1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. Data act
  4. Skarga na naruszenie przepisów Data Act – jak działa mechanizm z art. 38 DA?
Wyszukiwanie...
Data publikacji: 05.04.2026

Skarga na naruszenie przepisów Data Act – jak działa mechanizm z art. 38 DA?

Spis treści

Artykuł 38 rozporządzenia Data Act (DA) wprowadza ważny element systemu ochrony praw użytkowników danych – umożliwia im składanie skarg do krajowych organów nadzorczych w przypadku naruszenia przepisów rozporządzenia. Mechanizm ten pełni rolę administracyjnej ścieżki dochodzenia roszczeń, obok postępowania sądowego, i ma zagwarantować szybkie, skuteczne i dostępne dla każdego środki ochrony praw.

Rola i znaczenie art. 38 DA

Celem art. 38 DA jest zapewnienie realnego mechanizmu egzekwowania praw użytkowników danych. Każda osoba lub podmiot, który uzna, że naruszono jego prawa wynikające z DA – np. poprzez odmowę dostępu do danych, nieuprawnione ograniczenia w ich przekazywaniu, brak interoperacyjności czy niedopełnienie obowiązków informacyjnych – może złożyć skargę do organu właściwego (określonego w art. 37 DA).

Ten przepis ma charakter gwarancyjny – zapewnia administracyjny kanał ochrony, który działa równolegle do drogi sądowej przewidzianej w art. 39 DA. Model ten przypomina rozwiązania znane z RODO – użytkownicy mogą dochodzić swoich praw zarówno przed organem nadzorczym, jak i przed sądem.

📚 Motyw 108 preambuły Data Act podkreśla, że każde państwo członkowskie musi zapewnić użytkownikom dostęp do skutecznych mechanizmów składania skarg i uzyskiwania zadośćuczynienia.

Kto może złożyć skargę na podstawie art. 38 DA?

Zgodnie z art. 38 ust. 1 Data Actkażda osoba fizyczna lub prawna może wnieść skargę do właściwego organu, jeśli uzna, że przepisy rozporządzenia zostały naruszone wobec niej.

Oznacza to, że:

  • nie trzeba być użytkownikiem danych w rozumieniu art. 2 pkt 12 DA,
  • nie jest wymagane wcześniejsze wezwanie drugiej strony do działania,
  • nie trzeba udowadniać szkody.

Wystarczy uzasadnione przekonanie, że doszło do naruszenia przepisów DA.

Taka konstrukcja zapewnia szeroki dostęp do ochrony – obejmuje nie tylko użytkowników danych (np. klientów korzystających z urządzeń IoT), ale również partnerów biznesowych, konkurentów rynkowych czy organizacje reprezentujące interesy użytkowników.

Przedmiot skargi – co można zgłosić?

Zakres skargi jest bardzo szeroki i obejmuje wszelkie naruszenia obowiązków lub praw przewidzianych w DA, w tym m.in.:

  • odmowę dostępu do danych (art. 4 DA),
  • ograniczenie możliwości przekazania danych osobie trzeciej (art. 5 DA),
  • przetwarzanie danych przez organy państw trzecich niezgodnie z przepisami (art. 32 DA),
  • brak interoperacyjności systemów lub niezgodność z obowiązkami technicznymi (art. 33–35 DA),
  • niedopełnienie obowiązków informacyjnych (np. art. 32 ust. 4 DA).

⚠️ Skarga może dotyczyć nie tylko naruszeń „istotnych”, ale również drobnych uchybień proceduralnych – np. opóźnień, nieczytelnych informacji, braku odpowiedzi na wniosek użytkownika.

Tryb składania skargi – jak wygląda procedura?

Rozporządzenie Data Act nie określa szczegółowego trybu składania i rozpatrywania skarg – to zadanie powierzono państwom członkowskim UE. Każde z nich powinno wprowadzić przepisy krajowe, które określą:

  • formę złożenia skargi (np. formularz elektroniczny, pismo tradycyjne),
  • termin jej rozpatrzenia (zgodny z zasadą efektywności),
  • możliwość monitorowania sprawy przez użytkownika,
  • sposób przekazania informacji o wyniku postępowania.

Skuteczność art. 38 DA zależy więc w dużej mierze od jakości krajowych rozwiązań proceduralnych i dostępności właściwego organu.

Problemy transgraniczne – kto rozpatrzy skargę?

W praktyce mogą pojawić się poważne trudności przy ustalaniu, który organ krajowy jest właściwy w danej sprawie.

📄 Przykład:
Firma TechSolutions Sp. z o.o. z Polski korzysta z systemu IoT dostarczanego przez francuskiego dostawcę, którego dane są przechowywane w chmurze w Niemczech. W przypadku sporu każdy z trzech krajów może uznać się za właściwy do rozpatrzenia skargi – albo przeciwnie, żaden nie podejmie działania, obawiając się przekroczenia swoich kompetencji.

W przeciwieństwie do RODO, Data Act nie przewiduje mechanizmu „one-stop-shop”, co może prowadzić do:

  • rozproszenia odpowiedzialności,
  • ryzyka dublowania postępowań,
  • opóźnień w rozpatrywaniu spraw.

Dlatego warto, by państwa członkowskie opracowały wspólne wytyczne dotyczące współpracy organów – obejmujące m.in. procedury wzajemnego informowania, ustalanie „państwa wiodącego” czy zasady rozstrzygania sporów kompetencyjnych.

Znaczenie art. 38 DA dla użytkowników

Dla użytkowników – zarówno konsumentów, jak i przedsiębiorców – przepis ten stanowi realne narzędzie ochrony praw. Umożliwia m.in.:

  • kwestionowanie odmowy udostępnienia danych,
  • zgłaszanie nieprawidłowości w sposobie przetwarzania,
  • sygnalizowanie problemów systemowych (np. braku interoperacyjności czy nadużyć kontraktowych).

📌 Dzięki temu można dochodzić swoich praw bez potrzeby wszczynania postępowania sądowego. To szczególnie istotne dla mniejszych firm i użytkowników indywidualnych, którzy nie dysponują dużymi zasobami prawnymi.

Z drugiej strony, brak jednolitych procedur między krajami UE może prowadzić do:

  • forum shoppingu – wyboru kraju, w którym organ działa najsprawniej lub najkorzystniej dla skarżącego,
  • równoległych postępowań wobec tego samego podmiotu w kilku krajach.

Znaczenie dla organizacji i compliance

Z perspektywy przedsiębiorstw, art. 38 DA nakłada pośrednio obowiązek przygotowania wewnętrznych procedur obsługi skarg użytkowników. Obejmuje to m.in.:

  1. Identyfikację punktów kontaktu z użytkownikiem w całym cyklu życia danych (zbieranie, przetwarzanie, udostępnianie).
  2. Wyznaczenie osób odpowiedzialnych za przyjmowanie i rozpatrywanie skarg (np. dział prawny lub zespół ds. danych).
  3. Opracowanie polityki reagowania na skargi i kontaktu z organami właściwymi.
  4. Prowadzenie rejestru skarg i działań naprawczych.

📄 Niewłaściwe postępowanie ze skargą może prowadzić do:

  • wszczęcia formalnego postępowania przed organem nadzorczym,
  • audytu zgodności z DA,
  • wydania zaleceń lub decyzji administracyjnych (a w skrajnych przypadkach – sankcji).

Analogicznie jak przy RODO, odpowiednie zarządzanie skargami to nie tylko obowiązek formalny, ale również element zarządzania ryzykiem regulacyjnym i reputacyjnym.

Podstawa prawna

  • art. 38 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 r. w sprawie harmonizacji zasad dotyczących sprawiedliwego dostępu do danych i korzystania z nich (Data Act)
  • art. 37 – Data Act
  • art. 39 – Data Act
  • motyw 108 preambuły – Data Act
  • art. 77 – Rozporządzenie (UE) 2016/679 (RODO)
  • art. 13 – Rozporządzenie (UE) 2022/868 (Data Governance Act)

Tematy zawarte w poradniku

  • składanie skarg przez użytkowników na podstawie Data Act
  • prawa użytkowników danych w UE
  • obowiązki organizacji w zakresie obsługi skarg
  • transgraniczne mechanizmy egzekwowania Data Act
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: