Blog

Blog, czyli co ciekawego w prawie

28 sierpnia, 2025

Data Act: Rewolucja w dostępie do danych i obowiązkach przedsiębiorców!

Unia Europejska konsekwentnie rozbudowuje ramy prawne dla rynku cyfrowego. Już 12 września 2025 r. zacznie obowiązywać akt w sprawie danych (Data Act), czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854. Ten akt, jako rozporządzenie unijne, będzie stosowany bezpośrednio we wszystkich państwach członkowskich, bez potrzeby krajowej implementacji. Niemniej, polski ustawodawca już pracuje nad przepisami wprowadzającymi, które […]

Unia Europejska konsekwentnie rozbudowuje ramy prawne dla rynku cyfrowego. Już 12 września 2025 r. zacznie obowiązywać akt w sprawie danych (Data Act), czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854. Ten akt, jako rozporządzenie unijne, będzie stosowany bezpośrednio we wszystkich państwach członkowskich, bez potrzeby krajowej implementacji. Niemniej, polski ustawodawca już pracuje nad przepisami wprowadzającymi, które mają ułatwić stosowanie Data Act w Polsce.

Data Act ma za zadanie uregulować dostęp i wykorzystanie danych w taki sposób, aby zapewnić sprawiedliwy podział korzyści płynących z danych generowanych przez tzw. produkty skomunikowane (np. urządzenia IoT, inteligentne samochody, sprzęty RTV i AGD) oraz usługi powiązane. Nowe przepisy nakładają na firmy szereg obowiązków – od informacyjnych, przez techniczne, aż po organizacyjne.

Aby móc sprostać nowym wymogom, specjaliści ds. zgodności (compliance) oraz inspektorzy ochrony danych (IOD) muszą dogłębnie zrozumieć nowe zasady dostępu do danych. Data Act wprowadza m.in.:

  • obowiązki informacyjne wobec użytkowników przed zawarciem umowy sprzedaży, najmu, dzierżawy lub leasingu produktu skomunikowanego, a także przed świadczeniem usługi powiązanej;
  • prawo użytkownika do dostępu do danych (bezpośredniego lub pośredniego) oraz do ich udostępniania osobom trzecim;
  • obowiązki posiadaczy danych w zakresie przejrzystości, niedyskryminacji i ochrony tajemnic przedsiębiorstwa;
  • zasady ułatwiające migrację między dostawcami usług chmurowych, co ma na celu ograniczenie zjawiska vendor lock-in.

Data Act a RODO: Kwestie danych osobowych

Chociaż Data Act skupia się głównie na danych nieosobowych (tzw. danych przemysłowych), to nie można pominąć jego związku z RODO. Dane osobowe często stanowią część danych przetwarzanych przez produkty i usługi, co oznacza, że w takich przypadkach należy stosować równolegle przepisy obu aktów.

Dla inspektorów ochrony danych oznacza to konieczność ścisłej współpracy z działami prawnymi i technicznymi, aby zapewnić zgodność procesów zarówno z Data Act, jak i z RODO. Należy podkreślić, że Data Act nie tworzy odrębnego systemu ochrony danych osobowych, a stanowi jego uzupełnienie.

Wprowadzenie nowych przepisów wymusi na administratorach danych przegląd procedur i polityk, a także stworzenie nowej dokumentacji, która pozwoli wykazać rozliczalność w przypadku kontroli. Konieczny będzie również audyt rozwiązań technicznych, aby upewnić się, że spełniają one wymagania w zakresie:

  • przejrzystości generowanych danych,
  • możliwości ich pobierania w ustrukturyzowanym formacie,
  • ochrony tajemnic przedsiębiorstwa i danych osobowych,
  • zgodności z zasadą minimalizacji danych.

Kogo obejmie Data Act?

Nowe regulacje dotyczą szerokiego spektrum branż, w tym:

  • motoryzacji (producenci samochodów, firmy leasingowe);
  • elektroniki użytkowej i AGD (producenci smartfonów, smart TV, inteligentnych pralek i lodówek);
  • przemysłu (industrial IoT);
  • energetyki i przedsiębiorstw użyteczności publicznej (dostawcy inteligentnych liczników);
  • sektora zdrowia (producenci urządzeń do zdalnego monitorowania);
  • nowych technologii i usług chmurowych (dostawcy IaaS, PaaS, SaaS);
  • podmiotów handlowych oferujących produkty IoT.

Kary za niedostosowanie się

Konkretne sankcje za naruszenia Data Act zostaną określone w przyszłej ustawie krajowej. Niemniej, w przypadku naruszeń dotyczących danych osobowych, właściwym organem nadzorczym pozostaje polski Urząd Ochrony Danych Osobowych.

Data Act, będący częścią szerszego pakietu regulacji, jest dowodem na to, że Unia Europejska nie tylko nakłada nowe restrykcje, ale przede wszystkim dąży do wspierania innowacji. Jak podkreśla motyw 32 rozporządzenia, jego celem jest:

  • sprzyjanie opracowywaniu nowych, innowacyjnych produktów i usług;
  • pobudzanie innowacji na rynkach posprzedażowych;
  • pobudzanie opracowywania zupełnie nowych usług opartych na danych.

Zrozumienie wymagań Data Act bez znajomości przepisów RODO jest praktycznie niemożliwe. Dlatego tak ważne jest, aby firmy już dziś rozpoczęły przygotowania do nowych regulacji, analizując swoje procesy i techniczne rozwiązania w kontekście obu aktów.

Data Act: Kluczowe obowiązki informacyjne dla przedsiębiorców

Nowe unijne Rozporządzenie w sprawie danych (Data Act) wprowadza istotne zmiany w sposobie, w jaki przedsiębiorcy muszą zarządzać danymi i udostępniać je użytkownikom. Data Act, oficjalnie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854, wchodzi w życie, aby uregulować dostęp do danych generowanych przez urządzenia i usługi cyfrowe. Dwa kluczowe obowiązki informacyjne, które powinny znaleźć się na liście priorytetów każdego przedsiębiorcy, dotyczą produktów skomunikowanych oraz usług powiązanych. Poniżej szczegółowo omawiamy te kwestie.

1. Produkty skomunikowane: co musisz wiedzieć?

Produkty skomunikowane to szeroka kategoria urządzeń, od inteligentnych zegarków po samochody, które zbierają i przesyłają dane. Zgodnie z art. 3 ust. 2 Data Act, każdy sprzedawca, wynajmujący lub leasingodawca takiego produktu ma obowiązek dostarczyć użytkownikowi jasne i zrozumiałe informacje jeszcze przed zawarciem umowy.

Czym są dane z produktu? Są to dane wygenerowane w wyniku korzystania z urządzenia, które mogą być pobierane zdalnie lub lokalnie. To nie tylko dane celowo utrwalane przez użytkownika, ale także te generowane automatycznie, na przykład przez czujniki. Może to być temperatura, ciśnienie czy prędkość. Chodzi o dane surowe lub wstępnie przetworzone, włączając w to metadane, które czynią je użytecznymi.

Jakie informacje musisz podać? Data Act precyzuje, że musisz poinformować użytkownika o:

  • rodzaju, formacie i szacunkowej ilości danych, które urządzenie może wygenerować,
  • czy dane są generowane w sposób ciągły i w czasie rzeczywistym,
  • gdzie dane są przechowywane (na urządzeniu czy zdalnie) i jak długo,
  • w jaki sposób użytkownik może uzyskać dostęp do tych danych, pobrać je lub usunąć.

Kto ma obowiązek informacyjny? Obowiązek spoczywa na podmiotach będących stroną umowy sprzedaży, najmu, dzierżawy lub leasingu. Oznacza to, że każdy podmiot w łańcuchu dostaw, który zawiera taką umowę z użytkownikiem, musi spełnić ten wymóg. Co ważne, brak informacji od producenta nie zwalnia sprzedawcy z odpowiedzialności.

Kiedy i jak spełnić obowiązek? Informacje muszą być przekazane przed zawarciem umowy. Najlepszym sposobem jest udostępnienie ich w łatwo dostępnej formie, na przykład poprzez stabilny link (URL) lub kod QR, które użytkownik może zapisać.

2. Usługi powiązane: co musisz wiedzieć?

Data Act wprowadza także obowiązki informacyjne dla dostawców usług powiązanych. Jest to oprogramowanie lub usługa cyfrowa, której brak uniemożliwiłby działanie produktu skomunikowanego lub która dodaje, uaktualnia lub modyfikuje jego funkcje.

Zgodnie z art. 3 ust. 3 Data Act, dostawca usługi powiązanej musi przekazać użytkownikowi szereg informacji przed zawarciem umowy.

Jakie dane są objęte obowiązkiem? Obowiązek dotyczy zarówno danych z produktu, które przyszły posiadacz danych ma zamiar pozyskiwać, jak i danych generowanych bezpośrednio przez samą usługę powiązaną.

Jakie informacje musisz podać? Dostawcy usług powiązanych muszą poinformować o:

  • rodzaju, ilości i częstotliwości zbierania danych z produktu,
  • rodzaju i ilości danych generowanych przez samą usługę powiązaną,
  • czy dane będą wykorzystywane przez dostawcę lub udostępniane osobom trzecim,
  • tożsamości przyszłego posiadacza danych,
  • sposobie, w jaki użytkownik może zażądać udostępniania danych osobom trzecim,
  • prawie użytkownika do złożenia skargi,
  • ewentualnej obecności tajemnic przedsiębiorstwa w danych,
  • okresie obowiązywania umowy i warunkach jej rozwiązania.

Kiedy i jak spełnić obowiązek? Podobnie jak w przypadku produktów skomunikowanych, informacje muszą być przekazane przed zawarciem umowy. Forma przekazu może być elastyczna (np. link, kod QR), ale musi zapewniać użytkownikowi możliwość łatwego przechowywania i odtwarzania informacji.

Wnioski dla przedsiębiorców

Data Act to ważny krok w kierunku większej przejrzystości i kontroli nad danymi. Brak spełnienia tych obowiązków może wiązać się z poważnymi konsekwencjami prawnymi. Niezależnie od Twojej roli w łańcuchu dostaw — czy jesteś producentem, sprzedawcą, czy dostawcą usług — upewnij się, że Twoje procedury są zgodne z nowymi przepisami. Weryfikacja dostarczanych informacji i ich proaktywne przekazywanie użytkownikom to klucz do uniknięcia problemów w przyszłości.

1. Produkty skomunikowane: co musisz wiedzieć?

Produkty skomunikowane to szeroka kategoria urządzeń, od inteligentnych zegarków po samochody, które zbierają i przesyłają dane. Zgodnie z art. 3 ust. 2 Data Act, każdy sprzedawca, wynajmujący lub leasingodawca takiego produktu ma obowiązek dostarczyć użytkownikowi jasne i zrozumiałe informacje jeszcze przed zawarciem umowy.

Czym są dane z produktu? Są to dane wygenerowane w wyniku korzystania z urządzenia, które mogą być pobierane zdalnie lub lokalnie. To nie tylko dane celowo utrwalane przez użytkownika, ale także te generowane automatycznie, na przykład przez czujniki. Może to być temperatura, ciśnienie czy prędkość. Chodzi o dane surowe lub wstępnie przetworzone, włączając w to metadane, które czynią je użytecznymi.

Jakie informacje musisz podać? Data Act precyzuje, że musisz poinformować użytkownika o:

  • rodzaju, formacie i szacunkowej ilości danych, które urządzenie może wygenerować,
  • czy dane są generowane w sposób ciągły i w czasie rzeczywistym,
  • gdzie dane są przechowywane (na urządzeniu czy zdalnie) i jak długo,
  • w jaki sposób użytkownik może uzyskać dostęp do tych danych, pobrać je lub usunąć.

Kto ma obowiązek informacyjny? Obowiązek spoczywa na podmiotach będących stroną umowy sprzedaży, najmu, dzierżawy lub leasingu. Oznacza to, że każdy podmiot w łańcuchu dostaw, który zawiera taką umowę z użytkownikiem, musi spełnić ten wymóg. Co ważne, brak informacji od producenta nie zwalnia sprzedawcy z odpowiedzialności.

Kiedy i jak spełnić obowiązek? Informacje muszą być przekazane przed zawarciem umowy. Najlepszym sposobem jest udostępnienie ich w łatwo dostępnej formie, na przykład poprzez stabilny link (URL) lub kod QR, które użytkownik może zapisać.

2. Usługi powiązane i dane łatwo dostępne

Data Act wprowadza także obowiązki informacyjne dla dostawców usług powiązanych. Jest to oprogramowanie lub usługa cyfrowa, której brak uniemożliwiłby działanie produktu skomunikowanego lub która dodaje, uaktualnia lub modyfikuje jego funkcje.

Zgodnie z art. 3 ust. 3 Data Act, dostawca usługi powiązanej musi przekazać użytkownikowi szereg informacji przed zawarciem umowy.

Kryteria usługi powiązanej Komisja Europejska wskazuje, że aby usługa cyfrowa mogła być uznana za usługę powiązaną, muszą być spełnione dwa warunki:

  • musi istnieć dwustronna wymiana danych między produktem a dostawcą usługi,
  • usługa musi wpływać na funkcje, zachowanie lub działanie produktu skomunikowanego.

Interpretacja pojęcia „funkcji” jest ewoluująca i będzie zależeć od oczekiwań użytkowników, marketingu, negocjacji umownych oraz możliwości zastępowania i preinstalacji usługi.

Jakie informacje musisz podać? Dostawcy usług powiązanych muszą poinformować o:

  • rodzaju, ilości i częstotliwości zbierania danych z produktu,
  • rodzaju i ilości danych generowanych przez samą usługę powiązaną,
  • czy dane będą wykorzystywane przez dostawcę lub udostępniane osobom trzecim,
  • tożsamości przyszłego posiadacza danych,
  • sposobie, w jaki użytkownik może zażądać udostępniania danych osobom trzecim,
  • prawie użytkownika do złożenia skargi,
  • ewentualnej obecności tajemnic przedsiębiorstwa w danych,
  • okresie obowiązywania umowy i warunkach jej rozwiązania.

Dane łatwo dostępne Kluczowym pojęciem w Data Act są dane łatwo dostępne. Oznaczają one dane z produktu i usługi powiązanej, które posiadacz danych może legalnie pozyskać bez nadmiernego wysiłku. Przykłady obejmują surowy strumień audio-wideo, historię zdarzeń z czujników czy kody błędów.

Jeśli użytkownik nie ma bezpośredniego dostępu do danych, posiadacz danych musi mu je udostępnić na wniosek. Dane te muszą być przekazane:

  • w takiej samej jakości, jaką dysponuje posiadacz danych,
  • w formacie ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego,
  • w sposób łatwy, bezpieczny i bezpłatny.

Prawo do dzielenia się danymi Art. 5 Data Act daje użytkownikowi prawo do zlecenia udostępnienia jego danych osobom trzecim. Na wniosek użytkownika, posiadacz danych musi bez zbędnej zwłoki udostępnić dane łatwo dostępne osobie trzeciej, spełniając powyższe wymogi dotyczące jakości i formatu.

3. Obowiązki dostawców usług chmurowych

Data Act wprowadza także szczegółowe wymagania dla dostawców usług przetwarzania danych, w tym chmurowych (IaaS, PaaS, SaaS). Głównym celem jest ułatwienie klientom migracji danych i usług między różnymi dostawcami. Przepisy te zaczną obowiązywać od 12 września 2025 r.

Kluczowe definicje:

  • Usługa przetwarzania danych: Usługa cyfrowa umożliwiająca dostęp do skalowalnych i elastycznych zasobów obliczeniowych (np. chmura).
  • Dane eksportowalne: Dane wejściowe i wyjściowe, w tym metadane, generowane w wyniku korzystania z usługi, z wyłączeniem danych objętych prawami własności intelektualnej lub stanowiących tajemnicę przedsiębiorstwa dostawcy.
  • Aktywa cyfrowe: Elementy w formacie cyfrowym, w tym aplikacje, z których klient ma prawo korzystać.

Wymagania dla dostawców chmurowych: | Wymaganie | Podstawa prawna | Typ usługi chmurowej | Kogo obejmuje? | | :— | :— | :— | :— | | Usunięcie barier migracji | art. 23 | SaaS / PaaS / IaaS | Wyjściowy dostawca | | Postanowienia umowne | art. 25 | Wszystkie | Wyjściowy | | Obowiązki informacyjne | art. 26 | Wszystkie | Obaj (brak ograniczeń) | | Współpraca w dobrej wierze podczas zmiany dostawcy | art. 27 | Wszystkie | Obaj | | Opłaty za zmianę dostawcy – stopniowe wycofywanie się | art. 29 | Wszystkie | Wyjściowy | | Techniczne aspekty zmiany dostawcy | art. 30 | IaaS, PaaS, SaaS | Wyjściowy | | Środki chroniące dane nieosobowe | art. 32 | Wszystkie | Obaj |

W LEX Ochrona Danych Osobowych znajdziesz dalszą część komentarza, w której omówiono takie zagadnienia, jak m.in.:

  • migracja usług i danych (ogólne wymagania);
  • klauzule umowne;
  • obowiązki informacyjne;
  • opłaty dotyczące migracji usług;
  • kwestie techniczne;
  • transfer danych.

Wnioski dla przedsiębiorców

Data Act to ważny krok w kierunku większej przejrzystości i kontroli nad danymi. Brak spełnienia tych obowiązków może wiązać się z poważnymi konsekwencjami prawnymi. Niezależnie od Twojej roli w łańcuchu dostaw — czy jesteś producentem, sprzedawcą, dostawcą usług cyfrowych czy usług chmurowych — upewnij się, że Twoje procedury są zgodne z nowymi przepisami. Weryfikacja dostarczanych informacji i ich proaktywne przekazywanie użytkownikom to klucz do uniknięcia problemów w przyszłości.

Czy Twoja firma jest już gotowa na nowe wyzwania związane z Data Act?

Kamil Boruta – radca prawny, Aleksandra Smok

Więcej ciekawych wpisów

Najnowsze na blogu

Zainteresował Cię ten artykuł? Przeczytaj inne które ostatnio dodaliśmy!

14 stycznia, 2026

Cyfrowa ofensywa legislacyjna: KSC, podatek dla Big Tech i AI. Plany Ministerstwa Cyfryzacji na lata 2026-2027

Ostatnie dwa lata przyniosły skokowy rozwój e-usług publicznych, ale druga połowa kadencji obecnego rządu zapowiada się jako czas „twardych” regulacji i wzmacniania cyfrowej suwerenności państwa. Wicepremier i Minister Cyfryzacji Krzysztof Gawkowski w najnowszym wywiadzie odkrywa karty: czeka nas finalizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC), wprowadzenie podatku cyfrowego oraz intensywne inwestycje w sztuczną inteligencję. Co […]

Czytaj więcej
7 stycznia, 2026

Niewidzialny wróg na nartach: odpowiedzialność absolutna, błąd producenta i granice ryzyka prawnego w sporcie

Gdy technologia wyprzedza sprawiedliwość Styczniowe kwalifikacje w Innsbrucku podczas Turnieju Czterech Skoczni w 2026 roku zapisały się w historii polskich skoków nie odległościami, lecz wskazaniami aparatury pomiarowej. Dyskwalifikacja Pawła Wąska za obecność niedozwolonych związków fluoru na ślizgach nart wywołała burzę medialną i falę spekulacji. Jednak po opadnięciu emocji sportowych, na stole pozostaje fascynujący i brutalny […]

Czytaj więcej