Usługi przetwarzania danych w rozumieniu Data Act

8 grudnia 2025

Data Act wprowadza istotne regulacje dotyczące świadczenia tzw. usług przetwarzania danych. Zakres tych regulacji – ze względu na ich znaczenie dla biznesu – zasługuje na omówienie w odrębnym artykule. W tym opracowaniu przyjrzymy się natomiast bliżej samej definicji usług przetwarzania danych zawartej w Data Act. Spróbujemy określić, jakie rodzaje usług w praktyce mogą być objęte nowymi przepisami oraz w jaki sposób badać, czy dana usługa stanowi usługę przetwarzania danych w rozumieniu Data Act.

Definicja legalna

Zgodnie z Data Act „usługa przetwarzania danych” to:

świadczona na rzecz klienta usługa cyfrowa umożliwiająca wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym, które mogą być szybko przydzielone i uwolnione przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług.

Warto zaznaczyć, że definicja „przetwarzania”, będąca kluczowym elementem usług przetwarzania danych w Data Act, jest bardzo zbliżona do technologicznego rozumienia „przetwarzania danych”.

Przetwarzanie oznacza:

operację lub zestaw operacji wykonywanych na danych lub zestawach danych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Obejmuje więc cały technologiczny cykl życia danych.

Poszczególne elementy definicji

	Usługa stanowi usługę przetwarzania danych, jeśli spełnia łącznie następujące przesłanki:	Komentarz
1.	jest usługą cyfrową	Opierając się na definicji zawartej w dyrektywie (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych, „usługa cyfrowa” oznacza usługę, która: pozwala konsumentowi na wytwarzanie, przetwarzanie i przechowywanie danych lub dostęp do nich w postaci cyfrowej, lub pozwala na wspólne korzystanie z danych w postaci cyfrowej, które zostały przesłane lub wytworzone przez konsumenta lub innych użytkowników tej usługi, lub inne formy interakcji przy pomocy takich danych.
2.	jest usługą świadczoną na rzecz klienta	Zgodnie z Data Act „klient” oznacza osobę fizyczną lub prawną, która nawiązała stosunek umowny z dostawcą usług przetwarzania danych w celu skorzystania z co najmniej jednej usługi przetwarzania danych. Co ważne, usługi przetwarzania danych mogą być bezpłatne (motyw nr 78 Data Act).
3.	jest usługą umożliwiającą klientowi sieciowy dostęp do wspólnego zbioru zasobów obliczeniowych	Zasoby obliczeniowe obejmują takie zasoby jak sieci, serwery lub inną infrastrukturę wirtualną lub fizyczną, oprogramowanie, w tym narzędzia do tworzenia oprogramowania, pamięć masową, aplikacje i usługi (motyw nr 80 Data Act). „Wspólny zbiór zasobów obliczeniowych” oznacza zasoby udostępniane wielu użytkownikom, którzy dzielą wspólny dostęp do usługi, jednak przetwarzanie odbywa się oddzielnie dla każdego z użytkowników, choć usługa ta jest świadczona z tego samego sprzętu elektronicznego (motyw 80 Data Act).
4.	dostęp do zasobów obliczeniowych musi być wszechobecny	„Wszechobecny” dostęp oznacza sytuację, w której możliwości obliczeniowe są udostępniane przez sieć, a dostęp do nich jest możliwy za pośrednictwem mechanizmów sprzyjających wykorzystywaniu różnorodnych platform cienkich lub grubych klientów (od przeglądarek internetowych po urządzenia mobilne i stacje robocze) (motyw nr 80 Data Act).
5.	dostęp do zasobów obliczeniowych musi być na żądanie	Dostęp „na żądanie” oznacza, że klient może jednostronnie korzystać z usług (zasobów), które są dostępne z wykorzystaniem sieci i standardowych mechanizmów takich jak smartfony, laptopy czy stacje robocze (patrz dokument KE pt. Frequently Asked Questions, Data Act, 12 September 2025, Version 1.3).
6.	zasoby obliczeniowe muszą być konfigurowalne	W potocznym znaczeniu „konfigurowalny” oznacza możliwy do przystosowania, np. do oczekiwanego zadania. Jak się więc wydaje, dostawca musi móc przystosować zasoby do oczekiwanych zadań.
7.	zasoby obliczeniowe muszą być skalowalne	„Skalowalne” są zasoby obliczeniowe elastycznie przydzielane przez dostawcę usług przetwarzania danych, niezależnie od swojego położenia geograficznego, w reakcji na zmiany zapotrzebowania (motyw nr 80 Data Act).
8.	zasoby obliczeniowe muszą być elastyczne	„Elastyczne” są takie zasoby obliczeniowe, które są przydzielane i uwalniane zależnie od zapotrzebowania, aby szybko zwiększać lub zmniejszać dostępne zasoby w zależności od obciążenia (motyw nr 80 Data Act).
9.	zasoby obliczeniowe mogą być o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym	„Rozproszone” są zasoby obliczeniowe zlokalizowane na różnych komputerach lub urządzeniach połączonych w sieć, które komunikują się ze sobą i koordynują swoją pracę przez przekazywanie komunikatów. Pojęcia „wysoce rozproszone” używa się do opisu usług przetwarzania danych, które obejmują przetwarzanie danych prowadzone bliżej miejsca generowania lub zbierania danych, np. w skomunikowanym urządzeniu do przetwarzania danych (motyw nr 80 Data Act).
10.	zasoby obliczeniowe muszą być dostępne szybko	„Szybko dostępne” oznacza, że klient może rozpocząć korzystanie z zasobów prawie natychmiast po tym, jak zostaną mu udostępnione (patrz dokument Komisji Europejskiej pt. Frequently Asked Questions, Data Act, 12 September 2025, Version 1.3).
11.	zasoby obliczeniowe muszą być przydzielane i uwalniane przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług	Tę przesłankę spełnia sytuacja, w której klient może jednostronnie zapewnić sobie możliwości obliczeniowe, takie jak czas serwera lub pamięć sieciowa, bez ingerencji ludzkiej ze strony dostawcy usług przetwarzania danych (motyw 80 Data Act).

Inne wskazówki interpretacyjne

Z preambuły Data Act wynika ponadto, że usługi przetwarzania danych:

to m.in. usługi w chmurze i usługi przetwarzania brzegowego (motyw nr 78 Data Act),
należą do co najmniej jednego z następujących trzech modeli świadczenia usług przetwarzania danych, które stanowią konkretne gotowe pakiety zasobów technologii informacyjno-komunikacyjnych (ICT) oferowane przez dostawcę usług przetwarzania danych:
- infrastruktura jako usługa (IaaS),
- platforma jako usługa (PaaS),
- oprogramowanie jako usługa (SaaS) (motyw nr 81 Data Act).
mogą być uzupełnione opcjami, takimi jak StaaS (przechowywanie jako usługa) i DBaaS (baza danych jako usługa) (motyw nr 81 Data Act).

Jak badać, czy dana usługa jest usługą przetwarzania danych w rozumieniu Data Act?

Analiza, czy dana usługa stanowi usługę przetwarzania danych w rozumieniu Data Act, może przebiegać w następujący sposób:

Krok 1:

Czy usługa jest usługą cyfrową?

Jeśli usługa pozwala na:

wytwarzanie, przetwarzanie i przechowywanie danych lub dostęp do nich w postaci cyfrowej,
lub na wspólne korzystanie z danych w postaci cyfrowej, które zostały przesłane lub wytworzone przez użytkownika tej usługi, lub inne formy interakcji przy pomocy takich danych,

to można założyć, że usługa spełnia przesłankę wskazaną w pkt 1.

Krok 2:

Czy usługa jest świadczona na rzecz klientów?

Jeśli z usługi korzystają podmioty zewnętrzne wobec usługodawcy na podstawie umowy (niezależnie od formy umowy, nazwy umowy czy odpłatności), to można założyć, że usługa spełnia przesłankę wskazaną w pkt 2.

Krok 3

Czy usługa jest usługą dostępu do zbiorów obliczeniowych?

Czy udostępniane zasoby obliczeniowe są wspólne?

Jeśli:

usługi obejmują zdalny dostęp do zasobów takich jak sieci, serwery lub inna infrastruktura wirtualna lub fizyczna, oprogramowanie (w tym narzędzia do tworzenia oprogramowania), pamięć masowa, aplikacje i usługi,
oraz usługodawca udostępnia te same zasoby jednocześnie wielu klientom,

to można założyć, że usługa spełnia przesłankę wskazaną w pkt 3.

Krok 4

Czy usługa umożliwia wszechobecny sieciowy dostęp, na żądanie klienta, do zbioru zasobów obliczeniowych?

Jeśli usługa jest dostępna przez internet dla klienta, który sam decyduje, kiedy i jak z niej korzystać, a korzystanie z usługi przez klienta jest możliwe za pomocą standardowych środków technicznych (takich jak np. komputery, laptopy czy smartfony), to można założyć, że usługa spełnia przesłanki wskazane w pkt 4 i 5.

Krok 5

Czy zasoby obliczeniowe są skalowalne, elastyczne, konfigurowalne i rozproszone?

Jeśli usługa jest opracowana i świadczona w taki sposób, że zasoby obliczeniowe:

można dostosować do bieżących potrzeb klientów (i funkcjonalności, z których korzystają),
można elastycznie przydzielać i uwalniać w zależności od bieżącego zapotrzebowania klientów, zachowując taką samą jakość usług,
są zlokalizowane na różnych komputerach lub urządzeniach połączonych w sieć przez usługodawcę,

to można założyć, że usługa spełnia przesłanki wskazane w pkt 6, 7, 8 i 9.

Krok 6

Czy zasoby obliczeniowe mogą być udostępnione szybko?

Jeśli usługi są skonfigurowane w ten sposób (np. w formie pakietów czy modułów), że klient może zacząć korzystać z zasobów prawie natychmiast po ich udostępnieniu (bez konieczności istotnego dostosowywania zasobów dla klienta czy tworzenia nowego interfejsu dla klienta itp.), np. już bezpośrednio po zawarciu umowy, to można założyć, że usługa spełnia przesłankę wskazaną w pkt 10.

Krok 7

Czy dostęp klienta do zasobów następuje przy minimalnym wysiłku pod względem zarządzania lub interakcji z dostawcą usług?

Jeśli korzystanie przez klienta z usługi jest możliwe bez interakcji z dostawcą usług (w szczególności bez każdorazowej zgody dostawcy, bez każdorazowego „włączania usługi” przez usługodawcę na prośbę klienta), to można założyć, że usługa spełnia przesłankę wskazaną w pkt 11.

Co istotne, samo stwierdzenie, że dana usługa stanowi usługę przetwarzania danych w rozumieniu Data Act, nie przesądza jeszcze o tym, że przepisy Data Act znajdą do niej w całości zastosowanie. Data Act zawiera bowiem wyłączenia (ich omówienie przekracza jednak zakres tego opracowania).

Należy pamiętać, że nie każda usługa tej samej kategorii będzie automatycznie stanowić usługę przetwarzania danych. Definicja jest tak rozbudowana, że mogą decydować o tym poszczególne, poboczne cechy lub funkcjonalności rozwiązań technicznych. Dlatego przesłanki określone w definicji usług przetwarzania danych trzeba badać indywidualnie. Nie da się podać żadnych uogólnień dotyczących usług konkretnego rodzaju.

Wyłączenia mogłyby prawdopodobnie objąć m.in.:

– usługi przetwarzania na sprzęcie użytkownika (tzw. on-premises)

Sprzęt nie musi formalnie należeć do użytkownika (może być wynajmowany lub dzierżawiony). Chodzi o sytuację, gdy zarządzanie sprzętem pozostaje pod pełną kontrolą użytkownika lub jest oddelegowane stronie trzeciej.

Obejmowałoby to m.in.:

wynajem fizycznego serwera zlokalizowanego w centrum danych klienta,
tradycyjne bazy danych w modelu on-premises (np. Oracle Database),
model SAP wdrożony w formie lokalnej instalacji.

Dostawcy usług przetwarzania mogą zgodnie z Data Act nakładać opłaty za switching (przełączanie) do infrastruktury on-premises, ale tylko przez pierwsze 3 lata od wejścia w życie Data Act.

– wszelkie usługi bez sieciowego dostępu na żądanie, np.:

usługi dostępne jedynie lokalnie,
usługi dostępne w sieci lokalnej użytkownika,
usługi typowo desktopowe (offline).

– usługi świadczone ekskluzywnie, jak udostępnianie serwerów wyłącznie użytkownikowi (wyłączając tym samym przesłankę wspólnego zbioru zasobów obliczeniowych).

W zależności od funkcjonalności praktycznym przykładem prawdopodobnie może być VPN. Usługą przetwarzania danych prawdopodobnie nie będą VPN-y w infrastrukturze site-to-site ani w technologii MPLS VPN.

Jako usługa przetwarzania danych będą się natomiast prawdopodobnie kwalifikować VPN-y oferujące usługi w modelu SaaS.

Kluczowym elementem dla uznania VPN za usługę przetwarzania danych byłoby zapewnianie dostępu do zasobów obliczeniowych, a nie jedynie oferowanie usług łączności.

Wątpliwości może budzić kategoryzacja oprogramowania firewall, które poza filtrowaniem ruchu analizuje zagrożenia. Prawdopodobnie za usługę przetwarzania danych będzie można uznać:

firewalle w technologii cloud-native,
aplikacje desktopowe z funkcjami analizy zagrożeń.

Nie będą zaliczać się natomiast firewalle:

sprzętowe, szczególnie jeśli analiza zagrożeń odbywa się na nich lokalnie,
desktopowe – w formie oprogramowania lokalnego.

Bardzo też możliwe, że nie będą objęte Data Act tradycyjne usługi hostingowe, jeśli nie spełniają kryteriów:

skalowalności i elastyczności,
możliwości szybkiego przydzielenia i uwalniania zasobów przy minimalnym wysiłku pod względem zarządzania.

Jak widać, usługi tej samej kategorii w zależności od swojej technologicznej konstrukcji mogą albo wpisywać się w definicję usług przetwarzania danych, albo nie. Ważne jest więc, by indywidualnie oceniać każdą usługę, analizując jej technologiczne cechy i rozwiązania, które oferuje.

Podsumowanie

Definicja usług przetwarzania danych zawarta w Data Act jest dość złożona i odnosi się m.in. do zagadnień technicznych. Aby więc stwierdzić, czy dana usługa może być klasyfikowana jako usługa przetwarzania danych w rozumieniu Data Act, należy się jej przyjrzeć zarówno od strony prawnej, jak i technicznej.

Analizę taką powinny przeprowadzić wszystkie podmioty, które mogą świadczyć tego rodzaju usługi, ponieważ Data Act nakłada na dostawców usług przetwarzania danych dość istotne obowiązki. Usługą przetwarzania danych w rozumieniu Data Act może się okazać choćby większość współczesnych „usług chmurowych” w potocznym rozumieniu tego pojęcia. Liczba podmiotów, które świadczą usługi przetwarzania danych w rozumieniu Data Act, wydaje się więc dość znaczna.

Łukasz Rutkowski, Bartosz Kurzec

Łukasz Rutkowski

Bartosz Kurzec