Co reguluje Data Act i jakie ma znaczenie dla przedsiębiorców?
12 września 2025 r. był pierwszym dniem stosowania Data Act (czyli rozporządzenia (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828). Na co powinni zwrócić uwagę przedsiębiorcy?
Charakter i cel Data Act
Data Act jest rozporządzeniem unijnym i jako takie jest bezpośrednio stosowany w Polsce i wszystkich innych państwach członkowskich UE. Na poziomie krajowym Data Act będzie wprawdzie uzupełniony przez przepisy lokalne – będą one jednak zasadniczo regulować kwestie formalne (np. dotyczące postępowań w sprawie naruszenia Data Act), a nie materialne. Innymi słowy w całej UE Data Act będzie obowiązywał w tej samej treści.
Jak stwierdzono w preambule Data Act, „wysokiej jakości interoperacyjne dane z różnych dziedzin sprzyjają konkurencyjności i innowacyjności oraz zapewniają zrównoważony wzrost gospodarczy. Te same dane mogą zostać wykorzystane i być ponownie wykorzystywane do wielu różnych celów i w nieograniczonym zakresie, bez jakiegokolwiek uszczerbku dla jakości czy ilości”.
Głównymi celami Data Act jest w związku z tym:
- wzmocnienie unijnej gospodarki opartej na danych,
- wspieranie konkurencyjnego rynku danych przez zwiększenie dostępności i użyteczności danych (w szczególności danych przemysłowych),
- zachęcanie do innowacji opartych na danych,
- zwiększenie dostępności danych.
Co istotne, część obowiązków wynikających z Data Act nie ma zastosowania do małych i mikro przedsiębiorstw. Data Act ponadto nadaje tego rodzaju przedsiębiorstwom pewne dodatkowe uprawnienia, co w założeniu ma stymulować mniejsze podmioty (np. startupy) do aktywnego uczestnictwa w rozwoju gospodarki opartej na danych.
Ważne definicje
Data Act posługuje się specyficznymi definicjami legalnymi (np. produkt skomunikowany, usługa powiązana czy usługi przetwarzania danych), bez których poznania trudno analizować jego przepisy. Poniżej przedstawiamy kluczowe z tych definicji.
| Pojęcie | Definicja legalna | Przykłady
|
| produkt skomunikowany | rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik | różnego rodzaju produkty połączone drogą elektroniczną np. z internetem o funkcjonalnościach IoT (np. produkty AGD, pojazdy, zegarki, opaski, urządzenia przemysłowe, urządzenia medyczne, urządzenia rolnicze, systemy oświetlenia, monitoringu czy ogrzewania) |
| usługa powiązana | usługa cyfrowa, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego | aplikacje służące do zdalnej obsługi urządzeń IoT |
| usługa przetwarzania danych | świadczona na rzecz klienta usługa cyfrowa umożliwiająca wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług | usługi typu cloud computing czy edge computing |
| użytkownik | osoba fizyczna lub prawna, która jest właścicielem produktu skomunikowanego lub której na podstawie umowy przekazane zostały tymczasowe prawa do korzystania z tego produktu skomunikowanego, lub która korzysta z usług powiązanych | właściciel urządzenia IoT osoba korzystająca z urządzenia IoT na podstawie umowy najmu |
| posiadacz danych | osoba fizyczna lub prawna, która ma prawo lub obowiązek – zgodnie z Data Act, mającym zastosowanie prawem UE lub prawem krajowym przyjętym zgodnie z prawem UE – wykorzystywać i udostępniać dane, w tym o ile zostało to przewidziane umową, dane z produktu lub dane z usługi powiązanej pobrane lub wygenerowane przez nią podczas świadczenia powiązanej usługi | producent urządzenia IoT podmiot dostarczający aplikację internetową do obsługi urządzenia IoT |
| odbiorca danych | osoba fizyczna lub prawna działająca w celach związanych z jej działalnością handlową, gospodarczą, rzemieślniczą lub zawodową, inna niż użytkownik produktu skomunikowanego lub usługi powiązanej, której to osobie posiadacz danych udostępnia dane, w tym osoba trzecia, na wniosek użytkownika skierowany do posiadacza danych lub zgodnie z obowiązkiem prawnym wynikającym z prawa UE lub prawem krajowym przyjętym zgodnie z prawem UE | usługodawca (inny niż producent urządzenia IoT), któremu użytkownik tego urządzenia przekazuje dane z urządzenia IoT, np. na potrzeby świadczenia usług przez tego usługodawcę (np. serwisowych czy analitycznych) |
| dane z produktu | dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by użytkownik, posiadacz danych lub osoba trzecia, w tym w stosownym przypadku producent, mogli je pobierać za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu | dane z urządzenia IoT generowane w trakcie eksploatacji urządzenia przez użytkowników (różne w zależności od urządzenia), np. dotyczące kalibracji urządzenia, wydajności, błędów w użytkowaniu, zużycia energii, warunków atmosferycznych, awarii itp. |
| dane z usługi powiązanej | dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, utrwalane przez użytkownika celowo lub generowane jako produkt uboczny jego czynności, podczas świadczenia usługi powiązanej przez dostawcę | dane dotyczące czasu i sposobu korzystania z aplikacji używanej do kontroli urządzenia IoT i ustawień wykorzystywanych przez użytkowników aplikacji |
| dane łatwo dostępne | dane z produktu i dane z usługi powiązanej, które posiadacz danych zgodnie z prawem pozyskuje lub może zgodnie z prawem pozyskać z produktu skomunikowanego lub z usługi powiązanej bez nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność | dane standardowo generowane w wyniku korzystania z produktu skomunikowanego, jeżeli projekt produktu skomunikowanego przewiduje przechowywanie lub przesyłanie takich danych poza elementem składowym, w którym są one generowane, lub poza całym produktem |
Czego dotyczy Data Act? Regulacje kluczowe dla przedsiębiorców
Data Act ustanawia zharmonizowane przepisy dotyczące, przede wszystkim, następujących obszarów:
Udostępnianie danych użytkownikowi produktu skomunikowanego lub usługi powiązanej
Użytkownik produktu skomunikowanego oraz usługi powiązanej może pozyskać od posiadacza danych (np. producenta IoT lub dostawcy usługi) danych z produktu lub usługi, z której korzysta (w tym stosownych metadanych niezbędnych do interpretacji i wykorzystania danych) w sposób łatwy, bezpieczny, bezpłatny, w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie.
Udostępnianie danych odbiorcom danych wskazanym przez użytkowników
Użytkownicy mogą nakazać posiadaczowi danych, by udostępnił osobie trzeciej tzw. dane łatwo dostępne z produktu / usługi, z których użytkownik korzysta, wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych. Dane i metadane muszą się przy tym cechować taką samą jakością, jaka jest dostępna dla posiadacza danych. Udostępnienie to powinno nastąpić bez zbędnej zwłoki w sposób łatwy i bezpieczny oraz nieodpłatnie dla użytkownika, w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie możliwe – w sposób ciągły i w czasie rzeczywistym.
Na posiadaczy danych zostały też nałożone obowiązki informacyjne wobec użytkowników związane z ww. uprawnieniami. W pewnych przypadkach posiadacze danych muszą wprowadzić odpowiednie postanowienia umowne we wzorach umów z użytkownikami, a także techniczną możliwość uzyskania dostępu do danych przez użytkowników lub wskazane przez nie osoby trzecie. Warto przy tym, by posiadacze danych podjęli kroki, aby zabezpieczyć swoje interesy w sytuacji, w której realizacja ww. uprawnień może prowadzić do ujawnienia tajemnicy przedsiębiorstwa.
Ułatwianie zmiany dostawcy usług przetwarzania danych
Data Act zawiera przepisy mające przeciwdziałać zjawisku vendor lock-in w usługach przetwarzania danych. Kluczowe nowe obowiązki dostawców usług w tym zakresie to:
- specyficzne obowiązki informacyjne względem klientów dotyczące możliwości zmiany dostawcy,
- obowiązek wprowadzenia do umów dotyczących usług przetwarzania danych postanowień odnoszących się do zmian dostawcy usług przetwarzania danych, mających na celu zapewnienie prostej i bezpiecznej możliwości zmiany dostawcy.
Zakaz wprowadzania do umów tzw. nieuczciwych i jednostronnych postanowień w zakresie korzystania z danych
Aby przeciwdziałać nieuzasadnionym ograniczeniom w korzystaniu z danych, Data Act stanowi, że narzucone jednostronnie (na zasadzie „przyjmij lub zrezygnuj”) i zarazem nieuczciwe postanowienia umowne (spełniające warunki wskazane w Data Act) dotyczące korzystania z danych nie będą wiążące dla przedsiębiorstwa, na które takie postanowienie zostało narzucone.
Udostępnianie danych organom sektora publicznego
Data Act zawiera również dość rozbudowane przepisy, które pozwalają organom w pewnych przypadkach wnioskować o dostęp do danych posiadanych przez posiadaczy danych.
Data Act określa m.in.:
- okoliczności, w których taki wniosek może być złożony,
- tryb składania takich wniosków,
- wymogi w zakresie uzasadnienia,
- pewne regulacje o charakterze techniczno-organizacyjnym związane z przepływem danych między posiadaczami danych a organami (np. w zakresie potencjalnej rekompensaty dla posiadacza danych w związku z udostępnieniem danych).
Co istotne, Data Act wpłynie również na przedsiębiorców spoza UE, ponieważ ma zastosowanie do producentów produktów skomunikowanych i dostawców usług powiązanych, które będą wprowadzane do obrotu w UE, niezależnie od miejsca siedziby tych producentów i dostawców.
Czy Data Act to rewolucja?
Trudno jednoznacznie odpowiedzieć na pytanie, jakie skutki przyniesie Data Act.
Bez wątpienia regulacja ta wprowadza istotne zmiany prawne w segmencie IoT i usług powiązanych, w szczególności poprzez nadanie użytkownikom uprawnień dostępu do danych przez nich generowanych czy też regulacje dotyczące udostępniania danych organom. Należy się spodziewać, że realizacja nowych obowiązków prawnych będzie stanowić wyzwanie dla przedsiębiorców działających w obszarze IoT.
Data Act będzie mieć także istotny wpływ na usługi przetwarzania danych. Przepisy przeciwdziałające zjawisku vendor lock-in wymuszą na dostawcach zmiany we wzorach dokumentacji kontraktowej, a niekiedy również w stosowanych procesach biznesowych lub modelach świadczenia usług. Przepisy te ponadto mogą skutkować zwiększeniem konkurencyjności na rynku usług przetwarzania danych oraz większą otwartością usługobiorców na zmiany dostawców usług.
Najciekawszą kwestią jednak jest to, jakie skutki będzie miał Data Act w sferze szeroko pojętej innowacyjności. Potencjalnie ogromna ilość danych pochodząca z urządzeń IoT i usług powiązanych może być wykorzystywana przez odbiorców i użytkowników do rozwoju istniejących oraz tworzenia zupełnie nowych rozwiązań, produktów i usług. Dzięki wykorzystaniu sztucznej inteligencji analiza tego rodzaju danych może prowadzić także do odkryć o charakterze naukowym.
Trudno obecnie ocenić, czy i w jakim stopniu tego rodzaju pozytywne skutki faktycznie wystąpią. Wiele będzie zależeć od tego, jak posiadacze danych będą realizować swoje obowiązki w zakresie dostarczania danych użytkownikom i odbiorcom, a także od świadomości posiadaczy i odbiorców w zakresie możliwości korzystania przez nich z uprawnień, które daje im Data Act. Pozostaje mieć nadzieję, że Data Act będzie faktycznie katalizatorem rozwoju gospodarki opartej na danych, tak jak zakładają to unijni prawodawcy.
Krzysztof Wojdyło, Łukasz Rutkowski
