1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Obowiązki dostawców usług chmurowych po 12 września 2025 r. – co zmienia Data Act?
Wyszukiwanie...

Obowiązki dostawców usług chmurowych po 12 września 2025 r. – co zmienia Data Act?

Spis treści

Od 12 września 2025 roku zaczynają obowiązywać nowe regulacje wynikające z Data Act (rozporządzenie UE 2023/2854), które wprowadzają rewolucyjne zmiany w świadczeniu usług chmurowych. Nowe przepisy mają na celu zapewnienie większej przejrzystości, ułatwienie migracji usług i danych, a także ochronę danych nieosobowych. Poradnik ten wyjaśni, co konkretnie oznaczają te zmiany dla dostawców usług (np. SaaS, PaaS, IaaS), klientów biznesowych i konsumentów oraz jakie kroki należy podjąć, aby dostosować się do nowych wymagań.

✅ Kogo dotyczą nowe obowiązki?

Nowe przepisy dotyczą wszystkich dostawców usług przetwarzania danych, a więc firm oferujących:

  • SaaS – oprogramowanie jako usługa (np. systemy ERP, CRM),
  • PaaS – platformę jako usługę (np. środowiska programistyczne),
  • IaaS – infrastrukturę jako usługę (np. maszyny wirtualne, pamięć masowa).

Obowiązki są zróżnicowane w zależności od tego, czy podmiot jest:

  • wyjściowym dostawcą (ten, z którego usług klient rezygnuje),
  • docelowym dostawcą (ten, do którego klient przechodzi),
  • lub po prostu aktywnym uczestnikiem rynku (np. mającym obowiązki informacyjne).

🔄 Migracja danych i usług – nowe zasady

Co musi umożliwić dostawca usług chmurowych?

Zgodnie z art. 23 Data Act, wyjściowy dostawca musi usunąć wszelkie bariery (handlowe, umowne, techniczne), które mogłyby utrudniać klientowi:

  • rozwiązanie umowy i skuteczną migrację do innego usługodawcy,
  • przeniesienie danych eksportowalnych i aktywów cyfrowych,
  • zawarcie nowej umowy na usługi tego samego typu,
  • uzyskanie równoważnej funkcjonalności u nowego dostawcy,
  • oddzielenie usług przetwarzania danych od innych usług (np. marketingowych).

🔔 Wyjątek: Jeśli usługa była w pełni dostosowana do potrzeb konkretnego klienta i nie jest ogólnie oferowana w katalogu usług – obowiązki są ograniczone.

📄 Kluczowe zapisy w umowach (art. 25 Data Act)

Każda umowa między dostawcą a klientem (nawet konsumentem) musi zawierać:

  • klauzulę migracyjną, która określa m.in.:
    • maksymalny okres przejściowy – 30 dni,
    • zasady pomocy technicznej podczas migracji,
    • zakres danych i aktywów cyfrowych do przeniesienia,
    • dane wyłączone z migracji (np. objęte tajemnicą handlową).
  • prawo klienta do:
    • zmiany dostawcy,
    • przejścia na własną infrastrukturę ICT,
    • żądania usunięcia danych.
  • czas na pobranie danych – min. 30 dni po okresie przejściowym.
  • obowiązek usunięcia danych – dane eksportowalne i aktywa cyfrowe muszą zostać trwale skasowane po migracji.

📌 Przykład praktyczny:

Firma „NetFinSoft” z Krakowa korzystała z chmurowego systemu księgowego SaaS dostarczanego przez firmę „CloudTax Solutions”. Chce przejść do innego dostawcy z niższymi kosztami abonamentowymi. Dotychczasowa umowa musi umożliwiać im:

  • wypowiedzenie umowy maks. z 2-miesięcznym okresem wypowiedzenia,
  • migrację danych przez 30 dni,
  • uzyskanie wsparcia w zakresie przekazania danych (np. XML, CSV),
  • trwałe usunięcie wszystkich danych po zakończeniu relacji.

📢 Obowiązki informacyjne (art. 26 Data Act)

Każdy dostawca – niezależnie od roli – ma obowiązek:

  • informować klientów przed zawarciem umowy o procedurach migracji, dostępnych formatach danych i ograniczeniach technicznych,
  • publikować rejestr online zawierający:
    • formaty danych eksportowalnych,
    • standardy interoperacyjności,
    • informacje o otwartych specyfikacjach.

💶 Opłaty za migrację – nowe limity (art. 29 Data Act)

Dostawcy muszą jasno określić wszystkie opłaty i stosować ograniczenia:

DataMożliwe opłaty za zmianę dostawcy
do 11.01.2024Dowolne
od 12.01.2024 do 11.01.2027Obniżone – tylko realne koszty
po 12.01.2027❌ Zakaz jakichkolwiek opłat

Dodatkowo:

  • możliwe są opłaty za równoległe korzystanie z usług (w strategii wielochmurowej), ale muszą odpowiadać rzeczywistym kosztom.

📌 Przykład praktyczny:
Start-up „VisionAI” z Gdyni chce jednocześnie testować nowego dostawcę usług PaaS bez rezygnacji z dotychczasowego. Od 2027 roku dostawca nie może już żądać opłaty za całkowitą migrację, ale może pobrać opłatę za dublowany transfer danych, jeśli udokumentuje jego koszt.

Wymagania techniczne przy zmianie dostawcy usług chmurowych (art. 30 Data Act)

Nowe przepisy różnicują obowiązki w zależności od typu świadczonej usługi:

🖥️ Dla usług IaaS (infrastruktura jako usługa):

Wyjściowy dostawca musi:

  • zapewnić klientowi równoważność funkcjonalną – czyli umożliwić mu, aby po przeniesieniu na nową usługę, mógł korzystać z niej w sposób możliwie zbliżony do dotychczasowego;
  • aktywnie wspierać migrację, udostępniając:
    • dokumentację techniczną,
    • zasoby umożliwiające przeniesienie konfiguracji,
    • odpowiednie narzędzia i wsparcie.

🧱 Dla usług PaaS i SaaS:

Dostawcy muszą:

  • bezpłatnie udostępniać otwarte interfejsy API, które umożliwiają nowym dostawcom (lub samym klientom) stworzenie narzędzi do:
    • przenoszenia danych,
    • zapewnienia interoperacyjności między platformami;
  • zapewnić zgodność z otwartymi normami, które zostaną opublikowane w oficjalnym repozytorium UE.

💡 Jeśli nie ma jeszcze wspólnych specyfikacji, klient może zażądać eksportu wszystkich danych w:

  • uporządkowanym,
  • powszechnie używanym,
  • czytelnym maszynowo formacie (np. JSON, CSV, XML).

⚠️ Uwaga: Dostawca nie musi tworzyć nowej technologii ani udostępniać zasobów chronionych prawami autorskimi lub stanowiących tajemnicę przedsiębiorstwa.

🌍 Ochrona danych nieosobowych przed nieuprawnionym dostępem (art. 32 Data Act)

Rosnące znaczenie danych nieosobowych (np. dane techniczne, przemysłowe, operacyjne) wymusiło dodatkowe zabezpieczenia.

Dostawcy muszą:

  • wdrożyć techniczne, organizacyjne i prawne środki, które uniemożliwią:
    • przekazywanie danych nieosobowych poza UE bez podstawy prawnej,
    • dostęp administracji państw trzecich (np. z USA, Chin), jeśli jest to sprzeczne z przepisami UE lub krajowymi.

🧾 Dostęp z zagranicy może być legalny tylko wtedy, gdy:

  • organ państwa trzeciego:
    • uzasadni cel i proporcjonalność dostępu,
    • uzyska orzeczenie sądu o szczególnym charakterze,
    • umożliwi sprzeciw, który będzie rozpatrywany przez niezależny sąd.

📌 Przykład:
Europejski operator danych „CloudInfra EU” przechowuje dane produkcyjne firmy „Technologika” z Poznania. Jeśli amerykańska agencja rządowa zażąda danych w ramach lokalnego postępowania, dostawca nie może ich wydać, jeśli nie spełnione są przesłanki z art. 32 Data Act – w przeciwnym razie złamie prawo UE.

🔁 Interoperacyjność usług – standardy i obowiązki

Zgodnie z art. 30 i 35 Data Act:

  • Dostawcy mają obowiązek zapewnienia interoperacyjności z innymi usługami w UE.
  • Muszą dostosować się do wspólnych specyfikacji i norm, które zostaną opublikowane w dzienniku urzędowym UE i repozytorium interoperacyjności.

🔧 Co to oznacza w praktyce?

  • Usługi chmurowe mają być przenaszalne i kompatybilne z innymi systemami, bez potrzeby ręcznego przenoszenia danych, konwertowania formatów lub pisania specjalnych integratorów.
  • Rejestr internetowy (art. 26 lit. b) musi zawierać:
    • informacje o stosowanych standardach,
    • aktualne formaty danych,
    • specyfikacje umożliwiające klientom zachowanie kontroli nad swoimi zasobami.

📌 Podsumowanie – co muszą zrobić dostawcy i klienci?

🧑‍💼 Dla przedsiębiorców korzystających z chmury:

✔ Sprawdź, czy Twój dostawca aktualizuje umowy zgodnie z Data Act.
✔ Domagaj się zapisów o: migracji danych, braku opłat po 2027 r., formatach danych.
✔ Przed podpisaniem umowy żądaj informacji o:

  • strukturze danych,
  • możliwości migracji,
  • kosztach rozstania się z dostawcą.

🏢 Dla dostawców usług chmurowych:

✔ Zaktualizuj regulaminy i wzory umów – szczególnie pod kątem art. 25 i 29.
✔ Opracuj politykę migracji danych – zgodnie z art. 23 i 30.
✔ Wprowadź otwarte interfejsy API (PaaS/SaaS).
✔ Udostępnij rejestr techniczny i interoperacyjny – art. 26.
✔ Wprowadź środki chroniące dane nieosobowe – art. 32.
✔ Przygotuj plan wycofania opłat za migrację do 2027 r.

📚 Podstawa prawna

  • art. 2 pkt 8, 23–32, 35, 50 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania (Data Act),
  • art. 2 pkt 38, 32 – Data Act – definicja danych eksportowalnych i aktywów cyfrowych,
  • art. 29 ust. 4–6 – Data Act – opłaty migracyjne,
  • art. 26 lit. b – Data Act – rejestr interoperacyjny,
  • art. 32 – Data Act – ochrona danych nieosobowych.

🔍 Tematy porad zawartych w poradniku

  • obowiązki dostawców chmurowych 2025
  • migracja danych w chmurze
  • Data Act przenoszenie usług SaaS PaaS IaaS
  • interoperacyjność usług chmurowych UE
  • ochrona danych nieosobowych Data Act

🌐 Polecane strony urzędowe

Ostatnia aktualizacja: 08.09.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: