Data Act: wskazówki operacyjne dla segmentu IoT i usług powiązanych - prawne aspekty nowych technologii

Przejdź do treści
newtech.law
newtech.law
Change language to PL Change language to EN
26 września 2025
data economy IT robotyka startupy sztuczna inteligencja zmiany w prawie

Data Act: wskazówki operacyjne dla segmentu IoT i usług powiązanych

Branża IoT i usług powiązanych jest jednym z głównych adresatów przepisów Data Act. Przedsiębiorcy z tej branży mogą być zmuszeni do podjęcia działań operacyjnych, aby dostosować swoją działalność do nowych wymogów. W artykule przybliżamy kluczowe obowiązki wynikające z Data Act dla przedsiębiorców z branży IoT oraz ich operacyjne implikacje.

Przedumowne obowiązki informacyjne

Czego dotyczą nowe obowiązki?

Podmioty, które sprzedają, oddają w najem, dzierżawę lub leasing produkt skomunikowany, jeszcze przed zawarciem umowy z użytkownikami mają obowiązek przedstawić im co najmniej następujące informacje:

  • jakie dane może wygenerować produkt skomunikowany (rodzaj, format i szacunkowa ilość danych),
  • czy produkt skomunikowany może generować dane w sposób ciągły i w czasie rzeczywistym,
  • czy produkt skomunikowany może przechowywać dane na urządzeniu lub na zdalnym serwerze, a w stosownym przypadku – jaki jest zamierzony okres zatrzymywania danych,
  • w jaki sposób użytkownik może uzyskać dostęp do tych danych, pobrać je lub w stosownym przypadku usunąć, jakie środki techniczne są stosowane w tym celu, a także jakie są warunki ich wykorzystywania i jakość usługi.

Dostawcy usług powiązanych z produktami skomunikowanymi jeszcze przed zawarciem umowy o świadczenie usługi powiązanej muszą przedstawić jej użytkownikom co najmniej następujące informacje:

  • charakter, szacunkową ilość i częstotliwość zbierania danych z produktu, które ma pozyskiwać przyszły posiadacz danych,
  • w stosownym przypadku – uzgodnienia dotyczące dostępu użytkownika do takich danych lub ich pobierania, w tym uzgodnienia dotyczące przechowywania i okresu zatrzymywania danych przez przyszłego posiadacza danych,
  • charakter i szacunkową ilość danych z usługi powiązanej, które będą generowane, oraz uzgodnienia dotyczące dostępu użytkownika do takich danych lub ich pobierania, w tym uzgodnienia dotyczące przechowywania i okresu zatrzymywania danych przez przyszłego posiadacza danych,
  • czy przyszły posiadacz danych planuje sam wykorzystywać dane łatwo dostępne, a jeśli tak – w jakich celach dane te będą wykorzystywane, oraz czy zamierza zezwolić co najmniej jednej osobie trzeciej na wykorzystywanie danych do celów uzgodnionych z użytkownikiem,
  • tożsamość przyszłego posiadacza danych (nazwa handlowa, adres geograficzny, pod którym ma siedzibę, oraz w stosownym przypadku tożsamość innych osób przetwarzających dane),
  • środki komunikacji umożliwiające szybki kontakt i sprawną komunikację z przyszłym posiadaczem danych,
  • w jaki sposób użytkownik może wystąpić z wnioskiem o dzielenie się danymi z osobą trzecią i w stosownym przypadku zakończyć dzielenie się danymi,
  • informację o prawie użytkownika do wniesienia skargi dotyczącej naruszenia przepisów Data Act,
  • czy przyszły posiadacz danych jest posiadaczem tajemnic przedsiębiorstwa zawartych w danych, do których łatwo będzie można uzyskać dostęp z produktu skomunikowanego lub które będą generowane w trakcie świadczenia usługi powiązanej (jeśli przyszły posiadacz danych nie jest posiadaczem tajemnic przedsiębiorstwa – jaka jest tożsamość posiadacza tajemnic przedsiębiorstwa),
  • okres obowiązywania umowy między użytkownikiem a przyszłym posiadaczem danych oraz uzgodnienia dotyczące rozwiązania takiej umowy.

Data Act wymaga, by wymienione informacje były przedstawione użytkownikom w jasny i zrozumiały sposób.

Co trzeba zrobić?

W praktyce podmioty oddające do korzystania / sprzedające produkty skomunikowane użytkownikom oraz dostawcy usług powiązanych będą musieli co najmniej:

  • zidentyfikować produkty i usługi, których dotyczą obowiązki wynikające z Data Act,
  • zidentyfikować informacje, które muszą przedstawić użytkownikowi w odniesieniu do każdego produktu skomunikowanego / usługi powiązanej, biorąc pod uwagę ich przeznaczenie oraz techniczne aspekty ich działania,
  • opracować dla każdego produktu skomunikowanego / usługi powiązanej zrozumiałe klauzule informacyjne, zawierające wymagane przez Data Act informacje,
  • opracować i wdrożyć sposób przekazywania użytkownikom (przed zawarciem z nimi umowy) wymaganych przez Data Act informacji.

Wymogi i ograniczenia w zakresie korzystania z danych przez posiadacza danych

Czego dotyczą nowe obowiązki?

Zgodnie z Data Act posiadacz danych może wykorzystywać dane łatwo dostępne pochodzące z produktu skomunikowanego użytkownika będące danymi nieosobowymi wyłącznie na podstawie umowy z użytkownikiem.

Jak wskazano w preambule do Data Act, „taka umowa może być częścią umowy o świadczenie usługi powiązanej, którą można zaoferować wraz z umową sprzedaży, najmu, dzierżawy lub leasingu dotyczącą produktu skomunikowanego”.

W Data Act podkreślono, że „każde postanowienie umowne stanowiące, że posiadacz danych może wykorzystywać dane z produktu lub z usługi powiązanej, powinno być dla użytkownika przejrzyste, w tym w odniesieniu do celów, w jakich posiadacz danych zamierza wykorzystywać dane. Cele takie mogą obejmować poprawę funkcjonowania produktu skomunikowanego lub usług powiązanych, opracowanie nowych produktów lub usług lub agregację danych w celu udostępnienia wywnioskowanych danych osobom trzecim, o ile takie wywnioskowane dane nie umożliwiają identyfikacji konkretnych danych przesłanych posiadaczowi danych z produktu skomunikowanego ani nie umożliwiają osobie trzeciej wywnioskowania tych danych z zestawu danych. Wszelkie zmiany w umowie powinny zależeć od świadomej zgody użytkownika”.

Jednocześnie, zgodnie z Data Act, posiadacz danych nie może wykorzystać takich danych do pozyskania informacji o sytuacji ekonomicznej, aktywach i metodach produkcji użytkownika, które to informacje mogłyby w inny sposób osłabić pozycję handlową użytkownika na rynkach jego działalności.

Dodatkowo, zgodnie z Data Act, posiadacz danych nie może udostępniać danych nieosobowych pozyskanych z produktu skomunikowanego osobom trzecim w celach handlowych lub niehandlowych innych niż realizacja umowy z użytkownikiem. Innymi słowy, co do zasady, posiadacze danych (np. producenci produktu) mogą przekazywać dane nieosobowe pozyskane z produktu skomunikowanego osobom trzecim tylko gdy jest to potrzebne do realizacji umowy posiadacza z użytkownikiem i tylko w zakresie, który tego wymaga.

Nie jest przy tym w pełni jasne, czy posiadacz danych może w umowie z użytkownikiem wskazać, że jednym z celów korzystania z danych jest przekazywanie ich do osób trzecich w innych celach niż realizacja umowy z użytkownikiem (tj. np. w celach analitycznych). Z opinii Komisji Europejskiej przedstawionej w dokumencie pt. Frequently Asked Questions. Data Act, 12 September 2025, Version 1.3 wydaje się wynikać, że takie rozwiązanie jest dopuszczalne (w ww. dokumencie stwierdzono „Article 4(14) addresses the specific aspect of data usage by the data holder that involves the sharing of non-personal data with third parties, which should only take place if contractually agreed with the user (in line with Article 4(13))”).

