Data Act i polski projekt ustawy o sprawiedliwym dostępie do danych (UC114)

Data Act, czyli rozporządzenie (UE) 2023/2854 w sprawie zharmonizowanych przepisów dotyczących sprawiedliwego dostępu do danych i ich wykorzystywania, wszedł w życie 11 stycznia 2024 r., a stosuje się go – co do zasady – od 12 września 2025 r. we wszystkich państwach członkowskich UE. 

Mimo że jest to rozporządzenie (a więc akt stosowany bezpośrednio), państwa członkowskie muszą stworzyć krajowe „otoczenie wykonawcze”: wyznaczyć organ właściwy, określić procedury, tryb nakładania kar i zasady współpracy z instytucjami unijnymi. Temu ma służyć polski projekt ustawy o sprawiedliwym dostępie do danych i ich wykorzystywaniu (nr UC114), opublikowany w RCL i przygotowany przez Ministerstwo Cyfryzacji.

Projekt jest na etapie konsultacji, więc szczegóły mogą się jeszcze zmieniać – ale kierunek jest już dość wyraźny: organem odpowiedzialnym za stosowanie i egzekwowanie Data Act ma być prezes Urzędu Komunikacji Elektronicznej (UKE).

Data Act – rozporządzenie 2023/2854 w pigułce

Data Act ma uporządkować zasady dostępu do danych generowanych przez tzw. produkty podłączone do internetu oraz powiązane usługi (np. inteligentne samochody, urządzenia smart home, liczniki energii, maszyny przemysłowe, urządzenia noszone). Celem jest „sprawiedliwy” podział wartości z danych – tak, żeby nie „zostawała” wyłącznie u producenta urządzenia albo operatora platformy.

Rozporządzenie reguluje m.in.:

• prawa użytkownika do danych generowanych przez produkt lub usługę,

• obowiązki podmiotów posiadających dane (np. producentów, dostawców usług),

• zasady wymiany danych w relacjach B2B, B2C i B2G,

• przejrzystość i „przenoszalność” usług przetwarzania danych (w szczególności chmury).

Dlaczego potrzebna jest ustawa krajowa UC114

Choć Data Act jest bezpośrednio stosowany, nie określa np. konkretnego organu w danym państwie, który będzie:

• przyjmował skargi,

• prowadził postępowania,

• nakładał kary,

• współpracował z Komisją Europejską i innymi organami.

Te elementy prawodawca unijny pozostawił państwom członkowskim. Stąd projekt UC114, który ma:

• wyznaczyć Prezesa UKE jako organ właściwy, koordynatora danych i organ ds. certyfikacji,

• ustalić zasady krajowych postępowań,

• wprowadzić system kar administracyjnych za naruszenie obowiązków wynikających z Data Act. 

Co właściwie reguluje Data Act – zakres podmiotowy i przedmiotowy

Na co w praktyce „zadziała” Data Act? Najprościej: na każdy biznes, w którym są urządzenia podłączone do internetu i dane z nich mogą mieć jakąkolwiek wartość gospodarczą.

Mówimy więc zarówno o:

• klasycznych rozwiązaniach IoT – czujniki, liczniki, maszyny, inteligentne budynki,

• pojazdach – samochody osobowe, flotowe, pojazdy ciężarowe,

• usługach cyfrowych powiązanych z tymi produktami,

• usługach przetwarzania danych (chmura, platformy). 

Jakie dane obejmuje DA (IoT, dane użytkownika, dane z chmury)

Data Act nie ogranicza się wyłącznie do danych osobowych. Obejmuje:

• dane osobowe (w zakresie, w jakim wchodzą w grę dane użytkownika),

• dane nieosobowe (np. parametry techniczne pracy maszyn, zużycie energii, dane eksploatacyjne). leasing.org.pl

Istotne jest to, że dane muszą być generowane przez produkt lub powiązaną usługę. Nie chodzi więc o dowolne dane przedsiębiorstwa, lecz o dane „produkowane” przez urządzenia i systemy w trakcie ich używania.

