Przepisy unijnego Data Act (DA) wprowadzają szereg obowiązków dla firm świadczących usługi przetwarzania danych – w szczególności chmurowych. Jednym z kluczowych przepisów jest art. 24 DA, który określa granice tych obowiązków i wprowadza zasadę proporcjonalności. Dla przedsiębiorców korzystających z usług w modelu SaaS, PaaS czy IaaS, zrozumienie tej regulacji ma ogromne znaczenie – wpływa bowiem na sposób, w jaki mogą zmienić dostawcę usług chmurowych bez ryzyka utraty danych lub naruszenia bezpieczeństwa.
🧭 Cel i sens regulacji z art. 24 Data Act
Artykuł 24 Data Act pełni funkcję reguły interpretacyjnej – czyli wyznacza granice stosowania obowiązków nałożonych na wyjściowych dostawców usług przetwarzania danych. Oznacza to, że obowiązki określone w innych przepisach (m.in. art. 23, 25, 29, 30 i 34 DA) stosuje się wyłącznie w zakresie dotyczącym usług, umów i praktyk handlowych samego dostawcy.
W praktyce – dostawca, z którego usług korzysta klient, nie odpowiada za działania innych uczestników procesu, np. za błędy nowego dostawcy lub samego klienta.
Celem przepisu jest zapewnienie, aby proces zmiany dostawcy (np. migracja danych z jednej chmury do innej) przebiegał sprawnie i bezpiecznie, ale bez nadmiernego obciążenia jednego z uczestników procesu.
Artykuł 24 DA opiera się więc na dwóch fundamentalnych zasadach:
- zasadzie proporcjonalności – działania dostawcy mają być rozsądne i adekwatne do jego możliwości oraz obowiązków,
- zasadzie współdziałania w dobrej wierze – wynikającej z art. 27 DA, która nakłada na wszystkich uczestników procesu obowiązek współpracy.
Te dwa filary pozwalają pogodzić interesy trzech stron:
👉 wyjściowego dostawcy usług (od którego klient odchodzi),
👉 klienta, który przenosi swoje dane,
👉 docelowego dostawcy, który przyjmuje te dane.
💼 Zakres zastosowania art. 24 DA
Przepis ten można rozpatrywać na dwóch poziomach:
1️⃣ Jako ograniczenie odpowiedzialności dostawcy
Artykuł 24 ogranicza obowiązki wyjściowych dostawców do ich własnych usług, umów i praktyk handlowych.
Dostawca nie musi opracowywać nowych technologii, rozwiązań ani narzędzi tylko po to, by umożliwić klientowi migrację danych do innego środowiska.
W praktyce oznacza to, że:
- dostawca ma zapewnić wsparcie w granicach swojego systemu (np. udostępnić dane w określonym formacie, zapewnić dostęp API, przekazać dokumentację),
- ale nie jest zobowiązany do dostosowania swojego systemu do infrastruktury innego dostawcy.
Jak podkreślono w motywie 92 preambuły DA, wyjściowy dostawca nie musi odtwarzać swoich usług w środowisku innego dostawcy. Nie ma też dostępu do infrastruktury nowego dostawcy, więc jego odpowiedzialność kończy się na przekazaniu danych i dokumentacji w odpowiedni sposób.
📄 Przykład:
Firma DataCloud24 świadczy usługi przechowywania danych dla spółki TechNova. TechNova decyduje się na zmianę dostawcy na firmę SkyCompute. DataCloud24 ma obowiązek umożliwić bezpieczne przeniesienie danych – np. poprzez udostępnienie interfejsu eksportu danych i instrukcji technicznych.
Nie musi jednak tworzyć nowego oprogramowania, które będzie kompatybilne z platformą SkyCompute, ani ingerować w jej system. To odpowiedzialność nowego dostawcy i klienta.
2️⃣ Jako zasadę proporcjonalności – regułę interpretacyjną
Zasada proporcjonalności ma kluczowe znaczenie dla praktycznego stosowania Data Act. Oznacza ona, że wsparcie, którego wymaga się od dostawcy, musi być adekwatne do zakresu jego obowiązków oraz realnych możliwości.
W motywie 92 preambuły Data Act wskazano, że wyjściowy dostawca powinien udzielać „wszelkiej pomocy” i „wszelkiego wsparcia” potrzebnego do skutecznej zmiany dostawcy, ale w ramach swoich kompetencji i uprawnień, oraz proporcjonalnie do swoich obowiązków.
Oznacza to, że od dostawcy wymaga się rozsądnych działań, które:
- umożliwiają osiągnięcie celu – czyli udanej i bezpiecznej migracji danych,
- nie nakładają na niego nadmiernych obciążeń – finansowych, organizacyjnych czy technicznych.
⚙️ Jak daleko sięga obowiązek pomocy dostawcy?
Data Act nakłada na wyjściowych dostawców szereg różnych obowiązków, m.in.:
- udzielanie informacji o procesie migracji,
- przekazywanie dokumentacji technicznej,
- informowanie o potencjalnych zagrożeniach,
- zapewnianie wsparcia, w tym technicznego (np. narzędzia, zasoby, konsultacje).
Pojawia się jednak pytanie: gdzie leży granica pomocy?
Właśnie na to odpowiada art. 24 w związku z art. 30 ust. 6 DA.
Zgodnie z art. 30 ust. 6 Data Act, od wyjściowych dostawców nie wymaga się:
1️⃣ opracowania nowych technologii lub usług,
2️⃣ przekazania lub ujawnienia zasobów cyfrowych chronionych prawami własności intelektualnej,
3️⃣ przekazania lub ujawnienia tajemnic przedsiębiorstwa,
4️⃣ podejmowania działań, które mogłyby zagrozić bezpieczeństwu lub integralności usług klienta lub samego dostawcy.
📘 Innymi słowy – granice pomocy i wsparcia wyjściowego dostawcy wyznaczają:
- zakres jego obowiązków wynikający z DA,
- celowość działań (czy faktycznie są potrzebne do skutecznej zmiany dostawcy),
- racjonalność oczekiwań klienta (czy nie są nadmierne lub nierealne organizacyjnie),
- wymóg bezpieczeństwa usług,
- ochrona tajemnic handlowych i własności intelektualnej.
📄 Przykład praktyczny:
Spółka EcoData Sp. z o.o. zmienia dostawcę platformy analitycznej z CloudPoint na DeepMetric.
CloudPoint ma obowiązek przekazać dane i dokumentację, aby proces migracji przebiegł bezpiecznie.
Nie ma jednak obowiązku udostępniać kodu źródłowego swojego oprogramowania ani ujawniać sposobu działania algorytmów analitycznych, bo stanowią one tajemnicę przedsiębiorstwa.
Podobnie – nie musi inwestować w nowe narzędzia tylko po to, by uprościć migrację, jeśli istnieją już środki umożliwiające bezpieczne przeniesienie danych.
Kiedy klient może żądać pomocy od wyjściowego dostawcy?
Zgodnie z zasadą proporcjonalności określoną w art. 24 DA, klient, jego przedstawiciel lub docelowy dostawca mogą zwrócić się do wyjściowego dostawcy o wsparcie, ale tylko w określonych sytuacjach. Pomoc ta musi spełniać konkretne warunki, które mają chronić dostawcę przed nadmiernym obciążeniem, a jednocześnie zapewnić klientowi realne wsparcie w procesie migracji danych.
✅ Pomoc musi mieścić się w zakresie kompetencji i obowiązków dostawcy
Pierwszym i najważniejszym warunkiem jest to, że żądanie klienta musi dotyczyć działań, które rzeczywiście należą do kompetencji oraz obowiązków wyjściowego dostawcy wynikających z przepisów Data Act.
Nie można więc wymagać od niego np. modyfikowania infrastruktury innego podmiotu czy rozwiązywania problemów po stronie nowego dostawcy.
📄 Przykład:
Firma FinOptima korzysta z chmury obliczeniowej dostarczanej przez EuroCloud. Po rozwiązaniu umowy FinOptima żąda od EuroCloud opracowania nowego modułu eksportującego dane w formacie specyficznym dla nowego dostawcy.
