Unijne rozporządzenie Data Act (UE 2023/2854) to jedna z najważniejszych regulacji dotyczących gospodarki cyfrowej ostatnich lat. Wprowadza ono zasady sprawiedliwego dostępu do danych generowanych przez tzw. produkty skomunikowane (np. samochody z modułami telematycznymi, inteligentne urządzenia IoT) oraz usługi powiązane (np. aplikacje mobilne zbierające dane z tych produktów).
Rozporządzenie przewiduje dwa tryby dostępu:
- dostęp bezpośredni – domyślny i najszerszy,
- dostęp pośredni – alternatywny, ograniczony do tzw. danych łatwo dostępnych.
Poniżej znajdziesz pełne omówienie zasad dostępu, różnic między modelami, wyjątków oraz terminów stosowania nowych przepisów.
Zakres przedmiotowy Data Act
Czym są dane?
Zgodnie z art. 2 pkt 1 Data Act:
„Dane oznaczają wszelkie cyfrowe odwzorowania działań, faktów lub informacji oraz wszelkie kompilacje takich działań, faktów lub informacji, w tym w formie zapisu dźwiękowego, wizualnego lub audiowizualnego.”
Oznacza to, że przepis obejmuje niezwykle szeroki katalog informacji – od prostych pomiarów z czujników, aż po nagrania wideo czy logi systemowe.
Dane z produktu skomunikowanego
Art. 2 pkt 15 Data Act:
„Dane z produktu skomunikowanego oznaczają dane wygenerowane w wyniku korzystania z produktu skomunikowanego, które producent zaprojektował tak, by użytkownik, posiadacz danych lub osoba trzecia, w tym w stosownym przypadku producent, mogli je pobierać za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu.”
👉 Przykład: dane z czujników temperatury i wilgotności w inteligentnym klimatyzatorze.
Dane z usługi powiązanej
Art. 2 pkt 16 Data Act:
„Dane z usługi powiązanej oznaczają dane stanowiące cyfrowe odwzorowanie czynności lub zdarzeń z udziałem użytkownika związanych z produktem skomunikowanym, utrwalane przez użytkownika celowo lub generowane jako produkt uboczny jego czynności, podczas świadczenia usługi powiązanej przez dostawcę.”
👉 Przykład: historia aktywności użytkownika w aplikacji monitorującej zużycie energii.
Kim jest użytkownik?
Zgodnie z art. 2 pkt 12 Data Act, użytkownikiem może być:
- właściciel produktu skomunikowanego,
- osoba, której na podstawie umowy przekazano prawa do korzystania z produktu,
- osoba korzystająca z usług powiązanych.
👉 Oznacza to, że uprawnienia przysługują nie tylko nabywcy urządzenia, ale także np. najemcy samochodu czy abonentowi usługi cyfrowej.
Dostęp bezpośredni do danych (art. 3 Data Act) – model podstawowy
Zasada ogólna
Dostęp bezpośredni to domyślny mechanizm przewidziany przez Data Act. Polega on na tym, że użytkownik ma techniczną możliwość uzyskania pełnego zakresu danych dotyczących produktu i usług powiązanych – bez konieczności składania dodatkowych wniosków.
Jakie warunki musi spełnić producent/dostawca?
Produkty i usługi muszą być zaprojektowane w taki sposób, aby dane były dostępne:
- bezpiecznie,
- łatwo i domyślnie,
- bezpłatnie,
- w sposób pełny i ustrukturyzowany,
- w powszechnie używanym, maszynowo czytelnym formacie.
👉 Oznacza to np. eksport danych w formatach takich jak JSON, XML, CSV, a nie w zamkniętych plikach trudnych do odczytania.
Motyw 22 Data Act
Wyjaśnia on, że dostęp może być zapewniony np. poprzez:
- lokalną pamięć urządzenia,
- serwery producenta,
- serwery osób trzecich (np. usług chmurowych).