Data Act nadto wymaga, by posiadacze danych w stosownych przypadkach umownie zobowiązywali osoby trzecie, którym przekażą takie dane, aby nie dzieliły się dalej danymi otrzymanymi od posiadaczy danych.

Co trzeba zrobić?

Jeśli posiadacz danych zamierza wykorzystywać dla własnych celów dane nieosobowe pochodzące z produktu skomunikowanego, umowa z użytkownikiem musi przewidywać możliwość takiego korzystania z danych. Postanowienia w tym zakresie muszą być przejrzyste dla użytkownika i wyraźnie określać cele przetwarzania. Wskazane byłoby również przeanalizowanie takich celów pod kątem ograniczeń korzystania wynikających z Data Act.

W konsekwencji posiadacze danych powinni dokonać przeglądu:

  • stosowanych wzorów umów (oraz wprowadzić do nich odpowiednie zmiany),
  • obowiązujących umów i praktyk dotyczących pozyskiwania i wykorzystywania danych z produktów skomunikowanych / usług powiązanych użytkowników (oraz w przypadkach, w których uznają to za konieczne, zaproponować użytkownikom wprowadzenie zmian do umów).

Posiadacze danych powinni nadto przeanalizować przepływy danych pozyskiwanych przez nich z produktu skomunikowanego, które mają miejsce pomiędzy nimi a osobami trzecimi. Co do zasady posiadacze powinni ograniczać takie przepływy tylko do sytuacji, w której są one potrzebne do realizacji umowy posiadacza z użytkownikiem i tylko w zakresie, który takiej realizacji wymaga.

Udostępnianie danych użytkownikom i odbiorcom danych

Czego dotyczą nowe obowiązki?

Data Act stanowi, że jeśli użytkownik nie może uzyskać bezpośredniego dostępu do danych z produktu skomunikowanego lub z usługi powiązanej, posiadacze danych udostępniają użytkownikowi dane łatwo dostępne z produktu skomunikowanego lub z usługi powiązanej na wniosek użytkownika. Udostępnienie powinno odbywać się na podstawie zwykłego wniosku złożonego drogą elektroniczną, jeżeli jest to technicznie możliwe.

Dane powinny być udostępnione wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych, bez zbędnej zwłoki, w sposób łatwy i bezpieczny oraz nieodpłatnie. Udostępniane dane powinny cechować się taką samą jakością, jaka jest dostępna dla posiadacza danych, oraz powinny zostać udostępnione w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie, w stosownym przypadku i jeżeli jest to technicznie wykonalne – w sposób ciągły i w czasie rzeczywistym.

Zgodnie z Data Act użytkownicy i posiadacze danych mogą umownie ograniczyć lub zakazać dostępu do danych, ich wykorzystywania lub dalszego dzielenia się nimi, jeżeli takie przetwarzanie mogłoby zagrozić wymaganiom bezpieczeństwa produktu skomunikowanego określonym w prawie UE lub prawie krajowym i mieć poważny negatywny wpływ na zdrowie, bezpieczeństwo lub ochronę osób fizycznych.

Data Act zawiera jednocześnie przepisy mające na celu zapewnienie ochrony tajemnicy przedsiębiorstwa w toku realizacji wniosków o udostępnienie danych. Data Act m.in. przewiduje, że posiadacz danych (lub, jeżeli nie jest to ta sama osoba, posiadacz tajemnicy przedsiębiorstwa) identyfikuje dane chronione, w tym stosowne metadane, jako tajemnice przedsiębiorstwa i następnie uzgadnia z użytkownikiem proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych podlegających dzieleniu się, w szczególności w odniesieniu do osób trzecich.

