1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Art. 37 Data Act – organy właściwe i nadzór nad stosowaniem przepisów rozporządzenia o danych
Wyszukiwanie...
Data publikacji: 30.03.2026

Art. 37 Data Act – organy właściwe i nadzór nad stosowaniem przepisów rozporządzenia o danych

Spis treści

Rozporządzenie w sprawie danych (Data Act, dalej: DA) wprowadza nie tylko zasady udostępniania danych i współdzielenia ich między przedsiębiorcami a administracją, ale także system instytucjonalny, który ma zapewnić skuteczne egzekwowanie tych przepisów. Kluczową rolę w tym systemie odgrywa art. 37 DA, który zobowiązuje państwa członkowskie do wyznaczenia organów właściwych do nadzorowania stosowania rozporządzenia. Przepis ten stanowi fundament praktycznej realizacji Data Act w krajach Unii Europejskiej.

Funkcja systemowa art. 37 DA

Artykuł 37 otwiera część rozporządzenia poświęconą egzekwowaniu przepisów i instytucjonalnemu wsparciurealizacji praw i obowiązków przewidzianych w DA. Nakłada on na każde państwo członkowskie obowiązek ustanowienia co najmniej jednego organu, który będzie odpowiedzialny za nadzór nad stosowaniem Data Act na jego terytorium.

W praktyce przepis ten stanowi podstawę krajowej architektury nadzorczej – od tego, jak zostanie zaprojektowana, zależy skuteczność stosowania całego rozporządzenia.

Podobnie jak w przypadku innych unijnych aktów z obszaru cyfrowego (takich jak RODO, DGA, DSA czy DMA), Data Act opiera się na modelu zdecentralizowanej egzekucji. Oznacza to, że to państwa członkowskie decydują, który organ będzie odpowiedzialny za nadzór i jak zorganizowany zostanie krajowy system instytucjonalny.

Art. 37 DA należy więc rozumieć nie tylko technicznie, ale również ustrojowo – jako przepis określający relacje między prawem unijnym a krajowymi strukturami regulacyjnymi.

Motyw 107 preambuły Data Act wyjaśnia, że państwa mogą wyznaczyć nowe organy lub powierzyć nadzór już istniejącym instytucjom, takim jak:

  • organy ochrony konkurencji,
  • urzędy ochrony konsumentów,
  • krajowi regulatorzy sektora cyfrowego,
  • organy ochrony danych osobowych.

Warunkiem jest zapewnienie, że wybrane instytucje będą dysponowały odpowiednimi kompetencjami, zasobami i niezależnością operacyjną.

Zakres zastosowania i treść normatywna art. 37 DA

Artykuł 37 ust. 1 DA wprowadza obowiązek każdego państwa członkowskiego do wyznaczenia co najmniej jednego organu właściwego do nadzorowania stosowania przepisów Data Act.

Ten obowiązek ma charakter szeroki i funkcjonalny – jego celem jest zagwarantowanie, że wszystkie prawa i obowiązki przewidziane w DA (zarówno po stronie użytkowników, jak i posiadaczy danych) będą objęte realnym mechanizmem egzekwowania.

Elastyczność instytucjonalna – trzy możliwe modele

Data Act nie narzuca państwom konkretnego rozwiązania organizacyjnego. W praktyce możliwe są trzy modele instytucjonalne nadzoru:

1️⃣ Model sektorowy – każde państwo wyznacza odrębne organy właściwe dla konkretnych branż, np.

  • zdrowia,
  • mobilności,
  • energetyki.

2️⃣ Model horyzontalny – nadzór zostaje powierzony jednemu centralnemu organowi, np. krajowemu regulatorowi ds. danych lub urzędowi cyfryzacji, który odpowiada za wszystkie aspekty stosowania DA.

3️⃣ Model mieszany – łączy oba podejścia: sektorowe i centralne. W takim systemie funkcjonują różni regulatorzy branżowi, ale ich działania koordynuje jeden organ nadrzędny.

