1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Data Act 2025 – jak przygotować firmę? Lista obowiązków krok po kroku
Wyszukiwanie...

Data Act 2025 – jak przygotować firmę? Lista obowiązków krok po kroku

Spis treści

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854, znane jako Data Act, zacznie obowiązywać od 12 września 2025 r. Celem nowych przepisów jest zapewnienie sprawiedliwego dostępu do danych generowanych przez produkty skomunikowane i usługi powiązane, a także zwiększenie konkurencyjności na rynku usług przetwarzania danych (np. chmurowych).

W praktyce Data Act wprowadza rewolucję: użytkownicy produktów skomunikowanych (od samochodów elektrycznych po inteligentne sprzęty AGD) uzyskają prawo do łatwego i bezpłatnego dostępu do danych, które te urządzenia generują. Z kolei producenci i dostawcy usług będą musieli przeprojektować swoje produkty, umowy i procedury.

Ten poradnik przeprowadzi Cię krok po kroku przez listę kontrolną zgodności z Data Act – od identyfikacji roli, przez obowiązki informacyjne, po zasady migracji danych w chmurze.

Kwestie ogólne – identyfikacja i wyłączenia

Pierwszym etapem wdrożenia Data Act jest zrozumienie, czy i w jakim zakresie przepisy Cię dotyczą.

  1. Ustal swoją rolę
    • producent produktu skomunikowanego (np. inteligentny sprzęt, pojazd, sensor IoT),
    • dostawca usługi powiązanej (np. aplikacja mobilna zbierająca dane),
    • posiadacz danych (firma, która kontroluje dostęp do danych),
    • użytkownik (np. konsument lub firma korzystająca z urządzenia).
    👉 Każda z tych ról niesie inne obowiązki.
  2. Sprawdź, czy Twoja firma nie podlega wyłączeniom
    • mikro- i małe przedsiębiorstwa (do 49 pracowników i 10 mln EUR obrotu) są zwolnione,
    • ale uwaga: zwolnienie nie działa, gdy takie przedsiębiorstwo należy do większej grupy albo jest podwykonawcą większej spółki.
  3. Zwróć uwagę na średnie przedsiębiorstwa
    • przez rok od wprowadzenia produktu na rynek lub od rozpoczęcia świadczenia usługi mają okres ochronny,
    • po tym czasie obowiązki z Data Act stają się w pełni wiążące.
  4. Przepisy przejściowe
    • nowe wymogi dotyczą produktów i usług wprowadzonych na rynek po 12 września 2026 r.,
    • wcześniejsze produkty nie muszą być dostosowywane.

Obowiązki producentów i dostawców usług (art. 3 Data Act)

1. Projektowanie produktów skomunikowanych

Jeżeli jesteś producentem, musisz projektować i wytwarzać produkty tak, aby dane były dostępne:

  • łatwo (bez nadmiernych barier technicznych),
  • bezpiecznie (ochrona przed utratą i nieuprawnionym dostępem),
  • bezpłatnie,
  • całościowym i ustrukturyzowanym formacie,
  • powszechnie używanym i czytelnym maszynowo standardzie,
  • a jeśli to możliwe – w sposób ciągły i w czasie rzeczywistym.

👉 Jeśli nie możesz udzielić dostępu bezpośredniego (np. ze względów technicznych), musisz być w stanie to uzasadnić.

Przykład
Spółka CarPro z Katowic produkuje samochody elektryczne. Zgodnie z Data Act musi zapewnić, aby użytkownik pojazdu mógł pobrać dane dotyczące zużycia baterii w otwartym formacie (np. CSV lub JSON). Jeśli producent udostępnia dane wyłącznie przez własną aplikację, musi wyjaśnić, dlaczego bezpośredni dostęp (np. przez port USB lub API) jest technicznie niemożliwy.

2. Projektowanie i świadczenie usług powiązanych

Dostawcy usług (np. aplikacji monitorujących stan urządzeń) muszą zapewnić te same standardy co producenci:

  • dane muszą być dostępne w ustrukturyzowanym, maszynowo czytelnym formacie,
  • dostęp ma być bezpłatny i łatwy,
  • użytkownik powinien mieć możliwość dostępu w czasie rzeczywistym, jeśli jest to technicznie możliwe.