Takie żądanie wykracza poza obowiązki wyjściowego dostawcy – jego zadaniem jest udostępnienie danych w standardowym, interoperacyjnym formacie, a nie tworzenie nowych technologii (co potwierdza art. 30 ust. 6 lit. a DA).
🎯 Pomoc musi prowadzić do celu – skutecznej i bezpiecznej zmiany dostawcy
Kolejny warunek ma charakter celowościowy. Wsparcie dostawcy musi faktycznie służyć osiągnięciu celu określonego w Data Act – czyli skutecznej, udanej i bezpiecznej zmiany dostawcy usług przetwarzania danych.
Jeśli klient domaga się informacji lub zasobów, które nie są potrzebne do przeprowadzenia migracji, ale służą innym celom (np. uzyskaniu wiedzy o strukturze technologicznej konkurenta), dostawca ma prawo odmówić.
📘 W praktyce oznacza to, że klient nie może wykorzystywać procesu migracji do pozyskania know-how lub innych informacji poufnych wyjściowego dostawcy.
Pomoc musi więc pozostawać w bezpośrednim związku z procesem zmiany usługodawcy.
⚖️ Pomoc musi być rozsądna i proporcjonalna
Trzecim kryterium jest rozsądny charakter żądania.
Wymagana pomoc musi być niezbędna lub przynajmniej przydatna do przeprowadzenia migracji, ale jednocześnie nie może prowadzić do nadmiernego obciążenia dostawcy – finansowego, organizacyjnego lub technicznego.
👉 Innymi słowy, jeśli migracja może być przeprowadzona przy użyciu istniejących narzędzi i dokumentacji, nie można wymagać od dostawcy kosztownych inwestycji lub reorganizacji systemu.
Zasada proporcjonalności chroni dostawców przed sytuacjami, w których pomoc klientowi staje się nieopłacalna lub technicznie niewykonalna.
📄 Przykład:
Spółka LogiSoft żąda od swojego byłego dostawcy usług chmurowych, aby przez sześć miesięcy utrzymywał dedykowane środowisko testowe dla procesu migracji.
Taki wymóg byłby nieproporcjonalny – dostawca powinien umożliwić migrację danych w rozsądnym terminie i formacie, ale nie ma obowiązku utrzymywać zasobów wykraczających poza standardowy proces przekazania danych.
🔐 Pomoc nie może zagrażać bezpieczeństwu i integralności usług
Kolejna granica wynika z konieczności zachowania bezpieczeństwa danych – zarówno po stronie klienta, jak i dostawcy.
Wyjściowy dostawca nie może podejmować działań, które mogłyby naruszyć integralność jego usług, systemów lub infrastruktury, ani takich, które mogłyby zagrozić bezpieczeństwu danych klienta.
Oznacza to, że nawet jeśli klient domaga się określonego rodzaju wsparcia technicznego, dostawca może odmówić, jeśli jego wykonanie wiązałoby się z ryzykiem dla stabilności lub bezpieczeństwa systemu.
📄 Przykład:
Klient prosi dostawcę o dostęp administracyjny do serwerów w celu samodzielnego eksportu danych.
Dostawca ma prawo odmówić, jeśli taki dostęp mógłby naruszyć bezpieczeństwo infrastruktury lub umożliwić ingerencję w system.
🧾 Pomoc nie może naruszać tajemnicy przedsiębiorstwa ani praw własności intelektualnej
Ostatnim i równie istotnym ograniczeniem jest ochrona informacji poufnych oraz własności intelektualnej dostawcy.
Zgodnie z art. 30 ust. 6 DA, od wyjściowego dostawcy nie wymaga się ujawniania:
- kodu źródłowego oprogramowania,
- algorytmów i rozwiązań technologicznych,
- danych chronionych prawami własności przemysłowej,
- know-how i innych tajemnic przedsiębiorstwa.
W praktyce, proces migracji danych nie może stać się pretekstem do uzyskania dostępu do wewnętrznych technologii dostawcy.
Pomoc ogranicza się do przekazania informacji i narzędzi niezbędnych do funkcjonalnego odtworzenia usług, ale bez naruszania poufności.
📄 Przykład:
Firma NetLogistics chce przenieść dane do nowej platformy. Prosi dotychczasowego dostawcę o udostępnienie schematów baz danych i logiki aplikacyjnej.
Dostawca może przekazać strukturę danych (np. format plików), ale nie musi ujawniać kodu SQL ani logiki algorytmicznej, która stanowi jego własność intelektualną.
🧠 Co to oznacza w praktyce dla przedsiębiorców?
Dla firm korzystających z usług chmurowych art. 24 DA oznacza, że proces zmiany dostawcy będzie:
- bardziej przejrzysty – dostawca ma obowiązek wspierać migrację danych,
- bezpieczny – przepisy chronią integralność danych i tajemnice przedsiębiorstwa,
- równoważny dla stron – klient nie może wymagać więcej, niż wynika z rozsądnych granic obowiązków dostawcy.
Dla dostawców z kolei przepis ten daje podstawę do:
- precyzyjnego określenia w umowie zakresu wsparcia migracyjnego,
- wyłączenia odpowiedzialności za obszary, które nie należą do ich usług,
- ochrony własności intelektualnej przed nieuprawnionym ujawnieniem.
📌 Wskazówka dla firm:
Jeśli Twoja organizacja korzysta z usług chmurowych, już dziś warto:
- sprawdzić, czy w umowie z dostawcą zawarte są postanowienia dotyczące migracji danych,
- określić, jakie formy wsparcia będą uznane za proporcjonalne i uzasadnione,
- przygotować procedurę wewnętrzną opisującą proces zmiany dostawcy – zgodną z zasadami Data Act.
Znaczenie praktyczne art. 24 Data Act dla dostawców i klientów usług chmurowych
Przepis art. 24 DA ma bardzo duże znaczenie praktyczne – szczególnie dla firm działających w branży IT, dostawców rozwiązań chmurowych oraz przedsiębiorców, którzy z takich usług korzystają.
Z jednej strony, doprecyzowuje on zakres obowiązków wyjściowego dostawcy, z drugiej – pozwala klientowi dochodzić swoich praw w procesie migracji danych, ale w sposób zrównoważony.
W praktyce oznacza to, że dostawcy mogą (a nawet powinni) opracować wewnętrzne procedury określające:
- jakie czynności są objęte obowiązkiem wsparcia klienta przy zmianie dostawcy,
- jakie działania wykraczają poza ten obowiązek (np. te, które wiązałyby się z naruszeniem tajemnicy przedsiębiorstwa lub wymagają opracowania nowych technologii),
- jakie formy pomocy technicznej i informacyjnej są dopuszczalne w świetle zasady proporcjonalności.
Takie rozróżnienie warto również komunikować klientom w sposób przejrzysty – np. w umowie lub w regulaminie świadczenia usług.
Dzięki temu obie strony zyskują jasność co do tego, jakie działania mieszczą się w granicach obowiązku wynikającego z Data Act.
📄 Przykład: jak stosować zasadę proporcjonalności w praktyce
Załóżmy, że firma InnovaCloud świadczy usługi analityki danych dla spółki BioTech Polska. Klient decyduje się przenieść dane do innego dostawcy – DataSphere.
W ramach procesu migracji:
- InnovaCloud udostępnia klientowi dane w formacie CSV i JSON,
- przekazuje dokumentację opisującą strukturę baz danych,
- oferuje konsultację techniczną dotyczącą procesu eksportu.
To jest zakres pomocy proporcjonalny i wymagany przez Data Act.
Natomiast InnovaCloud nie musi:
- udostępniać kodu źródłowego swojego systemu,
- opracowywać nowego oprogramowania migracyjnego,
- zapewniać dostępu administracyjnego do swojej infrastruktury,
- utrzymywać dedykowanych środowisk po zakończeniu umowy.
W ten sposób firma wypełnia swoje obowiązki wynikające z Data Act, a jednocześnie chroni swoje know-how i bezpieczeństwo infrastruktury.
💡 Korzyści z wdrożenia zasad wynikających z art. 24 DA
Dla dostawców usług chmurowych:
- przepis zapewnia jasne ramy odpowiedzialności – ogranicza ryzyko nadinterpretacji przez klientów,
- umożliwia zachowanie kontroli nad własnymi zasobami technologicznymi,
- pozwala z góry zaplanować proces migracji i unikać konfliktów.
Dla klientów usług chmurowych (firm korzystających z chmury):
- przepis gwarantuje prawo do uzyskania pomocy i wsparcia przy przenoszeniu danych,
- chroni ich przed nieuczciwymi praktykami dostawców (np. blokowaniem dostępu do danych po rozwiązaniu umowy),
- zwiększa bezpieczeństwo i przewidywalność procesu zmiany usługodawcy.
🧭 Ocena regulacji i uwagi krytyczne
Z punktu widzenia praktyki gospodarczej wprowadzenie art. 24 DA należy ocenić pozytywnie.
Przepis ten porządkuje zasady współpracy między uczestnikami rynku przetwarzania danych i wyznacza rozsądne granice obowiązków wyjściowych dostawców.
Zaletą regulacji jest:
- elastyczność – przepis nie narzuca sztywnych rozwiązań technicznych,
- praktyczność – można go stosować w różnych modelach usług (SaaS, PaaS, IaaS),
- ochrona równowagi interesów stron.
Jednocześnie należy zauważyć, że motywy preambuły Data Act nie rozwijają tej zasady wystarczająco szczegółowo. Brakuje tam praktycznych wskazówek interpretacyjnych, które pomogłyby przedsiębiorcom i prawnikom stosować art. 24 w codziennej działalności.
W rezultacie wiele kwestii – np. zakres pojęcia „wszelka pomoc” czy „rozsądne działania” – będzie musiało zostać doprecyzowanych w praktyce kontraktowej i orzeczniczej.
⚙️ Wdrożenie art. 24 DA w firmie – praktyczne kroki
Aby dostosować działalność do wymogów Data Act, firmy powinny:
1️⃣ Zaktualizować umowy z klientami i partnerami
– wprowadzić do nich jasne zapisy dotyczące procedury migracji danych, zakresu pomocy i terminów.
2️⃣ Opracować wewnętrzne wytyczne (politykę migracyjną)
– określającą, które działania są obowiązkowe, a które fakultatywne.
– zdefiniować standardowe formaty eksportu danych i sposoby komunikacji z klientem.
3️⃣ Zapewnić szkolenia dla personelu technicznego i działu obsługi klienta
– by wiedzieli, jak udzielać wsparcia zgodnego z Data Act i nie naruszyć przy tym poufności danych.
4️⃣ Komunikować zasady proporcjonalności klientom
– np. w sekcji FAQ lub w umowie o świadczenie usług chmurowych,
– dzięki temu klienci zrozumieją, jakie wsparcie im przysługuje, a jakie byłoby nadmiarowe.
📊 Znaczenie dla rynku usług chmurowych
Art. 24 DA wpisuje się w szerszy cel Data Act – ułatwienie zmiany dostawcy i zwiększenie konkurencyjności rynku danych w Unii Europejskiej.
Dzięki zasadzie proporcjonalności dostawcy nie są przeciążani nierealnymi obowiązkami, a klienci zyskują pewność, że proces migracji danych będzie przebiegał sprawnie i bezpiecznie.
Z długofalowej perspektywy można oczekiwać, że:
- rynek stanie się bardziej otwarty i dynamiczny,
- powstaną branżowe standardy migracji danych,
- klienci będą chętniej zmieniać dostawców, co zwiększy presję na jakość usług.
📚 Podstawa prawna
- art. 24 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie europejskiego aktu o danych (Data Act)
- art. 27 – Rozporządzenie Data Act
- art. 30 ust. 6 – Rozporządzenie Data Act
- motyw 92 preambuły Rozporządzenia Data Act
🧩 Tematy zawarte w poradniku
- zasada proporcjonalności w Data Act
- obowiązki wyjściowych dostawców usług chmurowych
- zmiana dostawcy usług przetwarzania danych
- ochrona tajemnicy przedsiębiorstwa a migracja danych
- praktyczne wdrożenie Data Act w firmach chmurowych