Artykuł 25 Data Act (DA) wprowadza kluczowe obowiązki dla dostawców usług przetwarzania danych oraz zapewnia klientom nowe prawa w zakresie zmiany dostawcy usług chmurowych lub przenoszenia danych do własnej infrastruktury ICT. Regulacja ta ma zwiększyć pewność obrotu, przejrzystość relacji kontraktowych i zaufanie do usług przetwarzania danych w Unii Europejskiej.
Z perspektywy przedsiębiorców korzystających z chmur danych czy innych usług IT, przepisy te oznaczają większą swobodę w wyborze dostawcy, możliwość odzyskania i przeniesienia swoich danych oraz jasne reguły zakończenia współpracy. Dla dostawców z kolei – nowe obowiązki kontraktowe, proceduralne i organizacyjne, które muszą zostać wdrożone do września 2025 r.
1. Istota i cel art. 25 Data Act
Artykuł 25 Data Act nakłada na dostawców usług przetwarzania danych obowiązek jasnego określenia w umowie praw klienta i zobowiązań dostawcy dotyczących procesu zmiany dostawcy. Celem tego przepisu jest:
- ochrona klientów, którzy mają ograniczone możliwości negocjacyjne,
- zapewnienie transparentności i równowagi stron,
- zwiększenie zaufania do usług przetwarzania danych,
- oraz ułatwienie bezpiecznej migracji danych między różnymi dostawcami lub do własnej infrastruktury ICT.
Zasadniczo, przepis ma przeciwdziałać tzw. vendor lock-in, czyli uzależnieniu klienta od jednego dostawcy usług, utrudniającemu przeniesienie danych lub zmianę usługodawcy.
2. Zakres przedmiotowy i struktura art. 25 Data Act
Artykuł 25 DA wymaga, aby umowa o świadczenie usług przetwarzania danych w sposób jasny i jednoznaczny określała prawa i obowiązki stron w zakresie zmiany dostawcy.
- Ustęp 1 – odnosi się do formy i przedmiotu umowy: musi ona regulować prawa klienta oraz obowiązki dostawcy w razie zmiany dostawcy usług (zarówno zmiany na innego dostawcę, jak i przeniesienia danych do lokalnej infrastruktury ICT).
- Ustęp 2 – zawiera katalog elementów, które muszą znaleźć się w umowie (tzw. minimum contractual requirements).
- Ustępy 3–5 – doprecyzowują procedurę zmiany dostawcy, określając m.in. prawa klienta, warunki przedłużania okresów przejściowych oraz sposób postępowania po zakończeniu procesu.
W rezultacie art. 25 DA opisuje kompletną procedurę zmiany dostawcy, począwszy od złożenia wniosku przez klienta, aż po zakończenie umowy i usunięcie danych.
3. Relacja Data Act do dyrektywy 2019/770
Przepisy Data Act mają zastosowanie równolegle z dyrektywą 2019/770 w sprawie umów o dostarczanie treści cyfrowych lub usług cyfrowych konsumentom.
Dyrektywa 2019/770, zaimplementowana do ustawy o prawach konsumenta (rozdział 5b), reguluje:
- zasady zgodności usług cyfrowych z umową,
- uprawnienia konsumenta w razie braku zgodności,
- oraz środki ochrony prawnej.
Z kolei art. 25 DA ma charakter komplementarny – dotyczy relacji B2B i kwestii organizacyjno-technicznychzwiązanych z migracją danych.
Oznacza to, że przedsiębiorcy muszą wdrożyć wymogi art. 25 DA niezależnie od obowiązków wynikających z ustawy o prawach konsumenta.
4. Forma umowy o świadczenie usług przetwarzania danych
4.1. Wymóg formy pisemnej
Zgodnie z art. 25 ust. 1 DA, umowa o świadczenie usług przetwarzania danych powinna zostać zawarta na piśmie.
Jednak pojęcie „forma pisemna” na gruncie prawa unijnego ma charakter autonomiczny, co oznacza, że nie należy utożsamiać go bezpośrednio z polską formą pisemną z art. 78 § 1 k.c.
W świetle praktyki unijnej, np. na gruncie art. 28 ust. 9 RODO, umowa o powierzenie przetwarzania danych może mieć „formę pisemną, w tym formę elektroniczną”.
W praktyce zatem:
- forma pisemna obejmuje dokument z podpisem własnoręcznym,
- forma elektroniczna – dokument opatrzony kwalifikowanym podpisem elektronicznym,
- natomiast forma dokumentowa (art. 772 k.c.) – każda postać pozwalająca ustalić osobę składającą oświadczenie, np. e-mail lub system teleinformatyczny z potwierdzeniem tożsamości.
📄 Wniosek praktyczny:
Za spełniającą wymogi DA należy uznać także formę dokumentową, o ile zapewnia ona integralność i autentycznośćtreści umowy.
4.2. Obowiązek udostępnienia treści umowy klientowi
Dostawca usług przetwarzania danych musi udostępnić klientowi umowę przed jej zawarciem w sposób umożliwiający:
- jej pobranie,
- zachowanie,
- oraz reprodukcję.
W praktyce oznacza to, że dostawca powinien zapewnić klientowi dostęp do pliku z treścią umowy przed akceptacją (np. link do pobrania PDF w panelu klienta).
Dostawca musi być również w stanie udowodnić, że obowiązek ten spełnił.
5. Etapy procesu zmiany dostawcy
5.1. Przegląd etapów
Proces zmiany dostawcy usług przetwarzania danych składa się z trzech zasadniczych faz:
- Okres wypowiedzenia – rozpoczyna się po złożeniu wniosku o zmianę dostawcy przez klienta.
Maksymalny czas wypowiedzenia to 2 miesiące. - Okres przejściowy – w tym czasie umowa nadal obowiązuje, a dostawca ma obowiązek zapewnienia pomocy i wsparcia klientowi.
Standardowy czas to 30 dni, z możliwością przedłużenia. - Okres pobierania danych – po zakończeniu okresu przejściowego klient ma co najmniej 30 dni na pobranie swoich danych.
Dopiero po pomyślnym zakończeniu procesu następuje rozwiązanie umowy.
📚 Przykład praktyczny:
Spółka „DataPol” korzysta z usług przetwarzania danych w chmurze u dostawcy „CloudX”.
W czerwcu 2026 r. składa wniosek o zmianę dostawcy na firmę „NovaCloud”.
Zgodnie z umową, okres wypowiedzenia wynosi 1,5 miesiąca, po czym następuje 30-dniowy okres przejściowy.
Do końca września 2026 r. proces migracji danych zostaje zakończony, a umowa z „CloudX” – rozwiązana.
5.2. Alternatywny scenariusz – zakończenie usługi bez zmiany dostawcy
Jeśli klient nie zamierza zmieniać dostawcy, ale chce usunąć wszystkie dane po zakończeniu umowy, procedura jest krótsza:
- klient składa wniosek o usunięcie danych,
- rozpoczyna się okres wypowiedzenia,
- po jego upływie umowa zostaje rozwiązana,
- bez okresu przejściowego.
5.3. Wniosek o zmianę dostawcy
Uprawnienie klienta
Każdy klient ma prawo:
- zmienić dostawcę usług przetwarzania danych na innego,
- przenieść dane i aktywa cyfrowe do własnej infrastruktury ICT,
- lub zażądać usunięcia wszystkich danych bez zmiany dostawcy.
Zakres wniosku
Wniosek musi określać żądanie klienta (np. przeniesienie danych do innego dostawcy) oraz – w przypadku zmiany na inny podmiot – zawierać dane dostawcy docelowego.
Nie wolno wymuszać na klientach korzystania z określonego formularza – może on zostać jedynie nieobowiązkowym wzorem w załączniku do umowy.
Jeśli wniosek jest niejasny, dostawca powinien skontaktować się z klientem w celu doprecyzowania.
Forma wniosku
Przepis nie określa konkretnej formy.
Strony mogą uzgodnić kanał komunikacji (np. e-mail, system elektroniczny), ale nie mogą ograniczać prawa klienta do złożenia wniosku w inny sposób.
5.4. Okres wypowiedzenia
Złożenie wniosku o zmianę dostawcy uruchamia okres wypowiedzenia, którego długość:
- musi być określona w umowie,
- nie może przekroczyć 2 miesięcy,
- może być krótsza (np. 14 lub 30 dni).
Dopuszczalne jest stosowanie umów na czas określony, w tym z zastrzeżeniem kar umownych za wcześniejsze rozwiązanie – o ile są one proporcjonalne i zgodne z prawem UE.
5.5. Okres przejściowy – znaczenie i obowiązki
Po upływie okresu wypowiedzenia następuje okres przejściowy, w którym:
- umowa nadal obowiązuje,
- dostawca jest zobowiązany do utrzymania usług,
- oraz do zapewnienia klientowi pomocy i wsparcia technicznego w procesie migracji.
Standardowy okres przejściowy to 30 dni, zgodnie z art. 25 ust. 2 lit. a DA,
ale może on zostać przedłużony – przez dostawcę lub klienta (na różnych zasadach).
5.6. Przedłużenie okresu przejściowego
5.6.1. Przedłużenie przez dostawcę
W wyjątkowych przypadkach, gdy przeprowadzenie wszystkich działań wymaganych w procesie zmiany dostawcy w ciągu standardowych 30 dni jest technicznie niewykonalne, dostawca może przedłużyć okres przejściowy.
Aby to zrobić, musi spełnić łącznie następujące warunki:
- Wystąpienie technicznej niewykonalności wykonania wszystkich czynności w standardowym terminie.
- Powiadomienie klienta o zamiarze przedłużenia w terminie 14 dni roboczych od złożenia wniosku przez klienta.
- Uzasadnienie techniczne przyczyn przedłużenia (np. złożoność systemu, duża ilość danych).
- Wskazanie nowego terminu, który nie może przekroczyć 7 miesięcy.
⚠️ To przedłużenie ma charakter wyjątkowy, a jego wykładnia powinna być ścisła — tzn. dostawca nie może traktować go jako standardowej praktyki biznesowej.
Obowiązek dowodu w zakresie technicznej niewykonalności spoczywa na dostawcy.
Nie można uznać za uzasadnienie np. ryzyka ujawnienia tajemnicy przedsiębiorstwa, ponieważ Data Act wyraźnie wskazuje, że tego rodzaju argument nie stanowi przesłanki przedłużenia.
W trakcie przedłużonego okresu przejściowego dostawca musi utrzymać pełną ciągłość świadczenia usług i poziom bezpieczeństwa danych.
📌 W praktyce:
Jeżeli dostawca w dokumentacji przekazywanej klientowi (zgodnie z art. 26 lit. a DA) określił, że standardowy proces zmiany trwa 90 dni, a następnie powoła się na techniczną niewykonalność w okresie 30 dni – klient może żądać wyjaśnień, porównując deklaracje informacyjne z rzeczywistym harmonogramem.
5.6.2. Przedłużenie przez klienta
Art. 25 ust. 5 DA przyznaje klientowi symetryczne prawo do przedłużenia okresu przejściowego.
Uprawnienie to przysługuje niezależnie od tego, czy dostawca skorzystał z możliwości przedłużenia.
Mechanizm wygląda następująco:
- Klient może jednokrotnie przedłużyć okres przejściowy.
- Może to zrobić przed rozpoczęciem lub w trakcie trwania okresu przejściowego.
- Nie musi uzasadniać swojej decyzji.
- Okres przedłużenia określa sam klient – w sposób indywidualny i uzasadniony swoimi potrzebami biznesowymi.
📄 Przykład:
Firma „TechNova” realizuje migrację danych z chmury dostawcy A do B. Ze względu na trwające testy integracyjne z nową infrastrukturą IT, przedłuża okres przejściowy o dodatkowe 30 dni, powiadamiając dostawcę o tym fakcie przed jego zakończeniem. Dostawca musi utrzymać świadczenie usług do końca nowego terminu.
5.6.3. Porównanie uprawnień dostawcy i klienta
| Kryterium | Przedłużenie przez dostawcę | Przedłużenie przez klienta |
|---|---|---|
| Powód | Techniczna niewykonalność wykonania procesu w 30 dni | Dostosowanie do potrzeb klienta |
| Konieczność uzasadnienia | Tak (techniczna argumentacja) | Nie |
| Termin powiadomienia | 14 dni roboczych od wniosku o zmianę dostawcy | Przed lub w trakcie okresu przejściowego |
| Długość przedłużenia | Maksymalnie 7 miesięcy | Dowolna, ustalona przez klienta |
| Charakter prawa | Wyjątek interpretowany ściśle | Uprawnienie klienta bez ograniczeń merytorycznych |
5.7. Obowiązki dostawcy w okresie przejściowym
Obowiązki dostawcy w trakcie okresu przejściowego dzielą się na dwie grupy:
- Utrzymanie ciągłości usług,
- Pomoc i wsparcie w procesie zmiany dostawcy.
5.7.1. Ciągłość świadczenia usług
Zgodnie z Data Act, w całym okresie przejściowym (zarówno standardowym, jak i przedłużonym):
- umowa o świadczenie usług pozostaje w mocy,
- dostawca musi zapewnić ciągłość i stabilność działania,
- oraz jasno informować klienta o ewentualnych ryzykach lub incydentach.
Dostawca powinien wykazywać należytą staranność w utrzymaniu usług, w szczególności jeśli dane klienta są kluczowe dla jego bieżącej działalności gospodarczej (np. systemy CRM, ERP czy dane produkcyjne).
5.7.2. Pomoc i wsparcie techniczne
Dostawca ma obowiązek zapewnienia klientowi wszelkiej niezbędnej pomocy i wsparcia technicznego, umożliwiającego skuteczną i bezpieczną zmianę dostawcy.
Pomoc obejmuje w szczególności:
- przekazywanie informacji o etapach procesu, znanych ryzykach i postępach,
- przekazanie dokumentacji i instrukcji,
- udzielanie wyjaśnień na zapytania klienta lub jego pełnomocnika,
- wspólne rozwiązywanie problemów technicznych,
- dostarczanie zasobów i narzędzi IT potrzebnych do przeniesienia danych.
Pomoc może być świadczona bezpośrednio klientowi lub osobie trzeciej, której klient powierzył prowadzenie procesu (np. firmie IT).
Zasada proporcjonalności z art. 24 DA wymaga, by zakres wsparcia był adekwatny do rodzaju usług, kompetencji dostawcy i jego obowiązków.
5.7.3. Bezpieczeństwo procesu
Szczególne znaczenie ma zapewnienie bezpieczeństwa danych podczas przenoszenia, w tym:
- zachowania poufności, integralności i dostępności danych,
- stosowania zabezpieczeń kryptograficznych i procedur kontroli dostępu,
- bieżącego monitorowania procesu i reagowania na incydenty.
Najbardziej wrażliwym etapem jest transfer danych, który wymaga najwyższych standardów bezpieczeństwa.
5.7.4. Formy wsparcia: plan wyjścia i narzędzia automatyczne
Standardowe klauzule umowne (SKU) przygotowane przez grupę ekspertów Komisji Europejskiej przewidują trzy możliwe modele zmiany dostawcy:
- Strategia wyjścia (Switching & Exit Plan) – plan przygotowany już przy zawieraniu umowy, określający kroki migracji.
- Zautomatyzowane narzędzia samoobsługowe – pozwalające klientowi samodzielnie przenieść dane.
- Model mieszany – łączący plan i automatyzację w zależności od rodzaju danych.
Plan wyjścia może stanowić załącznik do umowy i powinien być aktualizowany w trakcie jej obowiązywania.
To rozwiązanie zalecane w przypadku złożonych lub krytycznych usług chmurowych, gdzie proces przeniesienia danych jest długotrwały i wymaga współpracy zespołów technicznych po obu stronach.
5.7.5. Opłaty w okresie przejściowym
W okresie przejściowym umowa nadal obowiązuje, więc klient jest zobowiązany do uiszczania standardowych opłat za usługę, aż do jej rozwiązania.
Dostawca nie może jednak nakładać dodatkowych kosztów tylko z tytułu samego procesu zmiany dostawcy, chyba że klient zażąda dodatkowego wsparcia wykraczającego poza ustawowy obowiązek.
5.7.6. Dodatkowe usługi i opłaty
Klient może wystąpić z wnioskiem o dodatkowe usługi pomocnicze, np. szczegółowe testy, szyfrowanie lub konwersję danych.
Dostawca może pobrać za nie opłatę tylko wtedy, gdy spełnione są łącznie cztery warunki:
- usługa nie jest objęta obowiązkiem ustawowym,
- została wykonana na wyraźny wniosek klienta,
- klient zaakceptował jej wycenę,
- zgoda była udzielona przed wykonaniem usługi.
5.8. Okres pobierania danych
Po zakończeniu okresu przejściowego klient ma prawo do pobrania wszystkich danych eksportowalnych i aktywów cyfrowych.
Minimalny okres pobierania wynosi 30 dni kalendarzowych, ale może zostać przedłużony za zgodą stron.
To kluczowy etap procesu – pozwala klientowi zweryfikować, czy:
- dane są kompletne,
- mają zachowaną integralność,
- i czy zostały przekazane w formacie zgodnym z ustalonymi standardami.
5.9. Usunięcie danych po zakończeniu procesu
Po pomyślnym zakończeniu zmiany dostawcy, dotychczasowy dostawca ma obowiązek całkowitego usunięciawszystkich:
- danych eksportowalnych,
- oraz aktywów cyfrowych wygenerowanych przez lub dotyczących klienta.
Usunięcie powinno nastąpić po upływie okresu pobierania danych, chyba że strony ustaliły późniejszy termin.
Dopuszczalne jest np. przechowywanie danych kopii zapasowych przez kilka tygodni w celach bezpieczeństwa – o ile klient wyraził na to zgodę.
5.10. Rozwiązanie umowy
5.10.1. Zakończenie bez zmiany dostawcy
Jeżeli klient złożył wniosek o usunięcie danych bez zmiany dostawcy, umowa zostaje rozwiązana po upływie maksymalnego okresu wypowiedzenia.
