Andersen Global

Blog

Jakie obowiązki nakłada Data Act?

2025 / 07 / 14

Od września 2025 roku firmy działające w sektorze technologicznym oraz ich klienci będą musieli dostosować się do nowych przepisów europejskich. Rozporządzenie (UE) 2023/2854 w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania, potocznie nazywane Data Act, wprowadza rewolucyjne zmiany w sposobie zarządzania danymi generowanymi przez urządzenia połączone z internetem.

To drugi artykuł z naszej serii, w której szczegółowo omawiamy najważniejsze aspekty regulacji Data Act. W niniejszym wpisie przybliżamy kluczowe obowiązki, jakie rozporządzenie to nakłada na producentów produktów skomunikowanych, jak i na dostawców usług powiązanych, a także na innych ewentualnych posiadaczy danych.

Poprzedni wpis, w którym omówiliśmy cel i znaczenie Data Act, czym są produkty skomunikowane i usługi powiązane, a także jakie dokładnie podmioty zostaną objęte niniejszymi regulacjami znajdziesz tutaj à Czym jest Data Act i kogo dotyczy? – Andersen

Dla kogo obowiązki z Data Act?

Obowiązki wynikające z Data Act adresowane są przede wszystkim do posiadaczy danych – czyli podmiotów, które gromadzą, przechowują i przetwarzają dane generowane przez urządzenia IoT oraz usługi powiązane. W praktyce oznacza to głównie producentów produktów skomunikowanych (takich jak inteligentne urządzenia domowe, samochody połączone z internetem czy przemysłowe sensory), dostawców usług powiązanych z tymi produktami oraz dostawców usług przetwarzania danych, w tym operatorów chmur obliczeniowych.

Regulacja obejmuje również podmioty trzecie, które otrzymują dane na żądanie użytkowników, nakładając na nie szereg ograniczeń i obowiązków w zakresie odpowiedzialnego przetwarzania otrzymanych informacji. Data Act wprowadza przy tym istotne rozróżnienia i ułatwienia dla mikro, małych i średnich przedsiębiorstw, uznając ich szczególną rolę w europejskiej gospodarce cyfrowej.

Zabezpieczenie danych

Przede wszystkim, zgodnie z Data Act, posiadacze danych są zobowiązani do wdrożenia kompleksowych środków technicznych, organizacyjnych i prawnych w celu zabezpieczenia procesów przechowywania oraz przetwarzania danych. To nie tylko kwestia zgodności, ale i strategiczny filar budowania zaufania klientów i partnerów biznesowych.

Co więcej, przepisy Data Act rozszerzają niniejszy obowiązek poprzez wyraźne wskazanie na konieczność przeciwdziałania nieuprawnionemu dostępowi do danych nieosobowych ze strony organów państw trzecich m.in. dzięki stosowaniu odpowiednich klauzul umownych, zabezpieczeń kontraktowych czy lokalizacji danych w UE.

Dostęp do danych

Jedną z najbardziej rewolucyjnych zasad Data Act jest koncepcja „access by design”, która fundamentalnie zmienia podejście do projektowania urządzeń IoT. Dostęp do danych przestaje być przywilejem wielkich korporacji, a staje się standardowym prawem każdego użytkownika.

Producenci produktów skomunikowanych oraz dostawcy usług powiązanych muszą zapewnić, aby dane generowane przez urządzenia IoT wraz z metadanymi – takimi jak znaczniki czasu czy kontekst – były domyślnie dostępne dla użytkowników. Dane te mają być udostępniane w sposób bezpieczny, bezpłatny oraz, o ile to technicznie możliwe, w czasie rzeczywistym w powszechnie używanym i maszynowo czytelnym formacie.

Ponadto, posiadacz danych nie może ograniczać autonomii użytkownika w zakresie podejmowania decyzji o dzieleniu się danymi poprzez nieuczciwe projektowanie funkcji interfejsu produktów lub usług IoT. Oznacza to, że interfejs użytkownika nie może:

  • nienaturalnie prezentować opcje wyboru,
  • wprowadzać użytkownika w błąd,
  • zniechęcać, utrudniać lub wpływać na decyzje użytkownika w sposób nieuzasadniony,
  • stosować tzw. ciemnych wzorców (dark patterns) ,
  • faworyzować nielogicznego wyboru.

Ograniczenie wykorzystywania danych nieosobowych

Wszystkie nieosobowe dane użytkownika zbierane w związku z korzystaniem przez niego z urządzenia IoT, mogą być wykorzystywane przez posiadaczy danych jedynie w zakresie i w ramach realizacji umowy z takim użytkownikiem. Zabronione jest wykorzystywanie takich danych do budowania przewagi konkurencyjnej w sposób nieuprawniony m.in. poprzez:

  • udostępnianie danych nieosobowych z produktu osobom trzecim w celach handlowych lub niehandlowych innych niż realizacja umowy z użytkownikiem,
  • wykorzystywanie danych do profilowania dotyczącego sytuacji ekonomicznej lub metod produkcji użytkownika lub innych informacji, które mogłyby w inny sposób osłabić pozycję handlową użytkownika na rynkach jego działalności.

Obowiązek przekazywania danych podmiotom trzecim

Jednym z kluczowych elementów Data Act jest wprowadzenie mechanizmu kontrolowanego udostępniania danych podmiotom trzecim na żądanie użytkownika. Ta regulacja ma na celu uwolnienie potencjału danych przemysłowych oraz zwiększenie ich dostępności w sposób sprawiedliwy i przejrzysty, jednocześnie stawiając konsumenta w uprzywilejowanej pozycji decyzyjnej.

Na żądanie użytkownika posiadacz danych jest zobowiązany do przekazania wszystkich danych zebranych lub wygenerowanych w ramach urządzeń IoT wskazanemu przez użytkownika podmiotowi trzeciemu. Dane te muszą być udostępnione w takim samym zakresie, formacie i jakości, do jakich sam posiadacz danych posiada dostęp. Warunkiem realizacji tego obowiązku jest zastosowanie przez podmiot trzeci odpowiednich środków niezbędnych do ochrony poufności tajemnic przedsiębiorstwa.

Data Act przewiduje również wyjątkowe sytuacje, w których obowiązek udostępnienia danych rozciąga się na organy sektora publicznego. Dotyczy to sytuacji ściśle wyjątkowych, kiedy zachodzi konieczność łagodzenia przez organ niebezpieczeństwa publicznego lub przywracania stanu wyjściowego po jego wystąpieniu. Przykładami takich sytuacji są kryzysy zdrowotne, klęski żywiołowe, zagrożenia dla bezpieczeństwa publicznego lub inne pilne potrzeby leżące w interesie ogólnym.

Data Act ustanawia precyzyjne ramy dla systemu opłat za udostępnianie danych, mając na celu zabezpieczenie interesów zarówno posiadaczy danych, jak i podmiotów je otrzymujących. W związku z udostępnieniem danych innym firmom na wniosek użytkownika, posiadacz danych może żądać opłaty, która musi być uzasadniona i niedyskryminująca.

Wysokość rekompensaty powinna odzwierciedlać rzeczywiste koszty związane z udostępnieniem danych, takie jak formatowanie, przesyłanie czy przechowywanie danych, oraz uwzględniać poniesione inwestycje technologiczne. Opłata może także zawierać uzasadnioną marżę, przy czym jej wysokość powinna być proporcjonalna do charakteru, ilości i formatu udostępnianych danych.

Rozporządzenie wprowadza szczególne preferencje dla mikro, małych i średnich przedsiębiorstw oraz organizacji badawczych, które są zobowiązane do pokrycia jedynie wygenerowanych kosztów technicznych, bez dodatkowej marży. To rozwiązanie ma wspierać innowacyjność i konkurencyjność mniejszych podmiotów na rynku cyfrowym.

Ułatwienia dla małych i średnich przedsiębiorstw

Uznając szczególną rolę mikro, małych i średnich przedsiębiorstw w europejskiej gospodarce, Data Act przewiduje znaczące ułatwienia mające na celu wzmocnienie ich pozycji konkurencyjnej. Rozporządzenie wprowadza kompleksowy system zwolnień i uproszczeń, który ma zapobiec nadmiernemu obciążeniu regulacyjnemu mniejszych podmiotów.

