Data Act wchodzi w życie

12 września 2025 r. zaczyna obowiązywać unijne rozporządzenie w sprawie sprawiedliwego dostępu do danych nieosobowych i ich wykorzystywania, znane jako Data Act.

Celem rozporządzenia jest zapewnienie użytkownikom faktycznego dostępu do danych generowanych przez produkty i powiązane usługi oraz umożliwienie sprawiedliwego dzielenia się tymi danymi z podmiotami trzecimi. Ma to wspierać rozwój innowacyjnych produktów i usług w oparciu o dane.

Kogo dotyczą przepisy Data Act?

Rozporządzenie obejmie szeroką grupę podmiotów:

• producentów produktów i usług generujących dane (posiadaczy danych),

• podmioty korzystające z cudzych danych (odbiorców danych),

• organy sektora publicznego oraz instytucje i agencje UE, które mogą żądać udostępnienia danych,

• dostawców usług przetwarzania danych (np. chmury, SaaS, PaaS) działających na terenie UE.

W Polsce nadal trwają prace nad przepisami dostosowującymi prawo krajowe, jednak Data Act obowiązuje bezpośrednio – i to od razu w całości.

Najważniejsze zmiany

1. Dostęp do danych generowanych przez urządzenia i usługi

Dane z urządzeń IoT muszą być domyślnie dostępne dla użytkowników. Jeżeli nie ma możliwości uzyskania dostępu bezpośredniego, posiadacz danych musi je udostępnić nieodpłatnie, bez zwłoki, w sposób łatwy i bezpieczny.

2. Zakaz nieuczciwych klauzul umownych

Postanowienia umowne dotyczące dostępu do danych i ich wykorzystywania, które są jednostronnie narzucone i nieuczciwe, nie będą wiążące wobec drugiej strony.

3. Ułatwiona zmiana dostawcy usług przetwarzania danych

Dostawcy chmury i innych usług przetwarzania danych będą musieli usuwać sztuczne bariery – umowne, techniczne czy finansowe – utrudniające zmianę dostawcy lub przeniesienie danych do własnej infrastruktury.

4. Zasady udostępniania danych podmiotom trzecim

Posiadacz danych będzie zobowiązany uzgodnić z odbiorcą sprawiedliwe, rozsądne i niedyskryminujące warunki udostępniania danych.
Nie będzie można odmówić udostępnienia danych wyłącznie z powodu, że zawierają tajemnicę przedsiębiorstwa – w takim przypadku możliwe będzie wprowadzenie obowiązku zachowania poufności.

Co powinni zrobić przedsiębiorcy?

Data Act to nie tylko obowiązek, ale także okazja do uporządkowania procesów w organizacji. Warto rozważyć:

• identyfikację i mapowanie obowiązków wynikających z rozporządzenia,

• ocenę produktów i usług, które generują lub wykorzystują dane innych firm,

• weryfikację istniejących umów z klientami i dostawcami,

• przygotowanie nowych wzorców kontraktów,

• przeprowadzenie warsztatów i szkoleń dla personelu,

• opracowanie polityk i procedur zapewniających zgodność z Data Act.

Podsumowanie

Data Act zmienia sposób korzystania z danych w gospodarce cyfrowej. To regulacja, która dotyczy nie tylko dużych dostawców technologii, ale także producentów sprzętu, dostawców usług i każdej firmy, która w swojej działalności generuje lub przetwarza dane. Przygotowania do zgodności warto rozpocząć już teraz – tak, aby nowe obowiązki nie stały się barierą, lecz szansą na rozwój.

Zapraszamy do kontaktu – pomożemy dostosować Twoją organizację do nowych wymogów Data Act.

Sandra Winiecka, radca prawny: s.winiecka@dsk-kancelaria.pl

Karol Olejnik, prawnik: k.olejnik@dsk-kancelaria.pl