W tym przypadku nie występuje okres przejściowy.
5.10.2. Zakończenie po pomyślnej zmianie dostawcy
W pozostałych przypadkach umowa ulega rozwiązaniu po pomyślnym zakończeniu procesu zmiany dostawcy.
Pojęcie „pomyślne zakończenie” ma charakter ocenny, dlatego zaleca się określenie w umowie obiektywnych kryteriów, takich jak:
- potwierdzenie pełnego transferu danych,
- weryfikacja integralności i kompletności,
- testy uruchomienia usług w środowisku nowego dostawcy.
5.10.3. Procedura informacyjna
Klient jest podmiotem, który ostatecznie ocenia, czy proces został zakończony pomyślnie.
Po jego potwierdzeniu dotychczasowy dostawca musi niezwłocznie powiadomić klienta o rozwiązaniu umowy.
Jeżeli klient nie złoży takiego potwierdzenia, a dostawca ma uzasadnione podstawy sądzić, że zmiana została zakończona (np. brak logowań do systemu, usunięcie danych), może wezwać klienta do potwierdzenia.
Jeśli klient nie odpowie w wyznaczonym terminie, przyjmuje się, że zmiana nie została zakończona, a umowa pozostaje w mocy.
📌 Ważne:
Opóźnienie w wysłaniu przez dostawcę zawiadomienia o rozwiązaniu umowy nie uprawnia go do naliczania dalszych opłat, ponieważ usługa została już faktycznie zakończona.
6. Katalog klauzul umownych wymaganych przez art. 25 Data Act
Artykuł 25 DA zawiera katalog postanowień, które muszą bezwzględnie znaleźć się w każdej umowie o świadczenie usług przetwarzania danych.
Zawarte w nim klauzule można podzielić na dwie główne grupy:
Postanowienia dotyczące procesu zmiany dostawcy,
Klauzule dotyczące specyfikacji danych i aktywów cyfrowych.
6.1. Klauzule dotyczące procesu zmiany dostawcy
W tej części umowy należy określić w szczególności:
Prawo klienta do zmiany dostawcy – zgodnie z art. 25 ust. 2 lit. a DA, klient może wnioskować o zmianę dostawcy lub przeniesienie danych do własnej infrastruktury ICT.
Zobowiązanie dostawcy do wsparcia strategii odejścia klienta – art. 25 ust. 2 lit. b DA.
Oznacza to obowiązek przekazania informacji, pomocy technicznej i dokumentacji.
Moment rozwiązania umowy i obowiązek poinformowania klienta o tym zdarzeniu – art. 25 ust. 2 lit. c DA.
Okres wypowiedzenia i okres pobierania danych – art. 25 ust. 2 lit. d i g DA.
Maksymalny okres wypowiedzenia to 2 miesiące, minimalny okres pobierania danych to 30 dni.
Zobowiązanie do całkowitego usunięcia danych po zakończeniu procesu – art. 25 ust. 2 lit. h DA.
Zasady naliczania opłat za zmianę dostawcy, jeśli są przewidziane w art. 29 DA – art. 25 ust. 2 lit. i DA.
Obowiązek podania informacji o jurysdykcji i środkach bezpieczeństwa infrastruktury ICT – art. 28 ust. 2 DA.
6.2. Klauzule dotyczące danych i aktywów cyfrowych
Oprócz obowiązków organizacyjnych, umowa powinna zawierać również dwa załączniki opisujące dane:
Specyfikację wszystkich kategorii danych i aktywów cyfrowych, które można przenieść (tzw. dane eksportowalne) – art. 25 ust. 2 lit. e DA.
Specyfikację danych wyłączonych z eksportu, czyli tych, których przeniesienie mogłoby naruszyć tajemnice przedsiębiorstwa lub bezpieczeństwo usług – art. 25 ust. 2 lit. f DA.
⚠️ Uwaga:
Wyłączenia te nie mogą utrudniać ani opóźniać procesu zmiany dostawcy.
Dostawca musi szczegółowo wskazać, które dane są wyłączone i z jakiego powodu.
6.3. Cel i znaczenie tych klauzul
Celem katalogu klauzul jest zapewnienie klientowi:
pełnej kontroli nad swoimi danymi,
przewidywalności i bezpieczeństwa umownego,
oraz transparentności procesu zmiany dostawcy.
Z punktu widzenia praktyki rynkowej oznacza to, że przedsiębiorca jeszcze przed podpisaniem umowy musi wiedzieć:
jakie dane może wyeksportować,
które dane są wyłączone,
jakie opłaty i terminy obowiązują przy zmianie dostawcy.
6.4. Przykład praktyczny
Spółka „InfoData Sp. z o.o.” zawiera umowę z dostawcą usług chmurowych „SkyVault”.
W załączniku do umowy określono:
Załącznik nr 1 – kategorie danych eksportowalnych: dane klientów, metadane logów, ustawienia konfiguracji, kontenery aplikacji.
Załącznik nr 2 – dane wyłączone: logi systemowe dostawcy, dane dotyczące mechanizmów bezpieczeństwa i szyfrowania, fragmenty kodu źródłowego.
Dzięki temu „InfoData” z góry wie, które dane może przenieść w razie zmiany dostawcy oraz jak długo proces potrwa.
7. Standardowe klauzule umowne (SKU)
7.1. Cel i znaczenie SKU
Podobnie jak w RODO, Data Act przewiduje opracowanie przez Komisję Europejską standardowych klauzul umownych (Standard Contractual Clauses – SCC), które ułatwią stronom opracowywanie umów i zapewnią jednolitość praktyki.
Zgodnie z art. 41 DA, Komisja Europejska do 12 września 2025 r. opublikuje niewiążące wzory klauzul dla umów o przetwarzanie danych w chmurze.
Nie będą one obowiązkowe, ale mają pełnić funkcję pomocniczą i wzorcową, zwłaszcza dla małych i średnich przedsiębiorstw.
7.2. Zakres i struktura standardowych klauzul
W opracowanym przez grupę ekspertów dokumencie Final Report of the Expert Group on B2B Data Sharing and Cloud Computing Contracts z 2 kwietnia 2025 r. zaproponowano siedem modułów SKU obejmujących:
Postanowienia ogólne – struktura umowy, wybór prawa, definicje, rozstrzyganie sporów.
Proces zmiany dostawcy – procedury, plan wyjścia, zautomatyzowane narzędzia.
Rozwiązanie umowy – moment rozwiązania i skutki.
Bezpieczeństwo i ciągłość działania.
Przejrzystość informacji.
Odpowiedzialność stron.
Zmiany w umowie.
Każdy z modułów zawiera warianty klauzul i komentarze interpretacyjne, które strony mogą dopasować do swojej relacji biznesowej.
7.3. Postanowienia dotyczące procesu zmiany dostawcy
SKU przewidują dwa główne warianty:
Opcja A – plan wyjścia (Exit Plan): załącznik do umowy zawierający harmonogram, kontakty, limity, ryzyka i opis metod testowych.
Opcja B – zautomatyzowane narzędzia: opis narzędzi samoobsługowych, dokumentacji, kanałów wsparcia technicznego i procedur testowych.
W obu przypadkach dostawca ma obowiązek:
potwierdzić spełnienie obowiązków informacyjnych wobec klienta,
prowadzić rejestr internetowy z informacjami o formatach danych i standardach interoperacyjności,
udostępnić jasne instrukcje przeniesienia danych.
7.4. Procedura zmiany dostawcy według SKU
Klient składa powiadomienie o rozpoczęciu procesu (zgodnie z okresem wypowiedzenia).
Wniosek zawiera dane dostawcy docelowego lub wskazanie lokalnej infrastruktury ICT.
Dostawca potwierdza otrzymanie powiadomienia – np. w ciągu 3 dni roboczych.
Jeśli występują trudności techniczne, dostawca może powiadomić klienta o przedłużeniu okresu przejściowego, nie później niż 14 dni roboczych od wniosku, z podaniem uzasadnienia i nowego terminu (maks. 7 miesięcy).
Klient może również przedłużyć okres przejściowy – dowolnie, bez uzasadnienia, powiadamiając dostawcę.
Po zakończeniu transferu klient ma co najmniej 30 dni na pobranie danych.
Następnie dostawca musi usunąć wszystkie dane klienta (z wyjątkiem tych, które prawo wymaga przechować).
Po otrzymaniu potwierdzenia o pomyślnym zakończeniu procesu, dostawca powiadamia o rozwiązaniu umowy.
7.5. Postanowienia dotyczące bezpieczeństwa i ciągłości usług
SKU zawierają obowiązek dostawcy do:
stosowania najwyższych standardów bezpieczeństwa,
zapewnienia ciągłości świadczenia usług w trakcie całego procesu zmiany,
wdrożenia planów awaryjnych (contingency plans) i mechanizmów odzyskiwania danych po awarii (disaster recovery measures).
Dostawca musi powiadomić klienta o każdym incydencie bezpieczeństwa lub zagrożeniu dla ciągłości usług w terminie:
48 godzin,
lub 24 godzin, jeśli tak stanowią przepisy prawa.
Powiadomienie musi umożliwiać klientowi zrozumienie i ocenę ryzyka oraz obejmować plan działań naprawczych.
Dostawca ma obowiązek udzielić pomocy bez dodatkowych kosztów, jeśli incydent wynika z jego zaniedbań.
7.6. Postanowienia dotyczące przejrzystości
Aby przeciwdziałać asymetrii informacji między stronami, dostawca musi zapewnić klientowi łatwy i trwały dostęp online do wszystkich istotnych dokumentów, w tym:
tekstu umowy i załączników,
historii zmian i wersji,
listy podwykonawców,
raportów operacyjnych,
danych kontaktowych i powiadomień.
Informacje te powinny być zrozumiałe dla człowieka i odczytywalne maszynowo (np. pliki XML lub JSON).
7.7. Odpowiedzialność stron
Grupa ekspertów podkreśliła, że zasady odpowiedzialności stron za naruszenie umowy nie różnią się istotnie od typowych umów B2B.
Jednak zaleca się, by w przypadku usług chmurowych:
jasno zdefiniować zakres odpowiedzialności za utratę danych,
unikać zbyt szerokich wyłączeń odpowiedzialności dostawcy,
stosować klauzule o współodpowiedzialności, jeśli proces zmiany wymaga współpracy z podmiotami trzecimi.
7.8. Zmiany umowy
Zasadą jest, że żadna ze stron nie może jednostronnie zmienić umowy, chyba że spełnione są łącznie następujące warunki:
Zmiana jest korzystna dla klienta, konieczna dla bezpieczeństwa lub wymagana przez prawo.
Nie wpływa negatywnie na jakość ani poziom usług.
Nie dotyczy kluczowych postanowień, takich jak: okres obowiązywania, odpowiedzialność, ceny, jurysdykcja, miejsce przetwarzania danych.
Klient został powiadomiony o zmianie z co najmniej 30-dniowym wyprzedzeniem i otrzymał pełną informację o jej zakresie, przyczynach i skutkach.
Klient ma prawo odrzucić zmianę, co powinno prowadzić do negocjacji lub utrzymania dotychczasowych warunków.
Brak reakcji klienta oznacza akceptację zmiany.
8. Znaczenie praktyczne i ocena rozwiązań
8.1. Znaczenie praktyczne
Artykuł 25 Data Act ma fundamentalne znaczenie dla rynku usług chmurowych i przetwarzania danych w Unii Europejskiej.
Wprowadza on nie tylko obowiązek uregulowania w umowie kwestii zmiany dostawcy, ale także wymusza na dostawcach organizacyjne przygotowanie do realizacji tych procesów w ściśle określonych terminach.
Oznacza to, że każdy dostawca usług przetwarzania danych musi:
opracować procedury obsługi wniosków o zmianę dostawcy,
zapewnić personel techniczny zdolny do przeprowadzenia migracji danych,
wdrożyć systemy umożliwiające pobieranie, eksport i usuwanie danych zgodnie z wymogami DA,
oraz dokumentować spełnienie wszystkich obowiązków.
Przedsiębiorcy – klienci tych usług – zyskują z kolei realne narzędzie do egzekwowania swoich praw, w tym:
prawo do przenoszenia danych w formatach interoperacyjnych,
możliwość zmiany dostawcy bez ryzyka utraty danych,
gwarancję wsparcia technicznego i bezpieczeństwa w procesie migracji.
W praktyce oznacza to zwiększenie konkurencyjności i elastyczności na rynku usług chmurowych – przedsiębiorca może zmienić dostawcę, jeśli inny oferuje lepsze warunki, bez obaw o blokadę danych lub nieuzasadnione opłaty.
8.2. Ocena regulacji – uwagi krytyczne
Wprowadzenie art. 25 DA należy ocenić pozytywnie, szczególnie z perspektywy klientów – przedsiębiorców i administracji publicznej.
Przepis ten znacząco wzmacnia ich pozycję wobec dużych dostawców chmurowych (AWS, Azure, Google Cloud), którzy dotąd często narzucali jednostronne warunki.
Na uwagę zasługują:
precyzyjne określenie maksymalnych terminów (2 miesiące wypowiedzenia, 30 dni okresu przejściowego),
obowiązek udzielania pomocy i wsparcia technicznego,
oraz wymóg pełnej transparentności i dokumentacji procesu.
Jednocześnie jednak, w praktyce stosowania przepisów mogą pojawić się pewne trudności:
Nieostre pojęcia – takie jak „techniczna niewykonalność”, „uzasadniona pomoc” czy „wsparcie strategii odejścia” mogą prowadzić do sporów interpretacyjnych.
Różny poziom wdrożenia – mniejsi dostawcy mogą mieć problemy z dostosowaniem systemów do wymogów interoperacyjności.
Brak obowiązku stosowania SKU – standardowe klauzule są niewiążące, co może prowadzić do rozbieżności w praktyce umownej.
Z tego powodu zaleca się, by przedsiębiorcy aktywnie negocjowali umowy, domagając się:
włączenia klauzul wzorowanych na standardach Komisji Europejskiej,
jasnych kryteriów uznania procesu za „pomyślnie zakończony”,
oraz określenia formatów danych i procedur usuwania w sposób jednoznaczny.
8.3. Zestawienie obligatoryjnych klauzul umownych wynikających z art. 25 DA
Lp.
Opis klauzuli
Przepis
1
Prawo klienta do zmiany dostawcy lub przeniesienia danych do infrastruktury lokalnej
art. 25 ust. 2 lit. a DA
2
Obowiązek dostawcy do wsparcia strategii odejścia klienta
art. 25 ust. 2 lit. b DA
3
Postanowienie określające moment rozwiązania umowy i obowiązek poinformowania klienta
art. 25 ust. 2 lit. c DA
4
Maksymalny okres wypowiedzenia nieprzekraczający dwóch miesięcy
art. 25 ust. 2 lit. d DA
5
Specyfikacja kategorii danych i aktywów cyfrowych możliwych do przeniesienia
art. 25 ust. 2 lit. e DA
6
Specyfikacja kategorii danych wyłączonych z eksportu (np. dane bezpieczeństwa)
art. 25 ust. 2 lit. f DA
7
Minimalny okres pobierania danych – co najmniej 30 dni
art. 25 ust. 2 lit. g DA
8
Postanowienie o całkowitym usunięciu danych po zakończeniu procesu
art. 25 ust. 2 lit. h DA
9
Określenie zasad opłat za zmianę dostawcy
art. 25 ust. 2 lit. i DA
10
Odniesienie do stron internetowych z informacjami o jurysdykcji i bezpieczeństwie infrastruktury ICT
art. 28 ust. 2 DA
8.4. Praktyczne rekomendacje dla przedsiębiorców
📌 Dla klientów (użytkowników usług przetwarzania danych):
Przed podpisaniem umowy żądaj pełnej listy danych eksportowalnych i wyłączonych.
Ustal z dostawcą plan wyjścia lub narzędzie samoobsługowe.
Dopilnuj, by w umowie znalazły się terminy, kryteria zakończenia procesu i zasady usuwania danych.
Zapisz prawo do jednokrotnego przedłużenia okresu przejściowego bez uzasadnienia.
Sprawdź, czy dostawca udostępni umowę do pobrania przed jej zawarciem (obowiązek z art. 25 ust. 1 DA).
📌 Dla dostawców:
Przeprowadź audyt techniczny systemów pod kątem możliwości eksportu i migracji danych.
Opracuj i udokumentuj wewnętrzne procedury zmiany dostawcy.
Przygotuj załączniki do umowy opisujące dane eksportowalne i wyłączone.
Zapewnij bezpieczeństwo i ciągłość działania w trakcie całego procesu.
Pamiętaj, że niedotrzymanie terminów i obowiązków może skutkować odpowiedzialnością kontraktową i naruszeniem prawa unijnego.
Podstawa prawna
art. 25 Data Act (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonizacji zasad dostępu do danych i ich wykorzystywania (Data Act))
art. 26 lit. a, art. 28 ust. 2, art. 29, art. 41 Data Act
art. 28 ust. 9 Rozporządzenia (UE) 2016/679 (RODO)
art. 772, 781 § 1, 78 § 1 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz.U. 2023 poz. 1610 z późn. zm.)
Dyrektywa (UE) 2019/770 Parlamentu Europejskiego i Rady z dnia 20 maja 2019 r. w sprawie umów o dostarczanie treści cyfrowych i usług cyfrowych
Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (Dz.U. 2023 poz. 2759 z późn. zm.) – rozdział 5b.
Tematy zawarte w poradniku
procedura zmiany dostawcy usług przetwarzania danych według Data Act
prawa i obowiązki stron umowy o przetwarzanie danych
okres wypowiedzenia, przejściowy i pobierania danych w DA
standardowe klauzule umowne (SKU) i praktyczne wzory
bezpieczeństwo i ciągłość usług w procesie zmiany dostawcy