Wstęp
12 września 2025 r. wchodzą w życie regulacje unijnego aktu w sprawie danych[1]. Nowe przepisy, przyjęte w grudniu 2023 r. stanowią kolejny element wzmocnienia europejskiego systemu ochrony danych – zasobu, który odgrywa kluczowe znaczenie w dzisiejszym świecie. Akt powstał, aby uporządkować kwestie sprawiedliwego dostępu do danych, zarówno osobowych, jak i nieosobowych, przez administrację publiczną, przedsiębiorców oraz konsumentów. Polska, podobnie jak inne kraje członkowskie Unii Europejskiej, pracuje nad stworzeniem ustawy implementującej unijne przepisy na grunt prawa krajowego. Zostanie w niej wyznaczony właściwy organ odpowiedzialny za stosowanie i egzekwowanie rozporządzenia[2]. Akt w sprawie danych stanowi uzupełnienie przepisów aktu w sprawie zarządzania danymi (DGA).
Czym jest akt w sprawie danych (Data Act) i kogo dotyczy?
Przepisy zebrane w akcie w sprawie danych mają na celu zwiększenie dostępności i użyteczności danych (przede wszystkim przemysłowych), które ma służyć wzmocnieniu unijnej gospodarki wykorzystującej dane oraz wspieranie konkurencyjności rynku danych. Będzie to możliwe dzięki nałożeniu na dostawców produktów skomunikowanych (m.in. na producentów urządzeń IoT, tj. urządzeń internetu rzeczy, tzw. smart) jak i usług powiązanych, obowiązku udostępnienia danych zbieranych przez takie urządzenia ich użytkownikom.
Dzięki nowym przepisom użytkownicy zyskują większą świadomość oraz kontrolę nad danymi, które zbierają produkty skomunikowane. Dodatkowo użytkownicy danych będą mogli zwrócić się do producenta lub usługodawcy z wnioskiem o udostępnienie takich danych innym podmiotom (np. innym dostawcom w celu zrealizowania usługi konkurencyjnej) lub osobom.
Ponadto przepisy DA służą uregulowaniu wymiany danych pomiędzy przedsiębiorstwami. Porządkują też kwestie nieuczciwych warunków umownych stosowanych dla zablokowania dostępu do takich danych przez innych przedsiębiorców.
Nowe przepisy dają również możliwość organom administracji publicznej, która w sytuacjach nadzwyczajnych o charakterze publicznym (np. wystąpienia klęski żywiołowych, katastrofy naturalnej lub technicznej) lub innych, może zwrócić się do przedsiębiorstwa dysponującego takimi danymi o ich udostępnienie[1].
Data Act a ochrona danych osobowych
Wykorzystanie produktów skomunikowanych, a także usługi z nimi powiązanych, wiąże się ze zbieraniem szeregu danych o charakterze nieosobowym oraz osobowym. Przepisy aktu w sprawie danych wskazują, że zarówno na ich producentach, jak i usługodawcach, ciąży w związku z tym obowiązek informacyjny.
Zgodnie z art. 3 ust. 2 rozporządzenia DA przy zawieraniu umowy na zakup lub użyczenie produktu skomunikowanego, użytkownik musi zostać poinformowany m.in. o rodzaju, formacie i szacunkowej ilości danych zbieranych przez produkt skomunikowany. Musi mieć on również informację o sposobie dostępu do takich danych, możliwości ich pobrania, a nawet usunięcia w stosownym przypadku. Producent musi również wskazać zastosowane w tym celu środki techniczne, warunki ich wykorzystania i jakości usług.
W kolejnym ustępie art. 3 aktu zostały wykazane obowiązki nałożone na dostawcę usług powiązanych, które mają zapewnić transparentność informacji o przetwarzanych danych oraz określić, w jasny i zrozumiały sposób, drogę dostępu do danych użytkownika[1].
Przepisy aktu w sprawie danych, wskazując na dane osobowe, odwołują się do definicji przyjętych w rozporządzaniu RODO. Implementacja nowych regulacji prawnych ma być zatem uzupełnieniem ochrony danych w świecie, w którym technologia prowadzi do gromadzenia coraz większej ilości danych. Daje również nam, osobom na co dzień korzystającym z takich produktów i usług, jasność w zakresie prawa do informacji i dostępu do danych, które nas dotyczą.