Zgodnie z Data Act na wniosek użytkownika lub strony działającej w jego imieniu posiadacz danych udostępnia także dane łatwo dostępne osobie trzeciej. Udostępnienie powinno nastąpić bez zbędnej zwłoki w sposób łatwy i bezpieczny oraz nieodpłatnie dla użytkownika. Dane powinny zostać udostępnione wraz z odpowiednimi metadanymi niezbędnymi do interpretacji i wykorzystania tych danych i powinny cechować się taką samą jakością, jaka jest dostępna dla posiadacza danych. Dane powinny być udostępnione w całościowym, ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie oraz w stosownym przypadku i jeżeli jest to technicznie możliwe – w sposób ciągły i w czasie rzeczywistym.

Podobnie jak w przypadku danych udostępnianych użytkownikowi realizacja wniosku nie powinna, co do zasady, naruszać tajemnicy przedsiębiorstwa. Posiadacz danych (lub, jeżeli nie jest to ta sama osoba, posiadacz tajemnicy przedsiębiorstwa) identyfikuje dane chronione jako tajemnice przedsiębiorstwa, w tym stosowne metadane, i uzgadnia z użytkownikiem wszelkie proporcjonalne środki techniczne i organizacyjne niezbędne do ochrony poufności danych będących przedmiotem dzielenia się.

Co istotne, jeśli użytkownik nie jest osobą, której dotyczą dane osobowe objęte wnioskiem, wszelkie dane osobowe wygenerowane w wyniku korzystania z produktu skomunikowanego lub usługi powiązanej są udostępniane osobie trzeciej przez posiadacza danych wyłącznie wtedy, gdy istnieje ważna podstawa prawna przetwarzania zgodnie z art. 6 RODO, oraz gdy w stosownym przypadku spełnione są warunki określone w art. 9 RODO i w art. 5 ust. 3 dyrektywy (UE) 2022/58.

Co trzeba zrobić?

W świetle wynikających z Data Act wymogów wskazane jest, by posiadacze danych:

  • zweryfikowali, czy oferowane przez nich produkty skomunikowane / usługi powiązane mają odpowiednie funkcje techniczne, które umożliwiają udostępnianie danych użytkownikom / odbiorcom trzecim zgodnie z Data Act bezpośrednio z produktu / usługi – a jeśli nie, czy wprowadzenie takich funkcji jest możliwe i biznesowo zasadne,
  • zweryfikowali, czy i w jakim zakresie udostępnianie danych z produktu skomunikowanego / usługi powiązanej oferowanej przez nich może dotyczyć informacji objętych tajemnicą przedsiębiorstwa oraz podjęli odpowiednie działania w celu ich ochrony (np. poprzez ich odpowiednią oznaczenie) dostosowane do rodzaju produktu / usługi,
  • jeśli udostępnianie danych nie będzie możliwe automatycznie bezpośrednio z produktu skomunikowanego / usługi powiązanej – wprowadzili wewnętrzne procedury obsługi wniosków o udostępnianie danych uwzględniających nie tylko wymogi Data Act, ale również przepisy RODO i kwestie ochrony tajemnicy przedsiębiorstwa. Jeśli nie ma tego rodzaju wewnętrznych procedur, istnieje ryzyko, że posiadacz danych może mieć większą trudność z terminową i odpowiednią reakcją na wniosek.

Udostępnianie danych organom publicznym na ich wniosek

Czego dotyczą nowe obowiązki?

Data Act przewiduje, że jeśli organ sektora publicznego, Komisja Europejska, Europejski Bank Centralny lub inny organ UE wykaże tzw. „wyjątkową potrzebę” wykorzystania określonych danych – w tym odpowiednich metadanych niezbędnych do interpretacji i wykorzystania tych danych – w celu wykonania swoich ustawowych obowiązków realizowanych w interesie publicznym, posiadacze danych będący osobami prawnymi zobowiązani będą udostępnić organowi te dane w odpowiedzi na należycie uzasadniony wniosek organu.

Zgodnie z Data Act „wyjątkowa potrzeba”, o której mowa powyżej, istnieje wyłącznie w następujących okolicznościach:

  • gdy żądane dane są niezbędne do zareagowania na niebezpieczeństwo publiczne, a organ sektora publicznego, Komisja Europejska, Europejski Bank Centralny lub organ UE nie są w stanie skutecznie i na czas pozyskać takich danych w alternatywny sposób na równoważnych warunkach,
  • w innych okolicznościach i wyłącznie w przypadku danych nieosobowych, gdy:
    • organ sektora publicznego, Komisja Europejska, Europejski Bank Centralny lub organ UE działają na podstawie prawa UE lub prawa krajowego i zidentyfikowały konkretne dane, których brak uniemożliwia im wykonanie konkretnego zadania realizowanego w interesie publicznym, które jest wyraźnie przewidziane prawem (takim zadaniem może być np. tworzenie statystyki publicznej, łagodzenie niebezpieczeństwa publicznego lub przywracanie stanu wyjściowego po wystąpieniu takiego niebezpieczeństwa), oraz
    • organ sektora publicznego, Komisja Europejska, Europejski Bank Centralny lub organ UE wyczerpały wszystkie inne dostępne im sposoby pozyskania takich danych (w tym zakup danych nieosobowych na rynku poprzez zaoferowanie stawek rynkowych, powołanie się na istniejące obowiązki udostępniania danych lub przyjęcie nowych środków ustawodawczych), które mogłyby zagwarantować dostępność danych na czas.

Co ważne, posiadacz danych, do którego organ złoży wniosek o udostępnienie danych, ma prawo odmówić zastosowania się do wniosku lub wystąpić o jego zmianę, w szczególności jeśli wniosek nie spełnia warunków przewidzianych przez Data Act. Posiadacz danych powinien wykonać te czynności bez zbędnej zwłoki i w żadnym razie nie później niż:

  • 5 dni roboczych od otrzymania wniosku o dane niezbędne do zareagowania na niebezpieczeństwo publiczne,
  • 30 dni roboczych od otrzymania wniosku w innych przypadkach występowania wyjątkowej potrzeby.

Data Act stanowi ponadto, że posiadacz danych jest uprawniony do zasadnej rekompensaty za udostępnienie danych. Rekompensata taka powinna pokryć koszty techniczne i organizacyjne poniesione w celu zastosowania się do wniosku, w tym w stosownym przypadku koszty anonimizacji, pseudonimizacji, agregacji i dostosowania technicznego, powiększone o rozsądną marżę. Na żądanie organu posiadacz danych przedstawia informacje o podstawie obliczenia kosztów i rozsądnej marży.

Co trzeba zrobić?

Przepisy Data Act nie nakazują podjęcia określonych czynności w celu dostosowania się do nowych wymogów. Niemniej z uwagi na nowe przepisy wskazane wydaje się, by posiadacze danych uwzględnili w wewnętrznych procedurach organizacyjnych fakt, że organy publiczne mogą składać do nich wnioski o udostępnienie danych na podstawie Data Act. Można np. wyznaczyć osobę odpowiedzialną za badanie ewentualnego wniosku i podejmowanie działań z tym związanych. Jeśli nie ma takich wewnętrznych ustaleń, podmiot może mieć większą trudność z terminową reakcją na wniosek, w szczególności jeśli chciałby kwestionować jego zasadność.

***

Jak widać, dla podmiotów z branży IoT i usług powiązanych dostosowanie działalności do wymogów i ograniczeń wynikających z Data Act może być istotnym wyzwaniem wymagającym działań o charakterze zarówno formalnym, jak i techniczno-operacyjnym. Aby zminimalizować ryzyko naruszenia Data Act i zabezpieczyć swoje interesy, podmioty objęte regulacją Data Act powinny alokować odpowiednie środki (w tym personel) do realizacji działań wdrożeniowych, które pozwolą sprawnie dostosować działalność do nowych ram prawnych.

Łukasz Rutkowski

Poprzedni wpis
Co reguluje Data Act i jakie ma znaczenie dla przedsiębiorców?