Jednocześnie podkreślono, że podmioty przetwarzające dane w rozumieniu RODO (np. dostawcy usług chmurowych) nie są posiadaczami danych, ale mogą zostać wyznaczone do ich udostępniania przez administratora.
Przykład praktyczny
Firma AgroTech produkuje inteligentne maszyny rolnicze. Rolnik – pan Piotr – może bezpośrednio pobierać dane o wydajności swojej maszyny z panelu sterowania w formie raportu CSV, a także łączyć je z aplikacjami innych dostawców. Producent musi zapewnić mu taki dostęp – o ile jest to technicznie możliwe i uzasadnione.
Dostęp pośredni do danych (art. 4 Data Act) – model na żądanie
Kiedy stosuje się dostęp pośredni?
Model pośredni wchodzi w grę, gdy:
- bezpośredni dostęp nie jest możliwy (np. z uwagi na konstrukcję produktu),
- dane można udostępnić jedynie w ograniczonym zakresie.
👉 To wyjątek od zasady. Zgodnie z art. 4 ust. 1 Data Act, użytkownik ma prawo żądać udostępnienia danych od posiadacza danych, ale tylko w takim zakresie, w jakim są one „łatwo dostępne”.
Czym są dane łatwo dostępne?
Definicja w art. 2 pkt 17 Data Act:
„Dane łatwo dostępne oznaczają dane z produktu oraz dane z usługi powiązanej, które posiadacz danych zgodnie z prawem pozyskuje lub może pozyskać z produktu skomunikowanego lub z usługi powiązanej, bez konieczności podejmowania nieproporcjonalnie dużego wysiłku wykraczającego poza prostą czynność.”
Motyw 20 Data Act doprecyzowuje, że:
- dane łatwo dostępne obejmują tylko te informacje, które i tak są w posiadaniu producenta/dostawcy,
- nie ma obowiązku projektowania systemów centralnego przechowywania danych – jeśli produkt nie przewiduje zapisu danych, producent nie musi ich gromadzić, tylko po to, aby móc je udostępnić.
Kto jest posiadaczem danych?
Art. 2 pkt 13 Data Act:
„Posiadacz danych to osoba fizyczna lub prawna, która ma prawo lub obowiązek – zgodnie z niniejszym rozporządzeniem, prawem Unii lub prawem krajowym – wykorzystywać i udostępniać dane.”
👉 Oznacza to, że w przypadku dostępu pośredniego obowiązki mogą dotyczyć nie tylko producentów, ale każdego podmiotu, który zgodnie z prawem ma dostęp do danych (np. dostawcy usług serwisowych).
Ograniczenia w dostępie pośrednim
Zgodnie z art. 4 ust. 2 Data Act, posiadacz danych może umownie ograniczyć lub zakazać dostępu do danych, jeśli ich udostępnienie mogłoby:
- zagrażać bezpieczeństwu produktu,
- naruszać prawo unijne lub krajowe,
- wywołać poważne skutki dla zdrowia, bezpieczeństwa lub ochrony osób fizycznych.
Rola osób trzecich (art. 5 Data Act)
Data Act przewiduje, że użytkownik może wskazać osobę trzecią, która odbierze dane w jego imieniu.
Posiadacz danych ma wówczas obowiązek udostępnić dane:
- bez zbędnej zwłoki,
- łatwo, bezpiecznie i bezpłatnie dla użytkownika,
- w ustrukturyzowanym, maszynowo czytelnym formacie,
- wraz z metadanymi, niezbędnymi do interpretacji.
👉 Co więcej, jeżeli to technicznie możliwe, dane powinny być przekazywane ciągle i w czasie rzeczywistym.
Przykład praktyczny
Pan Tomasz prowadzi firmę transportową i korzysta z inteligentnych tachografów w ciężarówkach. Nie chce sam analizować wszystkich raportów, więc upoważnia firmę LogiControl, aby otrzymywała dane z tachografów bezpośrednio od producenta i przetwarzała je na potrzeby optymalizacji tras. Producent ma obowiązek udostępnić LogiControl wszystkie dane łatwo dostępne.
