Czym jest Data Act i jaki jest jego cel?

Rozporządzenie ma na celu zapewnienie sprawiedliwej alokacji wartości generowanej z danych, przy jednoczesnej ochronie interesów tych, którzy w technologie generowania danych inwestują.


Zakres podmiotowy – kogo dotyczą przepisy Data Act?

Data Act ma zastosowanie do wielu różnych podmiotów:

Dla określenia zakresu firm, których dotyczy akt w sprawie danych, konieczne jest zrozumienie podstawowych definicji. Oto kilka z nich:


Obowiązki nakładane przez rozporządzenie EU Data Act

1Obowiązki dla producentów produktów skomunikowanych i dostawców usług powiązanych dotyczące projektowania

Producenci i dostawcy usług powiązanych muszą zaprojektować produkty skomunikowane i usługi powiązane tak, aby wszystkie dane z produktu lub usługi były dla użytkownika domyślnie dostępne łatwo, bezpiecznie, bezpłatnie, w całościowym, ustrukturyzowanym, powszechnie używanym i nadającym się do odczytu maszynowego formacie.

2Obowiązki informacyjne przed zawarciem umowy

Przed zawarciem umowy sprzedaży producent musi przekazać kupującemu informacje dotyczące danych z produktu, w szczególności o rodzaju, formacie i szacunkowej ilość danych, które system jest w stanie wygenerować.

Podobnie dostawcy usług powiązanych muszą przekazywać informacje dotyczące danych, które dane będą przetwarzać w związku z usługą.

3Mechanizm udostępniania danych użytkownikom

Posiadacze danych muszą zapewnić mechanizm udostępniania danych na żądanie użytkownika.

Gdy użytkownik nie może uzyskać bezpośredniego dostępu do danych, ich posiadacze muszą na jego wniosek bezpłatnie, bez zbędnej zwłoki, łatwo i bezpiecznie udostępnić mu dostępne dane.

Ponadto, posiadacz danych musi udostępnić w ten sam sposób dane wskazanej we wniosku użytkownika osobie trzeciej.

4Udostępnianie danych organom publicznym

W przypadku wyjątkowej potrzeby (reakcja na niebezpieczeństwo publiczne lub inne zadania w interesie publicznym) posiadacze danych będą zobowiązani udostępnić wskazane we wniosku i dostępne dane organom publicznym.

5Obowiązki dostawców usług przetwarzania danych

Dostawcy usług przetwarzania danych muszą stosować środki umożliwiające klientom zmianę usługi przetwarzania danych na usługę tego samego typu świadczoną przez innego dostawcę.

Data Act zawiera minimalne wymogi dotyczące treści umów o świadczenie usług w chmurze. Wymogi te obejmują gwarancje przenoszenia danych, środki standaryzacji i interoperacyjności oraz zabezpieczenia umowne w odniesieniu do procesu zmiany dostawcy oraz stopniową eliminację opłat za zmianę dostawcy do 2027 roku.

Od 11 stycznia 2024 r. do 12 stycznia 2027 r. mogą nakładać obniżone opłaty z tytułu zmiany dostawcy. Po tym okresie dostawcy usług przetwarzania danych nie mogą nakładać na klienta opłat z tytułu zmiany dostawcy.


Terminy wejścia w życie i okresy dostosowawcze

Obowiązki wynikające z art. 3 ust. 1 (projektowanie produktów) mają zastosowanie do produktów skomunikowanych i usług z nimi powiązanych wprowadzonych na rynek po dniu 12 września 2026 r.

Rozdział IV Data Act dotyczący umów w zakresie udostępniania i korzystania z danych ma zastosowanie do umów zawartych po 12 września 2025 r. Ponadto, Rozdział IV ma zastosowanie od 12 września 2027 r. do umów zawartych do 12 września 2025 r. włącznie, pod warunkiem że zostały zawarte na czas nieokreślony lub wygasają co najmniej 10 lat po 11 stycznia 2024 r.


Konsekwencje i sankcje za nieprzestrzeganie przepisów

System kar i sankcji

Państwa członkowskie UE mają ustanowić przepisy dotyczące kar mających zastosowanie w przypadku naruszeń rozporządzenia i podjąć wszelkie niezbędne środki w celu zapewnienia ich wykonywania. Przewidziane kary mają być skuteczne, proporcjonalne i odstraszające.

Do 12 września 2025 r. państwa członkowskie mają powiadomić Komisję o tych przepisach i środkach.

Państwa członkowskie powinny uwzględnić następujące kryteria nakładania kar: charakter, waga, skala i czas trwania naruszenia; wszelkie działania podjęte przez stronę naruszającą w celu złagodzenia skutków; wszelkie wcześniejsze naruszenia; korzyści finansowe uzyskane lub straty uniknięte; inne czynniki obciążające lub łagodzące; roczny obrót strony naruszającej w Unii.

Kary RODO

Data Act dotyczy danych nieosobowych, jednak za naruszenia obowiązków ustanowionych w rozdziałach II, III i V Data Act organy nadzorcze odpowiedzialne za monitorowanie stosowania RODO mogą nakładać administracyjne kary pieniężne zgodnie z art. 83 RODO.

Procedury odwoławcze

Osoby fizyczne i prawne mają prawo wnieść skargę do stosownego właściwego organu w państwie członkowskim, w którym mają miejsce zwykłego pobytu, miejsce pracy lub siedzibę, jeżeli sądzą, że ich prawa wynikające z rozporządzenia zostały naruszone.

Każda osoba ma prawo do skutecznego sądowego środka ochrony prawnej przeciwko prawnie wiążącej decyzji właściwych organów oraz w przypadku gdy właściwy organ nie podejmie działań w odpowiedzi na skargę.


Jak przygotować organizację do wdrożenia przepisów?

1Audyt i mapowanie danych

Określenie dostępnych w produktach danych – określenie, jakie dane będą dostępne z produktów, np. w dokumentacji projektowej i podjęcie decyzji projektowej, które dane powinny być udostępniane. Można uwzględniać przy tym ochronę tajemnic przedsiębiorstwa i bezpieczeństwo produktu.

2Przygotowanie informacji dla klientów

Zgromadzenie informacji wymaganych przez akt w sprawie danych i umieszczenie ich w materiałach udostępnianych potencjalnym klientom, w tym dystrybutorom przed zawarciem umowy.

3Opracowanie mechanizmów technicznych

Opracowanie mechanizmu udostępniania zbieranych danych użytkownikom produktów i upoważnionym przez nich osobom trzecim.

4Przygotowanie podstawy umownej

Aby móc wykorzystywać dane pozyskane z produktów, organizacja musi zawierać w tym zakresie umowy z użytkownikami.

5Dostosowanie regulaminów świadczenia usług do wymogów Data Act 

Dostawcy świadczący usługi przetwarzania danych powinni przeanalizować swoje regulaminy świadczenia usług i dostosować je do nowych wymogów.


Podsumowanie i rekomendacje końcowe


przycisk pobierz newsletter


Kontakt

Michał Pietrzyk – radca prawny, Senior Associate w zespole IP/IT, Digital Transformation and Automation Lead