Od 12 września 2025 r., obowiązuje Data Act – regulacja, która ustanawia jednolite zasady dostępu do danych generowanych przez produkty skomunikowane (IoT) i usługi powiązane – obejmujące dane osobowe, techniczne, telemetryczne oraz eksploatacyjne.
Data Act reguluje także dostęp do danych przez organy publiczne w sytuacjach kryzysowych.
Na czym polega przełom?
Dzięki Data Act użytkownik urządzenia lub powiązanej z nim usługi zyskuje bezpośrednie prawo żądania dostępu do danych, które są wytwarzane w trakcie korzystania z produktu.
Informacje te muszą być przekazywane w ustrukturyzowanym formacie, nadającym się do odczytu maszynowego, w takiej samej jakości jak ta, którą dysponuje gromadzący je podmiot, nieodpłatnie i bez zbędnej zwłoki.
Kogo dotyczą obowiązki Data Act?
Data Act nakłada obowiązki na posiadaczy danych. Posiadaczem danych jest m.in.:
- Producent
- Operator
- Dostawca usług serwisowych
- Dostawca usług cyfrowych
czyli podmiot, który ma uprawnienie lub obowiązek wykorzystywania i udostępniania danych powstałych w wyniku korzystania z produktu lub usługi.
Obowiązki posiadacza danych
Posiadacz danych ma obowiązek udostępniać je użytkownikowi oraz wskazanym przez niego osobom trzecim, na jasnych zasadach i przy zachowaniu poufności.
W szczególności obejmuje to:
- Zapewnienie użytkownikowi „danych łatwo dostępnych” – bez zbędnej zwłoki, nieodpłatnie, z metadanymi, możliwie w sposób ciągły i w czasie rzeczywistym
- Udostępnianie danych osobie trzeciej, wskazanej przez użytkownika
- Ochronę tajemnic przedsiębiorstwa poprzez odpowiednie środki techniczno-organizacyjne (posiadacz danych może odmówić ich udostępnienia tylko wtedy, gdy wykaże poważne ryzyko szkody)
- Zakaz stosowania praktyk utrudniających korzystanie z prawa dostępu (dark patterns)
- Prowadzenie dokumentacji udostępnień i przejrzystej obsługi wniosków
Obowiązek udostępnienia dotyczy danych surowych i wstępnie przetworzonych. Dane wywiedzione i wnioski z nich pozostają poza tym zakresem.
Harmonogram Data Act
- 12 września 2025 r. – Data Act w zakresie praw użytkowników i dostępu organów publicznych
- 12 września 2026 r. – obowiązek „access by design” dla nowych produktów i usług
- 12 stycznia 2027 r. – zakaz pobierania opłat za zmianę dostawcy usług przetwarzania danych
- 12 września 2027 r. – objęcie regulacją także umów zawartych przed wejściem w życie rozporządzenia, jeżeli są bez- lub długoterminowe
Co należy rozważyć już teraz
Aby spełnić wymagania i przygotować się na żądania dostępu, warto jak najszybciej wykonać następujące kroki:
- Inwentaryzacja urządzeń i usług generujących dane
- Określenie, które dane są „łatwo dostępne” i podlegają udostępnieniu, a które są wywiedzione i nie podlegają
- Przegląd i dostosowanie umów B2B, w szczególności pod kątem niedozwolonych klauzul wobec MŚP
- Przygotowanie procedur udostępniania danych, rejestrów i mechanizmów anonimizacji lub pseudonimizacji
- Planowanie procesu zmiany dostawcy chmury i dostosowanie systemów do wymogów interoperacyjności
- Integracja wymogów Data Act z procesami RODO, w tym DPIA
Perspektywa Data Act to także nowe możliwości i modele dla biznesu
Data Act to nie tylko obowiązki.
To również nowe możliwości. Dostęp do danych dla niezależnych serwisów, integratorów czy dostawców aplikacji oznacza rozwój konkurencyjnych usług, nowe modele biznesowe i pobudzenie innowacji.
Firmy, które odpowiednio wcześnie przygotują procedury zgodności, mogą więc nie tylko uniknąć ryzyk regulacyjnych, ale także skorzystać z otwierającego się rynku danych.
A my wspieramy w analizie konkretnych przypadków, przeglądzie umów i przygotowaniu planu wdrożenia Data Act w organizacji.
Masz pytania? Skontaktuj się z nami.