Mikro, małe i średnie przedsiębiorstwa są całkowicie wyłączone z wypełniania obowiązków w zakresie dzielenia się danymi wygenerowanymi przez ich produkty lub usługi z konsumentami i innymi przedsiębiorcami. To zwolnienie ma zastosowanie pod warunkiem, że przedsiębiorstwa te działają samodzielnie i nie stanowią części większej grupy kapitałowej, oraz nie są jedynie wykonawcami produktu lub usługi zaprojektowanej przez inny podmiot.

Podobne, choć czasowo ograniczone zwolnienie dotyczy średnich firm, które mogą korzystać z ułatwień przez pierwszy rok od momentu, gdy osiągnęły status średniego przedsiębiorstwa, lub od daty wprowadzenia nowego produktu na rynek. To rozwiązanie ma umożliwić płynne przejście i adaptację do nowych wymogów regulacyjnych bez nadmiernego obciążenia operacyjnego.

Potrzebujesz wsparcia?

Przygotowanie do wejścia w życie Data Act wymaga przemyślanej strategii i dostosowania wewnętrznych procesów. Nasza kancelaria oferuje kompleksowe wsparcie we wdrażaniu obowiązków wynikających z nowych przepisów, w tym przygotowanie stosownej dokumentacji, klauzul umownych, rozwiązań organizacyjnych dostosowanych do specyfiki Państwa działalności, a także wypełniania obowiązków informacyjnych. Zapraszamy do kontaktu!Autorzy:

Kamil Kozioł, Senior Manager w Andersen w Polsce

Weronika Głodek, Stażystka w Andersen w Polsce

AUTOR WPISU

Kamil Kozioł Senior Manager, Katowice

E: kamil.koziol@pl.Andersen.com
T: +48 668 690 891

ZOSTAW SWÓJ KOMENTARZ

Your email address will not be published. Required fields are marked *

Przeczytałam/przeczytałem i akceptuję Politykę Prywatności i Informacja o danych osobowych.*

NAJNOWSZE BLOGI

Aktualności

Publikacje

2025 / 06 / 27
Tomasz Srokosz Klaudia Raczek - Słomka

Certyfikacja wykonawców zamówień publicznych coraz bliżej

Rzeczpospolita
2025 / 06 / 27
Dawid Mielcarski Kinga Kamionka

Nieruchomości niezamieszkałe i selektywne zbieranie odpadów

Rzeczpospolita
2025 / 05 / 26
Tomasz Srokosz Dominik Gutowski

Zmowa przetargowa w zamówieniach publicznych

Rzeczpospolita

Newslettery

2025 / 07 / 08

Ryzyko paraliżu rynku gospodarki odpadami zażegnane? Jest propozycja zmian – decyzje na gospodarowanie odpadami zostaną przedłużone do 31 grudnia 2027 r.

więcej
2025 / 06 / 23

European Employment Insights: Czerwiec 2025

więcej
2025 / 06 / 23

Magazynowanie odpadów wytworzonych w instalacji nie wymaga ustanowienia zabezpieczenia roszczeń – MKiŚ rozstrzyga wątpliwości

więcej

Wydarzenia

2025 / 07 / 14

WEBINARIUM | 17 lipca 2025 r. | 10:00 – Objaśnienia podatkowe dot. podatku u źródła – wnioski oraz wpływ na płatników i podatników

więcej
2025 / 07 / 11

WEBINARIUM | 24 lipca 2025 r. | 11.00 – System kaucyjny – obowiązki przedsiębiorców w świetle nowych regulacji

więcej
2025 / 07 / 10

WEBINARIUM | 24 lipca 2025 r. | 10:00 – Zatrudnienie i pobyt cudzoziemców z perspektywy Pracodawcy w świetle najnowszych zmian – aspekty praktyczne

więcej

Blogi

2025 / 07 / 14
Kamil Kozioł

Jakie obowiązki nakłada Data Act?

więcej
2025 / 07 / 10
Paweł Grzembka

Wczasy pod gruszą – czym są, kto może skorzystać i czy pracodawca musi je wypłacać?

więcej
2025 / 07 / 10
Szymon Chyra Zofia Muszala

Globalny podatek minimalny – przygotowanie do nadchodzących obowiązków (część III)

więcej