Rozdział VI Data Act (DA) otwiera zupełnie nowy etap w regulacjach dotyczących usług przetwarzania danych w Unii Europejskiej. Został on zaprojektowany w celu zwiększenia konkurencyjności rynku chmurowego oraz zagwarantowania klientom realnej możliwości zmiany dostawcy usług przetwarzania danych, przenoszenia danych pomiędzy różnymi środowiskami ICT oraz równoczesnego korzystania z kilku dostawców.
Komentowany art. 23 DA ma charakter wprowadzający i programowy – wyznacza kierunek całego rozdziału VI, który obejmuje przepisy od art. 23 do art. 31 DA. Artykuł ten ustanawia obowiązek dla dostawców usług przetwarzania danych, aby usuwali wszelkie przeszkody techniczne, handlowe, organizacyjne czy umowne, które mogą utrudniać klientom korzystanie z przysługujących im praw w zakresie zmiany dostawcy lub interoperacyjności usług.
1. Wprowadzenie do rozdziału VI DA
1.1. Ogólna charakterystyka i struktura rozdziału VI
Rozdział VI DA wprowadza zharmonizowane przepisy mające na celu ułatwienie klientom zmiany dostawcy usług przetwarzania danych, w szczególności w odniesieniu do usług w chmurze obliczeniowej i przetwarzania brzegowego.
Na dostawców nałożono szereg konkretnych obowiązków, obejmujących m.in.:
- Wprowadzenie odpowiednich postanowień umownych z klientami – art. 23 i art. 25 DA.
- Przekazywanie klientom informacji niezbędnych do zmiany dostawcy – art. 25, 26, 28, 29 i 31 DA.
- Rezygnację z opłat za proces zmiany dostawcy – art. 29 DA.
- Działanie w dobrej wierze i współpracę z innymi podmiotami podczas migracji danych – art. 27 DA.
- Zapewnienie interoperacyjności i równoważności funkcjonalnej między usługami – art. 23, 24, 30 i 31 DA.
Zakres regulacji nie ogranicza się jednak wyłącznie do zmiany dostawcy w ścisłym sensie. Obejmuje również:
- równoczesne korzystanie z usług kilku dostawców,
- usuwanie danych eksportowalnych i aktywów cyfrowych po zakończeniu usługi, nawet jeśli nie dochodzi do zmiany dostawcy.
Zgodnie z motywem 84 preambuły DA, najważniejszym celem rozdziału VI jest ułatwienie zmiany dostawcy, co ma sprzyjać powstawaniu interoperacyjnego i konkurencyjnego rynku usług danych w UE.
1.2. Cel regulacji
Jak wskazuje motyw 78 preambuły DA, celem wprowadzenia przepisów dotyczących zmiany dostawcy usług przetwarzania danych jest:
- Zmniejszenie barier wejścia dla nowych dostawców usług.
- Umożliwienie klientom płynnej zmiany dostawcy bez utraty funkcjonalności i bez przestoju w świadczeniu usług.
- Zapewnienie klientom możliwości korzystania z kilku dostawców jednocześnie – w sposób interoperacyjny i bez nadmiernych kosztów.
- Stworzenie bardziej otwartego i innowacyjnego rynku usług przetwarzania danych, na którym mniejsze firmy mogą skutecznie konkurować z dużymi graczami globalnymi.
W Sprawozdaniu z oceny skutków z 23 lutego 2022 r., które towarzyszyło projektowi DA, podkreślono, że dotychczasowe praktyki dostawców chmurowych często uniemożliwiały zmianę usługodawcy. Najwięksi gracze rynkowi wprowadzali:
- bariery techniczne (brak kompatybilności, zamknięte formaty danych),
- bariery ekonomiczne (wysokie opłaty za eksport danych),
- bariery umowne (utrudnione wypowiedzenie umowy, brak gwarancji interoperacyjności).
Takie praktyki prowadziły do podziału rynku między nielicznych globalnych dostawców, co ograniczało rozwój nowych podmiotów, w tym europejskich MŚP. Brak otwartych standardów technicznych skutkował tym, że mniejsze firmy nie były w stanie konkurować ani technicznie, ani ekonomicznie.
Regulacja wprowadzona w Data Act ma to zmienić – poprzez nałożenie obowiązków prawnych na dostawców i zapewnienie klientom realnych praw do migracji i interoperacyjności danych.
📚 Przykład praktyczny:
Mała firma z Poznania korzysta z usług dużego globalnego dostawcy chmury. Gdy chce przenieść swoje dane do polskiego operatora oferującego bardziej ekologiczne rozwiązania, dotychczasowy dostawca nakłada wysokie opłaty za eksport danych i nie udostępnia kompatybilnych formatów. Po wejściu w życie art. 23–30 DA, taka praktyka będzie niezgodna z prawem – dostawca musi umożliwić bezpłatne i technicznie wykonalne przeniesienie danych.
1.3. Relacje między Data Act a rozporządzeniem 2018/1807
Kwestia zmiany dostawcy usług przetwarzania danych nie pojawia się po raz pierwszy w prawie unijnym. Została częściowo uregulowana w rozporządzeniu (UE) 2018/1807 w sprawie swobodnego przepływu danych nieosobowych.
To wcześniejsze rozporządzenie (2018/1807):
- miało charakter samoregulacyjny – nie wprowadzało obowiązków, a jedynie zachęcało branżę do tworzenia kodeksów postępowania;
- odnosiło się wyłącznie do użytkowników profesjonalnych, czyli przedsiębiorców;
- nie obejmowało danych osobowych.
Zgodnie z art. 6 rozporządzenia 2018/1807, opracowywane kodeksy postępowania powinny określać:
- najlepsze praktyki w zakresie przenoszenia danych w ustrukturyzowanych, otwartych formatach,
- przejrzyste informacje o procesie i kosztach przenoszenia danych,
- ramy czasowe migracji,
- systemy certyfikacji i gwarancje dostępu do danych po upadłości dostawcy.
W praktyce jednak te kodeksy nie spełniły oczekiwań Komisji Europejskiej – obejmowały niewielką część rynku i koncentrowały się głównie na przejrzystości umów, pomijając kwestie techniczne i ekonomiczne.
Dlatego Data Act uzupełnia podejście samoregulacyjne o obowiązkowe przepisy. Jak stanowi art. 1 ust. 7 DA:
„Niniejsze rozporządzenie uzupełnia dobrowolne, samoregulacyjne podejście przewidziane w rozporządzeniu (UE) 2018/1807 poprzez wprowadzenie obowiązkowych wymogów wobec dostawców usług przetwarzania danych.”
Oznacza to, że DA nie uchyla rozporządzenia 2018/1807, lecz rozwija jego koncepcję – przekształcając dobrowolne standardy w wiążące obowiązki prawne.
2. Ogólna charakterystyka i struktura art. 23 DA
Art. 23 DA stanowi przepis wprowadzający do całego rozdziału VI. Wskazuje ogólne obowiązki dostawców i określa, jakie działania mają podjąć, by umożliwić klientom zmianę usług przetwarzania danych.
Zgodnie z treścią tego artykułu, dostawcy usług przetwarzania danych (czyli usług cyfrowych pozwalających na przechowywanie, przetwarzanie i udostępnianie danych w środowiskach sieciowych) powinni stosować środki określone w rozdziale VI, aby umożliwić klientom:
- Zmianę usługi przetwarzania danych na usługę tego samego typu świadczoną przez innego dostawcę.
- Przeniesienie danych do lokalnej infrastruktury ICT.
- Korzystanie z usług kilku dostawców jednocześnie.
Dostawcy mają obowiązek usuwania wszelkich przeszkód, które utrudniają realizację tych praw. Katalog tych przeszkód jest otwarty i obejmuje m.in.:
- utrudnienia umowne,
- bariery techniczne,
- przeszkody organizacyjne,
- utrudnienia przedkomercyjne (np. brak standardów, niedostępność dokumentacji technicznej).
Komentowany przepis odsyła do szczegółowych regulacji zawartych w art. 25–30 DA, które precyzują, jak technicznie i organizacyjnie należy realizować te obowiązki.
Redaktor Platinum mówi:
3. Zakres przedmiotowy art. 23 DA
Komentowany przepis, mimo że ma charakter wprowadzający, określa bardzo szeroki zakres uprawnień klientów korzystających z usług przetwarzania danych. Artykuł ten nie tylko odnosi się do zmiany dostawcy w ścisłym sensie (tzw. zmiana dostawcy sensu stricto), lecz także obejmuje inne formy mobilności i interoperacyjności danych, w tym przeniesienie ich do własnej infrastruktury lub równoczesne korzystanie z wielu dostawców.
3.1. Katalog uprawnień klientów korzystających z usług przetwarzania danych
3.1.1. Uprawnienia wynikające bezpośrednio z art. 23 DA
Zgodnie z treścią omawianego przepisu, klienci usług przetwarzania danych mają prawo do:
- Zmiany usługi przetwarzania danych na usługę tego samego typu świadczoną przez innego dostawcę.
- Przeniesienia danych do lokalnej infrastruktury ICT (czyli do własnych zasobów informatycznych).
- Równoczesnego korzystania z usług kilku dostawców – bez ograniczeń umownych lub technicznych.
3.1.2. Pełny katalog uprawnień wynikających z całego rozdziału VI DA
Na podstawie analizy art. 23 oraz art. 25 ust. 3 DA można zrekonstruować szerszy katalog uprawnień klientów, który obejmuje:
- Zmianę dostawcy usług przetwarzania danych (sensu largo), czyli:
- przejście do innego dostawcy usług tego samego typu,
- przeniesienie danych do własnej infrastruktury ICT,
- przejście do innej usługi innego typu, jeśli jest to technicznie możliwe.
- Korzystanie z kilku dostawców jednocześnie – dla realizacji tzw. strategii wielochmurowych.
- Usunięcie danych eksportowalnych i aktywów cyfrowych po zakończeniu usługi, nawet bez zmiany dostawcy.
3.1.3. Usługi tego samego typu – znaczenie pojęcia
Zakres art. 23 DA obejmuje przede wszystkim usługi tego samego typu, czyli takie, które mają ten sam cel i funkcje, ale mogą różnić się jakością, wydajnością lub bezpieczeństwem.
Definicję tego pojęcia zawiera art. 2 pkt 9 DA, zgodnie z którym:
„Usługi tego samego typu” oznaczają zestaw usług przetwarzania danych, które mają ten sam główny cel, opierają się na tym samym modelu usługi przetwarzania danych i mają te same najważniejsze funkcje.”
W praktyce oznacza to, że jeśli klient korzysta np. z infrastruktury chmurowej typu IaaS u jednego dostawcy, to powinien mieć możliwość przeniesienia się do innego dostawcy oferującego usługę tego samego typu, zachowując przy tym porównywalną funkcjonalność i dostępność.
📌 Przykład:
Firma „NetCom” korzysta z infrastruktury chmurowej typu IaaS u dużego dostawcy globalnego. Postanawia przenieść swoje dane do europejskiego dostawcy oferującego również IaaS. Zgodnie z art. 23 DA, dotychczasowy dostawca nie może utrudniać tego procesu (np. poprzez brak dokumentacji API lub opłaty za eksport danych), a nowy dostawca musi umożliwić osiągnięcie równoważności funkcjonalnej.
3.1.4. Pełny katalog scenariuszy dostępnych dla klientów
Z analizy art. 23 oraz art. 25 ust. 2–3 DA wynika, że klienci mogą korzystać z kilku różnych scenariuszy zmiany lub zakończenia usług, w zależności od swoich potrzeb:
- Zakończenie korzystania z usług bez zmiany dostawcy:
- klient rozwiązuje umowę i żąda usunięcia wszystkich swoich danych i aktywów cyfrowych (art. 25 ust. 2 lit. c ppkt ii, art. 25 ust. 2 lit. h, art. 25 ust. 3 lit. c DA).
- Zmiana dostawcy sensu stricto:
- rozwiązanie umowy z dotychczasowym dostawcą,
- zawarcie nowej umowy z dostawcą docelowym,
- przeniesienie danych i aktywów cyfrowych,
- usunięcie danych przez dostawcę wyjściowego,
- uzyskanie równoważności funkcjonalnej w nowym środowisku (art. 23 lit. a–d DA, art. 25 ust. 2 lit. a, art. 25 ust. 3 lit. a DA).
- Przejście na lokalną infrastrukturę ICT:
- klient rezygnuje z usług zewnętrznych, przenosi dane do własnych serwerów lub infrastruktury najmu,
- dotychczasowy dostawca usuwa dane z chmury po zakończeniu procesu (art. 23 lit. a i c DA, art. 25 ust. 2 lit. a, art. 25 ust. 3 lit. b DA).
- Korzystanie z kilku dostawców równocześnie:
- klient zawiera nową umowę z dodatkowym dostawcą,
- dane są przenoszone do nowego środowiska bez usuwania z dotychczasowego,
- umożliwia to tzw. multicloud interoperability (art. 23 oraz art. 34 DA).
- Oddzielenie usług typu IaaS od innych usług przetwarzania danych:
- jeśli dostawca oferuje kilka typów usług jednocześnie, klient ma prawo do oddzielenia ich, o ile jest to technicznie możliwe (art. 23 lit. e DA).
3.2. Definicja i etapy zmiany dostawcy usług przetwarzania danych
Zgodnie z art. 2 pkt 34 DA, pojęcie „zmiana dostawcy usług przetwarzania danych” (zmiana dostawcy sensu largo)obejmuje dwa typy działań:
- Zmianę dostawcy sensu stricto – przejście od jednej usługi do innej (tego samego typu) u innego dostawcy.
- Przeniesienie danych do lokalnej infrastruktury ICT będącej własnością klienta.
Proces zmiany dostawcy obejmuje cztery zasadnicze etapy (zgodnie z motywem 85 preambuły DA):
- Inicjacja procesu – klient składa wniosek o rozpoczęcie procedury zmiany dostawcy.
- Ekstrakcja danych – wyjściowy dostawca pobiera dane z własnego systemu.
- Transformacja danych – dostosowanie danych do formatu środowiska docelowego.
- Załadowanie danych – przeniesienie ich do nowej lokalizacji (nowy dostawca lub infrastruktura klienta).
Za poszczególne etapy odpowiadają różne podmioty:
- inicjacja – klient,
- ekstrakcja i transformacja – dostawca wyjściowy,
- załadowanie – klient lub dostawca docelowy.
3.3. Równoczesne korzystanie z usług kilku dostawców
Regulacja Data Act obejmuje również sytuację, w której klient korzysta z kilku dostawców jednocześnie, tzw. multicloud approach.
Zgodnie z art. 23 DA oraz art. 34 DA (rozdział VIII), przepisy o interoperacyjności stosuje się odpowiednio do umożliwienia współpracy usług różnych dostawców.
Motyw 99 preambuły DA wyjaśnia, że dotyczy to przypadków, gdy klienci nie rozwiązują umowy z dotychczasowym dostawcą, lecz integrują jego usługę z innymi rozwiązaniami. Dzięki temu mogą korzystać z komplementarnych funkcji różnych usług przetwarzania danych i zwiększać swoją odporność operacyjną (digital resilience).
W przeciwieństwie do pełnej zmiany dostawcy, proces ten:
- nie obejmuje usunięcia danych u dostawcy wyjściowego,
- może mieć charakter ciągły,
- umożliwia przepływ danych między środowiskami w czasie rzeczywistym.
Dostawcy mogą pobierać opłaty za transfer danych między środowiskami, ale tylko w wysokości odpowiadającej rzeczywistym kosztom (motyw 99 oraz art. 29 DA).
4. Rozwiązanie umowy, przeniesienie danych i usunięcie przeszkód – szczegółowa analiza art. 23 DA
Art. 23 DA nie tylko określa cele, lecz także nakłada konkretne obowiązki na dostawców usług przetwarzania danych, które mają zagwarantować klientom możliwość swobodnej zmiany dostawcy, przenoszenia danych oraz korzystania z usług wielu podmiotów równocześnie.
4.1. Rozwiązanie umowy o świadczenie usług przetwarzania danych
Zgodnie z art. 23 lit. a DA, klient nie może być pozbawiony prawa do rozwiązania umowy o świadczenie usługi przetwarzania danych po upływie okresu wypowiedzenia.
Oznacza to, że dostawcy nie mogą stosować tzw. klauzul wiążących (ang. lock-in clauses), które uniemożliwiają klientowi rezygnację z usług bez ponoszenia nadmiernych kosztów.
W praktyce oznacza to zakaz stosowania m.in.:
nieuzasadnionych kar umownych,
warunków utrudniających wypowiedzenie umowy (np. konieczność pisemnego uzasadnienia),
automatycznych przedłużeń umów bez wyraźnej zgody klienta.
Jednocześnie Data Act dopuszcza zawieranie umów na czas określony, pod warunkiem że:
warunki wypowiedzenia są proporcjonalne,
kary za wcześniejsze rozwiązanie nie naruszają prawa UE lub krajowego,
postanowienia są zgodne z zasadami ochrony konsumentów i przedsiębiorców.
📚 Przykład:
Firma „TechNova” podpisała umowę z dostawcą usług SaaS na 36 miesięcy. Umowa przewiduje, że wcześniejsze rozwiązanie wymaga zapłaty 80% pozostałego wynagrodzenia. Po wejściu w życie art. 23 DA taki zapis może zostać uznany za nieproporcjonalny i sprzeczny z przepisami rozporządzenia.
4.2. Przeniesienie danych eksportowalnych i aktywów cyfrowych
Przeniesienie danych stanowi kluczowy element zmiany dostawcy.
Zgodnie z art. 23 lit. c DA oraz art. 25 ust. 2 lit. a DA, dostawcy są zobowiązani do:
umożliwienia klientowi przeniesienia danych eksportowalnych i aktywów cyfrowych do innego dostawcy lub własnej infrastruktury ICT,
usunięcia tych danych po zakończeniu świadczenia usług, jeśli klient tego żąda.
Dane eksportowalne obejmują wszystkie informacje wytwarzane, przechowywane lub przetwarzane przez klienta w ramach usługi. Aktywa cyfrowe to natomiast powiązane z nimi elementy niematerialne, np. konfiguracje, klucze API czy metadane.
Uprawnienie do przenoszenia danych przysługuje zarówno klientom płacącym, jak i korzystającym z usług bezpłatnych. Celem tej regulacji jest zapobieżenie uzależnieniu użytkowników od jednego dostawcy nawet w przypadku ofert darmowych (motyw 78 preambuły DA).
4.3. Uzyskanie równoważności funkcjonalnej
Zgodnie z art. 23 lit. d DA dostawcy usług przetwarzania danych muszą nie stawiać przeszkód w uzyskaniu tzw. równoważności funkcjonalnej przy przejściu do innego dostawcy usług tego samego typu.
Art. 2 pkt 37 DA definiuje to pojęcie w następujący sposób:
„Równoważność funkcjonalna oznacza przywrócenie minimalnego poziomu funkcjonalności w środowisku nowej usługi przetwarzania danych tego samego typu po procesie zmiany dostawcy, przy czym usługa docelowa daje zasadniczo porównywalny rezultat w odpowiedzi na te same dane wejściowe.”
W praktyce oznacza to, że nowa usługa powinna działać co najmniej w zbliżony sposób do poprzedniej, umożliwiając klientowi kontynuację działalności bez utraty danych lub funkcjonalności.
Obowiązek ten dotyczy wyłącznie wyjściowego dostawcy (zgodnie z art. 24 DA), który ma zapewnić, że jego działania lub rozwiązania techniczne nie utrudniają uzyskania równoważności.
Nie należy jednak mylić niestawiania przeszkód z ułatwianiem równoważności funkcjonalnej – to drugie jest obowiązkiem jedynie dostawców modelu IaaS (zgodnie z art. 30 ust. 1 DA).
4.4. Oddzielenie usług przetwarzania danych
Zgodnie z art. 23 lit. e DA, dostawcy usług przetwarzania danych muszą usuwać przeszkody w oddzieleniu usług typu IaaS od innych usług, o ile jest to technicznie możliwe.
Motyw 93 preambuły DA precyzuje, że obowiązek ten istnieje, „o ile nie istnieją duże i możliwe do wykazania przeszkody techniczne uniemożliwiające takie oddzielenie”.
Oznacza to, że:
dostawcy nie mogą łączyć różnych modeli usług (np. IaaS, PaaS, SaaS) w sposób uniemożliwiający klientowi częściowe zakończenie współpracy,
ciężar dowodu istnienia przeszkód technicznych spoczywa na dostawcy.
📄 Przykład:
Dostawca chmurowy „SkyData” oferuje klientowi kompleksowy pakiet usług (IaaS + PaaS). Klient chce rozwiązać umowę tylko w zakresie infrastruktury (IaaS). Dostawca odmawia, twierdząc, że usługi są „nierozłączne”. Po wejściu w życie DA będzie musiał wykazać, że istnieją realne, techniczne przeszkody uniemożliwiające oddzielenie usług.
4.5. Przeszkody utrudniające korzystanie z uprawnień
Data Act wyróżnia pięć głównych kategorii przeszkód, które dostawcy mają obowiązek usuwać:
Przedkomercyjne – brak procedur migracyjnych, niedostępność otwartych formatów danych, brak standardów interoperacyjności.
Handlowe – wysokie opłaty, uzależnianie współpracy od długoterminowych kontraktów.
Umowne – klauzule blokujące rozwiązanie umowy lub ograniczające prawa klienta.
Techniczne – brak narzędzi eksportu danych, brak kompatybilności API, spowolnienie transferu danych.
Organizacyjne – brak dedykowanego wsparcia technicznego, brak osób odpowiedzialnych za migrację.
Wszystkie te przeszkody naruszają zasadę, zgodnie z którą dostawcy mają obowiązek aktywnie wspierać mobilność danych i klientów w ramach unijnego rynku cyfrowego.
5. Usługi przetwarzania danych objęte rozdziałem VI DA
5.1. Definicja
Zgodnie z art. 2 pkt 8 DA,
„Usługa przetwarzania danych oznacza usługę cyfrową umożliwiającą wszechobecny sieciowy dostęp na żądanie do wspólnego zbioru konfigurowalnych, skalowalnych i elastycznych zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym.”
W praktyce są to więc wszystkie usługi chmurowe i brzegowe, które:
działają w środowisku sieciowym,
umożliwiają przechowywanie, przetwarzanie lub wymianę danych,
oferują elastyczne i skalowalne zasoby (np. przestrzeń dyskową, moc obliczeniową, oprogramowanie).
5.2. Modele usług objętych DA
DA obejmuje trzy podstawowe modele usług chmurowych:
IaaS (Infrastructure as a Service) – infrastruktura jako usługa, czyli wynajem zasobów sprzętowych i serwerowych.
PaaS (Platform as a Service) – platforma jako usługa, udostępniająca środowisko programistyczne.
SaaS (Software as a Service) – oprogramowanie jako usługa, czyli aplikacje dostępne online.
Ponadto regulacje DA obejmują również modele hybrydowe określane jako XaaS (Everything as a Service) – np. STaaS, DBaaS, DRaaS czy DaaS – o ile spełniają warunki definicyjne usług przetwarzania danych.
Redaktor Platinum mówi:
6. Wyłączenia, adresaci obowiązków i zakres podmiotowy art. 23 DA
Rozdział VI Data Act (DA) nie obejmuje wszystkich usług cyfrowych w równym stopniu. Przepisy precyzują, które podmioty i rodzaje usług są objęte obowiązkami, a które korzystają z częściowych lub całkowitych wyłączeń. Dzięki temu regulacja pozostaje proporcjonalna i możliwa do wdrożenia w zróżnicowanym ekosystemie usług przetwarzania danych.
6.1. Usługi wyłączone z obowiązków rozdziału VI DA
6.1.1. Usługi testowe i nieprodukcyjne
Zgodnie z art. 31 ust. 2 DA, obowiązki dotyczące zmiany dostawcy nie mają zastosowania do usług przetwarzania danych świadczonych przez ograniczony okres jako nieprzeznaczone do produkcji wersje testowe lub ocenne.
Oznacza to, że tzw. wersje próbne (np. darmowe testowe wersje chmury) nie muszą spełniać wymogów dotyczących interoperacyjności, równoważności funkcjonalnej czy migracji danych, o ile służą wyłącznie testom i nie są komercyjnie oferowane.
6.1.2. Usługi opracowane na indywidualne zamówienie
Zgodnie z art. 31 ust. 1 DA, z obowiązków rozdziału VI zwolnione są także:
a) usługi przetwarzania danych, których większość głównych cech została opracowana na indywidualne potrzeby konkretnego klienta,
b) usługi, w których wszystkie komponenty opracowano wyłącznie dla jednego klienta i które nie są oferowane na szeroką skalę.
W takich przypadkach dostawcy nie muszą:
- zapewniać równoważności funkcjonalnej (art. 23 lit. d i art. 30 ust. 1 DA),
- rezygnować z opłat za zmianę dostawcy (art. 29 DA),
- stosować wspólnych specyfikacji i norm interoperacyjności (art. 30 ust. 3 DA).
Powód jest praktyczny: usługi tworzone „na miarę” często są tak ściśle powiązane z infrastrukturą klienta, że nie da się ich przenieść w sposób standardowy.
6.1.3. Usługi online w zakresie treści
DA nie obejmuje tzw. usług online w zakresie treści, o których mowa w art. 2 pkt 5 rozporządzenia (UE) 2017/1128, czyli np. serwisów streamingowych, platform VOD, czy portali muzycznych.
Motyw 16 preambuły DA precyzuje, że dane generowane przez użytkowników podczas korzystania z takich usług (np. odtwarzanie filmów, przesyłanie muzyki) oraz same treści – które są chronione prawem autorskim – nie podlegają przepisom Data Act.
6.2. Adresaci obowiązków z art. 23 DA
6.2.1. Dostawcy usług przetwarzania danych
Adresatami obowiązków są wyłącznie wyjściowi dostawcy usług przetwarzania danych – czyli ci, z którymi klient zawarł umowę i od których zamierza odejść (art. 24 DA).
Zgodnie z definicją zawartą w art. 3 pkt 4 rozporządzenia 2018/1807, dostawcą usług przetwarzania danych jest osoba fizyczna lub prawna świadcząca usługi przetwarzania danych na rzecz klientów.
Data Act rozciąga ten obowiązek również na dostawców spoza UE, jeżeli świadczą usługi klientom w Unii (art. 1 ust. 3 lit. f DA).
Oznacza to, że np. amerykański lub azjatycki dostawca chmury, oferujący swoje usługi europejskim firmom, będzie musiał przestrzegać wymogów DA.
6.2.2. Rodzaje dostawców
DA wyróżnia dwa typy dostawców (art. 2 pkt 34 DA):
- Wyjściowy dostawca – podmiot, z którego usług klient aktualnie korzysta.
- Docelowy dostawca – podmiot, z którego usług klient zamierza korzystać po migracji lub równocześnie z poprzednim.
Dodatkowo istnieją cztery główne scenariusze relacji:
| Nr | Sytuacja | Liczba dostawców | Opis |
|---|---|---|---|
| 1 | Zmiana dostawcy sensu stricto | 2 | Klient kończy umowę z jednym dostawcą i zawiera nową z innym. |
| 2 | Przejście do infrastruktury własnej | 1 | Klient rezygnuje z usług i przenosi dane do własnych zasobów ICT. |
| 3 | Równoczesne korzystanie z kilku dostawców | 2 lub więcej | Klient korzysta z usług wielu podmiotów jednocześnie. |
| 4 | Usunięcie danych po zakończeniu usługi | 1 | Klient kończy umowę bez przenoszenia danych. |
6.2.3. Dostawca jako klient
Zgodnie z motywem 91 preambuły DA, dostawca usług przetwarzania danych może sam występować w roli klienta wobec innego dostawcy.
W takim przypadku:
- w stosunku do własnych klientów – jest zobowiązany do wypełniania obowiązków DA,
- wobec swojego usługodawcy – może korzystać z praw przewidzianych dla klientów.
📌 Przykład:
Dostawca „CloudBox” oferuje usługi SaaS, ale sam korzysta z infrastruktury IaaS innego podmiotu. Wobec swoich klientów CloudBox musi stosować DA jako dostawca, natomiast wobec swojego usługodawcy – jest klientem i może domagać się m.in. przeniesienia danych.
6.2.4. Outsourcing przez dostawców
Dostawca może realizować swoje obowiązki samodzielnie lub za pośrednictwem podwykonawców. Jednak zgodnie z motywem 89 preambuły DA, klient nie może ponosić kosztów wynikających z tego, że dostawca zleca wykonanie obowiązków osobom trzecim.
Odpowiedzialność wobec klienta zawsze pozostaje po stronie wyjściowego dostawcy.
6.3. Klienci jako beneficjenci regulacji
Zgodnie z art. 2 pkt 30 DA,
„Klient” oznacza osobę fizyczną lub prawną, która zawarła umowę z dostawcą usług przetwarzania danych w celu skorzystania z co najmniej jednej usługi przetwarzania danych.”
Klientem może więc być zarówno przedsiębiorca, jak i osoba fizyczna, o ile korzysta z usługi w UE (art. 1 ust. 3 lit. f DA).
