+48 692 004 515

  kancelaria@maniszewska.pl

Menu
data act a rodo

Data Act a RODO — nowe zasady udostępniania danych

Od 12 września 2025 r. w całej Unii Europejskiej obowiązują nowe zasady dostępu do danych i ich udostępniania, wynikające z Data Act (aktu w sprawie danych). To jedna z najważniejszych regulacji unijnej strategii danych — i jednocześnie obszar, który wiele firm wciąż traktuje po macoszemu. Data Act daje użytkownikom urządzeń podłączonych do internetu szerokie prawo do danych, które generują, i nakłada na producentów oraz dostawców usług obowiązek ich udostępniania.

Co istotne z perspektywy ochrony danych: Data Act obejmuje zarówno dane nieosobowe, jak i dane osobowe. Tam, gdzie w grę wchodzą dane osobowe, nowy akt styka się z RODO — i tu pojawia się kluczowe pytanie: czy Data Act zmienia zasady przetwarzania danych osobowych? Odpowiedź brzmi: nie. RODO pozostaje nadrzędne, a Data Act nie tworzy żadnej nowej podstawy prawnej przetwarzania.

W tym artykule wyjaśniam, czym jest Data Act, co zmienia w praktyce, jak układa się jego relacja z RODO oraz jakie kroki powinny podjąć firmy przetwarzające dane z urządzeń i usług IoT.

Czym jest Data Act (akt w sprawie danych)

Data Act to rozporządzenie (UE) 2023/2854 w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania. Weszło w życie 11 stycznia 2024 r., a jest stosowane od 12 września 2025 r. Razem z aktem w sprawie zarządzania danymi (Data Governance Act) tworzy fundament jednolitego rynku danych w UE.

Celem regulacji jest uwolnienie wartości danych generowanych przez urządzenia podłączone do internetu (IoT), zwiększenie konkurencji i przeciwdziałanie „zamykaniu” użytkowników u jednego dostawcy. Data Act stosuje się fazowo:

  • 12 września 2025 r. — większość przepisów (prawa dostępu użytkowników, zasady udostępniania, uczciwe warunki umowne, dostęp podmiotów publicznych).
  • 12 września 2026 r. — wymóg projektowania produktów tak, by dane były dostępne „z założenia” (dla produktów wprowadzanych na rynek po tej dacie).
  • 12 września 2027 r. — przepisy o nieuczciwych klauzulach obejmą także wcześniejsze, długoterminowe umowy B2B, a opłaty za zmianę dostawcy usług chmurowych zostaną całkowicie zniesione.

Zakres regulacji — kogo dotyczy

Data Act posługuje się szerokimi definicjami. Najważniejsze pojęcia to:

Produkt podłączony (connected product) — każdy fizyczny produkt, który zbiera lub przekazuje dane o swoim użytkowaniu, działaniu lub otoczeniu: pojazdy, sprzęt AGD, urządzenia przemysłowe, urządzenia medyczne, wearables, smartfony.

Usługa powiązana (related service) — usługa cyfrowa wpływająca na funkcje produktu i wymieniająca z nim dane.

Posiadacz danych (data holder) — podmiot uprawniony lub zobowiązany do udostępniania danych (zwykle producent lub dostawca usługi).

Użytkownik (user) — osoba lub firma, która posiada produkt lub korzysta z usługi i generuje dane.

Odbiorca danych (data recipient) — osoba trzecia, której użytkownik żąda udostępnienia danych.

Regulacja ma też zasięg eksterytorialny — może obejmować podmioty spoza UE oferujące produkty lub usługi na rynku unijnym. Dane są zdefiniowane bardzo szeroko i obejmują zarówno dane osobowe, jak i nieosobowe.

Co Data Act zmienia w praktyce

Regulacja porządkuje sześć głównych obszarów:

Udostępnianie danych z IoT (B2C i B2B). Użytkownik produktu podłączonego ma prawo dostępu do generowanych przez siebie danych oraz prawo zażądania ich udostępnienia wybranej osobie trzeciej. Posiadacz danych musi udostępnić je w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, a gdy to technicznie możliwe — w sposób ciągły i w czasie rzeczywistym.

Udostępnianie B2B. Gdy przepisy nakładają obowiązek udostępniania danych innej firmie, warunki muszą być uczciwe, rozsądne i niedyskryminacyjne (FRAND), z rozsądną rekompensatą.

Nieuczciwe klauzule umowne. Przepisy chronią firmy, w szczególności MŚP, przed jednostronnie narzuconymi, nieuczciwymi warunkami dotyczącymi udostępniania danych.

Udostępnianie B2G. W sytuacjach wyjątkowej potrzeby (np. stan nadzwyczajny, klęska żywiołowa) podmioty publiczne mogą żądać dostępu do określonych danych sektora prywatnego — proporcjonalnie i tylko w niezbędnym zakresie.

Zmiana dostawcy usług przetwarzania danych. Dostawcy chmury muszą umożliwić sprawne przenoszenie danych i przełączanie się między usługami, znosząc bariery techniczne i opłaty (te ostatnie docelowo do 2027 r.).

Ochrona przed dostępem państw trzecich. Dane nieosobowe przechowywane w UE są chronione przed bezprawnymi żądaniami dostępu ze strony władz spoza UE.

Data Act a RODO — kto ma pierwszeństwo

To najważniejsza część układanki. Data Act wprost stanowi, że pozostaje bez uszczerbku dla RODO, a w razie kolizji z unijnym prawem ochrony danych osobowych — pierwszeństwo ma RODO. Z tego wynika kilka praktycznych zasad.

Data Act nie tworzy nowej podstawy prawnej. Sam fakt, że użytkownik ma prawo do udostępnienia danych, nie zwalnia z obowiązku posiadania podstawy z art. 6 RODO, gdy dane są danymi osobowymi. Udostępnienie danych osobowych osobie trzeciej nadal wymaga ważnej podstawy prawnej.

Żądanie użytkownika to nie automatycznie zgoda RODO. Żądanie udostępnienia danych w trybie Data Act nie jest tożsame ze zgodą w rozumieniu RODO. Jeśli podstawą ma być zgoda, musi ona spełniać wszystkie wymogi RODO (dobrowolna, konkretna, świadoma, jednoznaczna).

Dane mieszane. Dane z urządzeń IoT często łączą w sobie dane osobowe i nieosobowe w sposób nierozłączny. Gdy elementów tych nie da się rozdzielić, do całego zbioru stosuje się RODO.

Użytkownik nie zawsze jest osobą, której dane dotyczą. Gdy użytkownik (np. firma leasingująca pojazd) żąda danych zawierających dane innych osób (kierowców, pasażerów), pojawia się dodatkowa złożoność — potrzebna jest podstawa prawna i ostrożność, by nie naruszyć praw osób trzecich.

Odbiorca danych staje się administratorem. Osoba trzecia, która otrzymuje dane osobowe, musi przetwarzać je zgodnie z RODO — tylko w uzgodnionym celu, z poszanowaniem zasad i z obowiązkiem usunięcia danych, gdy nie są już potrzebne. Data Act powiela tu wprost część obowiązków znanych z RODO.

Warto dodać, że już na etapie prac legislacyjnych Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych zwracali uwagę na ryzyka styku Data Act z RODO, apelując o jasne pierwszeństwo zasad ochrony danych. Przy każdym nowym przepływie danych obowiązują więc nadal podstawowe zasady RODO: minimalizacja, ograniczenie celu, przejrzystość i bezpieczeństwo.

Data Act a prawo do przenoszenia danych (art. 20 RODO)

Prawo dostępu z Data Act bywa mylone z prawem do przenoszenia danych z art. 20 RODO. To dwa różne, choć uzupełniające się mechanizmy. Prawo z art. 20 RODO dotyczy danych osobowych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany. Prawo z Data Act jest szersze: obejmuje także dane nieosobowe, dotyczy konkretnie danych z produktów IoT i usług powiązanych oraz — gdy to możliwe — udostępniania w czasie rzeczywistym. W praktyce firma może być adresatem obu żądań jednocześnie.

Udostępnianie danych podmiotom publicznym (B2G) a dane osobowe

Rozdział o udostępnianiu danych podmiotom publicznym pozwala administracji żądać danych sektora prywatnego w sytuacjach wyjątkowej potrzeby. Jeśli żądanie obejmuje dane osobowe, w pełni stosują się zabezpieczenia RODO — przetwarzanie musi mieć podstawę, być proporcjonalne i ograniczone do niezbędnego zakresu, a tam, gdzie to wystarczające, preferowane jest udostępnianie danych zanonimizowanych.

Co zrobić — praktyczne kroki dla firm

Przygotowanie do Data Act i pogodzenie go z RODO wymaga uporządkowanych działań:

  1. Zinwentaryzuj dane generowane przez produkty i usługi IoT — rozdziel dane osobowe od nieosobowych i zidentyfikuj dane mieszane.
  2. Ustal swoją rolę — czy jesteś posiadaczem danych, użytkownikiem, odbiorcą; administratorem czy podmiotem przetwarzającym.
  3. Przejrzyj umowy — warunki udostępniania (FRAND), klauzule dotyczące zmiany dostawcy chmury, postanowienia z odbiorcami danych.
  4. Ustal podstawy prawne udostępniania danych osobowych — nie zakładaj, że Data Act je zastępuje.
  5. Zaktualizuj klauzule informacyjne — poinformuj użytkowników o danych, ich udostępnianiu i przysługujących prawach.
  6. Wdróż procedurę obsługi żądań dostępu i udostępniania danych (osobno od żądań z RODO lub łącznie).
  7. Oceń potrzebę DPIA dla nowych, ryzykownych przepływów danych. Jak przeprowadzić DPIA opisujemy krok po kroku w artykule.
  8. Zabezpiecz tajemnice przedsiębiorstwa — Data Act przewiduje wyjątki chroniące tajemnice handlowe i bezpieczeństwo.

Komisja Europejska opublikowała materiały pomocnicze — m.in. odpowiedzi na najczęstsze pytania (FAQ) oraz wzorcowe klauzule umowne (MCT) i standardowe klauzule dla umów chmurowych. Na poziomie krajowym wyznaczane są organy właściwe i zasady egzekwowania — to obszar, który warto śledzić.

Najczęstsze błędy i pułapki

Założenie, że Data Act zastępuje RODO — to dwa równoległe reżimy; dla danych osobowych RODO ma pierwszeństwo.

Traktowanie żądania użytkownika jak zgody RODO bez weryfikacji podstawy prawnej.

Pominięcie danych mieszanych i błędne uznanie całego zbioru za „nieosobowy”.

Brak podstawy dla udostępnienia danych osobie trzeciej na żądanie użytkownika.

Nieuwzględnienie praw osób trzecich, których dane znajdują się w danych z urządzenia.

Zignorowanie obowiązków odbiorcy danych — cel, minimalizacja, usunięcie.

Checklist — Data Act i RODO

  1. Zinwentaryzuj dane z produktów i usług IoT (osobowe / nieosobowe / mieszane).
  2. Ustal swoją rolę i status w łańcuchu danych.
  3. Zidentyfikuj podstawy prawne RODO dla każdego udostępnienia danych osobowych.
  4. Przejrzyj i dostosuj umowy (FRAND, chmura, odbiorcy danych).
  5. Zaktualizuj klauzule informacyjne o nowe przepływy danych.
  6. Wdróż procedurę obsługi żądań dostępu i udostępniania.
  7. Oceń potrzebę DPIA dla nowych przepływów.
  8. Zabezpiecz tajemnice przedsiębiorstwa i dane przed dostępem państw trzecich.
  9. Śledź krajowe organy i wytyczne Komisji (FAQ, wzorcowe klauzule).

Potrzebujesz pomocy z dostosowaniem do Data Act i RODO?

Data Act otwiera nowy rozdział w gospodarce danych — i wymaga pogodzenia z RODO. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont pomagamy firmom zmapować dane z produktów i usług IoT, ustalić role i podstawy prawne, dostosować umowy oraz przygotować procedury obsługi żądań i klauzule informacyjne zgodne z RODO i Data Act.

 

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — pomożemy bezpiecznie wdrożyć nowe zasady udostępniania danych w Twojej organizacji.

  +48 692 004 515

  kancelaria@maniszewska.pl

Related Posts