Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. – powszechnie określane jako EU Data Act – stanowi jeden z kluczowych elementów europejskiej strategii cyfrowej. Regulacja znajduje zastosowanie od 12 września 2025 r. i zmienia zasady dostępu do danych generowanych przez urządzenia podłączone do sieci, obowiązki platform w zakresie przenoszenia danych oraz ramy współdzielenia danych w sektorze publicznym i prywatnym.
Artykuł ten omawia zakres stosowania Data Act, jego główne wymogi regulacyjne, implikacje dla governance danych w organizacjach oraz kluczowe obowiązki regulacyjne, które organizacje powinny uwzględnić w swoich programach compliance.
1. Geneza i cel regulacji
EU Data Act jest częścią szerszego pakietu regulacyjnego dotyczącego europejskiej gospodarki danych, obejmującego również Rozporządzenie o zarządzaniu danymi (Data Governance Act, DGA) oraz przepisy GDPR. O ile GDPR koncentruje się na ochronie danych osobowych, a DGA na mechanizmach współdzielenia danych, Data Act reguluje przede wszystkim kwestie dostępu do danych generowanych przez urządzenia połączone z siecią – w tym urządzenia IoT – oraz prawa do przenoszenia tych danych.
Głównym celem regulacji jest zapewnienie, że dane generowane przez użytkowników urządzeń i usług cyfrowych nie pozostają wyłącznie w dyspozycji producentów i dostawców usług, lecz mogą być przez użytkowników udostępniane, przenoszone i wykorzystywane – również na potrzeby usług świadczonych przez podmioty trzecie.
Rozporządzenie wpisuje się tym samym w szerszy cel polityki cyfrowej Unii Europejskiej, jakim jest zwiększenie przepływów danych oraz ograniczenie zjawiska zamkniętych silosów danych, w których wartościowe informacje pozostają zablokowane w ekosystemach jednego podmiotu.
2. Zakres stosowania
2.1 Podmioty objęte regulacją
Data Act stosuje się do szerokiej grupy podmiotów:
- producentów produktów połączonych z siecią (connected products) oferowanych na rynku UE – w tym urządzeń IoT, inteligentnych urządzeń domowych, pojazdów, urządzeń przemysłowych;
- dostawców powiązanych usług cyfrowych (related services), w tym aplikacji towarzyszących, platform chmurowych i usług po sprzedaży;
- usługodawców w zakresie przetwarzania danych, w tym dostawców chmury obliczeniowej (cloud service providers);
- podmiotów sektora publicznego, które mogą ubiegać się o dostęp do danych w wyjątkowych okolicznościach.
Rozporządzenie stosuje się, gdy produkt lub usługa jest oferowana na rynku Unii Europejskiej – niezależnie od siedziby producenta lub dostawcy.
2.2 Rodzaje danych objęte regulacją
Data Act obejmuje przede wszystkim dane nieosobowe lub dane osobowe i nieosobowe powiązane, generowane w trakcie korzystania z produktów podłączonych do sieci. Regulacja nie zastrzega jednak wyłączenia dla danych osobowych – w zakresie, w jakim przetwarzanie dotyczy danych osobowych, stosuje się równocześnie przepisy GDPR.
Data Act obejmuje również dane stanowiące tajemnicę handlową, przy czym rozporządzenie przewiduje mechanizmy ich ochrony, umożliwiające odmowę lub ograniczenie udostępnienia w uzasadnionych i proporcjonalnych przypadkach.
3. Kluczowe wymogi regulacyjne
3.1 Dostęp użytkownika do danych (artykuły 4–6)
Jedną z fundamentalnych zasad Data Act jest prawo użytkownika do dostępu do danych generowanych przez użytkowane przez niego urządzenie. Dotyczy to zarówno użytkowników będących konsumentami, jak i przedsiębiorstw korzystających z urządzeń w działalności gospodarczej.
Producenci i dostawcy usług powiązanych są zobowiązani zapewnić, aby dane były dostępne domyślnie – bez konieczności podejmowania dodatkowych działań przez użytkownika. Dane powinny być udostępniane w sposób łatwy, bezpieczny i w formacie nadającym się do odczytu maszynowego.
3.2 Współdzielenie danych z podmiotami trzecimi (artykuł 5)
Na żądanie użytkownika producent lub dostawca usługi powiązanej jest obowiązany udostępnić dane podmiotowi trzeciemu wybranemu przez użytkownika. Podmiot trzeci może wykorzystywać uzyskane dane wyłącznie w celach wskazanych przez użytkownika i nie może ich wykorzystywać do celów wykraczających poza zakres określony przez użytkownika – w tym w szczególności do rozwijania konkurencyjnych usług lub modeli, o ile nie jest to uzasadnione świadczeniem usługi na rzecz użytkownika.
3.3 Zakaz nieuczciwych warunków umownych (artykuł 13)
Data Act wprowadza przepisy mające na celu ochronę małych i średnich przedsiębiorstw przed narzucaniem nieuczciwych warunków umownych dotyczących współdzielenia danych. Postanowienia umowne, które są rażąco nieuczciwe lub tworzą istotną dysproporcję w prawach i obowiązkach stron, uznaje się za niewiążące.
Komisja Europejska jest upoważniona do opracowania modelowych klauzul umownych, które mogą być stosowane przez strony jako punkt wyjścia do negocjacji.
3.4 Przenoszenie danych między dostawcami usług chmurowych (artykuły 23–31)
Jeden z najbardziej istotnych obszarów regulacji dotyczy obowiązków dostawców usług chmurowych w zakresie przenoszenia danych (data portability). Dostawcy chmury są zobowiązani umożliwić klientom:
- przeniesienie danych i aplikacji do innego dostawcy – bez nieuzasadnionych przeszkód technicznych lub ekonomicznych;
- zachowanie ciągłości usługi w trakcie przenoszenia;
- dostęp do standardowych interfejsów umożliwiających interoperacyjność.
Przepisy te mają na celu ograniczenie zjawiska „vendor lock-in”, tj. uzależnienia klientów od jednego dostawcy chmury. Dostawcy są ponadto zobowiązani do stopniowej eliminacji opłat za transfer danych wychodzących – w terminie przewidzianym w rozporządzeniu.
3.5 Dostęp sektora publicznego do danych (artykuły 14–22)
Data Act przewiduje mechanizm wyjątkowego dostępu organów publicznych do danych znajdujących się w posiadaniu podmiotów prywatnych. Dostęp taki może być przyznany w sytuacjach nadzwyczajnych – takich jak klęski żywiołowe, kryzysy zdrowia publicznego lub zagrożenia bezpieczeństwa – lub w innych wyjątkowych przypadkach, gdy dane są niezbędne do realizacji zadań publicznych i nie są dostępne w inny sposób.
Mechanizm ten obwarowany jest warunkami proporcjonalności i subsydiarności – organy publiczne mogą wnioskować o dane tylko w niezbędnym zakresie i jedynie w sytuacji, gdy nie mogą ich pozyskać z innych źródeł.
4. Główne obowiązki według kategorii podmiotów
Poniższa tabela przedstawia główne obowiązki wynikające z Data Act w podziale na kategorie podmiotów.
| Podmiot | Główne obowiązki | Termin stosowania |
| Producent urządzeń / dostawca usług powiązanych | Zapewnienie dostępu do danych, udostępnianie danych podmiotom trzecim na żądanie użytkownika | 12 września 2025 r. |
| Dostawca usług chmurowych | Umożliwienie przenoszenia danych, interoperacyjność, eliminacja opłat za transfer danych wychodzących | Stopniowo – od 2025 do 2027 r. |
| Podmiot trzeci (odbiorca danych) | Wykorzystanie danych wyłącznie w celach wskazanych przez użytkownika, zakaz profilowania konkurencyjnego | 12 września 2025 r. |
| Organ sektora publicznego | Wnioskowanie o dostęp wyłącznie w sytuacjach wyjątkowych i w niezbędnym zakresie | 12 września 2025 r. |
5. Relacja Data Act z innymi regulacjami UE
5.1 Data Act a GDPR
Data Act nie zastępuje GDPR ani nie ogranicza jego stosowania. W zakresie, w jakim przetwarzanie danych dotyczy danych osobowych, obowiązują jednocześnie oba reżimy regulacyjne. Organizacje zobowiązane są zapewnić, że wdrożenie mechanizmów wymaganych przez Data Act nie narusza zasad przetwarzania danych osobowych określonych w GDPR – w szczególności zasady minimalizacji danych, ograniczenia celu oraz wymogów w zakresie podstawy prawnej przetwarzania.
5.2 Data Act a Data Governance Act
Data Governance Act (DGA) ustanawia ramy instytucjonalne dla współdzielenia danych w UE – w tym zasady funkcjonowania pośredników danych oraz mechanizmy altruizmu danych. Data Act uzupełnia te ramy, regulując prawa i obowiązki konkretnych podmiotów – producentów, dostawców usług i użytkowników – w zakresie dostępu do danych. Oba rozporządzenia powinny być stosowane łącznie jako elementy jednego systemu governance danych w UE.
5.3 Data Act a AI Act
AI Act nakłada na dostawców modeli AI, w szczególności modeli ogólnego przeznaczenia (GPAI), obowiązki w zakresie zarządzania danymi treningowymi oraz przejrzystości. Data Act wpływa na źródła danych dostępnych dla organizacji rozwijających systemy AI – rozszerzając możliwości pozyskiwania danych z urządzeń IoT i platform cyfrowych, ale jednocześnie wprowadzając ograniczenia w zakresie celów, dla których dane mogą być dalej przetwarzane.
6. Implikacje dla governance danych w organizacjach
6.1 Przegląd portfela produktów i usług
Pierwszym krokiem do wdrożenia Data Act powinien być przegląd portfela produktów i usług oferowanych na rynku UE pod kątem zakresu stosowania rozporządzenia. Organizacje powinny zidentyfikować, które produkty spełniają definicję „produktu podłączonego do sieci” oraz jakie dane są przez nie generowane.
6.2 Architektura techniczna dostępu do danych
Data Act wymaga zaprojektowania lub dostosowania architektury technicznej w sposób umożliwiający udostępnianie danych użytkownikowi lub podmiotom trzecim w czasie rzeczywistym lub na żądanie. Oznacza to konieczność wdrożenia odpowiednich interfejsów (API), mechanizmów uwierzytelniania oraz logów audytowych dokumentujących przepływy danych.
6.3 Zarządzanie umowami i klauzulami dotyczącymi danych
Organizacje powinny dokonać przeglądu obowiązujących umów z dostawcami technologii, partnerami biznesowymi i klientami pod kątem zgodności z wymogami Data Act. W szczególności należy ocenić, czy istniejące klauzule dotyczące danych spełniają wymogi uczciwych warunków oraz prawidłowo regulują zasady współdzielenia i przenoszenia danych.
6.4 Procedury obsługi żądań dostępu do danych
Organizacje będące producentami urządzeń lub dostawcami usług powiązanych powinny wdrożyć procedury obsługi żądań ze strony użytkowników i podmiotów trzecich. Procedury te powinny określać sposób weryfikacji uprawnień wnioskodawcy, zakres udostępnianych danych, termin realizacji oraz środki ochrony danych objętych tajemnicą handlową.
6.5 Compliance dostawców chmury
Dostawcy usług chmurowych powinni zapewnić gotowość do wdrożenia wymogów dotyczących przenoszenia danych zgodnie z harmonogramem określonym w Data Act. Obejmuje to zarówno aspekty techniczne – interoperacyjność, standardowe interfejsy – jak i handlowe – eliminację opłat za transfer danych wychodzących.
7. Harmonogram wejścia w życie i stosowania
| Data / etap | Zdarzenie regulacyjne |
| 11 stycznia 2024 r. | Wejście w życie Data Act |
| 12 września 2025 r. | Rozpoczęcie stosowania większości przepisów |
| 12 września 2027 r. | Eliminacja opłat za transfer danych wychodzących – dostawcy chmury |
| 12 września 2027 r. | Rozszerzenie przepisów Rozdziału IV (nieuczciwe warunki umowne) na długoterminowe umowy B2B zawarte przed 12 września 2025 r. |
8. Sankcje i egzekwowanie
Data Act nie określa bezpośrednio wysokości sankcji – kompetencja do ich ustalenia spoczywa na państwach członkowskich. Państwa członkowskie są zobowiązane wskazać właściwe organy nadzorcze odpowiedzialne za stosowanie rozporządzenia oraz ustanowić skuteczne, proporcjonalne i odstraszające sankcje za naruszenia.
W świetle dotychczasowych doświadczeń z wdrażaniem GDPR należy spodziewać się, że państwa członkowskie zdecydują się na istotne sankcje finansowe za naruszenia kluczowych obowiązków Data Act. Organizacje powinny uwzględnić to ryzyko przy projektowaniu programów compliance.
Najczęściej zadawane pytania
EU Data Act to rozporządzenie UE regulujące dostęp do danych generowanych przez produkty podłączone do sieci oraz powiązane usługi cyfrowe. Dotyczy producentów urządzeń IoT i innych urządzeń połączonych, dostawców usług powiązanych, dostawców usług chmurowych oraz podmiotów trzecich uzyskujących dostęp do danych. Stosuje się do podmiotów oferujących produkty lub usługi na rynku UE – niezależnie od miejsca siedziby.
Większość przepisów Data Act znajduje zastosowanie od 12 września 2025 r. Niektóre obowiązki dostawców chmury – w szczególności w zakresie eliminacji opłat za transfer danych wychodzących – wchodzą w życie stopniowo do 2027 r.
Data Act i GDPR stosuje się równolegle. W zakresie, w jakim dane generowane przez urządzenia są danymi osobowymi, obowiązują jednocześnie oba reżimy prawne. Data Act nie uchyla żadnych przepisów GDPR. Organizacje muszą zapewnić zgodność ze wskazaniami obu regulacji.
Data Act nie przewiduje ogólnego mechanizmu opt-out dla producentów. Producenci i dostawcy usług są co do zasady zobowiązani zapewnić dostęp do danych. Możliwe jest jednak odmowne udostępnienie danych objętych tajemnicą handlową, pod warunkiem wykazania, że odmowa jest uzasadniona i proporcjonalna.
Tak. Data Act reguluje również relacje między przedsiębiorstwami (B2B). Przewiduje ochronę małych i średnich przedsiębiorstw przed nieuczciwymi warunkami umownymi oraz prawo do współdzielenia danych na żądanie użytkownika biznesowego.
Data Act nie określa sankcji bezpośrednio – kompetencja ta należy do państw członkowskich. Państwa są zobowiązane ustanowić skuteczne i odstraszające sankcje za naruszenia rozporządzenia. Można spodziewać się, że w większości państw UE sankcje będą miały charakter finansowy.
Podsumowanie
EU Data Act stanowi istotną zmianę w regulacji europejskiego rynku danych. Rozszerzając prawa użytkowników do danych generowanych przez urządzenia i platformy cyfrowe, regulacja ta wpływa na modele biznesowe producentów, dostawców usług chmurowych oraz organizacji pracujących z danymi.
Wdrożenie Data Act wymaga podejścia systemowego – obejmującego zarówno analizę prawną i przegląd umów, jak i zmiany w architekturze technicznej oraz procedurach operacyjnych. Organizacje, które ujmą Data Act w kontekst szerszego programu data governance, będą lepiej przygotowane do spełnienia wymogów regulacyjnych i ograniczenia ryzyk prawnych.
Data Act powinien być analizowany łącznie z innymi elementami europejskiego prawa danych – GDPR, Data Governance Act oraz AI Act – jako część jednego systemu regulacyjnego kształtującego gospodarkę danych w Unii Europejskiej.