Każdy z powyższych modeli jest zgodny z Data Act, o ile zapewnia skuteczność nadzoru, niezależność organów oraz dostępność dla wszystkich zainteresowanych stron.

Przykłady możliwych rozwiązań w państwach UE

Warto przyjrzeć się planowanym rozwiązaniom w różnych krajach:

  • Francja – rozważa się rozszerzenie kompetencji organu CNIL (znanego z nadzoru nad ochroną danych) o funkcje kontrolne w zakresie Data Act.
  • Niemcy – skłaniają się ku modelowi rozproszonemu, w którym część kompetencji przypadnie organom federalnym (np. BNetzA), a część – regulatorom landowym.
  • Finlandia – analizuje przekazanie nadzoru krajowemu organowi Traficom, który już dziś odpowiada za komunikację i infrastrukturę cyfrową.

Różnorodność tych podejść pokazuje, że w pierwszych latach stosowania DA może dojść do fragmentaryzacji praktyki egzekwowania przepisów w poszczególnych państwach członkowskich.

Kompetencje organów właściwych

Choć art. 37 DA nie zawiera pełnego katalogu zadań organów, ich zakres można odczytać z dalszych przepisów rozporządzenia (w szczególności z rozdziału IX DA) oraz motywów preambuły.

Organy właściwe będą w szczególności zobowiązane do:

  • rozpatrywania skarg użytkowników i posiadaczy danych (art. 38 DA),
  • prowadzenia postępowań wyjaśniających i kontrolnych,
  • wydawania decyzji i zaleceń,
  • współpracy z innymi organami – zarówno krajowymi, jak i unijnymi (np. Komisją Europejską, organami sektorowymi, Europejską Radą Ochrony Danych w zakresie danych osobowych).

Zakres rzeczowy nadzoru obejmuje wszystkie kluczowe obszary Data Act, w tym:

  • dostęp do danych (art. 4–5 DA),
  • udostępnianie danych między przedsiębiorstwami a administracją publiczną (art. 14–22 DA),
  • interoperacyjność systemów (art. 33–35 DA),
  • bezpieczeństwo i wymogi transgraniczne (art. 32 DA).

Współpraca między organami

Zgodnie z art. 37 ust. 2 Data Act państwa członkowskie muszą zapewnić współpracę między wyznaczonymi organami właściwymi a organami nadzorującymi usługi pośrednictwa danych i powiernictwa danych, ustanowionymi na podstawie rozporządzenia DGA (Data Governance Act).

Celem tego obowiązku jest zapobieganie rozdrobnieniu nadzoru i zapewnienie spójności decyzji administracyjnychw całej Unii.

Współpraca ma funkcjonować:

  • na poziomie krajowym – między organami odpowiedzialnymi za różne sektory,
  • na poziomie unijnym – poprzez struktury koordynacyjne tworzone przez Komisję Europejską.

Brak skutecznych mechanizmów współpracy mógłby prowadzić do:

  • luk nadzorczych,
  • sporów kompetencyjnych,
  • rozbieżnych interpretacji przepisów.

Przykładowo – jeśli organ ds. transportu przyjmie inną interpretację niż organ ds. interoperacyjności, przedsiębiorcy mogą stanąć przed niemożliwymi do pogodzenia wymogami.

Warto tu korzystać z rozwiązań znanych z DSA, gdzie wprowadzono system krajowych koordynatorów ds. usług cyfrowych, wspieranych przez formalne protokoły współpracy i zasadę nadrzędnej roli organu wiodącego.

Znaczenie art. 37 Data Act dla praktyki compliance

Z punktu widzenia praktyki regulacyjnej i zarządzania zgodnością (compliance), art. 37 DA ma fundamentalne znaczenie. To właśnie on tworzy ramy instytucjonalne, w których będą funkcjonować wszystkie podmioty zobowiązane przepisami Data Act — zarówno przedsiębiorcy, jak i instytucje publiczne.

Bez wyznaczenia organów właściwych i jasnego określenia ich kompetencji, egzekwowanie praw użytkowników i obowiązków podmiotów danych byłoby w praktyce niemożliwe. Art. 37 tworzy zatem punkt odniesienia dla wszelkiej komunikacji, raportowania i procedur kontrolnych w zakresie DA.

Obowiązki i znaczenie dla przedsiębiorców

Dla przedsiębiorców — w szczególności producentów urządzeń połączonych, dostawców usług cyfrowych, operatorów przestrzeni danych i dostawców chmury — art. 37 DA oznacza w praktyce nowy wymiar nadzoru regulacyjnego.

Główne konsekwencje dla firm:

1️⃣ Identyfikacja organu właściwego
Każda firma działająca w UE będzie musiała ustalić, który organ krajowy odpowiada za nadzór nad stosowaniem Data Act. W przypadku działalności transgranicznej konieczne może być uwzględnienie kilku jurysdykcji.

2️⃣ Rejestr kontaktów z organem
Podobnie jak w przypadku RODO, przedsiębiorcy powinni prowadzić wewnętrzny rejestr kontaktów z organami nadzoru — obejmujący m.in. zapytania, kontrole, decyzje czy rekomendacje.

3️⃣ Uwzględnienie praktyki interpretacyjnej
Każdy organ może wydawać wytyczne lub zalecenia, które – choć formalnie niewiążące – będą w praktyce determinować sposób stosowania przepisów DA. Firmy powinny więc śledzić i dokumentować praktykę organu.

4️⃣ Gotowość na kontrole i postępowania wyjaśniające
Przedsiębiorcy muszą przygotować się na możliwość kontroli w zakresie:

  • udostępniania danych użytkownikom,
  • interoperacyjności systemów,
  • przestrzegania warunków przekazywania danych podmiotom publicznym,
  • zgodności procedur z art. 32–35 DA (bezpieczeństwo i przepływ danych transgranicznych).

📌 Wskazówka praktyczna:
Warto już na etapie wdrażania DA opracować wewnętrzną mapę procesów danych, wskazującą, jakie dane są przetwarzane, komu udostępniane i w jakim trybie. To znacząco ułatwi ewentualną kontrolę.

Przykład praktyczny

Firma TechMobil Sp. z o.o. z Wrocławia produkuje inteligentne pojazdy miejskie. Dane o pracy urządzeń i lokalizacji są przesyłane do chmury i częściowo udostępniane użytkownikom przez aplikację mobilną.
Po wejściu w życie Data Act przedsiębiorstwo będzie musiało ustalić, który organ w Polsce odpowiada za nadzór nad DA (np. Urząd Komunikacji Elektronicznej albo nowy regulator ds. danych).

TechMobil będzie również zobowiązana:

  • prowadzić dokumentację kontaktów z tym organem,
  • reagować na ewentualne skargi użytkowników,
  • stosować się do krajowych wytycznych dotyczących interoperacyjności systemów.

Wdrożenie tych procedur w praktyce stanie się częścią systemu compliance firmy, podobnie jak dokumentacja RODO.

Znaczenie dla użytkowników danych

Artykuł 37 DA ma również ogromne znaczenie dla użytkowników danych — zarówno osób fizycznych, jak i przedsiębiorstw korzystających z danych generowanych przez urządzenia, usługi lub systemy cyfrowe.

To właśnie do organu właściwego wyznaczonego na podstawie art. 37 DA użytkownicy będą mogli kierować:

  • skargi na naruszenia prawa do dostępu lub przekazania danych (zgodnie z art. 38 DA),
  • wnioski o interwencję, gdy pośrednik danych lub posiadacz danych naruszy ich prawa,
  • informacje o nieprawidłowościach w przekazywaniu danych pomiędzy przedsiębiorstwami a administracją publiczną.

Organ właściwy będzie zatem pierwszym punktem kontaktu między użytkownikiem danych a systemem prawnym stworzonym przez Data Act.

📄 Przykład:
Użytkownik systemu zarządzania flotą, który uzna, że dostawca urządzeń odmawia mu bezpodstawnie dostępu do danych pojazdu, będzie mógł złożyć skargę do krajowego organu właściwego. Ten organ, na podstawie art. 38 DA, będzie zobowiązany do rozpatrzenia skargi i ewentualnego wszczęcia postępowania kontrolnego wobec dostawcy.

Ryzyka regulacyjne i rekomendacje dla compliance

Z punktu widzenia compliance i zarządzania ryzykiem, art. 37 DA nakłada na organizacje konieczność systemowego podejścia do nadzoru i komunikacji z organami.

Kluczowe ryzyka:

  • Niejasność kompetencji organów – w początkowym okresie obowiązywania DA może wystąpić brak jednoznacznego przypisania kompetencji (np. między organem ds. danych a regulatorem sektorowym).
  • Rozbieżne interpretacje – różne organy mogą wydawać niezgodne decyzje w podobnych sprawach, co utrudni prowadzenie działalności transgranicznej.
  • Brak gotowości organizacyjnej – firmy, które nie wdrożą procedur komunikacji z organami, mogą napotkać problemy podczas kontroli.
  • Fragmentaryzacja nadzoru w UE – różnice między krajami członkowskimi mogą wpływać na spójność interpretacji Data Act.

Rekomendacje compliance:

✔ Utworzyć w organizacji punkt kontaktowy ds. DA – odpowiedzialny za komunikację z organem nadzoru.
✔ Włączyć organ właściwy DA do rejestru ryzyk regulacyjnych – w dokumentacji compliance należy wskazać, kto nadzoruje przestrzeganie przepisów DA w danym kraju.
✔ Monitorować decyzje i komunikaty organu – praktyka interpretacyjna może mieć istotny wpływ na obowiązki przedsiębiorców.
✔ Uwzględnić wymogi DA w umowach z partnerami i podmiotami publicznymi – szczególnie przy udostępnianiu danych między firmami (B2B) lub między firmą a administracją (B2G).
✔ Zintegrować procedury DA z RODO i DSA – ponieważ dane osobowe i nieosobowe często współistnieją w tych samych systemach, spójne podejście compliance jest niezbędne.

⚠️ Ważne:
Nawet jeśli w momencie rozpoczęcia stosowania Data Act (2025/2026) nie będzie jeszcze formalnie wyznaczonego organu właściwego w Polsce, przedsiębiorcy powinni już teraz przygotować się organizacyjnie – określić odpowiedzialność wewnętrzną, zasady raportowania i mechanizmy obsługi wniosków użytkowników.

Art. 37 Data Act jako filar systemu egzekwowania rozporządzenia

Podsumowując, art. 37 Data Act pełni kluczową funkcję ustrojową w systemie regulacyjnym nowego prawa o danych. Bez skutecznego organu nadzoru nie byłoby możliwe faktyczne egzekwowanie obowiązków wynikających z rozporządzenia, a tym samym — realizacja jego głównych celów:

  • zapewnienia uczciwego dostępu do danych,
  • zagwarantowania interoperacyjności systemów,
  • ochrony użytkowników przed nadużyciami w gospodarce danymi.

Rola w kontekście innych aktów cyfrowych UE

Data Act wpisuje się w szerszy kontekst europejskiego pakietu regulacji cyfrowych, w skład którego wchodzą m.in.:

  • RODO – dotyczące ochrony danych osobowych,
  • DGA (Data Governance Act) – regulujące pośrednictwo danych i powiernictwo,
  • DSA (Digital Services Act) – dotyczące usług cyfrowych,
  • DMA (Digital Markets Act) – o rynkach cyfrowych.

We wszystkich tych aktach powtarza się zdecentralizowany model egzekwowania – czyli pozostawienie państwom członkowskim swobody w wyznaczaniu organów nadzoru, przy jednoczesnym wymogu współpracy na poziomie unijnym.

W rezultacie art. 37 DA jest mostem między krajowym a unijnym porządkiem prawnym, który zapewnia, że zasady określone w rozporządzeniu będą w praktyce stosowane i egzekwowane.

Praktyczne znaczenie dla polskich przedsiębiorców

W Polsce – podobnie jak w innych krajach UE – trwają analizy, który organ powinien pełnić funkcję właściwego dla Data Act. Możliwe kierunki to:

  • powierzenie nadzoru istniejącemu regulatorowi (np. Urzędowi Komunikacji Elektronicznej lub Urzędowi Ochrony Danych Osobowych),
  • powołanie nowego urzędu ds. danych, który pełniłby funkcje centralnego koordynatora,
  • lub zastosowanie modelu mieszanego – z jednym organem centralnym i organami sektorowymi.

Bez względu na ostateczne rozwiązanie, przedsiębiorcy powinni już teraz przygotować swoje struktury organizacyjne, polityki i procesy w taki sposób, aby:

  • umożliwić szybkie reagowanie na zapytania organu,
  • prowadzić przejrzystą dokumentację przetwarzania i udostępniania danych,
  • zapewnić interoperacyjność systemów zgodnie z wymogami DA.

Znaczenie dla administracji publicznej

Data Act, oprócz sektora prywatnego, dotyczy także administracji publicznej, która w wielu przypadkach będzie korzystać z danych pochodzących od przedsiębiorstw. Organy publiczne będą musiały:

  • współpracować z organem właściwym w sprawach interpretacji przepisów,
  • przestrzegać zasad udostępniania danych określonych w rozdziale V DA,
  • dbać o bezpieczeństwo i zgodność z przepisami przy wykorzystaniu danych w interesie publicznym.

W tym kontekście art. 37 DA zapewnia instytucjonalną kotwicę nadzoru nad wszystkimi podmiotami – zarówno prywatnymi, jak i publicznymi – uczestniczącymi w ekosystemie danych.

Wyzwania w pierwszych latach stosowania DA

W początkowym okresie obowiązywania Data Act można spodziewać się kilku wyzwań praktycznych:

1️⃣ Zróżnicowanie krajowych struktur nadzoru – różne państwa przyjmą odmienne modele instytucjonalne, co może prowadzić do rozbieżności w egzekwowaniu przepisów.
2️⃣ Brak doświadczenia organów – nowe instytucje będą musiały dopiero wypracować praktykę nadzorczą i interpretacyjną.
3️⃣ Wielowarstwowa współpraca – współdziałanie między organami krajowymi, unijnymi i sektorowymi będzie wymagało skoordynowanych procedur.
4️⃣ Ewolucja praktyki compliance – przedsiębiorcy będą musieli zaktualizować swoje polityki zgodności, aby objąć również wymogi DA.

Wnioski praktyczne

✔ Artykuł 37 DA tworzy podstawę krajowego systemu nadzoru nad danymi.
✔ Każde państwo członkowskie musi wyznaczyć co najmniej jeden organ właściwy.
✔ Organy te mają obowiązek współpracować między sobą i z Komisją Europejską.
✔ Przedsiębiorcy powinni przygotować się do komunikacji i raportowania wobec organu.
✔ Użytkownicy danych uzyskują realny mechanizm skarg i interwencji w przypadku naruszenia ich praw.
✔ Wdrożenie DA będzie wymagało nowego podejścia do compliance, uwzględniającego interoperacyjność, dostępność danych i ich etyczne wykorzystanie.

Podstawa prawna

  • art. 37 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie danych (Data Act)
  • art. 38 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie danych (Data Act)
  • art. 4–5, 14–22, 32–35 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) w sprawie danych (Data Act)
  • motyw 107 – Preambuła Rozporządzenia (UE) Data Act

Tematy zawarte w poradniku

  • organy właściwe i nadzór nad stosowaniem Data Act,
  • modele instytucjonalne nadzoru (sektorowy, horyzontalny, mieszany),
  • obowiązki przedsiębiorców wynikające z DA,
  • procedury compliance i współpraca z organami,
  • prawa użytkowników danych i mechanizmy skargowe.
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: