1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Art. 32 Data Act – ochrona danych nieosobowych przed dostępem spoza UE
Wyszukiwanie...
Data publikacji: 15.02.2026

Art. 32 Data Act – ochrona danych nieosobowych przed dostępem spoza UE

Spis treści

Unijne rozporządzenie Data Act (DA) wprowadza kompleksowe zasady dotyczące udostępniania i przetwarzania danych w środowisku cyfrowym. Jednym z kluczowych przepisów tego aktu jest art. 32, który określa zasady ochrony danych nieosobowych przed nieuprawnionym dostępem organów publicznych spoza Unii Europejskiej.

Celem regulacji jest zapewnienie przedsiębiorcom i dostawcom usług przetwarzania danych większej pewności prawnej w sytuacjach, gdy zagraniczne organy występują z żądaniami przekazania danych przechowywanych w Unii.

Wprowadzenie i ratio legis art. 32 Data Act

Artykuł 32 Data Act pełni funkcję jednego z filtrów ochronnych systemu unijnego w zakresie przetwarzania danych. Ustawodawca unijny, tworząc ten przepis, kierował się dwiema nadrzędnymi przesłankami:

  1. Zabezpieczeniem danych nieosobowych przechowywanych w Unii Europejskiej przed dostępem władz państw trzecich, który nie ma podstawy w prawie unijnym lub krajowym;
  2. Zapewnieniem przewidywalności prawnej dla podmiotów gospodarczych posiadających lub przetwarzających dane w razie żądań transgranicznych.

W odróżnieniu od klasycznych regulacji dotyczących interoperacyjności czy dostępu do danych, art. 32 DA wkracza w obszar pogranicza prawa międzynarodowego, ochrony interesu publicznego oraz zasady autonomii porządku prawnego UE. Oznacza to, że przepis ten ma nie tylko wymiar techniczny, ale także geopolityczny i suwerennościowy.

Inspiracją dla tej konstrukcji była tzw. doktryna cyfrowej suwerenności, rozwijana przez Unię po wyroku Trybunału Sprawiedliwości w sprawie Schrems II. Orzeczenie to zwróciło uwagę na konieczność sprawowania realnej kontroli nad tym, kto i na jakich zasadach może uzyskać dostęp do danych przetwarzanych w ramach europejskich infrastruktur chmurowych.

Artykuł 32 Data Act stanowi więc narzędzie prewencyjne – ma zniechęcać zagraniczne organy do formułowania żądań, które nie znajdują oparcia w porozumieniach międzynarodowych.

Nie oznacza to jednak, że przepis wprowadza całkowity zakaz współpracy z organami spoza UE. Wręcz przeciwnie – dopuszcza taką współpracę, o ile istnieje ku temu wyraźna podstawa prawna, np. traktat, umowa międzynarodowa czy decyzja Rady Unii Europejskiej (art. 32 ust. 2 DA).

Zakres zastosowania art. 32 Data Act

Kogo dotyczy przepis?

Zakres podmiotowy art. 32 jest szeroki. Obejmuje każdego dostawcę usług przetwarzania danych, w rozumieniu art. 2 pkt 8 DA. Dotyczy to więc zarówno:

  • dostawców infrastruktury chmurowej (IaaS),
  • platform przetwarzania danych (PaaS),
  • jak i usług oprogramowania w modelu SaaS.

Nie ma znaczenia, czy dany podmiot jest jednocześnie posiadaczem danych – obowiązki z art. 32 mogą dotyczyć również tych usługodawców, którzy jedynie udostępniają środowisko techniczne lub infrastrukturę do przetwarzania.

W praktyce należy zatem odróżnić dwie role:

  • dostawcy usługi (zapewniającego narzędzia i zasoby do przetwarzania danych),
  • posiadacza danych (który faktycznie kontroluje dostęp do danych).

Jakie dane obejmuje przepis?

Artykuł 32 odnosi się do danych nieosobowych przechowywanych na terytorium Unii, niezależnie od ich rodzaju, formatu czy wartości. Przykładem mogą być:

  • dane techniczne pochodzące z urządzeń przemysłowych,
  • dane generowane przez czujniki IoT,
  • dane operacyjne przetwarzane w ramach systemów logistycznych lub energetycznych.

W praktyce dane mają często charakter mieszany, tzn. zawierają zarówno elementy osobowe, jak i nieosobowe. W takich przypadkach – zgodnie z art. 1 ust. 5 DA – Data Act stosuje się wyłącznie do części nieosobowej, przy czym pierwszeństwo ma RODO, jeśli istnieje kolizja norm.

Jakie sytuacje obejmuje art. 32?

Zakres przedmiotowy przepisu jest również szeroki. Obejmuje każdy przypadek, w którym organ państwa trzeciego żąda dostępu do danych przechowywanych w UE – niezależnie od tego, czy chodzi o:

  • decyzje sądowe,
  • żądania organów administracyjnych,
  • czy działania służb bezpieczeństwa (o charakterze karnym, cywilnym lub regulacyjnym).

Co istotne, przepis obejmuje również pośrednie formy przekazania danych, np. gdy dane mają zostać udostępnione:

  • przez lokalny oddział międzynarodowej korporacji,
  • za pośrednictwem partnera technologicznego,
  • albo podmiotu trzeciego działającego w imieniu zagranicznego organu publicznego.

Zakaz przekazania danych bez podstawy prawnej (ust. 1)

Pierwszy ustęp art. 32 DA wprowadza fundamentalną zasadę:
📄 „Dostawca usług przetwarzania danych nie może przekazać danych nieosobowych organowi publicznemu państwa trzeciego, jeśli nie istnieje ku temu wyraźna podstawa prawna wynikająca z prawa Unii, prawa krajowego lub umowy międzynarodowej, której stroną jest Unia lub państwo członkowskie.”

To wyraz zasady legalizmu (nullum officium sine lege) w kontekście przetwarzania danych – przekazanie danych może nastąpić wyłącznie na podstawie prawa, a nie na podstawie uznaniowej decyzji posiadacza danych.

W praktyce oznacza to, że:

  • dostawca usług musi każdorazowo sprawdzić, czy istnieje odpowiednia podstawa prawna,
  • w przypadku jej braku – nie wolno przekazać danych, nawet jeśli żądanie pochodzi od organu publicznego.

Ustęp 1 ma charakter zakazu warunkowego – nie zabrania przekazania danych w ogóle, ale uzależnia jego dopuszczalność od spełnienia określonych wymogów formalnych.

Adresatem tej normy jest posiadacz danych, który ponosi pełną odpowiedzialność za:

  • ocenę legalności przekazania danych,
  • skutki prawne ewentualnego naruszenia tego zakazu.

Z punktu widzenia zgodności z przepisami (compliance) oznacza to konieczność wprowadzenia w organizacji:

  • procedur weryfikacji żądań dostępu do danych spoza UE,
  • zasad ich dokumentowania i archiwizacji,
  • oraz procesów decyzyjnych określających, kto może podjąć decyzję o ewentualnym udostępnieniu.

📌 Przykład praktyczny

Spółka TechCloud Polska sp. z o.o., będąca dostawcą usług chmurowych w modelu PaaS, otrzymuje pismo od amerykańskiego organu regulacyjnego z żądaniem udostępnienia danych telemetrycznych dotyczących działania urządzeń przemysłowych klienta z Niemiec.

Zgodnie z art. 32 ust. 1 DA, TechCloud nie może przekazać danych, dopóki nie ustali, że:

  • żądanie opiera się na umowie międzynarodowej lub innym instrumencie uznanym przez Unię,
  • a przekazanie jest zgodne z prawem Unii i państwa członkowskiego.

Jeśli taka podstawa nie istnieje, spółka ma obowiązek odmówić wykonania żądania i odnotować ten fakt w swojej dokumentacji wewnętrznej.

Zakaz uznawania i wykonywania decyzji organów państw trzecich (ust. 2 i 3)

Ustępy 2 i 3 art. 32 Data Act rozszerzają zasadę z ustępu pierwszego, precyzując, że dostawca usług przetwarzania danych nie może uznać ani wykonać decyzji sądowej, administracyjnej lub innego rodzaju orzeczenia wydanego przez organ państwa trzeciego, jeśli nie zostało ono oparte na uzgodnionym mechanizmie międzynarodowym.

Przykładami takich mechanizmów mogą być:

  • traktaty o wzajemnej pomocy prawnej,
  • porozumienia o współpracy sądowej lub administracyjnej,
  • decyzje Rady Unii Europejskiej zatwierdzające konkretne umowy międzynarodowe.

Celem tej regulacji jest uniemożliwienie obejścia zakazu z ust. 1 poprzez pozorne uzyskanie „formalnego” orzeczenia zagranicznego sądu.

Innymi słowy – nawet jeśli sąd spoza UE (np. w USA) wyda orzeczenie nakazujące przekazanie danych przechowywanych w Unii, to nie może ono być uznane ani wykonane, jeśli nie istnieje odpowiednia umowa międzynarodowa regulująca taką współpracę.

Kontekst prawny i analogie

Konstrukcja art. 32 ust. 2–3 przypomina klauzulę porządku publicznego (ordre public) stosowaną w międzynarodowym prawie cywilnym. Unia Europejska odmawia uznania skutków orzeczeń, które są sprzeczne z jej podstawowymi zasadami prawnymi lub naruszają autonomię unijnego porządku prawnego.

W praktyce oznacza to, że:

  • dostawcy usług chmurowych powinni traktować każde żądanie pochodzące spoza UE z najwyższą ostrożnością,
  • a działanie zgodne z nakazem sądu państwa trzeciego – bez podstawy w prawie unijnym – może zostać uznane za naruszenie Data Act, co pociąga za sobą odpowiedzialność prawną i reputacyjną.

📄 „Żadne decyzje sądowe lub administracyjne państwa trzeciego, które nie opierają się na umowie międzynarodowej, nie mogą być uznane ani wykonywane w odniesieniu do danych przechowywanych w Unii.”
(art. 32 ust. 2–3 DA)

📌 Przykład praktyczny

Firma GreenData GmbH z siedzibą w Berlinie świadczy usługi przechowywania danych dla klientów przemysłowych z całej UE. Jeden z jej partnerów technologicznych – amerykańska spółka z grupy kapitałowej – otrzymuje w USA nakaz sądowy dotyczący udostępnienia danych z europejskiego centrum danych GreenData.

W takiej sytuacji GreenData nie może uznać ani wykonać takiego nakazu, jeśli brak jest odpowiedniego traktatu międzynarodowego. Nawet jeśli amerykański sąd wyda formalne orzeczenie, to dla GreenData w świetle prawa unijnego nie ma ono skutku.

Działanie zgodne z takim nakazem byłoby naruszeniem art. 32 DA, a także mogłoby stanowić naruszenie zasad poufności i ochrony danych kontraktowych klientów.

Zasada minimalizacji danych (ust. 4)

Czwarty ustęp art. 32 wprowadza zasadę minimalizacji danych, mającą zastosowanie wtedy, gdy przekazanie danych jest dopuszczalne – czyli spełnia warunki określone w ustępach 1–3.

W takiej sytuacji dostawca usług przetwarzania danych powinien ograniczyć:

  • zakres przekazywanych danych – tylko do tych, które są ściśle niezbędne,
  • czas udostępnienia – tylko na okres wymagany przez organ uprawniony.

Zasada ta ma charakter ogólny i odnosi się do danych nieosobowych, ale jej logika jest podobna do reguły znanej z RODO.

W praktyce przedsiębiorca powinien:

  1. dokonać analizy proporcjonalności żądania – czy zakres danych jest konieczny do osiągnięcia celu,
  2. udokumentować decyzję o przekazaniu lub ograniczeniu danych,
  3. zachować dowody i uzasadnienia na wypadek kontroli lub audytu.

Brak takiej analizy może być potraktowany przez organy nadzorcze jako naruszenie obowiązków wynikających z art. 32 DA, nawet jeśli dane zostały przekazane w dobrej wierze.

📚 Wskazówka praktyczna dla firm (compliance):

Aby zapewnić zgodność z art. 32 ust. 4 DA, przedsiębiorstwa powinny wdrożyć tzw. procedurę Data Minimization Protocol, obejmującą:

  • szablon analizy żądań dostępu,
  • kryteria oceny proporcjonalności,
  • system zatwierdzania decyzji przez dział prawny lub compliance,
  • obowiązek archiwizacji raportów z oceny.

Dzięki temu firma może wykazać, że działała zgodnie z zasadą należytej staranności i wymogami Data Act.

Obowiązek poinformowania klienta (ust. 5)

Piąty ustęp art. 32 nakłada na dostawcę usług przetwarzania danych obowiązek niezwłocznego poinformowania klienta, jeśli otrzyma żądanie przekazania danych od organu państwa trzeciego.

Cel tej regulacji jest dwojaki:

  1. Zwiększenie transparentności – klient powinien wiedzieć, że jego dane są przedmiotem zainteresowania organu spoza UE.
  2. Zapewnienie możliwości reakcji – klient lub organ unijny mogą wówczas podjąć działania prawne lub dyplomatyczne w celu ochrony danych.

W praktyce przedsiębiorcy powinni:

  • opracować standardową procedurę informacyjną,
  • wskazać w umowach z klientami, w jaki sposób i w jakim terminie zostaną powiadomieni o żądaniach dostępu,
  • prowadzić rejestr wszystkich otrzymanych żądań (tzw. data request log).

📄 „Dostawca usług przetwarzania danych, który otrzymuje żądanie udostępnienia danych od organu państwa trzeciego, niezwłocznie informuje o tym klienta.”
(art. 32 ust. 5 DA)

📌 Przykład praktyczny

Polska firma CloudPro Sp. z o.o., świadcząca usługi SaaS dla przedsiębiorstw z branży e-commerce, otrzymuje wniosek od organu śledczego z Kanady dotyczący danych o aktywności użytkowników sklepu internetowego jej klienta.

CloudPro:

  1. rejestruje żądanie w wewnętrznym systemie Data Request Log,
  2. analizuje jego legalność – sprawdza, czy istnieje umowa międzynarodowa między UE a Kanadą w tym zakresie,
  3. informuje swojego klienta o otrzymanym wniosku, przekazując jego treść i ocenę prawną,
  4. jeśli brak podstawy prawnej – odmawia przekazania danych, wskazując art. 32 DA jako podstawę odmowy.

Takie działanie zapewnia zgodność z przepisami i minimalizuje ryzyko sporów prawnych.

Znaczenie praktyczne i wnioski dla przedsiębiorców

Artykuł 32 Data Act nie jest jedynie deklaracją polityczną o suwerenności cyfrowej Unii. Ma on bezpośredni, praktyczny wpływ na sposób działania przedsiębiorców, zwłaszcza dostawców chmurowych i operatorów danych.

Każda organizacja, która przechowuje lub przetwarza dane w Unii, powinna wdrożyć zestaw mechanizmów zgodności (compliance framework), obejmujących:

  1. Procedurę oceny żądań danych z państw trzecich – określenie, kto w organizacji analizuje takie żądania i jakie kryteria są stosowane.
  2. Analizę legalności i proporcjonalności – ocena, czy żądanie ma podstawę w prawie UE lub umowie międzynarodowej.
  3. Politykę informowania klientów – ustalone kanały komunikacji i wzory powiadomień.
  4. Ewidencję żądań (Data Request Log) – dokumentowanie wszystkich przypadków wniosków o dane.
  5. Szkolenia pracowników – szczególnie w działach IT, compliance i obsługi klienta, dotyczące zasad odmowy nieuprawnionych żądań.

📄 Kluczowe przesłanie art. 32 DA

Dane nieosobowe przechowywane w Unii Europejskiej nie mogą być przedmiotem arbitralnego lub jednostronnego dostępu ze strony władz publicznych spoza UE.

Każde żądanie musi być oparte na prawie unijnym, krajowym lub umowie międzynarodowej, a dostawca danych ma obowiązek chronić interesy klienta i informować go o wszelkich próbach dostępu.

Podsumowanie znaczenia art. 32 Data Act dla biznesu

Artykuł 32 Data Act jest jednym z kluczowych filarów unijnej polityki suwerenności cyfrowej i stanowi realne narzędzie ochrony danych nieosobowych przed nieuprawnionym dostępem organów państw trzecich.

Dla przedsiębiorców oznacza to konieczność proaktywnego zarządzania ryzykiem regulacyjnym związanym z przekazywaniem danych poza Unię Europejską.

Najważniejsze obowiązki wynikające z art. 32 DA:

  1. Zakaz przekazywania danych bez podstawy prawnej – dane nie mogą być udostępnione organowi państwa trzeciego, jeśli nie ma ku temu umowy międzynarodowej lub innej podstawy w prawie UE/krajowym.
  2. Zakaz uznawania decyzji organów spoza UE – orzeczenia sądów lub decyzje administracyjne państw trzecich nie mogą być wykonywane, o ile nie wynikają z uzgodnionych mechanizmów współpracy.
  3. Zasada minimalizacji danych – nawet przy legalnym przekazaniu danych, ich zakres musi być ograniczony do niezbędnego minimum.
  4. Obowiązek poinformowania klienta – dostawca usług musi niezwłocznie poinformować klienta o każdym żądaniu dostępu do jego danych.
  5. Obowiązek dokumentowania działań – prowadzenie rejestru żądań dostępu (data request log) i dokumentowanie decyzji dotyczących ich realizacji lub odmowy.

Rekomendacje dla przedsiębiorców

Aby sprostać wymogom art. 32 Data Act, firmy działające w obszarze przetwarzania danych powinny wdrożyć wewnętrzne polityki i procedury zgodności. W praktyce warto opracować:

  • Politykę reagowania na żądania dostępu spoza UE – opisującą proces analizy żądań, zakres wymaganych dokumentów oraz osoby odpowiedzialne za decyzje;
  • Zasady komunikacji z klientami – w tym wzory powiadomień o otrzymaniu żądania;
  • System rejestrowania i archiwizacji żądań – pozwalający w każdej chwili wykazać zgodność z przepisami Data Act;
  • Procedurę oceny proporcjonalności danych – określającą sposób stosowania zasady minimalizacji;
  • Szkolenia dla pracowników w działach prawnych, compliance i IT, które pozwolą im rozpoznawać i prawidłowo obsługiwać wnioski organów zagranicznych.

📚 Wskazówka praktyczna:
Warto w umowach z klientami (np. w ramach umów SLA lub regulaminów korzystania z usług chmurowych) umieścić klauzulę informacyjną dotyczącą art. 32 DA – potwierdzającą, że dostawca:

  • nie przekazuje danych bez podstawy prawnej,
  • informuje klienta o wszelkich żądaniach,
  • oraz dokumentuje każde takie zdarzenie.

Znaczenie systemowe art. 32 DA

Z perspektywy prawa unijnego art. 32 DA stanowi konkretne urzeczywistnienie zasady autonomii porządku prawnego Unii.

Wraz z przepisami dotyczącymi przechowywania i współdzielenia danych (art. 4–7 DA) oraz regulacjami dotyczącymi chmury obliczeniowej (art. 23–31 DA), tworzy on spójny system ochrony danych nieosobowych, który:

  • wzmacnia zaufanie do europejskich dostawców usług przetwarzania danych,
  • buduje bezpieczne ramy współpracy międzynarodowej,
  • i chroni interesy gospodarcze podmiotów działających w UE.

W praktyce przepisy te wspierają rozwój jednolitego rynku danych w Unii Europejskiej, gwarantując jednocześnie, że dane przetwarzane w Europie pozostają pod ochroną prawa unijnego – nawet wobec nacisków zewnętrznych.

Podstawa prawna

  • art. 32 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonijnych zasad dostępu do danych i ich wykorzystywania (Data Act)
  • art. 1 ust. 5 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 (Data Act)
  • art. 2 pkt 8 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 (Data Act)
  • art. 41 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 (Data Act)

Tematy zawarte w poradniku

  • Obowiązki dostawców usług chmurowych wynikające z art. 32 Data Act
  • Ochrona danych nieosobowych przed żądaniami organów spoza UE
  • Procedury compliance przy transgranicznych wnioskach o dostęp do danych
  • Zasada minimalizacji danych w kontekście Data Act
  • Informowanie klientów o żądaniach przekazania danych przez organy państw trzecich

Linki do źródeł

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: