Akt o Danych (Data Act): czym jest, co oznacza i jak ma się do RODO?

Czym jest Akt o Danych i kiedy zaczyna obowiązywać?

Akt o Danych (Data Act) to nowe rozporządzenie Unii Europejskiej regulujące zasady udostępniania i dostępu do danych w gospodarce cyfrowej. Jego celem jest przyznanie użytkownikom większej kontroli nad danymi generowanymi przez urządzenia i usługi, zapewnienie równych zasad dostępu między przedsiębiorstwami oraz stworzenie ram dla neutralnych pośredników danych i warunków dzielenia się danymi w sytuacjach uzasadnionych interesem publicznym lub konkurencyjnością. Rozporządzenie zostało przyjęte na poziomie UE i określa ramy prawne obowiązujące we wszystkich państwach członkowskich.

W praktyce oznacza to, że od daty rozpoczęcia stosowania Aktu przedsiębiorcy działający na rynku unijnym będą musieli uwzględnić nowe reguły przy projektowaniu produktów, przy świadczeniu usług bazujących na danych użytkowników, a także w relacjach B2B i B2G. W części przepisów przewidziano okresy przejściowe — część obowiązków zaczyna obowiązywać z dniem stosowania aktu tj. 12 września 2025 roku, inne wejdą w życie po określonym vacatio legis.

Najważniejsze obowiązki i mechanizmy przewidziane w Akcie o Danych

Akt o Danych wprowadza kilka praktycznych rozwiązań, które mają bezpośredni wpływ na model biznesowy firm przetwarzających dane:

• Prawo użytkowników do dostępu do danych generowanych przez ich korzystanie z urządzeń — właściciel lub użytkownik urządzenia (osoba fizyczna lub firma) zyskuje prawo do uzyskania dostępu do danych przez siebie generowanych i prawo do ich ponownego wykorzystania, w tym prawo do przekazania tych danych innym podmiotom.

• Obowiązki wobec „uczciwego” udostępniania danych B2B — w określonych sytuacjach firma, która przetwarza dane konieczne do świadczenia usług lub prowadzenia działalności, może być zobowiązana do udostępnienia tych danych innym przedsiębiorcom na warunkach niedyskryminacyjnych.

• Neutralni pośrednicy/dostawcy usług pośrednictwa danych — Akt przewiduje ramy dla funkcji i obowiązków pośredników (data intermediaries), którzy mogą ułatwiać bezpieczne i neutralne przekazywanie/pośrednictwo danych między użytkownikami a innymi podmiotami.

• Ograniczenia w umowach i zakaz nieuczciwych klauzul — nowa regulacja ogranicza możliwość stosowania postanowień kontraktowych, które mogłyby bezprawnie blokować dostęp do danych lub uniemożliwiać użytkownikom wykonywanie ich praw do danych.

Jak Akt o Danych współgra z RODO i ochroną tajemnicy przedsiębiorstwa

Wiele firm słusznie pyta, jak uregulowania o dostępie do danych będą współdziałać z zasadami ochrony danych osobowych i z ochroną tajemnic przedsiębiorstwa. Równość tych wymogów opiera się na dwóch założeniach. Po pierwsze — Akt o Danych nie uchyla RODO: udostępnianie danych obejmuje tylko zakres zgodny z wymogami ochrony danych osobowych; jeżeli w zbiorze danych występują dane osobowe, przekazywanie ich musi mieć podstawę prawną przewidzianą przez RODO i spełniać zasady minimalizacji oraz zabezpieczeń. Po drugie — regulacja uwzględnia konieczność ochrony praw własności intelektualnej i tajemnic handlowych; ustawodawca przewidział mechanizmy ograniczające obowiązek udostępnienia danych tam, gdzie ich ujawnienie zagrażałoby uzasadnionym interesom posiadacza danych, o ile proporcjonalne środki ochronne nie są możliwe.

W praktyce oznacza to, że przedsiębiorstwa muszą umieć rozdzielać dane „neutralne” od danych zawierających informacje osobowe lub informacje stanowiące tajemnicę przedsiębiorstwa. Tam, gdzie pojawiają się dane osobowe, obowiązki z RODO (np. ocena przesłanki przetwarzania, realizacja praw osób, zabezpieczenia) pozostają nadrzędne. Tam, gdzie występują informacje stanowiące tajemnice techniczne lub IP, przedsiębiorca powinien przygotować merytoryczne uzasadnienie ograniczeń i – jeśli to możliwe – zaproponować środki ochronne (anonimizację, agregację, ograniczone udostępnienie).

