Data Act od 12 września 2025 – kto musi się przygotować? Obowiązki, pułapki i praktyczne wyzwania

Zanim przejdziemy do szczegółowych obowiązków Data Act (a właściwie: Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2023/2854 z dnia 13 grudnia 2023 roku w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania oraz w sprawie zmiany Rozporządzenia (UE) 2017/2394 i Dyrektywy (UE) 2020/1828 (akt w sprawie danych) z dnia 13 grudnia 2023 roku (Dz.Urz.UE.L Nr 300), trzeba dobrze zrozumieć dwa pojęcia, które w rozporządzeniu przewijają się niemal na każdej stronie: produkt skomunikowany oraz usługa powiązana.

Produkt skomunikowany

Produktem skomunikowanym jest każde urządzenie, które pozyskuje, generuje lub zbiera dane dotyczące swojego wykorzystania lub otoczenia i które może przekazywać te dane za pomocą usługi łączności elektronicznej, łącza fizycznego lub poprzez dostęp bezpośrednio na urządzeniu.

W dużym skrócie: to urządzenie które zbiera lub generuje dane podczas jego używania, ale również gdy urządzenie jest w trakcie czuwania czy jest wyłączone, a następnie potrafi je przekazać dalej – np. przez aplikację, kabel albo wbudowany moduł łączności.

Ważne jest jedno zastrzeżenie: produkt skomunikowany nie jest urządzeniem, którego podstawową funkcją jest samo przechowywanie czy przesyłanie danych, jak np. serwer, czy router.

Przykłady produktów skomunikowanych:

• samochody posiadające wewnętrzny komputer, z którymi można połączyć się za pomocą fizycznego łącza,
• inteligentna lodówka monitorująca zużycie energii i przesyłająca dane do aplikacji,
• elektryczna hulajnoga z modułem GPS i możliwością zdalnego sprawdzania poziomu baterii,
• maszyna rolnicza z czujnikami jakości gleby i systemem raportowania wyników,
• odkurzacz automatyczny (robot sprzątający) skanujący pomieszczenie i zapisujący mapę mieszkania,
• opaska sportowa monitorująca puls, kroki czy sen,
• klimatyzator z aplikacją do zdalnego sterowania temperaturą.

Usługa powiązana

Drugim kluczowym pojęciem w Data Act jest usługa powiązana. To cyfrowa usługa, w szczególności oprogramowanie, która podczas sprzedaży, wynajmu czy innej formy udostępnienia jest skomunikowana z produktem skomunikowanym w taki sposób, że bez niej produkt nie mógłby wykonywać co najmniej jednej ze swoich funkcji.

Przykłady usług powiązanych:

• aplikacja mobilna do sterowania inteligentnym systemem oświetlenia,
• aplikacja zdrowotna przetwarzająca informacje z opaski fitness,
• aplikacja do obsługi robota sprzątającego, w której ustawia się harmonogram i podgląda mapę mieszkania,
• aplikacja do sterowania klimatyzacją w mieszkaniu (zmiana temperatury zdalnie).

Data Act reguluje przede wszystkim dane, które są wytwarzane i gromadzone przez produkty skomunikowane. Ustawodawca celowo posłużył się bardzo szeroką definicją: chodzi o jakiekolwiek cyfrowe odwzorowanie działań, faktów czy informacji związanych z funkcjonowaniem, wykorzystaniem i otoczeniem produktu skomunikowanego.

Innymi słowy, jeśli urządzenie coś rejestruje, np. temperaturę, ruch, czas pracy, lokalizację czy zużycie energii i zapisuje to w formie cyfrowej, to takie dane będą podlegały obowiązkom wynikającym z Data Act.

Przykłady danych z produktów skomunikowanych:

• przebieg i dane techniczne samochodu (poziom paliwa, prędkość, alerty serwisowe),
• mapa pomieszczenia wygenerowana przez robota sprzątającego,
• poziom zużycia energii z inteligentnej lodówki, pralki czy klimatyzatora,
• temperatura i wilgotność rejestrowana przez inteligentny termostat lub czujnik,
• liczba cykli i czas pracy urządzenia AGD.

Co istotne, to w dużej mierze producent zdecyduje, które dane z danego urządzenia będą gromadzone i jakie informacje zostaną udostępnione.

Data Act obejmuje również dane powstające w trakcie korzystania z usług powiązanych. Chodzi tu o cyfrowe odwzorowanie czynności lub zdarzeń związanych z użytkownikiem produktu skomunikowanego, które są generowane i przechowywane przez dostawcę usługi powiązanej.

Przykłady danych z usług powiązanych:

• raporty aktywności fizycznej i snu w aplikacji zdrowotnej,
• historia cykli prania w aplikacji producenta pralki,
• harmonogramy i statystyki korzystania z klimatyzacji zapisane w aplikacji mobilnej,
• dane o trasach i czasie jazdy elektrycznej hulajnogi w aplikacji operatora.

W zależności od tego, kim jesteśmy w całym łańcuchu korzystania z danych, takie będą nasze obowiązki. Data Act wyróżnia trzy główne kategorie podmiotów: użytkownika, posiadacza danych oraz odbiorcę danych. I choć brzmi to prosto, w praktyce rozróżnienie bywa nieintuicyjne.

Użytkownik

Użytkownikiem jest właściciel produktu skomunikowanego lub osoba, której – na podstawie umowy – zostały przekazane tymczasowe prawa do korzystania z tego produktu. Warunkiem jest więc istnienie tytułu prawnego – albo prawa własności, albo prawa do korzystania z rzeczy wynikającego z umowy (np. leasing, najem, dzierżawa).

Posiadacz danych

Posiadaczem danych jest osoba fizyczna lub prawna, która ma prawo lub obowiązek wykorzystywania i udostępniania danych generowanych przez produkt skomunikowany lub usługę powiązaną.

Najczęściej będzie to producent urządzenia. Jeżeli jednak producent nie gromadzi danych, posiadaczem może stać się inny podmiot, np. operator systemu informatycznego, dostawca chmury czy serwisant zarządzający danym urządzeniem.

Odbiorca danych

Odbiorcą danych jest osoba fizyczna lub prawna, działająca w celach związanych z jej działalnością gospodarczą, przemysłową, rzemieślniczą lub zawodową, inna niż użytkownik produktu skomunikowanego.

Odbiorca uzyskuje dostęp do danych:

• na wniosek użytkownika, skierowany do posiadacza danych albo
• w sytuacjach przewidzianych w przepisach prawa (np. w związku z obowiązkami publicznymi).

Aby lepiej zobrazować te role, warto prześledzić je na konkretnym przykładzie produktu skomunikowanego – wtedy łatwiej zrozumieć, kto w praktyce jest użytkownikiem, kto posiadaczem danych, a kto ich odbiorcą.

Przykład: samochód osobowy wyposażony w komputer pokładowy i aplikację mobilną producenta (np. do sprawdzania stanu paliwa czy lokalizacji):

• Użytkownik – właściciel samochodu (np. osoba prywatna, która kupiła auto) albo leasingobiorca, któremu umowa daje prawo do korzystania z pojazdu.
• Posiadacz danych – producent samochodu, który zbiera i gromadzi dane techniczne pojazdu (np. przebieg, kody błędów, stan akumulatora) w swoim systemie informatycznym.
• Odbiorca danych – niezależny warsztat samochodowy, który – za zgodą użytkownika – uzyska od producenta dane serwisowe, aby móc wykonać naprawę.

Nie będziemy przytaczać wszystkich szczegółowych regulacji, ale warto wskazać na trzy kluczowe kwestie, do których przedsiębiorcy powinni przygotować się już od 12 września 2025 roku.

Przed zawarciem umowy dotyczącej produktu skomunikowanego lub usługi powiązanej użytkownik powinien otrzymać jasne informacje o danych, w szczególności:

• jakie dane generuje produkt,
• gdzie i w jaki sposób dane są przechowywane,
• jak użytkownik może uzyskać do nich dostęp, pobrać je lub je usunąć.

W praktyce oznacza to, że np. przy zakupie robota sprzątającego producent będzie musiał w umowie lub dokumentacji poinformować użytkownika, że urządzenie zbiera dane o układzie mieszkania, zapisuje je na serwerze w chmurze w określonym kraju oraz że użytkownik ma możliwość pobrania tych danych lub ich usunięcia poprzez aplikację.

Posiadacz danych będzie mógł korzystać z danych nieosobowych pochodzących z produktu skomunikowanego wyłącznie na podstawie umowy z użytkownikiem.

Data Act przewiduje dwa podstawowe mechanizmy udostępniania danych:

1. Na podstawie art. 4 Data Act

Na wniosek użytkownika posiadacz danych ma obowiązek nieodpłatnie udostępnić mu tzw. dane łatwo dostępne. Przez dane łatwo dostępne należy rozumieć takie informacje, które posiadacz danych zgodnie z prawem pozyskuje lub może pozyskać bez nieproporcjonalnie dużego wysiłku, wykraczającego poza prostą czynność. Innymi słowy – chodzi o dane, które są już gromadzone albo możliwe do odczytania bez dodatkowych, kosztownych lub technicznie skomplikowanych działań. To pojęcie jest dość niedookreślone, co oznacza, że w praktyce to producent/posiadacz danych będzie oceniał, czy dane mieszczą się w tej kategorii.

1. Na podstawie art. 5 Data Act

 Na wniosek użytkownika (lub osoby działającej w jego imieniu), posiadacz danych powinien nieodpłatnie dla użytkownika udostępnić dane łatwo dostępne osobie trzeciej. Odbiorca danych (np. niezależny serwis, warsztat, aplikacja zewnętrzna) zyskuje w ten sposób dostęp do informacji, ale inicjatywa zawsze wychodzi od użytkownika.

Data Act przewiduje ważne ograniczenie obowiązków związanych z udostępnianiem danych. Obowiązki dzielenia się danymi na wniosek użytkownika (art. 4 i 5 Data Act) nie mają zastosowania do danych generowanych przez produkty skomunikowane lub usługi powiązane, które zostały wyprodukowane lub zaprojektowane przez mikroprzedsiębiorców lub małych przedsiębiorców – pod warunkiem, że nie posiadają oni przedsiębiorstwa partnerskiego ani powiązanego (innego niż mikro lub małe).

Jeżeli natomiast mamy do czynienia ze średnim przedsiębiorcą – wówczas wyłączenie jest tylko czasowe: obowiązuje przez okres krótszy niż rok od uzyskania statusu średniego, a także przez rok od dnia wprowadzenia produktu skomunikowanego do obrotu przez średnie przedsiębiorstwo.

To pytanie zadaje sobie dziś wielu przedsiębiorców – i nie ma na nie jeszcze jednoznacznej odpowiedzi. Data Act jest rozporządzeniem unijnym i od 12 września 2025 roku będzie stosowany bezpośrednio we wszystkich państwach członkowskich. Sam akt nie zawiera jednak katalogu kar, lecz wskazuje, że to państwa członkowskie muszą zapewnić skuteczny system egzekwowania przepisów. W praktyce oznacza to obowiązek stworzenia mechanizmów pozwalających na rozpatrywanie skarg, prowadzenie postępowań w sprawach dotyczących stosowania Data Act oraz nakładanie skutecznych, proporcjonalnych i odstraszających kar pieniężnych.

W Polsce prace nad wdrożeniem rozporządzenia trwają. Opublikowany został już projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu. Zgodnie z założeniami to Prezes Urzędu Komunikacji Elektronicznej ma być organem właściwym do stosowania i egzekwowania Data Act w Polsce.

Projekt ustawy przewiduje ponadto możliwość nakładania administracyjnych kar pieniężnych za naruszenie obowiązków wynikających z rozporządzenia. Konstrukcja sankcji ma być zbliżona do rozwiązań znanych już z Prawa komunikacji elektronicznej, co oznacza, że organ nadzorczy otrzyma realne narzędzia do dyscyplinowania podmiotów, które nie dostosują się do nowych regulacji. Można się więc spodziewać, że tak jak w przypadku RODO kary będą miały charakter odstraszający i ich wysokość będzie zależeć od skali naruszenia, pozycji rynkowej podmiotu i stopnia zawinienia.

Nowe przepisy mogą wydawać się skomplikowane, zwłaszcza że zakres obowiązków różni się w zależności od tego, czy jesteśmy producentem, użytkownikiem czy odbiorcą danych. Dodatkowym wyzwaniem jest to, że niejednoznaczny pozostaje również sam zakres pojęcia produktów skomunikowanych – dopiero praktyka pokaże, w jakim kierunku pójdą organy i jak będą interpretować te definicje. Jeżeli masz wątpliwości, które regulacje dotyczą Twojej firmy i jak się do nich przygotować, warto już teraz zaplanować kolejne kroki – tak, aby 12 września 2025 r. nie było zaskoczeniem.