Przykład
Firma AgroSoft z Rzeszowa oferuje rolnikom usługę analizy danych z inteligentnych czujników gleby. Zgodnie z Data Act rolnik musi mieć możliwość pobrania wszystkich danych surowych i metadanych, a nie tylko wygenerowanego raportu w PDF.

3. Obowiązki informacyjne przy sprzedaży produktów (art. 3 ust. 2 Data Act)

Jeśli sprzedajesz, wynajmujesz lub leasingujesz produkty skomunikowane, musisz poinformować użytkownika:

  • jakie dane produkt generuje,
  • jak można do nich uzyskać dostęp,
  • czy dane będą dostępne bezpośrednio czy pośrednio,
  • jakie są ograniczenia.

Klauzula informacyjna musi być:

  • jasna i przejrzysta,
  • udostępniona w taki sposób, by użytkownik mógł do niej wrócić (np. w formie elektronicznej).

4. Obowiązki informacyjne przy świadczeniu usług powiązanych (art. 3 ust. 3 Data Act)

Analogicznie, dostawcy usług powiązanych muszą jasno informować użytkowników o:

  • zakresie gromadzonych danych,
  • warunkach dostępu,
  • ograniczeniach technicznych.

Informacja musi być przekazana przed zawarciem umowy i w formie umożliwiającej ponowny dostęp.

Przykład
Spółka SmartFit z Warszawy oferuje aplikację fitness, która zbiera dane z inteligentnych zegarków. W regulaminie musi jasno określić: jakie dane zbiera (np. tętno, dystans, sen), w jakim formacie będą dostępne i jak użytkownik może je pobrać.

Dostęp do danych i prawa użytkowników (art. 4 i 5 Data Act)

1. Bezpośredni dostęp do danych z produktu i usługi

Użytkownicy powinni mieć zapewniony bezpośredni dostęp do danych generowanych przez produkt skomunikowany lub usługę powiązaną.

👉 Bezpośredni dostęp oznacza, że użytkownik korzystając z urządzenia, może samodzielnie pobrać dane – np. przez API, aplikację lub port komunikacyjny.

Jeśli producent lub dostawca usług uniemożliwia taki dostęp, musi umieć uzasadnić, dlaczego udostępnia dane tylko pośrednio (np. z powodów bezpieczeństwa lub ograniczeń technologicznych).

2. Obowiązki posiadacza danych wobec użytkownika

Jeżeli użytkownik nie uzyskuje danych bezpośrednio, wówczas producent lub dostawca staje się posiadaczem danych i ma obowiązek:

  • udostępniać dane bez zbędnej zwłoki,
  • w sposób łatwy i bezpieczny,
  • nieodpłatnie,
  • w formacie ustrukturyzowanym, czytelnym maszynowo, powszechnie używanym,
  • w miarę możliwości – w trybie ciągłym i w czasie rzeczywistym,
  • na podstawie zwykłego elektronicznego wniosku użytkownika.

Przykład
Spółka EkoHeat z Łodzi produkuje inteligentne kotły grzewcze. Dane o zużyciu energii nie są dostępne bezpośrednio przez urządzenie, ale firma – jako posiadacz danych – musi udostępnić użytkownikowi dane w formacie JSON lub CSV w odpowiedzi na jego wniosek (np. przez konto klienta online).

3. Ograniczenia w umowach (art. 4 ust. 2 Data Act)

Posiadacz danych nie może umownie ograniczać prawa użytkownika do dostępu i korzystania z danych, chyba że spełnione są ściśle określone przesłanki.

Jeśli odmowa podzielenia się danymi następuje z ważnych powodów (np. ochrona tajemnicy przedsiębiorstwa), posiadacz musi powiadomić właściwy organ wyznaczony zgodnie z art. 37 Data Act.

4. Brak utrudniania praw użytkownika

Posiadacze danych nie mogą sztucznie komplikować procedur dostępu do danych – np. poprzez wymuszanie zbędnych formalności, pobieranie opłat, czy wymaganie nadmiernych informacji identyfikacyjnych.

👉 Mechanizmy identyfikacji użytkownika muszą być proporcjonalne – czyli np. wystarczy login i hasło do panelu, nie można żądać dodatkowych, nieistotnych danych.

5. Przechowywanie danych

Posiadacz danych może gromadzić wyłącznie te informacje, które są niezbędne do obsługi wniosku użytkownika, utrzymania bezpieczeństwa i infrastruktury.

6. Tajemnica przedsiębiorstwa a prawo dostępu (art. 4 ust. 6 Data Act)

Użytkownik ma prawo do dostępu do danych, ale posiadacz danych może ograniczyć udostępnienie, jeśli narażałoby to jego tajemnicę przedsiębiorstwa.

⚠️ Ważne: odmowa udostępnienia danych z powodu ochrony tajemnicy przedsiębiorstwa wymaga odpowiednich procedur. Firma musi:

  • ocenić ryzyko ujawnienia tajemnicy,
  • zapewnić alternatywne środki dostępu (np. anonimizację, pseudonimizację).

7. Wykorzystanie danych nieosobowych

Jeżeli posiadacz danych dysponuje danymi nieosobowymi, może je wykorzystywać wyłącznie:

  • na podstawie umowy z użytkownikiem,
  • i pod warunkiem, że nie będzie tego robił w sposób osłabiający pozycję handlową użytkownika.

Przykład
Firma LogiTrack z Gdyni zbiera dane z flot ciężarówek klientów. Nie może wykorzystywać tych danych, aby obliczyć ceny usług transportowych konkurentów ani podbierać im klientów.

8. Zakaz dalszego udostępniania danych nieosobowych

Posiadacz danych nie może przekazywać danych osobom trzecim w celach innych niż wynikające z umowy z użytkownikiem. Jeśli jednak dane są udostępniane, posiadacz musi zadbać, by osoba trzecia zobowiązała się umownie do nieprzekazywania ich dalej.

Prawo użytkownika do dzielenia się danymi z osobami trzecimi (art. 5 Data Act)

Data Act wprowadza rewolucję: użytkownik może sam zdecydować, że dane z produktu lub usługi mają być przekazane wskazanej przez niego osobie trzeciej (np. innemu usługodawcy).

1. Procedura udostępniania danych osobie trzeciej

Na wniosek użytkownika posiadacz danych ma obowiązek:

  • udostępnić dane wskazanej osobie trzeciej,
  • bez zbędnej zwłoki,
  • w takim samym formacie, jak w przypadku dostępu użytkownika.

2. Weryfikacja osoby trzeciej

Posiadacz danych musi sprawdzić, czy osoba trzecia nie jest „strażnikiem dostępu” (ang. gatekeeper w rozumieniu Digital Markets Act). Tacy giganci mają ograniczone prawo do pozyskiwania danych od innych firm.

Identyfikacja użytkownika i osoby trzeciej może wymagać tylko niezbędnych informacji – nie wolno żądać więcej, niż to konieczne.

3. Ograniczenia w przechowywaniu informacji

Informacje o dostępie osoby trzeciej mogą być przechowywane wyłącznie w zakresie koniecznym do:

  • realizacji wniosku użytkownika,
  • zapewnienia bezpieczeństwa infrastruktury danych.

4. Dane osobowe a RODO

Jeżeli dane udostępniane osobie trzeciej obejmują dane osobowe, posiadacz danych musi upewnić się, że istnieje podstawa prawna zgodnie z art. 6 i 9 RODO.

Przykład
Użytkownik inteligentnego zegarka sportowego zleca przekazanie danych o zdrowiu (tętno, sen, aktywność) firmie ubezpieczeniowej. Producent zegarka – jako posiadacz danych – musi sprawdzić, czy taka operacja ma podstawę prawną w RODO (np. zgodę użytkownika).

5. Spory z osobami trzecimi

Spory dotyczące warunków technicznych przesyłania danych (np. brak zgodności formatów) nie mogą blokować wykonywania praw użytkownika – w szczególności prawa do przenoszenia danych z art. 20 RODO.

6. Tajemnica przedsiębiorstwa

Przed udostępnieniem danych użytkownikowi lub osobie trzeciej posiadacz danych powinien ocenić, czy obejmują one tajemnicę przedsiębiorstwa.

W przypadku zagrożenia ujawnienia tajemnicy należy wdrożyć odpowiednie procedury zabezpieczające (np. ograniczenia w zakresie szczegółowości danych, umowy NDA z osobą trzecią).

7. Mechanizmy odwoławcze

Jeśli posiadacz danych odmówi, wstrzyma lub zawiesi dostęp do danych osobie trzeciej, musi pamiętać, że Data Act przewiduje mechanizmy odwoławcze – osoba trzecia ma prawo złożyć skargę i domagać się dostępu. Firma powinna mieć gotową procedurę obsługi takich sporów.

Nieuczciwe postanowienia umowne między przedsiębiorstwami (rozdział IV Data Act)

Jednym z głównych celów Data Act jest ochrona słabszych stron w relacjach B2B. Dotychczas często zdarzało się, że duże firmy narzucały swoim kontrahentom niekorzystne klauzule dotyczące danych – np. zakaz korzystania z własnych danych albo jednostronne prawo do zmiany warunków.

Data Act wprowadza „czarną listę” i „szarą listę” klauzul, które uznaje się za nieuczciwe. Jeśli przedsiębiorca narzuca takie postanowienia, są one nieważne z mocy prawa.

1. Klauzule bezwzględnie nieuczciwe („czarna lista”)

Są to postanowienia umowne, które zawsze są zakazane. Obejmują m.in.:

  • wyłączenie lub ograniczenie odpowiedzialności strony, która narzuciła klauzulę, za czyny umyślne lub rażące niedbalstwo,
  • wyłączenie środków ochrony prawnej dla drugiej strony w przypadku niewykonania zobowiązań,
  • przyznanie jednostronnego prawa do:
    • ustalenia, czy dostarczone dane są zgodne z umową,
    • interpretacji postanowień umowy.

👉 Jeśli spotykasz się z takimi zapisami, traktuj je jako nieważne.

Przykład praktyczny
Firma DataFleet z Warszawy dostarcza system monitoringu GPS dla flot samochodowych. W umowie chciała zawrzeć zapis, że tylko ona decyduje, czy dane są zgodne z umową i że klient nie ma prawa dochodzić odszkodowania za błędy w systemie. Taka klauzula będzie automatycznie nieważna na gruncie Data Act.

2. Klauzule domyślnie nieuczciwe („szara lista”)

Są to postanowienia, które co do zasady uważa się za nieuczciwe, ale strona narzucająca może próbować wykazać, że w konkretnych okolicznościach są uzasadnione.

Do tej kategorii należą m.in. klauzule, które:

  • ograniczają środki ochrony prawnej w przypadku niewykonania zobowiązań,
  • rozszerzają odpowiedzialność wyłącznie jednej strony,
  • umożliwiają jednostronny dostęp do danych drugiej strony i wykorzystanie ich w sposób szkodliwy (np. dostęp do tajemnic przedsiębiorstwa),
  • uniemożliwiają stronie wykorzystywanie własnych danych (np. zakaz eksportu danych w trakcie obowiązywania umowy),
  • uniemożliwiają stronie rozwiązanie umowy w rozsądnym terminie,
  • blokują możliwość uzyskania kopii własnych danych,
  • pozwalają na zbyt krótkie wypowiedzenie umowy przez narzucającą stronę,
  • umożliwiają istotną zmianę ceny lub warunków bez ważnej przyczyny i bez prawa drugiej strony do rozwiązania umowy.

Przykład praktyczny
Spółka AgroCloud z Poznania oferuje platformę do analizy danych rolniczych. W umowie z klientem rolnikiem zawarła postanowienie, że klient nie może kopiować swoich danych ani ich przenosić do innego dostawcy. To typowa klauzula z „szarej listy” – prawdopodobnie zostanie uznana za nieuczciwą.

3. Konsekwencje stosowania klauzul nieuczciwych

  • Takie postanowienia są nieważne z mocy prawa – strony traktują je tak, jakby nigdy nie były zapisane w umowie.
  • Umowa jako całość pozostaje jednak ważna, chyba że bez tych klauzul nie mogłaby być wykonywana.
  • Posiadacz danych, który narzuca klauzule nieuczciwe, naraża się na spory sądowe, a w przyszłości także na kontrolę organów nadzorczych.

4. Wewnętrzne procedury firm

Każda firma, która zawiera umowy B2B dotyczące danych (np. korzystania z systemów IoT, usług chmurowych, analityki danych), powinna:

  • przeprowadzić przegląd wzorców umów i regulaminów,
  • wyeliminować postanowienia, które mogą być zakazane,
  • opracować nowe, przejrzyste klauzule dotyczące danych.

Przykład
Spółka MedTechSolutions z Gdańska analizuje dane z urządzeń medycznych. Po wejściu w życie Data Act wprowadza nową politykę: każda umowa B2B zawiera jasne zasady udostępniania danych, czas przechowywania, format eksportu i procedury zmiany dostawcy – bez klauzul ograniczających prawa kontrahentów.

Udostępnianie danych organom sektora publicznego (art. 15 i dalsze Data Act)

Jednym z kluczowych elementów Data Act jest mechanizm umożliwiający organom publicznym dostęp do danych gromadzonych przez przedsiębiorstwa. Nie chodzi tu o powszechny dostęp administracji do danych biznesowych, ale o sytuacje „wyjątkowej potrzeby”.

1. Kiedy organy mogą żądać dostępu do danych?

Zgodnie z Data Act organy sektora publicznego, Komisja Europejska, Europejski Bank Centralny oraz inne instytucje Unii mogą żądać danych od przedsiębiorstw w sytuacjach wyjątkowych, takich jak:

  • nagłe zagrożenia (np. klęski żywiołowe, kryzysy zdrowotne),
  • realizacja zadań w interesie publicznym, gdy dane są niezbędne, a nie można ich pozyskać w inny sposób.

👉 Nie chodzi więc o rutynowe udostępnianie danych, ale o szczególne okoliczności, które wymagają szybkiego działania.

2. Warunki udostępniania danych

Jeżeli posiadacz danych otrzyma wniosek od organu publicznego, musi sprawdzić:

  • czy organ wykazał istnienie „wyjątkowej potrzeby” (art. 15 Data Act),
  • czy wniosek jest należycie uzasadniony i zawiera wymagane informacje,
  • czy zakres żądanych danych jest proporcjonalny do celu.

3. Procedura wewnętrzna

Każda firma powinna posiadać procedurę postępowania w przypadku takiego wniosku. Powinna ona obejmować m.in.:

  • wyznaczenie osoby lub zespołu odpowiedzialnego za weryfikację wniosków,
  • ocenę zgodności wniosku z Data Act,
  • ocenę ryzyka związanego z tajemnicą przedsiębiorstwa i ochroną danych osobowych,
  • ewentualne negocjacje co do zakresu lub formy udostępnienia danych.

Przykład
Spółka AgroSensors z Opola produkuje czujniki wilgotności gleby. W czasie kryzysu suszowego organ administracji rolnictwa żąda dostępu do danych, aby prognozować skutki suszy i planować pomoc dla rolników. Firma, zgodnie z procedurą, sprawdza:

  • czy żądanie pochodzi od właściwego organu,
  • czy dane są niezbędne,
  • w jakiej formie można je udostępnić (np. uśrednione dane zanonimizowane, a nie dane szczegółowe poszczególnych gospodarstw).

4. Zakres danych a tajemnica przedsiębiorstwa

Data Act przewiduje, że posiadacz danych może powołać się na konieczność ochrony tajemnicy przedsiębiorstwa. Jednak odmowa nie może być arbitralna – firma musi wykazać ryzyko związane z ujawnieniem informacji i zaproponować alternatywne rozwiązania, np.:

  • ograniczenie zakresu danych,
  • przekazanie danych w formie zagregowanej,
  • nałożenie klauzul poufności na organ.

5. Koszty udostępniania danych

Co do zasady dane udostępniane organom publicznym powinny być przekazywane bezpłatnie. Wyjątkiem są sytuacje, w których udostępnienie generuje znaczne koszty dla przedsiębiorstwa – wtedy możliwe jest uzasadnione żądanie pokrycia wydatków.

6. Konsekwencje odmowy

Jeśli przedsiębiorca odmówi udostępnienia danych, musi to zrobić w sposób formalny i uzasadniony. Brak reakcji lub odmowa bez podstawy może skutkować sankcjami administracyjnymi.

7. Wewnętrzne przygotowanie organizacji

Aby uniknąć chaosu w sytuacjach kryzysowych, firma powinna już teraz:

  • przygotować procedurę reagowania na wnioski organów publicznych,
  • przeanalizować, jakie dane generują jej produkty i usługi,
  • wskazać dane, które mogą podlegać udostępnieniu,
  • wdrożyć polityki ochrony tajemnicy przedsiębiorstwa i danych wrażliwych.

