1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Art. 28 – Obowiązki dostawców usług przetwarzania danych w zakresie przejrzystości międzynarodowego dostępu do danych nieosobowych
Wyszukiwanie...
Data publikacji: 20.01.2026

Art. 28 – Obowiązki dostawców usług przetwarzania danych w zakresie przejrzystości międzynarodowego dostępu do danych nieosobowych

Spis treści

Dostawcy usług przetwarzania danych w Unii Europejskiej, w tym operatorzy chmur, centrów danych czy platform hostingowych, mają szczególne obowiązki dotyczące ochrony danych nieosobowych. Artykuł 28 Data Act (DA) nakłada na nich konieczność zapewnienia przejrzystości w kwestii międzynarodowego dostępu i przekazywania danych nieosobowych, a także wdrożenia odpowiednich środków technicznych i organizacyjnych, które mają zapobiegać nieuprawnionemu udostępnieniu tych danych administracjom rządowym spoza UE.

Obowiązek przejrzystości w zakresie dostępu do danych nieosobowych

Zgodnie z art. 28 DA, dostawcy usług przetwarzania danych muszą udostępniać oraz regularnie aktualizować informacje pozwalające klientom zrozumieć, w jaki sposób i na jakich zasadach ich dane mogą być dostępne lub przekazywane poza granice Unii Europejskiej.

Celem tej regulacji, powiązanej z art. 32 DA, jest zagwarantowanie, że przedsiębiorcy przechowujący swoje dane nieosobowe w infrastrukturze zlokalizowanej na terenie UE będą chronieni przed bezprawnym dostępem do tych danych przez administrację rządową państw trzecich.

„Bezprawny dostęp lub przekazywanie” oznacza wszelkie działania sprzeczne z prawem Unii Europejskiej lub prawem krajowym państwa członkowskiego. Dotyczy to m.in.:

  • naruszenia tajemnicy przedsiębiorstwa,
  • naruszenia praw własności intelektualnej,
  • złamania umownych zobowiązań poufności.

W praktyce oznacza to, że jeżeli dostawca usług przetwarzania danych otrzyma wniosek o dostęp lub przekazanie danych nieosobowych klienta od administracji rządowej państwa trzeciego, nie może on po prostu przekazać danych. Ma obowiązek zweryfikować zgodność takiego wniosku z prawem.

Jak rozpoznać zgodny z prawem wniosek o przekazanie danych

Dostawca powinien sprawdzić, czy żądanie przekazania danych jest oparte na odpowiednich podstawach prawnych.
Za zgodny z prawem uznaje się wniosek, który opiera się np. na:

  • umowie międzynarodowej,
  • traktacie o pomocy prawnej między danym państwem trzecim a Unią Europejską lub państwem członkowskim.

Wniosek, który nie spełnia tych kryteriów, powinien zostać odrzucony lub zawieszony do czasu wyjaśnienia jego podstawy prawnej.

Co nie podlega tej regulacji

Warto podkreślić, że art. 28 DA nie dotyczy danych osobowych (te są regulowane przez RODO) ani przekazywania danych nieosobowych między podmiotami prywatnymi, np. między przedsiębiorstwami lub wewnątrz jednej grupy kapitałowej.

Regulacja ma zastosowanie wyłącznie do sytuacji, gdy dostęp do danych nieosobowych lub ich przekazanie następuje na żądanie organów administracji rządowej państwa spoza UE.

Środki techniczne, organizacyjne i prawne – obowiązki dostawców

Aby zapobiec nieuprawnionemu dostępowi lub przekazywaniu danych nieosobowych, dostawcy usług przetwarzania danych są zobowiązani do wdrożenia zestawu środków technicznych, organizacyjnych i prawnych.

Do takich działań zalicza się m.in.:

  • opracowanie wewnętrznych procedur postępowania w przypadku otrzymania wniosku o przekazanie danych,
  • ustanowienie osób odpowiedzialnych za ocenę zgodności wniosków z prawem,
  • zapewnienie transparentności wobec klientów w zakresie zasad przechowywania i dostępu do danych.

Przykład praktyczny

Firma DataCloud Polska Sp. z o.o., prowadząca centrum danych w Warszawie, obsługuje klientów z całej Europy. Jeden z jej klientów, niemiecka spółka technologiczna, przechowuje na serwerach dane dotyczące statystyk użytkowania urządzeń – dane te nie mają charakteru osobowego.