Konkretnie: czego oczekują regulatorzy i jakie kroki techniczno-organizacyjne warto podjąć?

Dla firm działających na rynku unijnym (w tym w Polsce) wdrożenie zgodności z Aktem o Danych powinno być odczytywane jako element szerszej strategii zarządzania danymi. Zalecane praktyczne kroki to:

1. Przegląd katalogu danych: przygotować inwentaryzację rodzajów danych generowanych/posiadanych przez usługi i urządzenia, rozróżniając dane osobowe, dane techniczne i dane podlegające ochronie tajemnicy handlowej.
2. Analiza konsekwencji prawnych: dla każdego rodzaju danych ocenić, czy istnieje obowiązek udostępnienia (np. na żądanie użytkownika) lub ryzyko obowiązku udostępnienia na rzecz innych przedsiębiorców.
3. Aktualizacja umów i regulaminów: zweryfikować postanowienia umowne (dostawcy, dystrybutorzy, klienci końcowi) w zakresie klauzul ograniczających dostęp do danych, mechanizmów odpowiedzialności oraz procedur odpowiedzi na żądania dostępu.
4. Mechanizmy ochronne: wdrożyć standardy anonimizacji/agregacji, techniki pseudonimizacji, a także mechanizmy audytowalne, by udowodnić, że udostępnienie danych było zgodne z przepisami i nie miało charakteru ujawnienia tajemnicy.
5. Procesy obsługi żądań: wypracować procedury odbierania i rozpatrywania żądań o udostępnienie danych (w tym terminy, role, sposób przekazywania, SLA); pamiętać o współdziałaniu z zespołem ds. ochrony danych (IOD/DPO).
6. Przygotowanie na współpracę z neutralnymi pośrednikami: jeśli firma planuje korzystać z usług pośredników danych, sprawdzić ich neutralność, polityki zabezpieczeń i model rozliczeń.
7. Szkolenia i świadome zarządzanie: przeszkolić dział prawny, IT, produktowy i sprzedaż, aby wiedzieli, jakie żądania są dopuszczalne i jakie ograniczenia występują.

Takie przygotowanie minimalizuje ryzyko konfliktu prawnego oraz pozwala oferować klientom przejrzyste warunki dostępu do danych — co w długiej perspektywie wzmacnia zaufanie do usługi i przewagę konkurencyjną.

Kto nadzoruje i jakie są konsekwencje naruszeń?

Data Act przewiduje, że państwa członkowskie wyznaczą kompetentne organy nadzorcze odpowiedzialne za egzekwowanie rozporządzenia. Konkretny zakres uprawnień i możliwe sankcje będą zależeć częściowo od przepisów krajowych wdrażających rozporządzenie i od sposobu powiązania reżimu kontrolnego z innymi nadzorami (np. organami ochrony danych osobowych w kontekście RODO). W praktyce oznacza to, że przedsiębiorcy muszą spodziewać się kontroli i konieczności wykazywania zgodności (dokumentacja, analizy ryzyka, rejestry żądań).

W Polsce odpowiednie organy (w tym organy konsumenckie i regulatorzy sektora cyfrowego) będą współdziałać przy nadzorze i wdrażaniu sankcji. Rekomendowane jest śledzenie komunikatów krajowych organów nadzorczych oraz konsultacja z doradcą prawnym w celu prewencyjnego przygotowania się na ewentualne kontrole.

Podsumowanie i rekomendacje dla przedsiębiorców

Akt o Danych to znacząca zmiana prawna, która przesuwa równowagę korzyści i obowiązków w obszarze danych. Dla przedsiębiorstw oznacza to zarówno nowe obowiązki (udostępnianie danych w określonych warunkach, współpraca z pośrednikami), jak i szanse (nowe modele biznesowe oparte na uczciwym udostępnianiu danych, zwiększone zaufanie klientów). Jednocześnie wdrożenie tej regulacji wymaga skrupulatnej pracy nad inwentaryzacją danych, aktualizacją umów, wdrożeniem mechanizmów ochronnych i przygotowaniem procedur obsługi żądań. Najlepszą praktyką jest rozpoczęcie przygotowań już dziś — audyt danych i umów, wdrożenie procedur i szkolenia pracowników — tak, aby uniknąć ryzyka sankcji oraz wykorzystać nowe możliwości rynkowe.