Data Act – co zmienia nowe rozporządzenie UE i jak uzupełnia RODO

/appFiles/site_102/images/autor/aSx2cV8qCw7IWpY.png

Autor: Anna Rubinkowska

Dodano: 15 września 2025
Data Act – co zmienia nowe rozporządzenie UE i jak uzupełnia RODO

Od 12 września 2025 r. we wszystkich państwach członkowskich UE zaczął być stosowany Akt w sprawie danych (Data Act). Rozporządzenie jest kolejnym elementem realizacji Europejskiej strategii w zakresie danych, obok Aktu w sprawie zarządzania danymi. Nie zastępuje RODO, lecz je uzupełnia.

Wejście w życie Aktu w sprawie danych i przepisy krajowe

Data Act od 2025 roku reguluje zasady udostępniania i przenoszenia danych w UE. Wzmacnia prawa użytkowników, ułatwia zmianę dostawcy usług chmurowych i nakłada obowiązek interoperacyjności systemów. Uzupełnia RODO, zwiększając przejrzystość i konkurencyjność rynku cyfrowego.

Rozporządzenie (UE) 2023/2854 weszło w życie 11 stycznia 2024 r., natomiast jego stosowanie rozpoczęło się 12 września 2025 r. Od tej daty przepisy obowiązują bezpośrednio w całej Unii Europejskiej. Część regulacji wymaga jednak uzupełnienia w prawie krajowym. 

W Polsce do Wykazu prac legislacyjnych Rady Ministrów wpisano projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu, który ma być opiniowany m.in. przez prezesa UODO.

Co reguluje Akt w sprawie danych (Data Act)

Celem rozporządzenia jest zapewnienie równego dostępu do danych oraz wzmocnienie praw użytkowników w środowisku cyfrowym, przy jednoczesnym zachowaniu wysokich standardów ochrony danych osobowych. Data Act wprowadza szczegółowe zasady dotyczące udostępniania danych w trzech głównych obszarach.

Po pierwsze, reguluje wymianę danych między przedsiębiorstwami. Oznacza to, że firmy korzystające z danych generowanych np. przez urządzenia produkcyjne czy systemy analityczne będą mogły dzielić się nimi na jasno określonych, przejrzystych zasadach. Ma to zlikwidować bariery w dostępie do informacji i sprzyjać powstawaniu nowych modeli biznesowych.

Po drugie, rozporządzenie obejmuje udostępnianie danych między firmami a konsumentami. Każdy użytkownik będzie miał prawo do danych, które sam generuje podczas korzystania z usług i produktów – np. aplikacji zdrowotnych, inteligentnych sprzętów domowych czy samochodów połączonych z siecią. Dzięki temu konsumenci zyskają możliwość przenoszenia danych do innego dostawcy oraz większą kontrolę nad tym, kto i w jakim celu je wykorzystuje.

Po trzecie, Data Act przewiduje udostępnianie danych między przedsiębiorstwami a administracją publiczną. Taki obowiązek będzie dotyczył w szczególności sytuacji kryzysowych, w których szybki dostęp do danych jest niezbędny dla ochrony zdrowia, bezpieczeństwa lub środowiska. Przepisy przewidują jednak gwarancje, aby dane były przekazywane wyłącznie w zakresie koniecznym i zgodnie z zasadą proporcjonalności.

Rozporządzenie obejmuje zarówno dane tworzone przez urządzenia internetu rzeczy, jak i te powstające w ramach usług chmurowych. W praktyce oznacza to, że dane gromadzone przez nowoczesne technologie mają stać się dostępne dla szerokiego grona podmiotów, a nie tylko dla producentów urządzeń czy dostawców usług.

Nowe regulacje mają umożliwić przedsiębiorstwom rozwój innowacyjnych produktów i usług, poprawić konkurencyjność rynku oraz ułatwić wprowadzanie rozwiązań opartych na analizie danych. W efekcie rynek cyfrowy w Unii Europejskiej ma działać w sposób bardziej sprawiedliwy i przejrzysty, z korzyścią zarówno dla firm, jak i dla konsumentów.

Prawa konsumentów

Rozporządzenie gwarantuje użytkownikom dostęp do danych wytwarzanych podczas korzystania z produktów i usług, takich jak inteligentne urządzenia domowe, aplikacje zdrowotne czy samochody podłączone do sieci. Użytkownik sam decyduje, komu i w jakim zakresie udostępnia swoje dane. Daje to większą kontrolę nad informacjami i możliwość swobodnej zmiany dostawcy usług.

Dane a administracja publiczna

Data Act reguluje również zasady udostępniania danych organom publicznym. Ma to znaczenie w sytuacjach kryzysowych, np. w przypadku klęsk żywiołowych czy zagrożeń zdrowotnych, gdy szybki dostęp do informacji jest niezbędny. Przepisy przewidują jednak mechanizmy chroniące przed nadużyciami – przekazywanie danych ma być proporcjonalne, przejrzyste i uzasadnione interesem publicznym.

Usługi chmurowe i interoperacyjność

Rozporządzenie przewiduje także ułatwienia w zakresie korzystania z usług chmurowych. Jednym z kluczowych celów Data Act jest umożliwienie łatwiejszej zmiany dostawcy usług, tak aby przedsiębiorstwa i instytucje publiczne nie były uzależnione od jednego operatora. Obecnie migracja danych i aplikacji pomiędzy różnymi platformami chmurowymi bywa kosztowna i technicznie skomplikowana, co skutkuje tzw. „efektem zamknięcia” (vendor lock-in).

Data Act nakłada na dostawców obowiązek stopniowego eliminowania barier technicznych i kontraktowych, które utrudniają przenoszenie danych oraz usług. W praktyce oznacza to, że przedsiębiorca będzie mógł szybciej i łatwiej zmienić dostawcę chmury, bez ryzyka utraty danych czy konieczności ponoszenia nieproporcjonalnie wysokich kosztów.

Rozporządzenie wprowadza również wymogi interoperacyjności, czyli stosowania wspólnych standardów i protokołów umożliwiających współdziałanie różnych systemów chmurowych. Ma to zagwarantować płynny transfer danych, aplikacji i usług pomiędzy różnymi środowiskami cyfrowymi. Dzięki temu rynek usług chmurowych w UE stanie się bardziej konkurencyjny, a przedsiębiorcy zyskają większą swobodę wyboru rozwiązań najlepiej dopasowanych do ich potrzeb.

Efektem zmian ma być zwiększenie innowacyjności i bezpieczeństwa – firmy będą mogły łatwiej korzystać z różnych modeli chmury, unikać ryzyka monopolizacji rynku i lepiej chronić swoje interesy w relacji z dużymi dostawcami technologii.

Relacja do RODO

Data Act funkcjonuje obok RODO i nie narusza jego przepisów. Ochrona danych osobowych nadal pozostaje w pełni w gestii RODO, a wszystkie operacje w ramach Data Act muszą być z nim zgodne. W razie kolizji regulacji, pierwszeństwo mają przepisy o ochronie danych osobowych i prywatności (art. 1 ust. 5 rozporządzenia).

Prawa przewidziane w Akcie, takie jak dostęp do danych czy ich przenoszenie, uzupełniają uprawnienia wynikające z art. 15 i 20 RODO.

Rola organów nadzorczych

Organy odpowiedzialne za stosowanie RODO – w tym prezes UODO – odpowiadają również za nadzór nad Data Act w zakresie ochrony danych osobowych (art. 37 ust. 3). Wdrażanie rozporządzenia odbywa się z udziałem organów ochrony danych, czego przykładem jest stanowisko Europejskiej Rady Ochrony Danych w sprawie modelowych postanowień umownych przygotowanych przez Komisję Europejską.

Wyjaśnienia Komisji Europejskiej

Komisja Europejska opracowała zestaw odpowiedzi na najczęściej zadawane pytania dotyczące Data Act. Materiały te mają ułatwić przedsiębiorstwom i instytucjom przygotowanie się do stosowania nowych przepisów.

Słowa kluczowe:
akt w sprawie danych