Data Act (DA) to unijne rozporządzenie, które wprowadza nowe zasady udostępniania danych generowanych przez produkty skomunikowane (np. urządzenia IoT) i powiązane z nimi usługi. Co do zasady, przedsiębiorcy mają obowiązek zapewnić użytkownikom dostęp do takich danych i umożliwić ich dalsze wykorzystanie. Jednak prawodawca przewidział istotne wyłączenia dla mikro-, małych oraz nowych średnich przedsiębiorstw, a także dla nowych produktów.
Celem tego poradnika jest wyjaśnienie, kiedy i na jakich warunkach firmy mogą korzystać z tych wyłączeń, jakie ograniczenia się z nimi wiążą oraz jakie ryzyka wiążą się z ich nadużyciem.
1. Podstawowe wyłączenia dla MŚP i nowych produktów
Zgodnie z art. 7 ust. 1 Data Act, obowiązki udostępniania danych nie mają zastosowania w trzech kluczowych przypadkach:
1.1 Mikro- i małe przedsiębiorstwa
Jeśli producentem produktu skomunikowanego lub dostawcą usługi powiązanej jest mikro- albo małe przedsiębiorstwo, to nie musi ono udostępniać danych zgodnie z zasadami rozdziału II DA. Warunkiem jest jednak, aby działało samodzielnie i nie było częścią większej struktury kapitałowej lub organizacyjnej.
1.2 Nowe średnie przedsiębiorstwo
Przedsiębiorstwo, które dopiero uzyskało status średniego, zyskuje roczny okres przejściowy, w którym nie musi spełniać obowiązków udostępniania danych. Dzięki temu ma czas, by przygotować się do nowych wymogów.
1.3 Nowy produkt średniego przedsiębiorstwa
Średnie przedsiębiorstwo, które wprowadza na rynek nowy produkt skomunikowany, ma rok karencji, w którym nie musi jeszcze udostępniać danych generowanych przez ten produkt. Zwolnienie dotyczy jednak wyłącznie danych z urządzenia – dane z powiązanych usług (np. aplikacji chmurowych) muszą być udostępniane od początku.
📌 Przykład: Firma GreenTech Solutions z Poznania, zatrudniająca 200 osób, wprowadza na rynek nową linię inteligentnych liczników energii. Jako średnie przedsiębiorstwo zyskuje rok ulgi w obowiązkach związanych z danymi generowanymi przez same liczniki. Jednak dane pochodzące z aplikacji mobilnej do zarządzania energią (usługa powiązana) będą musiały być udostępniane użytkownikom od razu.
2. Dlaczego wprowadzono wyłączenia?
Uzasadnienie DA wskazuje, że najmniejsze podmioty nie powinny być nadmiernie obciążane kosztami i obowiązkami regulacyjnymi.
Motyw 41 preambuły DA wyjaśnia, że przy obecnym stanie technologii nakładanie dodatkowych wymogów projektowania produktów pod kątem udostępniania danych byłoby dla mikro- i małych przedsiębiorstw zbyt dużym obciążeniem. W efekcie mogłoby to zniechęcić do innowacji i wprowadzania nowych rozwiązań na rynek.
Dlatego wyłączenia mają pełnić funkcję ochronną, dając mniejszym firmom czas i przestrzeń na dostosowanie się do nowych zasad. Jednocześnie prawodawca unijny zadbał, aby przepisy nie mogły być nadużywane przez duże koncerny – dlatego wyłączenia działają tylko wobec faktycznie niezależnych przedsiębiorstw spełniających kryteria MŚP.
3. Definicje mikro-, małych i średnich przedsiębiorstw
Status przedsiębiorstwa w świetle DA określa się na podstawie zalecenia Komisji 2003/361/WE, które wprowadza jednolite kryteria dla całej Unii Europejskiej.
3.1 Kryteria ilościowe
- Mikroprzedsiębiorstwo – mniej niż 10 pracowników i obrót/suma bilansowa do 2 mln EUR.
- Małe przedsiębiorstwo – mniej niż 50 pracowników i obrót/suma bilansowa do 10 mln EUR.
- Średnie przedsiębiorstwo – mniej niż 250 pracowników i obrót do 50 mln EUR lub suma bilansowa do 43 mln EUR.
👉 Kryteria te są obiektywne i stosowane powszechnie w prawie unijnym. Nie można ich dowolnie interpretować ani deklarować statusu wbrew rzeczywistym parametrom działalności.
3.2 Powiązania kapitałowe i organizacyjne
Zalecenie 2003/361/WE precyzuje również, kiedy przedsiębiorstwo traci status MŚP z powodu powiązań z większymi podmiotami.
- Przedsiębiorstwo partnerskie – gdy inny podmiot posiada w nim 25% lub więcej udziałów/głosów.
- Przedsiębiorstwo powiązane – gdy istnieje kontrola lub dominujący wpływ (np. większościowe udziały).
W takich sytuacjach przy ocenie wielkości przedsiębiorstwa uwzględnia się całą grupę kapitałową. Oznacza to, że np. spółka-córka dużej korporacji nie będzie mogła skorzystać z wyłączeń przewidzianych w DA, nawet jeśli sama w sobie spełnia kryteria małego podmiotu.
📌 Przykład: Mała spółka SmartHome Polska zatrudnia 20 osób i osiąga 5 mln EUR obrotu. Na pierwszy rzut oka mieści się w definicji małego przedsiębiorstwa. Jednak 40% udziałów należy do dużej niemieckiej korporacji. W efekcie SmartHome Polska traktowana jest jako część dużego przedsiębiorstwa i nie może korzystać z wyłączeń z art. 7 DA.
4. Wyłączenia a podwykonawcy i przedsiębiorstwa powiązane
Choć wyłączenia mają chronić faktycznie najmniejsze podmioty, nie obejmują one sytuacji, w których mikro- lub małe przedsiębiorstwo jest powiązane z dużą firmą lub działa na jej zlecenie.
4.1 Powiązania kapitałowe i organizacyjne
Jeśli mikro- albo mała firma jest częścią większej grupy, przy ocenie statusu bierze się pod uwagę całą strukturę. To oznacza, że spółka-córka dużej korporacji nie może korzystać ze zwolnienia, nawet jeśli formalnie spełnia kryteria małego przedsiębiorstwa.
4.2 Podwykonawcy dużych firm
Wyłączenie nie działa także wtedy, gdy mikro- lub mała firma projektuje produkt skomunikowany lub świadczy usługę powiązaną na zlecenie większego przedsiębiorstwa. W takim przypadku obowiązki udostępniania danych spoczywają na zlecającym producencie, a nie na podwykonawcy.
4.3 Średnie przedsiębiorstwa a okres przejściowy
Podobne zasady dotyczą średnich przedsiębiorstw korzystających z rocznego okresu przejściowego. Jeśli są one powiązane z dużym podmiotem, od razu są traktowane jak duże firmy i nie zyskują dodatkowego czasu na dostosowanie.
📌 Przykład: Firma DataLink z Gdańska zatrudnia 180 osób i ma status średniego przedsiębiorstwa. Wprowadza na rynek nową aplikację IoT. Zgodnie z art. 7 ust. 1 DA powinna korzystać z rocznego okresu przejściowego. Jednak 60% jej udziałów należy do dużej korporacji spoza UE. W efekcie DataLink jest traktowana jako część dużego przedsiębiorstwa i musi udostępniać dane od razu.
5. Klauzule umowne ograniczające prawa użytkownika
Artykuł 7 ust. 2 DA przewiduje szczególną ochronę użytkowników. Wszelkie postanowienia umowne, które ograniczają ich prawa dostępu do danych, są bezskuteczne wobec użytkownika.
5.1 Co oznacza bezskuteczność?
Bezskuteczność oznacza, że dane postanowienie umowne nie wywołuje skutków prawnych, nawet jeśli zostało podpisane. Użytkownik nadal zachowuje swoje prawa ustawowe, a producent nie może się powołać na ograniczające zapisy.
5.2 Przykłady klauzul niezgodnych z DA
- „Użytkownik zrzeka się prawa do danych generowanych przez urządzenie.”
- „Producent może według własnego uznania ograniczyć dostęp użytkownika do danych.”
Takie klauzule nie mają mocy prawnej i nie mogą być stosowane wobec użytkowników.
5.3 Możliwość przyznania szerszych uprawnień
DA nie zabrania jednak przyznania użytkownikom dodatkowych praw – np. wcześniejszego dostępu do danych lub w szerszym zakresie niż przewiduje rozporządzenie. Artykuł 7 ust. 2 pełni więc rolę normy minimalnej ochrony.
📄 Przykład: Producent inteligentnych termostatów w regulaminie przewiduje, że użytkownik ma dostęp do danych w czasie rzeczywistym, a nie tylko w formie raportu miesięcznego. Takie rozwiązanie jest zgodne z DA, ponieważ zwiększa uprawnienia użytkownika, a nie je ogranicza.
6. Dlaczego unijny prawodawca wprowadził ten zakaz?
Praktyka rynkowa pokazuje, że silniejsze strony (duże firmy) często narzucają użytkownikom wzorce umowne, które mogą pozbawiać ich istotnych praw. Dlatego unijny ustawodawca postanowił expressis verbis unieważniać takie postanowienia, aby nie można było obchodzić DA za pomocą umów.
W praktyce oznacza to, że przedsiębiorcy powinni:
✔ przeanalizować swoje regulaminy i wzorce umów,
✔ usunąć lub zmienić zapisy sprzeczne z DA,
✔ uwzględnić, że klauzule ograniczające prawa dostępu do danych i tak nie będą egzekwowalne.
Choć art. 7 DA jest stosunkowo precyzyjny, w praktyce jego wdrożenie wiąże się z licznymi problemami interpretacyjnymi i organizacyjnymi. Poniżej przedstawiamy kluczowe wyzwania, przed jakimi mogą stanąć przedsiębiorcy.
7. Produkty a usługi powiązane – gdzie kończy się wyłączenie?
Jednym z najczęściej podnoszonych problemów jest rozróżnienie między:
- danymi z produktu skomunikowanego (objętymi rocznym okresem karencji), a
- danymi z usług powiązanych (np. aplikacji online, systemów chmurowych).
Brzmienie art. 7 ust. 1 DA wskazuje wyłącznie na produkty, nie wspominając o usługach. Interpretacja językowa sugeruje więc, że zwolnienie obejmuje tylko urządzenie, a nie dane z aplikacji.
📌 Przykład: Średnia firma AgroSmart wprowadza inteligentne czujniki wilgotności gleby z aplikacją chmurową do zarządzania uprawami. Dane z czujników objęte są rocznym okresem karencji, ale dane z aplikacji muszą być udostępniane użytkownikom od razu. To prowadzi do sytuacji, w której jedna część systemu podlega innym zasadom niż druga.
8. Ustalanie statusu przedsiębiorstwa – problemy praktyczne
Kluczowym warunkiem skorzystania z wyłączeń jest prawidłowe określenie, czy firma spełnia kryteria mikro-, małego czy średniego przedsiębiorstwa. W praktyce rodzi to kilka problemów:
- sytuacje graniczne – firma zatrudniająca 249 osób i generująca 49 mln EUR obrotu jest jeszcze średnia, ale każde zwiększenie zatrudnienia lub przychodu może zmienić jej status,
- wahania kursów walut – próg obrotu określony w euro może być różnie liczony w zależności od aktualnego kursu,
- zmienność wyników finansowych – wzrost przychodów w jednym roku nie od razu oznacza zmianę statusu.
Zgodnie z zaleceniem 2003/361/WE, przedsiębiorstwo traci status MŚP dopiero, gdy przekroczy progi przez dwa kolejne lata obrotowe. To daje czas na stabilizację i chroni przed nagłymi zmianami.
9. Powiązania kapitałowe – kiedy firma traci prawo do wyłączeń?
Kolejnym wyzwaniem jest ocena, czy dana firma jest przedsiębiorstwem partnerskim lub powiązanym w rozumieniu unijnego prawa.
- Próg 25% udziałów – jego przekroczenie co do zasady czyni przedsiębiorstwo partnerskim, chyba że inwestorem jest np. fundusz venture capital czy tzw. business angel.
- Kontrola lub dominujący wpływ – oznacza status przedsiębiorstwa powiązanego, które automatycznie nie jest już traktowane jako niezależne MŚP.
📌 Przykład: Start-up SmartAgriTech zatrudnia 12 osób i generuje 1,5 mln EUR obrotu, co kwalifikowałoby go jako mikroprzedsiębiorstwo. Jednak 30% udziałów posiada duża korporacja rolno-spożywcza. W efekcie SmartAgriTech nie spełnia kryteriów niezależności i nie może korzystać z wyłączeń z DA.
10. Konsekwencje błędnej kwalifikacji
Jeśli przedsiębiorstwo niesłusznie powoła się na wyłączenie, może narazić się na poważne ryzyka:
- sankcje administracyjne nakładane przez organy nadzoru,
- roszczenia cywilne użytkowników, którzy zażądają dostępu do danych,
- utratę wiarygodności rynkowej i sporów z partnerami biznesowymi.
Dlatego przedsiębiorstwa powinny dokumentować swój status (np. poprzez coroczne oświadczenia o spełnianiu kryteriów MŚP), aby w razie kontroli móc wykazać, że prawidłowo korzystały z wyłączeń.
11. Wdrażanie DA w praktyce – działania dla przedsiębiorców
Aby uniknąć problemów, przedsiębiorcy powinni:
✔ regularnie monitorować swój status MŚP, szczególnie w okresach wzrostu,
✔ analizować strukturę właścicielską pod kątem powiązań i progów udziałowych,
✔ przygotować wewnętrzne procedury udostępniania danych, które uruchomią się po zakończeniu okresu przejściowego,
✔ szkolić pracowników działów obsługi klienta, aby prawidłowo reagowali na wnioski użytkowników,
✔ weryfikować umowy i regulaminy, aby nie zawierały klauzul sprzecznych z art. 7 ust. 2 DA.
12. Sankcje i egzekwowanie przepisów
Państwa członkowskie wyznaczą organy odpowiedzialne za nadzór nad DA. Oznacza to, że w razie naruszenia obowiązków firmy mogą spotkać się z:
- postępowaniami administracyjnymi,
- nakazami udostępnienia danych,
- karami finansowymi.
Użytkownicy – zarówno konsumenci, jak i przedsiębiorstwa – mogą również dochodzić swoich praw na drodze cywilnej, np. żądając wydania danych lub unieważnienia niekorzystnych postanowień umownych.
13. Najważniejsze wnioski dla przedsiębiorców
✔ Wyłączenia obejmują tylko rzeczywiście małe i niezależne firmy. Mikro- i małe przedsiębiorstwa powiązane z większymi podmiotami nie mogą korzystać z ulg.
✔ Średnie przedsiębiorstwa zyskują rok ulgi, ale tylko w dwóch przypadkach: gdy dopiero uzyskały status średnich lub gdy wprowadzają nowy produkt skomunikowany.
✔ Roczny okres przejściowy nie dotyczy usług powiązanych – dane z aplikacji czy usług chmurowych muszą być udostępniane od razu.
✔ Klauzule umowne ograniczające prawa użytkowników są bezskuteczne. Producent nie może umową odebrać użytkownikowi ustawowych praw dostępu do danych.
✔ Powiązania kapitałowe i organizacyjne są kluczowe – nawet 25% udziałów większej firmy może pozbawić przedsiębiorstwo statusu MŚP.
✔ Firmy muszą monitorować swój status – zmiany zatrudnienia, obrotu czy struktury właścicielskiej mogą wpływać na prawo do wyłączeń.
14. Praktyczne checklist dla firm IoT
Aby upewnić się, że firma prawidłowo korzysta z wyłączeń DA, warto przejść przez poniższą listę kontrolną:
- Sprawdź status MŚP – ilu masz pracowników i jaki jest Twój obrót/suma bilansowa?
- Zweryfikuj powiązania – czy Twoja firma ma udziałowców, którzy nie są MŚP? Jeśli tak, sprawdź, czy przekraczają próg 25%.
- Ustal, czy korzystasz z okresu przejściowego – czy dopiero uzyskałeś status średniego przedsiębiorstwa albo wprowadzasz nowy produkt?
- Oddziel dane z produktu i usługi – pamiętaj, że zwolnienie dotyczy tylko produktu, a nie usług powiązanych.
- Przeanalizuj umowy i regulaminy – usuń postanowienia ograniczające prawa użytkowników.
- Przygotuj się na zakończenie okresu przejściowego – wdroż systemy udostępniania danych i procedury obsługi wniosków użytkowników.
- Dokumentuj status MŚP – przechowuj oświadczenia i dane finansowe na wypadek kontroli organów nadzoru.
15. Podstawa prawna
- art. 7 ust. 1–2 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonijnych zasad dostępu do danych i ich wykorzystania (Data Act)
- zalecenie Komisji 2003/361/WE z dnia 6 maja 2003 r. dotyczące definicji mikro-, małych i średnich przedsiębiorstw
16. Tematy porad zawartych w poradniku
- wyłączenia z obowiązków udostępniania danych w Data Act,
- prawa użytkowników do danych w produktach IoT,
- definicja mikro-, małych i średnich przedsiębiorstw w prawie UE,
- okres przejściowy dla średnich przedsiębiorstw w DA,
- powiązania kapitałowe a status MŚP.