako „własność producenta”, nowe przepisy uznają dane za zasób, z którego korzystać mogą również użytkownicy i niezależni usługodawcy. Od 12 września 2025 r. informacje gromadzone przez urządzenia i usługi cyfrowe nie są już dostępne wyłącznie dla producentów – użytkownicy oraz firmy zewnętrzne powinni mieć do nich dostęp na jasnych i przejrzystych zasadach.
Dla przedsiębiorców oznacza to realne wyzwanie. Ci, którzy ograniczą się do minimalnego spełnienia wymogów, ryzykują konflikty z klientami, sankcje ze strony organów nadzoru i utratę zaufania. Z kolei firmy, które potraktują Data Act strategicznie, mogą zyskać znacznie więcej – przewagę konkurencyjną i reputację wiarygodnego partnera w gospodarce opartej na danych.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Jaki jest główny cel Data Act?