Administracja rządowa państwa spoza UE (np. USA) zwraca się do DataCloud Polska z wnioskiem o przekazanie tych danych w ramach dochodzenia.

Zgodnie z art. 28 DA, firma DataCloud nie może udostępnić danych bez uprzedniej weryfikacji podstawy prawnej wniosku. Musi ustalić, czy istnieje umowa międzynarodowa między USA a UE lub Polską, która dopuszcza taki dostęp. Jeśli nie – dostęp jest bezprawny, a dane nie mogą zostać przekazane.

Obowiązek informowania o jurysdykcji, której podlega infrastruktura ICT

Jednym z kluczowych elementów przejrzystości, o której mowa w art. 28 Data Act, jest ujawnienie jurysdykcji, czyli wskazanie, któremu państwu podlega infrastruktura ICT wykorzystywana przez dostawcę usług przetwarzania danych.

To obowiązek o charakterze informacyjnym i publicznym, który ma umożliwić klientom świadome podejmowanie decyzji o miejscu przechowywania swoich danych.

Gdzie należy zamieszczać informację o jurysdykcji

Każdy dostawca usług przetwarzania danych ma obowiązek udostępniać informację o jurysdykcji na swojej stronie internetowej.
Informacja ta powinna być łatwo dostępna, aktualna i zrozumiała dla użytkowników.

W szczególności należy wskazać:

  • konkretne państwo członkowskie UE lub państwo trzecie, któremu podlega infrastruktura ICT (czyli serwery, centra danych, platformy chmurowe itp.),
  • w przypadku systemów federalnych – także jednostkę federacyjną, np. stan w USA, w którym zlokalizowana jest infrastruktura.

Obowiązek aktualizacji informacji o jurysdykcji

Informacja o jurysdykcji musi być regularnie aktualizowana.
Każda zmiana – np. przeniesienie danych z centrum danych w Niemczech do Francji lub z serwerów w UE na serwery w państwie trzecim – wymaga natychmiastowego uaktualnienia informacji na stronie internetowej.

Nie wystarczy jednorazowa publikacja – dostawca musi zapewnić ciągłą zgodność informacji z rzeczywistym stanem infrastruktury.

Odwołanie do informacji o jurysdykcji w umowach z klientami

Obowiązek przejrzystości nie kończy się na stronie internetowej.
Każda umowa o świadczenie usług przetwarzania danych powinna zawierać odniesienie do miejsca publikacji informacji o jurysdykcji.

W praktyce oznacza to, że w umowie (np. regulaminie usług chmurowych) musi znaleźć się zapis odsyłający do strony internetowej dostawcy, gdzie te dane są udostępniane.

To zapewnia, że klient, podpisując umowę, świadomie akceptuje jurysdykcję, której podlega infrastruktura, i wie, jakie przepisy mogą mieć zastosowanie do jego danych.

Kiedy wymagana jest osobna informacja dla każdej usługi

Wielu dostawców świadczy więcej niż jedną usługę przetwarzania danych, np.:

  • usługi przechowywania danych (storage),
  • usługi przetwarzania w chmurze (cloud computing),
  • usługi backupu i archiwizacji.

Jeżeli poszczególne usługi wykorzystują infrastrukturę podlegającą różnym jurysdykcjom, dostawca ma obowiązek przedstawienia odrębnej informacji dla każdej z nich.

Nie wystarczy ogólne stwierdzenie, że „dane są przetwarzane w UE” – klient musi wiedzieć, w którym państwie (lub jego części) znajduje się jego infrastruktura i jakiej jurysdykcji prawnej podlega.

Przykład praktyczny

Spółka EuroData Systems S.A. świadczy trzy rodzaje usług chmurowych:

  1. Cloud Basic – dane przetwarzane w centrum danych w Polsce (jurysdykcja: Polska, UE),
  2. Cloud Advanced – dane przetwarzane w Niemczech (jurysdykcja: Niemcy, UE),
  3. Cloud Global – dane przetwarzane w Stanach Zjednoczonych (jurysdykcja: USA, stan Virginia).

Zgodnie z art. 28 DA, EuroData Systems musi opublikować na swojej stronie internetowej oddzielne informacjedotyczące jurysdykcji każdej z usług oraz aktualizować je w razie jakiejkolwiek zmiany lokalizacji infrastruktury.
W umowach z klientami spółka powinna wskazać link do sekcji „Informacje o jurysdykcji”, dzięki czemu użytkownicy będą mogli zweryfikować, gdzie faktycznie przechowywane są ich dane.

Dlaczego informacja o jurysdykcji jest tak istotna

Z punktu widzenia bezpieczeństwa i prawa, informacja o jurysdykcji ma ogromne znaczenie.
To właśnie jurysdykcja określa, jakie organy mogą mieć prawo żądać dostępu do danych i na jakich zasadach.

Dzięki obowiązkowi publikacji tych danych klient:

  • może świadomie wybrać usługę, której infrastruktura podlega określonym przepisom,
  • może ocenić ryzyko prawne, związane z potencjalnym dostępem administracji rządowych spoza UE,
  • zyskuje przejrzystość – czyli podstawową zasadę, na której opiera się art. 28 DA.

Ogólny opis zabezpieczeń stosowanych przez dostawców usług przetwarzania danych

Kolejnym obowiązkiem wynikającym z art. 28 Data Act (DA) jest zapewnienie przejrzystości w zakresie środków technicznych, organizacyjnych i umownych, które mają zapobiegać bezprawnemu dostępowi do danych nieosobowych lub ich nieuprawnionemu przekazaniu administracjom rządowym państw trzecich.

Podobnie jak w przypadku informacji o jurysdykcji, opis tych zabezpieczeń musi być dostępny publicznie na stronie internetowej dostawcy, a odniesienie do niego powinno znaleźć się w umowach z klientami.

Zakres obowiązku publikacji opisu zabezpieczeń

Na stronie internetowej dostawcy – w miejscu wskazanym w umowie – należy zamieścić ogólny opis środków bezpieczeństwa, które zostały wdrożone w organizacji w celu ochrony danych nieosobowych przechowywanych w Unii Europejskiej.

Opis ten nie musi ujawniać szczegółowych technicznych rozwiązań (takich jak konfiguracja systemów czy klucze kryptograficzne), ale powinien wskazywać kategorie i charakter zastosowanych zabezpieczeń, np.:

  • szyfrowanie danych,
  • procedury audytowe,
  • certyfikacje bezpieczeństwa,
  • polityki wewnętrzne ograniczające dostęp.

Cel publikacji opisu zabezpieczeń

Zamieszczenie opisu zabezpieczeń ma dwa zasadnicze cele:

  1. Zwiększenie zaufania klientów – przedsiębiorcy, którzy korzystają z usług przetwarzania danych, powinni mieć pewność, że ich dane są chronione przed bezprawnym dostępem z zewnątrz.
  2. Ograniczenie ryzyka prawnego dostawcy – publiczna informacja o stosowanych zabezpieczeniach potwierdza należytą staranność w zakresie ochrony danych, co może mieć znaczenie w razie ewentualnych sporów lub kontroli.

Powiązanie z obowiązkami znanymi z RODO

Choć art. 28 DA dotyczy danych nieosobowych, obowiązki z nim związane przypominają rozwiązania stosowane wobec danych osobowych na gruncie RODO.

W szczególności, podobny charakter ma:

  • obowiązek wdrażania środków technicznych i organizacyjnych z art. 32 RODO,
  • oraz przeprowadzanie oceny skutków dla ochrony danych (DPIA) z art. 35 RODO.

W przeciwieństwie do RODO, Data Act nie zawiera jednak katalogu przykładowych zabezpieczeń.
Ustawodawca unijny pozostawił dostawcom większą swobodę, wskazując jedynie ogólne kierunki działań w motywie 102 preambuły DA.

Wskazówki z motywu 102 preambuły DA

Motyw 102 preambuły DA zawiera istotne wskazówki, które pomagają dostawcom określić właściwe standardy ochrony danych nieosobowych.
Zgodnie z nim, aby zwiększyć wiarygodność danych i zapobiec niezgodnemu z prawem dostępowi administracji państw trzecich, dostawcy powinni stosować wszelkie rozsądne środki mające na celu uniemożliwienie nieuprawnionego dostępu do systemów, w których dane są przechowywane.

Przykładowo, obejmuje to:

  1. Szyfrowanie danych – stosowanie nowoczesnych algorytmów szyfrowania zarówno podczas przechowywania danych (at rest), jak i ich przesyłania (in transit).
  2. Regularne audyty bezpieczeństwa – niezależne audyty techniczne i organizacyjne, weryfikujące skuteczność wdrożonych zabezpieczeń.
  3. Systemy certyfikacji – korzystanie z uznanych systemów certyfikacji (np. ISO/IEC 27001, CSA STAR), które potwierdzają zgodność z najlepszymi praktykami branżowymi.
  4. Polityki korporacyjne – wdrożenie i egzekwowanie wewnętrznych polityk ograniczających dostęp do danych, wraz z obowiązkowymi szkoleniami dla pracowników.

Aktualizacja środków zabezpieczeń

Data Act wymaga nie tylko wdrożenia środków ochrony, lecz także ich regularnego aktualizowania.
Dostawca musi monitorować zmiany w zakresie:

  • ryzyk technologicznych,
  • nowych metod ataków cybernetycznych,
  • zmian w przepisach dotyczących ochrony danych,
    i odpowiednio dostosowywać swoje procedury.

Zaniechanie aktualizacji środków bezpieczeństwa może być traktowane jako niedochowanie należytej staranności, co w praktyce naraża dostawcę na sankcje lub utratę zaufania klientów.

Przykład praktyczny

Spółka SkyData Europe Sp. z o.o. prowadzi platformę chmurową dla firm produkcyjnych z Unii Europejskiej.
Na swojej stronie internetowej publikuje opis zabezpieczeń, obejmujący:

  • szyfrowanie danych algorytmem AES-256,
  • coroczne audyty przeprowadzane przez niezależną firmę zewnętrzną,
  • certyfikat ISO/IEC 27001,
  • wewnętrzną politykę „zero trust” ograniczającą dostęp do danych tylko do osób autoryzowanych.

W ramach przeglądu bezpieczeństwa SkyData aktualizuje swoje procedury co 6 miesięcy, modyfikując je zgodnie z wynikami audytów i nowymi standardami branżowymi.
Tym samym spełnia wymóg z art. 28 DA oraz zalecenia z motywu 102 preambuły.

Znaczenie wdrażania zabezpieczeń dla wiarygodności usługodawcy

Stosowanie opisanych środków ma nie tylko charakter obowiązku prawnego, ale też konkurencyjny.
Firmy, które zapewniają wysoki poziom przejrzystości i bezpieczeństwa danych, zyskują przewagę rynkową, budują zaufanie klientów i spełniają wymogi dużych kontraktów korporacyjnych, w których audyt bezpieczeństwa jest warunkiem współpracy.

W efekcie wdrażanie zabezpieczeń zgodnych z Data Act nie jest jedynie formalnością, ale strategicznym elementem zarządzania ryzykiem i reputacją.

Znaczenie praktyczne obowiązków z art. 28 Data Act

Artykuł 28 Data Act (DA) ma ogromne znaczenie praktyczne dla wszystkich podmiotów świadczących usługi przetwarzania danych – od dużych operatorów chmur obliczeniowych po mniejsze centra danych czy platformy SaaS.
Przepis ten tworzy nowy standard przejrzystości i odpowiedzialności prawnej, który ma chronić dane nieosobowe klientów przed bezprawnym dostępem spoza Unii Europejskiej.

W praktyce wdrożenie obowiązków z art. 28 oznacza dla dostawcy konieczność:

  1. Ustalenia jurysdykcji, której podlega infrastruktura ICT wykorzystywana do przetwarzania danych,
  2. Wdrożenia i dokumentowania środków technicznych, organizacyjnych i umownych, które chronią dane przed nieuprawnionym dostępem,
  3. Opracowania procedur wewnętrznych na wypadek otrzymania wniosku o udostępnienie danych od administracji rządowej państwa trzeciego,
  4. Wyznaczenia osób odpowiedzialnych za ocenę zgodności takich wniosków z prawem,
  5. Przygotowania informacji publicznych o jurysdykcji i zabezpieczeniach oraz umieszczenia ich na stronie internetowej,
  6. Zamieszczenia odniesień do tych informacji w umowach z klientami.

To kompleksowy obowiązek, który wymaga nie tylko działań technicznych, lecz także prawnych i organizacyjnych.

Procedury i polityki wewnętrzne – jak je opracować

Każdy dostawca powinien posiadać jasno zdefiniowane procedury opisujące sposób postępowania po otrzymaniu wniosku o dostęp do danych.
Taka procedura powinna zawierać m.in.:

  • kryteria weryfikacji legalności wniosku,
  • etapy wewnętrznej analizy prawnej,
  • proces komunikacji z klientem, jeśli jego dane są objęte wnioskiem,
  • rejestr wszystkich wniosków i podjętych działań (dla celów audytu i kontroli).

Ponadto zaleca się stworzenie wewnętrznej polityki bezpieczeństwa danych nieosobowych, w której wskazane zostaną:

  • role i odpowiedzialność pracowników,
  • sposób zgłaszania incydentów bezpieczeństwa,
  • cykliczny przegląd stosowanych środków ochronnych.

Zastosowanie obowiązków w praktyce – przykład

Spółka CloudEuropa S.A., z siedzibą w Gdańsku, obsługuje klientów z Polski, Czech i Słowacji.
Na potrzeby zgodności z Data Act opracowała:

  • politykę reagowania na wnioski administracji państw trzecich,
  • procedurę oceny legalności żądań (uwzględniającą obowiązujące umowy międzynarodowe),
  • publiczną stronę informacyjną, na której opublikowano opis jurysdykcji i stosowanych zabezpieczeń,
  • oraz rejestr działań związanych z wnioskami o dostęp do danych.

Dzięki temu spółka może w sposób przejrzysty wykazać, że spełnia obowiązki z art. 28 DA – a jednocześnie chroni swoich klientów przed ryzykiem bezprawnego przekazania danych poza UE.

Ocena regulacji – mocne i słabe strony art. 28 DA

Zalety regulacji

✅ Wzmocnienie przejrzystości – klienci mają jasność, w jakiej jurysdykcji przechowywane są ich dane i kto może mieć do nich dostęp.
✅ Ograniczenie ryzyka nieuprawnionego transferu – obowiązek weryfikacji wniosków administracyjnych znacząco podnosi standard ochrony danych nieosobowych.
✅ Wyrównanie warunków rynkowych – jednolite zasady dla wszystkich dostawców usług przetwarzania danych w UE sprzyjają uczciwej konkurencji.

Wady i wyzwania

⚠️ Brak precyzyjnego katalogu środków zabezpieczeń – Data Act odsyła do motywu 102 preambuły, który ma charakter ogólny i nie wskazuje jednoznacznych standardów technicznych.
⚠️ Zróżnicowane interpretacje – brak jednoznacznych wytycznych może prowadzić do rozbieżnych standardów bezpieczeństwa między dostawcami.
⚠️ Koszty wdrożenia i utrzymania zgodności – szczególnie dla mniejszych podmiotów obowiązek opracowania procedur i publikacji informacji może być obciążający.

Rekomendacje praktyczne dla dostawców

Aby zapewnić pełną zgodność z art. 28 DA i uniknąć ryzyk, warto wdrożyć następujące dobre praktyki:

📌 1. Stosuj transparentną komunikację – udostępniaj klientom jasne, aktualne informacje o jurysdykcji i środkach bezpieczeństwa.
📌 2. Aktualizuj polityki bezpieczeństwa – co najmniej raz w roku lub po każdej istotnej zmianie infrastruktury ICT.
📌 3. Wdrażaj międzynarodowe standardy – np. ISO 27001 lub ENISA Cloud Certification Framework.
📌 4. Przeprowadzaj szkolenia pracowników – szczególnie zespołów IT i compliance.
📌 5. Dokumentuj decyzje – każda analiza zgodności wniosku o dostęp powinna być zapisana i archiwizowana.

Znaczenie art. 28 DA dla rynku danych w UE

Regulacja ta wzmacnia zaufanie do europejskich dostawców usług przetwarzania danych, promując suwerenność cyfrową UE i zapewniając, że dane przechowywane na jej terytorium nie będą przedmiotem nielegalnego dostępu przez administracje spoza wspólnoty.

W dłuższej perspektywie art. 28 DA może stać się podstawą nowego standardu kontraktowego – podobnie jak RODO ukształtowało praktyki w zakresie ochrony danych osobowych.

Podstawa prawna

  • art. 28 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonizacji przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Data Act)
  • art. 32 Data Act – zasady dotyczące międzynarodowego przekazywania danych
  • motyw 102 preambuły Data Act – środki zapobiegania bezprawnemu dostępowi administracji państw trzecich do danych nieosobowych
  • art. 32 i art. 35 – Rozporządzenie (UE) 2016/679 (RODO) – środki techniczne i ocena skutków dla ochrony danych osobowych

Tematy zawarte w poradniku

  • obowiązki dostawców usług przetwarzania danych w Data Act
  • jurysdykcja infrastruktury ICT i jej znaczenie prawne
  • środki zabezpieczeń danych nieosobowych w Data Act
  • międzynarodowy dostęp do danych nieosobowych i weryfikacja zgodności wniosków
  • różnice między regulacją Data Act a RODO

Linki do źródeł

Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: