+ 22 162 53 00kancelaria@kp-kp.pl
Skontaktuj się z nami

Data Act

24 września 2025


Szanowni Państwo,

Informujemy, że w dniu 12 września 2025 roku weszły w życie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 – tzw. akt w sprawie danych (Data Act).
Obecnie trwają prace nad polską ustawą w tym zakresie, która wskazywać będzie m. in. krajowy organ nadzorujący spełnianie przez podmioty obowiązków wynikających z tego rozporządzenia i który to organ będzie nakładał kary za niestosowanie się do tych przepisów. Według dostępnych źródeł, prace nad polską ustawą wdrażającą Data Act są w toku, a planowany termin przyjęcia projektu przez Radę Ministrów to IV kwartał 2025 r. Tak więc choć Data Act jako rozporządzenie UE obowiązuje bezpośrednio od 12 września 2025 r., to każde państwo członkowskie musi określić procedury krajowe i sposób nakładania kar, aby przepisy były egzekwowalne. Niemniej jednak – o ile nie zostało to jeszcze dokonane – należy zweryfikować, czy Państwa spółka znajduje się wśród podmiotów zobowiązanych do stosowania Data Act, a jeśli tak, to do spełnienia obowiązków wynikających z tego aktu. Poniżej przedstawiamy kilka istotnych informacji na temat Data Act, które pozwolą zweryfikować, czy Państwa spółka jest adresatem obowiązków wynikających z tych przepisów.
Jeśli chodzi o zakres podmiotowy rozporządzenia, to zgodnie z art. 3 rozporządzenia Data Act ma ono zastosowanie do:
a) producentów produktów skomunikowanych wprowadzanych do obrotu w Unii i dostawców usług powiązanych, niezależnie od miejsca siedziby tych producentów i dostawców;
b) znajdujących się w Unii użytkowników produktów skomunikowanych lub usług powiązanych, o których mowa w lit. a);
c) posiadaczy danych, którzy udostępniają dane odbiorcom danych w Unii, niezależnie od miejsca siedziby tych posiadaczy;
d) odbiorców danych w Unii, którym dane są udostępniane;
e) organów sektora publicznego, Komisji, Europejskiego Banku Centralnego oraz organów Unii, które w przypadku wyjątkowej potrzeby wykorzystania tych danych występują do posiadaczy danych z wnioskiem o udostępnienie danych do celów wykonania określonego zadania realizowanego w interesie publicznym, oraz posiadaczy danych, którzy dostarczają tych danych w odpowiedzi na taki wniosek;
f) dostawców usług przetwarzania danych świadczących takie usługi klientom w Unii, niezależnie od miejsca siedziby tych dostawców;
g) uczestników przestrzeni danych oraz sprzedawców aplikacji korzystających z inteligentnych umów, a także osób, których działalność handlowa, gospodarcza lub zawodowa obejmuje wdrażanie inteligentnych umów w ramach wykonywania umowy.
Przy czym:
„produkt skomunikowany” oznacza rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia i która jest w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu i której podstawową funkcją nie jest przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik;
„usługa powiązana” oznacza usługę cyfrową, w tym oprogramowanie, ale z wyłączeniem usług łączności elektronicznej, która podczas zakupu, najmu, dzierżawy lub leasingu jest skomunikowana z produktem w taki sposób, że jej brak uniemożliwiłby produktowi skomunikowanemu wykonywanie co najmniej jednej z jego funkcji, lub która zostaje skomunikowana z produktem przez producenta lub osobę trzecią później, aby dodać, uaktualnić lub zmodyfikować funkcje produktu skomunikowanego;
Adresaci Data Act w praktyce (są to tylko przykłady, a nie zamknięty katalog):

• Producenci produktów połączonych (skomunikowanych) tzw. internet rzeczy IoT (np. smart home, smatwatche, opaski fitness, samochody podłączone do sieci, inteligentne zamki, maszyny fabryczne monitorujące zużycie energii, linie produkcyjne, czujniki w rolnictwie). Dla odróżnienia przykłady produktów niebędących produktami połączonymi: zwykłe urządzenia elektroniczne bez funkcji komunikacji (np. tradycyjny odkurzacz, pralka bez modułu Wi-Fi), urządzenia, które same nie zbierają danych ani nie mają interfejsu do ich udostępniania (np. zwykły pendrive, prosty kalkulator), komputery ogólnego przeznaczenia (laptopy, PC) – chyba że zawierają moduły specjalnie zbierające dane telemetryczne (wtedy nie komputer jako taki, ale moduł).

• Dostawcy usług powiązanych – czyli w praktyce usług cyfrowych, które są: dostarczane razem z produktem połączonym, albo są konieczne do korzystania z tego produktu, uruchomienia go lub pełnego wykorzystania jego funkcjonalności; a przy tym zbiera, przetwarza lub generuje dane z produktu połączonego. Przykłady usług powiązanych: Aplikacja mobilna do obsługi inteligentnego zamka (otwieranie drzwi smartfonem); Aplikacja do zarządzania samochodem elektrycznym (zdalne uruchamianie, sprawdzanie baterii); Platforma online do monitoringu maszyn przemysłowych; System do obsługi inteligentnego systemu liczników energii (odczyty, raporty, sterowanie); Usługi w chmurze, które analizują dane z urządzeń (np. aplikacja fitness zbierająca dane ze smartwatcha).

• Dostawcy usług przetwarzania danych (np. rozwiązania chmuorwe – takie jak Microsoft 365 czy Dropbox, SaaS, Edge).
Najważniejsze obowiązki na gruncie Data Act:
Obowiązek
Kogo dotyczy
Podstawa prawna (artykuł)
Projektowanie produktów/ usług tak, by umożliwiały łatwy dostęp do danych przez użytkownika
Producenci produktów połączonych, dostawcy usług powiązanych
Art. 3 ust. 1–3
Użytkownik ma prawo dostępu do danych generowanych przez produkt/usługę w czasie rzeczywistym
Użytkownik, producent, dostawca usług powiązanych
Art. 4 ust. 1–3
Użytkownik może żądać przekazania danych podmiotowi trzeciemu
Producent, dostawca usług powiązanych
Art. 5 ust. 1–2
Dane przekazywane podmiotom trzecim muszą być udostępniane w sposób bezpieczny, ciągły i w ustrukturyzowanym formacie
Producent, dostawca usług powiązanych
Art. 6 ust. 1–2
Zakaz stosowania nieuczciwych warunków umownych dotyczących udostępniania danych, szczególnie wobec MŚP
Wszystkie podmioty zawierające umowy o udostępnianie danych
Art. 13–14
Podmioty sektora publicznego mogą żądać danych w sytuacjach wyjątkowych (nagła potrzeba w interesie publicznym)
Organy publiczne, posiadacze danych
Art. 15

Dane udostępniane sektorowi publicznemu muszą być ograniczone do niezbędnego zakresu i chronione (tajemnica handlowa, poufność)
Organy publiczne
Art. 19, 20
Dostawcy usług przetwarzania danych muszą umożliwiać przenoszenie danych i aplikacji do innego dostawcy (portability)
Dostawcy chmury, edge computing, SaaS
Art. 23 ust. 1–3
Zakaz praktyk vendor lock-in – stopniowe znoszenie opłat za zmianę dostawcy (do całkowitego zniesienia po 3 latach)
Dostawcy usług przetwarzania danych
Art. 25 ust. 1–4
Obowiązek zapewnienia interoperacyjności usług przetwarzania danych (API, formaty)
Dostawcy chmury, edge computing
Art. 28 ust. 1–3
Obowiązek ochrony danych osobowych (zgodnie z RODO) i tajemnic handlowych
Wszystkie podmioty
Art. 2 ust. 7 + Art. 19, 29
Obowiązek informacyjny:
Przed zawarciem umowy producent produktu połączonego lub dostawca usługi powiązanej musi poinformować użytkownika o tym:

  • jakie dane będą generowane przez produkt lub usługę,
  • czy i jak użytkownik będzie miał dostęp do tych danych,
  • w jakim formacie i za pośrednictwem jakiego interfejsu dane będą udostępniane,
  • czy dane są niezbędne do funkcjonowania usługi powiązanej,
  • czy i w jaki sposób dane mogą być udostępniane stronom trzecim.
    W przypadku przenoszenia danych (cloud / SaaS) dostawca musi poinformować klienta o:
  • warunkach migracji danych,
  • potencjalnych kosztach i czasie trwania migracji,
  • interoperacyjności z innymi dostawcami.
    Producent produktu połączonego, dostawca usługi powiązanej
    art. 3 ust. 2 i 3; art. 23 ust. 4.

Jeśli analiza, czy jesteście Państwo adresatem obowiązków wynikających z przepisów Data Act (np. jako producent/dostawca), nie została jeszcze dokonana, to należy ją przeprowadzić. Niezbędna jest do tego nie tylko wiedza prawna, ale również i może przede wszystkim, wiedza praktyczna biznesowa, co do tego, czy można dany podmiot uznać za producenta produktów połączonych i/lub dostawcę usług powiązanych. Wymaga to analizy świadczonych usług i produktów znajdujących się w ofercie spółki, ewentualne wskazanie konkretnych obszarów, w których w ocenie spółki istnieje potencjalnie szansa na to, że można mówić o produkcie połączonym (skomunikowanym) lub usłudze powiązanej. W razie stwierdzenia, że podlegacie Państwo pod obowiązki wynikające z przepisów Data Act (np. jako producent/dostawca), trzeba będzie przystąpić do podejmowania czynności mających na celu wypełnienie obowiązków wynikających z Data Act. Jeśli zaś nie jesteście Państwo adresatem tych obowiązków, a jedynie kupującymi/odbiorcami takich produktów i usług, to niniejszą informację i przepisy rozporządzania możecie Państwo potraktować jako wskazówkę, jakie uprawnienia przysługują Państwu od takich producentów/dostawców i czego możecie od nich obecnie wymagać.

W razie potrzeby, służymy pomocą.
Zespół Kancelarii Kulczycki, Puławska s. c.

Previous PostNext Post