1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Art. 26 Data Act – obowiązek informacyjny dostawcy usług przetwarzania danych wobec klienta
Wyszukiwanie...
Data publikacji: 10.01.2026

Art. 26 Data Act – obowiązek informacyjny dostawcy usług przetwarzania danych wobec klienta

Spis treści

Dostawcy usług przetwarzania danych (np. chmurowych, hostingowych czy SaaS) mają szczególny obowiązek informacyjny wobec swoich klientów. Zgodnie z art. 26 Data Act (DA), muszą przekazać im kompletne i aktualne informacje dotyczące procedur zmiany dostawcy oraz udostępnić publicznie rejestr internetowy zawierający szczegóły techniczne o danych i ich formatach. Przepis ten ma kluczowe znaczenie dla ochrony autonomii informacyjnej klientów oraz zapewnienia przejrzystości procesów przenoszenia usług i danych pomiędzy dostawcami.

Obowiązek informacyjny w kontekście Data Act

Data Act (DA) wprowadza na dostawców usług przetwarzania danych szereg obowiązków mających na celu zwiększenie interoperacyjności oraz swobody zmiany dostawcy. Artykuł 26 DA koncentruje się na jednym z najważniejszych aspektów tej regulacji – obowiązku informacyjnym dostawcy wobec klienta.

Celem przepisu jest zapewnienie, aby klient mógł podejmować świadome decyzje dotyczące zmiany dostawcy, w oparciu o rzetelne i pełne informacje. Dzięki temu użytkownik usług chmurowych zyskuje większą kontrolę nad swoimi danymi i procesami ich przenoszenia.

Zakres obowiązku informacyjnego

Informacje o procedurach zmiany dostawcy

Zgodnie z art. 26 lit. a DA, dostawca usług przetwarzania danych jest zobowiązany do przekazania klientowi informacji o istniejących procedurach zmiany dostawcy i przeniesienia usługi przetwarzania danych.

Przez „procedurę” należy rozumieć uporządkowany zestaw działań, których realizacja ma umożliwić bezpieczne, skuteczne i kompletne przeniesienie usługi od jednego dostawcy do innego.

Przepis nie zawiera zamkniętego katalogu informacji, które dostawca musi przekazać, ale na podstawie art. 26 lit. a DA oraz motywu 95 preambuły DA można wskazać minimalny, obowiązkowy zakres takiej informacji.

Zgodnie z tym, dostawca powinien poinformować klienta co najmniej o:

  1. dostępnych metodach zmiany dostawcy – np. ręczne przenoszenie danych, automatyczna migracja z użyciem API lub dedykowanego narzędzia;
  2. formatach danych, w jakich może nastąpić zmiana – w tym formatach nadających się do odczytu maszynowego;
  3. istniejących limitach technicznych, które mogą ograniczyć proces zmiany dostawcy;
  4. znanych ograniczeniach technicznych, mogących wpłynąć na przebieg migracji;
  5. procedurze inicjowania zmiany – czyli sposobie rozpoczęcia procesu przenoszenia danych;
  6. narzędziach do eksportowania danych, w tym otwartych interfejsach (API, integracje);
  7. zgodności z normami lub specyfikacjami interoperacyjności, opartymi na otwartych standardach;
  8. szacowanym czasie potrzebnym do zakończenia procesu zmiany dostawcy.

📄 W praktyce oznacza to, że klient powinien dokładnie wiedzieć, w jaki sposób może przenieść swoje dane, jak długo potrwa ten proces, w jakim formacie dane zostaną udostępnione oraz jakie bariery techniczne mogą wystąpić.

Przykład praktyczny

Firma TechNova Sp. z o.o. korzysta z usług chmurowych dostawcy CloudOne. Po kilku latach działalności planuje przenieść część swoich baz danych do innej platformy, DataSky. Zgodnie z art. 26 DA, CloudOne musi przedstawić TechNovie informacje o tym:

  • jak przebiega proces zmiany dostawcy (czy możliwe jest automatyczne przeniesienie danych),
  • w jakich formatach można wyeksportować dane (np. CSV, JSON, XML),
  • czy istnieją ograniczenia co do wielkości przesyłanych plików lub przepustowości,
  • ile czasu potrwa cały proces (np. „maksymalnie 48 godzin dla baz danych do 100 GB”).

