Dane stały się jednym z kluczowych zasobów współczesnej gospodarki cyfrowej. Generują je urządzenia, aplikacje, systemy informatyczne oraz usługi online, a ich znaczenie biznesowe rośnie z roku na rok. Do tej pory dostęp do danych w dużej mierze pozostawał pod kontrolą producentów urządzeń i dostawców technologii, co w praktyce często ograniczało konkurencję i możliwość rozwoju nowych usług.
Rozporządzenie Data Act, stosowane od 12 września 2025 r., wprowadza jednolite zasady dotyczące dostępu do danych oraz ich wykorzystywania w relacjach B2B i B2C. Dla wielu przedsiębiorców oznacza to konieczność weryfikacji dotychczasowych modeli biznesowych, umów oraz procesów technicznych. Z tego artykułu dowiesz się, czym jest Data Act, kogo dotyczy, jakie dane obejmuje oraz jakie ma znaczenie praktyczne – w szczególności dla przedsiębiorców prowadzących działalność w modelu e-commerce.
Czym jest Data Act?
Data Act to unijne rozporządzenie regulujące zasady dostępu do danych generowanych przez produkty i usługi cyfrowe oraz ich dalszego wykorzystywania. Jako rozporządzenie ma ono charakter bezpośrednio stosowany we wszystkich państwach członkowskich i nie wymaga implementacji do prawa krajowego.
Celem Data Act nie jest ochrona prywatności w rozumieniu znanym z RODO, lecz uregulowanie obrotu danymi jako zasobem gospodarczym. Rozporządzenie ma zapewnić użytkownikom realny dostęp do danych, które generują, oraz zapobiegać sytuacjom, w których dane są „zamknięte” u jednego dostawcy technologii.
Istotne jest, że Data Act funkcjonuje równolegle z innymi regulacjami cyfrowymi. W przypadku danych osobowych jego stosowanie nie może naruszać przepisów o ochronie danych osobowych, co w praktyce oznacza konieczność jednoczesnego uwzględniania kilku reżimów prawnych.
Jakie cele realizuje Data Act?
Podstawowym celem Data Act jest wzmocnienie pozycji użytkowników produktów i usług cyfrowych. Użytkownik ma uzyskać prawo do danych, które powstają w wyniku korzystania z danego produktu lub usługi, niezależnie od tego, kto je technicznie gromadzi.
Drugim istotnym celem jest zwiększenie konkurencyjności rynku. Ułatwienie dostępu do danych ma sprzyjać rozwojowi nowych usług, umożliwiać zmianę dostawcy oraz ograniczać przewagę dużych podmiotów technologicznych.
Rozporządzenie ma również przeciwdziałać nadużyciom kontraktowym, zwłaszcza w relacjach B2B. Data Act wprowadza mechanizmy ochrony słabszej strony umowy, w szczególności małych i średnich przedsiębiorców, w zakresie postanowień dotyczących danych.
Kogo dotyczy Data Act?
Data Act nie obejmuje wszystkich przedsiębiorców w jednakowym zakresie. Kluczowe znaczenie ma rola, jaką dany podmiot pełni w procesie generowania i wykorzystywania danych.
Rozporządzenie dotyczy w szczególności producentów produktów połączonych z internetem, takich jak urządzenia typu smart, elektronika użytkowa, pojazdy, maszyny przemysłowe czy sprzęt fitness. Obejmuje również dostawców usług cyfrowych powiązanych z tymi produktami, na przykład aplikacji, platform analitycznych lub systemów monitorowania.
Adresatami obowiązków są także tzw. posiadacze danych, czyli podmioty, które faktycznie kontrolują dostęp do danych, nawet jeżeli nie są ich formalnymi właścicielami. Data Act odnosi się również do użytkowników danych, zarówno konsumentów, jak i przedsiębiorców, oraz do dostawców usług przetwarzania danych i usług chmurowych.
Jakie dane obejmuje Data Act?
Zakres danych objętych Data Act jest szeroki, ale nie nieograniczony. Rozporządzenie dotyczy przede wszystkim danych generowanych w wyniku korzystania z produktu lub usługi objętej regulacją. Są to najczęściej dane techniczne, operacyjne lub użytkowe.
Dane te mogą mieć charakter osobowy lub nieosobowy. W przypadku danych osobowych Data Act znajduje zastosowanie wyłącznie w takim zakresie, w jakim nie narusza przepisów RODO. W praktyce oznacza to konieczność zachowania szczególnej ostrożności przy udostępnianiu danych zawierających informacje o osobach fizycznych.
Rozporządzenie nie obejmuje natomiast treści chronionych prawem autorskim ani danych wytwarzanych wyłącznie przez dostawcę usługi bez udziału użytkownika.
Podstawowe obowiązki wynikające z Data Act
Jednym z kluczowych uprawnień wprowadzonych przez Data Act jest prawo użytkownika do dostępu do danych, które generuje w toku korzystania z produktu lub usługi. Dane te powinny być udostępniane w sposób nieodpłatny, o ile są łatwo dostępne, oraz w formacie umożliwiającym ich dalsze wykorzystanie.
Użytkownik ma również prawo żądać przekazania danych osobie trzeciej, na przykład innemu dostawcy usługi lub niezależnemu serwisowi. Producent lub dostawca usługi nie może bezpodstawnie odmówić takiego udostępnienia.
Po stronie przedsiębiorców istotne znaczenie mają także obowiązki informacyjne. Już na etapie zawierania umowy użytkownik powinien zostać jasno poinformowany o tym, jakie dane są generowane, w jakim celu są wykorzystywane oraz kto ma do nich dostęp.
Data Act a sklepy e-commerce – kiedy regulacja ma znaczenie?
Wbrew częstym obawom Data Act nie dotyczy automatycznie wszystkich sklepów internetowych. W przypadku klasycznego e-commerce, polegającego na sprzedaży standardowych produktów, takich jak odzież, książki czy kosmetyki, rozporządzenie co do zasady nie znajduje zastosowania.
Sytuacja wygląda inaczej w przypadku sklepów oferujących produkty generujące dane po sprzedaży, w szczególności urządzenia typu smart lub IoT. Jeżeli sklep działa jednocześnie jako producent lub sprzedaje produkty pod własną marką, może zostać uznany za podmiot objęty obowiązkami wynikającymi z Data Act.
Regulacja może mieć również znaczenie dla e-commerce oferującego usługi cyfrowe, aplikacje, abonamenty lub systemy typu SaaS. W takich przypadkach przedsiębiorca często występuje w roli dostawcy usługi powiązanej z produktem lub posiadacza danych, co rodzi konkretne obowiązki w zakresie ich udostępniania.
Aspekt praktyczny – jak przygotować firmę do Data Act?
Przygotowanie do stosowania Data Act powinno rozpocząć się od analizy modelu biznesowego. Przedsiębiorca powinien ustalić, czy oferowane produkty lub usługi generują dane oraz kto sprawuje nad nimi faktyczną kontrolę. Już na tym etapie możliwe jest określenie, czy regulacja w ogóle znajduje zastosowanie.
Kolejnym krokiem jest przegląd dokumentacji umownej. Data Act ingeruje w treść umów, w szczególności w relacjach B2B, wprowadzając zakaz nieuczciwych postanowień dotyczących danych. W praktyce oznacza to konieczność weryfikacji regulaminów, umów z klientami oraz kontraktów z partnerami technologicznymi.
Nie mniej istotne jest przygotowanie organizacyjne i techniczne. Przedsiębiorcy objęci Data Act muszą być faktycznie zdolni do udostępniania danych użytkownikom lub wskazanym przez nich podmiotom trzecim, z zachowaniem odpowiednich standardów bezpieczeństwa.
Sankcje za naruszenie przepisów Data Act
Data Act przewiduje możliwość nakładania sankcji za naruszenie jego przepisów, przy czym szczegółowe zasady egzekwowania oraz wysokość kar zostały pozostawione państwom członkowskim. Sankcje mają być skuteczne, proporcjonalne i odstraszające.
Ryzyko sankcyjne dotyczy w szczególności bezpodstawnej odmowy udostępnienia danych, braku realizacji obowiązków informacyjnych, stosowania nieuczciwych klauzul umownych oraz niewdrożenia odpowiednich rozwiązań technicznych. Niezależnie od kar administracyjnych przedsiębiorcy muszą liczyć się także z ryzykiem sporów cywilnoprawnych i konsekwencjami reputacyjnymi.
Podsumowanie
Data Act to jedna z kluczowych regulacji unijnych ostatnich lat w obszarze gospodarki cyfrowej. Choć nie dotyczy wszystkich przedsiębiorców, w istotny sposób wpływa na podmioty działające w sektorze technologii, usług cyfrowych oraz sprzedaży produktów generujących dane. Odpowiednie przygotowanie do stosowania nowych przepisów pozwala ograniczyć ryzyka prawne, uporządkować relacje kontraktowe i lepiej zarządzać danymi jako zasobem biznesowym.