1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Art. 35 Data Act – interoperacyjność usług przetwarzania danych w chmurze. Nowe obowiązki dostawców i prawa klientów
Wyszukiwanie...
Data publikacji: 10.03.2026

Art. 35 Data Act – interoperacyjność usług przetwarzania danych w chmurze. Nowe obowiązki dostawców i prawa klientów

Spis treści

Unijny art. 35 Data Act (DA) wprowadza zasady mające na celu zapewnienie interoperacyjności usług przetwarzania danych, takich jak IaaS, PaaS i SaaS. Jego głównym celem jest umożliwienie użytkownikom łatwiejszej zmiany dostawcy usług chmurowych oraz wyeliminowanie tzw. vendor lock-in, czyli uzależnienia od jednego dostawcy technologicznego. Przepis ten stanowi fundament budowy otwartego, konkurencyjnego i bezpiecznego rynku usług cyfrowych w Unii Europejskiej.

Cel i ratio legis art. 35 DA

Rozdział VIII Data Act (art. 30–39) poświęcony jest interoperacyjności i przenoszalności danych, a jego centralnym punktem jest właśnie art. 35. Celem tego przepisu jest usunięcie barier technologicznych, kontraktowych i instytucjonalnych, które utrudniają przenoszenie danych i aplikacji pomiędzy różnymi dostawcami chmury.

Zgodnie z motywami 98 i 99 preambuły DA, interoperacyjność jest niezbędna, aby:

  1. w pełni wykorzystać potencjał europejskiej przestrzeni danych,
  2. zwiększyć konkurencję między dostawcami usług cyfrowych,
  3. umożliwić klientom realizację prawa do zmiany dostawcy (art. 23–26 DA),
  4. zagwarantować równoważność funkcjonalną po migracji danych.

W praktyce oznacza to, że usługi chmurowe w UE mają być kompatybilne – tak, aby dane i aplikacje można było przenosić między różnymi platformami bez utraty funkcjonalności, integralności czy bezpieczeństwa. Artykuł 35 tworzy więc prawny pomost między zasadami technologicznymi a unijnym porządkiem prawnym, wyznaczając ramy dla powstawania otwartych specyfikacji i norm zharmonizowanych w środowisku chmurowym.

Zakres zastosowania przepisu

Podmioty objęte przepisem

Art. 35 DA odnosi się do dostawców usług przetwarzania danych, czyli podmiotów oferujących usługi typu:

  • IaaS (Infrastructure as a Service) – infrastruktura chmurowa, np. serwery, pamięć masowa, sieci,
  • PaaS (Platform as a Service) – platformy umożliwiające tworzenie i uruchamianie aplikacji,
  • SaaS (Software as a Service) – gotowe aplikacje dostępne w chmurze.

Wszystkie te modele, zgodnie z art. 2 pkt 8 DA, są objęte obowiązkiem dostosowania się do zasad interoperacyjności.

Przedmiot regulacji

Przepis obejmuje również:

  1. Otwarte specyfikacje i normy zharmonizowane opracowywane dla zapewnienia interoperacyjności między usługami tego samego typu (np. między dwoma dostawcami IaaS).
  2. Działania Komisji Europejskiej, która opracowuje, konsultuje i publikuje wspólne specyfikacje techniczne.

Art. 35 DA ma zastosowanie m.in. w:

  • ocenie zgodności usług z wymogami interoperacyjności,
  • opracowywaniu i przyjmowaniu specyfikacji przez europejskie organizacje normalizacyjne,
  • działaniach legislacyjnych Komisji Europejskiej dotyczących aktów wykonawczych.

Zasadnicze wymagania interoperacyjności

Zgodnie z ust. 1 art. 35 DA, otwarte specyfikacje i normy zharmonizowane muszą realizować pięć podstawowych celów:

  1. Interoperacyjność usług tego samego typu – różni dostawcy usług (np. dwóch operatorów IaaS) muszą być w stanie współdziałać na poziomie danych i funkcji.
  2. Zwiększenie możliwości przenoszenia aktywów cyfrowych – obejmuje nie tylko dane i metadane, ale również konfiguracje, struktury logiczne i funkcje aplikacyjne.
  3. Równoważność funkcjonalna – po migracji do nowego dostawcy użytkownik ma zachować zbliżony poziom funkcjonalności.
  4. Neutralność wobec bezpieczeństwa i integralności – standardy interoperacyjności nie mogą obniżać poziomu bezpieczeństwa danych.
  5. Zdolność do adaptacji i innowacji – standardy mają być otwarte i elastyczne, tak aby nie ograniczać rozwoju technologii.

📌 Przykład
Firma TechWare Sp. z o.o. korzystała z usług chmurowych dostawcy SkyData (model PaaS). W ramach rozwoju projektu firma postanowiła przenieść aplikacje do innego dostawcy – CloudBase. Dzięki wdrożeniu otwartych specyfikacji zgodnych z art. 35 DA, migracja danych i aplikacji odbyła się bez przestojów w działaniu systemu i bez konieczności ponownego programowania aplikacji.

Gdyby standardy interoperacyjności nie istniały, migracja mogłaby być technicznie niemożliwa lub bardzo kosztowna, co w praktyce zablokowałoby zmianę dostawcy – czyli właśnie zjawisko vendor lock-in, przed którym Data Act ma chronić.

Zakres techniczny specyfikacji i norm

Ustęp 2 art. 35 DA określa, że specyfikacje interoperacyjności mają obejmować trzy główne obszary:

1. Interoperacyjność w chmurze

Obejmuje:

  • przesył danych między systemami,
  • interoperacyjność syntaktyczną (zgodność formatów danych),
  • interoperacyjność semantyczną (spójność znaczeniowa danych),
  • interoperacyjność behawioralną (zgodność w sposobie działania systemów),
  • interoperacyjność zasad (np. polityki dostępu i licencjonowania danych).

2. Przenoszalność danych

Specyfikacje muszą gwarantować, że struktury danych będą możliwe do konwersji i spójne przy przenoszeniu między dostawcami.

3. Przenoszalność aplikacji

Dotyczy zdolności do migracji kodu, metadanych, poleceń i zasad działania aplikacji między różnymi środowiskami chmurowymi. Wymaga to stosowania:

  • konteneryzacji,
  • abstrahowania aplikacji od środowiska wykonawczego,
  • standaryzowanych interfejsów API.

Takie podejście ma zapewnić, że użytkownicy będą mogli uruchomić aplikację w innej chmurze bez konieczności jej przebudowy.

Zgodność z rozporządzeniem 1025/2012

Art. 35 DA odwołuje się do rozporządzenia (UE) nr 1025/2012 w sprawie normalizacji europejskiej. Oznacza to, że proces opracowywania otwartych specyfikacji musi być:

  • przejrzysty,
  • niedyskryminujący,
  • dostępny publicznie,
  • możliwy do wdrożenia przez wielu dostawców.

Dzięki temu standardy nie będą zastrzeżone dla dużych korporacji technologicznych, lecz staną się narzędziem otwartego rynku, dostępnym również dla małych i średnich przedsiębiorstw.

Rola Komisji Europejskiej

Komisja Europejska odgrywa kluczową rolę w procesie opracowywania i wdrażania standardów interoperacyjności. Zgodnie z art. 35 ust. 4–6 DA:

  1. Komisja może zlecić opracowanie norm zharmonizowanych europejskim organizacjom normalizacyjnym (ESOs), uwzględniając istniejące standardy międzynarodowe (np. ISO/IEC, GAIA-X, IDSA).
  2. Może także przyjąć wspólne specyfikacje w drodze aktów wykonawczych, opartych na wcześniej opracowanych otwartych specyfikacjach.
  3. Przed przyjęciem aktu wykonawczego Komisja ma obowiązek przeprowadzenia konsultacji z państwami członkowskimi i zainteresowanymi stronami, co zapewnia inkluzywność procesu.

Reakcja państw członkowskich – mechanizm kontroli i równowagi

Zgodnie z art. 35 ust. 7 DA, jeśli państwo członkowskie uzna, że przyjęta przez Komisję Europejską wspólna specyfikacja nie spełnia wymagań interoperacyjności, ma prawo zgłosić swoje zastrzeżenia wraz z uzasadnieniem.

Komisja ma wówczas obowiązek przeanalizować przekazane uwagi, a w razie potrzeby – zmodyfikować akt wykonawczy.
To rozwiązanie tworzy mechanizm równowagi instytucjonalnej, który zapobiega nadmiernej centralizacji procesu normalizacyjnego i pozwala państwom członkowskim realnie wpływać na ostateczny kształt technicznych standardów.

Dzięki temu, standardy interoperacyjności przyjmowane w UE są nie tylko efektem decyzji Komisji, ale wynikiem dialogu między organami unijnymi i krajowymi.

Publikacja specyfikacji i norm interoperacyjności

Zgodnie z art. 35 ust. 8 DA, Komisja publikuje odniesienia do przyjętych norm i specyfikacji w centralnym repozytorium UE dotyczącym interoperacyjności usług przetwarzania danych.

To repozytorium pełni funkcję:

  • źródła wiedzy dla dostawców i klientów usług chmurowych,
  • narzędzia kontroli zgodności (compliance),
  • punktu odniesienia dla zamówień publicznych i przetargów dotyczących infrastruktury IT.

Dzięki temu przedsiębiorcy i instytucje publiczne będą mieli dostęp do jednolitego zestawu wymagań technicznych, które muszą spełniać usługi chmurowe działające na terytorium Unii Europejskiej.

Procedura przyjmowania aktów wykonawczych

Zgodnie z art. 35 ust. 9 DA, wszystkie akty wykonawcze w ramach tego przepisu przyjmowane są zgodnie z procedurą sprawdzającą z art. 46 ust. 2 DA.
W praktyce oznacza to, że:

  • akty te mają charakter wiążący,
  • są one zatwierdzane przez komitet złożony z przedstawicieli państw członkowskich,
  • przyjęcie aktu wykonawczego wymaga pozytywnej opinii komitetu.

Dzięki temu każda norma czy wspólna specyfikacja interoperacyjności uzyskuje rangę prawnie obowiązującego standardu, a państwa członkowskie mają bezpośredni wpływ na jej przyjęcie.

Znaczenie praktyczne art. 35 DA

Przepis ten stanowi punkt odniesienia zarówno dla dostawców usług przetwarzania danych, jak i ich klientów. Jego znaczenie praktyczne można rozpatrywać na kilku poziomach:

1. Dla dostawców usług chmurowych

Dostawcy usług typu IaaS, PaaS i SaaS powinni traktować art. 35 DA jako ramy projektowe swoich systemów. Oznacza to konieczność:

  • dostosowania architektury danych,
  • wdrożenia interfejsów API zgodnych ze specyfikacjami,
  • zapewnienia przenoszalności danych i aplikacji,
  • przygotowania się na aktualizacje standardów publikowanych przez Komisję.

Dostawcy będą zobowiązani do implementacji nowych specyfikacji natychmiast po ich publikacji, dlatego powinni monitorować proces normalizacyjny i tworzyć procedury reagowania na zmiany prawne i techniczne.

2. Dla klientów usług chmurowych

Dla przedsiębiorców, instytucji publicznych i innych użytkowników chmury art. 35 DA oznacza większe bezpieczeństwo i elastyczność. Przepis ten:

  • wzmacnia ich pozycję negocjacyjną wobec dostawców,
  • umożliwia żądanie interoperacyjności już na etapie zawierania umowy,
  • pozwala korzystać z opublikowanych specyfikacji jako kryteriów technicznych w przetargach,
  • ułatwia migrację danych i aplikacji bez ryzyka utraty funkcjonalności.

📌 Przykład
Urząd Marszałkowski w województwie mazowieckim planuje migrację z platformy GovCloud do nowego dostawcy OpenCloudEU. Dzięki art. 35 DA może w specyfikacji przetargowej odwołać się do oficjalnych, opublikowanych przez Komisję standardów interoperacyjności. Oznacza to, że oferenci muszą zapewnić pełną zgodność swoich usług z tymi normami.

Dzięki temu urząd ma gwarancję, że nowy dostawca nie uzależni go technologicznie od swojego środowiska i umożliwi przyszłą zmianę bez utraty danych czy przerw w działaniu systemów.

Art. 35 DA a compliance i zarządzanie ryzykiem

W perspektywie zarządzania zgodnością (compliance) art. 35 DA pełni rolę kluczowego punktu odniesienia przy ocenie infrastruktury i procesów przetwarzania danych.
Każda organizacja korzystająca z chmury powinna:

  1. Zidentyfikować systemy, które mogą podlegać wymogom interoperacyjności,
  2. Zaktualizować umowy z dostawcami w zakresie obowiązku zapewnienia przenoszalności danych,
  3. Monitorować akty wykonawcze i zmiany w repozytorium norm UE,
  4. Przygotować plan aktualizacji technicznej w przypadku przyjęcia nowych specyfikacji.

Dzięki temu przedsiębiorstwo zminimalizuje ryzyko naruszenia przepisów i zapewni zgodność techniczną swojej infrastruktury z unijnymi wymaganiami.

Wnioski – znaczenie art. 35 DA dla rynku usług chmurowych

Artykuł 35 Data Act stanowi trzon unijnej polityki interoperacyjności. Jest to przepis o charakterze techniczno-prawnym, który łączy w sobie elementy:

  • standaryzacji technologicznej,
  • prawa konkurencji,
  • ochrony konsumenta i użytkownika biznesowego.

Jego znaczenie można podsumować w trzech wymiarach:

1. Dla dostawców usług

  • obowiązek dostosowania systemów do unijnych norm,
  • konieczność śledzenia zmian w repozytorium interoperacyjności,
  • obowiązek aktualizacji procedur i dokumentacji technicznej.

2. Dla klientów

  • realne prawo do zmiany dostawcy,
  • dostęp do oficjalnych standardów technicznych,
  • możliwość weryfikacji zgodności usług z wymogami Data Act.

3. Dla rynku europejskiego

  • wzrost konkurencyjności i innowacyjności,
  • standaryzacja środowisk chmurowych,
  • zmniejszenie ryzyka monopolizacji przez globalnych gigantów technologicznych.

Podstawa prawna

  • art. 35 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie danych (Data Act)
  • art. 46 ust. 2 – Data Act
  • rozporządzenie (UE) nr 1025/2012 Parlamentu Europejskiego i Rady z dnia 25 października 2012 r. w sprawie normalizacji europejskiej

Tematy zawarte w poradniku

  • interoperacyjność usług przetwarzania danych w chmurze,
  • przenoszalność danych i aplikacji w Data Act,
  • obowiązki dostawców usług chmurowych w UE,
  • prawa klientów w zakresie zmiany dostawcy usług chmurowych,
  • compliance i standardy interoperacyjności według Data Act.

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: