1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Obowiązki informacyjne w Data Act – praktyczny przewodnik dla firm technologicznych i dostawców IoT
Wyszukiwanie...

Obowiązki informacyjne w Data Act – praktyczny przewodnik dla firm technologicznych i dostawców IoT

Spis treści

Obowiązki informacyjne wynikające z Data Act są jednym z najważniejszych wyzwań dla każdej firmy oferującej produkty skomunikowane (IoT) lub powiązane z nimi usługi cyfrowe. Ich niedopełnienie może skutkować nie tylko ryzykiem sankcji, ale także utratą zaufania klientów oraz przewagą konkurencyjną. Dowiedz się, na czym polegają nowe regulacje, kogo dotyczą oraz jak praktycznie wywiązać się z nowych wymogów.

Co oznaczają obowiązki informacyjne w Data Act i dlaczego są tak ważne?

Data Act, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854, wprowadza jednolite zasady dotyczące wykorzystywania danych generowanych przez nowoczesne urządzenia skomunikowane (tzw. Internet of Things) oraz usługi powiązane z tymi urządzeniami. Celem jest nie tylko zwiększenie kontroli użytkowników nad danymi, ale też stworzenie uczciwych reguł dla wszystkich podmiotów w łańcuchu dostaw. Oznacza to, że każda firma – niezależnie od tego, czy jest producentem, sprzedawcą, wynajmującym, czy też tylko dostawcą oprogramowania lub usługi – ma konkretne obowiązki informacyjne wobec użytkowników.

Dzięki tej wiedzy zyskasz pewność, że Twoje produkty lub usługi są zgodne z przepisami UE, co ułatwi ekspansję na rynku europejskim, a także zmniejszy ryzyko sporów z klientami czy partnerami biznesowymi.

Kluczowe obowiązki informacyjne: kogo dotyczą i kiedy należy je spełnić?

Kogo dotyczą nowe obowiązki informacyjne?

Przepisy Data Act obejmują wszystkich uczestników rynku oferujących produkty skomunikowane oraz usługi powiązane – zarówno producentów, dystrybutorów, sprzedawców, wynajmujących, wydzierżawiających i leasingodawców, jak i dostawców usług cyfrowych powiązanych z tymi produktami. Ważne: obowiązki spoczywają na każdym, kto finalnie zawiera umowę z użytkownikiem końcowym. Każdy podmiot w łańcuchu dostaw jest odpowiedzialny indywidualnie.

Przykład:

  • Spółka „SmartHome Solutions” produkuje inteligentne termostaty i sprzedaje je dystrybutorowi „ElektroImport”. Dystrybutor sprzedaje je następnie klientowi detalicznemu. Obie firmy (producent i dystrybutor) muszą przekazać użytkownikowi wymagane informacje przed zawarciem umowy sprzedaży.

Kiedy trzeba przekazać informacje?

Moment przekazania informacji jest kluczowy – Data Act jasno wymaga, by użytkownik uzyskał wszystkie niezbędne dane przed zawarciem umowy sprzedaży, najmu, dzierżawy, leasingu produktu skomunikowanego lub przed zawarciem umowy o świadczenie usługi powiązanej.

Jakie informacje należy przekazać użytkownikowi produktów skomunikowanych (IoT)?

Zakres obowiązku informacyjnego dla produktów skomunikowanych

Zgodnie z art. 3 ust. 2 Data Act, sprzedawca, wynajmujący, wydzierżawiający lub leasingodawca produktu skomunikowanego musi przed zawarciem umowy udzielić użytkownikowi jasnych i przejrzystych informacji dotyczących:

  • Rodzaju, formatu i szacunkowej ilości danych, które produkt może wygenerować.
  • Ciągłości i czasu rzeczywistego generowania danych – czy urządzenie działa w trybie ciągłym, czy okresowo.
  • Miejsca przechowywania danych (na urządzeniu lub zdalnie) oraz – jeśli dotyczy – przewidywanego okresu przechowywania.
  • Sposobu dostępu do danych, ich pobierania i usuwania – wraz z opisem technicznych rozwiązań oraz warunków korzystania i jakości usługi.

Przykład – inteligentny system nawadniania ogrodu

Wyobraźmy sobie firmę „EcoGarden”, która sprzedaje inteligentny system nawadniania. Przed sprzedażą klientowi detalicznemu musi ona przekazać m.in.:

  • System generuje dane o wilgotności gleby, czasie pracy i poziomie zużycia wody, zapisując je w formacie CSV (szacunkowo ok. 100 MB rocznie).
  • Dane są rejestrowane na bieżąco i przekazywane do aplikacji w czasie rzeczywistym.
  • Dane przechowywane są zarówno w pamięci urządzenia (do 30 dni), jak i na zdalnym serwerze (przez 12 miesięcy).
  • Klient ma dostęp do swoich danych przez aplikację mobilną, może je pobrać lub usunąć, korzystając z opcji w ustawieniach konta.

Przykład – leasing floty samochodów z systemem telematycznym

Firma „FleetCare” oferuje leasing samochodów wyposażonych w telematykę. Przed zawarciem umowy z klientem flotowym musi poinformować:

  • System generuje dane dotyczące lokalizacji pojazdów, przebiegu, stylu jazdy, zużycia paliwa i stanu technicznego w formacie JSON (średnio 500 MB/miesiąc na pojazd).
  • Dane zbierane są automatycznie i przesyłane do chmury w trybie ciągłym.
  • Przechowywanie danych: w chmurze, przez okres obowiązywania umowy oraz dodatkowo przez 6 miesięcy po jej zakończeniu.
  • Klient ma dostęp do danych przez dedykowany portal internetowy, może je eksportować lub zażądać ich usunięcia po zakończeniu współpracy.

Obowiązki informacyjne dotyczące usług powiązanych (np. aplikacji, serwisów online)

Zakres obowiązku informacyjnego dla usług powiązanych

Zgodnie z art. 3 ust. 3 Data Act, dostawca usługi powiązanej (np. aplikacji do zarządzania urządzeniem IoT) musi przed podpisaniem umowy zapewnić użytkownikowi dostęp do informacji m.in. o:

  • Charakterze, ilości i częstotliwości gromadzenia danych z produktu oraz zasadach ich przechowywania i udostępniania.
  • Rodzaju i ilości danych generowanych przez usługę oraz warunkach ich przechowywania.
  • Planowanym wykorzystaniu tych danych przez usługodawcę i potencjalne udostępnienie osobom trzecim (np. partnerom biznesowym), wraz z celami.
  • Tożsamości dostawcy usługi oraz (jeśli dotyczy) podmiotów przetwarzających dane.
  • Możliwości szybkiego kontaktu i komunikacji z dostawcą.
  • Procedurze wnioskowania o udostępnienie danych osobom trzecim i sposobie rezygnacji z udostępniania.
  • Prawie użytkownika do złożenia skargi do organu nadzoru.
  • Posiadaniu lub braku posiadania tajemnicy przedsiębiorstwa przez usługodawcę.
  • Okresie obowiązywania umowy i warunkach jej rozwiązania.

Przykład – aplikacja zarządzająca inteligentnymi zamkami

Firma „HomeSecure” oferuje aplikację do obsługi zamków elektronicznych. Przed podpisaniem umowy z użytkownikiem musi przekazać m.in.:

  • Aplikacja gromadzi dane o historii otwierania zamka, użytkownikach korzystających z zamka oraz czasie korzystania (ok. 50 MB miesięcznie).
  • Dane przechowywane są na serwerze przez okres trwania umowy oraz 30 dni po jej zakończeniu.
  • HomeSecure może analizować te dane w celu poprawy jakości usługi, nie przekazuje ich osobom trzecim bez zgody użytkownika.
  • Użytkownik ma prawo żądać udostępnienia danych np. zaufanemu serwisowi lub wycofać zgodę w dowolnym momencie.
  • Firma publikuje dane kontaktowe i zapewnia wsparcie techniczne przez e-mail i czat.

Kto jest użytkownikiem w rozumieniu Data Act?

Data Act bardzo szeroko definiuje pojęcie użytkownika. Użytkownikiem może być zarówno osoba fizyczna, przedsiębiorstwo, jak i organ publiczny. Decyduje o tym nie tylko własność urządzenia, ale także korzystanie z niego na podstawie umowy najmu, dzierżawy lub leasingu oraz korzystanie z powiązanych usług.

Ważna wskazówka: Nawet jeśli jeden produkt skomunikowany jest wykorzystywany przez wielu użytkowników (np. w firmie leasingowej lub systemie car-sharingu), każdy z nich może żądać przekazania informacji i dostępu do danych zgodnie z Data Act.

Nie ma obowiązku przekazania informacji na trwałym nośniku (np. papierze czy płycie CD). Data Act umożliwia wykorzystanie nowoczesnych środków, takich jak:

  • linki URL do dedykowanych stron internetowych,
  • kody QR prowadzące do szczegółowych opisów,
  • aplikacje mobilne.

Ważne, by użytkownik mógł łatwo wrócić do tych informacji, zapisać je lub pobrać w niezmienionej formie.

Co to są „dane łatwo dostępne” i jak je udostępniać?

Definicja i przykłady danych łatwo dostępnych

Zgodnie z art. 2 pkt 17 Data Act, „dane łatwo dostępne” to dane, które posiadacz danych (np. producent, sprzedawca, usługodawca) może pozyskać z produktu skomunikowanego lub usługi powiązanej bez nieproporcjonalnie dużego wysiłku.

Przykłady:

  • lista zdarzeń z czujnika ruchu,
  • poziom naładowania baterii,
  • liczba cykli pracy urządzenia,
  • historia poleceń sterujących w aplikacji,
  • dziennik udostępniania (np. kto miał dostęp do urządzenia),
  • aktualna wersja oprogramowania.

Jak udostępniać dane łatwo dostępne?

Dane muszą być przekazane użytkownikowi:

  • w takiej samej jakości, jak są dostępne dla posiadacza danych,
  • w całościowym, ustrukturyzowanym i maszynowo czytelnym formacie (np. JSON, CSV),
  • bezpłatnie, łatwo, bezpiecznie,
  • jeśli technicznie możliwe – w sposób ciągły i w czasie rzeczywistym.

Czy obowiązki dotyczą także aktualizacji i zmian w produkcie?

Tak. Jeśli po zakupie produktu skomunikowanego lub usługi powiązanej następuje aktualizacja powodująca zmianę zakresu dostępnych danych, użytkownik musi zostać o tym poinformowany – najlepiej w momencie wdrożenia zmiany.

Jak postąpić w przypadku dzielenia się danymi z osobą trzecią?

Użytkownik ma prawo zlecić posiadaczowi danych przekazanie ich wybranej osobie trzeciej (np. innemu usługodawcy). Procedura powinna być łatwo dostępna, przejrzysta i bezpłatna. Wnioski należy realizować bez zbędnej zwłoki.

Kluczowe wskazówki i podsumowanie

  • Sprawdź, kto jest stroną umowy – każdy podmiot musi realizować obowiązki informacyjne indywidualnie.
  • Zadbaj o przejrzystość informacji – unikaj żargonu technicznego i prawniczego.
  • Przygotuj gotowe szablony informacji dla klientów – najlepiej w wersji online.
  • Zawsze przekazuj informacje przed podpisaniem umowy – to Twój obowiązek, nawet jeśli producent już coś przekazał.
  • Regularnie weryfikuj aktualność przekazywanych informacji, zwłaszcza po aktualizacjach produktów lub usług.
  • Prowadź ewidencję spełnienia obowiązku informacyjnego – w razie sporu lub kontroli łatwo udowodnisz spełnienie wymagań.

Podstawa prawna

  • art. 3 ust. 2, art. 3 ust. 3, art. 2 pkt 5, 13, 15, 16, 17, art. 4 ust. 1, art. 5 ust. 1, motywy 15, 18, 20, 24 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z 13.12.2023 r. w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany rozporządzenia (UE) 2017/2394 i dyrektywy (UE) 2020/1828 (Data Act).

Tematy porad zawartych w poradniku

  • obowiązki informacyjne Data Act
  • dane z urządzeń IoT obowiązki 2025
  • jak spełnić wymogi Data Act
  • udostępnianie danych użytkownikom IoT
  • usługi powiązane a dane w Data Act

Przydatne adresy urzędowe

Ostatnia aktualizacja: 02.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: