Data Act zaczęło obowiązywać 12 września 2025 roku, co oznacza, że firmy już muszą postępować w zgodzie z nowymi przepisami. Przedsiębiorcy muszą dobrze zrozumieć, jak te regulacje wpływają na codzienne działania i jakie kroki należy podjąć, aby dostosować się do nadchodzących zmian jak najkorzystniej. Należy pamiętać, że unijne rozporządzenia obowiązują bezpośrednio w państwach członkowskich i nie trzeba czekać na wprowadzenie przepisów krajowych, aby istniał obowiązek stosowania się do nowych przepisów!
Z tego artykułu dowiesz się:
- Czego dotyczy Data Act?
- Od kiedy obowiązuje Data Act?
- Jak przygotować Twoją firmę na zgodność z Data Act?
Informacje ogólne o Data Act
Przede wszystkim, warto zwięźle sprecyzować, czym właściwie jest EU Data Act. To rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13 grudnia 2023 roku, które wprowadza jednolite zasady dotyczące sprawiedliwego dostępu do informacji cyfrowych i ich wykorzystania. Fundamentalnym celem Data Act jest uregulowanie zasad udostępniania danych pochodzących z urządzeń skomunikowanych, takich jak inteligentne gadżety, maszyny rolnicze, samochody czy sprzęty AGD. Nowe przepisy mają zapewnić sprawiedliwy dostęp do tych informacji i umożliwić ich szersze wykorzystanie w gospodarce.
Zgodnie z art. 2 pkt. 5) Data Act:
„produkt skomunikowany” oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik
Data Act zobowiązuje posiadaczy wspomnianych danych (przykładowo producentów urządzeń lub dostawców usług) do ich udostępniania użytkownikom, innym przedsiębiorcom, a w określonych przypadkach także organom publicznym. Co należy podkreślić ponowniem, udostępnienie danych osobowych może nastąpić wyłącznie na wniosek użytkownika.
O Data Act pisaliśmy już na blogu, sprawdź teraz: https://mdl-kancelariaprawna.pl/porady-prawne/co-zmienia-data-act-w-zakresie-ochrony-danych-osobowych/
Rodzaje danych i podmioty objęte Data Act
Data Act obejmuje szeroką gamę rodzajów danych oraz podmiotów. Warto zatem dokładnie przeanalizować, czego dokładnie dotyczy. Data Act skupia się na danych generowanych podczas korzystania z produktów skomunikowanych oraz usług powiązanych, a kluczowym aspektem jest fakt, że przepisy dotyczą przede wszystkim tzw. danych pierwotnych (surowych) oraz wstępnie przetworzonych, wraz z odpowiednimi metadanymi. Co istotne, rozporządzenie nie obejmuje informacji wnioskowanych lub pochodnych, które powstały w wyniku znaczącego przetworzenia danych surowych. Za „produkt skomunikowany” uznawany jest każdy przedmiot, który pozyskuje, generuje lub zbiera dane o swoim użyciu lub otoczeniu i może je przesyłać. Obejmuje to urządzenia wykorzystujące różne technologie komunikacji, takie jak: Wi-Fi, Bluetooth czy nawet połączenia przewodowe. „Usługa powiązana” to natomiast usługa cyfrowa zintegrowana z produktem, która spełnia dwa warunki: wymienia dane dwukierunkowo z produktem oraz wpływa na jego funkcje.
Rozporządzenie wprowadza również rolę „posiadacza danych” dla podmiotu, który faktycznie ma dostęp i kontrolę nad danymi. Często jest to producent lub dostawca oprogramowania, ale może to być również platforma lub dostawca usług w chmurze.
Korzystaj z AI w marketingu zgodnie z prawem: https://mdl-kancelariaprawna.pl/porady-prawne/najczesciej-zadawane-pytania-przy-korzystaniu-z-popularnych-narzedzi-ai-w-marketingu/
Mechanizmy udostępniania danych i prawa użytkownika
Zgodnie z art. 5 ust. 1 Data Act:
Cytat:
1. Na wniosek użytkownika lub strony działającej w jego imieniu posiadacz danych bez zbędnej zwłoki w sposób łatwy i bezpieczny oraz nieodpłatnie dla użytkownika udostępnia osobie trzeciej dane łatwo dostępne wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych cechujące się taką samą jakością, jaka jest dostępna dla posiadacza danych, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie możliwe – w sposób ciągły i w czasie rzeczywistym. Danych są udostępniane przez posiadacza danych osobie trzeciej zgodnie z art. 8 i 9.
2. Ust. 1 nie ma zastosowania do danych łatwo dostępnych w kontekście testowania nowych produktów skomunikowanych, substancji lub procesów, które nie zostały jeszcze wprowadzone do obrotu, chyba że ich wykorzystanie przez osobę trzecią jest dozwolone na podstawie umowy.
Jak wynika z przytoczonego powyżej artykułu, sercem Data Act są mechanizmy umożliwiające użytkownikom produktów skomunikowanych kontrolę nad generowanymi danymi. Kluczowym uprawnieniem jest możliwość dostępu do danych wytwarzanych podczas korzystania z urządzeń oraz przekazywania ich stronom trzecim. Użytkownicy, zdefiniowani jako osoby posiadające, wynajmujące lub dzierżawiące produkt skomunikowany, mogą żądać bezpłatnego udostępnienia „łatwo dostępnych danych”: zarówno surowych, jak i wstępnie przetworzonych, wraz z metadanymi. Dane te muszą być udostępnione w formacie ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego.
Co istotne, użytkownik może wskazać podmiot trzeci, któremu posiadacz danych ma udostępnić informacje. Rozporządzenie zawiera mechanizmy ochrony tajemnic handlowych. Posiadacze danych mogą uzgodnić z użytkownikiem środki techniczne i organizacyjne chroniące poufność. W wyjątkowych przypadkach mogą nawet odmówić udostępnienia danych, jeśli potrafią wykazać wysokie prawdopodobieństwo poważnych szkód ekonomicznych. Warto zaznaczyć, że mikroprzedsiębiorstwa i małe firmy (zatrudniające mniej niż 50 pracowników, z obrotem nieprzekraczającym 10 mln euro) są zwolnione z obowiązku udostępniania danych z produktów skomunikowanych. Nie dotyczy to jednak firm będących częścią większych grup.
Dowiedz się więcej o polskiej ustawie o sztucznej inteligencji: https://mdl-kancelariaprawna.pl/porady-prawne/na-jakim-etapie-sa-prace-nad-polska-ustawa-o-sztucznej-inteligencji/
Brak polskiej ustawy – co powinni obecnie zrobić polscy przedsiębiorcy?
Mimo braku polskich przepisów, firmy muszą przygotować się do nowych unijnych obowiązków i w efekcie stosować się do nich już teraz, ponieważ Data Act stosuje się bezpośrednio w państwach członkowskich. Oznacza to konieczność przeprowadzenia audytu danych, weryfikacji umów z klientami i partnerami oraz dostosowania procesów związanych z dostępem i udostępnianiem generowanych danych. Wczesne działania i wykrycie ewentualnych odchyleń pozwolą uniknąć ryzyka niezgodności i zapewnią przewagę konkurencyjną, zanim polski ustawodawca wprowadzi szczegółowe regulacje. W razie wątpliwości w kontekście stosowania prawa unijnego, warto skorzystać z konsultacji z prawnikiem.
Ryzyka, sankcje i szanse dla firm
Wdrożenie Data Act niesie ze sobą, jak można się domyślić, zarówno poważne konsekwencje nieprzestrzegania przepisów, jak i nowe możliwości biznesowe. Przede wszystkim należy być świadomym potencjalnych sankcji. Nieprzestrzeganie rozporządzenia może skutkować karami sięgającymi nawet 20 milionów euro lub 4% całkowitego rocznego obrotu firmy. Jednakże Data Act to nie tylko obowiązki i zagrożenia. Firmy, które odpowiednio wcześnie przygotują procedury zgodności, mogą uniknąć ryzyka regulacyjnego i wykorzystać otwierający się rynek danych. Warto skonsultować się z prawnikiem w razie wystąpienia jakichkolwiek wątpliwości. Z kolei wśród głównych zagrożeń warto wymienić potencjalne narażenie tajemnic handlowych. Udostępnianie danych może mimowolnie ujawnić wrażliwe informacje biznesowe, takie jak koszty, wskaźniki wydajności czy schematy operacyjne. Ponadto spełnienie wymogów dostępności i interoperacyjności może wymagać istotnych zmian w produktach lub platformach.
Podsumowanie i aspekt praktyczny
Aby wykorzystać szanse i zminimalizować ryzyka, firmy powinny:
- zidentyfikować, które produkty, usługi i umowy są objęte rozporządzeniem
- zaprojektować procesy i rozwiązania techniczne umożliwiające dostęp do danych
- zaktualizować szablony umów zgodnie z wymogami Data Act.
Data Act niewątpliwie zmienia zasady gry w obszarze zarządzania danymi generowanymi przez urządzenia skomunikowane. Firmy muszą zatem rozpocząć przygotowania już teraz, aby uniknąć wysokich kar finansowych i wykorzystać nowe możliwości biznesowe. Przede wszystkim, kluczowe staje się zrozumienie, które produkty i usługi w naszym portfolio podlegają tym regulacjom. Pamiętajmy, że rozporządzenie dotyczy głównie danych pierwotnych oraz wstępnie przetworzonych, natomiast nie obejmuje informacji wnioskowanych lub pochodnych. Dlatego też warto dokładnie przeanalizować, jakie dane generują nasze produkty i które z nich będziemy zobowiązani udostępniać. Z pewnością najbliższe miesiące powinny zostać wykorzystane na przeprowadzenie audytu wewnętrznego oraz opracowanie strategii zgodności z nowymi wymogami.
Dowiedz się więcej o jawności wynagrodzeń w Polsce: https://mdl-kancelariaprawna.pl/porady-prawne/na-czym-w-praktyce-bedzie-polegala-jawnosc-wynagrodzen/
FAQ
1. Jakie kategorie danych są objęte rozporządzeniem Data Act?
Data Act obejmuje dane generowane przez produkty skomunikowane i usługi powiązane, w tym dane pierwotne i wstępnie przetworzone wraz z metadanymi. Dotyczy to informacji o działaniu urządzenia, sposobie jego użytkowania, odczytów z czujników i zdarzeń technicznych.
2. Kiedy zacznie obowiązywać Data Act?
Data Act już obowiązuje, a weszło w życie 12 września 2025 roku.
3. Jakie są główne cele Data Act?
Głównym celem Data Act jest zapewnienie użytkownikom większej kontroli nad danymi generowanymi przez ich produkty skomunikowane, przy jednoczesnym zachowaniu zachęt dla firm inwestujących w technologie danych. Rozporządzenie ma również na celu ustanowienie jednolitych zasad dotyczących wykorzystywania, przesyłania i dostępu do danych.
4. Czy małe firmy są objęte wszystkimi wymogami Data Act?
Nie, mikroprzedsiębiorstwa i małe firmy (zatrudniające mniej niż 50 pracowników, z obrotem nieprzekraczającym 10 mln euro) są zwolnione z obowiązku udostępniania danych z produktów skomunikowanych. Jednakże co warto podkreślić, zwolnienie to nie dotyczy firm będących częścią większych grup.
5. Jakie sankcje grożą za nieprzestrzeganie przepisów Data Act?
Nieprzestrzeganie rozporządzenia może skutkować poważnymi karami finansowymi. W Polsce kary nakładane przez prezesa UKE mogą wynieść do 100 tys. zł dla osób fizycznych, a w przypadku przedsiębiorców – aż do 4% obrotu osiągniętego w roku poprzedzającym nałożenie kary.
Skontaktuj się z nami już teraz za pomocą poniższego formularza kontaktowego!