Wyłączenia z obowiązku udostępniania danych
Nie wszystkie podmioty muszą stosować przepisy o dostępie. Data Act chroni najmniejsze firmy przed nadmiernymi obciążeniami.
Obowiązki nie dotyczą danych wygenerowanych w wyniku korzystania z produktów lub usług dostarczonych przez:
- mikroprzedsiębiorstwa i małe przedsiębiorstwa,
- średnie przedsiębiorstwa – ale tylko przez pierwszy rok od wprowadzenia produktu na rynek.
⚠️ Wyłączenie nie działa, jeśli małe przedsiębiorstwo jest podwykonawcą większej firmy, która zleciła mu projektowanie lub produkcję produktu skomunikowanego.
Terminy stosowania przepisów (kwestie intertemporalne)
- 12 września 2025 r. – Data Act zaczyna być stosowane co do zasady.
- 12 września 2026 r. – przepisy dotyczące dostępu pośredniego stosuje się tylko do produktów i usług wprowadzonych na rynek po tej dacie.
👉 Oznacza to, że jeśli np. w 2025 r. firma wprowadzi na rynek inteligentne urządzenie bez mechanizmu bezpośredniego dostępu do danych, obowiązki związane z dostępem pośrednim obejmą je dopiero od 2026 r.
Podsumowanie – co Data Act oznacza w praktyce?
Rozporządzenie Data Act wprowadza zupełnie nowe zasady gry w zakresie dostępu do danych:
- Dostęp bezpośredni (art. 3) – to podstawowy i preferowany model. Dane mają być dostępne dla użytkownika automatycznie, w pełnym zakresie, w formacie maszynowo czytelnym i bez dodatkowych opłat.
- Dostęp pośredni (art. 4) – stosuje się tylko wtedy, gdy brak możliwości technicznych dla dostępu bezpośredniego. Obejmuje jedynie dane łatwo dostępne, czyli takie, które posiadacz danych i tak ma prawo gromadzić.
- Rola osób trzecich (art. 5) – użytkownik może upoważnić wskazaną firmę, aby odbierała dane w jego imieniu. Posiadacz danych musi je udostępnić bez zwłoki i w czytelnym formacie.
- Wyłączenia dla MŚP – mikro i małe przedsiębiorstwa są całkowicie zwolnione, a średnie – przez pierwszy rok od wprowadzenia produktu.
- Terminy – rozporządzenie stosuje się od 12 września 2025 r., a przepisy o dostępie pośrednim obejmą produkty wprowadzone na rynek od 12 września 2026 r.
👉 Dla przedsiębiorców oznacza to konieczność przeanalizowania:
- czy ich produkty/usługi umożliwiają bezpośredni dostęp do danych,
- jakie dane mogą być uznane za „łatwo dostępne”,
- jakie procedury wdrożyć, aby w razie żądania użytkownika lub osoby trzeciej przekazać dane zgodnie z wymogami Data Act.
📚 Podstawa prawna
- art. 2 pkt 1, pkt 12–17, art. 3, art. 4, art. 5 ust. 1 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (Data Act).
- motywy 20 i 22 – Data Act.
- art. 4 pkt 7–8 – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).
- art. 3 załącznika – zalecenie Komisji 2003/361/WE w sprawie definicji mikro, małych i średnich przedsiębiorstw.
🔍 Tematy porad zawartych w poradniku
- dostęp do danych Data Act
- dane łatwo dostępne a obowiązki producenta
- prawa użytkowników do danych w UE
- pośredni i bezpośredni dostęp do danych
- Data Act od kiedy obowiązuje
🌍 Przydatne linki urzędowe
- Tekst rozporządzenia Data Act (EUR-Lex):
https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32023R2854 - Strona Komisji Europejskiej o Data Act:
https://ec.europa.eu/digital-strategy/policies/data-act_pl - Urząd Ochrony Danych Osobowych (PUODO):
https://uodo.gov.pl/ - Ministerstwo Rozwoju i Technologii:
https://www.gov.pl/web/rozwoj-technologia