Relacje B2B, B2C i B2G – kto z kim dzieli się danymi

Data Act reguluje trzy podstawowe „linie przepływu danych”: 

• B2C – użytkownik indywidualny vs. producent / dostawca usługi;

• B2B – przedsiębiorca używający urządzenia vs. producent / inny przedsiębiorca;

• B2G (business-to-government) – udostępnianie danych sektorowi publicznemu w szczególnych sytuacjach (np. nadzwyczajne zdarzenia, interes publiczny).

Na poziomie praktycznym oznacza to, że użytkownik (osoba fizyczna albo firma) może domagać się dostępu do danych generowanych przez urządzenie, a „posiadacz danych” będzie musiał je w rozsądnym zakresie udostępnić – czasem również innemu przedsiębiorcy (np. innemu serwisowi, innemu dostawcy usług).

Projekt ustawy o sprawiedliwym dostępie do danych (UC114)

Projekt UC114 ma być krajową „instrukcją obsługi” Data Act. Nie powtarza rozporządzenia, ale doprecyzowuje, kto i jak ma je egzekwować. 

Główne cele projektu

Z uzasadnienia projektu można wyodrębnić kilka kluczowych celów:

• zapewnienie efektywnego stosowania Data Act w Polsce,

• przyjęcie zasad umożliwiających organom sektora publicznego dostęp do danych, którymi dysponuje sektor prywatny – ale tylko w ściśle określonych sytuacjach,

• ochronę interesów użytkowników i przedsiębiorców poprzez wprowadzenie czytelnych procedur,

• ustanowienie proporcjonalnego systemu sankcji.

Najważniejsze rozwiązania systemowe

Projekt przewiduje m.in.:

• wyznaczenie Prezesa UKE jako właściwego organu, koordynatora danych i organu ds. certyfikacji organów rozstrzygania sporów,

• uregulowanie trybu postępowań administracyjnych w sprawach naruszeń Data Act,

• określenie zasad współpracy z organami innych państw, Komisją Europejską i Europejską Radą ds. Innowacji w zakresie Danych (EDIB),

• określenie katalogu kar administracyjnych za naruszenia rozporządzenia. 

Prezes UKE jako organ właściwy i koordynator danych

Decyzja, by organem właściwym został prezes UKE, nie jest przypadkowa. UKE ma już doświadczenie jako regulator rynku telekomunikacyjnego i usług elektronicznych, a Data Act silnie wiąże się z infrastrukturą cyfrową, usługami łączności, usługami w chmurze i rynkiem danych. 

Dlaczego wybrano UKE

W uzasadnieniu projektu podnosi się m.in., że:

• UKE dysponuje kompetencjami w zakresie regulacji rynku usług komunikacji elektronicznej,

• ma praktykę w prowadzeniu postępowań quasi-regulacyjnych,

• jest już włączony w sieci współpracy europejskiej w obszarze cyfrowym.

Z perspektywy przedsiębiorców oznacza to, że „adresatem” skarg, pytań i postępowań w sprawach Data Act będzie organ, który znają już z obszaru telekomunikacji czy usług transmisji danych.

Nowe zadania prezesa UKE

Projekt ustawy nakłada na prezesa UKE szereg funkcji, wśród których można wymienić:

• kontrolowanie przestrzegania przepisów Data Act,

• prowadzenie postępowań i wydawanie decyzji,

• nakładanie kar pieniężnych,

• współpracę z organami innych państw UE, Komisją Europejską i EDIB,

• certyfikowanie organów ds. rozstrzygania sporów,

• pełnienie funkcji koordynatora danych – ułatwiającego współpracę między właściwymi organami oraz wspierającego podmioty objęte Data Act.

Kontrola i postępowania administracyjne

Prezes UKE będzie mógł wszcząć postępowanie m.in.:

• z urzędu (np. po informacji od organu z innego państwa),

• na wniosek (skargę) użytkownika, przedsiębiorcy lub organu publicznego.

W praktyce możemy spodziewać się typowej dla postępowań administracyjnych ścieżki: wszczęcie, postępowanie wyjaśniające, decyzja, możliwość odwołania do sądu administracyjnego. Szczegółowy przebieg będzie wynikał z przepisów proceduralnych projektu i Kodeksu postępowania administracyjnego – na razie projekt wskazuje raczej ramy niż kazuistyczny opis.

Współpraca z KE, EDIB i innymi organami

Data Act zakłada koordynację działań na poziomie UE. Prezes UKE ma w szczególności:

• współpracować w ramach Europejskiej Rady ds. Innowacji w zakresie Danych (EDIB),

• dzielić się informacjami z organami innych państw,

• uczestniczyć w opracowywaniu wytycznych i dobrych praktyk.

Dla firm działających transgranicznie ważne jest, że decyzje i podejście organów nie będą całkowicie „lokalne” – będą podlegać unijnej koordynacji.

Certyfikacja organów rozstrzygania sporów

Projekt zakłada, że spory między użytkownikami, posiadaczami danych, klientami czy dostawcami usług pośrednictwa danych mogą być rozstrzygane przez wyspecjalizowane organy (np. stałe sądy polubowne, wyspecjalizowane jednostki). Prezes UKE ma je certyfikować – czyli sprawdzać, czy spełniają określone wymogi.

To istotny element z perspektywy przedsiębiorców: spory o dane mogą być załatwiane szybciej i bardziej elastycznie niż w klasycznym procesie sądowym – choć szczegółowe modele będą zależały od praktyki rynku.

Kary za naruszenie Data Act – ile można „zapłacić za dane”

Projekt UC114 przewiduje administracyjne kary pieniężne za naruszenie przepisów Data Act. Nie jest to „symboliczna” odpowiedzialność – maksymalne kwoty są dla biznesu odczuwalne.

Maksymalnie 100 tys. zł i 4 proc. obrotu – jak to rozumieć

Z projektu wynika, że:

• co do zasady maksymalna kara pieniężna może wynieść do 100 000 zł,

• w przypadku przedsiębiorcy – do 4 proc. rocznego obrotu ukaranego podmiotu w roku poprzedzającym nałożenie kary,

• przy czym stosuje się zasadę proporcjonalności i adekwatności (kara nie ma być automatycznym maksimum, tylko odpowiedzią na faktyczną wagę naruszenia).

4 proc. obrotu to – w szczególności dla większych firm – poziom porównywalny z górnym pułapem kar RODO. To sygnał, że Data Act ma być traktowany poważnie, a nie jako „miękki” akt bez realnych sankcji.

Czynniki wpływające na wymiar kary

Projekt ustawy odwołuje się – w typowy sposób – do katalogu okoliczności, które prezes UKE ma brać pod uwagę przy wymierzaniu kary, takich jak m.in.:

• stopień i czas trwania naruszenia,

• charakter danych i liczba dotkniętych użytkowników,

• waga naruszenia z punktu widzenia interesu użytkowników i sektora publicznego,

• dotychczasowa „historia” podmiotu (powtarzalność naruszeń),

• współpraca z organem w trakcie postępowania.

To oznacza, że sama stawka maksymalna nie powie jeszcze, jaka kara rzeczywiście zostanie nałożona – kluczowa będzie konkretna sytuacja i zachowanie podmiotu.

Przetwarzanie w chmurze – tańsza i prostsza zmiana dostawcy

Data Act ma także uporządkować rynek usług chmurowych i przetwarzania danych. Chodzi o to, aby klienci nie byli „uziemieni” u jednego dostawcy, bo przeniesienie danych jest zbyt drogie albo technicznie utrudnione.

Obowiązek wycofania opłat za zmianę dostawcy usług przetwarzania danych

Projekt UC114 wskazuje, że jednym z zadań prezesa UKE będzie zapewnienie wycofania opłat za zmianę dostawcy usług przetwarzania danych. Innymi słowy – w określonym przez Data Act horyzoncie czasowym dostawcy chmury nie będą mogli pobierać wygórowanych (albo w ogóle żadnych) opłat za przeniesienie danych do innego dostawcy. 

W praktyce może to oznaczać większą konkurencję między operatorami chmury oraz łatwiejszą migrację dla klientów.

Co to oznacza dla klientów usług chmurowych

Jeżeli Twoja firma korzysta z usług chmurowych, trzeba będzie:

• sprawdzić umowy pod kątem opłat za wyjście, migrację, eksport danych,

• zweryfikować, czy dostawca przewiduje realne mechanizmy przenoszalności danych (formaty, interfejsy, terminy),

• dostosować wewnętrzne procedury IT, aby migracja w ogóle była możliwa technicznie.

Ryzyko? Jeżeli dostawca faktycznie nie dostosuje się do nowych zasad, a Ty jako klient będziesz „uwięziony”, może dojść do sporu, z udziałem prezesa UKE.

Dostęp sektora publicznego do danych prywatnych

Data Act przewiduje możliwość sięgania przez sektor publiczny po dane, którymi dysponuje sektor prywatny – ale tylko w określonych sytuacjach i na ścisłych zasadach (np. w związku z klęskami żywiołowymi, kryzysami, realizacją ważnych zadań publicznych). 

Kiedy administracja może sięgnąć po dane z IoT i chmury

Projekt UC114 ma wprowadzić krajową procedurę, w ramach której podmioty sektora publicznego będą mogły występować do prezesa UKE o dostęp do danych prywatnych, jeżeli spełnione są warunki z Data Act.

Przykładowo – dane z inteligentnych liczników energii mogą pomóc w zarządzaniu siecią w sytuacjach kryzysowych; dane z pojazdów – w reagowaniu na katastrofy naturalne czy planowaniu infrastruktury.

Z punktu widzenia przedsiębiorcy ważne jest, że:

• nie jest to „dowolny” dostęp administracji do danych,

• każda taka sytuacja będzie musiała mieścić się w katalogu określonym w Data Act,

• prezes UKE ma pełnić rolę „bramkarza” – oceniać zasadność wniosku i zapewniać proporcjonalność.

Procedura wniosków i rola prezesa UKE

Projekt zakłada, że wnioski podmiotów sektora publicznego o udostępnienie danych będą rozpatrywane przez prezesa UKE w trybie administracyjnym. Szczegóły proceduralne będą kluczowe:

• terminy dla organu i dla adresata wniosku,

• zakres danych,

• forma przekazania (bezpieczeństwo, standardy techniczne),

• środki ochrony dla przedsiębiorcy i użytkownika (np. możliwość odwołania).

Na obecnym etapie trzeba założyć, że praktyka dopiero się ukształtuje – i będzie wymagała uważnego bilansowania interesu publicznego, tajemnicy przedsiębiorstwa oraz ochrony danych (w tym osobowych).

Data Act a RODO i inne regulacje unijne

Ważna wiadomość: Data Act nie zastępuje RODO. To odrębny instrument, który trzeba stosować obok ogólnego rozporządzenia o ochronie danych. 

Jak nie pomylić DA z RODO

W dużym uproszczeniu:

• RODO – dotyczy przetwarzania danych osobowych, niezależnie od tego, czy pochodzą z IoT czy nie;

• Data Act – dotyczy dostępu do danych generowanych przez produkty i usługi, obejmując zarówno dane osobowe, jak i nieosobowe.

Jeżeli dane są osobowe i jednocześnie wchodzą w zakres Data Act, musisz stosować oba reżimy jednocześnie – pamiętając o zasadzie minimalizacji, podstawach prawnych RODO, obowiązkach informacyjnych itd.

Związek z Data Governance Act i innymi aktami cyfrowymi

Data Act jest częścią szerszego pakietu regulacji dotyczących danych, do którego należą m.in.:

• Data Governance Act (DGA),

• akty dotyczące usług cyfrowych, rynków cyfrowych,

• regulacje sektorowe (transport, energetyka, zdrowie). 

Z praktycznego punktu widzenia oznacza to, że firmy działające w obszarze danych będą funkcjonować w coraz gęstszym otoczeniu regulacyjnym. Sam Data Act może „uruchomić” konieczność przeglądu zgodności również z innymi aktami.

Co powinni zrobić przedsiębiorcy już teraz

Nawet jeśli projekt UC114 jeszcze się zmieni, Data Act już obowiązuje, a czas na przygotowanie się w praktyce właśnie się skończył – teraz wchodzimy w etap realnego stosowania i ewentualnych postępowań.

Audyt danych i produktów połączonych z internetem

Pierwszy krok to inwentaryzacja:

• jakie produkty i usługi Twoja firma oferuje, które generują dane (IoT, urządzenia, platformy),

• jakie dane zbieracie (techniczne, eksploatacyjne, dane użytkownika),

• kto jest ich „posiadaczem”,

• komu i na jakiej podstawie są udostępniane.

Bez tego trudno ocenić, jak głęboko w Twoją działalność wchodzi Data Act i jakie prawa zyskają użytkownicy i partnerzy.

Przegląd umów z klientami, partnerami i dostawcami chmury

Następny krok to przegląd umów:

• z klientami (B2C/B2B) – jak opisany jest dostęp do danych, prawa stron, odpowiedzialność, procedury udostępniania na żądanie,

• z partnerami biznesowymi – czy klauzule dotyczące danych są zgodne z Data Act (np. zakaz nadużywania przewagi kontraktowej przy warunkach dostępu do danych),

• z dostawcami chmury – warunki przenoszenia danych, opłaty za migrację, standardy interoperacyjności.

Im większy wolumen danych i im bardziej dane są kluczowe dla modelu biznesowego, tym pilniej warto się tym zająć.

Przygotowanie procedur na wnioski o dostęp do danych

Data Act daje użytkownikom (i w pewnych sytuacjach – sektorowi publicznemu) prawo do żądania dostępu do danych. To oznacza, że firma powinna mieć:

• procedury przyjmowania i obsługi wniosków,

• wzory odpowiedzi i standardowe procesy techniczne (np. eksport danych w określonym formacie),

• jasny podział odpowiedzialności (IT, prawnicy, biznes).

Brak procedur to ryzyko chaosu organizacyjnego, opóźnień – a w konsekwencji również sankcji.

Korzyści i ryzyka – kto może zyskać na „uwolnieniu danych”

Data Act nie jest tylko „nową karą”, ale też szansą. Uporządkowany dostęp do danych może tworzyć nowe modele biznesowe, opierać współpracę na transparentnych zasadach i zwiększać zaufanie klientów.

Nowe modele biznesowe oparte na danych

Dzięki Data Act możesz np.:

• budować dodatkowe usługi serwisowe i analityczne w oparciu o dane z urządzeń (za zgodą użytkownika i z poszanowaniem DA/RODO),

• korzystać z danych pochodzących od innych podmiotów – na uczciwych, przejrzystych zasadach,

• tworzyć oferty opierające się na „joint value” z danych (np. wspólne projekty z klientami, partnerami).

Dużo będzie zależało od tego, czy rynek faktycznie wykorzysta tę możliwość, czy ograniczy się do minimum wymaganej zgodności.

Ryzyka regulacyjne i reputacyjne

Z drugiej strony, Data Act to także:

• ryzyko postępowań przed prezesem UKE (i potencjalnych kar),

• ryzyko sporów z użytkownikami i partnerami na tle dostępu do danych,

• ryzyko reputacyjne, jeśli rynek uzna, że firma „blokuje” dostęp do danych lub obchodzi zasady Data Act.

Warto więc traktować zgodność z Data Act nie tylko jako obowiązek, ale też element zarządzania ryzykiem i relacjami z klientami.

Podsumowanie – kluczowe wnioski dla firm i instytucji publicznych

1. Data Act już obowiązuje w całej UE, a jego stosowanie rozpoczęło się 12 września 2025 r. – to nie jest zapowiedź, tylko realne ramy prawne.

2. Polski projekt ustawy UC114 ma zapewnić krajowe „zaplecze” dla Data Act – przede wszystkim wyznaczyć prezesa UKE jako organ właściwy, koordynatora danych i organ ds. certyfikacji. 

3. Projekt przewiduje administracyjne kary pieniężne do 100 tys. zł lub do 4 proc. rocznego obrotu przedsiębiorcy – w zależności od charakteru naruszenia. 

4. Szczególnie istotne będą obszary: IoT, usługi chmurowe, udostępnianie danych sektorowi publicznemu oraz nowe obowiązki w relacjach B2C, B2B i B2G.

5. Dla przedsiębiorców to czas na audyt danych, umów i procedur – odkładanie działań do momentu pierwszego sporu albo kontroli prezesa UKE będzie po prostu kosztowne.