Klient ma prawo wykonywać swoje uprawnienia:
- samodzielnie, albo
- za pośrednictwem osoby trzeciej, działającej w jego imieniu i na jego rzecz (art. 25 ust. 2 lit. a ppkt i DA).
7. Znaczenie praktyczne art. 23 DA
7.1. Wymiar programowy i systemowy
Art. 23 DA stanowi rdzeń całego rozdziału VI, określając ogólne cele i zasady, które rozwijają następne przepisy (art. 24–31).
Ma on charakter programowy – wskazuje, że celem regulacji jest umożliwienie klientom swobodnego i efektywnego przenoszenia danych oraz współpracy z różnymi dostawcami w duchu otwartości i interoperacyjności.
Przepis ten stanowi również punkt odniesienia przy interpretacji pozostałych norm Data Act – zwłaszcza przy rozstrzyganiu wątpliwości dotyczących proporcjonalności obowiązków lub dopuszczalności pewnych praktyk rynkowych.
7.2. Wymiar praktyczny – obowiązki dostawców i prawa klientów
W praktyce art. 23 DA wymusza na dostawcach gruntowny przegląd swoich umów, procedur i systemów technicznych.
Dostawcy powinni:
- zidentyfikować potencjalne przeszkody w procesie migracji danych,
- opracować procedury wspierające klientów w zmianie dostawcy,
- zapewnić zgodność z wymogami interoperacyjności i równoważności funkcjonalnej.
Klienci natomiast mogą powoływać się na art. 23 DA w sytuacji, gdy dostawca utrudnia im zmianę usługodawcy lub transfer danych. Nawet jeśli przeszkoda nie została wymieniona wprost w przepisach, klienci mogą domagać się jej usunięcia, powołując się na ogólną zasadę usuwania barier.
7.3. Krytyczna ocena rozwiązań
Regulacja została oceniona pozytywnie za kompleksowe ujęcie problematyki – obejmuje aspekty techniczne, umowne i organizacyjne.
Jednocześnie wskazuje się na kilka słabości:
- niespójność terminologiczną – przepis mówi o „zmianie usługi przetwarzania danych”, mimo że w całym DA zdefiniowano pojęcie „zmiany dostawcy”;
- zbyt ogólne sformułowanie warunku „technicznej możliwości” oddzielenia usług, co może rodzić spory interpretacyjne;
- ryzyko, że dostawcy usług IaaS będą przypisywać swoje usługi do innych modeli (PaaS, SaaS), aby uniknąć ostrzejszych obowiązków.
7.4. Środki wymagane od dostawców – zestawienie
| Nr | Obowiązek | Opis | Podstawa prawna |
|---|---|---|---|
| 1 | Postanowienia umowne | Umowa musi umożliwiać zmianę dostawcy na wniosek klienta | art. 25 ust. 2 DA |
| 2 | Procedury migracji danych | Dostawca musi udostępniać informacje o formatach, czasie i metodach przeniesienia danych | art. 26 DA |
| 3 | Rejestr internetowy | Zawiera informacje o strukturach danych, formatach i normach interoperacyjności | art. 26 DA |
| 4 | Środki zapobiegające bezprawnemu dostępowi do danych | Np. szyfrowanie, audyty, certyfikacje bezpieczeństwa | art. 28 DA |
| 5 | Zakładka informacyjna na stronie dostawcy | Informacje o jurysdykcji i zabezpieczeniach danych | art. 28 DA |
Podstawa prawna
- art. 1 ust. 3 lit. f, ust. 7, art. 2 pkt 8–9, 30, 33–37, art. 23–31 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie harmonizacji przepisów dotyczących dostępu do danych oraz ich wykorzystywania (Data Act).
- art. 6 – Rozporządzenie (UE) 2018/1807 w sprawie swobodnego przepływu danych nieosobowych.
- art. 2 pkt 5 – Rozporządzenie (UE) 2017/1128 w sprawie transgranicznego przenoszenia usług online.
Tematy zawarte w poradniku
- zmiana dostawcy usług przetwarzania danych (Data Act, art. 23–31)
- równoważność funkcjonalna i interoperacyjność usług chmurowych
- obowiązki dostawców chmurowych wobec klientów w UE
- wyłączenia i ograniczenia stosowania Data Act
- procedury przenoszenia danych i usuwania przeszkód w zmianie dostawcy