Od 2025 roku w Unii Europejskiej obowiązuje Data Act – regulacja wprowadzająca nowe zasady korzystania z danych generowanych przez urządzenia i usługi. Wielu przedsiębiorców i operatorów zastanawia się, czy i w jakim stopniu nowe przepisy obejmują ich działalność.

Co to jest Data Act?

Data Act to unijne rozporządzenie mające na celu zwiększenie dostępności danych generowanych przez urządzenia oraz zapewnienie, że zasady ich udostępniania są przejrzyste, bezpieczne i sprawiedliwe.

W praktyce oznacza to, że:

  • użytkownik musi wiedzieć, jakie dane są generowane,
  • producent lub dostawca usług ma obowiązek zapewnić dostęp do danych,
  • użytkownik może przenieść dane do innego operatora lub usługodawcy.

Rozporządzenie ma wspierać rozwój gospodarki opartej na danych, ułatwiać innowacje i wprowadzać większą równowagę między producentami urządzeń a ich użytkownikami.

Kogo dotyczą przepisy?

Jeżeli organizacja produkuje, udostępnia lub wykorzystuje urządzenia i usługi generujące dane — najprawdopodobniej Data Act ma zastosowanie także do niej. Dotyczy to m.in.:

  • producentów produktów skomunikowanych (IoT) – np. inteligentny sprzęt AGD, smartwatche, samochody połączone z siecią, liczniki energii, urządzenia monitorujące;
  • dostawców usług powiązanych z urządzeniami IoT – np. aplikacja do monitorowania zdrowia łącząca się z inteligentnymi zegarkami, aplikacjami do zarządzania domem czy flotą pojazdów;
  • użytkowników produktów skomunikowanych (IoT) i usług powiązanych – np. użytkownik robota sprzątającego (produktu skomunikowanego) oraz dedykowanej aplikacji do jego obsługi (usługi powiązanej);
  • dostawców usług przetwarzania danych:
    • infrastruktura jako usługa (IaaS) 
    • platforma jako usługa (PaaS) 
    • oprogramowanie jako usługa (SaaS);
  • sprzedawców aplikacji korzystających z inteligentnych umów oraz podmioty wdrażające inteligentne umowy (smart contracts) – inteligentne umowy są wykorzystywane do zautomatyzowania mechanizmu rozliczeń. Przykładowo użytkownik chce wynająć hulajnogę elektryczną (wysyła żądanie w aplikacji), aplikacja sprawdza czy użytkownik np. posiada środki w portfelu a następnie wysyła sygnał zwrotny i odblokowuje hulajnogę. Następnie aplikacja nalicza opłatę za każdy przejechany kilometr;
  • organy sektora publicznego, które mogą żądać dostępu do danych w określonych sytuacjach.

Obowiązki wynikające z Data Act

  1. Transparentne informowanie o danych – organizacja musi przekazywać użytkownikowi jasne informacje o tym, jakie dane powstają podczas korzystania z urządzenia, gdzie są przechowywane, jak długo, oraz jak można je pobrać.
  2. Umożliwienie dostępu do danych – użytkownik może poprosić o dane generowane przez urządzenie, a podmiot musi udostępnić je w czytelnym formacie (np. CSV, JSON).

Przykład:
Osoba korzystająca z inteligentnego licznika energii może poprosić o historię zużycia i musi ją otrzymać w przystępnej formie.

  1. Przekazywanie danych stronie trzeciej – na życzenie użytkownika dane muszą zostać udostępnione innemu podmiotowi, np. serwisowi lub operatorowi usług.
  2. Brak utrudnień przy zmianie dostawcy – organizacja nie może tworzyć barier technicznych czy umownych, które utrudniałyby przeniesienie danych.
  3. Wymogi wobec dostawców usług przetwarzania danych  – dostawcy chmurowi muszą m.in. ułatwiać migrację danych, usuwać opłaty związane z przenoszeniem danych oraz zapewniać interoperacyjność i bezpieczeństwo.
  4. Wymogi dotyczące smart contracts – inteligentne umowy muszą zawierać m.in. mechanizmy kontroli dostępu, zabezpieczenia przed błędami oraz tzw. wyłącznik bezpieczeństwa.

Od kiedy Data Act obowiązuje?

Od 12 września 2025 r. Data Act obowiązuje we wszystkich państwach Unii Europejskiej. Oznacza to, że od tego dnia organizacje objęte przepisami muszą działać zgodnie z nowymi zasadami dotyczącymi dostępu do danych, ich udostępniania i wykorzystywania.

Mimo że Data Act stosuje się bezpośrednio, w niektórych obszarach konieczne jest przyjęcie dodatkowych przepisów krajowych, aby regulacja funkcjonowała w pełni. W Polsce trwają prace nad ustawą dotyczącą sprawiedliwego dostępu do danych i ich wykorzystywania. Termin przyjęcia projektu zaplanowany jest na IV kwartał 2025 r., co pozwoli na doprecyzowanie krajowych zasad wdrażania Data Act.

Jak przygotować organizację do działania zgodnie z Data Act?

  1. Sprawdź, czy Data Act dotyczy Twojej działalności – zidentyfikuj urządzenia, systemy i usługi, które generują dane.
  2. Określ swoje obowiązki – ustal, jakie prawa użytkowników i jakie wymagania techniczne wiążą się z Twoją działalnością.
  3. Przeanalizuj wewnętrzną dokumentację i procesy – zwróć uwagę na regulaminy, umowy, polityki, sposób komunikacji z użytkownikami oraz procedury techniczne.
  4. Przygotuj mechanizmy udostępniania danych – uwzględnij również możliwość przekazywania danych innym podmiotom.
  5. Zadbaj o zgodność z cyberbezpieczeństwem – Data Act uzupełnia obowiązki wynikające z takich regulacji jak RODO, NIS2 czy CRA – procesy muszą być spójne.
  6. Przygotuj osoby odpowiedzialne za dane i urządzenia na nowe przepisy – świadomość obowiązków to podstawa uniknięcia błędów i naruszeń.

FAQ – najczęściej zadawane pytania o Data Act

  1. Czy Data Act dotyczy tylko dużych organizacji?

Nie. Obejmuje również małe i średnie podmioty, o ile generują lub przetwarzają dane.

  1. Czy Data Act zastępuje RODO?

Nie. RODO dotyczy danych osobowych, a Data Act – szerzej: danych generowanych przez urządzenia i usługi.

  1. Czy użytkownik może przenieść dane do innego operatora?

Tak. A organizacja musi mu to umożliwić w sposób prosty i bez barier.

  1. Czy inteligentne umowy (smart contracts) podlegają Data Act?

Tak. Muszą spełniać określone wymogi techniczne, w tym mieć możliwość awaryjnego zatrzymania.

  1. Czy urządzenia, które już są na rynku, muszą być dostosowane do Data Act?

Nie. Urządzenia IoT znajdujące się już na rynku nie muszą być technicznie dostosowywane do wymogów Data Act.

Obowiązki dotyczące projektowania nowych urządzeń i usług IoT zgodnie z zasadami Data Act mają zastosowanie wyłącznie do produktów wprowadzanych na rynek po 12 września 2026 r.

Jednocześnie od 12 września 2025 r. obowiązują inne przepisy Data Act, takie jak obowiązek udostępniania danych użytkownikowi czy zasady dotyczące przekazywania danych stronie trzeciej. Te zasady dotyczą organizacji oferujących lub obsługujących urządzenia, niezależnie od tego, kiedy urządzenie zostało wprowadzone na rynek.

  1. Czy Data Act daje również prawa organizacjom?

Tak – m.in. prawo do ochrony tajemnicy przedsiębiorstwa, jeśli ujawnienie danych mogłoby jej zagrozić.