Przykład
Firma MediIoT z Białegostoku produkuje urządzenia do monitorowania zdrowia pacjentów. W czasie kryzysu epidemiologicznego organ publiczny żąda dostępu do danych w celu analiz statystycznych. Firma musi rozróżnić dane osobowe (chronione RODO) od danych zagregowanych (np. liczba pomiarów w danym regionie). Udostępnia więc tylko dane zagregowane, aby nie naruszyć praw pacjentów.

Zmiana dostawcy usług przetwarzania danych (rozdział VI Data Act)

Jednym z głównych celów Data Act jest ułatwienie klientom zmiany dostawcy usług przetwarzania danych, czyli przede wszystkim usług chmurowych. Do tej pory wielu dostawców stosowało praktyki „lock-in”, utrudniające przeniesienie danych (techniczne bariery, wysokie opłaty, brak interoperacyjności).

Data Act nakłada na dostawców usług obowiązek zapewnienia łatwej migracji danych oraz stopniowego znoszenia opłat za zmianę dostawcy.

1. Obowiązki dostawców usług przetwarzania danych

Jeżeli świadczysz usługi przetwarzania danych (np. hosting, chmura publiczna, SaaS), musisz:

  • usuwać bariery techniczne, handlowe i umowne utrudniające klientom zmianę dostawcy,
  • jasno informować klientów, jeśli Twoje usługi są wyłączone spod obowiązków Data Act,
  • umożliwiać klientom rozwiązanie umowy i przeniesienie danych po maksymalnym okresie wypowiedzenia,
  • wspierać klientów w procesie migracji.

2. Prawa klientów w procesie zmiany dostawcy (art. 25 Data Act)

Każdy klient usług chmurowych ma prawo do:

  • zmiany dostawcy lub przeniesienia danych do własnej infrastruktury,
  • otrzymania wsparcia w zakresie strategii odejścia (exit strategy),
  • rozwiązania umowy w rozsądnym terminie,
  • otrzymania pełnej listy danych i aktywów cyfrowych podlegających przeniesieniu,
  • jasnej specyfikacji danych wyłączonych z przeniesienia,
  • gwarancji usunięcia danych po migracji,
  • informacji o formatach danych i dostępnych interfejsach,
  • stopniowego znoszenia opłat za migrację.

Przykład
Firma StartERP z Warszawy korzysta z platformy SaaS do zarządzania kadrami. Chce przenieść się do innego dostawcy, który oferuje tańszą usługę. Zgodnie z Data Act obecny dostawca musi:

  • umożliwić pobranie wszystkich danych pracowniczych w otwartym formacie,
  • wskazać, jakie dane nie podlegają migracji (np. elementy objęte prawami autorskimi dostawcy),
  • usunąć dane po migracji,
  • nie pobierać wysokich opłat blokujących zmianę.

3. Publiczne informacje i przejrzystość

Dostawcy muszą udostępniać:

  • na stronie internetowej – jurysdykcje, w których przechowywane są dane (np. czy w UE, czy poza nią),
  • ogólny opis środków technicznych i organizacyjnych zapobiegających nielegalnemu dostępowi do danych (np. przez administrację państwową państw trzecich),
  • rejestr struktur i formatów danych eksportowalnych oraz standardów interoperacyjności.

👉 W umowach z klientami należy zamieścić odniesienie do tych informacji.

4. Interoperacyjność usług (art. 24 Data Act)

Dostawcy usług muszą zapewnić równoważność funkcjonalną w przypadku zmiany usługodawcy – czyli dane i aplikacje powinny działać u nowego dostawcy w możliwie zbliżony sposób.

  • W przypadku usług IaaS (Infrastructure as a Service) dostawca musi ułatwiać migrację danych i zapewniać odpowiednie narzędzia techniczne.
  • W przypadku usług PaaS i SaaS dostawca ma obowiązek udostępniać otwarte interfejsy API, aby klienci mogli migrować dane i zapewnić interoperacyjność oprogramowania.

5. Harmonizowane standardy i normy

Dostawcy usług przetwarzania danych muszą wdrażać zharmonizowane normy i specyfikacje interoperacyjności, gdy tylko zostaną one opublikowane przez Unię Europejską.

To oznacza, że w przyszłości standardy przenoszenia danych i interfejsów API zostaną ujednolicone – co jeszcze bardziej ułatwi migracje między dostawcami.

6. Stopniowe wycofywanie opłat za migrację

Data Act przewiduje stopniowe obniżanie opłat za zmianę dostawcy, aż do ich całkowitego zniesienia. To oznacza, że dostawcy nie będą mogli w nieskończoność stosować zaporowych cen za eksport danych.

Przykład
Spółka FinCloud z Wrocławia oferuje oprogramowanie księgowe w modelu SaaS. Dotąd pobierała opłatę 20 000 zł za eksport danych klienta w formacie otwartym. Po wejściu w życie Data Act opłata ta będzie musiała stopniowo maleć, aż do całkowitego zniesienia.

7. Współpraca w dobrej wierze

Proces zmiany dostawcy ma się odbywać we współpracy: dotychczasowy dostawca, klient i nowy usługodawca muszą działać tak, aby migracja była skuteczna i nie prowadziła do utraty danych.

Podsumowanie – kluczowe obowiązki z Data Act

Data Act to przełomowe rozporządzenie, które zmienia sposób korzystania z danych w Unii Europejskiej. Wprowadza nowe prawa użytkowników, obowiązki producentów i dostawców usług oraz reguły dla całego ekosystemu danych.

Najważniejsze rzeczy, o których musisz pamiętać:

  1. Identyfikacja roli – sprawdź, czy jesteś producentem produktu skomunikowanego, dostawcą usługi powiązanej, posiadaczem danych czy użytkownikiem.
  2. Wyłączenia – mikro i małe przedsiębiorstwa są zwolnione z części obowiązków, średnie firmy mają okres ochronny.
  3. Projektowanie produktów i usług – muszą one zapewniać łatwy, bezpieczny i bezpłatny dostęp do danych w otwartych formatach.
  4. Obowiązki informacyjne – przy sprzedaży lub świadczeniu usług musisz jasno poinformować, jakie dane są zbierane i jak można je uzyskać.
  5. Prawa użytkowników – dostęp do danych bez zbędnej zwłoki, w ustrukturyzowanym formacie, możliwość przekazania danych osobie trzeciej.
  6. Tajemnica przedsiębiorstwa – możesz chronić swoje interesy, ale nie możesz arbitralnie odmówić dostępu do danych.
  7. Umowy B2B – Data Act zakazuje klauzul nieuczciwych (czarna i szara lista). Warto przejrzeć wszystkie wzorce umów.
  8. Organy publiczne – w sytuacjach wyjątkowej potrzeby mogą żądać dostępu do danych, ale tylko w uzasadnionym zakresie.
  9. Zmiana dostawcy usług przetwarzania danych – musisz umożliwiać klientom łatwą migrację, stopniowo znosić opłaty i zapewniać interoperacyjność.

👉 Data Act to nie tylko obowiązki, ale także szansa – transparentne zasady zwiększą zaufanie klientów, a otwartość danych może stworzyć nowe modele biznesowe.

Podstawa prawna

  • Rozporządzenie (UE) 2023/2854 Parlamentu Europejskiego i Rady z dnia 13 grudnia 2023 r. w sprawie europejskich zasad dotyczących danych (Data Act):
    • art. 3, art. 4, art. 5, art. 7, art. 13, art. 15, art. 24, art. 25, art. 30, art. 37, art. 50
  • Rozporządzenie (UE) 2016/679 (RODO) – w szczególności art. 6 i art. 9
  • Zalecenie Komisji 2003/361/WE – definicja mikro-, małych i średnich przedsiębiorstw

Tematy porad zawartych w poradniku (SEO)

  • „obowiązki producentów produktów skomunikowanych Data Act 2025”
  • „prawo użytkownika do dostępu do danych Data Act”
  • „nieuczciwe klauzule w umowach B2B Data Act”
  • „udostępnianie danych organom publicznym Data Act”
  • „zmiana dostawcy usług chmurowych Data Act 2025”

Linki do stron urzędowych

Ostatnia aktualizacja: 16.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: