Jakie zmiany wprowadził Data Act?

W dniu 12 września 2025 r. zaczęły obowiązywać nowe przepisy Rozporządzenia UE 2023/2854, które mają na celu zwiększenie kontroli użytkowników nad danymi generowanymi przez urządzenia i usługi cyfrowe. Zmiany wprowadzone przez Unię Europejską mają zapewnić sprawiedliwy i przejrzysty dostęp do swoich danych, wzmocnienie gospodarki cyfrowej oraz bezpieczeństwa przysługującego użytkownikom.

Czego dotyczy Data Act?

Rozporządzenie dotyczy wyłącznie produktów i usług – np. smartfonów, inteligentnych urządzeń domowych jak lodówki, głośniki, kamery bezpieczeństwa, ale też maszyn produkcyjnych czy systemów zarządzania miastem. Urządzenia te składają się na tak zwany Internet rzeczy – jest to sieć połączonych urządzeń, obiektów i systemów, które gromadzą, wymieniają i analizują dane za pośrednictwem Internetu, często bez ingerencji człowieka.

Usługami powiązanymi są natomiast usługi cyfrowe, które wykorzystują dane generowane i przesyłane przez produkty skomunikowane oraz współdziałają z nimi w celu zapewnienia pełnego funkcjonowania urządzenia. Przykładem może być aplikacja mobilna analizująca dane zdrowotne ze smartwatcha, platforma zarządzająca inteligentnym domem czy system predykcyjnej konserwacji maszyn przemysłowych.

Do wprowadzenia zmian zobowiązani będą producenci oraz sprzedawcy wyżej wskazanych przedmiotów.

Znaczącą zmianę odczuje również branża motoryzacyjna. Od września 2025 r. kierowcy będą mogli żądać udostępnienia informacji o rejestrowanych przez samochód danych telemetrycznych, takich jak o stylu jazdy, spalaniu, lokalizacji, stanie technicznym pojazdu w czasie rzeczywistym.

Jakie wyzwania stawia przed biznesem Data Act?

Firmy będą musiały wprowadzić procedury weryfikacji tożsamości wnioskującego, udostępniania bezpiecznych kanałów transferu, zapewnienia przejrzystego interfejsu w postaci np. panelu klienta oraz prowadzenia rejestru złożonych żądań. Co więcej, w związku z RODO, użytkownik powinien zyskać także faktyczną kontrolę nad tym, w jakim celu podmiot trzeci może wykorzystywać udostępnione dane – bez jego zgody nie ma mowy o innym zastosowaniu.

Wskazane ograniczenia, obowiązki dotyczą również sytuacji, w której produkt skomunikowany trafia na rynek wtórny i zmienia właściciela. Nie można odebrać nowemu właścicielowi prawa do korzystania z danych generowanych przez urządzenie, jednak nie można również w żaden sposób naruszyć prywatności poprzedniego właściciela lub tajemnicy przedsiębiorstwa.

Producenci oraz sprzedawcy muszą wprowadzić procedury, które umożliwią „wyzerowanie” urządzenia z zapisanych jak dotąd danych, ponowne parowanie z aplikacją czy mechanizm migracji uprawnień.

Firmy muszą dokładnie przeanalizować swoje praktyki w zakresie zarządzania danymi i przygotować się na istotne zmiany. Warto skorzystać z podanych rozwiązań:

• Audyt danych i procesów – firmy powinny zidentyfikować, jakie zasoby są gromadzone przez urządzenia, w jaki sposób przetwarzane oraz kto ma do nich dostęp. Pozwoli to określić, które dane podlegają udostępnieniu na podstawie rozporządzenia i jakie mechanizmy ochrony należy wprowadzić.
• Zarządzanie zgodami – organizacje będą musiały opracować procedury pozyskiwania i dokumentowania zgód użytkowników końcowych na przekazywanie danych wskazanym przez nich podmiotom trzecim. Odrębnym wyzwaniem jest zapewnienie technicznych możliwości realizacji takich żądań – użytkownicy powinni mieć do dyspozycji odpowiednie systemy, portale, procedury.
• Nowe obowiązki kontraktowe – oczywistym jest również, że oprócz faktycznych rozwiązań konieczne będzie również odpowiednie zmodyfikowanie umów z kontrahentami, klientami, tak, by uwzględniały nowe prawa i obowiązki związane z udostępnianiem danych. Dotyczy to m.in. zapisów o interoperacyjności usług, ochronie poufnych informacji czy przenoszeniu danych do innych dostawców.

Jakie korzyści osiągną użytkownicy?

Data Act zapewnia użytkownikowi konkretne i praktyczne narzędzia, które umożliwią uzyskanie danych rejestrowanych przez przedmioty, których używa na co dzień. Użytkownik może uzyskać dostęp do danych generowanych przez urządzenia, pobrać je w ustrukturyzowanej formie, a nawet żądać bezpośredniego przekazania ich podmiotowi trzeciemu. W związku z powyższym, przedsiębiorcy powinni wprowadzić sprawne procedury obsługi użytkowników, które umożliwiłyby udostępnienie użytkownikom oczekiwanych informacji.

Co grozi za niewdrożenie postanowień Data Act?

Specyficzne dla tego Rozporządzenia jest rozwiązanie, w związku z którym nie przewidziano ani minimalnego, ani maksymalnego pułapu kar za nieprzestrzeganie jego postanowień. Kary natomiast powinny być skuteczne, proporcjonalne i odstraszające – oznacza to, że w każdej sprawie wymiar kary ustalany będzie indywidualnie.

Dodatkowo, w przypadku naruszenia ochrony danych osobowych zastosowanie znajdą przepisy  Ogólnego Rozporządzenia o Ochronie Danych nr 2016/679 (RODO), przedsiębiorstwo zagrożone będzie karą sięgającą 20 mln EUR lub 4% rocznego obrotu przedsiębiorstwa.