Data Act: kiedy usługi IT podlegają nowym regulacjom

Unijne rozporządzenie w sprawie danych (Data Act) obowiązuje już od 12 września 2025 r., a jego skutki odczuwają nie tylko producenci urządzeń smart. Obejmuje ono także szeroką kategorię usług przetwarzania danych – często nieoczywistą dla dostawców IT. W 10 Q&A wyjaśniam, kogo faktycznie dotyczą nowe regulacje, jak sprawdzić, czy dana usługa podlega DA, jakie obowiązki z tego wynikają oraz jakie sankcje grożą za ich naruszenie.

1.Dostarczam usługi IT. W mojej ofercie nie ma produktów skomunikowanych, usług powiązanych. Przyjąłem, że Data Act na pewno mnie nie dotyczy. Czy słusznie?

Nie. Musisz zweryfikować, czy usługi IT, które świadczysz, stanowią usługi przetwarzania danych. Jeżeli tak jest, musisz stosować Data Act (dalej: DA).

2.Jak sprawdzić, czy usługi, które dostarczam, stanowią usługi przetwarzania danych?

Posiłkując się poniższą tabelą, przeanalizuj, czy charakteryzują się one cechami wymienionymi w tabeli. Zrób to dla każdej usługi osobno. Jeżeli na wszystkie wymienione w tabeli pytania odpowiedziałeś twierdząco, usługa, którą świadczysz, stanowi usługę przetwarzania danych, a więc DA dotyczy twojej organizacji.

Lp.	Czy twoja usługa:	Pytania pomocnicze
1.	jest usługą cyfrową?	▶ Czy pozwala klientowi na:wytwarzanie, przetwarzanie i przechowywanie danych lub dostęp do nich w postaci cyfrowej lubwspólne korzystanie z danych w postaci cyfrowej, które zostały przesłane lub wytworzone przez klienta lub innych użytkowników tej usługi, lubinne formy interakcji przy pomocy takich danych?
2.	umożliwia dostęp do wspólnego zbioru zasobów obliczeniowych?	▶ Czy umożliwia dostęp do oprogramowania, aplikacji, sieci, infrastruktury fizycznej i wirtualnej, serwerów, pamięci masowej, narzędzi do tworzenia oprogramowania?▶ Czy zasoby obliczeniowe są udostępniane wielu użytkownikom, którzy dzielą wspólny dostęp do usługi, jednak przetwarzanie odbywa się oddzielnie dla każdego z użytkowników, choć usługa ta jest świadczona z tego samego sprzętu elektronicznego?
3.	umożliwia wszechobecny sieciowy dostęp do zasobów obliczeniowych?	▶ Czy możliwości obliczeniowe są udostępniane przez sieć?▶ Czy dostęp do zasobów obliczeniowych jest możliwy za pośrednictwem mechanizmów sprzyjających wykorzystywaniu różnorodnych platform klientów, tj.:przeglądarki internetowe,twarde dyski,urządzenia mobilne,stacje robocze?
4.	umożliwia dostęp do zasobów obliczeniowych na żądanie przy minimalnym wysiłku pod względem zarządzania lub interakcji z tobą jako dostawcą usług?	▶ Czy twój klient może samodzielnie zapewnić sobie czas serwera lub pamięć sieciową?▶ Czy wymaga to zaangażowania twojego personelu?
5.	umożliwia dostęp do skalowalnych, elastycznych i konfigurowalnych zasobów obliczeniowych?	▶ Czy zasoby są elastycznie przydzielane, niezależnie od ich położenia geograficznego jako reakcja na zmiany zapotrzebowania?▶ Czy przydzielanie i uwalnianie (zwiększanie i zmniejszanie) zasobów obliczeniowych następuje zależnie od zapotrzebowania?▶ Czy zasoby obliczeniowe mogą być konfigurowane?
6.	umożliwia dostęp do zasobów obliczeniowych o charakterze scentralizowanym, rozproszonym lub wysoce rozproszonym?	▶ Czy moc obliczeniowa, przechowywanie danych i inne zasoby są zgromadzone w jednej lokalizacji (np. centrum danych lub serwerowni)? – model scentralizowany▶ Czy zasoby obliczeniowe są zlokalizowane na różnych komputerach lub urządzeniach połączonych w sieć, komunikujących się ze sobą i koordynujących swoją pracę przez przekazywanie komunikatów? – model rozproszony▶ Czy zasoby obejmują przetwarzanie danych prowadzone w bliższej odległości do miejsca generowania lub zbierania danych (np. przetwarzanie brzegowe)? – model wysoce rozproszony

3.Czy to prawda, że DA dotyczy tylko usług w chmurze?

Nie. Obejmuje „usługi przetwarzania danych”, które stanowią pojęcie szersze niż usługi przetwarzania w chmurze. W jego zakres wchodzą usługi spełniające wymogi definicyjne, w tym chmurowe oraz przetwarzania brzegowego.

4.Jestem dostawcą usług przetwarzania danych. Moja spółka ma siedzibę w Polsce, przy czym świadczy usługi tylko na rzecz klientów azjatyckich. Nie mamy żadnych klientów w Europie. Czy DA mnie dotyczy?

Nie. Przepisy DA stosuje się do dostawców usług przetwarzania danych, którzy świadczą takie usługi klientom w UE.

5.Moja spółka świadczy usługi przetwarzania danych dla klientów z Niemiec, Polski, Stanów Zjednoczonych i Wielkiej Brytanii. Jej siedziba znajduje się w USA. Czy DA ma zastosowanie do moich usług?

Tak. Ma zastosowanie do dostawców usług przetwarzania danych świadczących takie usługi klientom w Unii – niezależnie od miejsca siedziby dostawców. Musisz zatem stosować DA w zakresie, w jakim świadczysz usługi dla klientów z UE (w tym przypadku z Niemiec i Polski), mimo że spółka ma siedzibę poza UE.

6.Czy z wdrożeniem obowiązków wynikających z aktu w sprawie danych należy się wstrzymać do momentu uchwalenia polskiej ustawy?

Nie. Data Act już obowiązuje od 12 września 2025 r. Jest to rozporządzenie UE, a zatem obowiązuje bezpośrednio we wszystkich państwach członkowskich UE, w przeciwieństwie do dyrektyw, które wymagają implementacji w ramach polskiej ustawy (jak to ma miejsce np. w przypadku dyrektywy NIS2). Rozporządzenie Data Act, tak jak kilka lat temu RODO, nie wymaga implementacji do polskiego porządku prawnego. Projekt polskiej ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu, który obecnie jest opiniowany, będzie regulować wyłącznie kwestie organizacyjne i proceduralne – m.in. wskazywać właściwe organy czuwające nad przestrzeganiem przepisów, tryb składania i rozpoznawania skarg, wysokość kar za nieprzestrzeganie prawa.

7.Jaki organ w Polsce jest odpowiedzialny za stosowanie i egzekwowanie DA?

Zgodnie ze wspomnianym projektem ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu właściwym organem będzie prezes Urzędu Komunikacji Elektronicznej. Do niego osoby, które uważają, że ich prawa wynikające z DA zostały naruszone, będą mogły wnosić skargi (oprócz drogi sądowej).

8.Jakie kary mogą zostać nałożone na podmioty naruszające DA?

Zgodnie z ww. projektem ustawy administracyjna kara pieniężna będzie wynosić maksymalnie 100 tys. zł, a w przypadku przedsiębiorcy – nie więcej niż 4 proc. obrotu osiągniętego w roku obrotowym poprzedzającym rok nałożenia kary.

9.Za co może zostać ukarany dostawca usług przetwarzania danych?

Może on zostać ukarany, gdy:

1) stwarza klientom przeszkody utrudniające m.in. rozwiązanie umowy o świadczenie usługi przetwarzania danych po upływie maksymalnego okresu wypowiedzenia i pomyślną finalizację procesu zmiany dostawcy, zawarcie nowych umów z innym dostawcą usług przetwarzania danych obejmujących usługi tego samego typu, przeniesienie danych eksportowalnych i aktywów cyfrowych klienta do innego dostawcy usług przetwarzania danych lub do lokalnej infrastruktury ICT oraz uzyskanie równoważności funkcjonalnej w ramach korzystania z nowej usługi przetwarzania danych w środowisku informatycznym innego dostawcy obejmującym usługę tego samego typu;

2) oferta umowy nie zawiera wymaganych postanowień wskazanych w art. 25 ust. 2, 3 i 5 DA, tj. chodzi o: uprawnienie klienta do zmiany dostawcy na innego, zobowiązanie dostawcy do wsparcia strategii odejścia klienta, długość poszczególnych etapów i ew. warunki ich przedłużenia, specyfikacje kategorii danych i aktywów cyfrowych;

3) nie udostępnia klientowi umowy przed jej podpisaniem;

4) nie zawiadamia klienta w terminie 14 dni roboczych o braku technicznych możliwości realizacji wniosku o zmianę dostawcy w ciągu 30-dniowego okresu przejściowego;

5) nie zapewnia ciągłości usług przetwarzania danych przez cały okres przejściowy;

6) nie przedstawia klientowi informacji o istniejących procedurach zmiany dostawcy i przeniesienia usługi przetwarzania danych (w tym informacji o dostępnych metodach i formatach zmiany dostawcy i przeniesienia oraz o limitach i ograniczeniach technicznych znanych dostawcy usług przetwarzania danych) oraz odniesienia do aktualnego rejestru internetowego zawierającego informacje o strukturach i formatach danych;

7) nie aktualizuje rejestru internetowego;

8) nie udostępnia na stronie internetowej informacji o jurysdykcji, której podlega infrastruktura ICT używana do przetwarzania danych w ramach poszczególnych usług oraz ogólnego opisu środków technicznych, organizacyjnych i umownych przyjętych w celu zapobieżenia bezprawnemu międzynarodowemu dostępowi do danych lub nie aktualizuje na bieżąco udostępnionych informacji;

9) nie przedstawia w umowie odniesienia do stron internetowych, o których mowa w pkt. 8;

10) nakłada na klienta opłaty z tytułu zmiany dostawcy;

11) nie przedstawia przyszłemu klientowi informacji o standardowych opłatach za usługę i karach za wcześniejsze rozwiązanie umowy;

12) nie udostępnia nieodpłatnie otwartych interfejsów;

13) nie zapewnia zgodności ze wspólnymi specyfikacjami opublikowanymi w centralnym repozytorium norm Unii dotyczących interoperacyjności usług przetwarzania danych;

14) nie eksportuje na wniosek klienta danych w uporządkowanym, powszechnie używanym, nadającym się do odczytu maszynowego formacie (zgodnie z art. 30 ust. 5 DA);

15) nie informuje przyszłego klienta przed zawarciem umowy o świadczenie usług przetwarzania danych o obowiązkach przewidzianych w przepisach rozdziału VI DA, które nie mają zastosowania (np. zniesienie opłat nie ma zastosowania do tzw. usług spersonalizowanych);

16) udziela dostępu do danych nieosobowych administracji rządowej państw trzecich przechowywanych na terenie Unii lub przekazuje takie dane do administracji rządowej państw trzecich.

10.Jakie są główne elementy wdrożenia rozdziału VI DA w organizacji, który dotyczy ułatwiania zmiany dostawcy usług przetwarzania danych?

Niezbędne jest zaprojektowanie procesu zmiany dostawcy oraz opracowanie odpowiednich procedur, czyli ustalenie, jak będzie przebiegał proces zainicjowany wnioskiem klienta o zmianę twojej organizacji na innego dostawcę usług przetwarzania danych lub infrastrukturę ICT klienta. Trzeba więc ustalić metody, formaty, narzędzia, szacowany czas, ograniczenia techniczne.

Uwaga! Konieczne jest również przygotowanie nowych postanowień umownych, ogólnego opisu środków zapobiegających bezprawnemu międzynarodowemu dostępowi do danych, a także utworzenie zakładki na stronie internetowej i prowadzenie rejestru internetowego zawierającego szczegółowe informacje o strukturach i formatach danych oraz o normach i otwartych specyfikacjach w zakresie interoperacyjności, w których dostępne są dane eksportowalne. ©℗

Słowniczek pojęć Data Act

▶ Produkt skomunikowany – rzecz, która pozyskuje, generuje lub zbiera dostępne dane dotyczące jej wykorzystywania lub jej otoczenia. Jest ona w stanie komunikować dane z produktu za pomocą usługi łączności elektronicznej, łącza fizycznego lub dostępu na urządzeniu. Przy czym do jej podstawowych funkcji nie należy przechowywanie, przetwarzanie ani przesyłanie danych w imieniu strony innej niż użytkownik. Przykładami takich produktów mogą być urządzenia smart home, inteligentne maszyny przemysłowe czy pojazdy połączone z internetem.

▶ Usługi przetwarzania danych – usługi cyfrowe, które umożliwiają klientom wszechobecny, sieciowy dostęp na żądanie do zasobów obliczeniowych. Wspólny zbiór zasobów obliczeniowych charakteryzuje się m.in. skalowalnością, elastycznością, możliwością konfiguracji oraz szybkiego przydzielenia i uwolnienia przy minimalnym wysiłku pod względem zarządzania lub interakcji z ich dostawcą.

▶ Usługi w chmurze (cloud computing) – to szczególny rodzaj usług przetwarzania danych polegający na udostępnianiu zdalnych zasobów obliczeniowych (np. mocy obliczeniowej, pamięci masowej, oprogramowania) za pośrednictwem internetu. W rozumieniu DA nie każda usługa przetwarzania danych jest usługą chmurową, ale każda usługa chmurowa co do zasady mieści się w pojęciu usługi przetwarzania danych.

▶ Usługi spersonalizowane – usługi przetwarzania danych, w przypadku których zostały spełnione dwa warunki:

a) większość głównych cech została opracowana na zamówienie, tak aby dostosować je do konkretnych potrzeb indywidualnego klienta, lub wszystkie komponenty zostały opracowane na potrzeby indywidualnego klienta;