Data Act – co zmienia się w zasadach dostępu do danych i dlaczego Twoja firma powinna o tym wiedzieć

Unijne rozporządzenie Data Act obowiązuje od 12 września 2025 roku i dotyczy praktycznie każdej firmy, która wytwarza, gromadzi lub przetwarza dane z urządzeń podłączonych do sieci. Dla wielu przedsiębiorców temat wciąż brzmi abstrakcyjnie, ale konsekwencje braku przygotowania są bardzo konkretne – łącznie z karami sięgającymi milionów euro.

Data Act – oficjalnie rozporządzenie (UE) 2023/2854 – reguluje zasady udostępniania i wykorzystywania danych generowanych przez tak zwane produkty skomunikowane. Chodzi o urządzenia, które zbierają informacje o swoim działaniu lub otoczeniu i przesyłają je cyfrowo: czujniki przemysłowe, inteligentne maszyny, systemy zarządzania budynkami, pojazdy z telematyką czy sprzęt medyczny. 

Dotychczas producenci i dostawcy oprogramowania mieli niemal wyłączną kontrolę nad tymi danymi. Rozporządzenie Data Act zmienia tę sytuację, przyznając użytkownikom – w tym przedsiębiorcom – prawo dostępu do danych wytwarzanych przez te produkty. Użytkownik może też wskazać podmiot trzeci, któremu dane mają zostać przekazane.

Zakres podmiotowy jest szeroki. Nowe obowiązki spoczywają na producentach urządzeń IoT, dostawcach usług powiązanych z tymi produktami, posiadaczach danych oraz dostawcach usług chmurowych w modelach IaaS, PaaS i SaaS. Regulacja dotyka więc zarówno firmy technologiczne, jak i przedsiębiorstwa produkcyjne, logistyczne, energetyczne czy medyczne, które na co dzień korzystają z urządzeń generujących dane cyfrowe. 

Mikroprzedsiębiorstwa i małe firmy zostały częściowo zwolnione z obowiązków, ale tylko pod warunkiem, że nie wchodzą w skład większych grup kapitałowych.

Przepisy wymagają między innymi, aby produkty skomunikowane były projektowane z myślą o łatwym, bezpiecznym i bezpłatnym dostępie użytkownika do danych. Producenci muszą jeszcze przed zawarciem umowy informować kupujących o rodzaju, formacie i przewidywanej ilości danych generowanych przez urządzenie. Posiadacze danych są z kolei zobowiązani udostępnić je na żądanie użytkownika – bez zbędnej zwłoki i w formacie nadającym się do odczytu maszynowego. 

Osobne wymogi dotyczą dostawców usług chmurowych, którzy muszą zapewnić klientom realną możliwość zmiany dostawcy, a opłaty za migrację będą stopniowo redukowane aż do ich zniesienia w 2027 roku.

Sankcje są dotkliwe. Za naruszenie przepisów dotyczących udostępniania danych organy nadzorcze mogą nałożyć kary na zasadach zbliżonych do RODO – do 20 milionów euro lub 4% rocznego obrotu światowego. Polska wciąż pracuje nad ustawą wdrażającą rozporządzenie, ale Data Act jako regulacja unijna obowiązuje bezpośrednio – niezależnie od tempa prac krajowego ustawodawcy.

Pierwszym krokiem jest audyt: jakie dane generują urządzenia i systemy w firmie, kto ma do nich dostęp i na jakich zasadach. Następnie warto przejrzeć umowy z dostawcami pod kątem zgodności z nowymi wymogami, a także przygotować procedury obsługi wniosków o udostępnienie danych. Dla firm, które podejdą do tematu odpowiedzialnie, Data Act jest nie tyle zagrożeniem, ile szansą na uporządkowanie procesów i zbudowanie przewagi opartej na przejrzystym zarządzaniu informacją.

Artykuł sponsorowany