EU Data Act – nowe unijne prawo, które zmienia dostęp do danych

Czym jest EU Data Act i dlaczego powstał

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 – znane jako EU Data Act – zostało opublikowane w grudniu 2023 roku i zaczęło w pełni obowiązywać 12 września 2025 roku. Jego celem jest odblokowanie ogromnych ilości danych, które każdego dnia generują miliony urządzeń podłączonych do sieci: maszyny przemysłowe, inteligentne systemy zarządzania budynkiem, pojazdy czy urządzenia smart home.

Do tej pory dane te były zazwyczaj własnością producenta lub dostawcy usługi – użytkownik, który zapłacił za urządzenie, często nie miał do nich żadnego dostępu. Data Act ma to zmienić: wprowadza prawo do danych dla użytkowników i nowe obowiązki dla firm, które te urządzenia produkują lub serwisują.

Rozporządzenie jest elementem szerszej unijnej Strategii Danych, obok rozporządzenia o zarządzaniu danymi (Data Governance Act) i AI Act. Razem tworzą nowy europejski ekosystem prawny dla gospodarki opartej na danych – i razem zmieniają to, jak firmy muszą myśleć o danych, które zbierają i przechowują.

Kogo dotyczy Data Act – czy Twoja firma jest w zasięgu przepisów

Zakres stosowania Data Act jest szerszy, niż mogłoby się wydawać. Rozporządzenie dotyczy czterech głównych grup podmiotów:

• Producenci urządzeń podłączonych – firmy wytwarzające produkty IoT: maszyny, sprzęt AGD, pojazdy, systemy przemysłowe, urządzenia medyczne. Muszą projektować produkty tak, by dane były domyślnie dostępne dla użytkowników.
• Dostawcy powiązanych usług cyfrowych – np. firmy oferujące aplikacje do obsługi urządzeń IoT, platformy monitoringu czy telematyki.
• Posiadacze danych (data holders) – podmioty zbierające i przechowujące dane z urządzeń, w tym duże platformy technologiczne.
• Dostawcy usług przetwarzania danych – chmury publiczne (AWS, Azure, GCP), ale też operatorzy prywatnych centrów danych.

MŚP mają w Data Act specjalną pozycję: rozporządzenie chroni małe i średnie firmy przed niekorzystnymi warunkami narzucanymi przez dominujące platformy. Jeśli jesteś odbiorcą danych i jesteś MŚP, duże przedsiębiorstwo nie może zmusić Cię do udostępniania danych na asymetrycznych warunkach.

Sprawdź też, czy Twoja firma nie jest producentem lub dystrybutorem urządzeń IoT – nawet w wąskiej niszy. Jeśli tak, Data Act nakłada na Ciebie bezpośrednie obowiązki projektowe i kontraktowe już od pierwszego dnia stosowania.

Kluczowe prawa i obowiązki wynikające z rozporządzenia

Data Act wprowadza kilka fundamentalnych praw i obowiązków, które każda firma powinna znać:

• Prawo do danych dla użytkownika – każdy, kto używa urządzenia podłączonego (od pralki smart po maszynę CNC), ma prawo dostępu do danych generowanych przez to urządzenie w czasie rzeczywistym lub historycznie.
• Obowiązek udostępniania danych na żądanie – producenci i dostawcy usług muszą umożliwić przekazanie danych wskazanej przez użytkownika stronie trzeciej, np. niezależnemu serwisantowi lub konkurencyjnej aplikacji.
• Swoboda zmiany dostawcy chmury – rozporządzenie nakazuje dostawcom chmury umożliwienie przeniesienia danych do innego operatora bez nadmiernych opłat ani technicznych barier. To bezpośredni cios w model vendor lock-in.
• Ograniczony dostęp organów publicznych do danych – organy państwowe mogą żądać danych od firm tylko w wyjątkowych, jasno określonych sytuacjach, takich jak klęska żywiołowa lub zagrożenie publiczne.
• Ochrona tajemnic handlowych – firmy mogą odmówić udostępnienia danych, jeśli ich ujawnienie rzeczywiście zagrażałoby tajemnicy przedsiębiorstwa, muszą jednak to konkretnie uzasadnić.

Warto podkreślić, że Data Act dotyczy danych nieosobowych – czyli takich, które nie pozwalają zidentyfikować konkretnej osoby. Gdy dane z urządzenia zawierają jednak informacje osobowe (np. lokalizacja pojazdu służbowego przypisanego do pracownika), równocześnie stosuje się RODO.

Data Act a RODO – podobieństwa i kluczowe różnice

Wiele firm zakłada, że skoro wdrożyły już RODO, są bezpieczne wobec nowych regulacji danych. To błąd – oba rozporządzenia regulują zupełnie inne obszary i nie zastępują się nawzajem.

Kluczowa różnica: RODO chroni osoby fizyczne i ich prywatność. Data Act dotyczy przede wszystkim danych nieosobowych – generowanych przez maszyny, urządzenia, czujniki i systemy przemysłowe. Celem RODO jest ograniczenie przetwarzania danych; celem Data Act jest uwolnienie danych i zapewnienie do nich dostępu. Tabela poniżej zestawia najważniejsze cechy obu regulacji.

W praktyce oba akty mogą się nakładać. Jeśli dane z urządzenia IoT pozwalają zidentyfikować osobę fizyczną, firma musi spełnić wymagania obu rozporządzeń jednocześnie. Dlatego wdrożenie Data Act powinno być realizowane we współpracy z osobą odpowiedzialną za RODO (np. DPO), a nie w oderwaniu od istniejącej dokumentacji ochrony danych.

Jak przygotować firmę na Data Act – krok po kroku

Przygotowanie do Data Act nie wymaga rewolucji, ale potrzebuje konkretnych, zaplanowanych działań. Oto praktyczna lista kroków dla MŚP:

1. Zinwentaryzuj urządzenia IoT w firmie – zidentyfikuj wszystkie podłączone urządzenia: maszyny, systemy HVAC, kamery, drukarki, pojazdy, czujniki. Sprawdź, jakie dane generują, gdzie trafiają i kto ma do nich dostęp.
2. Przejrzyj umowy z dostawcami sprzętu – dokumenty zakupu i licencje mogą zawierać klauzule niezgodne z Data Act, np. wyłączne prawo producenta do danych z urządzenia. To dobry moment na renegocjację.
3. Oceń umowy z dostawcami chmury – sprawdź, czy Twój operator chmury zapewnia możliwość migracji danych do innego dostawcy. Data Act tego wymaga, a wielu dostawców już aktualizuje swoje regulaminy.
4. Zaktualizuj polityki danych – uzupełnij dokumentację o procedury dotyczące udostępniania danych na żądanie użytkownika oraz zasady ochrony tajemnic handlowych.
5. Przeszkól kluczowe osoby – dział IT i kadra zarządzająca powinny wiedzieć, jakie prawa mają klienci i partnerzy biznesowi na mocy Data Act, i jak reagować na ich żądania.
6. Skonsultuj się z ekspertem IT i prawnikiem – szczególnie jeśli produkujesz lub dystrybuujesz urządzenia IoT albo oferujesz usługi przetwarzania danych jako główny produkt.

Sankcje – co grozi za naruszenie przepisów Data Act

Data Act przewiduje sankcje finansowe za naruszenie przepisów. Odpowiedzialność egzekwują organy nadzorcze wyznaczane przez każde państwo członkowskie – Polska jest w trakcie wyznaczania właściwego organu nadzorczego.

Maksymalne kary finansowe to:

• Do 1% globalnego rocznego obrotu firmy za naruszenia dotyczące obowiązku udostępniania danych lub wymogów projektowych dotyczących urządzeń IoT.
• Do 2% globalnego rocznego obrotu za podawanie fałszywych, niekompletnych lub wprowadzających w błąd informacji organom nadzorczym.
• Dla dostawców tzw. bramek dostępu (gatekeepers) objętych rozporządzeniem DMA – sankcje mogą sięgać nawet 10% globalnego obrotu.

Doświadczenie z RODO pokazuje, że organy nadzorcze nie czekają długo z pierwszymi postępowaniami – pierwsze znaczące kary RODO pojawiły się już w pierwszym roku obowiązywania. Nie czekaj na pierwszą karę w branży: działaj prewencyjnie, przeprowadź audyt i wdróż niezbędne zmiany zanim organ nadzorczy zapuka do Twoich drzwi.