Dzięki tym informacjom TechNova może zaplanować migrację z minimalnym ryzykiem utraty danych i przestojów w działalności.

Rejestr internetowy dostawcy usług przetwarzania danych

Drugim filarem obowiązku informacyjnego, wynikającym z art. 26 lit. b DA, jest konieczność udostępnienia klientowi odniesienia do rejestru internetowego prowadzonego przez dostawcę.

Rejestr ten powinien zawierać szczegółowe informacje dotyczące:

  1. struktur danych – czyli sposobu organizacji danych (np. schematy baz danych, relacje pomiędzy tabelami);
  2. formatów danych – np. CSV, JSON, XML, Parquet, Avro;
  3. norm i otwartych specyfikacji interoperacyjności, w których dostępne są dane eksportowalne.

📌 Rejestr internetowy ma więc charakter publicznego źródła informacji technicznych, umożliwiającego klientom ocenę, czy i w jaki sposób mogą przenieść swoje dane do innego dostawcy.

Zgodnie z art. 30 ust. 4 DA, rejestr musi być na bieżąco aktualizowany, co oznacza, że każdy dostawca jest zobowiązany do regularnego weryfikowania i uzupełniania jego zawartości.

Umiejscowienie informacji w umowie

W umowie o świadczenie usług przetwarzania danych należy wskazać kategorie danych i aktywów cyfrowych, które można przenieść. Natomiast szczegółowe informacje o strukturach, formatach, normach i specyfikacjach tych danych mogą być przedstawione w rejestrze internetowym.

W praktyce oznacza to, że dostawca nie musi włączać całego komunikatu informacyjnego bezpośrednio do treści umowy – wystarczy, że wskaże odniesienie do odpowiedniego rejestru. Dzięki temu umowa pozostaje elastyczna, a dostawca może aktualizować dane bez konieczności każdorazowej zmiany dokumentu.

Sposób spełnienia obowiązku informacyjnego

Artykuł 26 DA nie określa formy ani momentu, w jakim dostawca powinien przekazać informacje klientowi.

Nie wymaga się, aby komunikat miał formę pisemną – może on zostać przekazany np. elektronicznie (na stronie internetowej, w portalu klienta, mailowo).
Ważne jest jednak, aby dostawca był w stanie udowodnić, że obowiązek został wykonany, np. poprzez:

  • zachowanie elektronicznego potwierdzenia wysyłki komunikatu,
  • udokumentowanie aktualizacji rejestru internetowego,
  • wskazanie daty udostępnienia informacji w panelu użytkownika.

Zgodnie z celem przepisu, informacje powinny zostać przekazane najpóźniej w momencie zawarcia umowy, a najlepiej – jeszcze przed jej podpisaniem, by klient mógł w pełni świadomie zdecydować o wyborze usługodawcy.

W przypadku zmiany procedur dostawca ma obowiązek niezwłocznie poinformować klienta o aktualizacjach, przedstawiając zakres zmian oraz jednolity tekst zaktualizowanej informacji.

⚠️ Ciężar spełnienia obowiązku informacyjnego spoczywa wyłącznie na dostawcy – klient nie musi występować z zapytaniem. Obowiązek ma charakter aktywny, co oznacza, że to dostawca musi z własnej inicjatywy przekazać wymagane dane.

Obowiązki informacyjne dostawcy usług przetwarzania danych w świetle rozdziału VI Data Act

Artykuł 26 DA jest częścią szerokiego systemu przepisów zawartych w rozdziale VI Data Act, które wspólnie określają zakres i sposób realizacji obowiązków informacyjnych przez dostawców usług przetwarzania danych. Celem tych regulacji jest zapewnienie pełnej przejrzystości usług, a także ułatwienie klientom zmiany dostawcy i skutecznego zarządzania danymi.

W praktyce oznacza to, że każdy dostawca chmury, hostingu czy platformy danych ma obowiązek informować swoich klientów o istotnych aspektach technicznych, prawnych i organizacyjnych dotyczących przetwarzania ich danych.

Zakres obowiązków informacyjnych na gruncie rozdziału VI DA

Choć art. 26 DA skupia się na procedurach zmiany dostawcy i rejestrze internetowym, inne przepisy rozdziału VI precyzują dodatkowe aspekty obowiązku informacyjnego. W rezultacie dostawca musi nie tylko przekazywać dane o procesie migracji, ale także informować o zagrożeniach, standardach technicznych czy opłatach.

Najważniejsze obowiązki informacyjne dostawcy (wg DA):

  1. Informacje o zagrożeniach dla ciągłości usług
    Zgodnie z art. 25 ust. 2 lit. a ppkt iii DA, dostawca musi przedstawić klientowi „jasne informacje o znanych zagrożeniach dla ciągłości świadczenia funkcji lub usług”.
    Chodzi tu m.in. o ryzyka związane z awariami infrastruktury, ograniczeniami dostępu do danych czy potencjalnymi przerwami w funkcjonowaniu systemu.
  2. Wsparcie strategii odejścia klienta
    Zgodnie z art. 25 ust. 2 lit. b DA, dostawca ma obowiązek przekazać „wszelkie istotne informacje w ramach wsparcia strategii odejścia klienta w odniesieniu do usług objętych umową”.
    Obejmuje to m.in. instrukcje dotyczące przygotowania do migracji, eksportu danych oraz zapewnienia ciągłości działalności klienta w okresie przejściowym.
  3. Specyfikacja danych eksportowalnych i wyłączonych
    Na mocy art. 25 ust. 2 lit. e–f DA, dostawca powinien udostępnić szczegółową specyfikację wszystkich kategorii danych i aktywów cyfrowych, które można przenieść w trakcie zmiany dostawcy, a także danych wyłączonych z eksportu, jeśli są one niezbędne dla wewnętrznego funkcjonowania dostawcy.
  4. Informacje o procedurach zmiany dostawcy
    Ten obowiązek określa właśnie art. 26 lit. a DA, a jego zakres został szczegółowo omówiony w poprzedniej części poradnika.
  5. Rejestr internetowy ze strukturami danych
    Art. 26 lit. b DA nakłada obowiązek prowadzenia i aktualizowania publicznego rejestru internetowego, zawierającego informacje o strukturach i formatach danych oraz otwartych specyfikacjach interoperacyjności.
  6. Informacje o jurysdykcji infrastruktury ICT
    Zgodnie z art. 28 ust. 1 lit. a DA, dostawca musi ujawnić „informacje o jurysdykcji, której podlega infrastruktura ICT używana do przetwarzania danych”.
    Oznacza to, że klient powinien wiedzieć, w jakim kraju (i pod jakim prawem) fizycznie znajdują się serwery lub centra danych.
  7. Środki zapobiegające nieuprawnionemu dostępowi do danych
    Na mocy art. 28 ust. 1 lit. b DA, dostawca ma obowiązek udostępnić „ogólny opis środków przyjętych w celu zapobieżenia międzynarodowemu dostępowi do danych nieosobowych przechowywanych na terenie Unii Europejskiej”.
    Ma to chronić dane klientów przed przekazaniem ich organom spoza UE bez odpowiedniej podstawy prawnej.
  8. Informacje o opłatach i karach umownych
    Zgodnie z art. 29 ust. 4 DA, dostawca musi przekazać klientowi informacje o „standardowych opłatach za usługę i karach za wcześniejsze rozwiązanie umowy”.
    Ma to zapobiec ukrywaniu kosztów, które mogłyby utrudnić klientowi zmianę dostawcy.
  9. Opłaty za zmianę dostawcy
    W myśl art. 25 ust. 2 lit. i oraz art. 29 ust. 4 DA, dostawca ma obowiązek poinformować klienta o wszelkich opłatach związanych z procesem migracji – w tym kosztach eksportu danych czy konfiguracji systemu po stronie nowego dostawcy.
  10. Informacje o równoważności funkcjonalnej
    Zgodnie z art. 30 ust. 1 DA, dostawca powinien ułatwić klientowi uzyskanie równoważności funkcjonalnej usług po przeniesieniu danych do innego dostawcy.
    W ramach tego obowiązku musi udzielić informacji, które pomogą klientowi w zapewnieniu ciągłości działania aplikacji i usług po migracji.
  11. Informowanie przyszłych klientów o wyłączeniach obowiązków
    art. 31 ust. 3 DA przewidziano obowiązek poinformowania przyszłych klientów o tych obowiązkach Data Act, które nie mają zastosowania do danego dostawcy (np. w przypadku usług o bardzo wąskim zakresie).

Charakterystyka obowiązku informacyjnego

Wszystkie powyższe obowiązki mają charakter aktywny – to dostawca musi z własnej inicjatywy przekazać informacje klientowi, a nie dopiero w odpowiedzi na jego zapytanie.
Wynika to bezpośrednio z celu regulacji, jakim jest wyrównanie asymetrii informacyjnej między stronami umowy.

Dodatkowo:

  • informacje muszą być przekazywane w sposób zrozumiały i kompletny,
  • dostawca musi zapewnić łatwy dostęp do informacji, np. poprzez stronę internetową lub panel klienta,
  • przekazane dane muszą być aktualne, a ich zmiana wymaga niezwłocznego poinformowania klienta.

Znaczenie praktyczne art. 26 DA

W praktyce komentowany artykuł wymusza na dostawcach usług przetwarzania danych wprowadzenie transparentnych mechanizmów informowania klientów.
Oznacza to, że każdy dostawca powinien:

  • opracować i udokumentować procedury zmiany dostawcy,
  • przygotować rejestr internetowy z opisem struktur i formatów danych,
  • ustalić metodę udostępniania informacji (np. portal klienta, dokument PDF, link w umowie),
  • wdrożyć proces aktualizacji informacji i powiadamiania klientów o zmianach.

Dla klientów przepis stanowi gwarancję, że proces zmiany dostawcy nie będzie obarczony ryzykiem braku danych, niejasnych zasad czy ukrytych kosztów.

Ocena i znaczenie regulacji

Wprowadzenie szczegółowych obowiązków informacyjnych należy ocenić pozytywnie.
Przepisy te zwiększają transparentność rynku usług przetwarzania danych i ograniczają nadużycia po stronie dużych dostawców.

Jednocześnie jednak brak precyzyjnego katalogu informacji, które muszą znaleźć się w procedurze zmiany dostawcy, może prowadzić do rozbieżności w praktyce.
Z jednej strony pozwala to na elastyczność i dopasowanie komunikatu do specyfiki usług, z drugiej – utrudnia ocenę, czy dostawca faktycznie wypełnił obowiązek w sposób prawidłowy.

📚 Ujednolicenie standardów mogłoby więc ułatwić zarówno dostawcom, jak i organom nadzorczym kontrolę prawidłowości wdrożenia tych obowiązków.

Podstawa prawna

  • art. 25 ust. 2 lit. a–i – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonijnych zasad dostępu do danych i ich wykorzystywania (Data Act)
  • art. 26 lit. a–b – Data Act
  • art. 28 ust. 1 lit. a–b – Data Act
  • art. 29 ust. 4 – Data Act
  • art. 30 ust. 1, ust. 4 – Data Act
  • art. 31 ust. 3 – Data Act

Tematy zawarte w poradniku

  • obowiązek informacyjny dostawcy usług przetwarzania danych
  • procedura zmiany dostawcy usług chmurowych
  • rejestr internetowy dostawcy danych w Data Act
  • interoperacyjność i przenoszenie danych w Data Act
  • przejrzystość umów o przetwarzanie danych
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: